Wir brauchen bessere WLAN-Einstellungen

Die Süddeutsche Zeitung berichtet über eine neue Schwachstelle im Kurznachrichtendienst RCS. Darin wird der Angriffsvekor beschrieben:

Um eine solche Falle aufzustellen, brauchen Hacker wenig mehr als einen Laptop. Fake-Hotspots könnten kriminelle Hacker beispielsweise am Flughafen neben einer Airline-Lounge betreiben, um potenziell lukrative Opfer zu finden. Sobald die Zielperson in dem falschen Wlan eine Website aufruft, leiten die Hacker die Anfrage auf eine von ihnen kontrollierte Webpage. Das Opfer kann sich dagegen nicht wehren.

Vielleicht sollten wir dies auch als Sicherheitslücke begreifen. Denn der normale Android-Nutzer hat keinerlei Möglichkeiten, Fake-APs zu erkennen. Schlimmer noch: Das Gerät übernimmt es für ihn, sich in ungesicherte Netze einzuwählen.

Ein Beispiel: Ich habe mich neulich an einem privaten Router eingeloggt, der noch die Standard-Kennung für das WLAN nutzte. „FRITZ!Box 6490“ oder ähnliches. Kurze Zeit später bemerkte ich, dass mein Datenverkehr beim weg durch die Stadt immer wieder mal stockte und dass unvermutet eine WLAN-Verbindung angezeigt wurde. Die Lösung: Mein Handy versuchte sich schlicht bei jedem der Router mit diesem WLAN-ID einzuloggen. Was nicht klappt, da die Netze passwortgeschützt sind. Und es gibt Tausende davon.

Ein Screenshot einer WLAN-Liste

Ich habe vergeblich nach einer Möglichkeit gesucht, dies abzuschalten. Der Android-Dialog zu WLANs bietet jedoch keinerlei Option dafür. Obwohl jeder Router eine eindeutige MAC-Adresse hat, unterscheidet Android nicht. Ich kann mir die MAC-Adresse eines Routers auch nicht anzeigen lassen, um zu entscheiden ob es der richtige ist. Erst wenn ich mich bereits verbunden habe, bietet mir Android an, die Details zu dem Netzwerk nachzulesen. Darunter sind die Geräte-IP, der Verschlüsselungs-Standard und die MAC-Adresse. Damit anfangen kann ich jedoch nichts.

Dabei wäre die Lösung relativ einfach. Neben der Option ein Netzwerk zum Autologin zu wählen oder nachträglich zu löschen, sollten wir auch die Möglichkeit haben, uns nur bei einem bestimmten Router einzuloggen. Natürlich bietet eine MAC-Adresse keinen vollendeten Schutz – ein Hacker kann sie ja beliebig manipulieren. Jedoch kann sie dem Nutzer eine Möglichkeit geben, die Gefährdung wesentlich zu reduzieren.

Neben dem Sicherheit- wäre es auch ein Komfort-Gewinn. So musste ich zum Beispiel die Freifunk-APs aus meiner WLAN-Liste nehmen, weil mir die Datenverbindung immer wieder abhanden kam. Solange eine WLAN-Verbindung erhältlich ist, krallen sich Smartphones daran und lassen den Mobilfunk außen vor. Der Empfang von Freifunk ist jedoch meist schlecht, die Datenrate unterirdisch. Und plötzlich setzen Streams aus, Chat-Nachrichten kommen nicht an, dringende Emails gelangen nicht zu mir.

Lange Rede, kurzer Sinn: wir brauchen bessere WLAN-Einstellungen. Warum hatten wir sie nicht von Anfang an?

Eine Geschichte zur Filtersouveränität

Scott Krepel wurde ohne Gehör geboren. Doch im Alter von 12 Jahren eröffnete ihm die moderne Technik etwas Unglaubliches: Mit einem Cochleaimplantat konnte er plötzlich hören. Zumindest konnte er Geräusche wahrnehmen. Das Gefühl war überwältigend für den Jungen: endlich konnte er mit einer Welt Kontakt aufnehmen, die ihm bisher verschlossen war. Vom Zwitschern der Vögel bis zu dem banalen Geräusch einer Toilettenspülung.

Doch eins fehlte Scott: er konnte nicht filtern. Nicht zwischen den Worten seines Gegenübers und dem nervtötenden Rauschen der Klimaanlage unterscheiden. Ihm fehlte der Filter, der uns Hörenden ab frühester Kindheit antrainiert wurde. Folge: er konnte sich nicht konzentrieren — selbst seinen Sprachtherapeuten konnte er nach fünf Jahren immer noch nicht verstehen. Schließlich schaltete er das Implantat ab und vermisst das Hören seitdem nicht mehr. Auch wenn er durch einen Übersetzer mit anderen Menschen reden muss. Der übernimmt das Filtern für ihn.

Eine spannende Geschichte von „This American Life“:

DIN ÖPNV

Immer wenn ich in eine fremde Stadt fahre, muss ich mich erst Mal erkundigen, wie der öffentliche Nahverkehr funktioniert. In einer Stadt kauft man die Fahrkarten am Automaten in der Straßenbahn, in anderen darf man nicht mal auf den Bahnsteig ohne Karte. Kann ich mit der Geldkarte bezahlen. Und: gibt es Tickets für mehrere Tage? Die City-Option der BahnCard ist da schon hilfreich — zumindest kann ich nun direkt vom Bahnhof in die Straßenbahn steigen.

Wäre es nicht Mal Zeit, das Ganze zu vereinheitlichen? Öffi für Android ist ein tolles Programm, auch der DB Navigator hat ein sehr nützliche Basis-Informationen. Aber sind die Nahverkehrs-Unternehmen wirklich auf externe Hilfe angewiesen? Macht eine Allianz, einen Standard für Eure Fahrplan-Informationen. Sogar Echtzeit-Infos könntet ihr ohne große Probleme live einbinden. Und den Ticket-Kauf per Handy, der in jeder Stadt erst nach Anmeldung, mit anderer Nummer und mit anderen Textcodes funktioniert – den könnt ihr so endlich Mal in die Gänge bringen.

Allerlei Revolutionen

Warum reden Leute dauernd von Facebook und Twitter-Revolutionen, aber niemand von dem Handy-Umsturz?

Nicht amerikanische Internetdienste, sondern zuerst der Mobilfunk hat die Kommunikation in Entwicklungsländern revolutioniert.

Auf den Senkel gegangen

Auf nicht nachvollziehbaren Wegen bin ich auf den Artikel Technikärgernis Schnürsenkel gestoßen. Etwas low-tech, aber ich hab ihn doch gelesen. Und dann das:

Ich binde zum Beispiele meine Schuhe intuitiv so: Linker Schnürsenkel über den rechten, dann ein Überhandknoten, dann links eine Schlaufe und den rechten Riemen hinten herum um diese.

Das ist aber der perfekte Altweiberknoten – zweimal links statt einmal links und einmal rechts. Die Lösung ist ganz einfach: Beim ersten Knoten nicht den linken über den rechten Schnürsenkel legen, sondern umgekehrt.

Kurz zusammengefasst: Ich habe 25-ish Jahre lang meine Schuhe falsch gebunden, hab mich ungezählte Mal hinabgebeugt, um die Schleife festzuziehen oder den Knoten gleich neu zu beginnen. Und jetzt weiß ich, weshalb.

Sollte ich dankbar sein? Endlich fester sitzende Schnürsenkel? Weniger Bücken, kein Hinweis mehr „Dein Schuh ist offen“?

Oder wiegt das Wissen schwerer, etwas Jahrzehnte lang falsch gemacht zu haben. Kann ich einen Fakt täglich in mein Leben integrieren, den ich bei Spiegel Online gelesen habe?

Ich kann nicht aus meiner Haut: damn you, Konrad Lischka!!!!!!!!!!

BKA: DNS heißt VDN

Der Chaos Computer Club hat einen Entwurf des Vertrags veröffentlicht, den das BKA mit den Providern abschließen möchte, die sich an der ersten Runde von Kinderporno-Sperren beteiligen.

Kurze Zusammenfassung:

  • Das BKA stellt den Providern werktäglich bis 10 Uhr eine Liste von „Vollqualifizierten Domainnamen“ zur Verfügung. Die Provider haben sechs Stunden Zeit, die neue Liste einzuspielen. Diese Verzögerungen werden die Maßnahme jedoch weitgehend ins Leere Laufen lassen.
  • Die DNS-Sperre ist nicht das einzige Mittel. In Paragraph 3 heißt es:

    Die Sperrmaßnahmen erfolgen mindestens auf Ebene des VDN. Der ISP entscheidet auf der Grundlage des jeweiligen Stands der Technik, auf welche Weise die Erschwerung des Zugangs vorgenommen wird. Dabei stellt der ISP sicher, dass eine mögliche Beeinträchtigung der Rechte unbeteiligter Dritter auf das nach dem jeweiligen Stand der Technik unvermeidbare Minimum begrenzt wird.

    Das heißt: das BKA hätte gerne bessere Filterungs-Optionen – wie zum Beispiel das britische Cleanfeed-System, das nicht nur ganze Domains, sondern einzelne Dateien blockieren kann. Das Problem: Da laut Vertrag nur die Domainnamen geliefert werden, kann der Provider keine Filterung nach Hashes oder IP-Nummern draufsetzen.

  • Um grundgesetzlich unzulässige Eingriffe in die Telekommunikation zu vermeiden, möchte das BKA mit der Sperre so wenig zu tun haben wie möglich. Die Server der Stopp-Seite werden von den Providern selbst betrieben, die IP-Nummern der vermeintlichen Konsumenten von Kinderpornos werden nicht ans BKA weitergegeben:

    Dem Bundeskriminalamt sind jeweils montags bis 12.00 Uhr Statistiken über die Anzahl der abgewehrten Zugriffe pro Tag unter Benennung der Zugriffsziele für die vergangene Woche zu übersenden.

    Das Problem: Ein Loggen der IPs beim Provider ist nicht verboten. Ein zuständiger Admin kann – Schweigeverpflichtung hin oder her – mit den Daten seine eigenen Geschäfte machen. Bei einer Handvoll Provider ist das Problem vielleicht zu kontrollieren, aber kaum bei einer 100-prozentigen Umsetzung, die jeden Mini-Provider einschließt.

  • Im Falle von Störungen gibt es ein kleines Problem: Paragraph 5 lautet:

    Sollten das Bundeskriminalamt oder der ISP Umstände feststellen, die eine ordnungsgemäße Vertragsdurchführung gefährden (Störung), sind beide Parteien verpflichtet, einander hierüber unverzüglich in Kenntnis zu setzen und geeignete Maßnahmen zur Beseitigung der Störung zu unternehmen. Betrifft die Störung die vom Bundeskriminalamt nach § 1 Abs. 1 S. 1 erstellte Sperrliste, verwendet der ISP bis zur Beseitigung der Störung die zuvor vom Bundeskriminalamt bereit gestellte und umgesetzte Sperrliste.

    Laut Paragraph 3 Absatz 6 ist der Provider aber verpflichtet die Liste vom Vortag „unverzüglich zu löschen“. Sprich: wenn die Störung auftritt und die BKA-Verantwortlichen gerade nicht erreichbar sind, kann der Provider seinen Pflichten nicht nachkommen.

Die Kinderporno-Bots

Netzpolitik.org über die Bundestagsanhörungen zum Thema Kinderporno-Sperren:

Laut Maurer wird Kinderpornografie im Netz per Botnet-Spam beworben, die Links zu entsprechenden Seiten beinhalten. Eine Sperrung der Seiten mittels Stopp-Seite könne User in einer solchen Situation auf die Unrechtsmäßigkeit hinweisen und Access-Versuche gleich noch protokollieren.

Das klingt logisch. Die pauschale Sperrung für Kinderporno wird durch massenhaften Spam bedingt. Ich hab zwar nie solchen Spam gesehen, aber es klingt logisch. Dann gehen die BKA-Erläuterungen aber weiter:

Nach seinen Vorschlägen schickt schickt das BKA dann täglich 10 Uhr eine Liste mit Domains auf sicherem Weg an ISPs, welche diese dann innerhalb von 6 Stunden in ihr Filter-System pflügen, damit die Seiten spätestens 24 Stunden später für Endnutzer gesperrt sind.

Nach den Informationen die ich bekommen habe, sind die allermeisten Kinderporno-Seiten – von denen übrigens 80 Prozent in den USA gehostet werden – nur wenige Stunden erreichbar. Ein täglich aktualisierte Liste kann hier keinen Blumentopf gewinnen. Das BKA bekäme dann nur noch eine Statistik, wie viele Leute vermeintlich einen Tag zu spät auf Porno-Spam klicken.

Aber das ist vielleicht nicht schlecht. Denn würden die Mechanismen wirken und den Kinderporno-Verkäufern das Wasser abgraben, wären die Kriminellen technisch schon längst drei Schritte weiter. Zum Beispiel hat Microsoft grade eine Belohnung von 250.000 Dollar auf den Autoren des Conficker-Wurms ausgesetzt. Der generiert immer neue Domainnamen, auf denen er Anweisungen sucht. Im Prinzip kann diese Technik auch zum bulletproof hosting eingesetzt werden. Steigt auch nur ein Kinderporno-Verbreiter auf diese Technik um, wird die Filtertliste nicht 5000 bis 10000, sondern Millionen Einträge haben müssen. Die Kosten für die Kriminellen sind relativ gering.

Google down? Nicht möglich.

Als ich gestern in kurzer Folge fünf Kommentare zu einem relativ alten Eintrag bekam, wusste ich: da stimmt was nicht. Und in der Tat: die Websuche Nummer 1 war disfunktional. Weltweit. Bis zu 55 Minuten lang!

Der Leser oliselli kommentiert meinen Artikel bei Focus Online so:

Das ist mir bisher noch nie passiert. Ich war dann auch tatsächlich so perplex, daß ich eine Systemwiederherstellung am Computer vornahm, im Glauben, es läge an der Technik. Als dieses keine Änderung brachte, zog ich tatsächlich auch in Erwägung, daß es an Google selbst liegen könnte. Mit Yahoo ging es denn auch vorzüglich.

Erster Gedanke: Wie viele Windows-Installationen wurden gestern wegen dieses Hickups auf den Kopf gestellt? Und wie viele Norton-Pakete wurden extra verkauft?

Zweiter Gedanke: Ein Glück, dass so etwas dem BKA nicht passieren kann. Und falls doch ist der Fehler sicher in weniger als 55 Minuten Stunden behoben. Garantiert.