23.06.2023 Digitalisierung bleibt Neuland

Unendliche viele Freundschaftstickets?

Das "Freundschaftsticket" für Jugendliche, die in Frankreich Bahn fahren wollen, bekommt man nicht einfach so. Insgesamt sollten 60.000 kostenlose Bahntickets vergeben werden. Natürlich gab es zum Start zum einen wieder "digitale Probleme", d.h. die Server brachen unter dem Ansturm der Interessenten zusammen und waren nicht erreichbar.

Uns interessiert aber mehr das 2. Problem, denn, wie Netzpolitik.org schreibt, konnte, wer das technische Know-how hatte, den Ticketstau umgehen und sich mit Hilfe einer Sicherheitslücke auch noch Tage später eigenhändig einen Pass generieren. Zerforschung gelang es, sich über einen „Hintereingang“ anzumelden und so einen Pass zu erhalten, obwohl eigentlich bereits alle vergeben waren. Obwohl dies den Verantwortlichen bekannt gegeben wurde, war die Lücke noch einige Zeit nutzbar.

Die Gruppe "zerforschung" machte zusätzlich auf weitere Probleme aufmerksam: Hatten Nutzer*innen nämlich ihr Passwort vergessen, erhielten sie einen fehlerhaften Reset-Link zugeschickt, der auf eine unregistrierte Website führte. Jede Person hätte diese Anwendungsadresse „kapern“ können und so gezielt Phishing betreiben können.

Ähnliche Probleme bereichtete "zerforschung" auch von DiscoverEU, wo – ähnlich wie beim Freundschaftspass – Interrailtickets an 18-Jährige verlost werden. Sie konnten dort ohne Probleme Nutzer*innenkonten anlegen und auf die Daten von mehr als 240.000 registrierten Nutzer*innen zugreifen.
Mehr dazu bei https://netzpolitik.org/2023/freundschaftspass-klaffende-sicherheitsluecken-bei-der-ticketbuchung/
Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3uK
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8438-20230623-digitalisierung-bleibt-neuland.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8438-20230623-digitalisierung-bleibt-neuland.html
Tags: #Freundschaftstickets #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Zerforschung #Hacker #Frankreich #Interrail #unsicher #Pishing #Digitalisierung #Neuland #Verhaltensänderung

03.11.2022 Überwachung in iranischen Netzen
SIAM beobachtet alle

Nach Recherchen von The Intercept auf der Grundlage von geleakten Dokumenten des iranischen Telekommunikationsanbieters Ariantel werden die Protestierenden im Iran auf Schritt und Tritt verfolgt. Mit einem Programm namens SIAM hat die iranische Telekommunikationsbehörde (CRA) umfassenden Zugriff auf die Nutzer des Mobilfunknetzes des Landes.

Wie netzpolitik.org berichtet, kann das Überwachungsprogramm

• Identitätsprofile erzeugen,
• Standortverläufe von Personen ermitteln,
• Protestteilnehmende jederzeit ausfindig machen und
• einzelne Handynutzer:innen ins unsichere 2G-Netz umleiten, um Verschlüsselung zu unterbinden oder den Internetverkehr stark zu drosseln, bzw abzuwürgen.

Die Internetanbieter sind gezwungen für SIAM 28 Kontroll- und Überwachungsfunktionen bereitzustellen. Diese Überwachung kann für die Demonstrierenden lebensgefährlich werden, weil wieder einmal der Staat mehr über sie weiß, als sie selbst erinnern können.

Solche auf Knopfdruck abrufbare Funktionen sind z.B.

• die Metadaten zu allen getätigten Anrufen der letzten 30 Tage,
• alle Namens- und Adress-Informationen,
• alle Handynummern, die aktuell in einem bestimmten Ort ins Netz eingewählt sind,
• alle NutzerInnen, die zu einem Zeitpunkt einen bestimmten VPN Dienst genutzt haben, ...

So berichten mehrere Betroffene, dass plötzlich Sicherheitskräfte in ihrem Zuhause aufgetaucht seien, mit spezifischen Informationen darüber, wann und wo sie Videos aufgenommen hätten.

Um die Kommunikation unter den Demonstrierenden zu erschweren, können diese auch aus dem aktuellen Netzstandard 3G oder 4G ins veraltete 2G Netz zurückgestuft werden. Dann sind ihnen die gängigen Messenger verwehrt und ihre Telefonate können leicht(er) abgehört werden.

Wir müssen leider feststellen, dass alle beschriebenen Überwachungsmittel in der Technik immanent sind, also auch bei uns angewendet werden könnten, wenn eine autoritäre Regierung es so wollte. Deshalb ist es so wichtig, dass sich Jede/r frühzeitig über Methoden kundig macht, wie man solche Überwachung verhindern und umgehen kann. Einiges haben wir unter Privatsphäre schützen aufgeschrieben, weitere Tipps sind neben dem bekannten Tor Browser die Kommunikation in Demonstrationsgruppen über verschlüsselte Messenger, die Ketten von Bluetooth Verbindungen nutzen und damit auch ohne SIM Karte funktionieren.

Mehr dazu bei https://netzpolitik.org/2022/proteste-im-iran-geleakte-dokumente-zeigen-ausmass-der-ueberwachung/
und https://www.derstandard.de/consent/tcf/story/2000132732535/2g-mobilfunk-notorisch-unsicher-extrem-veraltet-und-doch-kein-ende
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3qC
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8199-20221103-ueberwachung-in-iranischen-netzen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8199-20221103-ueberwachung-in-iranischen-netzen.htm
Tags: #Iran #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Videoüberwachung #Rasterfahndung #Datenbanken #Polizei #Geheimdienste #Hacking #Geodaten #Cyberwar #Hacking #Trojaner #Cookies #Verschlüsselung #Browserverlauf #Messenger #2G #unsicher #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung

Telekom stellt DE-Mail ein

Einen toten Gaul weiter reiten ...

... das wollen United Inernet mit ihren Marken web.de und GMX. Sie wollen ihren Kunden weiterhin (kostenpflichtig) DE-Mail zur Verfügung stellen. Bereits 2011 hatten wir das Produkt für einen technisch falschen Ansatz und für tot erklärt.

28.08.2010 Fehlende Rechtssicherheit bei DE-Mail
07.02.2011 Keine sichere Kommunikation mit DE-Mail
09.08.2011 Blackberry so unsicher wie DE-Mail
09.05.2011 De-Mail Gesetz in Kraft getreten
13.04.2013 Deutsche Post steigt bei De-Mail aus
05.08.2013 De-Mail wegen PRISM & Co. ein Lacher
29.06.2014 Lücken bei "E-Mail made in Germany"

In den danach folgenden Jahren haben wir uns mit dem Thema nicht mehr beschäftigt, denn es erscheint uns nach wie vor lächerlich einen angeblich sicheren E-Mail Dienst anzubieten, der von Staats wegen keine Ende-zu-Ende Verschlüsselung anbieten sollte. Aus angeblich technischen Gründen mussten die mit DE-Mail verschickten E-Mails bei jedem Provider einmal ausgepackt, auf Viren und Spam untersucht und dann wieder verschlüsselt verpackt werden.

Mit einem solchen Dienst kann kein Vertrauen in sichere Komunikation aufgebaut werden. Die berechneten Gebühren von 6-10 Euro pro Monat sind durch nichts zu rechtfertigen. Diese Erkenntnis hat sich nach dem Ausstieg der Deutschen Post im Frühjahr 2013 nun mit 8,5 Jahren Verspätung auch bei der Telekom durchgesetzt. Sie hat ihren verbliebenen DE-Mail Kunden zum Jahresende gekündigt. Etwa 750.000 Kunden verbleiben noch bei den Anbietern von United Internet.

Zu Bedauern ist wieder einmal, dass "der Staat", hier in Form des BSI und der Regulierungsstelle für Post und Telekom über Jahre Steuergeld in dieses von Anfang an "tote Pferd" gesteckt haben, obwohl Fachleute wie der CCC die Untauglichkeit von Anfang an aufgezeigt haben. So hatte die Deutsche Post anfangs in der Einrichtungsphase Kosten von 5€ pro DE-Mail, die sie auf Betreiben der Politik selbst schultern musste - nur um ihren Kunden einen unsicheren Dienst schmackhaft zu machen.

Ebenso zu kritisieren ist der Versuch "des Staats" an allen Standardisierungsgremien, wie z.B. ETSI oder den im Internet üblichen RFCs, vorbei ein Konkurrenzprodukt zur E-Mail aufzubauen, die bereits seit Ende der 80-iger Jahre mit PGP eine Ende-zu Ende Verschlüsselung ermöglicht. Das verschwendete Steuergeld wäre für eine ergonomisch und sicherheitstechnische komfortable Einbindung von PGP in die vorhandenen E-Mail Clients um ein vielfaches sinnvoller eingesetzt gewesen.

Mehr dazu bei https://www.heise.de/news/De-Mail-Der-Telekom-Ausstieg-und-die-Folgen-6194853.html
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7781-20210927-telekom-stellt-de-mail-ein.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7781-20210927-telekom-stellt-de-mail-ein.htm
Tags: #Telekom #DE-Mail #Bürgerportal #Post #unsicher #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Anonymisierung #Hacking #Trojaner #Spam #Verschlüsselung #Provider #UnitedInternet #GMX #web.de