Archiv für Oktober 2009

Deep Packet Inspection: UMTS-Provider verändern Webinhalte

Gerade zurück aus dem Urlaub bin ich auf einen Artikel von Christoph Hochstätter gestolpert, der vor einigen Tagen bei ZDNet erschienen ist. Der Beitrag ist etwas länger, und etwas technischer.

Auch wenn der Beitrag nicht mehr ganz taufrisch ist (er ist schon vom 14.10), und auhc Netzpolitik.org schon darüber berichtet hatte, will ich das ganze noch mal versuchen kurz und für Laien verständlich zu beschreiben, weil der Orginalartikel sehr detailliert und ein bischen technisch ist.

Wer über seinen Internetanschluss eine Seite im Web aufruft, erwartet in der Regel, den Inhalt angezeigt zu bekommen, den der Server bereitstellt. Die Aufgabe des Internetzugangsproviders ist es dabei, die Anfrage weiterzuleiten, und den Inhalt zum Anwender durchzuleiten. Dies passiert unabhängig davon, ob ich über Modem, DSL, Kabelmodem oder eben UMTS ins Internet eingewählt bin. Soweit die Theorie. Leider sieht die Praxis etwas anders aus: Wer mit einem der großen Mobilfunkanbieter surft, bekommt unter umständen ganz andere Inhalte ausgeliefert, als der Server versendet. Christoph hat herausgefunden, dass zum Teil sogar ausführbarer JavaScript-Code in die Seite eingefügt wird; eine Technik derer sich sonst nur Programnierer von Schadsoftware bedienen.

Im wesentlichen speichern die Anbieter die aufgerufenen Seiten in einem Proxy-Server zwischen. Allerdings werden alle Bilder, die in eine Seite eingebunden werden auf dem Server des Anbieters zwischengespeichert, und dort in der Regel ersteinmal verkleinert. Diese Version mit geringerer Auflösung wird dann an den Kunden ausgeliefert. Damit das klappt, werden alle Links auf das Bild in der aufrufenden Webseite verändert.

Damit ändert sich zwar nicht unbedingt das Erscheinungsbild der Webseite, aber der Anwender erhält eben nicht, was der Server an Daten geschickt hat. Seltsamerweise werden auch PNG-Bilder verändert, obwohl PNG einen verlustfreien Algoritmus verwendet, eine Verschlechterung der Bildqualität also nicht die Dateigröße beeinflusst. Hinzu kommt, dass man z.B. keinen Link mehr auf ein Bild versenden kann, da der Empfänger ja nur den, für ihn unbrauchbare,n Link auf das kopierte Bild beim Mobilfunkprovider erhält.

Nun gibt es natürlich für diese Vorgehensweise auch ein paar Gründe, die dafür sprechen, namemtlich spart man Bandbreite, was sich in Funknetzen durch einen schnelleren Seitenaufbau bemerkbar macht. Allerdings wäre es sinnvoll, dem Kunden diese Option zu zuschalten anzubieten, anstatt heimlich, hinter seinem Rücken in den Datenstrom einzugreifen .

Noch schlimmer als die Bildkompression ist das einfügen von JavaScript Code in die Webseite, das Vodafone durchführt. Die Seite lädt so ein Script herunter, dass den “title” Text eines Bildes ändert. Der Text im “title”-Attribut eines Bildes in einer HTML-Seite wird bei den meisten Browsern als Tooltip angezeigt, wenn man über das Bild fährt. Normalerweise soll er kurz das Bild beschreiben, z.B. für Anwender, die mit einem textbasierten Browser arbeiten, oder für Anwender, die sehbehindert sind.

Hier verlässt Vodafone das “Bandbreiten-Spiel” und greift aktiv in die Gestaltung der Webseite ein. Eigenlich barrierefreie Webseiten können so für sehbehinderte Menschen komplett unbrauchbar werden.

Neben all den technischen Problemen bleibt das rechtliche und moralische: Der Internetzugangsprovider wird vom Kunden dafür bezahlt, dass er Inhalte unverändert für diesen durchs Netz transportiert. Der Nutzer darf erwarten, dass seine Datenpakete weder geöffnet noch verändert werden, ebenso wie er erwartet das die Post nicht seine Briefe öffnet und ggf. sogar den Inhalt eines Briefes verändert, ohne das der Empfänger das auch nur mitbekommt. Es handelt sich hierbei um einen massiven Eingriff in das Fernmeldegeheimnis, zu dem die Provider keinerlei Recht haben.

Hier besteht dringender Handlungsbedarf, evtl. sogar seitens des Gesetzgebers.

Mother, should I trust the gouvernment?

Nach langem hin und her ist gestern in Friedrichshafen das Pilotprojekt zur DeMail gestartet. Zeit sich einmal mit dem Für und Wider dieses Dienstes auseinanderzusetzen.

DeMail ist ein von der Bundesregierung geplanter Internetdienst, der die vertrauliche elektronische Kommunikation zwischen Bürgern, und Bürgern und Behörden zum Ziel hat.  DeMail ist die Umsetzung der EU-Dienstleistungsrichtline, die unter anderem die elektronische Verfahrensabwicklung, speziell auch, aber nicht nur, zwischen Unternehmen, Bürgern und staatlichen Einrichtungen regelt.

Das DeMail Projekt stellt dabei eine Reihe von Diensten zur Verfügung, die alle auf bereits bekannten Technologien aufbauen. Kern ist ein E-MAil-Netzwerk, dass eine eindeutige und fälschungssichere Kommunikation per E-Mail sicherstellt. Dabei bekommt jeder Bürger eine eindeutige E-Mailadresse, die ihn identifiziert. Ein Konto einrichten kann nur, wer sich zuvor identifizieren kann, z.B. mit einem Pass oder Personalausweis.

Alle Mails werden digital signiert, und da der Staat als Trustcenter fungiert, kann das Vertrauen in die Echtheit der Unterschriften recht hoch gewertet werden. Die Datenübertragung erfolgt über eine verschlüsselte Verbindung, zumindest solange sich die Nachricht im Netz von DeMail befindet.

Eine Ende-zu-Ende Verschlüsselung ist nicht vorgesehen, kann vom Anwender aber genutzt werden.

Zunächst einmal ist das System eine gute Idee. Heute verwendet nur ein verschwindend geringer Teil der E-Mail Nutzer Kryptographie. Mit DeMail würden die Nutzer zur Verwendung von sicheren Techniken gezwungen, und würden das vermutlich nicht einmal merken. Allerdings ergeben sich genau aus diesem Umstand einige Fragen, die sich jeder DeMail Nutzer stellen muss:

  • Die gesamte Sicherheitsinfrastruktur wird von einer staatlichen Behörde kontrolliert, die in der Vergangenheit vor allem mit seinem Hunger nach persönlichen Daten der Bürger aufgefallen ist.
  • Die technische Umsetzung liegt in den Händen von T-Systems, einem Unternehmen, dass auch nicht gerade für seinen Vertrauensvollen Umgang mit Daten bekannt ist.
  • Der Zugriff der Ermittlungsbehörden im Falle einer Telekommunikationsüberwachung ist explizit Bestandteil der Spezifikation.
  • Anonyme Kommunikation über DeMail ist nicht möglich, jeder Nutzeraccount ist eindeutig einer Person zugeordnet. Für viele Bereiche des Internet ist gerade die Pseudo- oder Anonymität gewünscht, oder gar empfehlenswert.  Ein Identitätsmanagement ist bei DeMail aber nicht vorgesehen.
  • Der Staat kann im Zweifelsfall einen Großteil der geschäftlichen Bewegungen seiner Bürger beobachten. Online-Shops, Banken, Versicherungen, Online-Games oder Dating Plattformen – wer hier mitliest, erhält einen umfassenden Einblick in das Verhalten und die Lebensgewohnheiten der Bürger.
  • Unternehmen wie Google, werden sich freuen, wird die Zuordnung von Daten zur Person Dank DeMail noch einfacher.

Im Endeffekt muss sich jeder überlegen, ob er DeMail nutzen will. Sollte es dem Staat aber gelingen, nur noch über DeMail ansprechbar zu sein, wird man kaum noch um die Nutzung herum kommen.

Paranoide Geister mögen vielleicht sogar mutmaßen, das die Einführung dieses Mailsystems der Anfang eines Versuchs ist, alle anderen Mailsysteme, vor allem natürlich solche mit Verschlüsselung, zu verbieten.

EU finanziert vertrauliche Studien über eine Art permanente Rasterfahnung im Internet

Auf wikileaks.org wurde ein als “vertraulich” eingestuftes Paper der Universität York veröffentlicht, das die Entwicklung einer von der EU finanzierten intelligenten Rasterfahndung beschreibt, die Blogs, Chats, Nachrichtenseiten und Social-Networks durchschnorchelt, um automatisiert Akten über Personen,  Organisationen und deren Beziehungen anzulegen:

“The aim of work package 4 (WP4) is the development of key technologies that facilitate the building of an intelligence gathering system by combining and extending the current-state-ofthe- art methods in Natural Language Processing (NLP). One of the goals of WP4 is to propose NLP and machine learning methods that learn relationships between people and organizations through websites and social networks. Key requirements for the development of such methods are: (1) the identification of entities, their relationships and the events in which they participate, and (2) the labelling of the entities, relationships and events in a corpus that will be used as a means both for developing the methods.”

Nun heißt es nicht mehr die Regierung könnte uns alle an Hand unserer Datenspuren analysieren sondern sie finanziert dazu bereits Forschungsvorhaben.

Download: EU social network spy system brief, INDECT Work Package 4, 2009

Piraten & Pressefreiheit

piraten-partei

Die Piraten werden immer besser … jedenfalls bringen sie die Mitarbeiterinnen und Mitarbeiter der Jungle World zum Lachen:

“Die scharfe Kritik unserer Kommentatorin an der Piratenpartei und unsere kleine Satire bei Twitter gefiel einigen Seeräubern gar nicht. Böse wetzten sie die Säbel. Okay, vielleicht waren unsere »18 Gründe«, die Piratenpartei zu wählen, nicht alle witzig, gelacht haben wir aber dennoch herzlich, und zwar über jene Piraten, die unsere Satire zum Rechtsdrall in ihrer Partei zunächst in verschwörungstheoretischer Manier für ein übles Machwerk der Grünen hielten, welche es nur darauf abgesehen hätten, die junge Konkurrenzpartei in die rechte Ecke zu stellen. Noch witziger ist allerdings, dass die Piratenpartei uns mit rechtlichen Schritten droht. Liebe Piraten: Auf dem »Piratenwiki« eurer Homepage stehen von eurem Bundestagskandidaten Bodo Thiessen Sätze wie: »Sowohl der Afghanistan- als auch der Irak-Krieg, beides sind Angriffskriege gegen unschuldige und wehrlose Völker – mindestens genauso verwerflich, wie der so genannte ›Überfall‹ auf Polen durch Deutschland 1938.« Und weil Ihr für die Freiheit im Internet seid, wollt Ihr solch ein Seemannsgarn, das revisionistischer kaum sein könnte, nicht zensieren, ja? Aber einer Zeitung drohen, weil sie eine euch nicht genehme Satire twittert? Also, liebe Piraten, da lachen ja die Fische.”

Ach ja, und die “Junge Freiheit” mahnt offenbar Blogs ab.