spiderman reading, Lesetipps
spiderman reading, Lesetipps
Bildquelle: Peihan

Lesetipps: Bayern & IT-Sicherheit, DB App trackt, neue EU-Datenbank

Heute bei den Lesetipps: Apple I für 1 Mio. $, WhatsApp, Gamestop, Amazon Ring Kameras, kritische Bugs in Bayern, es menschelt bei GPG etc. pp

Heute bei den Lesetipps: Die App der Deutschen Bahn trackt seine Nutzer selbst dann, wenn die das gar nicht wollen. EU plant biometrische Datenbank zur Abwehr von Flüchtlingen, irgendwann ist niemand mehr sicher vor Überwachung. Und last, but not least: The walking Data, made in Munich. Wie löchrig sich der staatliche Online-Shop jenseits der Weißwurstgrenze schon bei oberflächlicher Betrachtung gezeigt hat. Der Wahnsinn nimmt seinen Lauf, wir sind wie üblich live und in Farbe dabei…

Lesetipps: Hunderte Sensoren überwachen Dich im Ladenlokal

Lesetipps

Wir fangen die Lesetipps mit Adam Dunkels an. Der Geschäftsführer von Thingsquare plaudert recht offenherzig über die perfekte Beschattung von Menschen, die eigentlich in Ruhe etwas im Ladenlokal kaufen wollen. Die Online-Händler seien ja so bevorzugt, weil sie ihre Besucher perfekt tracken können, meint Mr. Dunkels. Na toll! Das soll jetzt mit einem Netzwerk bestehend aus unzähligen Sensoren anders werden. Die miteinander verbundenen Sensoren erkennen genau, ob sich jemand ein Produkt anschaut oder in der Hand hält, um es auszuprobieren.

Das Verhalten der Kunden kann man perfekt mit den Umsatzzahlen in Relation setzen.

Hat sich das Produkt kaum jemand angesehen, stimmt etwas mit der Präsentation oder dem Preis nicht. Wenn der Gegenstand trotz des Tests häufig im Regal bleibt, hakt es womöglich an einer anderen Stelle. Die kleinen Biester fallen im Regal kaum auf, das Ganze wirkt wirklich recht gruselig. Immerhin sollen die IoT-Sensoren nicht dazu in der Lage sein, Personen zu identifizieren.

Doch wer weiß schon, was nächstes Jahr kommt!?? Die Erkennung des Geschlechts wäre ja schon mal von Vorteil für die weitere Analyse. Frauen schlendern herum und schauen viel, Männer kaufen gezielt und wollen ganz schnell wieder raus aus dem Laden. Und ihr wisst ja, umso mehr Daten man zur Verfügung hat, umso besser kann man das Verhalten der Konsumenten auswerten. Wer soll den nächsten Hersteller daran hindern, noch mehr Informationen aus den IoT-Beschattern herauszuholen?!?

EU finanziert biometrische Datenbank für die „Festung Europa“

Nach Informationen des spanischen Business Insider sollen die biometrischen Daten von 400 Millionen EU-Bürgern in einer riesigen Datenbank zusammengeführt werden. Es geht um die Erkennung von Menschen. Genauer gesagt von solchen Einwanderern, deren Asylverfahren zuvor schon einmal abgelehnt wurde. Im Beitrag sprechen Bürgerrechtler von einer geplanten „Festung Europa“, die mithilfe expansiver Technologie realisiert werden soll. Neben den Fingerabdrücken und dem Aussehen der Gesichter aller EU-Bürger sollen riesige Datenmengen ausgewertet werden, um dem Einwanderungsproblem habhaft zu werden.

Mittels Mikrogesten können mittlerweile moderne Kameras an der Grenze erkennen, ob man bei einer Befragung lügt oder die Wahrheit sagt. Im Beitrag hinterfragt der Journalist: Wie viel Freiheit müssen wir eigentlich aufgeben? Und wie viel Datenspeicherung sollen wir über uns ergehen lassen, nur um die EU-Länder noch ein wenig sicherer zu gestalten? Von wegen Science Fiction: Die gigantische Datenbank soll schon im Jahr 2022 Realität werden. BTW.: Wer der spanischen Sprache nicht mächtig ist, kann sich den Artikel kostenlos von DeepL übersetzen lassen.

Lesetipps: Schlimmer geht nimmer? DB App beinhaltet sieben Tracker, nur sechs kann man abschalten!

Wer eine ältere Version der ansonsten sehr nützlichen App der Deutschen Bahn installiert hat, sollte besser dabei bleiben. Oder aber das gute Stück gleich sicherheitshalber ganz entsorgen. Kürzlich wurden nicht weniger als sieben (!) verschiedene Tracker entdeckt, die man nicht alle abschalten kann. Selbst wenn man dem Tracking als Nutzer widerspricht, plaudert der Tracker Adobe DTM weiter fleißig an die Domain adobedtm.com.

Von Google sind alleine vier verschiedene Programme dabei, die unser Nutzungsverhalten auswerten sollen. Bei mastodon hieß es, vor einem Jahr war wohl noch deutlich weniger Schnüffelsoftware am Werk… Da muss die DB aber bitte sehr ganz schnell nachbessern! Sonst erscheint die Bahn bald in den nächsten Lesetipps, versprochen!

the walking data

Webseite vom Bayerischen Staatsministerium für Digitales voller Sicherheitslücken

Und noch weitere spannende Lesetipps: Der IT-Forensiker Heiko Frenzel hat die Webseite vom bayerischen Staatsministerium für Digitales unter die Lupe genommen. Nach eigehender Prüfung erfolgte u.a. eine Sicherheitsmeldung an das Cyber Emergency Response Team (CERT) des bayerischen Landesamtes für Sicherheit in der Informationstechnik (LSI). Frenzel hatte wohl recht problemlos Zugriff auf den Inhalt von 223.000 Datensätzen, die dort vorgehalten werden. Das Ganze gelang nach eigenen Aussagen mit „minimalem Aufwand und innerhalb von wenigen Minuten“. Frenzel hat in der Vergangenheit schon häufiger kritische Sicherheitslücken von bayerischen Behörden und Parteien aufgedeckt.

Er fand auch auskommentierte Erweiterungen im Quelltext, die Auskunft über die verwendeten Komponenten, Plug-ins, Themes samt der Versionsnummer geben. Für potentielle Angreifer ein „Schmankerl“, weil man dann genau weiß, nach welchen Sicherheitslücken der bestehenden Elemente man suchen muss. Frenzel fand auch den Zugangsbereich zu Piwik. Dieses Online-Analysetool verwendet der hauseigene Webshop aber schon längst nicht mehr. Die Programmierer hatten schlichtweg vergessen, diesen Teil des Codes zu entfernen.

In der Folge konnte er die API-Zugangsdaten herunterladen und hätte damit noch weitaus mehr Unwesen treiben können, wenn er denn gewollt hätte. Wer als Hacker weiß wo er suchen muss, hätte damit nämlich auch unzählige (einige Tausend Zeilen) detaillierte Kunden- und Bestelldaten des Online-Shops erhalten. Der Sicherheitsforscher kündigt in seinem Blogbeitrag weitere Sicherheitslücken beim bayerischen Ministerium an. Diese kann er aber erst nach deren Behebung veröffentlichen. Die Serie The walking data of Munich kann also schon bald weitergehen…

Von Messengern und wilden Tieren. Oder: Wie WhatsApp seine Nutzer gezähmt hat

Rohan Kumar erläutert ausführlich in seinem Beitrag, wie es gelang, die Anwender regelrecht zu domestizieren. Das Problem ist bekannt. Kaum jemand nutzt etwas anderes. Deswegen kappt man bei einem Wechsel zu Threema, Signal oder Telegram die Verbindung zu all seinen Kontakten. Und weil jeder dort drin ist, so ähnlich wie bei Facebook, traut sich kaum jemand, WhatsApp zu löschen. Doch wie ist es eigentlich zu dieser Marktmacht gekommen? Autor Rohan Kumar erläutert ausführlich in seinem Beitrag, wie es gelang, die Anwender regelrecht zu domestizieren. Sehr hilfreich dabei waren unsere Faulheit, das Duopol von Android & iOS und last, but not least Software, deren Quellcode wohl niemals freiwillig veröffentlicht wird. Klingt spannend? Ja, das finden wir auch!

Lesetipps: Die Causa Gamestop unter dem Messer

Ehrlich gesagt, unser Mitleid mit den armen Hedgefond-Managern hält sich in Anbetracht ihrer Verluste wegen Gamestop stark in Grenzen. Die Hedgefonds wetten mit hohen Einlagen gerne gegen bestehende Kurse. Damit setzt man den Kurs der Aktie bei einem ehedem schon schwächelnden Unternehmen noch mehr unter Druck. Bei Reddit formierte sich der Widerstand. Die Aktion vieler kleiner Anleger kostete einige Fonds den gesamten Gewinn des Vormonats. Jubel brach aus, manche Promis machten bei Twitter regelrecht Werbung für die Aktion.

Doch so einfach das Ganze aussehen mag, so simpel ist es leider nicht, verfolgt man die Analyse der Süddeutschen Zeitung. Die erklärt, warum selbst die Börse plötzlich sexy sein konnte. Und warum die Aktion auf Dauer wenig bringen wird. Viele Amerikaner haben sich indes einfach nur gefreut. Endlich stand in den Zeitungen und News-Portalen mal etwas abseits von Corona oder Trump. Stellt sich nur die Frage was schlimmer war, Mr. Donald Größenwahn oder doch Covid-19!??

Amazon Ring: Amazon übermittelt vielfach Videos gegen den Willen der Eigentümer der Kameras

amazon

In den USA beteiligen sich mit Ausnahme der Bundesstaaten Montana und Wyoming mehr als 2.000 Büros von Polizei und Feuerwehr an einer gemeinsamen Aktion. Demnach dürfen deren Mitarbeiter bei Bedarf auf die Aufnahmen des Türklingelsystems bzw. der Indoor-Überwachungskamera Amazon Ring zugreifen. Doch damit nicht genug. Die Financial Times berichtet hinter einer Paywall, dass lokale Strafverfolgungsbehörden auf der Plattform nach Ring-Videos bei insgesamt mehr als 22.335 Vorfällen im Jahr 2020 gefragt haben. Laut der Statistik haben amerikanische Strafverfolgungsbehörden rund 1.900 Anfragen bei Vorladungen, Durchsuchungsbefehlen und Gerichtsbeschlüssen gestellt.

Sie wollten Filmmaterial oder Daten von Ring-Kameras bekommen auch dann, wenn der Eigentümer der Kamera die Anfrage zuvor abgelehnt hat. Brav: Amazon kam den behördlichen Anfragen im Vorjahr in 57 Prozent der Fällen nach. 2019 hat man sogar in 68 Prozent der Fällen die Daten gegen den ausdrücklichen Willen der Eigentümer preisgegeben. Das ist halt die Krux mit den Daten. Wenn es sie gibt, wollen viele sie haben. Egal wo. Am besten ist es immer noch, es gibt gar keine.

Teure Erinnerungen: Apple I bei eBay für eine Million US-Dollar

Bei eBay gibt es jetzt den Apple I, den Steve Jobs und Steve Wozniak angeblich mit ihren eigenen Händen produziert haben sollen. Das gute Stück mit Holzschale soll sich laut Beschreibung in einem guten Zustand befinden und tadellos laufen. Früher wurde das Gerät beim Militär benutzt, weswegen man die Anschlüsse für die Tastatur und Video austauschen musste. Ob der Verkäufer die gewünschte Million Dollar bekommen wird, ist noch unklar. Aber probieren kann man es ja mal. Laut T3N liegt der Rekord bei diesem Online-Auktionshaus bei derzeit etwas über 900.000 US-Dollar für einen Ford. Doch es gibt nicht nur genügend autoverrückte Männer da draußen. Auch so manche Zweibeiner können sich für einen exklusiven Oldtimer unter den Homecomputern erwärmen. Und dieser soll von den späteren Apple-Gründern irgendwann zwischen 1976 und 1977 mit den eigenen Händen gefertigt worden sein.

Das Startkapital für Apple, heute wieder die wertvollste Marke der Welt, bezog man übrigens zum Teil aus dem Verkauf von illegalen Blue-Boxing-Geräten, mit denen man innerhalb der USA kostenlos telefonieren konnte. In den Knast hat man dafür allerdings jemand anderes wandern lassen. Als Lesetipp einfach mal im Internet nach Blueboxing und Jobs und Wozniak suchen! Es begann also alles mit illegalen Aktivitäten. Aber damals waren die beiden jung und brauchten das Geld, oder wie geht der Spruch nochmal?

Lesetipps: Es menschelt bei GPG – GnuPG-Hauptentwickler reagiert genervt

GnuPG ist heutzutage noch immer unglaublich wichtig für sichere E-Mail-Kommunikation und für das Verschlüsseln bzw. Signieren von Dateien. Tavis Ormandy von Google Project Zero hat einen leicht ausnutzbaren Fehler entdeckt, der die Sicherheit von GnuPG erheblich in Zweifel zieht. Der Hauptentwickler aus dem Raum Düsseldorf wollte weder etwas von dem Fehler hören, noch irgendwelche Verbesserungsvorschläge lesen. Er lehnt die Überprüfung mittels eines Programms namens Asan ab. Außerdem wird die Person abgestraft, die den Fehler im Bug Tracker eingetragen hat. Das hier sei ein Bug Tracker und „keine Plattform für Dein Geschimpfe“, strafte Werner Koch den Ersteller ab. Koch habe erwartet, dass der Melder dazu in der Lage sei die bisherigen Postings zu überprüfen, um doppelte Meldungen zu vermeiden.

Darf man nicht mal mehr aus der Haut fahren?

Die Kollegen von Golem gehen jetzt nach seiner Reaktion nun so weit zu behaupten, man solle GPG besser ganz zu den Akten legen. Ob das so stimmt?

gnupg

Fakt ist zumindest: Es gibt noch immer keine simple Lösung für verschlüsselte E-Mails. Wenn man Pech hat, wie wir, treten mit Thunderbird plötzlich Probleme bei der Erweiterung Enigmail auf, die damals über Monate hinweg nicht beseitigt wurden. In der Folge funktionerte die E-Mail-Verschlüsselung nach einem Update von Enigmail einfach nicht mehr. Tja, so wird man zumindest niemanden von mehr Datensicherheit oder Datenschutz überzeugen, das steht zumindest schon mal fest! Oder was meint ihr?

Morgen übernimmt Sunny wieder die Lesetipps. Egal wer sie schreibt – wir wünschen viel Spaß beim Lesen!!

Tarnkappe.info

 

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.