Software

Gerade kam ein Update von NoScript für die "Do Not Track" (DNT) Opt-out Header Funktion, die seit 2.0.9 enthalten ist - sprich Browser sendet an jede Website zusätzlichen Tracking Opt-out Header.

Lt. X-Do-Not-Track support in NoScript:

"From now on, a web browser with NoScript installed warns every HTTP server it contacts that its user does not want to be tracked, i.e. that his data must not be collected for profiling and persistent identification purposes. I believe this is a safe assumption about the feelings of most if not all NoScript users."

Richtig.

"As stupid as it may sound (why parties who are interested in tracking you would comply?),"

Eben. Stupid.

"a mean to clearly express your will of not being tracked is going to be useful, especially when backed by law or industry self-regulation, as explained here."

Nicht "besonders", sondern ausschließlich dann, wenn oder sobald die Auswertung und Beachtung von DNT gesetzlich vorgeschrieben ist. Selbstregulierung ist keine Option, sondern nur eine Taktik von Unternehmen und der Politik, einer gesetzlichen Regulierung im Interesse von Internetnutzern, Bürgern und Kunden zu entgehen.

"Therefore it seems in the interest of NoScript users and privacy-concerned netizens in general to participate in this effort."

Nein. Solange die obige Bedingung nicht erfüllt ist, trägt der Header nur zum Browser Fingerprint bei und identifiziert die User, die Anti-Tracking Erweiterungen installiert haben. Der DNT Header wird damit selbst zum Tracking Opt-in Header. Außerdem ist es wenig sinnvoll, wenn Erweiterungen anfangen, schlecht dokumentierte oder von Browseranwendern nicht beachtete bzw. nicht zu ändernde Header Manipulationen durchzuführen.

In diesem Sinne rate ich dazu, noscript.doNotTrack.enabled auf false zu setzen.

Wer Privoxy einsetzt - in die Filterdatei einsetzen:

CLIENT-HEADER-FILTER: kill-optout-header Header filter to remove Do-Not-Track headers.
s@^X-(?:Behavioral-Ad-Opt-Out|Do-Not-Track):.*@@i

In eine Actiondatei (z. B. match-all.action) einsetzen:

+client-header-filter{kill-optout-header} \

bewirkt dann global das:

Re-Filter: filtering 'X-Behavioral-Ad-Opt-Out: 1' (size 26) with 'kill-optout-header' ...
Header: Transforming "X-Behavioral-Ad-Opt-Out: 1" to ""
Re-Filter: ... produced 1 hits (new size 0).
Header: Removing empty header
Re-Filter: filtering 'X-Do-Not-Track: 1' (size 17) with 'kill-optout-header' ...
Header: Transforming "X-Do-Not-Track: 1" to ""
Re-Filter: ... produced 1 hits (new size 0).
Header: Removing empty header

In "Vermummungsverbot im Internet": Vom neuen Personalausweis und Pseudonymen singt Detlef Borchers das hohe Lied vom nPA Pseudonym. Schön und gut, vielleicht auch gut gemacht.

Der Schlüsselsatz ist imo aber "Anbieter, die die Pseudonym-Funktion unterstützen, werden normalerweise eine Erstregistrierung auf ihren Seiten einpflegen, bei der sich ein Nutzer mit einem frei wählbaren Namen und/oder einer E-Mail-Adresse einträgt."

Nicht "und/oder", denn mehrheitlich wird eine E-Mail Adresse anzugeben sein, denn irgendwohin wird der Anbieter Meldungen zur Bestätigung, später bei Fehlern im System, neuen Funktionen usw. usf. senden müssen und wollen. Also brauchen wir auch eine (zumindest) pseudonyme E-Mail Adresse, denn das Angebot soll ja pseudonym und müsste anonym genutzt werden.

Nun stellen wir uns ganz dumm oder die ideale Welt vor, die sich auch der ansgesprochene CDU-Politiker Axel E. Fischer eträumt. In dieser Welt gibt es keine x-beliebigen E-Mail Anbieter mehr, die ohne vorherige korrekte Identifizierung des neuen Kunden mir nichts, dir nichts E-Mail Adressen und Konten verschenken und die Nutzung ihres Dientes anonymisiert erlauben. In dieser Welt soll das Schule machen, was man De-Mail nennt. Ein Modell für die Welt. Also De-Mail oder De-Mail-artige E-Mail Anbieter, bei denen die Eröffnung und Nutzung von E-Mail Konten ebenfalls an vorherige Identifizierung gebunden ist - am Besten mit so etwas wie dem nPA. Aber die De-Mail hat ja auch ein schönes pseudonymes Feature - die Einrichtung pseudonymer E-Mail Adressen. Die sind aber per De-Mail Gesetz nicht nur als solche zu kennzeichnen, sondern sie müssen zwingend aufdeckbar sein. Und mit so einer pseudonymen E-Mail Adresse meldet man sich dann in dieser idealen Welt mit seinem nPA beim Dienste-Anbieter an, um ein pseudonymes Dienste-Konto zu erhalten.

Schick sieht sie ja aus, die Features stimmen und auf Hardware im "Secure All–Terrain Shock–proof rugged design", um ein paar der Attribute zur Vermarktung der externen LaCie Rugged Safe Festplatte zu nennen, stehe ich eh.


Aber was ist das für ein Blödsinn, zwar eine Verschlüsselung per AES-128 (es kann auch a bisserl mehr sein) und Chip anzubieten, zu der LaCie natürlich wie so viele Hersteller auch verspricht, dass sie "unbrechbar" implementiert sei, aber in die Festplatte einen Fingerabdruck-Sensor einzubauen. Macht man das nur deshalb, weil es mittlerweile üblich, möglich und von den Kosten her annehmbar ist, überall biometrische Verfahren und Techniken für die Authentifizierung und Entschlüsselung zu verbauen?

Großartig beworben wird das Produkt mit der Möglichkeit, neben der Eingabe eines Passworts ganz einfach mit dem Scannen und Abgleich eines einzelnen Fingerabdrucks Zugriff auf die zuvor verschlüsselten Daten zu erhalten. Das wird natürlich Sicherheitsbehörden freuen, wenn sie die LaCie Festplatte beschlagnahmen und nur noch einen Finger des Besitzers auf den Sensor halten müssen, anstatt den Versuch zu starten, das Passwort aus dem Besitzer herauszupressen. Und damit es dabei keine Ausfälle gibt, kann sich der Besitzer der Festplatte auch alle zehn Fingerabdrücke einscannen - prima.

Das gilt natürlich auch für Diebe, wenn die Besitzer und Festplatte zugleich "abgreifen" können und für beide Interessenten der verschlüsselten Daten gilt, dass es ja auch noch die Möglichkeit gibt, sich mit nachgebildeten Fingerabdrücken an dem Sensor zu versuchen, von dem es in dem User Manual auf die FAQ "What is the probability that a fingerprint from an unauthorized user can unlock the Rugged Safe?" nur die beschwörende Antwort gibt: "Such an event is nearly impossible due to the biometry technology. Each human has his own biological identity, including unique fingerprints, thus making unauthorized entry all but unthinkable. To provide further assurance, LaCie has selected a sensor known for its precision." Wer's glaubt, wird seelig.

Was ich noch verstehen und mir vorstellen könnte, wäre eine 2-Wege Authentifizierung/Entschlüsselung, also Fingerabdruck plus zwingendem Passwort.


Oder noch besser: Wenn in externen Festplatten ein USB-/SmartCard Reader integriert wäre, mit dem ich meinen OpenPGP CryptoStick der German Privacy Foundation und dessen PIN zur Authentifizierung/Entschlüsselung nutzen könnte. Das wäre doch mal was, liebe Hersteller externer Festplatten Bis dahin bleibe ich lieber bei TrueCrypt und dm-crypt/LUKS verschlüsselten Partitionen.

Der beliebte und bekannte Scroogle Proxy Dienst hat aktuell Probleme mit Google, wie zu lesen ist, wenn man Scroogle aufruft bzw. eine Suchanfrage absetzt: Da Scroogle immer ganz praktisch bei der Nutzung von Tor war, um den lästigen "We're sorry" Meldungen und Captcha Anfragen zu entgehen, muss schnell ein temporärer Ersatz her: Entweder man nimmt Ixquick oder man sucht sich bei Mycroft einen anderen Ersatz und kann dann dort direkt das passende Search Engine Plugin in Firefox installieren.

Mit zwei Anonymouse oder auch dem "Ninja" Plugin klappt das ganz gut. Und da eh alle Suchanfragen bei mir per Privoxy und Tor gefiltert und anonymisiert an den Suchdienst rausgehen... Aber mir wäre lieber, wenn das Scroogle wieder geregelt bekommt Nur wenn man einen Suchdienst erwischt, den Google selbst als "Gefährder" einstuft oder der Suchdienst die IP des Tor Exit Node an Google weiterreicht, kann man wieder schlechte Karten bei Google haben.

Update: Mal wieder viel Geschrei um nix, laut Scroogle scrapes back to life kann wieder gescroogelt werden

Siehe auch:
Heise - EU-Datenschützer fordern echte Anonymisierung von Suchanfragen (27.05.2010)

Die Electronic Frontier Foundation (EFF) bietet mit Panopticlick ein nettes Spielchen (oder Experiment) mit ernstem Hintergrund für alle Internetuser an, die sich für die Anonymisierung ihrer Browser- bzw. WWW-Nutzung interessieren oder anders gesagt, wie ihr Webbrowser konfiguriert ist und deshalb welche Informationen ausspuckt, die er mit einer Teilmenge der Browser anderer Nutzer in einer gegebenen Gesamtmenge gemeinsam hat oder auch nicht. Noch einfacher: "Zeig mir, welchen Browser und wie Du ihn nutzt und ich sage Dir, wer Du bist und wo Du bist". Die meisten Internetnutzer dürfte es nicht interessieren

Den ernsten Hintergrund bildet die Identifizierung und Wiedererkennung von Webbrowsernutzern - das Optimum wäre: stets ein und desselben Nutzers, Verfolgung der Nutzung oder des Konsums von Webseiteninhalten über Webseiten und Websites hinweg und seine Geolokalisierung, an der sich Nutznießer und Auftraggeber der Werbeindustrie, manche Internet-Zugangsprovider, Dienste- und Inhalteanbieter oder auch Geheimdienste versuchen.

Ähnlich wie beim Anontest vom JonDonym Anonymisierungsdienst oder bei browserspy.dk wertet Panopticlick den charakteristischen User-Agent und HTTP_ACCEPT Header aus und sofern Javascript aktiviert ist (was bereits ein Kriterium an sich ist), installierte Browser Plugins, Zeitzone, Bildschirmauflösung, Farbtiefe, Systemschriften, ob Cookies und "Supercookies" per Flash LSOs und DOM-Storage möglich sind. Bei EFFs Panopticlick werden die Daten aber nicht nur für jeden einzelnen User ausgewertet, angezeigt und wieder verworfen, sondern anonymisiert in einer Datenbank gespeichert und mit den Datensätzen aller anderen User abgeglichen, um zur besagten Aussage zu kommen, wie einzigartig und identifizierbar man in der Gesamtmenge ist. Also die gleiche Aussage, an der auch die angesprochenen Kreise interessiert sind. Je mehr und länger User mit ihren verschiedenen Betribessystemen, Browsern und Konfigurationen mitmachen, desto aussagekräftiger wird der Scorewert, den man nach dem Panoption Test erhält und desto aussagekräftiger die Antwort, die man sich von dem Panopticlick Experiment seitens der EFF erhofft: Wie gut lassen sich mit "Web-Tracking" Methoden digitale Fingerabdrücke für Browsernutzer erstellen und wie effektiv sind sie?

Einschränkend muss man sagen, dass man eigentlich umso besser in der Menge aller Browsernutzer verschwinden müsste, je mehr man den eigenen Browser genauso nutzt wie die Mehrheit oder zumindest der Durchschnitt aller Internetnutzer - wie ich annehme: mit veralteten Versionen, mit allen nur denkbaren Plugins und Erweiterungen vollgeknallt bis zum Anschlag, Javascript und Flash schön aufgedreht, Cookies immer dabei und natürlich ohne Anonymisierung

Kleiner Tipp zur neuesten Firefox-Version am Rande: Die finden ja nicht nur diese überflüssigen Minimalthemes names "Personas" ganz toll, sondern auch die Geo-Lokalisierung per Google Lokalisierungsdienste, die man aber laut Anleitung einfach und generell deaktivieren kann. Wird aber auch nur eine Teilmenge der Teilmenge abschalten, wie ich die feature-geilen Internetuser kenne.

Siehe auch:
EFF - Web Browsers Leave 'Fingerprints' Behind as You Surf the Net (17.05.2010)

So lautet die verquaste und nebulöse Zielbeschreibung eines der neuen Programme des Strategic Technology Office der DARPA, die sie ständig ausstößt, anlässlich der Einladung zu einer ersten Informationsveranstaltung für interessierte Forschungseinrichtungen und Unternehmen, die während der vierjährigen Laufzeit von den 43 Millionen US$ profitieren wollen, die für das Cyber Genome Programm von der DARPA ausgeschüttet werden.

Diskussionen, Programme und Politik zu Cyber-Defense, Cyber-Crime, Cyber-Spionage, Cyber-Terrorismus und Cyber-War haben ja international und insbesondere in den USA zur Zeit Hochkonjunktur. Nach den konventionellen Kriegen der Vergangenheit und Gegenwart, den Drohungen von Kriegen und Anschlägen mit ABC-Waffen, nachdem auch der Orbit mit Spionagesatelliten und militärischen Abwehrsystemen kolonisiert wurde und die kleine oder organisierten Kriminalität im Real-Life plagt, drängen sich seit einiger Zeit die militärischen und polizeilichen Fronten im Internet und in Netzwerken in den Mittelpunkt.

Je nach Ausrichtung sind es mal wieder die "Horden der gelben Gefahr", die ihre Hacker- und Spionagebrigaden ins virtuelle Feld führen oder die "ausländischen Spione des Westens", die zu "Cyber" Krieg und "Cyber" Spionage blasen. Übergreifend geeint im Krieg gegen einen nicht-staatlichen "Cyber" Terrorismus als Fortsetzung des "Krieges gegen den Terror" mit Militär- und Polizeinsatz außerhalb der Netze, der bis jetzt mehr als Schreckgespenst existiert. Und wäre es nicht schrecklich genug, gibt es auch noch das große Feld der "Cyber" Kriminellen, denen – wenn man den Pressemeldungen und -mitteilungen folgen will – tagtäglich Millionen zum Opfer fallen und die Millionen von Internetnutzern, die sich "cyber-kriminell" betätigen können oder das Potential zum "Cyber-Kriminellen" oder "Cyber-Terroristen" in sich bergen, wenn man sie und das Netz nicht der fürsorgenden und strengen Regulierung, Kontrolle, Überwachung und Strafverfolgung unterwirft.

Tatsächlich gibt es vieles vom "Cyber-Bösen" – mehr oder weniger. Eben vieles, was auch außerhalb der Netze und Netzwerke existiert und sich technisch umsetzen lässt. Ist ja eine Binsenweisheit. Deshalb ist verständlich, dass man auch in Unternehmen, staatlichen Institutionen, Netzwerken und im Internet tatsächlichen Bedrohungen und Gefahren mit sinnvollen und abgewogenen Maßnahmen und Techniken begegnet. Das sich darüber alle Geister streiten und das Pendel im letzten Jahrzehnt immer mehr und einseitig in Richtung Sicherheit und Ordnung ausgeschlagen ist, dürfte klar sein.

So mag auch ein Projekt wie das "Cyber Genome Programm" wie viele ähnliche Programme nur ein zweckmäßiger Ansatz zur Bekämpfung des "Cyber-Bösen" sein, wenn es nicht schon aufgrund seiner nebulösen Umschreibung nach Dingen wie Techniken zur "Online-Durchsuchung", der Deep Packet Inspection Durchleuchtung in Systemen wie Einstein, dem Durchsieben des Netzwerkverkehrs mit Überwachungsprogrammen, der Nutzeridentifizierung oder der IP-Spurverfolgung stinken würde. Zumal, wenn eine eine Behörde des US-Militärs, das sich auf dem Gebiet der "Sammlung, Identifizierung, Charakterisierung und Einordnung" biometrischer Merkmale sehr engagiert zeigt, davon anfängt, Begriffe und Techniken der DNA- und Genom-Analyse auf uns und unsere Daten zu übertragen.

Siehe auch:
NewScientist - A telescope that sets its sights on cyber-crime (04.02.2010)
Federal Computer Week - DARPA: Calling all cyber geneticists (29.01.2010)
Federal Computer Week - DARPA eyes digital fingerprints to track computer attacks (26.01.2010)
Heise - Europäischer Polizeikongress: Deutschland stellt sich der Cyber-Herausforderung (02.02.2010)

Etwas aus der Gerüchteküche zur VoIP Lösung Skype auf der gerade in London stattfindenden "Counter Terror Expo '09" liefert uns heute der Register Beitrag NSA offering 'billions' for Skype eavesdrop solution. Wie es in dem Beitrag heißt, habe ein CEO eines Unternehmens, das den Geheimdiensten Equipment zuliefert, gesteckt, dass die NSA wie auch andere Geheimdienste und Polizeibehörden so genervt von der P2P Weiterleitung der Gespräche und der Verschlüsselung mit Ebays Skype sei, dass die NSA in der Szene mit dem Angebot hausieren würde, der Firma, die der NSA eine Lösung anbieten könne, um jedes Skype Gespräch abzufangen (sonst hätte es ja keinen Sinn) und die Verschlüsselung zu knacken, mit Milliarden reich belohnen würde.

Nun ja, das Gerücht wäre genauso gut als Versuch geeignet, den Glauben der Skype-Nutzer an den Schutz ihrer Gespräche weiter zu schwächen. Etwas fies merkt der Register an, dass sich doch Ebay selbst den "Bonus" für ein NSA Backdoor in die Tasche stecken könnte. Gar nicht so abwegig, wenn man sich anschaut, wie Ebay und Skype in China agiert.

Zur "De-Mail", den sogenannten "Bürgerportalen", dem "Datensafe", dem damit verbundenen elektronischen Personalausweis (ePA) mit dessen elektronischer Identifizierungsfunktion (eID) habe ich u. a. in den Beiträgen E-Gov 2.0 Perso 2.0 für Big Brother 2.0, Elektronische Ausweise und Portale für den kontrollierten Portalbürger, Gesetzentwurf zu elektronischem Personalausweis und elektronischer Identifizierung oder Bitte halten Sie Ihren ePA an das Lesegerät mehr als genug geschrieben und ihnen auch nichts weiter hinzuzufügen.

Zum heutigen Beschluss des Gesetzentwurfs zur Regelung von Bürgerportalen und zur Änderung weiterer Vorschriften des Bundesinnenministeriums durch die Bundesregierung, erklärte unser Bundesinnenminister in der Pressemitteilung des BMI: Ich erkläre dagegen, dass ich Euren ePA mit RFID Funkchip, biometrischer Erfassung, eID und Eure "De-Mail Infrastruktur" nicht benötige, denn mit TLS/SSL verschlüsseltem Versand und Erhalt meiner E-Mails für den Transport, der Anwendung von OpenPGP für die Inhaltsverschlüsselung und dem Gebrauch von Tor, I2P Mail und Remailern kann ich genauso gut und dazu weniger kontrolliert "zuverlässig, sicher und vertraulich" per E-Mail ohne "unerwünschtes Mitlesen" kommunizieren. Wenn es sein muss, auch per S/Mime, aber hier kamen nie S/Mime verschlüsselte E-Mails an. Ich brauche genauso wenig wie die Anti-Spam "Features" bei irgendwelchen E-Mail Providern Euer "De-Mail" Anti-Spam System, um von Spam unbelastet meine E-Mails und Mailinglisten zu lesen. Und schon gar nicht brauche ich irgendeinen "Datentresor" bei irgendeinem Bürgerportal-Provider, denn ich verlasse mich lieber auf meine eigene Datensicherung und -verschlüsselung.

Insbesondere, wenn solche Angebote von den gleichen Leuten kommen, die Vorratsdatenspeicherung, das BKA-Gesetz, das BSI-Gesetz und all die anderen Sicherheitsgesetze verbrochen haben.

Das Einzige, was ich damit nicht kann, ist der Erhalt und Versand von E-Mails mit Verschlüsselung und Signaturen durch "rechtssichere" Zertifikate. Aber sollte ich die eines Tages benötigen, würde ich mir lieber eine Signaturkarte und ein Lesegerät kaufen, als mir Euren ePA und Eure "De-Mail" andrehen zu lassen, wenn es sie dann noch gibt oder sie erlaubt sind. Ihr werdet schon alles daransetzen, dass die "De-Mail" und "ePA" Verweigerer irgendwann direkt oder indirekt diskriminiert werden.

Die rhetorische Frage "Geht mit De-Mail die E-Post ab?", die Ihr durch Euren "Bundes-CIO" ausrichten lasst, beantworte ich deshalb für mich ganz einfach mit: Siehe auch:
Bundesbeauftragter für Datenschutz / Informationsfreiheit - Schaar sieht Verbesserungsbedarf beim Bürgerportalgesetz (04.02.2009)
beck-Blog - Entwurf zum Bürgerportalgesetz liegt vor: De-Mail für Alle soll pro Jahr bis zu 1,4 Mrd € sparen (04.02.2009)
sicherheitsblog - Das Bürgerportalgesetz: De-Mail im Detail (04.02.2009)
BMI - De-Mail geht in die Testphase: So einfach wie E-Mail und so sicher wie die Papierpost (08.10.2009)

P.S.: Da nicht alle den Links folgen: Die obige Grafik ist ohne "No" Bestandteil der BMI-Pressemitteilung zum Beschluss des Bürgerportal-Gesetzes.