Was kostet es das Grundgesetz zu brechen?

Von Mainboarder am 6.10.2014 veröffentlicht
Tags: , , , , , , ,

Die neuen Erkenntnisse zum Ausspionieren von Datenverkehr (Eikonal) haben mich erneut schockiert. In einem interessanten Beitrag zerlegt Telepolis dieses Vorgehen, zeigt, dass es durch die deutsche Verfassung nicht gedeckt ist, auch nicht, wenn die Daten Deutscher aussortiert werden. Generell ist Datenverkehr in Deutschland geschützt durch das Fernmeldegeheimnis. Die in Absatz 2 wie auf im G10-Gesetz notwendig erklärte Nachprüfung geschah nicht.

Für mich ist auch fraglich, ob generell das Fernmeldegeheimnis über einen so langen Zeitraum von mehreren Jahren für alle eingeschränkt werden darf und dazu noch ohne die Betroffenen darüber zu informieren. Damit ist es faktisch abgeschafft. Mit nicht nur mit Artikel 20 Abs 3 und 4 GG könnten Steinmeier und Mitarbeiter des BND Probleme bekommen.

Wenn man bedenkt, dass Eikonal im Jahr 2004 startete und damit auch schon technisch möglich war, möchte ich nicht wissen, was womöglich derzeit gerade gemacht wird. Der DE-CIX, also der mutmaßlich ausspionierte Internetknoten, selbst hat davon wohl nicht mitbekommen:

Die jüngsten Presseberichte bringen aus unserer Sicht keine neuen Erkenntnisse bezüglich eines potenziellen Zugriff auf den von uns betriebenen Internetknoten und zugehörige Glasfasernetze. Daher schließen wir weiter aus, dass irgendein ausländischer oder inländischer Geheimdienst im genannten Zeitraum von 2004 bis 2008 einen Zugang zu diesen hatte. Eine Kooperation mit dem DE-CIX fand nicht statt.

Harald A. Summa – Geschäftsführer DE-CIX Management GmbH

Medienberichten zufolge lehnte es Steinmeier auch ab, direkten Zugriff auf den DE-CIX zu beschaffen. Wie genau die Daten also ausgeleitet wurden, ist unklar. Fakt ist, ein unbekannter Provider, vermutlich die Telekom, soll geholfen haben. Für 6000€ monatlich bekommt der BND dann Zugriff. Kurios ist, dass die Telekom selbst aber gar nicht am DE-CIX peert, also dort keine Daten mit anderen Providern umschlägt.

Mir teilte die Telekom mit, dass man im Kontakt mit Strafverfolgungsbehörden ist und prüft, ob es ausreichende Grundlagen für Ermittlungen gibt.

Schaut man sich diese Grafik des DE-CIX an, so lässt sich schätzen, dass 2008 der Traffic dort durchschnittlich bei ca. 250 Gbit/s gelegen haben könnte.

Ich weiß nicht was für Steinmeier, BND und Konsorten deutscher Datenverkehr ist:

  • Datenverkehr zwischen zwei deutschen Staatsbürgern
  • Datenverkehr in Deutschland
  • Datenverkehr in deutscher Sprache
  • Datenverkehr zwischen deutschen IP-Adressen
  • Datenverkehr an dem nur ein Teilnehmer als deutsch definiert wird

Der Anteil am Gesamtaufkommen ist bei einem deutschen Internetknoten in Deutschland aber vermutlich hoch. Je nach Definition hat man aber auch Datenverkehr der nach der Definition der Spione nicht abgefangen werden sollte, sich das Abfangen aber nicht verhindern lässt:

  • Deutsche Bürger im Ausland
  • Falsch zugeordnete IP-Adressen
  • Anderssprachiger Datenverkehr von Programmen oder bspw. in englisch verfassten Emails

Ohne irgend einen Anhaltspunkt zu haben, würde ich schätzen, dass ca. 60% des Traffics am Standort DE-CIX Frankfurt unter “deutschen Traffic” fällt: 250 Gbit/s * 40% = 100 Gbit/s ausländischer Traffic (2008). Davon sind aber 5% fehlerhafter deutscher Beifang: also 5 Gbit/s. 5 Gbit / 8 bit = 625 Megabyte Daten pro Sekunde. Ein Monat hat (bei 30 Tagen) 86400 Sekunden * 30 Tage = 2.592.000 Sekunden.

0,625 Gigabyte * 2.592.000 Sekunden = 1.620.000 Gigabyte = 1620 Terabyte = 1,6 Petabyte Daten pro Monat für 6000 €.

1.620.000 Gigabyte / 6.000 € = 270 Gigabyte / Euro

Diese Rechnung unterstellt Steinmeier und dem BND nur an dem Beifang, also deutschen Daten, interessiert gewesen zu sein. In Wirklichkeit ist die Datenmenge pro Euro also noch um einiges höher.

Geht man davon aus, dass Steinmeier und der BND nur für den deutschen Beifang gezahlt haben, so kostete sie 270 Gigabyte Grundgesetzbruch 1 €.

Jede oder keine: Religion in Leipzig

Von Mainboarder am 28.09.2014 veröffentlicht
Tags: , ,

Komische Sachen passieren in Leipzig seitdem eine Religionsgemeinschaft, die nicht christlich ist, ein Gotteshaus errichten möchte.

Zum Beispiel traf man sich im Jahre 2013 in einer Kirche um gemeinsam gegen eine Moschee zu sein:

Dabei kamen ebenso eklige wie abstoßende Kommentare vor.

Parallel dazu wird gegenüber des Neuen Rathauses gerade eine ziemlich große (und hässliche) Kirche gebaut.

Nun aber soll 2016 auch noch der Deutsche Katholikentag stattfinden und als ob das nicht reichen würde, wird dieser noch mit einer Million Euro unterstützt. Man könnte also den Eindruck gewinnen, dass es wichtig ist neue christliche Kirchen zu bauen. Doch in Gesamtdeutschland sinkt der Anteil an Menschen mit Religionszugehörigkeit. Dabei ist historisch bedingt auf dem Boden der ehemaligen DDR die Konfessionslosigkeit überdurchschnittlich hoch.

Da ich davon ausgehe, dass die bestehenden Kirchen höchstens zu Weihnachten und womöglich auch Ostern annähernd voll sind, beantworte ich die Frage, ob diese neue Kirche sein muss mit einem klaren Nein. Ebenso die Frage ob die Förderung des Deutschen Katholikentages in dieser Höhe stattfinden muss.

Wenn aber diese Religion, die laut Aussage der Befürworter zu Deutschland dazugehört, so gefördert wird, muss es auch möglich sein Gotteshäuser anderer, nichtradikaler und toleranter Religionen ohne übertriebene Proteste, echauffierte Bürger und Hetze bauen zu können. Denn dass das Christentum zu Deutschland gehört, ist in Leipzig und auch in Zukunft ein Argument was an Stärke verlieren wird.

Entweder jede oder keine Religion. So lange sie sich an die Gesetze halten.

Und abgesehen davon, sollte auch Atheisten im Verhältnis Geld geschenkt werden, wenn man es Christen schenkt.

Es gibt Dinge, über die müsste man eigentlich weinen. Dazu gehört die Verkehrsauskunft die hier verwendet wird. Vielleicht bekommt man ja den Betreiber NASA (Naverkehrsservice Sachsen-Anhalt GmbH) mit ein paar netten Zeilen dazu endlich das Ding bedienbar zu machen.

Sehr geehrte Damen und Herren,

mir ist zum wiederholten Male aufgefallen, dass die Verkehrsaufkunft INSA (ich nutze diese auf den Seiten der LVB (lvb.de)) sehr schlecht zu bedienen ist.

Beispiel Koehlerstraße

Wenn ich eine Auskunft zur Koehlerstraße haben möchte und einfach nur diesen Haltestellennamen eintrage, habe ich Haltestellen in Kassel, Chemnitz und Müllerdorf zur Auswahl. Nicht aber die Haltestelle der LVB.

Beispiel Meusdorf

Diesen Fehler meldete ich bereits vor ca. eineinhalb Jahren an die LVB. Gibt man “Meusdorf” ein, so wird nachgefragt, ob “Leipzig, Meusdorf” gemeint ist. Gibt man dagegen “Leipzig, Meusdorf” direkt ein, so kann die Auskunft nichts damit anfangen.

Beispiel Uhrzeit

Erhält man eine Auskunft, so ist die erste Option oft in der Vergangenheit. Nun, leider ist es mir nicht erlaubt mit Überlichtgeschwindigkeit mich zu der Haltestelle zu bewegen, da innerorts meistens lediglich 50 km/h statt ~300.000 km/s zugelassen sind (abgesehen davon bin ich auch nicht so sportlich um das zu können und aus irgendwelchen Gründen lachte mich mein Physiklehrer immer aus, wenn ich Ihn fragte, ob er das denn schafft, wenn ich mal wieder zu spät zum Unterricht kam).

Es ist auf Smartphones nicht sonderlich bequem unnötige Klicks machen zu müssen oder mit ganz speziellen Eingabekombinationen unter Umständen vielleicht an geraden Kalendertagen mit etwas Glück an die gewünschten Informationen zu kommen.

Ist es nicht möglich den einzelnen Verkehrsunternehmen in der Datenbank von INSA die Informationen so zu hinterlegen, dass deren Haltestellen bevorzugt werden? Nachts um elf möchte ich seltener von Kassel nach Leipzig als innerstädtisch unterwegs sein.

Durch einen Parameter, der das Verkehrsnetz an Ihre Auskunft übergibt und mit dem sich aus der Datenbank die zugehörigen Haltestellen des Verkehrsunternehmens herausfinden lassen, sollte das hoffentlich möglich sein.

[Update: 2.10.2014 15:45 Uhr]

Wird jetzt etwa alles besser?! Die NASA GmbH hat mir geantwortet. Man will mit den Partnern meine Hinweise auswerten und nach Lösungen suchen. So recht kann ich nicht glauben, dass ich der Erste sein soll, der die Fehler gemeldet hat. Sollte die Auskunft in Zukunft etwas benutzbarer werden, dann wäre das jedoch schön!

Für mich schaut es so aus, als würde die NASA noch denken, die Probleme seien bei den LVB. Für mich sieht es aber so aus, als würde die LVB auf ein paar Skripte verzichten, die die Haltestellen während der Eingabe laden. Saubere Programmierung lässt eine vernünftige Bedienung auch ohne diese Skripte zu. Das Problem mit der Uhrzeit besteht auch bei mir angebotenen Alternativen.

Wie die Deutsche Telekom Kunden vergraulen wird

Von Mainboarder am 24.09.2014 veröffentlicht
Tags: , ,

An sich bin ich der Telekom wohlgesonnen. Gab es ein Problem, so gab es auch immer eine akzeptable Lösung. Sei es, wenn Vodafone den eigenen Vertrag nicht einhält und uns ohne Kosten zurücknimmt. Sei es, wenn die Leitung aufgrund eines schwer feststellbaren Fehlers manchmal zusammenfällt. Sei es bei unklaren Regelungen bei der Abrechnung, die Lösungen waren stets kundenorientiert. Doch wenn man jetzt Kunden mit analogen Anschluss kündigt, macht man einen Fehler.

Dass die Telekom kein analoges Festnetz mehr will, ist schon länger bekannt. In nahezu jeden Haushalt findet sich ein Handy mit dem sich notfalls auch Hilfe holen lässt. Außerdem ist es auch nicht die Aufgabe eines nicht (mehr) staatlichen Unternehmens eine solche Infrastruktur zur Verfügung zu stellen. Heutige Festnetztelefone benötigen zudem meistens ohnehin extra Strom und kommen nicht nur mit dem aus der Telefondose aus. Als letztes bleiben noch Alarmanlagen. Diese werden wohl auf Internet mit GSM-Ausweichmöglichkeit zurückgreifen müssen. Dann müssen Einbrecher vermutlich für Stromausfall und Störsignale gleichzeitig sorgen.

Alle Gründe am analogen Netz festzuhalten sind – aus Betreibersicht – nichtlohnenswerte Nischenanwendungen.

Ping bei Wechsel zu IP-Anschluss

Ping bei Wechsel zu IP-Anschluss

Dafür gibt es VoIP. Dabei wird das Telefonsignal vom heimischen Router in IP-Pakete (Senderichtung) und analoge Signale (Empfangsrichtung) umgewandelt. Und mit den IP-Paketen geht es dann weiter wie mit den Paketen die zum Laden dieses Beitrages notwendig waren (womöglich priorisiert durch den Router, da es sich um eine kritische Echtzeitanwendung handelt). Die 24h-Zwangstrennung sorgt dann täglich für eine kurze Unterbrechung.

Auf Betreiberseite ist jedoch noch einiges vorher zu erledigen, damit auch nur der die Telefonnummer nutzen kann, der sie nutzen darf und die Gespräche auch am richtigen Ende ankommen. Und hier hat die Telekom offen eingestanden, dass es Probleme gibt.

Für mich ist es daher nicht begreiflich warum man parallel nun noch den IP-Kundenzuwachs beschleunigen will. Sollte nicht zuerst das neue System vernünftig funktionieren, bevor es freigeschaltet wird? Wenn es aber schon freigeschaltet wurde, sollte man dann nicht nur an der Problembehebung arbeiten um neuen Kundenunmut abzuwenden?
Ein neues System einzuführen, welches auch aus Betreibersicht noch erhebliche Schwachstellen hat, sollte erst von Fehlern befreit werden, bevor Kunden dahin migriert werden. Der Supportaufwand wird erheblich wachsen und – da die Supporthotline da auch nichts außer vertrösten kann – auch die Kundenunzufriedenheit. Zumal gerade viele ältere Menschen ihre Verträge lieber nicht anfassen und alles so lassen wie es ist.

Wie ich eine distributed Bruteforceattacke entdeckte

Von Mainboarder am 19.09.2014 veröffentlicht
Tags: ,

Mit WordPress 4 kam ein neues Feature dazu, welches es erlaubt YouTube-Videos ohne Plugin leicht einzubinden. Deswegen habe ich in der Datenbank alte Videos so angepasst, dass diese nun auch ohne das Plugin laufen und dieses entfernt werden kann. Dabei ist mir aufgefallen, dass die Datenbank in einer Tabelle über 48800 Einträge hatte. Dort werden fehlgeschlagene Logins gespeichert. Die Tabelle mit den gesperrten IP-Adressen war dagegen lediglich 1300 Einträge groß.

WordPress habe ich sicherer eingerichtet, als es der Durchschnitt machen würde.  Aus diesem Grund beunruhigte mich die hohe Zahl zunächst nur ein wenig. 48800 Einloggversuche über mehrere Monate hinweg mit teilweise mehreren Versuchen pro Sekunde, das ist eine Hausnummer.

Ein Backup habe ich sowieso, deswegen ging es auch gleich daran die Daten aus der Livedatenbank zu löschen. Dabei wollte ich die letzten 500 Versuche behalten. Mit einem einfachen

DELETE FROM 'Tabellenname' LIMIT 48300

werden die ersten 48300 Einträge gelöscht.

Danach das Gleiche nochmal mit der Tabelle für gesperrte IP-Adressen.

Nach diesen und weiteren Optimierungen der Datenbank, war diese gleich um 7,5 Mb kleiner.

Der bislang größte mir aufgefallene Angriff war ebenfalls eine Bruteforceattacke. Hier wurden innerhalb einer halben Stunde hunderte IP-Adressen gesperrt. Allerdings direkt vom Server und keinen PHP-Skripten in WordPress.

Und jetzt?

Nunja, eigentlich hätte der Angriff so nie möglich sein sollen. Die entsprechende Sicherheitsmaßnahme hatte einen Fehler (oder war deaktiviert, weil sie mich nervte, so genau weiß ich das nicht). Diese wurde nun wieder aktiviert.

Das Datenbankdump werde ich mir mal speichern. Vielleicht habe ich irgendwann mal Lust Voodoo darüber laufen zu lassen und zu schauen, ob man irgendwas gescheites aus den Daten bekommt.