Entdecken Sie eBooks
Kategorien
Entdecken Sie Hörbücher
Kategorien
Entdecken Sie Zeitschriften
Kategorien
Entdecken Sie Dokumente
Kategorien
Das Fachblatt für Datenreisende / Ein Organ des Chaos Computer Club
Erfa-Kreise
Hamburg Berlin
Lokstedter Weg 72, D-20251 Hamburg, mail- Club Discordia jeden Donnerstag zwischen 17 und 23 Uhr in
to:mail@hamburg.ccc.de./ http://hamburg.ccc.de Phone: +49 den Clubräumen in der Marienstr. 11, Hinterhof in Berlin-Mitte.
(40) 401 801-0 Fax: +49 (40)401 801 - 41 Voicemailbox +49 Nähe U-/S-Friedrichstraße. Tel. (030) 285986-00, Fax. (030)
(40) 401801-31. Treffen jeden Dienstag ab ca. 20.00 Uhr in den 285986-56. Briefpost CCC Berlin, Postfach 640236, D-10048
Clubräumen. Der jeweils erste Dienstag im Monat ist Chaos- Berlin. Aktuelle Termine unter http://www.ccc.de/berlin
Orga-Plenum (intern), an allen anderen Dienstagen ist jede(r)
Interessierte herzlich willkommen. Öffentliche Workshops im Ulm
Chaos Bildungswerk fast jeden Donnerstag. Termine aktuell un- Kontaktperson: Frank Kargl <frank.kargl@ulm.ccc.de>
ter http://hamburg.ccc.de/bildungswerk/. mailto:mail@ccc.ulm.de / http://www.ulm.ccc.de/
Treffen: Montags ab 19.30h im 'Café Einstein' in der Universität
Köln Ulm.
Chaos Computer Club Cologne (c4) e.V. Vortrag chaos-seminar: Jeden ersten Montag im Monat im Hör-
Vogelsangerstraße 286 / 50825 Köln saal 20 an der Universität Ulm.
50°56'45"N, 6°51'02"O (WGS84)
http://koeln.ccc.de/ Tel. 0221-5463953 Bielefeld
mailto:oeffentliche-anfragen@koeln.ccc.de Kontakt Sven Klose Phone: +49 (521) 1365797, mail-
Treffen Dienstags 20:20 to:mail@bielefeld.ccc.de.Treffen Donnerstags, ab 19.30 Uhr in
der Gaststätte 'Pinte', Rohrteichstr. 28, beim Landgericht in Bie-
lefeld. Interessierte sind herzlich eingeladen.
Chaos-Treffs:
Aus Platzgründen können wir die Details aller Chaos-Treffs hier Freudenstadt, Giessen/Marburg, Hanau, Hannover, Ingolstadt,
nicht abdrucken. Es gibt in den folgenden Städten Chaos-Treffs, Karlsruhe, Kassel, Lüneburg, Mannheim /Ludwigshafen/Heidel-
mit Detailinformationen unter http://www.ccc.de/ChaosTr- berg, Mönchengladbach, München, Münster/Rheine/ Coesfeld
effs.html: /Greeven/Osnabrück, Rosenheim /Bad Endorf, Neunkirchen/
Bochum/Essen, Bremen, Burghausen /Obb. und Umgebung, Saarland, Würzburg, Schweiz /Dreyeckland: Basel, Österreich:
Calw, Dithmarschen/Itzehoe, Dresden, Emden / Ostfriesland, Wien
Eisenach, Erlangen /Nürnberg/Fürth, Frankfurt a.M., Freiburg,
Impressum
Herausgeber Mitarbeiter dieser Ausgabe
(Abos, Adressen, etc.) Tom Lazar <tom>, Andy Müller-Maguhn <andy>,
Chaos Computer Club e.V.
Lokstedter Weg 72, D-20251 Hamburg
Jens Ohlig <>, Frank Rosengart <CIHDDAGH>, Jadis
Tel. +49 (40) 401801-0, Fax +49 (40) 401801-41, mail- <CIHIBFAB>, Cemil Degirmenci <CIHBEJAG>, Robert
to:office@ccc.de S. Plaul <CIHJAAIH>, Djenja <CIHDDHIC>, Pirx
Redaktion <pirx>, Sebastian Zimmermann <sebastian>
(Artikel, Leserbrief etc.)
Redaktion Datenschleuder, Postfach 640236, D-10048 Berlin, Eigentumsvorbehalt
Tel. +49 (30) 285.986.56 / mailto:ds@ccc.de
Diese Zeitschrift ist solange Eigentum des Absenders, bis sie
Druck dem Gefangenen persönlich ausgehändigt worden ist. Zur-
Habe-Nahme ist keine persönliche Aushändigung im Sinne des
Pinguin-Druck, Berlin (http://www.pinguindruck.de/) Vorbehalts. Wird die Zeitschrift dem Gefangenen nicht ausge-
händigt, so ist sie dem Absender mit dem Grund der Nichtaus-
händigung in Form eines rechtsmittelfähigen Bescheides
ViSdP
zurückzusenden.
Tom Lazar, <tom@tomster.org>
Copyright
Copyright (C) bei den Autoren. Abdruck für nichtge-
werbliche Zwecke bei Quellenangabe erlaubt.
073-0
#073 / Winter 2000 die datenschleuder.
073-0
GELEITWORT / INHALTSVERZEICHNIS
Freiheit ist ein weiter Begriff. Wenn der eine sie fordert, weiß der andere nicht unbedingt,
welche gemeint ist. Auch Hacker fordern Freiheit. Die Freiheit der Bits zum Beispiel. Aber
was ist damit bloß gemeint?
Ein (viel zu) weit verbreitetes Mißverständnis in Das Tragische aber: solange diesen Unterstel-
diesem Zusammenhang ist der Glaube, daß es lungen nicht wirksam entgegnet wird, werden
Hackern grundsätzlich um Freiheit im Sinne von diese Menschen immer die öffentliche Meinung
“kostenlos” ginge. Die Forderung nach Wegfall auf ihrer Seite haben. (Und die Hacker Applaus
von Kopierschutz jeder Art (SDMI, SIM-Locks, von der falschen Seite.)
Region-Code, CSS etc.) wird interpretiert als
Die “Freiheit, die wir meinen” ist aber nicht
Forderung nach kostenloser Musik, Filmen oder
(primär) die monetäre. Ich persönlich habe
billigen Mobilfunktelefonen für alle. Die Forde-
nichts dagegen, wenn beispielsweise Warner
rung von Andy Müller-Maguhn nach der
Brothers daran verdient, Hollywood-Kitsch zu
Abschaffung des Urheberrechts z.b. wird nur
verkaufen. Aber wenn diese Leute mir vor-
allzu bereitwillig als Aufruf zu Anarchie und
schreiben wollen, in welchem Land oder mit
Niedergang des Kapitalismus stilisiert. Viele ein-
welchem Gerät oder welcher Software ich
flußreiche Menschen werden zunehmend ner-
DVDs sehen darf, dann haben sie eine Grenze
vös. Und wie reagieren solche Menschen,
überschritten. Wenn ich dadurch zum Kriminel-
wenn sie nervös sind? Richtig: sie greifen an.
len werde, daß ich mir einen Player besorge,
(Ein bezeichnendes Beispiel dafür liefert der
mit dem ich Werbung überspringen kann, dann
Schriftverkehr zum SIM-Lock Artikel auf
wurde irgendwo unterwegs was ganz wichtiges
Seite 8). Das haben diese Menschen nun mal
pervertiert. Wenn ich ein käuflich erworbenes
so gelernt, mit dieser Strategie sind sie dort hin-
Mobilfunktelefon nicht so modifizieren darf,
gekommen, wo sie heute stehen. Psycholo-
daß ich damit den Betreiber meiner Wahl errei-
gisch gesehen kann man ihnen das also
che, dann sind die wirtschaftlichen Interessen
garnicht mal verübeln.
von einigen wenigen über die der gesamten
Verbraucher gestellt.
Chaos Realitätsdienst: Kurzmeldungen . . . . . . . . 2
Mailto: DS@ccc.de . . . . . . . . . . . . . . . . . . . . . . . . 3 Viel schlimmer sind aber die drohenden Kon-
PrePaid Karten . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
trollstrukturen, mittels derer die Einhaltung sol-
Cybercrime Convention . . . . . . . . . . . . . . . . . . . 13
Politikfnords oder die Realitäten bundesdeutscher che Gesetze durchgesetzt werden soll. Wenn
Abgeordneter und Jugendschützer . . . . . . . . . . . 15 Microsoft eines Tages meine eMails abhören
Big Brother is listening... . . . . . . . . . . . . . . . . . . 17
Spaß mit Nokia – kann und darf, um sicherzustellen, daß ich
Denial of Service Attack für Mobiltelefone . . . . . 25 keine raubkopierte Software einsetze, dann
To the citizens of the habe ich ein wichtiges Stück Freiheit verloren.
United States of America, . . . . . . . . . . . . . . . . . . 27
Nessus - Admins Fluch oder Segen? . . . . . . . . . . 28 Ganz egal, wie man die benennen mag.
Das besondere Buch[TM] . . . . . . . . . . . . . . . . . . 30
Tom Lazar <tom@tomster.org>
073-1
die datenschleuder. 073 / Winter 2000
073-1
CHAOS REALITÄTSDIENST: KURZMELDUNGEN
073-2
#073 / Winter 2000 die datenschleuder.
073-2
MAILTO: DS@CCC.DE
073-3
die datenschleuder. 073 / Winter 2000
073-3
MAILTO: DS@CCC.DE
Cookies – nicht nur zu Weihnachten... alle Webseiten problemlos benutzen, ein evtl.
Meine Frage: Vor kurzem habe ich erst erfah- erstelltes Profil kann aber maximal über einen
ren, daß gewerbliche Webpages oft "cookies" Tag gehen. Ein solches Programm ist z.B. der
abfragen und somit mein komplettes "surf- kostenlose Internet-Junkbuster (www.junkbu-
Verhalten" ablesen können. Gibt es irgend ein ster.com). Siemens bietet ein kommerzielles Pro-
Programm mit dem ich sozusagen "fake-coo- dukt names WebWasher an, welches für den
kies" senden kann. Ich mag es nicht, überall als privaten Einsatz auch kostenlos ist (www.web-
"gläserner" Verbraucher benutzt zu werden. washer.com). Bitte beachte, daß diese Hinweise
keine Empfehlung darstellen. Es gibt natürlich
Cookies dienen dazu, einen Webseitenbesucher auch noch viele andere Programme dieser Art.
wiedererkennen zu können. Dies ist z.B. dann Die Suchmaschine deiner Wahl hilft da weiter.
wichtig, wenn man Warenkörbe auf einer eCom-
merce-Seite anbieten will. Warenkörbe und Nut- Die Online-Profilerstellung ist natürlich noch
zer müssen dann natürlich zusammenpassen. viel komplexer, als hier dargestellt. Wenn Du
Dies kann man z.B. durch Cookies sicherstellen. mehr darüber wissen möchtest, besuche doch
Ich erwähne dies, weil Cookies an sich nicht mal die Webseiten der Datenschutzbeauftragen
"böse" sind. Allerdings werden die Cookies von oder bemühe eine Suchmaschine. (sebastian)
Web-Marketingfirmen auch gerne zur langfri-
sten Wiedererkennung von Webbenutzern über
mehrere Webseiten hinweg benutzt. Auf diese Gesucht: Spam relay
Art und Weise lassen sie sich hervorragend zur Guten tag und hallo, ich hoffe dass ihr mir wei-
Profilerstellung einsetzen. Füllt man dann terhelfen könnt. Ich suche ein[en] mail server,
irgendwo nochmal ein Formular aus, kann dieses von dem man ohne login eine mail verschicken
Profil unter Umständen konkret einer Person [kann, ] ohne [dass] die[ser] die [eigene] IP
(nämlich Dir) zugeordnet werden. Cookies ent- Adress [e] kontrollieren [kann]. (“Aaaargh!”
halten meistens eine Benutzer-ID. Du kannst Anm. d. Red.)
natürlich einfach diese ID in den Cookies verän-
dern, wenn Du möchtest. Wo die Cookies gespei- Veröffentliche deine Adresse an prominenter
chert werden, hängt vom eingesetzten Browser Stelle im Usenet. Dann kriegst du massig Spam
ab. Netscape benutzt dazu die Datei "cookies", zugeschickt. Analysiere deren Header. Die Kisten
der Internet Explorer ein eigenes Verzeichnis. von wo der Spam herkommt sind meist solche
Natürlich kannst Du die Cookies auch bei jedem offenen Relays. Dass die entweder nicht lang
Reboot oder zeitgesteuert regelmäßig löschen. offen sind oder von ueberall geblockt werden,
Die meisten Browser bieten auch eine Option an, liegt in der Natur der Sache. (dollinger)
mit der Cookies generell abgelehnt werden.
Dann werden aber auch die Cookies von Websei-
ten abgelehnt, die darauf angewiesen sind. Erst hacken, dann fliegen?
Manche Webseiten funktionieren dann unter Ich bin Auszubildender zum Fachinformatiker
Umständen nicht mehr richtig. Ich *persönlich* (Anwendungstechnik) am b.i.b. Paderborn.
bevorzuge folgende Lösung: Cookies enthalten Jemand von uns hat durch Zufall entdeckt, wie
ein Verfallsdatum. Durch ein spezielles Pro- die dortige HP-UX den Dienst quittiert. Nach-
gramm, welches als "Proxy" zwischen Browser dem er nach dreimaligem Test sicher war dass
und Web fungiert, setzte ich dieses Verfallsda- er es war, hat er dummerweise Klassenkamera-
tum automatisch auf 24 Stunden. Damit kann ich den erzählt wie es geht.
073-4
#073 / Winter 2000 die datenschleuder.
073-4
MAILTO: DS@CCC.DE
Dass die meisten Devices unter /dev schreibbe- verhindern, daß via Online-Überweisung grö-
rechtigt für alle sind, verbreitete sich wie ein ßere Geldmengen von einem evtl. gehackten
Lauffeuer. Zwei kamen noch dazu es auszupro- Konto weggeschafft werden können, kann
bieren. Und genau die sitzen jetzt in der man bei der Einrichtung des Onlinekontos
Klemme. Sie haben RZ-Verbot und es wird zur Höchstgrenzen der zulässigen Überweisungs-
Zeit diskutiert, ob sie von der Schule fliegen. beträge festlegen, z.B. 500,- pro Tag und Auf-
trag. Dieser Sicherheitsmechanismus ist keiner:
Die Arbeitgeber werden informiert und ihre
Ein Telefonanruf bei der Sparkasse und die
Ausbildung ist in Gefahr. Wie ist die Rechts-
Durchgabe der entsprechenden Kontonummer
lage?
genügen, um die Betragsgrenze beliebig zu
Gilt die Metapher: "Ich hab auch ein Messer in erhöhen oder ganz abzustellen. Hat jemand
der Küche. Das heisst aber nicht, dass ich damit Zugriff auf das Konto, sind die 20 000 dann
jemanden verletze." oder "Kindern, die Laufen eben doch mit einem Schlag weg. Dem Kunden
lernen, sollten kein Messer in den Weg gelegt wird suggeriert, mehr als z.B. 500,- könnten
bekommen." Gruß, Holger Bartnick durch die Grenze sowieso nicht wegkommen.
Soviel dazu. Gruß, NilS
Zur Rechtslage kann ich dir nichts verbindliches
sagen. Dafür gibt es Anwälte. Es ist natürlich Und hinterher heißt es dann, die Sparkasse sei
nicht die beste Vorgehensweise, das Teil gleich das Opfer gemeingefährlicher Hacker gewor-
mehrmals zu schroten und es unter den "Kame- den... (tom)
raden" zu verbreiten, die dann auch wie die
kleinen Kinder das auch machen. Klüger wäre es
gewesen, den Admin der Kiste mal darauf hinzu- Ohne Browser geht nunmal nichts...
weisen. Nicht, dass es einen besonders verwundert
Kurz - die sind selber schuld und gerade in eurer hätte, aber dieser Beipackzettel zur Sony
Ausbildung solltet ihr in der Beziehung ein Cybershot 505 (s.u.) fällt auf.
wenig sensibler sein ... Das angesprochene Stück Software (Picture
Aber jemanden deswegen von der Schule zu Gear) holt nur Bilder über die serielle Schnitt-
schmeissen finde ich schon ein wenig hart. Eher stelle von der Kamera und zeigt sie an. Und
sollten sie mal darueber nachdenken den Sysad- das auch noch langsam und schlecht. Im gan-
min zu entlassen. Meiner Meinung nach. (jörn) zen nichts, was den IE5 ansatzweise rechtferti-
gen könnte. Und auch nur hebraeisch... Ein
Test in deutsch klappte sogar ganz ohne Win-
Security alá Sparkasse dows... Mit reinem DOS und serieller Schnitt-
stelle. Hans
Hi, mir ist bei der Zusammenarbeit mit der
Sparkasse in Darmstadt etwas aufgefallen, das Achja, wißt ihr noch? Früher? Als man noch
ihr vielleicht weiterverwenden könnt: Um zu Hardware benutzte, um Software zu verdongeln,
anstatt umgekehrt?! (tom)
073-5
die datenschleuder. 073 / Winter 2000
073-5
BITVERTEUERUNG AKTUELL: SIM-LOCKS
PrePaid Karten
von Frank Rosengart
Die deutschen Mobilfunkunternehmen haben Dies bedeutet, daß das Telefon nur mit der ent-
für die UMTS-Lizenzen immense Summen auf- sprechenden PrePaid-Karte funktioniert. Der
wenden müssen, die sie aber nicht allein auf- SIM-Lock Mechanismus bewirkt, daß das Tele-
bringen konnten, sondern sich von Banken fon für andere Teilnehmerkarten nicht zu
leihen mussten. Die kreditgebenen Banken benutzen ist. Findige Elektronikbastler nehmen
möchten jedoch gern wissen, wie der Kredit- seid geraumer Zeit diese gesperrten Telefone
nehmer im Markt steht. Auch für anstehende und deren Software genau unter die Lupe und
Fusionsverhandlungen und Börsenkurse sind haben für alle gängigen Modelle Lösungen
bestimmte Messwerte interessant. gefunden, diese Sperre zu beseitigen. Mit
selbstgelöteten Kabeln und meist eigens pro-
Zwei Messwerte sind die Kosten für die Gewin-
grammierter Software können die meisten die-
nung eines Neukunden und die Anzahl der
ser Sperren entfernt werden. Das Telefon
Neukunden. Um diese Zahlen besonders gut
arbeitet dann ganz gewöhnlich mit jeder Karte
dastehen zu lassen, haben die Mobilfunkanbie-
zusammen und unterscheidet sich auch sonst
ter sogenannte PrePaid-Karten eingeführt. Bei
durch nichts - außer im günstigen Gerätepreis.
diesen Karten braucht der Kunde keinen Ver-
Diese Tatsache haben windige Geschäfte-
trag abzuschließen und kann die anfallenden
macher erkannt und und kaufen massenweise
Kosten sehr gut kontrollieren, da immer nur ein
SIM-Lock Telefone, entsperren sie und verkau-
aufgeladenes Guthaben abtelefoniert werden
fen sie mit Gewinn weiter. Oft gehen die
kann. Daher sind wohl Jugendliche die Haupt-
Geräte ins Ausland. Da dieser Handel mittler-
zielgruppe.
weile eine beachtliche Größenordnung erreicht
Um die Telefone noch schmackhafter zu hat, werden Software und Hilfsmittel zur Ent-
machen und damit die Zahl der Neukunden (als sperrung im Internet für über 1000 DM ange-
Kunde zählen auch PrePaid Karten) zu steigern, boten. Es gab sogar Händler, die diesen Service
bieten die Mobilfunkanbieteer subventionierte gegen Entgelt angeboten haben.
Telefone an. Sie hoffen, dass der PrePaid Kunde
Wer ist schneller?
in den nächsten Monaten diese Subvention
durch hohe Minutenpreise wieder einbringt. Da die Mobilfunkanbieter diese erheblichen
Damit aber die "billigen" Telefone nicht mit Verluste nicht weiter hinnehmen können, set-
Karten der Konkurrenz oder preiswerteren zen sie die Telefonhersteller unter Druck, die
"normalen" Mobiltelefonkarten benutzt wer- Sicherungen noch ausgefeilter und schwerer
den können, ist die Software des Mobiltelefons knackbar zu machen. Es ist allerdings nur eine
mit einer sogenannten "SIM-Lock" Sperre ver- Frage der Zeit, bis auch die neueste Variante
sehen. wieder geknackt wird. Das Wissen über die
Entfernung des SIM-Lock wird selten als
073-6
#073 / Winter 2000 die datenschleuder.
073-6
BITVERTEUERUNG AKTUELL: SIM-LOCKS
öffentliches Gut ins Netz gestellt. Häufig wird gen, die Szene weiter in die Dunkelheit rückt
es gegen viel Geld verkauft. Immerhin müssen und sich die mafia-artigen Strukturen verfesti-
die neuesten Handymodelle und aufwendiges gen. Abgesehen von der bislang unbeantwor-
Laborgerät bezahlt werden. Um dieser Ver- teten Frage, ob der Käufers des Telefons damit
schiebung des Geldes vom Mobilfunkanbieter nicht schlicht machen kann, was er will, kann
weg zu diesem grauen Markt Einhalt zu gebie- die Untersuchung und Veränderung der Soft-
ten, mahnen die Mobilfunkbetreiber die Anbie- ware eines Telefons dem Benutzer durchaus
ter von Hilfsmitteln zur Entfernung des SIM- Vorteile bringen.
Locks ab und zwingen diese zur Entfernung
So lässt sich - ähnlich wie bei einem Computer
ihres Internetangebotes. Häufig wird mit
- das Leistungsspektrum des Telefons erwei-
erheblichen Gebühren durch entsprechende
tern. Bei einem Handy-Modell konnte mit der
Streitwerte im Millionenbereich gedroht.
veränderten Software beispielsweise die
Dabei ist die Rechtslage nicht ganz eindeutig: Taschenrechnerfunktion wieder benutzt wer-
Der gewerbliche Vertrieb von Freischalt-Werk- den, die der Hersteller bei dieser Baureihe
zeugen wird mit einem Verstoß gegen das deaktiviert hatte. Eine Konvention des Europa-
Wettbewerbsrecht belegt. Hier steht eine rich- rat zur Bekämpfung der "Internetkriminalität"
terliche Entscheidung aus. Relativ wenig Hand- (Cybercrime) sieht vor, dass die unterzeichnen-
habe haben die Mobilfunkanbieter gegen das den Länder Gesetze erlassen, die die Verbrei-
reine Veröffentlichen von Informationen zur tung von "Hackertools" unter Strafe stellen.
Entsperrung. Die Gewinnung von Informatio- Darunter würden auch die oben erwähnten
nen zur Entsperrung (Reengineering) ist in Entsperrprogramme fallen. Der Entwurf dieser
Deutschland derzeit nicht strafbar. Auch eine Kommision wird derzeit von verschiedenen
Preisgabe dieser Tipps und Bauanleitungen Gremien bearbeitet.
steht nicht im Zusammenhang mit den Wettbe-
Mirror des vor dem LG München schwelenden
werbsverstößen.
Verfahrens [1] ,Cybercrime-Convention des
Anlässlich eines derzeit schwelenden juristi- Europarats [2].
schen Konfliktes, in dem ein in München ansäs-
siges Mobilfunkunternehmen sowie ein
ebenfalls in München ansässiges namhaftes
Elektronikunternehmen gegen die Betreiber
einer Website Klage anstrebt, der über entspre-
chende Anbieter von Freischalt-Werkzeugen
und die Methodik mit entsprechenden Links
berichtet hatten, stellt sich allerdings die Frage
der Informationsfreiheit.
073-7
die datenschleuder. 073 / Winter 2000
073-7
BITVERTEUERUNG AKTUELL: SIM-LOCKS
073-8
#073 / Winter 2000 die datenschleuder.
073-8
BITVERTEUERUNG AKTUELL: SIM-LOCKS
073-9
die datenschleuder. 073 / Winter 2000
073-9
BITVERTEUERUNG AKTUELL: SIM-LOCKS
073-
#073 / Winter 2000 die datenschleuder.
073-10
BITVERTEUERUNG AKTUELL: SIM-LOCKS
073-
die datenschleuder. 073 / Winter 2000
073-11
BITVERTEUERUNG AKTUELL: SIM-LOCKS
073-
#073 / Winter 2000 die datenschleuder.
073-12
REALITÄTSVERLUST CYBERCRIME CONVENTION
Cybercrime Convention
von Frank Rosengart
Seit 1997 kursiert ein weiteres Schreckgespenst hinsichtlich der Einschränkung von Bürger-
rechten. Der Europarat erarbeitet eine Konvention, nach der sich die Mitgliedsstaaten zur
Mindeststandards bei der Strafverfolgung von Taten in Zusammenhang mit Computern
und Kommunikationsmitteln ("Cybercrime") verpflichten.
Wie auch schon bei den Enfopol-Plänen waren Schutz unterliegen. So kann also die harmlose
massive Nachforschungen seitens Bürgerrecht- Benutzung eines FTP-Servers bereits verfolgt
lern und Presse nötig, bis der Entwurf öffentlich werden, wenn der Betreiber die Daten (im
wurde. Nachhinein) als nichtöffentlich bezeichnet. Dies
wird zwar in einer Fußnote eingeschränkt,
Aus dem Justizministerium heißt es, die Kon-
jedoch unterliegen Fußnoten üblicherweise
vention soll vor allem Rechtssicherheit im Inter-
auch einer gewissen Fluktation, so dass jeder
net schaffen. Die schafft es auch, nämlich für
neue Entwurf dieser Konvention entsprechend
Justiz und Polizeibehörden. Aber auch für Fir-
kritisch und sorgsam begutachtet werden muss.
men, die mangelhafte Sicherheit in ihren Pro-
dukten und Dienstleistungen implementiert Viel Spielraum für Interpretation lässt der
haben. Die Cybercrime-Konvention erlaubt es Begriff "on a commercial scale", der als Maß-
den Firmen, eine zu detaillierte Veröffentli- stab strafbare Urheberrechtsverletzungen im
chung der Sicherheitsprobleme strafrechtlich Sinne der WIPO-Abkommen gilt. Damit scheint
verfolgen zu lassen. Auch der konkrete Nach- das speziell deutsche Recht auf private Kopien
weis von Sicherheitslücken wird extrem zumindest nicht angetastet.
erschwert, da die Mitgliedsstaaten Gesetze
Für Datenschützer haarsträubend ist der zweite
erlassen müssen, die die Erstellung von "Hak-
Abschnitt der Konvention, der sich mit dem
kertools" unter Strafe stellen. Das Justizmini-
Erhebung von Verkehrs- und Inhaltsdaten in
sterium betont dabei, dass "dual-use"
Echtzeit beschäftigt. Damit scheint die Ver-
Anwendungen nicht dadurch erfasst werden.
pflichtung zur Implementierung von LI (Lawful
Jedoch steht im Draft 24 der Konvention, dass
Interception) eindeutig besiegelt und auch die
Programme, die "primarily" für den kriminellen
Verpflichtung der Provider, als rechte Hand der
Gebrauch bestimmt sind, verboten werden
Strafverfolgungsbehörden zu agieren und sich
müssen. Das widerspricht eindeutig der Idee,
um die Erhebung und Sicherung der Beweisda-
dass nützliche Tools erlaubt bleiben.
ten zum kümmern. Bedenken, dass versteckt
Einige der Punkte der Konvention werden ein Key Recovery gefordert wird, sind nicht
bereits durch das deutsche Recht abgedeckt, bestätigt. Den Providern bleibt es frei, die ent-
wie zum Beispiel das "Ausspähen von Daten". schlüsselten Daten den Behörden zu übergeben
Hier fehlt jedoch ein Hinweis darauf, dass die - oder besser, gar nicht erst Nutzungsdaten zu
Daten eindeutig als nichtöffentlich gekenn- erheben. Provider sind nur gezwungen, Daten
zeichnet sein müssen und einem besonderen herauszugeben, die sie auch haben. Allerdings
073-
die datenschleuder. 073 / Winter 2000
073-13
REALITÄTSVERLUST CYBERCRIME CONVENTION
können trotzdem nationale Gesetze die Provider zur Erhebung und Aufbewahrung von Daten zwin-
gen. Das Justizministerium betont, dass die Daten immer nur im Rahmen eines Rechtshilfeersuchen
zur Verfügung gestellt werden müssen. Dank EuroPol steht aber der ungehinderten Reise der Daten
nichts mehr im Wege. Die Datenreise könnte also bald zu einem strafrechtlichen Horrortrip werden.
Das Dokument wird jetzt im Dezember in die vorerst letzte Runde gebracht und ist in der Fassung
24 im Netz zu finden. Zwischendurch war mal der Draft 19 öffentlich geworden. Zwischenversionen
hält die Kommission aus Rücksicht auf "diplomatische Empfindlichkeiten" zurück. Erst wenn das
Abkommen ratifiziert wurde, wird sich zeigen, wie die Staaten die einzelnen Paragrafen interpretie-
ren und in nationales Recht umsetzen. Holland hat immerhin schon einen Anfang gemacht und will
schon vor der Ratifizierung seine Gesetze entsprechend anpassen.
Dann muß wohl demnächst auf jedem Exemplar der Datenschleuder folgender Hinweis angebracht werden: “Achtung: der Bundes-
gesundheitsminister warnt: >Die Datenschleuder< gefährdet Ihre Gesundheit! Bereits eine einzige Ausgabe diser Publikation enthält
eine Strichcode-Dosis in mind. 32facher Höhe im Vergleich zu herkömmlichen Zeitschriften.”
073-
#073 / Winter 2000 die datenschleuder.
073-14
CHAOS REALITÄTSDIENST EXTREM
Politikfnords oder
die Realitäten bundesdeutscher
Abgeordneter und Jugendschützer
von Jadis
Daß wir alle in verschiedenen Realitäten leben und jeder seine eigene Wirklichkeit (TM)
konstruiert, sollte seit längerem bekannt sein. So leben auch Politiker in ihrer eigenen,
kleinen Realität und dies durfte ich bei einer Einladung als Sachverständige für den CCC
bei einer öffentlichen Anhörung des Bundestages bestaunen.
Der Ausschuss für Familie, Senioren, Frauen und Jugendschutz.net mit ihrer Präsentation
und Jugend lud zur Anhörung über Jugend- der "Gesammelten Scheußlichkeiten des Inter-
schutz im Internet ein und bat um Stellung- nets der letzten Jahre" aufwartete und die
nahme. Geladen waren Expertinnen und Anhörung von der Sach- auf die Gefühlsebene
Experten der Kirchmedia GmbH, des Deut- kippte. Vom Zeitpunkt, da die Abgeordneten
schen Jugendinstitutes, des Verbandes Privater diese unsäglichen Bildchen und Parolen sahen,
Rundfunk- und Telekommunikation e.V., des war man sich einig, daß man so etwas in jedem
Jugendschutz.net, der FSK, des Deutschen Kin- Falle unterbinden müsse. Anmerkungen der
derschutzbundes e.V., der BPjS, des Hans-Bre- Abgeordneten wie:"Wenn uns das jetzt schon
dow-Institutes für Medienforschung, der so schockt, was muß das dann erst mit Kindern
Landesmedienanstalt Saar, der FSM und des machen?" oder " Kann man nicht verhindern,
Chaos Computer Club e.V. Zum Thema gab es daß man sowas überhaupt aufrufen kann?"
einen Fragenkatalog und einen Entschließungs- ließ an der "Medienkompetenz" mancher
antrag der von SPD und Grünen getragen Abgeordneten zweifeln.
wurde. In diesem Antrag ging es beispielsweise
Die Lösung liegt auf der Hand: wir filtern alles
darum, "einen wirksamen Jugendschutz recht-
und machen den BPjS-Index nicht mehr öffent-
lich und technisch auch bei Anbieteren von
lich.
Netzinhalten (z.B. in Online-Diensten) zu ver-
wirklichen" oder auf die Bekanntmachung der Studien sprechen gegen den Einsatz von Fil-
Indizierungsentscheidungen im Bundesanzeiger tern. Die COPA-Untersuchung (Commission on
zu verzichten, "um jugendgefährdenden Ange- Child Online Protection, http://www.copacom-
boten in Datennetzen nicht zusätzliche Publizi- mission.org), eine us-amerikanische Studie die
tät zu verschaffen". im Oktober dem Kongress vorgelegt wurde
stellt die Tendenz zum "overblocking" von Fil-
Sachlichkeit sollte Trumpf sein und Experten
tersoftware fest, d.h. es fällt bei der Filterei vie-
sollten ihre Meinung kund tun. Ein gutes Kon-
les sinnvolles unter den Tisch und in den
zept im Angesicht des emotional aufgeladenen
meisten Fällen bleibt es für die User auch noch
Themas. Mit der Sachlichkeit war es aber spä-
intransparent, was eigentlich genau gefiltert
testens dann vorbei, als die Bundesprüfstelle
073-
die datenschleuder. 073 / Winter 2000
073-15
CHAOS REALITÄTSDIENST EXTREM
wird. Dies drang nach meinem Empfinden aber dern daß es nicht um Konzepte für Jugendliche
nicht mehr in das Bewußtsein der nunmehr und deren Umgang mit Realitäten ging, son-
sozialethisch desorientierten Abgeordneten. dern um fiese Sachen, die man eben nicht will
Auch die Tatsache, daß Filtersoftware in Stu- (auch nicht, und gerade nicht für Erwachsene).
dien (z.B. unter [1]) mit einer Fehlerquote von Dies kommt auch in einem Punkt des Entschlie-
teilweise über 80% nicht gerade hervorragend ßungsantrages zum Tragen, in dem die Nicht-
abschnitten, schien nicht zum Nachdenken Veröffentlichung der Entscheidungen der Bun-
anzuregen. desprüfstelle im Bundesanzeiger gefordert wird.
Die mangelnde Effizienz von Filtersoftware Das ist angedacht, um den Jugendlichen die
wurde auch von den anwesenden Experten Möglichkeit zu nehmen, sich die besten Adres-
zum größten Teil nicht bestritten. Die Vertrete- sen für fiese Sachen aus dem Bundesanzeiger
rin des Kinderschutzbundes bemerkte, daß zu besorgen. Wieweit der Bundesanzeiger tat-
auch die Seite ihrer Institution mit handelsübli- sächlich Verbreitung unter Jugendlichen findet,
chen Filtersystemen nicht mehr aufzurufen sei, sollte man untersuchen, bevor man in das Mit-
da auf diesen Seiten auch das Thema "Sex" telalter zurückkehrt, wo ungeeignete Schriften
thematisiert und somit die Seite herausgefiltert vor den Laien auf dem päpstlichen Index
würde. Auch andere bestätigten diesen Ein- geheimgehalten wurden. In einer Demokratie
druck und hielten Filtersysteme nicht gerade für müssen entsprechende Indizierungen für den
der Weisheit letzter Schluß. Dennoch blieb der Bürger transparent sein und dürfen keinesfalls
Eindruck, daß nach dem Blick auf die Schmud- geheimgehalten werden.
delecken des Internets, Filter ja irgendwie nicht
Ein interessanter Realitätsabgleich in der Welt
schaden könnten und irgendwas müsse man ja
der Politik, die Menschen vor Schlimmen
tun. Der Bertelsmann-Konzern tut in diesem
bewahren will und dafür Grundrechte opfert.
Zusammenhang ja auch was und empfiehlt Fil-
ter an Schulen und Bibliotheken, sicherlich gibt
es da auch finanzielle Unterstützung und dann
kann´s ja eigentlich nur gut sein, oder?
[1] http://www.peacefire.org/error-rates/
[2] http://www.icra.org
073-
#073 / Winter 2000 die datenschleuder.
073-16
BIG BROTHER IS... LISTENING!
Auf den folgenden Seiten drucken wir eine Broschüre der Firma täre", "diktatorische" oder schlicht "undemokratische" Staaten
Siemens ab, die Dienstleistungen bewirbt, die normalerweise in der Regel nicht weniger auf Gesetzen, und die entsprechen-
nicht beworben werden: Lawful Interception. Das sogenannte den Eingriffe in das Fernmeldegeheimniss - so es denn über-
"gesetzesmässige Abhören" - längst integrierter Funktionsum- haupt existiert - auf "gesetzlichen Vorgaben". Kurz: wenn die
fang des Telefonnetzes auf Basis etwa der Siemens EWSD-Tech- Militärregierung eines afrikanischen Landes Ihre Bürger in gro-
nologie (Elektronisches Wählsystem Digital) befindet sich dabei ßen Maßstab abhört ist das genauso "gesetzmässiges Abhö-
üblicherweise in der sogenannten "Passiv-vermarktung" [1], die ren" (lawful interception) wie die Aktionen der chinesischen
Broschüre ist wohl eher für den speziellen Kundenkreis der Regierung gegenüber den internetnutzenden Bürgern Ihres
"Bedarfsträger" formuliert. Landes.
Auch wenn man als braver Bürger in Anerkenntnis der "freiheit- An dieser Stelle kommen wir dann - der einfachkeit halber Ori-
lich demokratischen Grundordnung" und des Grundgesetzes entiert an der zusammenfassenden Funktionsumfangsliste auf
dabei neben dem Grundgesetz Artikel 10 Absatz 1 [2] auch die Seite 15 der Broschüre - an den nächsten Punkt, gleich nach
in Absatz 2 angedeuteten Einschränkungen und die entspre- "erfüllt strengeste gesetzliche Vorgaben". Dort steht: "flexibel
chenden Vielfältigungen weiteren Gesetze (G10 - Gesetz, §§ konfigurierbar und skalierbar" und damit kommen wir zur ent-
100a, 100b der Straf- prozessordnung, §§ 39 bis 43 des Aus- scheidenden Frage: wie bitteschön soll dein eine flexibel konfi-
senwirtschaftsgesetzes etc.) akzeptiert, so kann dies doch nicht gurierbar- und skalierbare Technologie strengste gesetzkliche
darüber hinwegtäuschen, daß die Siemens-Technologie "Law- Vorgaben erfüllen?
ful Interception" noch viel mehr ermöglicht.
Auch auf diese Frage weiss die Broschüre eine Antwort, auf
Denn die auf der einen Seite beworbene Erfüllung "strengster Seite 4: "Bei veränderten Anforderungen wieder Neuinvestitio-
gesetzliche Vorgaben" (Broschüre Seite 15) sagt ja noch lange nen tätigen? Setzen Sie stattfessen auf eine flexible und aus-
nicht, um welche Gesetze welchen Landes es sich handelt. Sie- baufähige Gesamtlösung".
mens verkauft sowohl die Vermittlungs- stellentechnik EWSD
Also: wenn wir - z.B. mithilfe von Gesetzen - unsere freiheitli-
als auch die dazugehörige LI (Lawful Interception) Technologie
che Demokratische Grundordnung vom Effekt her in einen
weltweit in alle möglichen Staaten.
totalitären Staat verwandeln und entsprechend die gesetzlichen
Mögen in einem Land wie der Bundesrepublik Deutschland die Grundlagen zur Telekommunikationsüberwachung ausdehnen
im Rahmen der mehr oder weniger Überzeugender Legitimati- ist das mit Siemens-LI-Technologie ganz flexibel und ausbaufä-
ons-Simulation durchgeführten gesetzlich begründeten Ein- hig zu realisieren. Supa, oder?
griffe in das Fernmeldegeheimniss immerhin auf nachlesbaren
Neben den technischen Details dieses Systems - die interessante
Gesetzen und Zuständigkeiten beruhen und sich entsprechend
Kompatibilität zu Anforderungen von ETSI und NSA - aufweist
"demokratisch" nennen, so beruhen auch sogenannte "totali-
(Absende- spezifische Telekommunikationsmarkierung und
dezentrale T-Stücke mit Mustererkennungsweichen) sei aller-
dings noch eine weitere Frage in den Raum gestellt: was ist
[1] Passiv-Vermarktung ist das bereithalten von Produkten denn eigentlich der Unterschied zwischen gesetzlich legitimier-
oder Dienstleistungen, deren Existenz allerdings extern nicht
ten Abhören (lawful interception) und dem großflächigen
kommuniziert und beworben wird. Das "nationale" 1 TR6-
ISDN bei der Telekom fällt darunter ebenso wie die Mickey- Abhören von Telekommunikation durch Geheimdienste (signal
Mouse-Hefte in der Lufthansa Business Class: Angeboten wer- intelligence).
den einem die Sachen nicht, aber wenn man danach fragt,
Ich habe weder in der Broschüre noch in der Wirklichkeit bis-
bekommt man es.
[2] (1)Das Briefgeheimnis sowie das Post- und Fernmeldege- lang eine Antwort darauf gefunden, auch wenn wir natürlich
heimnis sind unverletzlich. normalerweise von einem gezielten Eingriff / Abhören von TK
(2) Beschränkungen dürfen nur auf Grund eines Gesetzes gegenüber dem standardmässigen und weitflächigen Abhören
angeordnet werden. Dient die Beschränkung dem Schutze der
freiheitlichen demokratischen Grundornung oder des von TK ausgehen. Aber vielleicht findet sich unter den Lesern ja
Bestandes oder der Sicherung des Bundes oder eines Landes, so jemand, der eine überzeugende Antwort parat hat. Entspre-
kann das Gesetz bestimmen, daß sie dem Betroffenen nicht chende Hinweise nimmt jeder Telefonapparat am öffentlichen
mitgeteilt wird und dass an die Stelle des Rechtsweges die
Netz unter dem Stichwort "Bundesstelle für Fernmeldestatistik"
Nachprüfung durch von der Volksvertretung bestellte Organe
und Hilfsorgane tritt." entgegen.
073-
die datenschleuder. 073 / Winter 2000
073-17
BIG BROTHER IS... LISTENING!
073-
#073 / Winter 2000 die datenschleuder.
073-18
BIG BROTHER IS... LISTENING!
073-
die datenschleuder. 073 / Winter 2000
073-19
BIG BROTHER IS... LISTENING!
073-
#073 / Winter 2000 die datenschleuder.
073-20
BIG BROTHER IS... LISTENING!
073-
die datenschleuder. 073 / Winter 2000
073-21
BIG BROTHER IS... LISTENING!
073-
#073 / Winter 2000 die datenschleuder.
073-22
BIG BROTHER IS... LISTENING!
073-
die datenschleuder. 073 / Winter 2000
073-23
BIG BROTHER IS... LISTENING!
073-
#073 / Winter 2000 die datenschleuder.
073-24
NOKIA – (DIS-)CONNECTING PEOPLE...
Daß der nach eigenen Angaben größte Hersteller von Mobiltelefonen wirklich nette
Taschenbeschwerer herstellt, die im Allgemeinen auch ziemlich gut funktionieren, dürfte
den meisten von uns bekannt sein. Auch daß es da ein Modell gibt, das eben genau das
manchmal nicht tut, und folglich seine Besitzer hauptsächlich mit der Frage quält, wann
es wohl als nächstes abtürzen wird, hat sich mittlerweile herumgesprochen. Doch daß das
Nokia 7110, um das es hier hauptsächlich gehen soll, sich remote rebooten läßt, ist schon
weniger Leuten bekannt.
Grund dafür ist ein Fehler im Resolving-Algo- Exemplare verweigern in dieser Zeit auch jegli-
rithmus, der zu einer Nummer den dazugehöri- che sonstige Kommunikation.
gen Namen im Telefonbuch heraussucht.
Nun mag dies alles recht wenig interessant klin-
Existieren zu einem Namen nämlich zwei iden-
gen, denn wer hat schon so merkwürdige Ein-
tische Rufnummerneinträge, die außerdem
träge in seinem Telefonbuch? Nun ja, von
jeweils mit einem "*" beginnen, so hängt sich
selbst kommen die da nicht rein, aber vielleicht
das Telefon beim Auflösen der Nummer (ohne
per SMS?
"*" versteht sich) auf. Dies betrifft alle Gele-
genheiten, bei denen das Telefon versucht, Smart Messaging
statt einer Nummer einen Namen anzuzeigen, Um solche Dinge zu ermöglichen, hat Nokia
also Lesen von Kurzmitteilungen von dieser das Smart Messaging erdacht. Jeder kennt die
Nummer, Aufbau von Verbindungen zu dieser Visitenkarten, die sich nicht nur per IR, sondern
Nummer und natürlich ankommende Anrufe auch als SMS verschicken lassen. Auch Logos
von dieser Nummer. Da der Algorithmus nur und Klingeltöne werden so verschickt. Wir
die letzten 7 Stellen vergleicht, kann es auch haben uns im Zusammenhang mit dem oben
noch andere Nummern betreffen. Ankom- beschriebenen Bug etwas mit Smart Messaging
mende Anrufe von diesen Nummern werden beschäftigt und wollen Euch heute am Beispiel
nicht signalisiert und das Telefon begibt sich in der Compact Business Cards einen kleinen Ein-
einen extrem interessanten Modus: Während blick geben.
die Statusanzeige nichts erahnen läßt, bereitet
sich das Telefon tief im inneren schon mal auf Die Telefone verschicken Business Cards nor-
einen Reboot vor. Versucht man es dabei zu malerweise im standardisierten vCard-Format.
stören, etwa indem man Speicherfunktionen Ja, genau, das ist das, was der Netscape Mes-
aufruft (Telefonbuch, Anruflisten, SMS), so senger manchmal mitschickt. Das Format funk-
bootet es auch sofort, ansonsten läßt es sich ca. tioniert leider nicht, wenn man es selbst
eine Minute Zeit. Bei einigen Modellen kann es schreibt, da es von 8-Bit-Übertragung der SMS
auch mal eine Viertelstunde sein, und einige und dem User Data Header abhängig ist. Text-
073-
die datenschleuder. 073 / Winter 2000
073-25
NOKIA – (DIS-)CONNECTING PEOPLE...
SMS werden aber normalerweise nur im 7-Bit- ich die Nummer ja mal gebrauchen" und spei-
Format übertragen. chert sie ab. Kurze Zeit später ruft A von einem
beliebigen Telefon, das xxxxxxx als letzte Stel-
Doch fuer Business Cards gibt es noch ein
len der abgehend übermittelten Rufnummer
anderes in den Smart Messaging Specifications
hat, bei O an. Und drei Minuten später wieder.
festgelegtes Format, das sich auch mit dem in
Und wieder. O bekommt von den Anrufen
eurem Telefon eingebauten Gimmick-Parser
nichts mit, da das Telefon ja nichts anzeigt.
verschicken läßt. Das Format ist ziemlich simpel
Vielleicht bemerkt er noch nicht einmal, daß
und geht so (<lf> = Line feed); Schlüsselwörter
sein Telefon regelmäßig rebootet und dadurch
sind grundsätzlich case-sensitive.)
fast die ganze Zeit nicht erreichbar ist. Ist O
Business Card<lf> <name><lf> <com- beruflich von Erreichbarkeit abhängig, so kann
pany><lf> <title><lf> <phone><lf>
<fax><lf> <email><lf> <postal-ad-
das böse Folgen haben. Wenn A auch noch
dress><lf> eine SMS von einer xxxxxxx-Nummer aus an A
Alle Felder, die in der Mitte leergelassen wer- schickt, kann O keine SMs mehr lesen, bis er
den sollen, müssen trotzdem mit <lf> abge- den Eintrag im Telefonbuch gelöscht hat.
schlossen werden. Alle am Ende leergelassenen
Da für xxxxxxx-Nummern keine Einträge in der
felder können weggelassen werden. Der Auf-
Anruferliste angelegt werden, wird O auch nie
bau von <phone> und <fax> ist tel <telefon-
erfahren, von welcher Nummer A anruft, denn
nummer> bzw. fax <faxnummer> wobei auch
A verwendet natuerlich_nicht_ die 0172-
mehrere durch <lf> getrennte Zeilen exitieren
xxxxxxx. Findet O tatsächlich den Telefonbuch-
können. Beispiel: Business Card<lf> T-0190-
eintrag, so fällt der Ärger womöglich noch auf
Info<lf> <lf> <lf> tel +49130190190<lf>
den Besitzer der D2-Nummer zurück.
Einziges Problem ist, daß man Nokia-Telefonen
normalerweise kein Linefeed eingeben kann.
Betrifft’s mich?
Doch z.B. mit dem Palm-Programm "SMS Der Bug wurde uns mittlerweile von vielen Leu-
Monkey Messenger" lassen sich selbst in der ten bestätigt. Allerdings kursierte die Meinung
Shareware-Demo-Version genug LFs per IR er beträfe nur ältere Telefone. Nun ja, zumin-
zum Telefon schicken. dest mit von uns getesteten 7110ern mit den
Softwareversionen 4.80, 4.84, 4.88 und 5.00
Nokia Attacks! hat alles problemlos funktioniert. Auch ein
Doch kehren wir zurück zum Ausgangspunkt 6210 mit V4.08 war betroffen. Man bedenke,
dieses Berichtes: Wir wollten ja ein Telefon daß die Version 5.00 erst wenige Wochen alt
remote rebooten. ist. Bedanken wir uns bei Nokia !
Stellen wir uns einmal folgendes Beispiel vor: Wir werden uns weiter mit Smart Messaging
Angreifer A schickt Opfer O direkt oder über beschäftigen und bei Interesse (hoffentlich) in
einen FreeSMS-Dienst Business Card vom fol- der nächsten DS weiter berichten. Weitere
genden Format: Informationen zu Smart Messaging finden sich
in den Smart Messaging Specifications, die man
Business Card<lf> Claudia<lf> <lf> <lf> tel
im Developer-Bereich von [1] findet. Feedback
*0172xxxxxxx<lf> tel *0172xxxxxxx<lf>
zum Artikel an mailto:nokiafun@high.de.
claudia_17@hotmail.com<lf>
073-
#073 / Winter 2000 die datenschleuder.
073-26
OFFTOPIC
In the light of your failure to elect a President of the USA and thus to govern yourselves, we
hereby give notice of the revocation of your independence, effective today.
Her Sovereign Majesty Queen Elizabeth II will 5. You should relearn your original national
resume monarchial duties over all states, com- anthem, "God Save The Queen", but only
monwealths and other territories. Except Utah, after carrying out task 1. We would not want
which she does not fancy. Your new prime min- you to get confused and give up half way
ister (The rt. hon. Tony Blair, MP for the through.
97.85% of you who have until now been
6. You should stop playing American "foot-
unaware that there is a world outside your bor-
ball". You will no longer be allowed to play it,
ders) will appoint a minister for America with-
and should instead play proper football. Those
out the need for further elections. Congress
of you brave enough will, in time, be allowed
and the Senate will be disbanded. A question-
to play rugby (which is similar to American
naire will be circulated next year to determine
"football", but does not involve stopping for a
whether any of you noticed.
rest every twenty seconds or wearing full kevlar
To aid in the transition to a British Crown body armour like nancies).
Dependency, the following rules are introduced
7. You should declare war on Quebec and Fra-
with immediate effect:
nce, using nuclear weapons if they give you
1. You should look up "revocation" in the any merde. The 98.85% of you who were not
Oxford English Dictionary. Generally, you aware that there is a world outside your bor-
should raise your vocabulary to acceptable lev- ders should count yourselves lucky. The Rus-
els. Look up "vocabulary". Using the same sians have never been the bad guys. "Merde"
twenty seven words interspersed with filler is French for "shit".
noises such as "like" and "you know" is an
8. July 4th is no longer a public holiday. Nov-
unacceptable and inefficient form of communi-
ember 8th will be instead, but only in England.
cation. Look up "interspersed".
It will be called "Indecisive Day".
2. There is no such thing as "US English". We
9. All American cars are hereby banned. They
will let Microsoft know on your behalf.
are crap and it is for your own good. When we
3. You should learn to distinguish the English show you German cars, you will understand
and Australian accents. It really isn't that hard. what we mean.
4. Hollywood will be required occasionally to 10. Please tell us who killed JFK. It's been driv-
cast English actors as the good guys. ing us crazy. Thank you for your cooperation.
073-
die datenschleuder. 073 / Winter 2000
073-27
COMPUTERUNSICHERHEIT
Nessus ist ein Remote-Security-Scanner welcher der Internetgemeinde völlig frei zur Verfü-
gung steht und sich sehr leicht per scripts updaten lässt. Nessus beruht im Gegensatz zu
fast allen anderen Scannern auf einen Client-Server Prinzip. Nessus vertraut, wenn man
der Website glauben schenken darf, nichts und niemanden.
Seit wann gibt es Nessus? Nessus wird im • Other vulnerability scanners are not clear in
Januar 2001 3 Jahre alt. Die öffentliche Version how they really perform a security audit. You
ist 2,5 Jahre alt. Während dieser Zeit wurde er don't see how they work, so you don't know
selbstverständlich gut betreut, und ist im Bezug how accurate they are. (read : "open source
auf Sicherheit "up-to-date". tools are great. Proprietary ones are not")
Wieviele Leute arbeiten an Nessus? Das Kern- • It's extremely fun. Try it, it's addictive.”
team besteht nur aus 2 Leuten, Jordan Hrycaj
Wie denkt Nessus?
und Renaud Deraison, zusätzlich kommt noch
Unterstützung von vielen anderen Menschen Er "denkt" nicht nach ports, sondern nach
rund um die Welt, wie bei OpenSource üblich. Eigenschaften der ports. So könnte z.B. der
Webserver auf Port 22 (ssh) laufen, Nessus
Warum Nessus? würde es nicht als ssh abstempeln, sondern
Auf die Frage, warum Nessus programmiert würde wirklich den Webserver erkennen. Nes-
wurde, erhielt ich folgende Antworten von sus checkt jeden Port des Hosts nach: -Service
Deraison: "To attempt to impress girls : der auf dem Port läuft -Versionsnummer des
Seriously though, I'm doing that because: Services -Begrüssungsteste, etc -Bekannten
Sicherheitslücken -Bekannten Standard-/
• Everyone should be able to determine if
Defaultpasswörter -Bekannten Exploits.
one's network (or single workstation) can be
easily broken into or not, without having to Weshalb die Modularität?
pass a degree in system administration and Naja, eigentlich doof die frage, ich weiss, aber
without having to pay thousands of dollars. I sie muss ja mal gestellt werden: Es gibt zu wirk-
don't want a 2,000 hosts lab to be broken into lich vielen Sicherheitslücken der letzten Zeit
just because they can not afford to assess their sogenannte "Exploits". Nessus besitzt die
own security. I don't want to let John Doe, Möglichkeiten diese Exploits in seinen Scan
who's been running Linux on his computer for miteinzubauen. Dadurch erhält der Systemad-
less than 10mn, to become a DDoS agent ministrator einen guten Einblick in sein System,
because the distribution he installed was ship- und weiss wo ein Cracker eindringen könnte.
ped with buggy stuff. (read : "free security for Als kleines feature enthält Nessus NASL (Nes-
all - from the most knowledgeable to the new- sus Attack Scripting Language), welche es
comer") erlaubt leicht und schnell Plugins zu program-
mieren. Auch Plugins in C sind möglich.
073-
#073 / Winter 2000 die datenschleuder.
073-28
COMPUTERUNSICHERHEIT
Wie ist Nessus den eigentlich aufgebaut? Und wie sagt mir Nessus dann was er
Nessus ist auf einer client-server architecture gefunden hat?
aufgebaut, was sehr viele Vorteile mitbringt. Nessus sagt nicht nur, was alles faul ist, sondern
sagt auch gleich "wie" faul es ist (von low bis
high). Nessus hat mehrere möglichkeiten seine
"reports" anzuzeigen. -ASCII -LaTeX -HTML -
*.nsr (das eigene format). Und das wichtigste
an Nessus: Es ist frei, und frei von jedem Kom-
merz.
073-
die datenschleuder. 073 / Winter 2000
073-29
DAS BESONDERE BUCH[TM]
073-
#073 / Winter 2000 die datenschleuder.
073-30
DAS BESONDERE BUCH[TM]
rien für die Umsetzung des Datenschutzes in Das Buch ist unterteilt in fünf Abschnitte. Der
der Zukunft. erste Abschnitt handelt von der Überwachung
durch die Strafverfolgung. Hauptsächlich wird
Das Buch ist ein Fundus an Informationen und
auf die jüngste Entwicklung in Europa einge-
deckt ein sehr breites Spektrum an Themen ab.
gangen, die durch die Einrichtung zahlreicher
Man muß aber schon ein gewisses Interesse
Computersysteme zur staatenübergreifenden
und Vorwissen mitbringen, denn die Beiträge
Speicherung von Überwachungsdaten und der
sind im Stil von Fachartikeln geschrieben und
stetigen Ausweitung der Befugnisse der Euro-
enthalten oft eine Vielzahl von Fußnoten mit
pol geprägt ist. Einen besonderen Stellenwert
Nebenbemerkungen, Definitionen oder Quel-
bekommen die Vorgänge um die mit "Enfopol"
lenangaben. Dafür dürfte der Wunsch auf Hin-
bezeichneten geheimen Dokumente zur Aus-
weise nach weiterführender Literatur mehr als
weitung der Überwachung und der Weitergabe
gedeckt sein. Wer sich eingehend mit Themen
der Überwachungsanordnungen zwischen EU-
des Datenschutzes und den Plänen für die nahe
Staaten.
Zukunft beschäftigen möchte, sollte einen Blick
in dieses umfangreiche Buch werfen. <seba- Im zweiten Abschnitt werden die Aktivitäten
stian> der Geheimdienste besprochen. In den Beiträ-
gen von Nicky Hader und Duncan Campbell
Helmut Bäumler (Hrsg.), E-Privacy – Datenschutz im
wird das globale Überwachungssystem Eche-
Internet, Verlag DuD-Fachbeiträge, Vieweg Verlag,
Braunschweig/Wiesbaden, ISBN: 3-528-03921-3 DM lon, seine Entwicklung und seine Fähigkeiten
69,– vorgestellt. Daneben werden die westdeutsche
Funkspionage und die US-Pläne zur Abwehr
von "Cyberattakken" untersucht.
Vom Ende der Der dritte Abschnitt trägt die Überschrift
Anonymität : Die "Zukunftslabor" und fällt schon rein optisch
aus dem Rahmen. Er enthält eine Sammlung
Globalisierung der von Beiträgen, die bereits in der Telepolis veröf-
fentlicht wurden. Was in den Beiträgen teil-
Überwachung weise wie Science-Fiction anmutet, sind
von Christiane Schulzki-Haddouti aktuelle Forschungsprojekte oder bereits im
Gerade erschienen ist das von Christiane Einsatz befindliche Systeme zur "intelligenten",
Schulzki-Haddouti herausgegebene Telepolis- automatisierten Überwachung.
Buch "Vom Ende der Anonymität: Die Globali-
Häufig werden Überwachungsmaßnahmen in
sierung der Überwachung". Der Untertitel des
Kauf genommen, wenn durch sie eine Senkung
Buches trifft meiner Meinung nach besser den
der subjektiven Gefährdung durch Straftaten
Inhalt, da das Buch in erster Linie von der Aus-
suggeriert wird. Der vierte Abschnitt handelt
dehnung der Überwachung und dem Eindrin-
von diesem Phänomen. Anhand des Beispiels
gen in die Privatsphäre handelt und erst in
England wird deutlich gemacht, wie die Über-
zweiter Linie der Frage nach der Anonymität
wachung zur Abwehr einer Gefahr (z.B. Bom-
nachgeht. Wie das vorgenannte Buch besteht
benanschläge der IRA) vorangetrieben und
dieses auch wieder aus Beiträgen namhafter
gerechtfertigt wird. Obwohl die Überwachung
Autoren, wobei jedoch die Zielgruppe eine
durch die technische Entwicklung immer tiefer-
breitere ist.
greifend und lückenloser wird, scheint ein
073-
die datenschleuder. 073 / Winter 2000
073-31
DAS BESONDERE BUCH[TM]
Großteil der Bevölkerung dies nicht wahrzu- sem Buch nicht finden. Was in diesem Buch
nehmen oder sich damit bereits abgefunden zu zusammengetragen wurde, sind Beispiele für
haben. Detlef Nogala vergleicht dies in seinem eine tiefgreifende Entwicklung, die viele noch
Beitrag mit einem "Frosch im heißen Wasser". gar nicht wahrgenommen haben. Es wird deut-
lich, wie notwendig eine breite öffentliche Dis-
Der letzte Abschnitt des Buches untersteht der
kussion ist. Mit diesem Buch werden dem Leser
Frage, ob Aufklärung möglich ist. Damit ist
die notwendigen Hintergrundinformationen
gemeint, wie sich beispielsweise Informationen
gegeben. Insbesondere für Einsteiger in diesen
aus einer Buchveröffentlichung über Echelon
Themenkomplex ist es daher geeignet. Viele
aus dem Jahre 1996 zunächst überhaupt nicht
Beiträge sind durch Literaturlisten komplettiert,
verbreitet haben, sobald die erste Aufmerksam-
die dazu anregen, sich weitergehend zu infor-
keitswelle abgeebbt war. Das Buch schließt mit
mieren. Insgesamt ist das Buch sehr empfeh-
der Beschreibung der Tätigkeiten internationa-
lenswert. <sebastian>
ler und deutscher Bürgerrechtsgruppen, die sich
gegen eine Ausweitung der Überwachung Christiane Schulzki-Haddouti, Vom Ende der Anony-
wehren. mität : Die Globalisierung der Überwachung, Verlag
Heise Verlag (Telepolis), Hannover, ISBN: 3-88229-
Wer detaillierte Einzelheiten über die Enfopol- 185-0 DM 29,–
Papiere oder Echelon erwartet, wird sie in die-
073-
#073 / Winter 2000 die datenschleuder.
073-32
BESTELLFETZEN
- Satzung + Mitgliedsantrag
DM 5,00
- Datenschleuder-Abonnement, 8 Ausgaben
Normalpreis DM 60,00 für
Ermässigter Preis DM 30,00
Gewerblicher Preis DM 100,00 (Wir schicken eine Rechnung)
Die Kohle
Name: ______________________________________________________________________
Strasse: ______________________________________________________________________
E-Mail: ______________________________________________________________________
Unterschrift: ______________________________________________________________________
073-
die datenschleuder. 073 / Winter 2000
073-33
KEHRSEITE