187. Newsletter - sicherheitskultur.at - 31.08.2022

von Philipp Schaumann

Hier die aktuellen Meldungen:

1. Update: Zum 'false positive' Problem beim Kampf gegen 'sexualisierte Gewalt gegen Kinder' - Verlust von Daten und Accounts

Es geht darum, dass bei der Suche nach einschlägigen Fotos auch viele fälschliche Verdachtsmeldungen entstehen. Die NY-Times berichtet 2 Beispiele wie sich dieses Problem auswirkt: A Dad Took Photos of His Naked Toddler for the Doctor. Google Flagged Him as a Criminal. Es haben sich 2 Väter bei der Zeitung gemeldet. Der eine berichtet, dass er seine gesamten Online Aktivitäten in der Google-Cloud hat: Gmail, Kalender, Kontakte, Android Handy, Google Cloud als einziger Speicher seines Handys und seiner Fotos, Google Hangout, sogar sein Handyvertrag lief über Google. Dann hatte sein Sohn im Lockdown ein medizinisches Problem, der Arzt bittet um ein Foto und der Vater sendet ein Foto der Genitalregion. Die automatischen Systeme von Google entdecken dies, sperren alle seine Accounts (inkl. Handy), melden ihn der Polizei und übergeben alle seine Daten. Dort erklärt der Vater die Lage, die Polizei geht durch alle seine Daten (Fotos, Kontakte, Suchanfragen, Chats, Emails) und stellt die Ermittlungen ein. Aber Google weigert sich, die Accounts wieder zu öffnen oder ihm seine Daten zu geben. Fotos, Emails, Termine, Kontakte, alles weg. Er kann er auch seine Accounts an anderen Stellen nicht recovern weil die auch über sein Email laufen.

Im zweiten Fall ist jemand jahrelang zahlender Kunde der Google-Dienste, alles gesperrt, alle Daten weg. Google erklärt, das Thema sei ihnen sehr wichtig und die Accounts sind futsch auch wenn die Polizei erklärt, dass war ein falscher Alarm. Beide Google-Nutzer hatten keine lokalen Sicherungen ihrer Fotos und Daten.

Hier das Ausmaß: Nur Google allein hat 2021 die Accounts von 600 000 Nutzern bei der Polizei gemeldet und über 270 000 Benutzern ihre Accounts gelöscht. Bei solchen Zahlen liegt es nahe, dass das wohl nicht alles 'sexuelle Gewalt gegen Kinder' ist. Hier eine deutsche Zusammenfassung der Fälle: Vater fotografiert nacktes Kind für Arzt: Google meldet Missbrauch.

Das Problem der Abhängigkeit der meisten Nutzer von den großen Cloud- und Diensteanbietern wie Apple, Google, Amazon, Microsoft kann gut mit dem mittelalterlichen Feudalsystem verglichen werden. Der Feudalherr kümmert sich um seine Gefolgsleute, diese sind ihm aber ausgeliefert (außer, die Nutzer machen eine lokale Kopie von allem) - hier mehr zum Internet als Feudalsystem. Hier mein früherer Beitrag zu den Problemen von Chatcontrol. Und hier ein aktualisierter Beitrag zum Cloud-Problem.

Die Tatsache, dass einer der beiden Väter jetzt von gmail zu hotmail gewechselt hat, das zeigt, dass er die Problematik noch nicht ganz verstanden hat. Auch Eva-Maria Weiß auf heise.de hat Bauchschmerzen bei dieser Geschichte: Wer kontrolliert Google? Sie fragt sich, was die Technikkonzerne noch alles mit den Bildauswertungen anstellen (können).

Im November muss ich leider schon wieder von einem False Positive Beispiel berichten.

2. Noch 2x mal Cloud, diesmal im Smart Home

Überraschendes Support-Ende

Nur ganz leicht gruselig: Google hat verkündet, dass sie ihre Cloud-Lösung "IoT Core" in einem Jahr abschalten werden, Kunden sollen schauen, dass sie einen anderen Dienstleister für ihre smarten Lösungen im Haushalt finden, sonst stellen die vermutlich ihre Dienste ein. Der verlinkte Artikel bemängelt, dass es zwar Standards gibt, aber dass sich auch die anderen Anbieter (z.B. AWS IoT Core und Azure IoT) nicht daran halten. Die Sache ist komplex: Gerätehersteller nutzen in ihren Geräten veraltete Programmbibliotheken (SDKs) die mit genau einer Plattform arbeiten. Die Hersteller müssten jetzt irgendwie ihre (verkauften) Geräte aktualisieren, das wird schwierig.

Häusliche Gewalt im Smart Home

Noch etwas gruseliger: das Smart Home zum Werkzeug für häusliche Gewalt wird. netzpolitik.org berichtet über einen Artikel in der NY Times über einen Trend von häuslicher Gewalt mittels Smart Home Geräte die nach einer Trennung weiterhin durch den Ex-Partner bedient werden - Ziel: Terrorisierung, Belästigung oder Rache.

Der Zahlencode vom digitalen Türschloss ändert sich jeden Tag. Elektronische Geräte schalten sich von alleine immer wieder ein und aus, Termostaten, Kameras oder Lautsprecher werden zu beliebigen Zeiten aktiviert, der Ex kontrolliert die Musik (typischerweise sind die Täter hier männlich). Betroffene häuslicher Gewalt erzählen von vernetzten Geräten, die sich scheinbar gegen sie verschworen haben. Die NY Times hat mit mehr als 30 Überlebenden häuslicher Gewalt, ihren Anwältinnen und Anwälten sowie Mitarbeitenden von Schutz- und Hilfseinrichtungen über das neue Werkzeug für Missbrauch gesprochen. Ausführlich: Thermostats, Locks and Lights: Digital Tools of Domestic Abuse.

3. Ethereum geht zu "Proof of Stake"

Im Newsletter Ende März hatte ich angekündigt, dass Ethereum vom Stromfresser-Konzept "Proof of Work" zu "Proof of Stake" umstellen will - nun ist es bald soweit.

Die Umstellung ist konkret geplant schrittweise zwischen dem 6. und dem 20. September, die komplexen Details (auf deutsch) in diesem Artikel. Die Ethereum Foundation geht in den eigenen Kalkulationen davon aus, dass der neue Ansatz zur Validierung von Transaktionen um rund 99,95 Prozent weniger Energie benötigen wird. Das Problem der geringen Kapazität von möglichen Zahlungen weltweit wird (erst mal ?) nicht behoben.

Es wird mit verstärkten Betrugsaktivitäten für den Umstellungszeitraum gerechnet. Hier noch ein Link zur Wikipedia 'Proof-of-Stake'.

Hier zur Aktualisierung im nächsten Monat.

4. Kurzvideo: Warum das Darknet nicht nur für Kriminelle ist

Für alle, denen meine früheren Video-Verlinkungen zum Darknet zu lang waren, hier ein 10 Minuten Kurzvideo von heise.de: Warum das Darknet nicht nur für Kriminelle ist (und für alle die lieber lesen gibt es auch das Transkript).

5. Kryptogeld News und Regulierungsversuche

Die Betrügereien rund um Kryptogeld, NFTs, etc. gehen (wenig überraschend) immer weiter. Hacks gegen Blockchain-Plattformen: 2022 fast zwei Milliarden US-Dollar geklaut. 187 Sicherheitsvorfälle brachten im ersten Halbjahr 2022 Schäden von über 1,9 Milliarden US-Dollar (das ist 60% Wachstum, nicht schlecht), Angriffe vor allem gegen sog. Bridges und Defi-Plattformen (siehe mein früherer Artikel zu Defi)

Die Nationalbanken haben Angst, dass die regulären Banken mehr und mehr in diese Märkte einsteigen könnten: Fed und Bafin warnen Banken vor Risiken bei Kryptowährungs-Handel. Die große Sorge ist, dass "too big to fail"-Institute dort einsteigen, dann viel Geld verzocken und dann mit Steuergeldern gerettet werden müssen, siehe die Zockerei und die Rettung bei der vorigen großen Bankenkrise.

Hier eine Ergänzung: Die USA versuchen, Strafen gegen eine DAO zu verhängen. DAOs sind decentralized autonomous organizations und werden 'erzeugt' durch Skripten in der Skriptsprache von Ethereum, sog. 'Smart Contracts'. Diese DAO dient der Geldwäsche, die Betreiber sagen, eine DAO könne nicht bestraft werden, die Details im Link.

Rund um NFTs ist es ruhiger geworden, mehr und mehr kann man "Nachrufe" zu NFT lesen. Noch mal hier: NFTs und der Traum vom großen Geld (mit vielen bunten Beispielen).

In späteren Newslettern gibt es mehr zu Kryptobetrug.

6. John Deere Jailbreak - Recht auf Reparatur

Es geht um das 'Recht auf Reparatur', siehe mein früherer Artikel zu den John Deere Traktoren in der Ukraine. Damals ging es darum, dass John Deere die von russischen Soldaten geplünderten Traktoren still-gelegt hat ('bricked' mittels 'kill-switch') (angeblich). Jetzt hat auf der DefCon-Konferenz ein White Hat-Hacker auf der Bühne gezeigt, wie er die Kontrolle aber die zentrale Steuereinheit (und damit den Traktor) übernehmen kann. Sein Fazit: Dafür dass (angeblich aus Sicherheitsgründen) die Bauern keinerlei Reparaturen durchführen dürfen (und theoretisch auch können) ist die Software und die Sicherheit extrem schlecht.

Cory Doctorow, dem S-F Autor dem das 'right to repair' ein großes Anliegen ist, berichtet detailliert, ebenso wired: New Jailbreak for John Deere Tractors Rides the Right-to-Repair Wave. Auf deutsch schreibt heise.de: Recht auf Reparatur: Wie Landwirte ihre Traktoren zurückerobern wollen. Dass die geplünderten Traktoren jetzt irgendwo in Russland im Einsatz sind ist übrigens ziemlich sicher.

Update Dez. 2022: Gegen die Tyrannei des Originalherstellers. Die Juristin Lisa-Maria Riedl analysiert die verschiedenen Interessen bei Reparaturmöglichkeiten und zeigt, welche rechtlichen Reformen gefragt sind. Der Artikel verweist auch auf die europäischen Initiativen für ein 'Recht auf Reparatur' und die offizielle Empfehlung European Commission's Public Consultation on Sustainable Consumption of Goods - Promoting Repair and Reuse.

Noch ein Update Januar 2023: Sensation - John Deere erlaubt Reparaturen nach Hacks und Jailbreaks. Natürlich mit Einschränkungen, aber immerhin. Der Druck scheint gewirkt zu haben.

7. Webinar-Reihe zu Fake-News, Cyber-Mobbing und Internetbetrug

Die restlichen Termine der empfehlenswerten (kostenlosen) Webinar-Reihe zu Fake-News, Cyber-Mobbing und Internetbetrug.

Die Termine und Themen ab September: (jeweils 18:30 - 20:00)

6. September | Betrugsfallen im Internet erkennen
13. September | Digitale Spiele: Was findet mein Kind so toll daran?
20. September | Medienkompetenz - was ist das eigentlich?
27. September | Wie wehre ich mich gegen Hass im Netz?
4. Oktober | Der Algorithmus - Ein kritischer Blick hinter die Kulissen des Internet
18. Oktober | Wie schütze ich mich vor Identitätsdiebstahl?
8. November | Online zusammenarbeiten - Die besten Werkzeuge
15. November | Sicheres Online-Shopping
22. November | Wie schütze ich mein Kind vor Cyber-Grooming?

Anmeldung auf academy.oiat.at.

Humor, schwarz, unfreiwillig

Ford US Patent: Smartphone sagt der Fußgänger, dass das Auto den Überweg ignorieren wird

So sieht Ford die zukünftige Nutzung eines Zebrastreifens durch Fußgänger: Zuerst muss mittels Augmented Reality (AR) geprüft werden, ob das autonome Fahrzeug (AV) wirklich vor hat, sich an die Verkehrsregeln zu halten -
Quelle: Ford US Patent 11396271

Wie die Autolobby so denkt :-( - so absurd, dass es schon fast wieder lustig ist

Ford hat bereits im Juni 2020 das US-Patent 11396271 eingereicht, das zukünftige Straßen mit autonomen Fahrzeugen sicherer machen soll, d.h. sicherer für 'vulnerable road user' (VRU), d.h. für alle Verkehrsteilnehmer, die nicht in einem Fahrzeug sitzen.

Der Trick besteht laut Ford in der Kommmunikation des autonomen Fahrzeugs (AV) mit dem Fußgänger über eine geeignete Handy-App die der Fußgänger nutzen muss - wie das dann aussehen kann zeigt die offizielle Illustration im Patent.

Damit auch wirklich ausreichend buzzwords im Patent erwähnt werden, denkt Ford für die VRU an die Nutzung von augmented reality (AR). (Jetzt fehlt nur noch, dass ein bisschen "Artificial Intelligence" drübergestreut wird, aber das ist vermutlich selbstverständlich.)

Als Zugabe: Wo kommt denn unser Strom her? - unser Energie-Mix

Sehr schöne Darstellung der (für mich überraschenden) aktuellen Stromerzeugung in D und AT: Wo kommt denn unser Strom her?

In Deutschland wird mittlerweile der gesamte Spitzenbedarf über Solarstrom abgedeckt, Wind hat einen nennenswerten Anteil, Biomasse deckt einen gewissen Grundbedarf ab. Leider haben Kohle und Gas aber auch noch nennenswerte Anteile.

Österreich gibt ein ganz andes Bild: die Wasserkraft dominiert die Graphik, Solar spielt leider fast keine Rolle, Wind hat vorletzte August-Woche ordentlich was geliefert.

visualisierung der Stromquellen in Deutscland für Tage im August: überaschend ist der große Anteil von

Für D: gelb ist Solar, schwarz ist Steinkohle, braun ist Braunkohle, grün ist Biomasse, blau Wind Onshore, hell-blau Wind Offshore, hell-grau Erdgas, Quelle: Bundesnetzagentur 'smard.de' Hier jetzt AT (hier ist hell-blau die Wasserkraft, Donau- und andere Kraftwerke, der Rest der Farben wie D):

visualisierung der Stromquellen in Österreich für Tage im August: überaschend ist der fehlende Anteil von Solar, Österreich ruht sich auf der Wasserkraft aus