Leicht off-topic: Also, wenn ich diese höchst amüsante Diskussion hier lese, und dann noch den Code hier sehe, der immer noch nicht ganz korrekt ist, dann empfinde ich eine Mischung aus Bewunderung und Mitleid für diejenigen, die sich täglich damit auseinandersetzen (müssen).
Global Voices Advocacy hat eine gute Anleitung, wie man ein komplett anonymes Blog aufsetzt - allerdings mit einem Fehler: Es ist nicht egal, ob der Webmail-Zugang verschlüsselt ist, selbst wenn man Tor benutzt. Tor selbst verschlüsselt gar nicht, und der Betreiber eines Exit-Nodes bekommt den Datenverkehr so verschlüsselt oder unverschlüsselt zu sehen, wie er ohne Tor gewesen wäre. Diese Schwäche wurde bereits genutzt, um an vertrauliche E-Mail-Zugangsdaten von Botschaften zu kommen.
Ein Angreifer, der an das Webmail-Passwort des Bloggers kommt, kommt nicht nur an alle E-Mails heran, sondern kann sich damit auch Zugang zum eigentlichen Blog verschaffen (in dem er so tut, als ob er das WordPress-Passwort vergessen habe und es dann zurücksetzen lässt) und dort beliebig Beiträge schreiben, ändern oder löschen.
Man postet Beiträge mit wild flackerndern bunten Bildern in einem Forum für Epileptiker, die von so etwas Anfälle bekommen. Das ist schon ziemlich bösartig, würde ich sagen (Slashdot-Diskussion).
..unter Linux ist leider ziemlich unbenutzbar zum Verschlüsseln ganzer Datenträger. Jedenfalls habe ich mal meinen USB-Stick (4GB) komplett verschlüsselt, aber stelle jetzt fest, dass ich keine Dateien darauf kopieren kann, die größer als 100MB sind. Bei größeren Dateien scheint der Rechenaufwand explosionsartig anzuwachsen, so dass selbst mein Dual-Core-Rechner innerhalb von Sekunden bei 100% CPU-Last ist, ich kann keinerlei(!) Eingaben mehr machen, und es bleibt nur der Griff zum Reset-Knopf. Absolut seltsam. Irgendein Prozess scheint da mit Root-Rechten und sehr hoher Priorität zu laufen. Also nur für kleine Datenmengen geeignet. Schade.
Man braucht nur noch 2 Terabyte Speicherplatz (2 handelsübliche Festplatten), nicht allzu teure Spezialhardware mit einem FPGA, und eine Stunde Zeit, um ein aufgenommenes Telefongespräch mit hoher Wahrscheinlichkeit entschlüsseln zu können. Außerdem ist die neue Angriffsmethode komplett passiv, das heißt, man muss selbst keine Mobilfunksignale erzeugen. Mehr dazu hier.
Achtung, jetzt kommt ein wenig Informatik.
Es gibt einen Server. Der Server beantwortet Anfragen von identifizierbaren Clients. Manchmal verweigert er aber auch eine Antwort: Wenn zu viele Anfragen in zu kurzer Zeit kommen. So etwas gibt es bei ziemlich vielen Webdiensten, die ein öffentliches API anbieten. Jemand, der die genauen API-Nutzungsregeln kennt, kann sagen, wie viele Anfragen der Server pro Client und Zeiteinheit maximal beantwortet - es sei denn, es ist ein Zufallsfaktor darin enthalten.
Angeblich soll es einem 14-jährigen Schüler im polnischen Lodz gelungen sein, ein fernbedienungsähnliches Gerät zu entwickeln, mit dem er die Straßenbahnweichen umstellen konnte. Dazu muss man wissen, dass Straßenbahnweichen typischerweise nicht von einem zentralen Stellwerk aus kontrolliert werden (wie bei der richtigen Eisenbahn), sondern jedes Fahrzeug die jeweils vor ihm liegende Weiche nach einem vorprogrammierten Muster (je nach Linie) per Funk, Infrarot oder manuell durch den Fahrer umstellt.
Bei richtigen Eisenbahnen werden Weichen und Signale typischerweise (noch) über Kabel gesteuert. Deshalb vermute ich, dass es dort nicht so einfach möglich ist, Manipulationen vorzunehmen, ohne aufzufallen. Allerdings sieht der einheitliche europäische Bahntechnikstandard ETCS teilweise auch eine Kommunikation per GSM-R (einer speziellen GSM-Variante für die Bahn). Noch gibt es nicht so viele Bahnstrecken, bei denen ausschließlich diese Technologie als Signaltechnik benutzt wird. Es wäre aber mal interessant, in Erfahrung zu bringen, ob man sich dabei auf die Standard-GSM-Verschlüsselung verläßt (die bekanntermaßen nur begrenzt sicher ist) oder noch ein eigenes Verschlüsselungsverfahren draufsetzt.
Update: Nach dieser Siemens-VDO-Broschüre verwendet die Freiburger Straßenbahn z.B. auch Infrarot-Baken für einige Funktionen (Ortung und Daten laden, was immer das auch ist)
USA-Reisende seien noch mal daran erinnert: US-Grenzbeamte haben bei der Einreise das Recht, den gesamten Festplatteninhalt eines Laptops zu durchsuchen, einschließlich privatester Briefe, Geschäftsgeheimnisse und vielem mehr.
Der Artikel der “New York Times” macht zwar keine Angaben, was passiert, wenn man mit verschlüsselten Daten daherkommt, ohne sich vorher irgendwie verdächtig gemacht zu haben. Ich vermute aber, dass einem durchaus die Einreise verweigert werden kann, falls man nicht bereit ist, die Daten zu entschlüsseln.
Ereignisse Bookmarks