Skip to content

Schnüffsuchung

Eine Firma ist beim Thema Schnüffelei in der letztewn Zeit oft in Meldungen aufgefallen, und das ist eine Firma FinFischer, die in Deutschland sitzt, dem Bundeskriminalgeheimdienst auch mal Geld für eine Wanzensoftware abgenommen hat, und ansonsten öfter von so Organisationen wie Anmesty International gemeldet wird, wenn deren Wanzensoftware wieder mal beim Einsatz gegen Opposition in einem Land auffällt, wo allgemein die Regierung nicht als so nett angesehen wird.

Diese Firma sitzt ja in Deutschland, und hierzulande hat mal die Regierung beschlossen, bestimmte Software nicht mehr ohne Erlaubnis exportiert sehen zu wollen. Unter anderem wurde der Besitz von sogenannten Hackertools auch im Inland verboten und unter Strafe gestellt, wo man sich auch fragt, wieso dann noch niemand mal bei einer Wanzenfirma nachgefragt hat, ob die ihre Wanzen eigentlich aus Bitströmen häkeln, oder wie die sonst so entstehen. Und nun gab es also Hinweise, dass FinFischer trotz Exportverbots Wanzensoftware aus dem Land geschickt hat (was dank einem Internetz jetzt nicht so schwer ist). Da gab es unter Anderem auf einem Chaos Communication Congress in den letzten Jahren längliche Vorträge, wo das Ziel war, nachzuweisen, dass die konkrete, auf ausländischen Oppositionsgeräten angetroffene FinFischer-Wanzen erst nach dem Exportverbot entstanden sein könnten (da half, dass die eine Datenbank mit in ihre Wanze packen, die erst später fertiggestellt wurde als das Exportverbot, und damit der ganzen Wanze einen frühestmöglichen Fertigstellungstermin anheftet.

So, und mit dem Verdacht, dass die Firma also verbotene Software verbotenerweise exportiert hat, hat dann letzte Woche auch die Polizei mal bemerkt, dass man das mal untersuchen könnte, und eine Hausdurchsuchung getätigt. Im Zweifelsfall nciht wie bei Privatpersonen, wo alles mitgenommen wird, was auch nur Strom braucht, aber immerhin.

Nowiwalny

Das Märchen rund um den "Kreml-Kritiker" Nawalny ist weitergegangen. Und zwar vermeldet die Regier letzten Mittwoch, der sei mit einem Nowitschok vergiftet wurden und deswegen immer noch am Leben. Und die Regier verlangt dann mal wieder (OPCW-Regeln gelten im Zweifensfall wieder nicht), dass Russland gefälligst bis vorgestern aufgeklärt hätte haben sollen, dass es Putin war, und dass er das gemacht hat, weil $Grund. Ob die Parallelen zum Skripal noch mehr werden, der Nawalny also nie wieder öffentlich gesehen werden wird, wage ich schon mal zu mutmaßen. So funktioniert das eben, wenn Rechtsfreie Spione rechtsfreien Scheiß machen.

Schnüffografie

Wenn ich hier schreibe, dass mal wieder ein Ministerium nach noch mehr Überwachung verlangt, denkt ihr bstimmt auch zuerst an das Bundesministerium für Drinnen, Bau und Dahoam (verkürzend auch gerne als Innenministerium bezeichnet). Das ist in diesem Fall überraschenderweise mal nicht dasjenige, was mehr überwacht wissen will. Sondern dieses Mal ist es das Ministerium für Justiz, was seit dem Wechsel der Ministerin wirklich nicht mehr mit vielen positiven Meldungen in meinem Gedächtnis haften geblieben ist. Dieses Mal geht es um secualisierte Gewalt gegen Kinder, bei deren Darstellungen (gemeinhin als "Kinderpornografie" bezeichnet) noch mehr kriminalisiert werden sollen, und wo auch die Rechnervollverwanzung möglich werden soll.

Bei Rechnerverwanzung fällt mir ja ganz laienhaft eine einfache Verteidigung ein: Kann die Strafverfolgung gerichtsfest belegen, dass die nach der forensischen Analyse eines real beschlagnahmten Rechners gefundenen Dateien nicht von der Wanze oder einer dritten Partei dort abgelegt wurden? Denn immerhin hat die Wanze ja ein Loch in den rechner genutzt oder geöffnet. Und damit würde ich da darauf drängen, so einen offensichtlich untauglichen Beweis vom gericht verworfen zu bekommen. Wobei ich da nichts von bisher gelaufenen Verfahren mitbekommen habe. So laut, wie die Schnüffler nach Rechnerverwanzung seit Jahren brüllen, müsste es doch langsam mal Verfahren geben, wo auch verwanzte Rechengeräte als Beweis genutzt werden sollten.

Übrigens: Wenn die Verteidigungsstrategie verfangen würde, dürften solide Ermittler darum bitten, diese Wanzen doch bitte nicht in der Nähe ihrer Verfahren zu halten. Die würden dann ja Beweise vernichten.

Wanzleitung

Ein ganz besonders hinterfotziges Regierungsprojekt berichtet netzpolitik.org da: Die Regier würde an einem Gesetz sitzen, nach dem Netzprovider in Datenübertragungen reinmanipulieren sollten, damit Schnüffeldienste die nutzen können, um Wanzen in die Übertragungen einzuschleusen. Die Idee, soweit ich sie verstanden habe, ist also, dass Provider beim Download von Software (oder Updates) den Schnüfflern ermöglichen, dass die die Software mit Wanze ausliefern. Immer vorrausgesetzt, der Zielrechner prüft nicht, ob der Download kaputt oder verwanzt ist, ist das ein ganz toller Weg, um jegliches Vertrauen in das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme (komisch, mir ist so, als gäbe es dazu etwas von BVerfG) zu zerstören. Dabei haben sich über die Länderpolizeigesetze die Bedarfsträger doch gerade schon Einbruchsrechte für Wohnungen geben lassen, um so Wanzen einzuspielen. Dass das bei Informationstechnischen Systemen nicht funktioniert, die die Opfer regelmäßig mitnehmen, wenn sie die Wohnung verlassen, ist mir schon länger aufgefallen, und statt dem erwarteten Raubrecht wollen die Schnüffler jetzt also alle Softwareupdates verwanzen. Dazu fällt mir nur ein, dass ich das extrem dreist finde, und verlange, dass diejenigen, die solche Scheiße fordern, sofort sämtliche Rechte auf Privatsphäre verloren haben. Solche Gesetze finden wir(tm) nicht gut, wenn sie in Woanders passieren, warum sollte das hier Okay sein?

Wanzdienste

Neues vom Bundesverfassungsbruchministerium: Da schnitzt man ja an der nächsten Runde Entrechtung der Bürger, indem die Inlandsgeheimdienste (die Rechten Terror nicht nur nicht erkennen, sondern auch noch aktiv fördern) die Bundeswanze bekommen sollen. Offiziell geht es dabei um die sogenannte "Quellen-TKÜ" aber wie man in der Debatte der letzten Jahrzehnte nachschauen kann, ist das nur Blödsprech für Vollüberwachung, vor allem wo die Spionagedienste ja nicht kontrolliert werden, also Rechtsfreie Räume sind. Mal ganz davon abgesehen, dass ich nicht erkennen kann, wie eine 'Telekommunikation vor der Versendung abschnorchel'-Wanze sich vom Großen Lauschangriff sicher unterscheidet. Und der ist ja an ziemlich harte Anforderungen geknüpft. Aber wahrscheinlich will das Verfassungsbruch-Ministerium nur nochmal vom Verfassungsgericht die bisherige Rechtssprechung vorgetregen bekommen. War halt gerade nicht präsent, muss man ja verstehen.

GreySpy

Ekliges aus der Schnüffel-Ecke: Angeblich soll GreyKey inzwischen tatsächlich eine Wanze in die iPhone-Software einschleusen können, um so eine Passcode-Eingabe direkt auf dem iPhone abschnüffeln zu können. Damit kann man dann wirklich keinem Gerät mehr vertrauen, was Schnüffel-Fans jemals unbeobachtet im Zugriff hatten.

VerfassND

Apropos BND: Zu dem hat sich letzte Woche das Bundesverfassungsgericht geäußert, und im Kern das festgestellt, was schon zu hoffen war: Die Spionage, die der Bundesrechtsfreie Raum anstellt, ist verfassungswidrig. Denn, anders als die Schnüffler glauben, gelten Dinge wie das Fernmeldegeheimnis nicht nur dann, wenn sich alle Beteiligten ständig auf dem Erdboden in Deutschland aufhalten.

Dabei ist das BND-Gesetz doch gerade während des NSAUA geändert worden, um all das zu erlauben, was der BND zwar nicht durfte, aber trotzdem gemacht hat. Spannendes Detail: Der gerade zum BVerfG-Vorsitzden aufgestiegene Richter Harbart hat übrigens als Abgeordneter genau die Änderung mitbefürwortet.

BNDatenmengen

Erinnert ihr euch noch an die Snowden-Veröffentlichungen aus der NSA? Da war auch eine Aussage bei, dass der deutsche BND "Access to the heart of the internet" haben würde. Das wurde gemeinhin interpretiert als Zugriff auf DE-CIX und die da durchlaufenden Daten. Da ist nun ein Recherche-Team an Unterlagen aus dem BND-Umfeld gelangt, und berichten, dass es alles noch viel schlimmer ist, als wir bisher auch nur geahnt haben.

Huawehauptung

Die Spionage von Amis und dem BND hatten wir ja gerade erst. Da kommt es ganz passend, dass der Ami mal Behauptungen zu Huawei konkretisiert hat. Der Ami behauptet ja schon länger, Huawei sei Ganz Doll Böse und wenn man deren Technik in seinem Netz hat, dann schnüffelt der Chinese alles aus. Und nun behauptet der Ami also, dass Huawei Böse ist, weil die gesetzlich vorgeschriebene Schnüffelschnittstellen (Bulshytt: Lawful Interception) haben.

Meine erste Reaktion: Ja. Und? Ohne LI dürften die doch gar nicht eingesetzt werden? Schließlich verlangen die Schnüffler im Westen, dass jedes Mobilnetz ihnen solche Schnittstellen liefern soll, weil Böse Leute ja sonst unbeschnüffelt Dinge tun könnten. Wo ist also das Problem? Ach, das Problem ist, dass der Chinese sich bei Huawei einen Zugang bestellen könnte in Unsere Netze? Ja, aber, Sie wissen doch, Herr BND: Wer nichts zu verbergen hätte, hätte doch auch nichts zu befürchten, wie ihre Sockenpuppen von der cdU immer verbreitet haben. Also ich kann die ganze Aufregung hier so gar nicht nachvollziehen. Ja, der Chinese hat Schnüffelschnittstellen. Hat der Ami auch. Und im Zweifelsfall auch bei ähnlich in Mobil- und andere Netze eingegrabenen Komponenten. Immerhin wissen wir seit Snowden ja, dass die Nasi Geräte auch auf dem Postweg abfängt, noch mit Hardware-Wanze versieht, und weiterschickt. Dass der Chinese das täte, ist nicht berichtet bisher. Entsprechend kleine Brötchen sollte der Ami backen, wenn es um Vorwürfe gegen Andere geht.

Schnüfflerwanderung

Meldung aus der 'also wirklich überrascht ist da aber kaum wer von'-Ecke: Der Bundesrechtsfreie Raum BND und der US-Folterschnüffeldienst CIA haben jahrelang über eine Crypto-Firma Hintertore in Crypto eingebaut. Und wie auch der Artikel ausführt, ist das Geschwafel von eienr Frau Kandisbunzlerin in dem Licht gleich noch unglaubwürdiger, die faselte "ausspähen unter Freunden, das geht gar nicht!" So spontan ergeben sich da zwei Möglichkeiten: Entweder Frau Regierungsoberhaupt hat den Kanzlergeheimdienst nicht im Griff und wusste wirklich von nichts, dann wäre das zu ändern. Oder sie wusste davon, dass ihr eigener Spionagedienst absolut alles beschnüffelt, wo man rankommt, dann hätte sie klar gelogen. Ich weiß jetzt nicht, was mir lieber wäre.

Wanzhofer

Eine Meldung aus der vorvergangenen Woche sah aus, als könnte man sich da freuen: Und zwar hätte der Seehörster die Gesichtserkennungsforderung aus dem Gesetz für die Bundesgrenzpolizei rausgenommen. Allerdings vermeldet der Heise-Ticker, das hätte Seehörster nur gemacht, um umso mehr auf Verwanzung von Rechengeräten zu verlangen. Nicht berichtet ist, wann mit Forderungen nach einem Einbruchs- und Raubrecht zur Verwanzung zu rechnen ist, aber nachdem Länderpolizeien schon Einbruchsrechte bekommen haben, um Rechner in Abwesenheit ihrer Besitzer zu verwanzen, ist das eher nur eine Frage der Zeit als etwas Anderes. Das ist übrigens die selbe Regierung, die von einer exekutiven Eigenverantwortung schwafelt, wenn mal jemand parlamentarisch nach Endverbleibserklärungen exportierter Waffen fragt. Vielleicht sollte man also alle Rechner der Exekutive vollverwanzen, damit die parlamentarische Kontrolle nicht durch solches Geschwafel behindert wird.

NASindows

Meldung aus der 'so geht's also auch'-Ecke: Zum letzten großen Patch-Day von Microsoft habe ich früh mitbekommen, dass da etwas größeres kommen könnte, ein Update, was man besser nicht länger abwartet. Und dann kamen relativ schnell Meldungen, dass die NASi wohl ein fiesiges Sicherheitsloch gefunden hätte, und ausnahmshalber mal nicht (EternalBlue und WannaCry lassen grüßen) für sich behalten und gemütlich ausgenutzt, sondern eben an Microsoft gemeldet, wo dann für die noch unterstützten Windowsen Patches gebacken wurden. Ich weigere mich ja, die NASi zu loben für etwas derart Selbstversatändliches, aber das sehen viele Medienvertreter wohl anders (die dann lustigerweise nicht erwähnen, dass mit EternalBlue und verwandten Löchern die NASi lange und unbemerkt rumgeschnüffelt hat, und gleichzeitig alle IT auch der Amis angreifbar gelassen hat).

Netzgriffe

In der Politik schwirrt ja ständig Angst vor dem Bösen Russen oder dem ähnlich Bösen Chinesen rum, aber nicht vor dem Ami. Dabei wissen wir seit den Snowden-Enthüllungen, dass der Ami Computer verwanzt ausliefert, was weder von Russen, noch Chinesen so bekannt ist. Und so scheißen sich Politiker ständig ein, weil der Chinese ja mit Huawei-Technik aalle Netzte immer völlig überwachen würde, oder was auch immer die technisch ungebildeten Pöblitiker sich da zusammenfantasieren. Auf diese Absurdität hat nun auch der Netzbetreiber Telefonica (bekannt von o2) hingewiesen. Wenn es bei den Verbotsforderungen um Sicherheit ginge, müsste ja wohl eher Technik aus NSA, äh, USA verboten werden, anstatt die von chinesischwen Herstellern. Oder geht es am Ende gar nicht um Sicherheit?

Buchschlag

Brüller aus VSA: Letzte Woche kam die Biografie eines Edward Snowden (goes by Ed) raus. Für die Vergesslichen: Der hat 2013 Journalisten Informationen darüber zukommen lassen, dass, und wie extrem die Nasi ungefähr alles abschnorchelt. 

So, und wo ist der Brüller? Der besteht darin, dass die VS-Regierung Snowden und seinen Verlag verklagt, damit der auf gar keinen Fall die Einnahmen aus seinem Buch behalten darf. Land of the free, Home of the brave, my ass!

Schnüffport

Heute gibt es noch eine Schnüffelmeldung aus der letzten Woche. Und zwar gibt es da ja die schattige Firma Gamma Group/Finfischer, die die extrem schattige FinSpy-Wanze entwickelt und verkauft, die auch in nicht gerade demokratischen Regimes wie beim BKA eingesetzt wird (oder nicht eingesetzt wie in Berlin). Und gegen die hat Netzpolitik nun Anzeige gestellt, weil der Verdacht im Raum steht, dass mit dem Verkauf der Wanze an andere Länder ein Straftatbestand erfüllt sein könnte. So eine Genehmiigung will die Regier nicht erteilt haben, von daher wäre die Frage, wie die Firma denn legal die in Deutschland entwickelte Wanze ins Ausland gebracht haben will. Ja, das Gesetz ist in Zeiten vernetzter Computer absurd, aber deswegen sollte man es nicht einfach brechen.
tweetbackcheck