1984

Donnerstag, 15. Mai 2014

Postbank unterstützt kein Forward Secrecy

Mittlerweile unterstützen ING-DIBA und DAB-Bank die NSA-sichere TLS-Variante "Perfect Forward Secrecy". Das Online-Banking der Postbank jedoch noch nicht.

openssl s_client -cipher 'ECDH:DH' -connect banking.postbank.de:443

CONNECTED(00000003)
140331701937824:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:762:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 319 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

Donnerstag, 17. April 2014

Willkommen bei Twoday verschickt Password im Klartext

Ich habe gerade meine E-Mail-Adresse geändert.
Die Verifikationsmail enthielt - ich traute meinen Augen nicht - Username und Password im Klartext (Wir schreibt das Jahr 1 nach Snowden und Tag 10 nach Heartbleed9!

Willkommen bei twoday.net!

Hier sind deine Registrierungs-Daten:

Username: superwallah
Password: xxx
Code: xxx


Bitte bestätige so bald wie möglich die Gültigkeit deiner E-Mail-Adresse durch Klicken des folgenden Links:
https://twoday.net/members/register?act=t&uid=xxx
Falls die obige URL umbricht, so markiere diese und füge sie in die Adresszeile deines Browsers ein.

Viel Spaß beim Bloggen, Kommentieren und Lesen!



Hätte ich mich vertippt, hätte jemand anders vollen Zugriff auf mein Weblog erhalten.

Danke, Twoday!

Mittwoch, 18. Dezember 2013

Datenschutz bei Postpay der Deutschen Post AG

Mittlerweile kann man bei der Post keine Onlinefrankierung mehr ohne "PostPay" kaufen.
Vor einer solchen Registrierung sehe ich mir jedoch immer gerne mal die Datenschutzerklärung an.

Dabei fallen zwei Punkte auf:
  1. "Hierzu übermitteln wir die zu einer Bonitätsprüfung benötigten personenbezogenen Daten an infoscore Consumer Data GmbH, Rheinstraße 99, 76532 Baden-Baden"
  2. "stellt die DHL Ihre personenbezogenen Daten auch dem jeweiligen Händler bzw. den von ihm ermächtigten Dienstleistern zur Verfügung, soweit diese Daten für die Kontaktaufnahme und Abwicklung des Kaufvertrages erforderlich sind. So werden z.B. die für die Zahlungsabwicklung erforderlichen personenbezogenen Daten je nach Art der Bezahlung an die Deutsche Post Zahlungsdienste GmbH („DPZ“), Fritz-Schäffer-Str. 7, 53113 Bonn weitergegeben"
Zur Bonitätsprüfung: Wieso muss die Post meine Bonitätprüfung? Die Zahlung authorisiert die "Zahlstelle" oder der Bezahldienstanbieter. Wenn VISA mittteilt, dass die Zahlung erfolgreich war, müssen weder PostPay noch infoscore etwas über meine Bonität oder meinen Kauf erfahren.

Im Abschnitt zur Weitergabe an "den Händler" oder "ermächtigten Dienstleister" stört das "z.B." sowie das "je nach Art der Bezahlung". Ich möchte klar wissen, wann an wen meine Daten weitergegeben werden. Wird nur an die DPZ weitergeben oder ist das hier nur ein Beispiel und die Post erlaubt sich an beliebige andere Anbieter die Daten weiterzugeben, ohne mich darüber zu informieren? Und bei welcher Bezahlungsart werden die Daten weitergegeben? Bei Kreditkartenzahlung und Giropay auch und dann an wen?

Datenschutz bei Postpay der Deutschen Post AG

Mittlerweile kann man bei der Post keine Onlinefrankierung mehr ohne "PostPay" kaufen.
Vor einer solchen Registrierung sehe ich mir jedoch immer gerne mal die Datenschutzerklärung an.

Dabei fallen zwei Punkte auf:
  1. "Hierzu übermitteln wir die zu einer Bonitätsprüfung benötigten personenbezogenen Daten an infoscore Consumer Data GmbH, Rheinstraße 99, 76532 Baden-Baden"
  2. "stellt die DHL Ihre personenbezogenen Daten auch dem jeweiligen Händler bzw. den von ihm ermächtigten Dienstleistern zur Verfügung, soweit diese Daten für die Kontaktaufnahme und Abwicklung des Kaufvertrages erforderlich sind. So werden z.B. die für die Zahlungsabwicklung erforderlichen personenbezogenen Daten je nach Art der Bezahlung an die Deutsche Post Zahlungsdienste GmbH („DPZ“), Fritz-Schäffer-Str. 7, 53113 Bonn weitergegeben"
Zur Bonitätsprüfung: Wieso muss die Post meine Bonitätprüfung? Die Zahlung authorisiert die "Zahlstelle" oder der Bezahldienstanbieter. Wenn VISA mittteilt, dass die Zahlung erfolgreich war, müssen weder PostPay noch infoscore etwas über meine Bonität oder meinen Kauf erfahren.

Im Abschnitt zur Weitergabe an "den Händler" oder "ermächtigten Dienstleister" stört das "z.B." sowie das "je nach Art der Bezahlung". Ich möchte klar wissen, wann an wen meine Daten weitergegeben werden. Wird nur an die DPZ weitergeben oder ist das hier nur ein Beispiel und die Post erlaubt sich an beliebige andere Anbieter die Daten weiterzugeben, ohne mich darüber zu informieren? Und bei welcher Bezahlungsart werden die Daten weitergegeben? Bei Kreditkartenzahlung und Giropay auch und dann an wen?

Ich hätte diese Fragen auch gerne per Mail an die Datenschutzbeauftragte, Frau Gabriela Krader, gerichtet. Aber Ihre E-Mail-Adresse, weder eine persönliche noch eine rollenbezogenene "Datenschutz@"-Adresse, weder auf den offiziellen Postseiten genannt. So soll es hier eben die Netzgemeinde lesen. Vielleicht lesen Sie, Frau Krader, es früher oder später ja selbst. Dann würde ich mich über eine Antwort hier im Kommentar sehr freuen.

Donnerstag, 21. November 2013

Wetterstation NetAtmo: Ein neuer Angriff auf die Privatsphäre

Eigentlich genial, die NetAtmo: Eine Wetterstation ohne Display, da sie die Daten über das Smartphone visualisiert, dafür aber mit mehr Sensoren, als jede andere Wetterstation.
Insbesondere mit einem CO2-Sensor, der vor schlechter Luft warnen soll, und einem Sonometer, das vor zu hoher Lärmbelastung warnen soll.
Einen umfangreichen Testbericht liefert Euch Michael.

Sonometer im täglichen Einsatz?
Heute regnet es, ich ziehe die Regenjacke an. Heute ist es besonders laut, ich jetzt meine Plüschohrenschützer auch?
Einmalige Lautstärkemessung, ggf. auch über 24 Stunden und mit Unterscheidung zwischen werktags und Wochenende, okay - aber was bringt eine laufende Überwachung?

Moment, ruft der Paranoiker in mir. Ein Mikro? Zur Überwachung allein der Lautstärke?
Hmmm. Na, gut, als Alarmanlage oder Babyphone vielleicht..... (Entspann' Dich, Paranoiker!)... Aber ist das praktikabel bei nur exakt periodischem Push alle 5 Minuten (fest konfiguriert)?


"Und das kombiniert mit der Internetpflicht der Station!", meldet sich der Paranoiker wieder zu Wort.
Die NetAtmo ist NICHT in der Lage, Daten direkt im LAN auszuliefern oder selbst auf Requests zu antworten. Sie kann nur alle ihre Daten per Push auf einen Server schicken. Den kann man dann vom Smartphone von überall in der Welt abfragen.
Dies bestätigte auch nochmal der Gründer F. Potter von NetAtmo.

Das wundert auch nicht. Schließlich ist das Geschäftsmodell genial: Ich verkaufe eine super Wetterstation zu einem konkurrenzfähigen Preis (170 Euro) und erhalte dafür aus einem weltumspannenden Netz kostenlos alle fünf Minuten Wetterdaten.
Die wiederum stelle ich aggregiert meinen Kunden kostenlos im Rahmen des Produktangebotes zur Verfügung und habe damit einer der genausten Wetterprognosen am Markt - ohne Supercomputerberechnungen.

Aber zurück zum Datenschutz:
- Möchte ich, dass das NetAtmo-Netz weiss, wann bei mir im Haus der Lärmpegel steigt?
- Lässt sich aus einem nachts ansteigenden Feuchtigkeitspegel nicht - im Gegensatz zum konstant bleibenden - schließen, dass jemand zuhause schläft? Bei ungewöhnlichem starkem Anstieg scheint wohl dort gerade die Post abzugehen -- in welcher Form auch immer.
- Gleichbleibend niedrigere Temperaturen lassen auf einen längeren Urlaub mit heruntergeregelter Heizung schließen.
- Lässt sich aus der Geschwindigkeit des CO2-Anstiegs auf die Anzahl der Personen im Raum schließen?
- Möchte ich, dass mein Bauträger meines Passivhauses während der Garantiezeit über meine CO2-Historie mir ein falsches Lüftungsverhalten nachweisen kann? (Stoßlüften ist durch rapiden CO2-Abfall und ebenso schnelle Temperatur- und Luftfeuchteänderung zu erkennen)

Irgendwie erkenne ich Parallelen zum intelligenten Stromzähler....


Wieso will ich eigentlich von irgendwo in der Welt meine Wetterdaten von zuhause wissen?
Damit ich mich nach drei Wochen Malle wieder auf Zuhause freuen kann?
Damit ich aus der Temperaturgleichheit von Außen- und Innentemperaturfühler schließen kann, dass ich ein Fenster offen gelassen habe?
Ich will zu 90% das Wetter von meinem Zuhause wissen, wenn ich auch da bin. Während meines Urlaubes reichen mir die Infos wetteronline.de.

Ich bin immer noch begeistert von der Innovation dieses Produktes. Aber die Skepsis überwiegt leider....

Samstag, 30. Juni 2012

Handelsblatt meint: Compliance als Allheilmittel?

Als Reaktion auf all die ach so weisen Zitate ach so erfahrener Rechtsanwälte und Manager zum Titelthema "Compliance" der Wochenendausgabe zum 24.Juni 2012 des Handelsblattes.
Schon ziemlich dreist finde ich den dort zu findenden Ausspruch "Compliance ist ein entscheidender Fakktor für nachhaltigen wirtschaftlichen Erfolg."

Da unter Compliance allgemein die Einhaltung von niedergeschriebenen Regeln und Richtlinien sowie deren Überprüfung verstanden wird, möchte ich mich an dieser Stelle mit einer ebenso plakativen Aussage verewigen:
Compliance ist die Legalisierung des Graubereichs.

Als Erläuterung:
Wer verantwortungsbewusst und nachhaltig arbeitet, der hat eine entsprechende Grundeinstellung und handelt nach einem "gesunden Menschenverstand". Wer hingegen sich nur an das hält, was ihm schriftlich vorgegeben und woran er später von einem Compliance-Kontrollsystem gemessen wird, der sucht Schlupflöcher und spart sich da den Einsatz, wo es sich derjenige, der die Regeln niedergeschrieben hat, oder gar derjenige, der die Überprüfungsverfahren festgelegt hat, ebenfalls Zeit und Energie gespart hat. Das ist der Graubereich des verantwortungsbewussten Handelns.

Eine Kontrollsystem-Kultur führt schnell zu der Einstellung: "Es ist zwar eine Regel, aber sie wird ja nicht überprüft. Daher ist es auch nicht so schlimm, wenn ich mich nicht daran halte."
Leider ist dieses gesellschaftliche Phänomen nicht nur in Unternehmen, sondern schon im Alltag zu beobachten:
- Im Straßenverkehr: Wenn sich jeder an die Regeln halten würde, müsste niemand vor Blitzanlagen abbremsen.
- Weil die Finanzämter überfordert sind von einem Steuersystem, das jede Eventualität im Detail zu regeln versucht, verdient sich Herr Konz mit "1000 ganz legalen Steuertricks" seit Jahrzehnten eine goldene Nase.

Da finde ich es deutlich wichtiger, wenn auf Politikebene eine "Werte"-Diskussion entsteht, in der überlegt wird, wie man in einer Gesellschaft in der die wertevermittelnde Oma des Mehrgenerationenhauses fast nicht mehr anzufinden ist.

Montag, 17. Mai 2010

Durch Provokation die Bürger gegen den Überwachungsstaat mobilisieren

"Ich habe nichts zu verbergen." und "Würdest Du das nicht auch unterstützen, wenn sie Dein Kind missbrauchen oder Deinen Vater in der U-Bahn zusammenschlagen würden?" - Das ist leider häufig die spontane Reaktion Vieler auf die Diskussion über Videoüberwachung, Vorratsdatenspeicherung und Überwachung im Internet.

Die "Spätfolgen" erkennen viele nicht. Diese werden sich ja auch es schleichend und somit nach und nach von der Gesellschaft akzeptiert einstellen. Das "diffuse Gefühl vom Beobachtetsein" wird ja schon jetzt häufig dem Paranoiker zugeschrieben. Was Null-Toleranz-Politik wirklich bedeutet, wird die Masse allerdings erst dann begreifen, wenn sie mit ihr aus heutiger Sicht nicht übereinstimmt.

Wo ist also Gesetzbrechen fast schon gesellschaftlich toleriert?
  • Bei der Steuererklärung - sofern es sich um "kleine" Beträge handelt.
  • Noch viel mehr: Im Straßenverkehr!
    "Ich war doch nur 20 drüber." - Ja, eben "drüber"(!), sprich jenseits des gesetzlich erlaubten.
    "Wenn der Penner nicht rechts rüberfährt, dann muss ich ja wohl rechts überholen." - Nein. Das ist verboten. Aufregen über Sonntagsfahrer hingegen ist gesetzlich erlaubt.
    "Ich war doch nur kurz auf einen Sprung Brötchen holen. Außerdem ist doch hier alles vollgeparkt." - Nee. "Parkverbot" bedeutet "Parken ist hier verboten, also gesetzlich nicht erlaubt.".
    Nun gut, es sind Ordnungswidrigkeiten, keine Straftaten. Wie hoch ist eigentlich das jährlich Volumen an Strafzetteln im Vergleich zu Geldstrafen bei Strafdelikten?
  • Rauchen im öffentlichen Rauchverbot
Wie hier im Blog schon mal vorgeschlagen, wäre eine Überwachung im Straßenverkehr auf Basis von Handydaten sicher problemlos möglich. Öffentliche Überwachungskameras könnten nach brennenden Zigaretten filtern. Und der Abgleich von Handy-Bewegungsprofilen könnte die Fahrtenbücher der Steuererklärungen auf Plausibilität prüfen.

Wenn hierfür nun offiziell eine technische Lösung in Politikkreisen diskutiert werden würde, wäre das Geschrei der Bürger (und nicht nur der Daten- und Verbraucherschützer) groß. Es würde Klagen geben und eine öffentliche Diskussion, für die sich sicher sogar die 50-Cent-Boulevardpresse interessieren würde.
Man würde ein Exempel statuieren.

Und plötzlich würde die Diskussion "Wann sollte der Staat überwachen dürfen?" jeden interessieren. Zumindest wäre endlich dieser dumme Satz "Ich habe doch nichts zu verbergen." tot.

Sonntag, 14. Februar 2010

Ich habe nichts zu verbergen (Teil III)

Wenn die Deutsche Steuergewerkschaft Recht hat, hinterziehen die Deutschen jedes Jahr 30 Milliarden Euro an Steuern.

Sind Sie sicher, dass von Ihnen kein einziger Euro dabei ist?
Haben Sie auch die Punkte prüfen lassen, bei denen Sie sich unsicher waren, bevor Sie Ihre Steuererklärung abgegeben haben?

Es müssen ja nicht gleich Schweizer Bankkonten sein. Aber wer für den Kauf der CD durch die Bundesregierung stimmt, der sollte die beiden oberen Fragen auch mit "JA" beantwortet haben.

Oder halten Sie das Bankgeheimnis eh für einen Schutz derjenigen, die zu viel haben? Dann ist sicher Blippy das Richtige für Sie!

Haben Sie immer noch nichts zu verbergen?

Dienstag, 29. September 2009

Ich habe nichts zu verbergen (Teil II)

Videoüberwachung ließe sich auch gut dazu verwenden, Falschparker zu erkennen. Unter dem richtigen Kamerawinkel lässt sich bestimmt ein (Nicht-)Parkstreifen von 100 Metern oder mehr abdecken. Für eine Bilderkennung ist es ein Leichtes, ein ankommendes und abfahrendes Auto zu registrieren und seine Haltezeit zu messen. Wer länger als drei Minuten hält, wird per SMS an die Mofa-Politesse gemeldet, die nur noch die Standorte anfahren muss, die ihr gemeldet werden. Mit ein paar mehr Kameras oder höherer Auflösung lässt sich in einer Ausbaustufe auch gleich das Nummernschild erkennen.

Dies nun als Affiliate Program zum Herunterladen für die eigene Webcam, wäre der Kracher. Jede Parksituationsänderung erkennt die Clientsoftware und übermittelt die Bilder samt Zeitstempel an den Anschwärzservice im Internet. Dieser wertet die Bilder aus, erkennt die Nummernschilder und erstattet automatisch Anzeige. Von den 20 Euro Verwarngeld gehen 5 Euro an den Anschwärzservice, der wiederum 2,50 Euro an den Melder durchreicht.

Hach, irgendwann werden die Leute doch wach werden und sich gegen diese Art von Überwachung wehren.
Oder haben Sie immer noch nichts zu verbergen?

Mittwoch, 16. September 2009

Ich habe nichts zu verbergen! Oder doch?

Piratenparteianhänger und Datenschützer sehen sich immer wieder mit der kurzsichtigen Aussage "Ich habe nichts zu verbergen!" konfrontiert.

Wenn Du das auch von Dir denkst, frage Dich mal, inwiefern die folgenden Eingriffe des Staates in Deine Privatsphäre betreffen.

Vorratsdatenspeicherung

Kurzzusammenfassung: Es wird für 6 Monate gespeichert, mit wem Du wann Mails ausgetauscht hast und mit welchem Betreff, mit wem Du wann telefoniert hast und (im Handy-Fall) von welchem Standort aus.

Ggf. werde ich dem Verkehrsminister mal vorschlagen, er solle doch die Vorratsdatenspeicherung für die Kontrolle von Geschwindigkeitsübertretungen verwenden. Das geht sehr einfach: Wenn man weiss, dass Du zum Zeitpunkt A an Ort A warst und zu, Zeitpunkt B an Ort B, dann musst Du Dich wohl mit einer Mindestgeschwindigkeit zwischen diesen Orten bewegt haben.
Das Tolle ist, dass ein simples SQL-Skript mit gleich für Millionen Verkehrsteilnehmer für die letzten 6 Monate ermittelt, wann sie wo zu schnell waren. Dank Serienbrieffunktion können Ordnungswidrigkeitsbescheide gleich kostengünstig verschickt werden.
Na, nichts zu verbergen?

Kameraüberwachung

Kurzzusammenfassung: Öffentliche Plätze werden zunehmend mit Kameras überwacht. Die Videos werden mindestens 48 Stunden gespeichert. Vergewaltiger, Randalierer und kinderschändende Terroristen ziehen sich in die nicht ausgeleuchteten Ecken zurück. Der Unschuldige wird gefilmt.

Bilderkennung ist weit fortgeschritten. Gesichtererkennung problemlos möglich. Was noch besser erkennbar ist, sind Zigarettenkippen. In Singapur kostet es 2000 Dollar, wenn man eine brennende Kippe aus dem Fenster schmeisst. Bei uns etwas weniger. Aber die Masse macht's. Warum also nicht ein kleines Progrämmchen auf den Videoservern installieren, was weggeworfene Kippen erkennt? Eine Gesichtersuche auf Facebook dürfte insbesondere bei den jüngeren zum Erfolg führen. Die Älteren fangen wir ab, sobald sie das nächste Mal auf dem Weg in den Urlaub ihren Pass vorzeigen. Als Übergangsphase kann man auch einfach eine 1-Euro-Kraft engagieren, die bei Alarm des Zigarettenkippen-Warnsystems die Person am U-Bahn-Ausgang abfängt und die 20 Euro Verwarngeld kassiert. Mit ein wenig Bilderkennungstuning kann man bestimmt dann auch auf den Gehweg kackende Hunde identifizieren. Hach, schönes sauberes Deutschland!
Na, nichts zu verbergen?

Internetzensur

Kurzzusammenfassung: Unter dem Vorwand der Kinderpronographieverfolgung wird eine Zensurinfratsruktur aufgebaut, die es ermöglicht, Webseiten über Filterlisten zu sperren. Diese Listen sind öffentlich nicht einsehbar. Ihre Umgehung ist strafbar.

Dass mittlerweile darüber nachgedacht wird, die Sperrinfrastruktur auch gleich gegen rechtsradikale Webseiten einzusetzen, war klar. Aber auch die Musikindustrie hat sich schon gemeldet. Ach, Sie laden nie illegal Musik aus dem Internet? Das macht alles Ihre 20 Jahre jüngerer Nachbar für Sie? Ja, so läuft es angeblich bei den Kinderpornos ja auch.
Aber haben Sie vielleicht auf Ihrer Firmenhomepage ein Foto eingebaut, das Sie einfach über Google gesucht haben und nicht ausreichend lizenziert haben? Dann werden Sie früher oder später wohl auch auf einer der Sperrlisten landen. Und versuchen Sie mal, da wieder ohne Imageverlust herunterzukommen! Das kann Ihnen ja heute schon passieren, dass Google Ihre Seite als "bösartig" einstuft und Sie blockt. Auch hier sind schon Fehler passiert. Aber da ist es durch ein Privatunternehmen geschehen und nicht mit Ihren eigenen Steuergeldern.
Na, nicht zu verbergen?

Sperrlisten könnten auch verwendet werden, um das Recht am eigenen Bild durchzusetzen. Wenn eine Lokalzeitung von ihrer Homepage nicht das Foto von Dir auf Anfrage löscht, kannst Du in Zukunft bei der "Bundesstelle zur Wahrung der eigenen Bildrechte" Deine Rechte unter Angabe der IP-Adresse der Zeitung und der URL des Bildes geltend machen. Innerhalb von 24 Stunden wird diese URL (oder falls technisch nicht möglich, gleich die ganze Domain) auf eine Sperrliste gesetzt. Die Zeitung muss dann erst nachweisen, dass sie das Bild wirklich gelöscht hat, bevor sie - nach weiteren 24 Stunden - wieder freigeschaltet wird.


Und wenn wir erst einmal eine Überwachungsinfrastruktur haben, müssen wir sie nur noch serverseitig vernetzen. Bis dahin ist dann auch Open Source in der Politik angekommen und wir schaffen eine API (Programmierschnittstelle), die es Computer-Kiddies ermöglicht Ihre eigenen Überwachungsskripte (Perl, Python oder Ruby) hochzuladen und "voten" zu lassen. Die coolsten Skripte werden dann in Pilotstätten erprobt und bei Erfolg bundesweit ausgerollt.
Klingt doof und absurd? Dann ladet Euch doch schon heute das "coole Tool" für Euer Nokia-Handy bei Vodafone herunter!

Superwallah - IT, Innovation, Indien

Globaler Cyber-Fortschritt ist heute

Suche

 

ich

Du bist nicht angemeldet.

Wer bist Du?

Sag es mir. Und hinterlass einen Kommentar nach Lesen eines Eintrag!

Aktuelle Beiträge

Methode zur Organisation...
Ich habe auf dem 34C3 eine interessante Methode kennengelernt,...
superwallah - 3. Jan, 22:11
Filofax Personal Abmessungen
Wer eigene Filofax-Einlagen basteln möchte, muss sich...
superwallah - 3. Jan, 15:01
Sicherheit in Android...
TLS ist nur so sicher wie die Gesamtheit der Root-CAs,...
superwallah - 13. Jun, 21:30
Den richtigen Co-Working-Space...
Die moderne Welt des Arbeitens liegt im Teilen der...
superwallah - 24. Mai, 18:16
Adressen und Kalender...
Wer meinem Blog folgt, weiss, dass ich mich konsequent...
superwallah - 23. Mai, 09:36

Meine Gadgets

Gesehene Filme

Zähler

Web Counter by www.webcounter.goweb.de
Web Counter by www.webcounter.goweb.de

Status

Online seit 6608 Tagen
Zuletzt aktualisiert: 3. Jan, 22:11