Privacy

Sich gegen Facebook wehren


Bisher war es ziemlich einfach, Informationen auf der eigenen Website zu veröffentlichen und dann bei Facebook mit einzubinden. Dagegen geht Facebook nun aber immer mehr vor, da der Konzern es lieber sieht, dass seine Nutzer gar keine andere Webpräsenz außer die bei Facebook haben.

Anil Dash zeigt in seinem Blogpost „Facebook is gaslighting the web. We can fix it.“an Hand von Beispielen, wie Facebook in den U.S.A gerade agiert:

  • seit heute (22. Nov 2011) ist es nicht mehr möglich, Inhalte von der eigenen Website (z.B. via RSS) in Facebook zu integrieren
  • das neue „frictionless sharing“ hat sich als eine sehr effektive Barriere gegen das bewusste Teilen von Informationen herausgestellt
  • Facebook macht seinen Usern Angst vor Links auf andere Websites, in dem vor angeblich unsicheren und gefährlichen Verweisen gewarnt wird

Anil Dash schlägt als Selbstverteidigung allen Facebook-Nutzern vor, die Domain facebook.com bei StopBadware.org zu melden, so dass Browser wie Firefox und Chrome vor dem Besuch von Facebook warnen müssten.

Ich würde ja statt dessen vorschlagen, gleich ganz auf Facebook zu verzichten und lieber etwas wie Diaspora oder Friendica zu benutzen. Aber das mag ja niemand hören ;-)

[via vowe]

Web-Sicherheit: X.509 PKI wird kompromittiert


Public Key Infrastructure - klingt nach Großprojekten für Unternehmen, aber tatsächlich fußt die Sicherheit des Internet auf eine solche PKI. Sobald man mit seinem Browser auf eine Login-Seite eines Webdienstes geht, sollte SSL/TLS im Spiel sein und damit auch eine PKI nach dem Standard X.509. Denn jeder Webbrowser kommt mit einer Reihe von Zertifikaten von so genannten Zertifizierungsstellen (Certificate Authority) wie Verisign, an Hand derer der Browser dann feststellen soll, ob einer verschlüsselte Verbindung zu einer Website wie beispielsweise Facebook oder PayPal vertraut werden kann.

Bisher vertraut man als Anwender in solchen Fällen seinem Browser. Solange der bei einer verschlüsslten Verbindung nicht meckert, geht man davon aus, das alles seine Richtigkeit hat. Das macht es wiederum für Angreifer interessant. Und anscheinend sind Angreifer recht erfolgreich in diesem Bereich. Peter Gutmann hat ein paar besonders erschreckende Fälle in einem Posting zusammen getragen, unter anderem hat jemand für $100 ein Zertifikat erhalten, das ihn als den Inhaber der Domain apple.com und aller Subdomains ausweist.

X.509 kommt übrigens auch bei der Verschlüsselung von E-Mails im Unternehmensumfeld zum Einsatz (S/MIME). Bei OpenPGP und dem Web of Trust hat man diese Probleme prinzipbedingt nicht.

[via fefe]

DE-Mail weiter in der Kritik


Die Bundesregierung möchte mit De-Mail ein Mailsystem etablieren, das rechtsverbindliche Kommunikation im Internet ermöglicht. Auf der Website von De-Mail werden die Vorzüge für Bürgerinnen und Bürger erläutert, im wesentlichen werden dort drei Punkte herausgestellt, warum De-Mail für den privaten Gebrauch interessant ist: Datenschutz, Elektronisches Einschreiben und die persönliche De-Mail-Adresse:

Verschlüsselt, authentisch und nachweisbar - einfach, schnell und von überall

Geschäftliche oder behördliche Kommunikation, die bisher den Postweg erforderte, können Sie mit De-Mail einfacher, schneller und von jedem beliebigen Ort aus vollständig elektronisch erledigen. Öffnungszeiten spielen keine Rolle, in den Warteschlangen stehen andere. Dadurch sparen Sie Zeit und natürlich auch Geld.

Die Vorzüge für Unternehmen und Behörden werden ebenfalls genannt, da geht es im wesentlichen um die rechtsichere elektronische Kommunikation:

Verschlüsselt, authentisch und nachweisbar - für den Austausch elektronischer Nachrichten zwischen Privatpersonen, Unternehmen und Behörden

Optimierte Prozesse

Unternehmens- und Verwaltungsprozesse zeichnen sich bisher durch Medienbrüche aus. Eine vollständig elektronische Bearbeitung ist vor allem bei juristisch relevanten Arbeitsschritten oft nicht möglich, etwa wenn die fristgerechte Zustellung eines Schriftstücks zweifelsfrei nachgewiesen werden muss. Der ständige Wechsel von Elektronik zu Papier führt zu erheblichen Prozessverzögerungen und verursacht immensen Aufwand. Mit De-Mail können Unternehmens- und Verwaltungsprozesse ohne Medienbruch elektronisch abgewickelt werden. Die Folge: Sie optimieren Ihre Prozesse und reduzieren Ihre Kosten.

Nun sind technische Sicherheit und Rechtssicherheit gar nicht so trivial zu erreichen. Im Grunde wird, wie Kris aus seiner Sicht als ehemaliger Security-Experte bei einem großen Mailprovider beschreibt, ein Gesetz speziell für De-Mail gestrickt, das eine Rechtssicherheit erst möglich macht. Da Provider wie GMX und T-Online mittlerweile Vorregistrierungen für De-Mail annehmen und ein Referentenentwurf zum De-Mail-Gesetz erschienen ist, hat sich der Verbraucherzentrale Bundesverband mit dem Thema beschäftigt:

Nach der Prüfung der einzelnen Regelungen im Referentenentwurf kommt der vzbv zu dem Schluss, dass für den Bürger die Nachteile deutlich überwiegen.

Auch der c't ist das Thema einen Artikel wert und stellt mit der einhergehenden Beweislastumkehr (als De-Mail-Nutzer muss man beweisen, dass ein Dokument einen nicht erreicht hat) einige technische Aspekte in den Vordergrund:

  • De-Mail hat einen Viren- und Spam-Filter eingebaut, damit besteht die prinzipielle Gefahr, dass Nachrichten nicht zum Empfänger gelangen.
  • Eine Nachricht gilt spätestens drei Tagen nach dem Versand als zugestellt, unabhängig davon, ob man die Mails auch abgerufen hat.
  • Als Bürger muss man im Zweifelsfalle nachweisen, dass man eine Nachricht verschickt hat, beispielsweise mit einen kostenpflichtigen Zusatzdienst.

Das Fazit der c't:

Die Bürger dürften allerdings den neuen E-Mail-Diensten kritisch gegenüberstehen. Während Unternehmen und Behörden viel Porto sparen, bekommen Privatkunden mehr Pflichten aufgebürdet als bei der Zustellung der Papierpost und müssen einem System vertrauen, von dem noch nicht bekannt ist, ob es wirksam gegen Angriffe und Spam-Attacken geschützt ist und die Korrespondenz dort sicher aufgehoben ist.

Mailprogramme mit PGP/GnuPG-Unterstützung


Als Ergänzung zum letzen Webmontag-Vortrag eine Liste von E-Mail-Programmen, die mit verschlüsselten E-Mails nach dem OpenPGP-Standard umgehen können:

Linux

  • Claws Mail (Sylpheed): GPG-Unterstützung integriert (ein sehr mächtiges Mailprogramm für Linux und Windows)
  • Evolution: GPG-Unterstützung integriert
  • KMail: GPG-Unterstützung integriert
  • Mutt: GPG-Unterstützung integriert (ein Konsolenprogramm, bietet die beste GPG-Integration aller mir bekannten Mailprogramme)
  • Thunderbird: Mit dem Plug-In Enigmail (leider gibt es immer noch keine Version für 64-Bit-Betriebssysteme)

OS X

Windows

  • Becky! 2: Mit dem Plug-In BkGnuPG
  • Claws Mail (Sylpheed): GPG-Unterstützung integriert (ein sehr mächtiges Mailprogramm für Linux und Windows)
  • Eudora: Mit dem Plug-In EudroaGPG
  • Outlook 2003: Mit dem Plug-In GpgOL, Bestandteil von GPG4win
  • Outlook Express: Mit dem Plug-In GpgEX, Bestandteil von GPG4win
  • Pegasus: Mit dem Plug-In QDGnuPG
  • PostMe: GPG-Unterstützung über mitgeliefertes Plug-In integriert
  • The Bat!: GPG-Unterstützung integriert

Andere

  • Gnus: GPG-Unterstützung integriert (via MailCrypt)

Webmontag: E-Mail-Verschlüsselung mit OpenPGP


Das passte doch mal zur gerade aktuellen Diskussion zum Thema DE-Mail und ePost: Beim Kieler Webmontag habe ich vorgeführt, wie schnell man Verschlüsselung in Thunderbird einbauen kann (Menü Add-Ons, Enigmail auswählen und installieren und dann dem Einrichtungsdialog folgen). Anschließend gab es ein paar Folien zum Thema asynchrone Mail-Verschlüsselung mit OpenPGP, die von einer angeregten Diskussion über den Sinn von verschlüsselter Kommunikation begleitet worden ist.

Während es für viele interessant ist, verschlüsselt kommunizieren zu können, scheint die Einrichtung von OpenPGP erstmal abzuschrecken. Und der Google/Gmail-Fraktion scheint Mailverschlüsselung generell nutzlos zu sein, da man ja auch gleich Wohnung und Rechner verwanzen könnte und damit wieder Zugriff auf die verschlüsselten Daten bekommen würde.

Screenshot Slide Webmontag OpenPGP

Die Wandlung von Facebooks Datenschutzreklärung


Die Electronic Frontier Foundation hat in einer Zeitleiste die Veränderungen der Datenschutzbestimmungen von Facebook dokumentiert. 2005 hieß es noch, dass niemand auf die eigenen persönlichen Daten zugreifen kann, wenn man dem nicht explizit zugestimmt hat:

No personal information that you submit to Thefacebook will be available to any user of the Web Site who does not belong to at least one of the groups specified by you in your privacy settings.
Heute, das heißt im April 2010, gibt die EFF den Stand der Dinge wie folgt wieder:
When you connect with an application or website it will have access to General Information about you. The term General Information includes your and your friends’ names, profile pictures, gender, user IDs, connections, and any content shared using the Everyone privacy setting. ... The default privacy setting for certain types of information you post on Facebook is set to “everyone.” ... Because it takes two to connect, your privacy settings only control who can see the connection on your profile page. If you are uncomfortable with the connection being publicly available, you should consider removing (or not making) the connection.

Sobald man bei Facebook eingeloggt ist, kann man sich nicht mehr sicher sein, wer alles über einen Informationen einsammelt.

Weiterlesen: Facebook's Eroding Privacy Policy: A Timeline.

[via vowe]

Neu: Newsletter


Vor einiger Zeit hatte ich hier gefragt, ob Interesse an einem Newsletter des E-Learning-Blogs besteht. Natürlich kann das Blog via RSS Full-Feed gelesen werden, aber ich vermute, das viele Leser ein E-Mail-Abonnement begrüßen würden. Bei der hierzu eingerichten Umfrage haben in der Tat 26% dafür gestimmt, einen Newsletter mit anzubieten. Es sind eine Reihe an sehr interessanten Rückmeldungen über Kommentare, Twitter und E-Mail eingegangen. Dafür nochmal ein großes Dankeschön.

Für mich ist dadurch klar geworden, den Newsletter anzubieten. Abonnieren kann man ihn seit kurzem im rechten Menü unter dem Punkt Newsletter. Geplant ist eine monatliche Zustellung mit den vergangenen Blogeinträgen. Weiterlesen …

Von Cloud Computing und DE-Mail


Im Cloud Computing liegt ja, wenn man den einschlägigen Branchendiensten vertrauen darf, die Zukunft der IT. Dass dieses Business exisitert, merkt man als normaler Anwender unangenehmer Weise daran, dass man bei Besuchen einschlägiger Social Websites via NoScript das Nachladen von JavaScript von weiteren Websites zulassen muss (beispielsweise von googleapis.com und oder Amazon Web Services).

Das von T-Mobile unter dem Namen vertriebene Gerät Sidekick basiert ebenfalls auf so etwas wie Cloud Computing. Hergestellt wird es von dem Unternehmen Danger (das wiederum Microsoft gehört) und heißen tut es eigentlich Hiptop. Hiptop funktioniert nun nur mit der Serverinfrastuktur von Microsoft/ Danger, viele (wenn nicht sogar die meisten) Daten wie Kontaktinformationen werden nicht im Gerät selbst gespeichert sondern auf den Servern. Und folgende Meldung könnte man dann durchaus als Fiasko bezeichnen (Quelle Sidekick T-Mobile Forums):

Regrettably, based on Microsoft/Danger's latest recovery assessment of their systems, we must now inform you that personal information stored on your device - such as contacts, calendar entries, to-do lists or photos - that is no longer on your Sidekick almost certainly has been lost as a result of a server failure at Microsoft/Danger. That said, our teams continue to work around-the-clock in hopes of discovering some way to recover this information. However, the likelihood of a successful outcome is extremely low.

Diese Meldung passt nun schön zu einer weiteren Nachricht dieser Woche: Unser Staat bastelt an einem rechtsverbindlichen E-Mail-System. Betreiber wird unter anderem die T-Systems sein, die wie T-Mobile zur Telekom gehört. Während die Projektbeteiligten natürlich schwören, dass das System perfekt funktionieren wird, befürchten andere, dass man als einfacher Nutzer in Zukunft in die unangenehme Situation geraten könnte, beweisen zu müssen, ein Rechtsgeschäft nicht abgeschlossen zu haben (eine ähnliche Situation haben wir heute bei via EC-Karten leergeräumten Konten, da wird auch unterstellt, dass man die dazugehörige PIN weitergegeben hat).

[via vowe und isotopp]

Zeitungsmeldungen vom Wochenende


Nein, kein Wahlbeitrag ;-) Oder vielleicht doch.

Lernen, Bildung. Dazu sind in der Zeit zwei schöne Beiträge. Unter Wissen wird der Arbeitstag der Schulleiterin Margret Rössler beschrieben. Rössler ist gelernte Lehrerin, das, was sie als Schulleiterin macht, würde man in der Wirtschaft als Management bezeichnen. Aus dem Beitrag Täglich nachsitzen:

Wer sie einen Tag lang begleitet, versteht, warum Bildungsforscher diese Position als die wichtigste im Schulsystem bezeichnen – und wieso gleichzeitig immer weniger Lehrer diesen Beruf ergreifen wollen.

In der gleichen Ausgabe im Chancen-Teil ein Bericht über die Studie der Hochschul-Informations-Systems GmbH (HIS), bei der herausgekommen ist, was eigentlich alle schon immer gewusst haben: Die Bewilligung von Begabtenstipendien hängt zu einem großen Teil von der sozialen Herkunft ab. Die Studie ist schon ein paar Monate alt, die Zeit hat aber selbst noch ein wenig recherchiert. Aus gutem Hause (in der Online-Ausgabe lautet der Titel übrigens Begabtenförderung: Wer hat, dem wird gegeben):

Die Steuergelder für die Begabtenförderung werden vom Bundesbildungsministerium auf elf Stiftungen verteilt, die durch ihre unterschiedliche Ausrichtung das gesellschaftliche Spektrum in der Bundesrepublik widerspiegeln sollen. Bisher unveröffentlichte Einzelauswertungen aus der Studie weisen nun auf erhebliche Unterschiede zwischen den Förderwerken hin und machen die einseitige soziale Zusammensetzung der Stipendiaten einzelner Stiftungen besonders deutlich.

Während etwa bei der gewerkschaftsnahen Hans-Böckler-Stiftung nur 43 Prozent der Stipendiaten eine »gehobene« oder »hohe« soziale Herkunft haben, beträgt der Anteil in diesen beiden Kategorien bei der CDU-nahen Konrad-Adenauer-Stiftung, dem katholischen Cusanuswerk und der Stiftung der deutschen Wirtschaft zwischen 75 und 80 Prozent. Aus Arbeiterfamilien kommen dort lediglich sechs Prozent.

Urheberrecht, Online-Überwachung, Bürgerrechte und Privatsphäre sind ebenfalls Themen, die mich beschäftigen. Die Münchner S-Bahn-Morde haben wieder die Forderungen nach mehr Videoüberwachung und stärkeren Sanktionen laut werden lassen. Aber anstatt mehr Videoüberwachung und schärfere Gesetze zu fordern, könnte man auch einfach mal an das naheligendste denken, nämlich Polizisten wieder auf Streife zu schicken. Dazu aus dem Kommentar Amtscourage von Volker Zastrow in der linker Umtriebe unverdächtigen Frankfurter Allgemeinen Sonntagszeitung:

Aber die Wahrheit ist eine andere: Die Polizei hat sich aus dem öffentlichen Raum zurückgezogen, und zwar gerade dort, wo es gefährlich ist, wo die öffentlichen Verkehrsmittel Menschen verbinden und zusammenzwingen, die einander sonst aus guten Gründen aus dem Wege gehen. Nichts anderes bedeutet die feige, bigotte Forderung von Polizisten, Polizei-"Gewerkschaftern", Polizei-Psychologen und Politikern, die Gesellschaft solle gefälligst selbst für ihre Sicherheit sorgen. Zivilcourage soll die Staatsgewalt ersetzen, der Gewaltmonopolist bringt nicht einmal Amtscourage auf, flieht aus der Pflicht.

Zum Thema Sanktionen fällt mir wieder mein Studium zum Sozialpädagogen ein. Das war in der Kohl-Ära nach der Wiedervereinigung, man fing gerade an, die Gelder für Jugend- und Famlienarbeit zusammenzustreichen. Schon damals wurde vorhergesagt, dass das, was jetzt in der Prävention gespart wird, in der Zukunft hundertfach zurückgezahlt werden muss.

BSI und Google Wave: Googles Services weiterhin in der Kritik


Aus dem aktuellen Lagebericht des Bundesamts für Sichrheit in der Informationstechnik (BSI):

Google Wave ist derzeit nur mit einem Google-Nutzerkonto nutzbar. Alle Google-Wave-Daten liegen auf Google-Servern. Damit gilt für Google Wave dieselbe Kritik, die durch Daten­ schützer und das BSI an Google Mail, Google Docs, Google Calendar und anderen Online-Diensten des Unternehmens geübt wurde: Der Nutzer verliert vollständig die Kontrolle über seine Daten.

Daher ist eine Nutzung von Google Wave (ebenso wie eine Nutzung der anderen Google-Dienste) sowohl aus IT-sicherheitstechnischen Gründen als auch aus Sicht des Datenschutzes aktuell nicht zu empfehlen.

Der offene Ansatz des Google Wave Federation Protocol ist zu begrüßen, kann aber die negative Gesamteinschätzung nicht ändern. Soll­te zukünftig eine verteilte, gesicherte und kontrollierbare Datenhaltung mit Google Wave möglich sein, muss diese Bewertung neu vorgenommen werden. Zudem kann derzeit noch nicht vorhergesagt werden, ob das neue Paradigma „Wave“ überhaupt eine breite Nutzer­ und Entwicklerakzeptanz finden wird.

In dem Dokument ist auch nochmal die schöne Grafik von F-Secure mit der Verteilung der infizierten Dateiformate. PDFs (mit dem Zielvektor Adobe Reader) sind die meistinfizierten Dateien.

Syndicate content