Handbücher für Überwachungssoftware veröffentlicht

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
Post Reply
User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Handbücher für Überwachungssoftware veröffentlicht

Post by totentanz » Fri Oct 31, 2014 21:25

Das kanadische Citizen Lab und das Online-Magazin The Intercept haben Handbücher des "Remote Control Systems" der italienischen Firma Hacking Team veröffentlicht, mit dem nachweislich Abhöraktionen durchgeführt wurden. Besonders die Handreichungen für den "Installations-Techniker" werfen Fragen auf – zum Beispiel, ob das derzeit übliche System von Sicherheitszertifikaten für Softwareentwickler nicht auf den Müll gehört.

Zudem sollen Zertifikate von Unternehmen wie Verisign/Symantec, Thawte oder GoDaddy dabei helfen, dass Malwarescanner die Software für legitim halten.
http://www.heise.de/security/meldung/Ha ... 40613.html

Und ich dachte meine Kotzgrenze ist schon hoch genug angesetzt, anscheinend ja nicht.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: Handbücher für Überwachungssoftware veröffentlicht

Post by xg27 » Sat Nov 01, 2014 10:38

totentanz wrote:
Und ich dachte meine Kotzgrenze ist schon hoch genug angesetzt, anscheinend ja nicht.
Naja, obere Kotzgrenze; soetwas ist eigentlich fiktion. Aber, immer wieder kotzen ohne Ende ist wohl ein akzeptabler Preis dafuer dass man nicht in endloser Dummheit lebt.

Eine Sache, die hilft, ist sich immer wieder auch mit anderen Dingen zu beschaeftigen, Dinge im real-life und so. Sonst dreht man durch.

Und Humor. Humor hilft auch. Jede Menge davon.

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: Handbücher für Überwachungssoftware veröffentlicht

Post by totentanz » Sun Nov 02, 2014 0:13

Problem ist nur, ich komm mit dem Essen nicht mehr hinterher. Humor ist immer gut :lol:
Wenn sich die Zertifikatsherausgeber dazu hergeben die Überwachungssoftware im Wissen um deren Fragwürdigkeit zu signieren, dann ist nun auch die Signatursoße für Softwareentwickler obsolet. Bei SSL ist das CA System am Ende, nun auch in dieser Angelegenheit. Sind aber immer wieder die Gleichen, Symantec und die aufgekauften CAs. Wie war das noch bei Symantec mit NSA in der Chefetage, da war doch mal was. Ich kann nur jedem Win Nutzer raten, seine AV so einzustellen das nicht blind signierter Datencontent durchgewunken wird.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: Handbücher für Überwachungssoftware veröffentlicht

Post by xg27 » Sun Nov 02, 2014 16:59

totentanz wrote: Wenn sich die Zertifikatsherausgeber dazu hergeben die Überwachungssoftware im Wissen um deren Fragwürdigkeit zu signieren, dann ist nun auch die Signatursoße für Softwareentwickler obsolet. Bei SSL ist das CA System am Ende, nun auch in dieser Angelegenheit. Sind aber immer wieder die Gleichen, Symantec und die aufgekauften CAs.
Diese Gleichen sind aber nur eine Seite der Medaille. Die andere Seite sind wir, die wir heikle und unbequeme Aufgaben immer von irgend welchen Anderen irgendwie erledigen lassen wollen. Wie genau ist uns nicht nur egal sondern wir wollen es gar nicht wissen.

Und diese anderen haben dann eine Schluessel- und Vormachtstellung in unseren zentralisierten Systemen. Und, Angreifer konzentrieren sich natuerlich auch auf diese zentralen Stellen. Das Konzept ist fuer die Angreifer genauso bequem wie fuer uns. Und die wahren Angriffe werden nicht mit dem Brecheisen gefahren sondern mit der Krawatte.

Wir wollen zentrale Stellen weil es fuer uns bequemer ist und wir Verantwortung abschieben koennen dadurch; die Kanditaten fuer diese zentralen Stellen wollen es so da sie eine Vormachtstellung bekommen koennen dadurch; und potentielle Angreifer wollen es ebenso da es auch fuer sie sehr bequem ist so. Ein Konsensus des Unsinns und vorab potentiell verbrecherisch.

In dezentralen Systemen werden diese unangenehmen Pflichten von den Teilnehmern kollektiv selbst erledigt. Obwohl das auch seine Probleme hat ist es doch ungleich schwieriger angreifbar und im Prinzip viel stabiler. Aber es ist natuerlich unbequemer, etwa einen PGP-public-key zu verifizieren als mit einem Klick eine CA-signatur abzurufen. Ich vertraue selbst dem web-of-trust lieber als irgendwelchen Bonzen.

Post Reply