Wie Windows in den Iran kommt

von: Elmar Geese | am: 27.09.2010 | Kommentare: 0

Der interessierten Öffentlichkeit ist vermutlich nicht verborgen geblieben, was ein Wurm namens Stuxnet so anrichtet. Prominenter wurde die Situation dadurch, das auch ein iranisches Kernkraftwerk betroffen ist. Man geht von sehr professionellen Autoren der Schadsoftware aus.

Das alles ist nicht neu, schon seit Monaten darf man sich darüber wundern, wie eine Anlagensteuerung durch den Einsatz von Windows kompromittiert wird. Bereits im Juli 2010 wurde die Sicherheitslücke öffentlich bestätigt. Betroffen ist Siemens, als Lieferant des Betriebssystems zeichnet Microsoft verantwortlich. Es erscheint völlig schlüssig, dass am 29.9.2010 auf einer Sicherheitskonferenz in Vancouver 2 Microsoft Experten, Jeff Williams und Peter Ferrie dazu sprechen werden. Soweit alles wie immer. Ausser der Ort des Geschehens. Ich frage mich: wie kommt nicht nur ein deutsche Kernenergieanlage, sondern auch ein amerikanisches Betriebssystem ins Atomkraftwerk Buschehr (Iran) ? Man hört immer was von Handelsembargo.

Das United States Department of Treasury veröffentlicht alles mögliche Wissenswerte zu Thema Embargo, darunter auch das Dokument 741 PART 560—IRANIAN TRANSACTIONS REGULATIONS. In dem steht, was es für Verbote und Ausnahmen gibt. Man kann also nachlesen, was geht und was nicht. Wir können davon ausgehen, das der Einsatz von Windows im Iran grundsätzlich möglich ist, weil er offensichtlich passiert, und weder Microsoft, noch die US Regierung protestieren.
Tatsächlich gibt es eine Fülle von Ausnahmen, die es möglich machen, das auch US oder EU Unternehmen trotz Embargo Geschäfte in den betroffenen Regionen machen können. Es erscheint dennoch merkwürdig: einerseits begibt sich der Iran in Abhängigkeit von den USA und der EU, und vermutlich nicht nur wenn er AKWs betreiben will. Und andererseits beliefert der Westen den Iran mit für diesen existentieller Technologie. Das soll den Iran unter Kontrolle bringen und ist noch dazu ein gutes Geschäft.

So kommt es, das sich niemand darüber wundert, wenn über Windows Würmer im Iran berichtet wird. Vielleicht kommt demnächst raus, das Mahmud Ahmadinedschad ein iPhone hat oder einen Blackberry, und alle finden es normal. Dabei sollte technologische Autonomie ein wichtiges strategisches Ziel sein. Wer kann, löst sich aus seiner Abhängigkeit, wie China oder Brasilien es z.B. mit freier Software tun. Das wäre auch in Deutschland eine gute Idee.

Übrigens: Software wie Stuxnet und artverwandte funktionieren auch auf heimischen Anlagen.

Google: was heisst hier eigentlich “lediglich MAC Adressen” ?

von: Elmar Geese | am: 16.05.2010 | Kommentare: 0

Ist ja schön das sich jetzt Google zu Recht im Zentrum der Kritik befindet, weil sie Datenverkehr mitgehört und aufgezeichnet haben. Das haben sie verdient. Aber eins interessiert mich dann doch noch. Wenn, wie z.B. auf Heise zu lesen, “habe das Unternehmen versichert, außer dem Namen des Funknetzwerkes (SSID) und der individuellen MAC-Adresse würden keine weiteren WLAN-Daten gespeichert”.
Wieso überhaupt rumfahren und solche Sachen speichern, geolokalisiert natürlich ? Soll das künftig bei jeglicher Nutzung eines Google Angebots abgeglichen werden ? Was surft der Mensch zuhause, was der Gleiche im Büro ? Welche Geschäftsmodelle dem darüber hinaus innewohnen, weiss niemand. Ob es die Recherche für ein weltweites Google WLAN ist oder einfach die Gier, alles an verfügbaren Daten aus einem datentechnisch oder auch einfach visuell erreichbaren Menschen zu ziehen. Was Google und Andere wirklich tun, wenn sie nicht erwischt werden, kann man nur vermuten.
Wir sind immer auf die Vertrauenswürdigkeit eines Diensteanbieters angewiesen, und der Anbieter auf uns als Kunden. Einige von uns können sich einigermaßen wehren. Mit Dingen wie jede Menge Browser Plugins und Anleitungen, die helfen die Privatsphäre zu schützen. Manche davon ermöglichen diese erst.
Aber auch für Google gilt: Monopole sind endlich. Und paradoxerweise gilt auch, je länger sie leben, desto schwerer sind sie zu verteidigen. Die Feinde können sich von verschiedenen Seiten um Google sammeln, das sich gerade imagetechnisch durch Android und Rückzug aus China erholt hatte. Aber so richtig einfach wird das nicht werden für Google Feinde, dazu ist die Dominanz zu gross. Irgendwie ist es aber doch schön, denn wenn sich die Grossen hauen, kann das nur gut für die Kleinen sein. Und ob sich Google bei weiteren Services wie Google Apps einen wirklichen Gefallen getan hat, kann man bezweifeln. Ich jedenfalls möchte nicht einfach glauben müssen, dass Google die Daten, die durch meine Anwendung auf Googles Plattforms AppEngine entstehen, auch vertraulich behandelt.

Vielleicht wäre es einmal eine gute Geste, wenn Google jetzt einfach mal sagt, warum sie die Daten überhaupt haben wollen, was ist die konkrete Geschäftsidee dahinter ? Karikative Gründe werden es nicht sein, soviel steht fest. Mehr nicht.

Vielleicht braucht es mal eine Kampagne zum GoogleAds Boykott, oder einfach nur ein deutliches Einschreiten des Gesetzgebers und Gesetzwahrers. Unser Staat sollte uns doch eigentlich schützen. Durch massiv bereitgestellte Privacy Unterstützung. Und Staatstornodes, das wär doch was. Gibts aber schon ;-).

Android-Sicherheitsmodell

von: Ludger Schmitz (freier Journalist) | am: 17.09.2009 | Kommentare: 0

Im it-sa Security-Newsletter Nr. 8 vom 17.09.2009 wurde ein Artikel unseres Kollegen Christian Kuester zum Thema “Android Sicherheitsmodell” veröffentlicht. Er erläutert, inwiefern sich das Sicherheitskonzept der Android-Plattform von denen anderer Mobile-Hersteller unterscheidet und wie die technischen Grundlagen aussehen. Den ganzen Artikel finden Sie unter diesem Link www.it-sa.de.

|