One person like that
4 Comments
#bawü #luca Land Teil 3: Wir sind hier derzeit in der #Bodensee Region. Übergang von Haupt- zu Nebensaison. Letzte Woche war das Wetter super und alles war total voll, diese Woche ist das Wetter durchwachsener und nicht mehr ganz so voll. Jedenfalls eine Gegend, die zum beträchtlichen Teil vom Tourismus lebt.
Typischer Umgang im Restaurant/Museum: "Habt's ihr die Luca App?"
Bei "Ja" wird man auf den QR-Code an Tischen oder Eingang verwiesen. Ob man dann auch eincheckt prüft keiner.
Bei "nein" bekommt man - teils nach längerem Warten - einen Zettel für die Adresse zur Kontaktverfolgung. Mehrfach schon passiert dass der erst auf Nachfrage eingesammelt wurde.
Auch das Prüfen von 3G passiert nur oberflächlich. Ich habe in der #cwa den Impfstatus von - in dieser Reihenfolge - mir, Sohn 2 (der nicht mit ist) und Frau. Kein einziges(!) Mal wurde der Code bisher gescannt. Meist wird nur flüchtig draufgeguckt - wenn man 2 Codes sieht reicht das eigentlich schon, ich hab mir nach dem 3. mal abgewöhnt, noch über den Code des Sohnes hinaus zu dem meiner Frau zu scrollen.
Löbliche Ausnahme; Das Freilichtmuseum in Neuhausen ob Eck: Hier wurde der QR-Code zwar auch nicht gescannt und auch nicht mit dem Ausweis abgeglichen, aber die Dame am Einlass hat sich auch den Impftermin(!) zeigen lassen (und so nebenher geprüft dass man ihr keinen Screenshot zeigt) um festzustellen, ob die 2. Impfung auch schon 2 Wochen her ist. Das Freilichtmuseum kann ich übrigens empfehlen.
#bawü #luca Land Teil 2: Gestern endlich jemanden einchecken sehen. Älteres Pärchen, 60+. Ich frage, ob sie denn auch die #cwa haben? Antwort - sinngemäß und nach Erklären, was denn die CWA sei: Nein, wir haben doch die Luca App.
Wenn ich von da aus extrapoliere, dann dürfte der Großteil der Leute hier lediglich Luca haben und somit die Kontaktverfolgung per CWA ad absurdum führen.
Gut gemacht, Luca. Ein ganzes Bundesland ohne CWA.
Wo ich hier in #bawü überall die ganzen #luca Aufkleber sehe... Das, was man Luca - neben der völlig unnötig zum Fenster rausgeworfenen Steuerkohle - wirklich vorwerfen muss ist, dass dadurch die Adaption der Corona Warn App #cwa vermutlich abgebremst wurde und es deutlich mehr/bessere Warnungen hätte geben können, wenn Luca nicht dazwischengefunkt hätte.
Oh, und obwohl hier überall Luca QR Codes auf Tischen etch kleben, sehe ich niemanden, der den scannt.
#Corona #Politik #Software #Sicherheit #Privatsphäre #Datenschutz #Pandemie #Gesundheit #Politik #Problem
Siehe hier mal nach: https://www.spiegel.de/netzwelt/netzpolitik/luca-app-innenministerium-lehnt-sicherheitspruefung-ab-a-a6dba9ed-6d12-4ead-945a-bf06d6fc0795
Die Millionen für die App sind wohl sinnlos vergeudet gewesen aber im Vergleich zu Scheuer war das noch billig...
#luca #Pandemie #Prüfung #gesundheit #politik #verarschung #problem #aua #wtf
Der Spiegel hat nun bei gut der Hälfte der Gesundheitsämter in Deutschland nachgefragt, wie sie es mit der Luca-App halten. Das Ergebnis: Von 114 Ämtern mit Luca-Anschluss hat die Hälfte noch nie Daten abgerufen. Technische Probleme, unbrauchbare Daten: zu viel Aufwand für zu wenig Nutzen.
https://taz.de/Maengel-der-Luca-App/!5789480/
Ein Lehrstück, wie naiv hier und da Politik sein kann, mit welchen fragwürdigen Lockangeboten sie geködert werden kann. Ich bin leider zu ehrlich, sonst würde ich eine App basteln, die des Politikers IQ offen legt.
Tja, all das hätte mit der Corona Warnapp nicht passieren können. Aber bei der Sache in Bad Doberan sieht man echt alle Schwachpunkte von Luca und generell Kontaktverfolgung:
Dagegen die CWA:
Es ist eigentlich ein No-Brainer. Doof nur, dass offensichtlich auch No-Brainer dafür zuständig sind, Entscheidungen zu treffen. :/
#luca #cwa #coronawarnapp #nobrainer #covid #baddoberan #mv #corona
https://twitter.com/ralf/status/1424171287988080641
#luca #fail #covid19
Mir wird von verschiedenen Seiten zugetragen, dass sich @patrick_hennig von @neXenio_Berlin über meinen #LucaApp Performance Monitor https://t.co/mLxjpQN6z0 ärgert. Unter anderem sei das Herausrechnen der von neXenio gefakten Nutzung nicht zuverlässig. neXenio treibt 1/
— Ralf Rottmann (@ralf) August 8, 2021
#luca #fail
https://twitter.com/cccfr/status/1421091615301640192
http://luca.fail/
@sand2drn @rvnstn @cccfr haben mithilfe von @ralf|s Tool rausgefunden das Luca seit 2 Tagen niemanden mehr warnt.
— CCC Freiburg (@cccfr) July 30, 2021
Der letzte Hotfix* zum Totalausfall der Traces half nur wenig.
(hier, trotz tägl. neuer fake traces identische Ergebnisse seit 28.7.)@regierungbw @MSI_BW @HonkHase pic.twitter.com/Cn94Bnj246
Dummheit erscheint steigerungsfähig
... denn wie Heise schreibt, wächst trotz der teilweise heftigen Kritik gegenüber der Luca-App, die Zahl der Nutzer täglich und stetig. Pro Woche kommen 1,5 Millionen neue Nutzer und 10.000 neue Veranstaltungen und Check-In-Standorte hinzu.
Ist das noch normal?
Schon 3-mal haben auch wir auf die Kritik an der Luca App hingewiesen.
Unzulässiger Umgang mit unseren Daten, (teilweise inzwischen geschlossene) Löcher und Lücken - und trotzdem installieren sich die Menschen diese App. Noch unverständlicher ist das Handeln von Behörden, denn, wie Heise berichtet, haben 13 Bundesländer sich mittlerweile Lizenzen der App gesichert und 318 deutsche Gesundheitsämter sind mit den Luca-Servern verbunden.
Wie können staatliche Stellen die Verbreitung dieser App unterstützen, die in direkter Konkurrenz zu eigenen Corona- Warn App steht?
So geschieht es, dass Menschen bei ihrem Restaurantbesuch faktisch gezwungen sind, sich die App zu installieren, um die Räume betreten zu können. Digitalcourage hatte bei der Verleihung der Big Brother Awards sogar von einer Behörde berichtet, die die Luca App von ihren Besuchern verlangt. Dabei bietet seit April auch die Corona-Warn App eine Check-In-Funktion zur Eventregistrierung an, ähnlich der Luca App.
Das Fazit zur Luca App beschreibt Heise so: Viel Geld für wenig Nutzen und große Risiken – so lässt sich die Stellungnahme zur Luca-App von 70 Sicherheitsforschenden zusammenfassen. Sie fordern eine Rückbesinnung auf die bestehenden, dezentralen Lösungen der Corona-Warn-App.
Wir können darin jedenfalls nur eine weitere Datenkrake sehen, haben aber generell Bedenken gegen jede Form von Zwangsdigitalisierung, also alle Verfahren, die die Menschen zwingen digitale Geräte zu nutzen, um ihren Alltag bestreiten zu können.
Mehr dazu bei https://www.heise.de/news/Luca-App-Die-Nutzerzahlen-steigen-die-Kritik-ebenfalls-6128148.html
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7699-20210709-trotz-kritik-mehr-luca-app-nutzer.htm
Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/7699-20210709-trotz-kritik-mehr-luca-app-nutzer.htm
Tags: #Corona #Luca #App #DSGVO #Freiwilligkeit #Zwangsdigitalisierung #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Transparenz #Informationsfreiheit #OpenSource #Verhaltensänderung #eHealth #Hacking
Und nun muss ich wohl oder übel die Luca-App installieren. Hier in Hessen ticken die Uhren nämlich anders. Von politischer Ebene wird die Luca-App extremst gepusht, bis hin an meinen Arbeitsplatz, wo ich dienstliche Mails zum Thema mit dem "freiwilligen" Zwang bekomme und die App auch dienstlich genutzt werden soll. Sogar ausdrücklich auch auf dienstliche Smartphones geladen werden soll.
Im Gegensatz zu unseren Nachbarbundesländern muss man hier, wenn man in den Innenraum dinieren will, einen aktuellen Coronatest vorweisen. Also flüchten hier die Kunden über den Rhein. Die Geschäfte hier beklagen sich über die Ungleichbehandlung.
Ich gehe mal davon aus, durch die höher infektiöse Delta-Variante und den noch folgenden wird es hier schon bald wieder zu weiteren Einschränkungen kommen. Das ist dann Wasser auf die Mühlen der Covidioten und Nazis. Die BILD und das Team Boris Reizhuster werden sicherlich auch alles geben, um die Pandemie zu einem gewaltigen Rechtsruck zu nutzen. Für das Kapital war die Pandemie bereits ein Segen.
Davon abgesehen, man braucht nur in die USA und jetzt neu nach GB zu sehen, um den gewaltigen Rechtsruck und das Erstarken der Vollidioten zu beobachten. Hier stehen sie auch bereits in den Startlöchern. Während diejenigen, auf welchen die Resthoffnungen liegen, wechselweise mit Wattebällchen werfen oder sich gegenseitig zerfleischen. In den sozialen Netzen sind die Schwurbler-Nazis besser organisiert als alle anderen.
Oder ist der ganze Wahnsinn nur ein weltweiter Long-Covid? Man weiß es nicht.
#allebekloppt #covid19 #luca #idioten #nazis
Klar, wenn die Daten erst frei im Netz fliegen, reagiert man. Diese frappierende Logik muss man sich auf der Zunge zergehen lassen.
https://www.heise.de/news/Datenschuetzer-fordert-pragmatischen-Umgang-mit-Luca-App-6128129.html
#luca #datenschutz #sicherheit #allebekloppt
Habe gerade Post von unserer Personalverwaltung bekommen. Ein Schreiben vom Staatssekretär für Digitale Strategie und Entwicklung. Dort wird drauf hingewiesen, bei allen dienstlichen Aussenterminen und auch sonst die Luca-App zu nutzen.
Mein Bestand an Beißhölzern und Tischplatten wird so langsam knapp.
https://www.hessen.de/fuer-buerger/corona-in-hessen/faq-luca-app
#covid19 #luca #datensicherheit
Haben die noch alle Latten am Zaun???
Und dafür hat jemand mehr als 5 Cent ausgegeben?
https://twitter.com/ralf/status/1398243584919457792
Jetzt sollen Venue Owner ihre privaten Schlüssel (!) hochladen. WTF. Wirklich. WTF. #LucaApp cc: @Linuzifer @chaosupdates @mame82 @evawolfangel pic.twitter.com/FLB4oJi3vN
— Ralf Rottmann (@ralf) May 28, 2021
#Luca #app #Datenschutz #Nordfriesland #Restaurant
Ja SCHEISSE! Jetzt hat man die Möglichkeit in Nordfriesland Essen oder Trinken zu gehen - aber NUR mit der verfickten Luca-App.
Daß die CoronaApp das auch kann ist irrelevant. Und Zettel und Stift machen die auch nicht. Tolle Wurst.
Durch einen Post von @heluecht@pirati.ca wurde ich auf ein Problem im Quellcode der Luca-App aufmerksam: https://pod.geraspora.de/posts/13446160
Die zwei kritischen Code-Stücke sind für das Testen zuständig und man findet sie hier: https://gitlab.com/lucaapp/android/-/blob/master/Luca/app/src/main/java/de/culture4life/luca/ui/registration/RegistrationViewModel.java
Teil 1:
public boolean isUsingTestingCredentials() {
return Objects.equals(firstName.getValue(), "John")
&& Objects.equals(lastName.getValue(), "Doe")
&& Objects.equals(phoneNumber.getValue(), "+4900000000000")
&& Objects.equals(email.getValue(), "john.doe@gmail.com");
}
Teil 2:
boolean isValidPhoneNumber(String phoneNumberString) {
if (isUsingTestingCredentials()) {
return true;
}
try {...
Als Hackerin mit Codex will ich mich darüber nicht nur lustig machen sondern erklären worin das Problem liegt und wie man es beheben kann.
Sicherheitsverständnis bei Open-Source
Ein weit verbreitete Fehleinschätzung ist, dass Open-Source sicherer ist als geheimer proprietärer Quellcode. Niemand außer dem Besitzer kann geheimen Quellcode prüfen und deswegen können Fehler jahrelang unbemerkt bleiben und nur von Eingeweihten ausgenutzt werden. So kann man im geheimen Quellcode problemlos Hintertüren und andere Schweinereien verstecken.
Open-Source oder freier Quellcode kann von jedem eingesehen werden und so ist es schwieriger dort Hintertüren zu verstecken. Diese Schwierigkeit macht den offenen Quellecode schon mal ein bisschen sicherer. Dann muss dieser Quellcode aber immer noch getestet, überprüft und kontrolliert werden. Geschieht dies nicht und alle vertrauen nur blind auf die Sicherheit dann ist das sehr fahrlässig. Es gibt leider Beispiele wo offensichtliche Fehler im frei zugänglichen Quellcode jahrelang übersehen wurden - siehe: Heartbleed - https://de.wikipedia.org/wiki/Heartbleed
Jetzt muss man aber auch die Philosophie von freier Software verstehen und die wird nirgendwo an der Universität gelehrt. Die muss man sich per Selbststudium im Internet beibringen. Wenn jeder in den Quellcode schauen kann und er danach immer noch sicher ist, dann habe ich echte Sicherheit (immer vorausgesetzt, dass Experten auch drauf geschaut haben). Das heißt natürlich, dass ich nichts in den Quellcode schreiben darf was man später ausnutzen kann (weil dies würde die Sicherheit schwächen).
Leider lernt man an der Universität oder Ausbildung sogut wie nichts über Sicherheit, die schon beim Design der Software ansetzt. Dies sind relativ neue Forschungen und die Ausbildungskräfte bilden sich nicht gut genug fort als das sie darüber Kenntnisse hätten. Für Wirtschaftsinformatiker scheint es wichtiger zu sein, dass sie profitabel sind und nicht sicheren Quellcode schreiben (blöder Kapitalismus).
Was ist hier das Problem?
Am oben gezeigten Quellcode sieht man, dass getestet wird. So was nennt man Test-Driven-Development und das ist zunächst etwas Gutes. Der Quellcode wird vor dem "Build" also dem zusammenbauen als fertige App zunächst automatisiert getestet und wenn ein Test fehlschlägt wird der "Build" abgebrochen, sodass der Fehler korrigiert werden muss. Der Fehler kann wenn er durch den Test erkannt wird also nicht beim Endbenutzer auftauchen.
Wie man aber in Teil 2 oben sieht kann man mit den Testdaten Prüfungen in der App umgehen und dadurch mehr Rechte erhalten. Noch viel schlimmer ist, dass wir in Teil 2 sehen, das der "try"-Teil erst nach der Prüfung auf Testdaten startet. "Try" ist für die Fehlerbehandlung zuständig und das bedeutet ich kann mit Testdaten die App in einen undefinierten Zustand bringen, weil es keine Fehlerbehandlung gibt. Diese undefinierten Zustände können Hacker häufig für Exploits ausnutzen.
Insgesamt also alles sehr schlecht!
Wie kann ich das besser machen?
1) Compilerflags - Mit Compilerflags kann ich verhindern, das bestimmte Programmteile in der produktiven App landen. Vereinfacht gesagt ich baue mir eine Testversion und wenn die funktioniert dann baue ich mir eine Produktivversion wo die Testfunktionen nicht enthalten sind. Großer Nachteil dieser Methode ist, das Programmierer gelegentlich vergessen, die Testfunktionen richtig rauszulöschen mit den Flags weil sie zu sehr unter Druck stehen und dann Fehler machen. So ist es häufiger schon passiert, dass unbeabsichtigt Testfunktionen doch im Produktivsystem gelandet sind. Ein weiteres Problem ist wenn Fehler nicht in der Testversion auftreten aber im Produktivsystem weil es anders gebaut wurde. Dann sind wahrscheinlich irgendwo die Compilerflags falsch gesetzt worden. Ein Fehler den man dann niemals machen darf, der aber schon passiert ist, ist, dass dann einfach die Testversion ausgeliefert wird in der Hoffnung, dass das niemand merkt.
2) Testflags verwenden - In der Testumgebung wird über die Konfiguration ein bestimmtes Flag gesetzt, sodass die Software weiß, dass sie im Testmodus ist. Nachteil ist, dass bösartige Hacker diese Flag auch in der Produktivumgebung setzen könnten.
3) So Testen, dass es keinen Unterschied macht (beste Lösung). Warum im Testsystem nicht mit anonymisierten oder pseudonymisierten Daten so testen wie unter echten Bedingungen? Meistens macht das etwas mehr Aufwand aber dafür hat man die Tests unter Echtbedingungen gemacht was den höchsten Wert hat. Keine Flags oder Funktionen im Quellcode die ausgenutzt werden könnten.
#luca #software #testen #test #sicherheit #problem #bildung #entwicklung #verstädnis #lernen #hack #hacking #app #smartphone #gesundheit #corona #programm