Profile cover photo
Profile photo
Martin Waitz
29 followers
29 followers
About
Posts

Post has attachment
Yeah, less Client-side JavaScript is always a good thing!
Add a comment...

Post has shared content
Die letzten "Landesverräter" wurden in grausamen Schauprozessen am Volksgerichtshof, der von den Nationalsozialisten ins Leben gerufen wurde, für schuldig gesprochen. Die bis heute in der Bundesrepublik prominenteste Anklage wegen Landesverrats betraf 1962 Rudolf Augstein und "Spiegel": Damals musste allerdings nicht Augstein ins Gefängnis gehen, sondern der Verteidigungsminister Franz-Josef Strauß zurücktreten. Seinerzeit ging es um den atomaren Erstschlag. Heute geht es um den informationellen Erstschlag im Internet.

Es ist sehr kurios, dass die amerikanische NSA in und aus Deutschland spioniert, aber der Verfassungsschutz sich nicht zuständig fühlt, dies zu unterbinden. Warum denn auch? Der BND hat lakaienhaft mit der NSA kooperiert und selbst die Kommunikationsleitungen für die Spionage zur Verfügung gestellt. Aber der Generalbundesanwalt kann keine Beweise finden und stellt alles nach wenigen Monaten ein. Und das in Deutschland, wo ein Prozess gegen den Zaun eines Nachbarn ein Jahrzehnt dauern kann.

Während aber in den USA die Journalisten, die die Snowden-Papiere veröffentlicht haben, mit dem Pulitzer-Preis geehrt werden, werden hier zwei Blogger wegen der Bekanntgabe von geistlosen Arbeitspapieren des BNDs verklagt.
http://www.heise.de/tp/artikel/45/45597/1.html
Add a comment...

Post has attachment

Post has attachment

Post has shared content
The End of Trust

Der NSA Untersuchungsausschuß wird Edward Snowden nicht anhören. Das spielt aber keine Rolle mehr, denn es ist nicht einmal mehr relevant, ob das, was Edward Snowden enthüllt hat, wahr ist oder ob und wo er oder seine Medienrepräsentanten überspitzt, übertrieben oder gar erfunden haben.

Edward Snowdens Story ist nicht nur plausibel, sondern erscheint auch technologisch machbar, und die, die sie gehört haben, wollen entweder ebenfalls die beschriebenen Fähigkeiten haben oder sich dagegen verteidigen können. Das ist genau eine der Sachen, die Bruce Schneier in https://www.schneier.com/blog/archives/2015/03/the_democratiza_1.html The Democratization of Cyberattack diskutiert.

Eine andere Seitenlinie der Story von Edward Snowden ist, daß gerade die Institutionen, von denen wir geglaubt haben. daß sie die Mission verfolgen, uns gegen jedweden Angriff und Spionageversuch zu beschützen, mit der NSA und dem GCHQ zusammegearbeitet haben und Daten mit den Personen getauscht haben, die wir als Angreifer wahrnehmen. Auch wenn unsere politischen Führer meinen, daß das damals legal und legitim gewesen ist und daher nicht justiziabel ist, sind die Institutionen verbrannt. Ja, über einen Halo-Effekt ist jede IT-Sicherheitsaktivität die aus Regierungskreisen gesteuert wird beschädigt.

Ich kann als deutscher Unternehmer IT-Sicherheitsratschläge von Verfassungsschutz und BKA nicht mehr vertrauen, weil es genau diese Institutionen sind, die Daten an ausländische Mächte und Dienste weiter gegeben haben, die also genau das Gegenteil von dem getan haben, was ich als deutscher Unternehmer als ihre Mission ansehen würde.

Ich kann als deutscher Unternehmer aber auch ein dem Innenministerium unterstelltes BSI, das noch dazu mit Vupen zusammenarbeitet, nicht als bedenkenlos vertrauenswürdig wahrnehmen.  Etwas wie das BSI kann nicht im selben Laden Angreifer und Verteidiger spielen und erwarten, daß ihm irgendjemand irgendetwas glaubt.

Ich kann als deutscher Unternehmer auch DE-Mail nicht vertrauen, da es keine Client-gesteuerte Ende-zu-Ende Verschlüsselung erzwingt und es sogar eine Sollbruchstelle mit Umverschlüsselung auf den Servern zwingend spezifiziert. Diese ist damals vermutlich tatsächlich zum Spam- und insbesondere Virenschutz eingebaut worden, aber sie kann im Kontext von Nation State Attackers nur als Abhör-Sollbruchstelle interpretiert werden und sie tötet DE-Mail "ab Werk". Und unsere politische Führung negiert das Problem und führt darüber nicht einmal eine sinnvolle Diskussion.

Das Resultat ist verdient erarbeitet: http://www.heise.de/newsticker/meldung/Bundesregierung-De-Mail-noch-ohne-kritische-Masse-2557257.html "DE-Mail noch ohne kritische Masse" und solange sich am Dialog zu dem Thema nicht fundamental etwas ändert und dann funktionale Korrekturen am Produkt vorgenommen werden wird DE-Mail, muß DE-Mail sterben.

Wie genau muß der Dialog zu DE-Mail und der Dialog zu IT-Sicherheit in der Politik sich denn ändern?

Die Politik hat zwei Probleme - sie hat ihre Institutionen verbrannt. Jede einzelne staatliche Institution, die mit IT-Sicherheit, Abhörschutz und dergleichen zu tun hat, hat mit einem fremden Nation State Attacker kollaboriert und ist daher nicht vertrauenswürdig, oder sie ist von einem Nation State Attacker ausspioniert worden ohne es zu bemerken und steht daher als inkompetent da, oder, wie unsere Geheimdienste, beides.

Staatliche Institutionen können das Problem nicht mehr reparieren. Post-Snowden bedeutet das Ende des Vertrauens. Wenn Deutschland in Deutschland einen sinnvollen Dialog über IT-Security führen kann, dann kann das nur in einer Organisation passieren, die Vertreter aus der Wirtschaft und von NGOs auf eine wirksame Weise mit einbindet und die insbesondere den Antrieb nicht primär von staatlicher Seite und aus staatlichen Interessen bezieht. "Guter Wille ist ein Konto, von dem man nur abbuchen kann" pflegt meine alte Frau Mutter zu sagen, und das Vertrauenskonto ist auf dieser Seite schlicht bis ans Limit überzogen.

Was der Staat noch sinnvoll tun kann:

1. Ausbilden. Awareness und Best Practices im Umgang mit IT-Security schon in der Grundschule lehren und einüben. Einem Vierzigjährigen bringt man OPSEC Basics nicht mehr bei, einem Vierzehnjährigen oder einem Achtjährigen schon. In zwanzig Jahren stehen wir dann in den Betrieben grundsätzlich besser da.

2. Stand der Technik weiter entwickeln. Viele Gesetze und Verordnungen im Bereich der IT-Sicherheit verlangen allgemein oder für Haftungsausschluß, daß Dinge "dem Stand der Technik" entsprechen. Stand der Technik kann man definieren als 'Verschlüsseln mit Non-Export Grade Ciphers', 'Zweifaktorauthentisierung notwendig', 'Softwareupgrades und Bugfixes in der Fläche ausrollen binnen 90 Tagen nach Meldung für die Dauer der Gewährleistung' und ähnliche Dinge. Definiert man das offiziell so, wird das über Versicherungen und andere Haftungsmechanismen in 6 Monaten mehr für IT-Sicherheit tun als die letzten 20 Jahre zusammen.

Und schließlich ganz besonders:

3. Das Ende des Vertrauens ernst nehmen. Transparenz- und Informationsfreiheitsgesetze, Dokumentation von Verfahren und Verfahrensprüfungen sind mühsam, anstrengend und für eine hoheitliche Verwaltung besonders am Anfang gefühlt erniedrigend. Sie sind außerdem die einzige Methode über die sich einmal verbranntes und weggebröseltes Vertrauen in das Rückgrat unserer Gemeinschaft - und das ist der Staat - wieder aufbauen läßt. Unser Staat muß sich überlegen und uns beweisen, daß er noch auf unserer Seite ist und nicht auf der Seite der Nation State Attacker von Fremdmächten, mit denen er "kooperiert" hat.
Add a comment...

Post has shared content
„Der Umgang der Bundesregierung mit der #Eikonal-Affäre ist nicht nur irgendein Skandal“, meint Sascha Lobo und kritisiert Merkels Gerede von vermeintlicher Rechtsstaatlichkeit.
Add a comment...

Post has shared content

Post has attachment
viel Wasser = viel grün :-)
Photo
Add a comment...

Post has attachment
Add a comment...

Post has shared content
Originally shared by ****
Whatever happened to DHTs?

A 2003 article on DHTs from Linux Journal (of all places) is trending on Hacker News today. This got me thinking: What the hell happened to DHTs? The research community more or less stopped working on them a few years ago. Did they ever gain commercial adoption? Where have the biggest successes been outside of academia?

http://www.linuxjournal.com/article/6797
Add a comment...
Wait while more posts are being loaded