Categories
Internet

Mastodon

I’m getting a lot of Usenet deja-vues when looking at the Mastodon architecture. A collection of servers that create a shared space for communication.

I like it. It should be this way: independent of a single operator.

But it’s hard to pull off the scaling and the abuse management. The Usenet Death Penalty (UDP) seems to have been built in and actually being used to keep misbehaving servers from ruining the experience for everybody.

Anyway, I’m otmar@infosec.exchange, let’s see if this link works as validation.

Categories
Austria Internet Politics

ID Austria und der Bundestrojaner

[2022-08-16: ein paar Klarstellungen hinzugefügt.]

Letztens hat wer auf Twitter geschrieben, dass es doch sein könnte, dass in die für ID Austria vorgesehene Smartphone App („Digitales Amt“) ein Bundestrojaner eingebaut ist. Ich halte das für ausgesprochen unwahrscheinlich, die Argumente dahinter (neben den trivialen “das schaffen sie nicht” und “das wäre illegal”) eignen sich aber nicht für Twitter, daher dieser Blogpost.

Auf die Frage, warum SMS nicht mehr sicher genug ist, und warum eine App am Smartphone als zweiten Faktor die Lösung sein soll, will ich hier nicht eingehen. Das ist ein anderes Thema, und ist in der Form auch gar nicht mehr wahr, da auch FIDO Tokens (Level 2) unterstützt werden. Auch das Thema Datenschutz will ich hier nicht ansprechen.

Hintergrund

Wir sind in Österreich gewöhnt, dass der Staat uns Mittel in die Hand gibt, uns mit sehr guter Qualität auszuweisen (und wir unsere Gegenüber), also zu beweisen, wer wir sind. Pässe und Personalausweise sind hilfreich. Wo es das nicht flächendeckend gibt (etwa im angelsächsischem Raum), dort wird dann auf so schwache Hinweise wie Stromrechnungen zurückgegriffen und dort gibt es viel mehr Probleme mit Betrug per Identitätsdiebstahl.

Es ist daher nicht überraschend, dass schon länger versucht wird, das gleiche Konzept auch auf die virtuelle Welt im Internet zu übertragen. Auch hier wäre es in vielen Fällen gut, wenn ich mich (als Nutzer, der einen Browser bedient) klar gegenüber einer Webseite ausweisen kann. Das kann von simplen e-Commerce bis hin zu e-Government reichen. Klar ist das oft mühsam, aber es ist oft zu meinem eigenen Schutz, damit niemand anderer in meinem Namen etwas machen kann. Beispiel aus der offline-Welt von 2007: Ich hebe eine große Summe Bargeld am Bankschalter ab, damit ich mein neues Auto bar bezahlen kann. Darauf will man sowohl meine Bankkarte, als auch einen Ausweis sehen und entschuldigt sich für die Umstände. Ich sag drauf: im Gegenteil, ich wäre sauer, wenn sie jemandem mehrere tausend Euro von meinem Konto geben, ohne sicherzustellen, dass das wirklich ich bin.

Nicht immer ist der „True Name“ relevant, sondern es ist nur wichtig, dass man beim Webservice wiedererkannt wird. Dafür reichen dann Sachen wie „Login via Google/Twitter/Facebook“, wobei es mir massiv gegen den Strich geht, meine Online-Aktivitäten auf vielen Webseiten vom Vorhandensein meines Google-Accounts abhängig zu machen. Weil bei den dortigen Gratis-Accounts habe ich null Handhabe, wenn irgendeine KI meint, sie müsse meinen Account sperren.

Ich halten es daher für ausgesprochen gut, dass sich der Staat in das Thema Online Authentication einmischt. Die Historie der Bürgerkarte will ich hier nicht breittreten, aber mit der eIDAS Verordnung auf EU-Ebene entsteht langsam ein föderiertes System von nationalen Identifikationsmethoden, die es jedem EU Bürger erlauben wird, sich EU-weit online zu identifizieren. Das ist einer der Kernbausteine des EU Single Market, und die EU treibt auf vielen Seiten das Thema Verifikation von Online-Identitäten voran. Das kann man jetzt gut finden, oder nicht, siehe etwa meine Blogposts zu NIS2 und Domaininhabern.

eID  / ID Austria

Aus dem obigem ergibt sich, dass ID Austria kein kurzfristiges Projekterl wie etwa das „Kaufhaus Österreich“ ist. ID Austria ist für Österreich nicht optional. Es ist strategisch wichtig, um die national Souveränität in der Onlinewelt zu erhalten. Und es ist eine Vorgabe von der EU, die umzusetzen ist.

Kurz: das Teil ist wichtig, da hängt viel dran. Das muss funktionieren. Was bewirkt sowas in der Umsetzung? Viel Aufmerksamkeit, jede Menge Leute, die mitreden und entsprechende Kontrolle.

Ist es daher denkbar, dass eine (illegale) Spionagekomponente als Teil des offiziellen Projektplans der ID Austria aufgenommen wurde? Keine Chance. Da sind zu viele Leute involviert. Das gefährdet deren Baby massiv.

Gäbe es ein bewusstes Backdoor und würde das enttarnt werden, so hätte das massiv negative Effekte. Auf die Beteiligten und das Thema eID. Das wäre ein Spiel mit sehr hohem Risiko.

Beteiligte Player

Früher habe ich, wie sicher viele andere auch, die Behörden als eine Einheit gesehen. Im Zuge der Zusammenarbeit mit der öffentlichen Verwaltung ist mir aber klargeworden, dass das völlig falsch ist. Erst mal muss man zwischen Bund, Ländern und Gemeinden unterscheiden, die oft divergente Interessen haben. Aber auch der Bund ist kein Atom: jedes Ministerium ist eigenständig, hat eigene Ziele, Prozesse und House-Rules. Zoomt man weiter, so sieht man weiter Strukturen, gerade das BMI und das BMLV sind Paradebeispiele von komplexen Organisationen mit jeder Menge interner Interessenskonflikte und Friktionen.

Wenn man also die Frage stellt, ob der Staat in die ID Austria App („Digitales Amt“) einen Bundestrojaner einbaut, dann muss die erste Rückfrage sein: Wer genau würde das tun?

Das Thema eID ist ein bisschen ein Wanderpokal: lange war das im Bundeskanzleramt angesiedelt, mit Schwarz-Blau wurde es an das BMDW (Bundesministerium für Digitalisierung und Wirtschaftsstandort) übergeben, und jüngst ist es in das Finanzministerium verschoben worden. Aus welcher Ecke käme der Wunsch, in die App eine Überwachungsfunktion einzubauen? Beim letzten Gesetzesvorschlag in die Richtung war das Innenministerium (genauer, das Bundeskriminalamt) zuständig. (Theoretisch könnte man noch an das BMLV/Abwehramt denken, in der Praxis passt das aber überhaupt nicht.)

Wir haben erst jetzt mit der Schwarz-Grünen Koalition BMI und BMx in der gleichen Couleur. Dass ein blauer Innenminister so etwas im der schwarzen BMDW-Frontfrau im Geheimen ausdealt? Nah. Und dass das nach Koalitionsende geheim bleibt? Sehr unrealistisch.

Neben den Ministerien ist aber auch noch der Technologiepartner im Spiel. Das BMDW programmiert die App ja nicht selber. Soweit ich weiß, ist das in diesem Fall das Bundesrechenzentrum (BRZ). Wie soll das BMI, das hier gar nicht Auftraggeber ist, und auch keine juristische Grundlage dafür hat, dem BRZ einreden, in die App noch was reinzugeben? Auf welcher Basis? Mit welchem Budget?

Gesetzeslage

Die anlasslose „Überwachung“ mittels der Vorratsdatenspeicherung wurde von den Höchstgerichten gekippt. Die von Schwarz-Blau angestrebte gezielte Kommunikationsüberwachung von Verdächtigen per Software am Handy wurde auch untersagt.

Eine Überwachungskomponente in der ID Austria App ist daher rechtlich sicher nicht zulässig.

Ja, man kann natürlich behaupten, dass das irrelevant ist, weil Gesetze gebrochen werden können. Meiner Erfahrung nach kommt das vielleicht im Kleinen vor, je mehr Personen aus verschiedenen Organisationen im Spiel sind, umso unwahrscheinlicher ist das.

Der Kreis der Verschwörer ist zu groß, und Vorteil, den sie daraus ziehen, ist zu abstrakt. Klassische Korruption passt hier nicht als Motiv, wie sollte man diesen Gesetzesverstoß zu privater Bereicherung nutzen? Was haben die Leute im BMDW oder BRZ davon, dass sie hier mitspielen? Für das BMDW wäre das ein Eigentor mit Anlauf. Und was würde es der Polizei wirklich bringen? Sie können mit dem potentiell erlangten Wissen ja nicht vor Gericht gehen, solange das ganze Schema illegal ist.

Weiters muss man sich noch die Frage stellen, ob die Tätergruppen, die gerne für diverse Überwachungsphantasien herhalten müssen, überhaupt die App haben. Pöhse Ausländer, Organisierte Kriminalität, Terroristen? Die haben sicher die App, um damit ihren Meldeschein auszufüllen und bei Volksbegehren zu unterschreiben. Genau.

Technisches

Im Gegensatz zum Einsatz von klassischer polizeilicher Überwachungssoftware wird die „Digitales Amt“ App über die normalen App-Stores verteilt. Was heißt das?    

  • Die App muss durch die Sicherheitschecks von Apple und Google durch. Ja, die sind nicht perfekt, aber: Das muss bei jedem kleinen Update funktionieren, immer und immer wieder. Es reicht nicht, dass das einmal unerkannt bleibt. Egal, was die beiden in Zukunft machen, die Überwachungskomponente darf nie erkannt werden.
  • Kauft man diese aber wo zu, ist die Chance sehr hoch, dass diese mal irgendwo auffliegt und dass dann die Erkennungen entsprechend verbessert werden.
  • Die App wird als normale App installiert und bekommt nur einen minimalen Satz an Rechten. Für die Nutzung als Spionagewerkzeug bräuchte sie viel mehr Privilegien, die sie sich über Schwachstellen erarbeiten müsste. Das ist nicht einfach und ein „moving target“.
  • Apps sind ziemlich einfach zu de-kompilieren. Es ist daher anzunehmen, dass sich mal wer den Code (der ja verfügbar ist) anschaut.

Zusammenfassung

  • Die Kosten+Risiko – Nutzen Rechnung geht für den Staat nicht auf
  • Die Involvierten haben großteils negative Motivation, warum sie das machen sollten
  • Technisch schwierig. Hohes Risiko, enttarnt zu werden
  • Es wäre klar illegal
  • Es sind viel zu viele Player involviert

Trotzdem

Es wäre kein Fehler, wenn man – analog zur Covid-Tracking App – auch hier die Civil Liberties- und Datenschutz-NGOs einbindet und mit wirklich offenen Karten spielt.

In Bezug auf den Datenschutz wurde das auch gemacht, die Datenschutz-Folgenabschätzung vom Research Institute ist umfassend und erklärt gut die Datenflüsse und Behandelt die Risiken in dieser Hinsicht.

Von einem unabhängigen Code-Review, Sicherheitstests oder laufenden Einsichtmöglichkeiten in den Source-Code der App habe ich aber (noch) nichts gehört.

Categories
Internet

Ein anderer Vorschlag zu Facebook

Markus Sulzbacher schlägt im Standard vor, Facebook aus Datenschutz/Kartellrechtsgründen zu zerschlagen.

Ich hätte da einen andere, deutlich subtilere Idee:

Facebook (das social media network) selber halte ich nicht für wahnsinnig wichtig, diese Netze kommen und gehen und Facebook wird hier keine Ausnahme sein. Ich halte WhatsApp für die langfristig deutlich spannendere Plattform, weil sie ein deutlich grundlegenderes Thema mit noch stärkerem Metcalfe’s Law Effekt behandelt: Die simple (text/voice) Kommunikation zwischen zwei Menschen und (fast noch wichtiger) in Gruppen.

Es gibt aus regulatorischer Sicht dafür aber bereits eine klare Lösung, die beim Telefonnetz super funktioniert hat und die Monopole erfolgreich aufgebrochen hat: Die Pflicht zur transparenten Vernetzung der Telefonanbieter inklusive Nummernportierung.

Daher: es wäre einfach an der Zeit, IM Systeme mit einer gewissen Marktmacht, also etwa Skype, WhatsApp, Facebook Messenger, iChat, … genauso zu behandeln, wie Telefonnetze und SMS und deren Interoperabilität vorzuschreiben.

Ja, das kann Österreich nicht im nationalen Alleingang machen, aber die EU hätte die Macht dazu.

Ob die EU auch die Eier dafür hat, ist die offene Frage.

Categories
CERT Internet Pet Peeves

Of Ads and Signatures

Both advertisements and signatures have been with us in the analogue realm for ages, the society has learned about their usefulness and limits. We have learned that it’s (usually) hard to judge the impact of a single ad, and that the process of actually validating a contested signature is not trivial. There is a good reason why the law requires more than a single signature to authorize the transfer of real estate.

Both concepts have been translated to the digital, online world.

And in both cases, there were promises that the new, digital and online versions of ads/signatures can deliver features that their old, analogue counterparts could not do.

For ads, it was the promise of real-time tracking of their effectiveness. You could do “clickthrough rates” measuring how often the ad was clicked by a viewer. The holy grail of ad effectivity tracking is the fabled “conversion rate”: you can measure how many people actually bought your product after clicking an ad.

For signatures, it was the promise of automated validation. If you get a digitally signed document, you should be able to actually verify (and can have 100% trust in the result) whether it was really signed by the signatory. Remember: in the analogue world, almost nobody actually does this. The lay person can detect crude forgeries, but even that only if the recipient has access to samples of authentic signatures. In reality, a closer inspection of handwritten signatures is only done for important transactions, or in the case of a dispute.

So how did things work out after a few years of experience with digital ads and signatures?

Digital ads are in a midlife crisis. We’re in a death spiral of low clickthrough rates, more obnoxious formats, ad-blockers and ad-blocker-blockers. Just look at the emergence of Taboola and similar click-bait.
Digital signatures are at a cross-road as well: The take-up rates of solutions based on smart-card readers have been underwhelming so far. This applies to the German ePerso as well as to the Austrian citizen card. The usability just isn’t there. So there has been a push to increase the take-up rate by introducing alternatives to smart-card technology. That won’t make it more secure. Not at all.

So what’s the common lesson? In theory, both digital ads and signatures can offer features that their old, analogue counterparts just cannot deliver. In practice, they are killing themselves by over-promising. As long as click-through rates are the prime measurement of online ads, their death spiral will continue. And as long as digital signatures continue to promise instant, high-confidence validation, they will not achieve the take-up rates needed for broad acceptance.

Continuing the current trajectory will lead to a hard crash for both technologies. On one side it’s the ad-blocker, on the other side it’s malware.

The level of spam in the email ecosystem meant that no mail-service can exist in the market without a built-in spam-filtering solution. And given the early ad-excesses every browser includes a pop-up blocker these days. If the advertisers continue on their path of getting attention at all costs, ad-blocking will become a must-have feature in all browsers, and not just an optional ad-on (as right now).

Any digital security solution that protects actual money has been under vigorous attack. The cat and mouse game between online-banking defenders and attackers is a good lesson. The same will happen if digital signature solutions start to be actually relevant. And good luck if your “let’s make digital signatures more user-friendly” approach is actually less secure than what online-banking is using these days.

So what’s the solution?

In my opinion the right way to approach both topics is to reduce the promise. Make digital ads static images. No animation. No dynamic loading of js-code (which is its own security nightmare). Don’t overtax the visitor’s resources (bandwidth, browser-performance). No tracking. Tone it down. Don’t expect instant effects. Don’t promise clicktrough rate.

For digital signatures: Mass deployment is only possible for “non-qualified signatures”. Don’t promise “you can fully and solely rely on our solution”. Just sell “this is a good indication”, or “use this as one factor in your security design”. Prepare for it to be attacked and broken. Only use it when you have a pre-planned way to recover from such a breach. The real word is full of applications where signatures are used in a very low-security / low-impact settings. The state-sponsored digital identity solutions needs to think of those, too. For the high-impact, high-confidence settings I always have to think about the mantra we use at work: “You can’t mandate trust.”

Categories
Internet

Net Neutrality und Peering Disputes

Nachdem die FCC sich schon um Verkehr-Diskriminierung auf der Kundenleitung gekümmert hat, hat sich jetzt die Diskussion auf die Zusammenschaltung von IP-Netzen verlagert.

Siehe Ars Technica:

Network operators Level 3 and Cogent Communications today urged the Federal Communications Commission to prevent Internet service providers from charging what they deem to be excessive fees for interconnection.

Im Wesentlichen klingt das für mich wie eine Neuauflage der Interconnection im Telefonbereich, wo der Zielnetzbetreiber ja auch ein Monopol auf die Erreichbarkeit seiner Kunden hat.

Die Unterschiede sind meiner Meinung nach:

  • Beim Telefon ist die Erreichbarkeit binär: entweder es geht oder nicht. Hier geht es auch um die Qualität, damit Video-Streams auch wirklich gut funktionieren.
  • Beim Telefon haben wir ein klares “Anrufer zahlt den ganzen Weg”-Prinzip, beim Internet-Anschluss zahlt der Privatkunden auch seinem ISP ernsthaft Geld, damit er Daten vom Content-Anbieter abrufen kann.

Hier in Österreich ist das Thema noch nicht kritisch, da sowohl die A1, als auch UPC und Tele2 eine relativ offene Peering-Policy fahren. Das kann man so etwa in Deutschland von der dortigen Telekom nicht behaupten.

Meiner Meinung nach ist es nur eine Frage der Zeit, bevor wir hier die ersten echten Streitereien (und damit den Ruf nach Regulierung, und sei es nur durch das Kartellgericht) haben werden. In der Schweiz war es schon soweit.

Categories
Internet

Fundstücke …

Da suche ich heute was ganz harmloses auf Google (Postadresse eines BKA-Mitarbeiters), und dabei stoße ich auf folgende Perle der Geschichte:

Betrifft:
Begutachtungsverfahren, Rationalisierung;
Nutzung der elektronischen Kommunikation, insbesondere auch bei Übersendungen an das Präsidium des Nationalrates

Das ganze stammt aus 1998, und enthält folgenden Text:

Grundsätzlich wurde in der Bundesverwaltung X.400 als die präferierte Mail-Basis vereinbart, die bereits weitgehend zum Einsatz kommt. Im Bereich der Landesverwaltung hat sich eher Internet-Mail durchgesetzt, was aber durch die möglichen Übergänge (sogenannte Gateways) zwischen X.400 und Internet keine Inkompatibilität bedeutet.

Probleme bestehen bei der Versendung über Internet insbesondere bezüglich der Bestätigung des Erhalts elektronischer Sendungen. Im Internet gibt es – von Standardisierungsansätzen abgesehen – noch keine flächendeckende Problemlösung, da die von Systemen gelieferten Empfangsnachrichten nichts über den Empfang durch den Anwender selbst aussagen; etwas Hilfe bieten einige Mail Clients mit Anwender – konfigurierbaren Respondern. Diese Problematik ist bei X.400 von Anfang an gelöst.

Aus Gründen der Übertragungsqualität und -sicherheit wäre im gegebenen Zusammenhang jedenfalls – dort wo bereits vorhanden – X.400 der Vorzug zu geben.

So kann man sich täuschen.

Das erinnert mich an einen Artikel in den DFN-News von ~1990, in denen das Internet im DFN als Zwischenlösung (bis sich OSI durchsetzt) bezeichnet wurde.

Categories
Internet

Imitation is the sincerest form of flattery

2007: https://tools.ietf.org/html/rfc5105#section-7

The concept of the validation token may be useful in other registry-type applications where the proof of an underlying right is a condition for a valid registration.

An example is a Top Level Domain (TLD) where registration is subject to proof of some precondition, like a trade mark or the right in a name. Such situations often arise during the introduction of a new TLD, e.g., during a “sunrise” phase.

2013: https://tools.ietf.org/html/draft-lozano-tmch-smd-02

I thought the IETF discouraged re-inventing the wheel?

Categories
Internet

History and future of copyright

I’ve written on the subject of copyright and the upheaval in that space before. Here is a very good contribution to that discussion, from medieval Ireland to file-sharing: https://www.australianbookreview.com.au/feature-articles/1295-344-features-rubinstein

Categories
CERT Internet Pet Peeves

Adobe Flash Updates

Today we’ve seen yet another Adobe Flash Player update due to serious problems. So be it.

One thing always sets my teeth on edge when doing/verifying it: The number of clicks it takes me to check the version of the currently running Flash plugin. It would be far too simple if the download page (which is prominently linked everywhere) would just tell me if I need to upgrade. No, I have to click on “Learn more about Flash Player”, then “Product Page”, then “FAQ”, then scroll down to “How can I tell if I have the latest version of Flash Player installed and whether it is working correctly?”, click to reveal the answer, then click “Testing page”.

And then I have to manually compare the version shown above with the latest version listed by operating system and browser beneath.

What the fscking hell is Adobe thinking? They’ve been a top reason for PC infections for the last years (Flash + Acrobat) and still they don’t tell their web-visitors as quickly and efficiently whether they need to update.

Can someone please administer the necessary clues with a suitable LART?

Categories
Internet Life Uncategorized

Link Dump

Once again, I have collected too many tabs in my browser session. This blog-post will collect them: