Neue Beiträge:

Macht doch mal euer eigenes Spiegel-Mining-Projekt

Überwachung mal andersrum: Wie wäre es denn, wenn wir einen auf David Kriesel machen, um die Online-Historie von Behörden, Unternehmen und anderen Entitäten, die eindeutig einer Überwachung durch die Bürger bedürfen, zu dokumentieren?

Wer David Kriesel nicht kennt: Ein so genannter Data Scientist, sympathischer Kerl mit ein paar spannenden Ideen, unter anderem das Projekt Spiegel-Mining. Er hat über einen längeren Zeitraum die Inhalte der Online-Ausgabe des Spiegel runtergeladen und diverse interessante Dinge herausgefunden, u.a. dass Headlines manipuliert werden, um Klickraten zu optimieren, oder wie es um die Debattenwilligkeit bei kritischen Themen bestellt ist, u.a.

Nun ist das, was der David da getan hat, nämlich Daten runterladen und auswerten, eine eher unhandliche Angelegenheit, wenn man nicht ohnehin schon im Bereich der Data Science unterwegs ist und seine Tools zur Hand hat.

Es gibt eine interessante OpenSource-Lösung, die nennt sich ArchiveBox. Dabei handelt es sich um Grunde um eine Anwendung, die im Wesentlichen das Gleiche tun soll wie das Internet Archive, nämlich in regelmäßigen Abständen Snapshots von Websites oder Webanwendungen zu machen, und diese in einem universellen, möglichst lange (>100 Jahre) nutzbaren Format zu archivieren. Auf Wunsch inklusive eventueller Downloads, Videos etc.

Man gibt einfach eine URL ein oder definiert eine ganze Website mit beliebiger Navigationstiefe und los gehts. Selbstverständlich sollte man - so als Privatnutzer im Kontext des Heimnetzwerks - ein bisschen im Blick behalten, wie viel Speicherplatz das so schluckt, und vielleicht nicht gleich das ganze Web archivieren wollen. Aber für bestimmte Fälle ist das ein interessantes Tool. Werde ich mal ausprobieren und meine Erfahrungen berichten.

Permalink

Kurzgebratenes (8): Adblocking, 100 Mio., Gesichtserkennung, Bitcoins ...

Falls noch mal jemand fragt oder in Zweifel zieht, ob man derzeit Adblocker nutzen sollte, auch wenn das vielleicht den Publikationen weh tut: Ja, man sollte.

Aber offensichtlich tut das Thema "unsichere Werbung" noch nicht weh genug, daher mein wiederkehrender Aufruf: Adblocker einsetzen, Javascript abschalten, den Werbenetzwerken und Publishern zeigen, dass das alles so nicht läuft. Es gibt viele lesenswerte Websites, die nicht völlig kaputt gehen, wenn man sie ohne aktiviertes JS anschaut. Und solange die Publisher sich nicht um meine Sicherheit scheren, schere ich mich auch nicht um deren Wohlergehen.

+ + +

Hier ist wieder ein Fall, wo Google euch ins Gesicht lügt, was Privatsphäre und Tracking angeht. In Australien hat man den Laden verknackt, weil er die User nicht über das wahre Ausmaß der Speicherung von Orts-/Bewegungsdaten in Kenntnis gesetzt hat.

+ + +

Einhundert Millionen weitere Intershit Of Net-Devices sind im Netz und verwundbar, weil sie veraltete Software nutzen. Darunter auch Maschinen, die mit FreeBSD laufen - beliebte Grundlage für Firewall-Produkte (z.B. pfsense).

+ + +

Ein weiteres gutes Beispiel, warum automatisierte Gesichtserkennung im Rahmen der Polizeiarbeit eine ganz eine schlechte Idee ist.

+ + +

Passt lieber auf, wenn ihr über euren ehemaligen Arbeitgeber herzieht und nicht ganz wahrheitsgetreue Bewertungen abgebt. Das ist ein Grund, Provider zur Herausgabe eurer Daten zu zwingen und euch somit zu de-anonymisieren, zwecks Drankriegen.

+ + +

Glaubt ihr, dass Bitcoin super für anonymes Bezahlen ist? Die CIA, bzw. ehemalige Mitarbeiter der Behörde, glauben das eher nicht.

"A currently serving official at the CFTC added that it “is easier for law enforcement to trace illicit activity using Bitcoin than it is to trace cross-border illegal activity using traditional banking transactions, and far easier than cash transactions.”

[...]

Glaser added that the U.S. government should “bring [cryptocurrencies] into the system and regulate them in the appropriate way.”

Na sowas.

EDIT 20.04.2021: Bank Of England überlegt, dieses ganze Bitcoin-Gelump auch mal schön zu zweckentfremden - meine Vermutung: Man kann Transaktionen viel besser überwachen?

Permalink

Keinen Bock auf FLoC? Völlig irrelevant.

FLoC = Federated Learning of Cohorts. Das ist Googles angeblich die Privatsphäre der Surfer respektierende Lösung, wie man Werbetreibenden auch ohne Cookies zielgruppengerechte Werbung ermöglichen will.

In diesem von Google betriebenen Blog kann man nachlesen, was sich der Laden dabei gedacht hat.

Und in diesem Artikel der EFF kann man nachlesen, warum FLoC so übel ist. Und dass Google euch einfach wie üblich ins Gesicht lügt, wenn es um Tracking und Privatsphäre geht.

Es gibt diverse Rezepte, wie man sich dem FLoC entziehen können soll. Z.B. eine Browser-Extension nutzen und Chrome nicht nutzen. Oder Out-opten.

Aber: FLoC ist nur ein kleiner Teil eines globalen Tracking-Problems, das alle größeren, verbreiteten Browser betrifft. Probiert einfach mal selbst aus.

Und Google ist auch nur eine Teilmenge der Werbeindustrie, tatsächlich gibt es von anderen Firmen noch forschere Ansinnen, euch zu tracken. Mit E-Mail-Adressen zum Beispiel.

Und ihr fragt euch natürlich, äh, wie soll das gehen mit dem Tracking per E-Mail-Adresse, wenn ihr die gar nicht rausgegeben habt an die Werbetreibenden? Ganz einfach: Die Website-Betreiber, denen man eigentlich vertrauen möchte, lassen (von einem externen Dienstleister!) mit Hilfe eurer E-Mail-Adresse einen eindeutigen Identifier erzeugen, der dann fürs Tracking hergenommen wird:

  1. A publisher (like a website or app) asks a user for their personally-identifying information (PII), like an email address or a phone number. 
  2. The publisher shares that PII with a UID2 “operator” (an ad tech firm).
  3. The operator hashes the PII to generate a “Unified Identifier” (the UID2). This is the number that identifies the user in the system.
  4. A centralized administrator (perhaps The Trade Desk itself) distributes encryption keys to the operator, who encrypts the UID2 to generate a “token.” The operator sends this encrypted token back to the publisher.
  5. The publisher shares the token with advertisers.
  6. Advertisers who receive the token can freely share it throughout the advertising supply chain.
  7. Any ad tech firm who is a “compliant member” of the ecosystem can receive decryption keys from the administrator. These firms can decrypt the token into a raw identifier (a UID2). 
  8. The UID2 serves as the basis for a user profile, and allows trackers to link different pieces of data about a person together. Raw UID2s can be shared with data brokers and other actors within the system to facilitate the merging of user data.

Aber das nur am Rande. Zurück zum Thema Tracking im Allgemeinen:

Es gibt tolle Blogposts von überall her, die euch eine schicke Checkliste liefern mit Punkten, wie man Tracking beendet. Da sind dann so tolle Sachen drin wie

  1. Benutze den Inkognito-Modus
  2. Bau Security-Plugins ein
  3. Installiere Virenscanner und Anti-Malware-Tools
  4. Benutze einen VPN-Anbieter, der Privatsphäre verspricht

Ich muss euch leider eins sagen: Hilft alles nix oder macht es nur noch schlimmer. Schlangeöl installieren, um Tracking zu verhindern? VPN-Anbieter nutzen, der euren Datenstrom mitschneiden kann, wenn er will? Euer Browser-Fingerprint ist in aller Regel sowieso nahezu eindeutig, erstrecht, wenn ihr euch bemüht, Tracking auszuweichen. Auch dann, wenn ihr (wie ich immer propagiere) Javascript ausgeschaltet hat.

Ist ja wie immer alles furchtbar und grausaum. Und jetzt? Wo bleibt der Lösungsvorschlag?

Ganz einfach: Es gibt keinen (pragmatischen, alltagstauglichen, normale Websites nicht kaputt machenden) Ansatz, der Tracking garantiert beendet. End Of Story, sorry.

Aber macht es den Trackenden wenigstens so schwer wie möglich. Zu dem Thema gibt's was an dieser Stelle.

EDIT 19.04.2021: WordPress will FLoC als Sicherheitsproblem behandeln. Applaus.

Permalink

Kennt ihr USB-Kondome?

Nein, nicht, was ihr denkt. Dass man sich Viren mittels USB-Vibrator einfangen kann, ist nix Neues - die Dinger gibt es schon seit gut einem Jahrzehnt.

Aber dafür sind USB-Kondome nicht gedacht. Sondern für folgende Situation:

Ihr haut euch in einer Shisha-Bar auf ein cooles Fluffy-Sofa und lutscht an so einer Pfeife herum, während euer Daumen am Smartphone durch den Facebye-Feed scrollt. Plötzlich jammert das Handy rum, dass der Strom bald alle sei.

HÖCHST erfreulicherweise hat der Betreiber der Shisha-Bar USB-Buchsen in die Wand neben das Sofa gekloppt, damit ihr während des Paffens nicht auf euren Medienkonsum verzichten müsst. Ihr stöpselt also euer Handy an diese USB-Buchse in der Wand und hört dieses unheimlich befriedigende "Palingdong", das gleichbedeutend ist mit "Laufzeit verlängert, Tag gerettet!"

Und in nicht allzu weiter Ferne häckert leise ein Häcker hinter der Wand, dessen Laptop zwar fein Strom liefert an euer Smartphone, aber gleichzeitig auch lecker Daten von eurem Handy zutzelt. Man nennt das "Juice Jacking".

Ich höre gerade mindestens einundelfzig panische "Oh shits" durch den Äther hallen. Weil das beschriebene Szenario jetzt nicht so völlig abwegig ist, gell? Ersetzt halt Shisha-Bar mit Bahnhofs-Sitzinsel, Hotel-Bar, Eisdiele, Pizzeria, whatever.

HILFE! HILFE! Das ist ja alles furchtbar! Überall wird man gehackt! Was huhn? Gack, gack!

Sucht mal beim Versandhändler eures Vertrauens nach dem Keyword USB Daten Blocker. Oder nehmt einfach euren eigenen tragbaren Akku mit. Da müsst ihr nicht mal nach irgendeiner fremden USB-Buchse suchen.

Oder steckt ihr euren Lümmel einfach so in... ? Eben.

Permalink

Audi mit Amazon-Spyware

Was Fiat kann, kann Audi schon lang. Und VW. Und BMW. Und Toyota. Und Volvo auch bald.

Die kooperieren alle mit Amazon. Das hatte ich gar nicht so auf dem Schirm, wie weit sich die "Assistenten"-Pest bereits in den Autokonzernen ausgebreitet hat.

Das neue SDK ermöglicht es Alexa im Lamborghini Huracán Klimaanlagen, Sitzheizungen, Innenbeleuchtung und die Fensteröffnung per Sprachbefehl zu steuern. Sämtliche Basis-Funktionen wie die Anrufkoordination oder Steuerung der Musikwiedergabe sind natürlich ebenfalls mit an Bord.

Gut, ein Lambo ist jenseits meines Paygrades. Aber ich gehe nicht davon aus, dass es lange dauert, bis ein vergleichbares Level an Spytainment auch in der Holzklasse der Automobilwelt zu finden ist. Zumal nur dort ausreichend Menschenmasse für ein großflächiges Datensammeln existiert.

Interessant auch die Frage, wie lange es noch "normale" Autos ohne diesen ganzen Spyware-Mist gibt. Die Tage der Privatsphäre im Auto sind gezählt.

Wer nicht warten will, aber eine alte Karre hat: Es gibt ein Echo Auto. Einfach mal suchmaschinieren, ich verlinke absichtlich nicht.

Permalink

Ein Herz für Milliarden

Passt ja wie die Faust in den Mund: Auch aus den Beständen von LinkedIn sind Daten über eine halbe Milliarde Menschen Accounts in den freien Umlauf geraten. LinkedIn gehört mittlerweile zu Microsoft.

Vor ein paar Tagen gab es vermehrt Berichte über einen Datenschatz von Facebook, der in die Wildbahn geraten war und verhökert wird.

Sind wir nun zusammen bei über einer Milliarde Account-Daten. Damit kann man echt was anstellen.

Wie eine (etwas oberflächliche, aber grundsätzlich zutreffende) Studie ergeben hat, sind Facebook und Microsoft die hungrigsten aller Datenkraken - zumindest im Äppel-Store. Und wie man nun sieht, auch die Freigiebisten.

Der Vollständigkeit halber sei ergänzt (wenn man den Aussagen der Unternehmen Glauben schenken möchte): Sowohl bei Facebook als auch bei LinkedIn waren es wohl nicht Sicherheitslücken im klassischen Sinne, die zu dem Abschnorcheln der Daten ausgenutzt wurden, sondern spezielle Funktionen/Schnittstellen für externe Entwickler; diese Datenquellen haben böswillige Akteure, so wird man nicht müde zu betonen, "im Widerspruch zu den Nutzungsbedingungen" angezapft.

Für den User spielt das keine Rolle: Wenn seine Daten irgendwo landen, wo er sie nicht haben wollte, ist das ein Problem. Wenn von den Plattformen, denen der User die Daten anvertraut, kein angemessenes Schutzniveau sichergestellt wird, gehören diese Plattformen platt gemacht.

Mein Mitleid mit den Betroffenen hält sich dennoch in Grenzen. Wer sein halbes Leben den schlimmsten aller Datenkraken anvertraut und die Daten dann auch noch zumindest innerhalb des Netzwerks offen zur Schau stellt, muss sich nicht wundern, wenn damit rumgespielt wird - zum Beispiel zum Zwecke des Social Engineering.

Die Hack-Checker

Indes hat die Schlangenöl-Branche ein Herz für Leute, die Opfer der Datenlecks geworden sind.

Es gibt da schöne Angebote, die für euch überprüfen wollen, ob ihr Betroffene der Datenskandale seid: Meistens fordern sie eure E-Mail-Adresse, um irgendwelche Datenbanken abzugleichen, ob eure Daten abgeschöpft wurden und eure Passwörter in Gefahr sind.

Ein schönes Beispiel (Screenshot) liefert die Schlangenöl-Grube Avast ab. Da gebt ihr mal schnell nichtsahnend eine E-Mail-Adresse zum Prüfen ein, und Zack - wird euch schon eine Nachricht von Avast geschickt mit Anweisungen und Werbungen und primaprima, wenn ihr von einem Hack betroffen seid. Wenn nicht, seid ihr automatisch in einen E-Mail-Verteiler aufgenommen worden, der Infomails schickt.

Noch toller wird's, wenn man euch nach Passwörtern fragt, ob die eventuell zu schwach sind oder geleakt wurden, in ganz schlimmer Gefahr sind, blabla. Die Schlangenölgrube Kaspersky (Screenshot) macht sowas zum Beispiel.

Warum ist es eine schlechte Idee, Passwörter an Dritte zu geben?

Permalink

Fiat 500 mit Google-Spyware

Es gibt eine Kooperation zwischen Google und Fiat, die darin mündet, dass das Auto Google-Services nutzt, um u.a. Voice-Interaktionen zu ermöglichen.

Dass Android in Auto-Entertainment-Systemen läuft, ist ja nix Neues. Aber dass Google so hart reingeklinkt wird, dass man damit sogar Auto-Funktionen steuern kann, das ist schon (zumindest nach meiner Kenntnis) ein neues Level an Wahnsinn.

Meine Phantasie reicht bestimmt mal wieder nicht aus, um mir alle möglichen Szenarien auszudenken, warum diese Integration eine Irrsinns-Idee ist. Ein paar Punkte, die mir so ad hoc einfallen:

Auch ein neues Level: Der Google-Fiat wird mit Ornamenten in Google-Farben ausgestattet, damit man auch gut erkennt, was hier für ein Spezialfahrzeug unterwegs ist. Aber es gibt ja auch Leute, die sich angebissene Äpfel aufs Auto kleben, also finden sich auch solche, die Google-Werbung spazieren fahren.

DSGVO?

Ach, was mir noch so einfällt: Der Fiat wird nach Angaben von Google in Europa verkauft. Ja, aber... aber... *fingernägelkau* ... was ist denn mit dem Cloud-Act??
Google ist doch ein amerikanisches Unternehmen? Was ist denn mit der GDPR, der DSGVO, Datenschutz, Privatsphäre und so?

Der Cloud-Act ist meines Wissens nach wie vor relevant bzw. in Kraft.

Mich würde es nicht wundern, wenn die Sache mit dem Google-Fiat folgendermaßen aus rechtlicher Sicht eingeschätzt und umgesetzt wird:
Ihr kauft das Auto ja für private Zwecke. Wer die Google-Servics nutzen will, muss im Infotainment-System wahrscheinlich irgendwelchen Nutzungsbedingungen und Datenschutzbestimmungen zustimmen (die an der Stelle ohnehin keiner durchliest). Die bestätigt ihr alle und habt damit eine individuelle Vereinbarung direkt mit Google geschlossen und die Zustimmung erteilt, dass Google mit euren Daten machen kann, was es will. Das ist eure Privatsache und dürfte mit Fiat erstmal gar nix zu tun haben.

Welche individuellen Abmachungen dann wiederum mit eventuellen Online-Services von Fiat zwischen euch und Fiat existieren, ist nochmal ein anderes Thema. Aber wenn ich Fiat wäre, würde ich mich aus der Sache zwischen euch und Google komplett raushalten. Dann ist nämlich der Cloud Act und die DSGVO überhaupt kein Problem.

Alles meine persönliche Einschätzung, bin kein Anwalt, darf keine Rechtsberatung leisten, miau.

Für die Hockey-Dads/-Moms ergibt sich übrigens folgendes Problem: Im 2,5t-SUV mit Hybrid-Antrieb ist diese Google-Assistenz-Funktion bisher nicht integriert. Und so ein Fiat 500, das ist halt leider doch kein Status-Symbol wie ein Cayenne, RangeRover, X6 oder Q7. Dringend mal rumtwittern und Beschwerden einreichen.

Permalink

Apples Erfolgsrezept? Scheiß auf Demokratie

Es gibt eine handliche Zusammenstellung von Events und Maßnahmen seitens Apple, die ganz gut verdeutlichen, dass Apple schon sehr weit geht, um seinen wirtschaftlichen Erfolg sicher zu stellen. Das ist wirklich nichts Neues, aber ich erinnere immer gern mal wieder daran.

Auch im Zusammenhang mit Privatsphäre und Datenschutz: Der Tim posaunt gern in die Welt raus, dass Datenschutz ach so sehr weit oben in der Priorität steht. Aber ganz, ganz oben steht, die eigenen Pfründe zu sichern. Das schlägt alle anderen Prioritäten. Insofern: Denkt dran, wenn ihr dem Unternehmen eure Daten anvertraut und Intimitäten in die iCloud haut.

Permalink

Signal macht jetzt auf Krypto-Währung

Meine Güte. Jetzt hab ich - nach dem ganzen Rumgeblödel von Whatsapp Anfang des Jahres - endlich Leute dazu bringen könnten, sich wenigstens in Sachen Messenger von Facebook abzuwenden und Signal auszuprobieren.

Und dann das.

Signal macht jetzt auf Kryptowährung und Blockchain. Das ist offensichtlich aus mehreren Gründen eine schlechte Entscheidung. U.a. wird zurecht das Involvement mit der Finanzbranche und deren Regulation bemängelt. Auch die Einbindung von Intels SGX ist ausgesprochen fragwürdig.

Mein Hauptproblem mit der ganze Sache ist der Fokus-Verlust: Bisher war Signal ein wirklich ordentlicher Messenger, der Datenschutz ernst nahm. Nicht mehr und nicht weniger. Jetzt wird irgendein Blockchain-Mist reingebastelt, um ein Feature zu implementieren, das laut Moxiena  dafür sorgen soll, dass Signal gegenüber den anderen Messengern hinsichtlich Funktionsumfang nicht zurückfällt.

Funktionsumfang sollte aber nicht der Fokus sein, sondern Datenschutz. Das war der bisherige Ansatz und der Selling Point. Ich will keinen Whatsapp- oder Telegram-Klon. Oder irgendeinen anderen, abgefahrenen, monolithischen Unfug mit Funktionen, nach denen keiner gefragt hat.

Also mal wieder neu orientieren, ständig in Bewegung die Zukunft ist.

Permalink

Kurzgebratenes (7): Briefschimpansen, Internet Of Shit, Winzigweich & Grabsteine

Permalink

[Ältere Beiträge im Archiv]