Jetzt kommt der totale Gesinnungsstaat !

[Hrafnaguð]

Man könnte also konstatieren, daß die ReGIERung verfassungsfeindliche Gesetze erläßt, die dann Jahre bis Jahrzehnte später vom Bundesverfassungsgericht gekippt werden (müssen).

Was mit den einmal erhobenen Daten geschieht, entzieht sich m.W. zudem jedweder Kontrolle durch den Souverän.

Man muß sich doch nur anschauen wie es im kleinen Rahmen schon gehandhabt wird. Etwa die Gästelisten die
Restaurants im Rahmen von Corona führen müssen und die eigentlich NUR dafür vorgesehen sind um im Falle
von Infizierten die möglichen Kontaktpersonen ermitteln zu können. Was wurde daraus? Richtig, dieweil bedient
sich die Polizei für Ermittlung in völlig anderen Dingen nun daran und beschlagnahmt diese zwecks Auswertung.
Die Daten von Providern, sozialen Netzwerken etc bieten noch GANZ ANDERE Möglichkeiten des Mißbrauchs.

[Ansuz]

Man muß sich doch nur anschauen wie es im kleinen Rahmen schon gehandhabt wird. Etwa die Gästelisten die
Restaurants im Rahmen von Corona führen müssen und die eigentlich NUR dafür vorgesehen sind um im Falle
von Infizierten die möglichen Kontaktpersonen ermitteln zu können. Was wurde daraus? Richtig, dieweil bedient
sich die Polizei für Ermittlung in völlig anderen Dingen nun daran und beschlagnahmt diese zwecks Auswertung.

Dürfte nicht viel bringen, wenn man sich da eines Pseudonyms bedient. Seit wann haben Gastwirte die Befugnis, Pässe der Gäste einzusehen?

Die Daten von Providern, sozialen Netzwerken etc bieten noch GANZ ANDERE Möglichkeiten des Mißbrauchs.

Ja, sofern es echte Daten sind.
In beiden Fällen gilt: wehret den Anfängen. Digitale Selbstverteidigung ist m.E. ein Grundrecht.

[Hrafnaguð]

Dürfte nicht viel bringen, wenn man sich da eines Pseudonyms bedient. Seit wann haben Gastwirte die Befugnis, Pässe der Gäste einzusehen?

Ja, sofern es echte Daten sind.
In beiden Fällen gilt: wehret den Anfängen. Digitale Selbstverteidigung ist m.E. ein Grundrecht.

Viele Menschen sind einfach völlig naiv, die geben da ihren echten Namen an, garantiert.

[Ansuz]

Trick der Ermittler
So liest das BKA bei WhatsApp mit

Die Ermittler nutzen zum Mitlesen eine reguläre Funktion des Messengers

veröffentlicht am 21.07.2020 - 10:25 Uhr

Offiziell ist bei WhatsApp jede Nachricht sicher …
Jetzt wird bekannt: Das Bundeskriminalamt (BKA) kann längst Chats in dem beliebten Messenger-Dienst mitlesen.
Das zeigen Recherchen von [Links nur für registrierte Nutzer]. „Das BKA verfügt über eine Methode, die es ermöglichen kann, Text, Video-, Bild- und Sprachkurznachrichten aus einem WhatsApp-Konto in Echtzeit nachzuvollziehen“, zitiert der Bericht aus einem internen Schreiben der Behörde.
Auch die WhatsApp-Kontakte einer Zielperson könnten auf diese Weise „bekannt gemacht werden“.

Demnach ist dafür nicht mal eine spezielle Überwachungssoftware nötig. Die Ermittler nutzen offenbar eine reguläre Funktion des Dienstes: die Möglichkeit, dass WhatsApp auch über den Internetbrowser gesteuert werden kann („WhatsApp Web“).

Um eine solche Maßnahme durchführen zu können, müssen die Ermittler kurzzeitig Zugriff auf das Mobiltelefon der Zielperson haben, um dann die Chats mit der WhatsApp-Browser-Version zu synchronisieren. Erst dann können die Ermittler mitlesen.

▶︎ Problem: Bei technisch versierten Nutzern dürfte die Überwachung nicht lange funktionieren. Denn: In den WhatsApp-Einstellungen kann man sich alle aktiven „WhatsApp Web“-Verbindungen anzeigen lassen – und diese auch wieder entfernen!


Auf Anfrage teilte das BKA den ARD-Sendern mit, dass man „zu technischen bzw. operativen Ermittlungsfähigkeiten (...) beispielsweise im Bereich der informationstechnischen Überwachung, grundsätzlich keine detaillierten öffentlichen Auskünfte“ erteile.
Fakt ist aber auch: Die Methode ist für die Ermittler mit relativ hohem Aufwand verbunden – weil die Ermittler eben erst einmal Zugriff auf das jeweilige Handy brauchen.
Aus Sicherheitskreisen hieß es gegenüber den ARD-Sendern, dass die Methode daher nur selten vom BKA eingesetzt werde.


[Links nur für registrierte Nutzer]

Fefe erklärt das besser. :P

• [Links nur für registrierte Nutzer] Eines der Hauptprobleme von Kryptografie ist, dass es da eine inhärente Komplexität gibt. Die Algorithmen und Protokolle selbst kann man wegkapseln, das meine ich nicht. Aber du brauchst plötzlich einen Schlüssel, und musst dir Gedanken machen, wo du den speicherst und wie du den schützt. Und dann gibt es plötzlich das Schlüsselverteilungsproblem. An welchen Schlüssel verschlüsselst du? Woher nimmst du die Gewissheit, dass das der richtige Schlüssel ist? Was wenn der kompromittiert ist?
  
  Frühe Krypto-Software wie PGP haben nicht versucht, diese Komplexität zu verbergen. Die haben sich das angeguckt und sind zu dem Schluss gekommen, dass man die Lage nur unsicherer macht, wenn man so tut, als könnte man das in der Software lösen.
• Ergebnis: Jahrelanges Herumgeflenne von Vollidioten, dass die Software ja so schwer zu bedienen sei. Man muss neue Konzepte lernen und so!1!!
  
  
  Also ist moderne Krypto-Software anders. Die macht faule Kompromisse und verbirgt die Komplexität hinter einer Nebelwand aus Lügen und "weitergehen, gibt nichts zu sehen hier"-Bullshit. Am besten noch mit ein paar Dark UI Patterns wie bei Signal, der dir gelegentlich anzeigt, ein Schlüssel habe sich geändert, aber dir nicht sagt, was das bedeutet, und ob du jetzt was tun solltest oder nicht.
  
  
  Das Problem ist: Da kann die Krypto so geil sein wie sie möchte! Lücken, die das UI aufreißt, kriegt auch der tollste Algorithmus nicht kompensiert.
  
  
  Nimm z.B. Signal. Signal hat das Key Distribution Problem nicht gelöst. Daher hängen bei denen die Accounts an der Telefonnummer. Was für Auswirkungen hat das, wenn du deine Telefonnummer oder Simkarte verlierst? Das ist dem normalen Anwender überhaupt nicht klar.
  
  
  Ich will hier nicht Signal bashen, die sind noch einer der besseren Marktteilnehmer. Ich erwähne die hier nur, weil die ein Vorreiter von neuartiger toller Krypto sind.
  
  
  Nächstes Problem. Sagen wir mal, du baust einen Keyserver auf, wo man seinen Schlüssel höchlädt. Wenn jemand mit mir reden will, holt der sich meinen Schlüssel von dort. Super? Nein! Was wenn der Schlüssel da nicht von mir sondern vom BKA hochgeladen wurde?
  
  
  PGP hat hier auch keine gute Lösung. Die haben sich gedacht, das wird dem Anwender schon klar sein, dass er Schlüssel von irgendeinem Server aus dem Internet erstmal prüfen muss. Daher gibt es Fingerprints und Signaturen unter dem Schlüssel. Was hat es gebracht? Sobald jemand kam und Gibt-hier-nichts-zu-sehen-UI um Bullshit-Automatismen um die Keyserver gebaut hat, war es plötzlich ein legitimer Angriff, dort einen falschen Key für jemanden hochzuladen, um dessen Kommunikation zu sabotieren. Wenn die Leute alle ihre Keys verifizieren würden, wäre das überhaupt kein Problem. Aber Dark UI hat das kaputtgemacht.
  
  
  Warum erzähle ich das alles? Nun, Keyserver gibt es auch bei Messenger-Diensten. Und da kann die Krypto so geil sein wie sie will: Wenn du den Key automatisch vom Keyserver holst, kann der dir auch "den BKA-Key" unterschieben und behaupten, das sei der, nach dem du gefragt hattest.
  
  
  Oder noch besser: Was wenn du Synchronisation anbietest? Dann kann ein Angreifer mal eben eine Weiterleitung an das BKA eintragen bei dir, wenn der kurzzeitig Zugriff auf deinen Account hat, und dann können die alles mitlesen.
  
  
  Ach komm, Fefe, das ist doch unsubstanziiertes Paranoia-Geraune! Nun, äh, [Links nur für registrierte Nutzer].
  
  
  Aber hey, solange gemeingefährliche Heulsusen uns die Krypto-Anwendungen schlechtreden, die die Komplexität an den User weiterleiten, damit er sie managen kann, und den Leuten Weitergehen-Apps empfehlen, die die Komplexität hinter Nebelwänden verstecken und den Leuten eine warme Gemütlichkeit vorgaukeln, die nicht da ist, wird diese Art von Problem noch zunehmen.
  
  
  Update: Das soll kein Signal-Bashing werden hier. Die geben sich immerhin Mühe und sagen dir, wenn sich ein Schlüssel geändert hat. Andere zeigen das nicht mal an, weil es ja "die Bevölkerung verunsichern würde".
  
  
  Update: Da hab ich wohl einige Leser überfordert. Whatsapp ist Ende-zu-Ende-verschlüsselt. Das heißt der Server kann gar nicht die alten Nachrichten im Klartext weiterreichen, selbst wenn er wollte, weil die da nur verschlüsselt vorbeihuschen. Wenn man also Synchronisieren will, gibt es zwei Varianten: Entweder man rückt den Schlüssel raus (daher meine Ausführungen oben über Schlüsselaustausch) oder man macht eine Fernsteuerung der Handy-App von dem Browser aus, in welchem Fall man auch ein Zugriffstoken (vulgo: einen Schlüssel) hat, den man dem BKA gibt.

[Haspelbein]

Ja, hatten wir ja schon mal im EC-Strang: Sobald die Verschlüsselung ein Service ist, so ist sie nur so gut wie der Anbieter.

[Ansuz]

Ja, hatten wir ja schon mal im EC-Strang: Sobald die Verschlüsselung ein Service ist, so ist sie nur so gut wie der Anbieter.

Ja und nein, mir ging es vor allem hierum:

PGP hat hier auch keine gute Lösung. Die haben sich gedacht, das wird dem Anwender schon klar sein, dass er Schlüssel von irgendeinem Server aus dem Internet erstmal prüfen muss. Daher gibt es Fingerprints und Signaturen unter dem Schlüssel. Was hat es gebracht? Sobald jemand kam und Gibt-hier-nichts-zu-sehen-UI um Bullshit-Automatismen um die Keyserver gebaut hat, war es plötzlich ein legitimer Angriff, dort einen falschen Key für jemanden hochzuladen, um dessen Kommunikation zu sabotieren. Wenn die Leute alle ihre Keys verifizieren würden, wäre das überhaupt kein Problem. Aber Dark UI hat das kaputtgemacht.

[Haspelbein]

Ja und nein, mir ging es vor allem hierum:

PGP hat Schwächen bei der Schlüsselverwaltung, z.T. auch deshalb, weil die Identität an den Schlüssel gekoppelt ist. Aber zumindest kann man theoretisch seine Schlüssel selbst verwalten, selbst wenn man von jemanden den öffentlichen Schlüssel persönlich auf einem Speichermedium bekommt. Rein praktisch macht das jedoch niemand.

[navy]

Trick der Ermittler
So liest das BKA bei WhatsApp mit

Die Ermittler nutzen zum Mitlesen eine reguläre Funktion des Messengers
......................[/URL]
[/B]

Es sind alles Spionage Apparatte! Wenn man zu Hause ist, ein Gespräch führt, das man z.B. einen Kühlschrank kaufen will, schon hat man nach 20 Minuten die ersten Angebote von Amazon

[Schwabenpower]

Es sind alles Spionage Apparatte! Wenn man zu Hause ist, ein Gespräch führt, das man z.B. einen Kühlschrank kaufen will, schon hat man nach 20 Minuten die ersten Angebote von Amazon

Viel eigenartiger fand ich, daß mein Kollege ein Bauteil auf dem Bürorechner suchte und ich 20 Minuten später genau für dieses Bauteil hatte. Auf dem Tablet im Mobilfunknetz

[navy]

Viel eigenartiger fand ich, daß mein Kollege ein Bauteil auf dem Bürorechner suchte und ich 20 Minuten später genau für dieses Bauteil hatte. Auf dem Tablet im Mobilfunknetz

so läuft das! Wenn Du die Deppen ärgern willst, viel Zeit hast, dann schreibe emails mit CIA, NSU, Terrorist und dann laufen die Rechner bei denen wenigsten richtig auf Hochtouren, wenn das 1 Million Leute machen