blog@netplanet > Privacy

| Abonnieren via RSS

“De-Mail”: Für wie bescheuert …

9. Oktober 2008 | 10 Kommentare | Veröffentlicht in SicherheitsWelt

… hält unser Staat gelegentlich eigentlich seine Bürger? Eine von Staatswegen zur Verfügung gestellte E-Mail-Box mitsamt Mailadresse, mit der der Benutzer eindeutig identifiziert werden kann und mit der er dann auch sicher mit Behörden kommunizieren kann. Und mit der der Benutzer dann auch privat mailen können soll. Ach? Und mit der dann die Behörden auch weniger Zettelkram ausfüllen müssen, wenn sie mal nachschauen wollen, was der Bürger da so mailt?

Aus drei Sichten ist das Projekt “De-Mail” – so der Projektname – eine Karikatur, über die ich tagelang schrill lachen könnte:

  1. Zu viele externe Dienstleister sind mit im Boot. Beispiel: Was hat die Deutsche Telekom für einen Ruf im Datenschutzsektor gerade?
  2. Der Staat hat für die sichere Authentifizierung die Elektronische Signatur in Gesetz und Recht gegossen, die technisch einwandfrei funktioniert, mit viel Mühe auch funktioniert – nur mit den meisten Behörden nicht, weil diese technisch nicht ausgestattet sind. Geschweige denn dem Umstand, dass genügend Finanzbeamte keine Ahnung haben, wie man eine Rechnung mit qualifizierter elektronischer Signatur eigentlich prüft.
  3. “Datensafes” von Bürgern haben nichts beim Staat zu suchen. Aber wirklich gar nichts. Es gibt auch keinen technischen Grund hierfür, denn es gibt freie Verschlüsselungssoftware, es gibt die Möglichkeit, verschlüsselte Daten redundant auf verschiedene Datenträger abzulegen.
  4. Der Staat soll es gefälligst unterlassen, mit viel Marketing-Blub den Bürger dazu zu überreden, seine Privatsphäre freiwillig dem Staat zu offenbaren.

Einfach eine nur noch skandalöse Entwicklung, die die Bundesregierung da mit ihrer IT-Offensive an den Tag legt. Und da wundert man sich über die Politikverdrossenheit und darüber, dass immer mehr Bürger offenkundig nicht mehr zwischen demokratischen und radikalen Parteien unterscheiden können.

Immerhin, es gibt Proteste, beispielsweise bei der Financial Times Deutschland, beim Uwe im LawBlog, beim Holger im Reizzentrum.

Tags: , ,

Von der so genannten Anonymität von Suchmaschinen.

7. Oktober 2008 | 5 Kommentare | Veröffentlicht in SicherheitsWelt

Schon immer einmal gefragt, wie eigentlich eine Suchmaschine entscheidet, welche Seite zu einem bestimmten Stichwort relevant ist und welche nicht? Du denkst, das macht die Programmlogik einer Suchmaschine? Die berühmte Blackbox mit den vielen, ultrageheimen Algorithmen?

Ich bin da inzwischen ketzerisch und sage: Eine Suchmaschine macht nur das grobe Ranking, also nur eine grobe Auswertung, welche Seite zu einem bestimmten Stichwort relevant ist und welche nicht. Die Feinarbeit machen die Logikmodule, die am ehesten verstehen und entscheiden können, um was es in einer Web-Seite geht, nämlich die Nutzer der Suchmaschine. Wie meinen?

Wer sich den Quelltext einer x-beliebigen Ergebnisseite einer Suchmaschine anschaut, wird zunächst augenscheinlich erstaunt über die Effizienz der Ergebnisseite sein: Google schafft es in drei Zeilen – von der die dritte Zeile allerdings mehrere tausend Zeichen lang ist, in der Regel mindestens 15.000 Zeichen. Vom reinen HTML-Code kommt so eine Ergebnisseite auf eine Größe von 24 bis 27 Kilobytes. Es lohnt sich jedoch allemal, sich so eine Ergebnisseite einmal näher anzuschauen und sich auch mal die Mühe zu machen, so eine Seite lokal abzuspeichern, die Zeilenumbrüche manuell einzufügen und sich das mal anzuschauen, was zwischen HTML-Tags und CSS-Definitionen noch alles dabei ist, nämlich ein gehöriges Stückchen JavaScript, der es in sich hat.

Fangen wir aber von vorne an: Du gehst auf die Startseite von Google, gibst ein Suchwort an, lässt dir die Ergebnisse anzeigen. Wenn nun der nicht ganz dumme Nutzer auf einen der zehn Linkvorschläge mit dem Mauspfeil fährt, sieht er in seinem Browser unten in der Statuszeile für gewöhnlich die Zieladresse des Linkvorschlages:

Also, denkt sich der nicht ganz so dumme Nutzer, ist das ein einfacher Hyperlink zur Zielseite, ohne jegliche Hintertüre. Ist es das? Der Quellcode des Linkes spricht eine leicht andere Sprache:

<a href="http://www.netplanet.org/adressierung/subnetting.shtml" class=l onmousedown="return clk(this.href,'','','res','6','')">netplanet - Adressierung im Internet - IP-<<em>Subnetting</em></a>

Interessant an diesem Anchor-Tag ist der zusätzliche Parameter “onmousedown”, denn dieser Parameter besagt, dass ein Browser, bei dem die JavaScript-Ausführung aktiviert ist, bei einem Klick auf den Link nicht die Zielseite anspringen soll, die im Parameter “href” angegeben ist, sondern das tun soll, was im Parameter “onmousedown” angegeben ist. Sprich: Das, was in der Statuszeile des Browsers angegeben ist, nämlich die Adresse der Zielseite, ist in erster Linie Maskerade, denn sie soll zwar vortäuschen, dass ein Klick auf den Link direkt zur Zielseite führt, das tut sie aber nicht.

Denn in Wirklichkeit wird mit dem onmousedown-Parameter die JavaScript-Funktion “clk” aufgerufen, die im HTML-Head der Suchergebnisseite eingebettet ist und aus den in der Klammer beinhalteten Seiten- und Aufrufparametern einen URL erzeugt und aufruft. Und dieser sieht im Beispiel so aus. Zur besseren Übersichtlichkeit habe ich die einzelnen Parameter, die übergeben werden, untereinander geschrieben, stellt euch das als einzige, lange Zeile vor, die euer Webbrowser da im Hintergrund unbemerkt aufruft:

http://www.google.de/url?
sa=T&
source=web&
ct=res&
cd=6&
url=http%3A%2F%2Fwww.netplanet.org%2Fadressierung%2Fsubnetting.shtml&
ei=i4DrSPTpBJOa7QW98JXCDA

Interessant sind hierbei die Parameter “url”, der die Adresse der eigentlichen Zielseite enthält, der Parameter “cd”, der den Rank des Suchergebnisses enthält, und der Parameter “ei”, der eine google-interne ID darstellt, die auch auf der Suchergebnisseite verwendet wird.

Dieser gesamte URL wird dann per GET-Anfrage vom Browser abgeschickt, enthält jedoch als Ergebnis nicht etwa die Zielseite (die liegt ja logischerweise nicht bei Google), sondern einen Redirect auf die Zielseite, hierzu dient der Inhalt aus dem Parameter “url”. Der Browser schickt also seine Anfrage dann direkt an den Webserver mit der Zielseite und der Nutzer hat die Illusion, dass er mit dem Klick auf das Suchergebnis direkt dorthin gekommen wäre.

Mit diesem Aufruf rundet Google also seinen Suchabfragenablauf ab, der dann wie folgt aussieht:

  1. Nutzer geht auf die Suchmaschine, gibt ein Suchwort ein.
  2. Die Suchmaschine antwortet mit Suchergebnissen.
  3. Nutzer klickt (mit einem javascript-aktivierten) Webbrowser auf einen Link in den Suchergebnissen.
  4. Der Link führt eine JavaScript-Funktion auf, die einen URL generiert.
  5. Der Webbrowser ruft diesen generierten URL, der zum Webserver der Suchmaschine führt, mit einer GET-Anfrage auf.
  6. Der Webserver der Suchmaschine erhält die Anfrage und liefert als Ergebnis einen Redirect auf die eigentliche Zielseite.
  7. Die Suchmaschine wertet die Entscheidung des Nutzers aus.

Ergebnis für Google ist, dass sie aufgrund der google-internen ID die Suchergebnisse direkt mit dem vom Nutzer angeklickten Link verbinden können. Die Jungs wissen also nicht nur, mit welchen Suchbegriffen der Nutzer sucht, sondern auch, auf welches Ergebnis der Nutzer dann in den Suchergebnissen klickt. Und damit ist der wichtigste Teil der Kette gelegt, von der die meisten Nutzer glauben dürften, dass es sie gar nicht gibt.

So, und jetzt denken wir das mal alles gut durch und binden diesen Ansatz im Falle von Google in den gesamten Lebenslauf einer Informationsrecherche ein: Der Nutzer sucht per Google zu einem bestimmten Stichwort eine Ressource und bekommt auf der Suchergebnisseite zehn Vorschläge. Er klickt auf einen Vorschlag, Google bekommt dies mit. Gefällt dem Nutzer dieser Vorschlag, wird er höchstwahrscheinlich keinen weiteren Link mehr anklicken, die letzte Rückmeldung zu einer Anfrage ist also möglicherweise die “gute” Antwort gewesen. Wenn das ein Nutzer macht, ist das nicht sehr aussagekräftig. Wenn es zehn Leute machen, schon eher. Wenn es Millionen Menschen machen, wird das aufregend gut.

Man kann das aber noch weiterspinnen, denn Google ist ja nicht nur die Suchmaschine, sondern Google ist ja auch Google Analytics oder Google AdSense. Der rote Ariadnefaden zieht sich so also nicht nur im Webbrowser des Nutzers, sondern auch auf den Servern von Google, die so – wenn man jetzt mal davon ausgeht, dass sie Daten miteinander verknüpfen können.

Und nun passt auch alles schlartig zusammen, wie in einem perfekten Puzzle – man muss lediglich ein paar Schritte zurücklaufen und das ganze Bild sehen: Die Inhalte, die Google indexiert, sind ihnen letztendlich schnurz, ihnen kommt es auf das Suchen an. Darum auch ein eigener Browser, der haargenau jeden einzelnen Suchschritt nach Hause sendet und vor allem den schnellsten JavaScript-Renderer weit und breit an Bord hat.

Na, geht es noch? Wir können jetzt nämlich noch ein gehöriges Stück weitergehen und tatsächlich anfangen, Google zu verstehen, warum sie nicht einfach alles nachbauen, was draußen existiert, sondern gern bestehende Erfolgsprojekte wie Blogger.com, YouTube, Keyhole (Google Earth) und wie sie alle heißen, einkaufen: Sie wollen lernen und mitschreiben, wie der Nutzer denkt, sucht und vor allem – findet.

Deshalb meine sicherlich heißen und nicht ohne weiteres fundierbaren Thesen:

  1. Moderne Suchmaschinen sind im Grunde genommen schlicht dumm. Sicherlich können Computer heute nahezu perfekt die menschliche Sprache nachahmen, Handgeschriebenes in Echtzeit fast fehlerfrei auswerten und so tun, als ob sie intelligent auf die Inputs eines Menschen reagieren würden. Sie können aber nach wie vor nur so tun.
  2. Moderne Suchmaschinen sind die eigentlichen Meister des Web 2.0, unter diesen eigentlichen Meistern ist Google der Großmeister. Sie versuchen erst gar nicht, die Inhalte vollständig selbst zu sortieren, sondern lassen das den Nutzer nebenher machen. Nicht finden ist sexy, sondern suchen.
  3. Für eine Suchmaschine ist der suchende Mensch Kunde und Lieferant zugleich. Behandle ihn zuvorkommend und verkaufe ihm das als den Way of Life, denn die Suchmaschine braucht ihn zwingend.
  4. Eine gute Suchmaschine muss Medienbrüche tun, muss tatsächlich auch für Medieninhalte verfügbar sein, für Mails, für Musik, Bilder und Videos auch für gedruckte und umständlich eingescannte Bücher, für abfotografierte Straßen, für wissenschaftliche Arbeiten, für Inhalte jeglicher Art, die Menschen suchen. Denn nur von denen, die suchen, wird gelernt.
  5. Google lässt nahezu stoisch immer verlautbaren, dass sie zwar zwangsläufig Daten sammeln, aber nicht daran interessiert sind, die Privatsphäre des Nutzers zu beeinträchtigen. Möglicherweise kann man ihnen diesen Satz sogar abnehmen, da sie, nach meiner Theorie, tatsächlich gar nicht unbedingt am “Big Picture” Interesse haben, sondern am eher kurzen Leben einer Informationsrecherche, von Anfang bis Ende.

Und da wir gerade bei den Momenten der ketzerischen Thesen sind, fällt mir zu diesem Thema spontan ein Satz von Morpheus aus dem Film “The Matrix” ein, für den ich jahrelang eine passende Bedeutung gesucht und nun wohl auch gefunden habe:

“In uns haben die Maschinen eine Energiequelle gefunden, die ihren Bedarf mehr als deckt. Sie haben Felder angelegt, Neo, endlose Felder. Menschen werden nicht länger geboren, wir werden gezüchtet. Ich habe lange Zeit nicht daran geglaubt, bis ich die Felder mit meinen eigenen Augen gesehen habe. [Ich sah, wie sie die Toten in Flüssigkeit auflösen und damit die Lebenden intravenös ernähren.] Und als ich dastand und die erschreckende Präzision sah, wurde mir die Wahrheit schlagartig bewusst: Was ist die Matrix? Kontrolle. Die Matrix ist eine computergenerierte Traumwelt, die geschaffen wurde, um uns unter Kontrolle zu halten. Für sie sind wir nicht viel mehr, als das:


Der Ausgang aus der Matrix ist umfassend, möglicherweise etwas unkomfortabel, aber dafür kinderleicht umzusetzen: JavaScript im Webbrowser deaktivieren.

Tags: , , ,

Kunden “fördern”.

25. September 2008 | Keine Kommentare | Veröffentlicht in Netzpolitik

Zuerst die gute Nachricht: Das so genannte Telecom-Paket wird das EU-Parlament nicht ohne umfangreiche Korrekturen absegnen. Zu den Korrekturen wird voraussichtlich gehören, dass die “französische Methode”, also der Methode, bei der Internet Service Provider ihre Kundschaft nach mehrfachen Urheberrechtsverstössen providerübergreifend sperren sollen, so nicht durchkommen wird.

Sehr gutes Zeichen und an sich das normalste der Welt, denn niemand würde ja beispielsweise Supermärkte mit der sinnlosen Aufgabe betrauen wollen, dass diese den Melonenverkauf gegenüber einzelnen Kunden reglementieren sollten, wenn sie von einer höheren Macht, die nicht der Staat ist, gesagt bekommen, dass ein bestimmter Kunde die Melone nicht ißt, sondern sich damit selbstbefriedigt. Ja, tatsächlich, der Vergleich ist plump, aber nichts anderes wäre es, wenn der ISP nun nicht mehr nur den Dienst bereitstellen soll, sondern auch gleichzeitig die Kundschaft erziehen.

Stattdessen hat man sich aktuell nun auf eine Formulierung geeinigt, in der die Unterhaltungsindustrie und ISP Kooperationen ausbaldowern sollen und ihre Kundschaft bei gemeldeten Urheberrechtsverstößen “informieren” sollen. So eine schwammige Formulierung von Dingen, die an sich weitgehend sinnlos sind, sind ein gutes Zeichen dafür, dass es in der zuständigen Arbeitsgruppe offenbar unterschiedliche Meinungen über die Vorgehensweisen gibt. Und das ist ebenfalls ein gutes Zeichen. Nichts wäre schlimmer, als wenn in dieser Thematik die bereits von Lobbyisten verwarzten Abgeordneten die Oberhand gewinnen und polizeistaatliche Dinge durchtrommeln.

Zumindest kann man jetzt davon ausgehen, dass nun eine Weile Ruhe ist. Das EU-Parlament wird nächstes Jahr neu gewählt und im Prinzip ist man jetzt in den letzten Schüben von wirklich gewünschten Richtlinieninitiativen. Und freiwillig stellt sich selbst kein Ultrakonservativer hin und fordert im Wahlkampf Dinge, die erst einmal massiv die Bürgerrechte verletzen und nur dazu dienen, den Bürger staatlich filetiert der Unterhaltungsindustrie zur Erstverwertung hinzuwerfen.

Tags: , ,

Krankheitsbekenntnisse im Web.

19. September 2008 | 1 Kommentar | Veröffentlicht in Netzleben

Sergey Brin, einer der Gründer von Google, macht mit seinem privaten Blog ein auf den ersten Blick bemerkenswertes Bekenntnis: Er habe nach Untersuchung seiner Gene ermittelt bekommen, dass er ein erhöhtes Risiko hat, an Parkinson zu erkranken, wie es bereits seine Mutter ist.

Okay, es ist jedem sein gutes Recht, aus seinen Genen Rückschlüsse auf mögliche Krankheiten herausdeuten zu lassen und möglicherweise ist das auch segensreich, um sich beispielsweise in seinem frühen Leben auf die möglicherweise kommende Herausforderung vorzubereiten.

Andererseits ist es bedenklich, genau solche Dinge im Web herauszuplaudern, wenn man nicht gerade schwerreich ist und sich keine Gedanken über zukünftig abzuschließende Versicherungen oder Kreditverträge zu machen braucht. Denn jeder Versicherungsmakler, der jetzt “sergey brin parkinson” in jede x-beliebige Suchmaschine eingibt, bekommt genau das, was er braucht, um beispielsweise den Abschluß einer Krankenversichung mit Herrn Brin rigoros abzulehnen.

Tags: , ,

Der Nachteil von geschlossenen Systemen.

12. September 2008 | 1 Kommentar | Veröffentlicht in SicherheitsWelt

Die aktuelle Panikmache um Screenshots auf dem iPhone, die unbemerkt aufgezeichnet werden und angeblich auch Ermittler interessieren, ist vermutlich nicht mehr als ein Sturm im Wasserglas, zeigt aber anschaulich den Nachteil von geschlossenen Systemen.

Es geht hierbei darum, dass bei schließenden Anwendungen automatisch ein Screenshot mit der letzten Ansicht erzeugt wird, der für den verschwindenden Effekt benötigt wird. Und mangels Direkteinblick in das Filesystem weiß niemand so recht, was eigentlich mit diesen Screenshots passiert, ob diese sicher gelöscht werden oder sonst irgendeine undokumentierte Funktion etwas mit diesen Screenshots anstellt. Und natürlich ist so auch dem Ansatz, eventuelle Operationen auf der Ebene des Dateisystems vorzunehmen, ein Riegel vorgesetzt.

Ob nun tatsächlich Screenshots dauerhaft gespeichert werden, darf bezweifelt werden. Die letzte Ansicht einer Anwendung ist in etwa so interessant wie das Foto einer sich schließenden Toilettentür und wenn man tatsächlich wirklich etwas wissen wollte, würde man den Datenverkehr und die Telefongespräche mitschneiden, was für ermittelnde Behörden ja nun nicht wirklich eine besonders hohe Hürde darstellen dürfte.

Tags: ,

Ey, was guckst du?

9. September 2008 | 1 Kommentar | Veröffentlicht in SicherheitsWelt

Vor einigen Jahren war ich mit unserem damaligen Vertriebler bei einem potentiellen Kunden zu Besuch, um den EDV-technischen Bedarf zu ermitteln. Wie sich relativ schnell herausstellte, hatte der zuständige EDV-Verantwortliche a) keine Ahnung von seinem Geschäft, b) keinen Willen, etwas zu kaufen und c) auch keine wirkliche Lust, überhaupt etwas zu sagen, obwohl er am Telefon beim Akquisegespräch durchaus erwähnte, gewissen Bedarf zu haben und er einem Gespräch nicht abgeneigt war.

Weshalb ich mich noch gut an diesen Besuch erinnern kann, war die Erziehung des EDV-Verantwortlichen. Ich hatte damals meinen PDA auf den Tisch vor mir gelegt, um im Falle von notwendigen Notizen darauf zu schreiben. Der EDV-Verantwortliche interessierte sich offenbar für den PDA, jedenfalls beugte er sich über den Tisch und griff ihn sich. Mal vorher fragen? Warum denn?

Ich bekundete dann freundlich mein Missfallen über seine Neugier, weil der PDA zu diesem Zeitpunkt entsperrt war und er problemlos meine Termine und Kontakte einsehen konnte. Sein verdutztes Gesicht, als er ihn daraufhin wieder herüberreichte, sprach Bände.

Tags:

Daten-GAU mit Google Chrome.

4. September 2008 | 8 Kommentare | Veröffentlicht in SicherheitsWelt

Ich muss zugeben, es erfüllen sich absolut alle übelsten Befürchtungen, die ich bei einem Webbrowser aus dem Hause Google aus dem Bauch heraus erst einmal hatte. Während schon von Anfang an klar war, dass Google Chrome quasi ständig mit Google kommuniziert, so setzt es Stück für Stück alles das außer Kraft, das eigentlich für Privatsphäre steht.

Das fängt schon damit an, dass dieser Browser eine eindeutige ID erzeugt und damit der Benutzer einen schmierigen, roten, breiten Faden durchs Web zieht, der komplett bei Google nachvollzogen werden kann. Das können im Prinzip auch diverse Toolbars, allerdings eben nur dann, wenn diese aktiv installiert werden. Chrome ist aber von Hause aus aktiv und sendet und sendet. Man könnte das auch einfach “Spyware” nennen.

Der aktuelle Gipfel ist, dass dieser Browser Zeichen für Zeichen alles das übermittelt, was in die Adresszeile eingegeben wird, wie Andreas Krennmair aus Linz anschaulich analysiert hat. Wohlgemerkt: Nicht erst dann, wenn der Benutzer auf Enter drückt, sondern tatsächlich schon während der Eingabe. Damit versucht Google freilich genau das, was Suchboxen auf Webseiten auch schon gelegentlich machen, nämlich aus den ersten Zeichen schon Suchergebnisse zu liefern, aber dass das nun schon in der Adresszeile des Browsers passiert, ist eine neue Qualität des Ausspionierens und schlicht eine Schweinerei erster Güte. Nichts wird der Benutzer mit diesem Browser machen können, ohne dass er offenbar munter jeden Pups nach Hause telefoniert.

Da kann ich mich noch lebhaft daran erinnern, wie groß der Aufschrei mal war, als der Internet Explorer weit weniger kritische Dinge nach Hause telefoniert hat. Heute kommt Google daher und klaut dem Benutzer praktisch alles, was er in die Tasten haut und verkauft das scheinheilig unter dem Deckmäntelchen mit Schnelligkeit und Standardkonformität. Und wie? Wir regen uns auf, weil Leute unsere Adressen verkaufen?

“Don’t be evil.” … das glauben vermutlich nur noch die Aktionäre.

Tags: , ,