Category Archives: Stupid

One more thing …

This is normally the phrase when every serious fanboy gets very excited at Apple’s Keynote. What Jonathan Zdziarski – a forensic scientist – recently summarised in his talk “Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices” at the Hope X conference is the other one more thing that any Apple addict should be (made) aware of and that probably might cause a quite different sense of excitement. In short his summary reads like this:

  • Apple is dishing out a lot of data behind our backs.
  • —It’s a violation of the customer’s trust and privacy to bypass backup encryption.
  • There is no valid excuse to leak personal data or allow packet sniffing without the user’s knowledge and permission.
  • Much of this data simply should never come off the phone, even during a backup.
  • Apple has added many conveniences for enterprises that make tasty attack points for .gov and criminals.
  • Overall, the otherwise great security of iOS has been compromised… by Apple… by design.

Beside a detailed analysis and various objective attempts to understand the intentions behind the non-advertised functionality that is available on any iOS device, he also has a proposal on what questions to bring to your next appointment at the Genius Bar:

  • Why is there a packet sniffer running on 600 million personal iOS devices instead of moved to the developer mount?
  • Why are there undocumented services that bypass user backup encryption that dump mass amounts of personal data from the phone?
  • Why is most of my user data still not encrypted with the PIN or passphrase, enabling the invasion of my personal privacy by YOU?
  • Why is there still no mechanism to review the devices my iPhone is paired with, so I can delete ones that don’t belong?

The slides of his talk are based on his journal paper in the International Journal of Digital Forensics and Incident Response.

Sharp tongues may now tend to imagine Apple representatives sitting together with government people. As soon as the negotiations about regulations relaxation, tax incentives, and grants get stuck, a fruitseller might raise her/his voice: “Actually … there is one more thing.” Probably this is just an insane, hysteric delusion within the context of some recent disclosures.

But what if these methods are exploited by criminals, especially those whose original mission never was to protect us?

Böses WhatsApp

Ein Sturm der Empörung läuft gerade über sämtliche Gruppenchats bei WhatsApp. Egal ob Freunde, Kollegen oder Freizeitclub:

“… ab morgen bin ich raus, ich schmeiß dieses böse WhatsApp runter und bin nur noch über [dazu kommen wir noch] erreichbar!”

Aber was ist passiert? Facebook hat WhatsApp und seine 450 Millionen Nutzer für 19 Milliarden Dollar gekauft. Nun kommt die große Angst, dass Facebook eifrig Werbung schaltet und fleißig mitschneidet inkl. Direktzugriff für die NSA.

Und davor? Dass WhatsApp einfach das komplette Smartphone-Adressbuch abgreift oder berüchtigt ist für seine Sicherheitslücken (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, …) hat bisher niemanden gestört.

Und jetzt? Also nichts wie raus und rüber zu … scheinbar gibt es keine andere Alternative mehr als Threema. Schlüssiges Sicherheitskonzept und dann auch noch mit Servern in der Schweiz, wo bisher auch das Schwarzgeld sicher gewesen ist. Abgesehen davon, dass man nie wissen kann, auf was für Ideen die Eidgenossen für ihren nächsten Volksentscheid kommen, ist das Problem aber ein ganz anderes.

Der große Wunsch ist die Sicherheit und die Wahrung der Privatsphäre. Threema verspricht dies durch Ende-zu-Ende-Verschlüsselung der Nachrichten. Es bedient sich dabei öffentlicher kryptographischer Algorithmen (asymmetric ECC lt. FAQ). D.h. die Funktionsweise des Algorithmus ist der Allgemeinheit frei zugänglich. Durch die im Algorithmus verwendeten individuellen Schlüssel wird sicher gestellt, dass die zu schützenden Informationen auch vertraulich bleiben. Mit anderen Worten hat jeder seine Schlüssel zum eigenen Geheimnis, aber der “Bauplan” des verwendeten Schlosses ist öffentlich. Für kryptographische Algorithmen hat sich dieses Konzept seit Jahrzehnten bewährt und durchgesetzt. Unabhängige, externe Experten haben so jederzeit Einsicht in die Algorithmen und können mögliche Sicherheitslücken oder Schwachstellen identifizieren. Die Sicherheit des jeweiligen Algorithmus wird so von der Allgemeinheit validiert, verbessert oder widerlegt. Das schafft erst das Vertrauen und garantiert den Schutz der Privatsphäre.

Zurück zu Threema, WhatsApp oder jeder anderen proprietären Software, die sicheres Messaging verspricht. Die kryptographischen Algorithmen sind in die schicke Software (App) eingebunden, die auf dem Smartphone installiert wird. Die Software an sich kann aber nicht eingesehen werden und essentielle Fragen wie, haben die Entwickler eventuell Fehler gemacht und existieren somit Sicherheitslücken oder ist gar absichtlich ein Backdoor natürlich nur zur Terrorbekämpfung eingebaut, bleiben unbeantwortet.

Und jetzt? Um wirklich sicher zu sein, dass eine sichere Messaging-App auch hält was sie verspricht, sollte genauso eingesehen werden können, wie diese programmiert ist und funktioniert. Im allgemeinen “Threema-Hype” sollte nicht übersehen werden, dass es auch ausgereifte Alternativen unter einer Freien Software bzw. Open Source Lizenz gibt, denen genau diese Idee zu Grunde liegt. Joshua Lund hat hierzu eine ausführliche Aufstellung und Vergleich verfügbarer Apps. Wer nicht so viel lesen will, sollte mal einen Blick auf surespot oder ChatSecure werfen.

Ok und am Ende braucht man ab sofort X unterschiedliche Messaging-Apps, je nach Präferenz der Kontakte? Genau, aber vielleicht sollte man dieses Mal sich erst selbst für die Lösung entscheiden, der man am meisten vertraut und nicht erst durch den Druck der Masse sich zu einer schlechten Alternative nötigen lassen. Wer wollte schon damals freiwillig WhatsApp installieren?

Ok und wie bewahrt man bei X Messaging-Apps noch den Überblick über die eigentlichen Konversationen? Das Gute an Freier Software bzw. Open Source ist, dass der zugehörige Source Code und das verwendete Kommunikationsprotokoll eingesehen werden kann. Damit ist neben der Gewährleistung der Sicherheit auch die Möglichkeit gegeben, eines Tages eine Messaging-App zu schreiben, die verschiedene Dienste in einer Benutzeroberfläche vereint.

Und zum Schluss noch mal alle:

Böses WhatsApp, hoffentlich machen wir dieses Mal alles richtig?

surespot LogoUpdate: Bei surespot (Google Play Store | Apple App Store) bin ich unter dem Benutzernamen “apfelkraut” zu erreichen. Und die Gruppenchat-Funktion sollte nicht mehr all zu lange auf sich warten lassen, also ganz ruhig.

Zu unserer Sicherheit

Es fehlen einem erst mal die Worte, nachdem man das ZDF Interview (YouTube, Tran­skript) von Bierdimpfl CSU-Politiker und “Innenminister” Hans-Peter Friedrich vom 12.07.2013 gesehen hat. Ihm scheint auch nicht ganz wohl bei der Sache zu sein. Trotzdem sollen an dieser Stelle – zu unserer Sicherheit – ein paar Informationen im Kontext des “Überwachungsskandals” zusammengetragen werden und wie wir uns selbst schützen können:

PRISM Logo
PRISM Logo, welches stark an ein Schallplattencover erinnern. Man könnte es auch “The Dark Side of the Earth” nennen.

Auch wenn das Überwachungsprogramm PRISM in aller Munde ist, ist es nur eines von vielen. Da wären noch Tempora, Fairview, Stormbrew, Blarney, Oakstar, … Eine kommentierte ausführliche Übersicht gibt es bei Netzpolitik.org. Heise Online hat ebenfalls eine Zusammenfassung.

Nach einem Bericht der Monterey Herald hat die U.S. Army in ihrem Netzwerk, also für sämtliche Mitarbeiter weltweit, den Zugriff auf die Webseiten des Guardians blockiert, nachdem dort die ersten Berichte zu PRISM veröffentlicht wurden. “Netzwerk-Hygiene” nennt sich das. (via Heise Online)

Continue reading

World Wide Investment Fund For Nature and More

Sind Sie für eine konstruktive Zusammenarbeit mit Monsanto und anderen Freunden der Gentechnik? Verstehen Sie unter nachhaltiger Landwirtschaft den monokulturellen Anbau von nachwachsenden Rohstoffen? Sehen Sie es als beachtlichen Erfolg, wenn dabei 0,5 % des ursprünglichen Urwaldes durch unser Engagement erhalten werden konnte und als ausschließlicher Lebensraum für alle vertriebenen Arten dient? Möchten Sie dafür spenden, dass wir mit Ihren Geldern unerschlossene Gebiete kartographieren, um sie dann nachhaltig durch die Palmölindustrie brandroden bewirtschaften zu lassen? Sind Sie für die professionelle Jagd auf Wilderer durch von Ihnen finanzierte Söldner? Dann schieben Sie jetzt Ihre Ablassabgabe rüber, so wie dies auch schon Ölkonzerne und andere, nicht ganz so ökologisch und nachhaltig ausgerichtete Großkonzerne erfolgreich gemacht haben … in manchmal, vielleicht nicht ganz so transparenten Vorgängen.

So oder so ähnlich müssten eigentlich der Werbetext für eine der größten Naturschutzorganisationen der Welt lauten, schenkt man der WDR Sendung “Der Pakt mit dem Panda: Was uns der WWF verschweigt” (ARD Seite | Mediathek) von Wilfried Huismann Glauben. Selbstverständlich stimmt das alles nicht und der WWF klärt sofort auf. Bereits die Vorankündigung wurden durch den knurrenden Panda leicht zurechtgestutzt (siehe ARD Seite).

Eine textuelle Zusammenfassung der Sendung gibt es bei der sueddeutsche.de, auch die taz.de hat mitgeschaut.

Was wohl Chi Chi dazu sagen würde?

The untold story of planned obsolescence

Did you know that the lifetime of light bulbs once used to last for more than 2500 hours and was reduced – on purpose – to just 1000 hours? Did you know that nylon stockings once used to be that stable that you could even use them as tow rope for cars and its quality was reduced just to make sure that you will soon need a new one? Did you know that you might have a tiny little chip inside your printer that was just placed there so that your device will “break” after a predefined number of printed pages thereby assuring that you buy a new one? Did you know that Apple originally did not intend to offer any battery exchange service for their iPods/iPhones/iPads just to enable you to continuously contribute to the growth of this corporation?

This strategy was maybe first thought through already in the 19th century and later on for example motivated by Bernhard London in 1932 in his paper “Ending the Depression Through Planned Obsolescence”. The intentional design and manufacturing of products with a limited lifespan to assure repeated purchases is denoted as “planned/programmed obsolescence” and we are all or at least most of us upright and thoroughly participating in this doubtful endeavor. Or did you not recently think about buying a new mobile phone / computer / car / clothes / … because your old one unexpectedly died or just because of this very cool new feature that you oh so badly need?

The Light Bulb Conspiracy
"The Light Bulb Conspiracy" by Cosima Dannoritzer

A really well done documentary that provides a comprehensive overview about and a detailed insight into this topic recently aired on Arte and other European television networks. It is entitled “The Light Bulb Conspiracy – The untold story of planned obsolescence” (aka “Pyramids of Waste”, DE: “Kaufen für die Müllhalde”, FR: “Prêt à jeter”, ES: “Comprar, tirar, comprar”) and is a French/Spanish production directed by Cosima Dannoritzer. Recordings of the movie have been uploaded to various video portals, for example currently available on YouTube in EN/International with Norwegian subtitles, DE, FR and ES. Just the official TV and Internet broadcasts were viewed by over 2,500,000 people.

If you like to follow up on some of the documentary’s content, here are the links: The light bulb at the Livermore-Pleasanton Fire Department can be watched here via web cam. Wikipedia has some more information on the Phoebus cartel in EN and DE. The referenced clip about the tremendous waste of ink by inkjet printers can be found at Atomic Shrimp: “The Dirty Little Secret Of Inkjet Printers”. The software to reset the page counter of various Epson printers can be found here: SSC Service Utility for Epson Stylus Printers. The people that made “iPod’s Dirty Secret” are the Neistat Brothers. The tough guy from Ghana that collects evidences at the dumping grounds to identify the orignators of electric waste is Mike Anane and he also contributed to the report “Poisoning the poor – Electronic waste in Ghana” issued by Greenpeace.

That planned obsolescence may be needed or even is substantial to appease the ever-growing hunger to achieve continuous and distinct economic growth that is natural to nations with advanced economies aka developed (?) countries is one part. The past and present is comprised of numerous advocates and supporters with well-engineered argumentations in favor of this business strategy. But even the ultimate argument gets immediately and indisputably absurd and unreasonable when it comes to the thereby produced waste – the other part of planned obsolescence. “The Light Bulb Conspiracy” quite clearly showed where this leads to and especially where all the resulting waste is dumped.

Let’s keep that in mind while impatiently waiting for the release of the next generation of the iPhone …


Trailer “The Light Bulb Conspiracy”

[written and directed by Cosima Dannoritzer]