Sonntag, 27. April 2014

OSZE Mitarbeiter oder Nato-Spione in der Ukraine entführt?



Westukrainische Truppenteile beim Kampf gegen ostukrainische Aufständische.
Bildquelle: NZZ

Die Nachricht schlug bei mir ein wie eine Bombe: "13 OSZE-Mitarbeiter von pro-russischen Kräften entführt!" Zuerst dachte ich, wegen des Eskalationspotenzials dieser Meldung, an eine Unterwanderung der ostukrainischen Separatistenbewegung durch westliche Agenten - Denn selbst der hartgesottenste Separatist dort kann nicht so dämlich sein zivile OSZE Mitglieder zu entführen. So ein Verhalten würde alles pro-russische diskreditieren und brächte dem Westen einen Vorwand für weitere Eingriffe/Angriffe in die Ost-Ukraine. Also wollte ich wissen was da wirklich vor sich ging und begann ich ein wenig zu recherchieren.

Als erstes irritierte mich das die deutsche Bundesregierung die Verhandlungen über die Freilassung der angeblichen OSZE-Mitarbeiter führte und nicht die OSZE selbst. Klarheit zu diesem Thema verschaffte mir dann ein ORF-Interview mit dem stellvertretenden Chef des OSZE-Krisenpräventionszentrums Claus Neukirch auf das ich stieß - siehe hier. Neukirch stellte in dem Interview klar das die entführten Männer keine OSZE-Mitarbeiter sind. "Die eigentliche OSZE-Mission läuft ungehindert!" sagte Neukirch und bezeichnete die festgenommenen Männer als Militärbeobachter die in einer bilateralen Mission parallel unterwegs waren. Diese Mission wurde auf Anforderung und Wunsch der ukrainischen Regierung durch die deutsche Bundeswehr, genauer gesagt durch das Zentrum für Verifikationsaufgaben der deutschen Bundeswehr, durchgeführt, so Neukirch weiter. Neben ukrainischen-, deutschen-, polnischen-, schwedischen- und anderen Soldaten, sollen auch ukrainische Geheimdienstler an Bord des aufgehaltenen Busses gewesen sein. Neutralität sähe wahrscheinlich anders aus.

Weil nun bei genau dieser Mission von ostukrainischer Seite der Spionageverdacht ausgesprochen wurde, schauen wir uns mal an, was das Zentrum für Verifikationsaufgaben der deutschen Bundeswehr, so treibt. Das Hauptziel des VZBw scheint die Abrüstungskontrolle zu sein. In diesem Zusammenhang werden Informationen über Truppengeräte, Truppenstärke, Bewaffnung, Schlagkraft, Motivation und Organisation von Streitkräften gesammelt. (Aussage Oberst Axel Schneider - Radio Interview hier) Aufgrund dieser Informationen wird wohl die Einhaltung oder Nichteinhaltung von Abrüstungsverträgen o.ä.  überprüft. Das VZBw (nicht zu verwechseln mit dem ZNBw - Zentrum für Nachrichtenwesen der Bundeswehr) ist also kein Bundeswehrnachrichtendienst im klassischen Sinne, also offiziell auch kein Geheimdienst - ergo sind die gefangengenommenen Bundeswehrsoldaten auch offiziell keine Spione.

Festzuhalten ist aber, dass diese Mission im Auftrag der west-ukrainischen Regierung durchgeführt und von deren Soldaten (angeblich auch von deren Geheimdienst-Leuten) begleitet wurde. Eine Weitergabe der  (durch diese Mission) gewonnenen strategischen Informationen an die west-ukrainische Armee wäre somit natürlich NICHT zu verhindern und wurde aufgrund der Anwesenheit der west-ukrainischen Kräfte anscheinend sogar gewünscht. Das deutsche Soldaten sich dafür hergeben, empfindliche Informationen (Informationen um einen Volksaufstand mit Waffengewalt niederzuschlagen zu können) an eine Putschregierung zu geben, welche mit Waffengewalt gegen das eigene Volk vorgeht, ist der eigentliche Skandal an dieser "Mission"!!!

Auch wenn die westukrainischen Streitkräfte sich zum Sturm auf die Aufständischen rüsten und bereits Kontrollpunkte um Slowjansk angreifen (siehe hier), sollten die Ostukrainer die gefangenen Soldaten freilassen um ihren guten Willen zu zeigen. Sie sollten trotz dieser schwachsinnigen pro-westlichen "Spionage-Aktion" zeigen das sie keine "Geiselnehmer" sind und sich nicht durch sowas dämonisieren lassen. Die Rebellen haben jetzt bewiesen das sie durchaus in der Lage sind zu handeln und Festnahmen durchzuführen - das sollte reichen. Durch eine selbstlose Übergabe der Gefangenen würden die Aufständischen beweisen das Sie besser sind als der Ruf der im Westen über Sie verbreitet wird und die Nato-Staaten samt Systempresse sähen dann noch blöder aus als ohnehin schon - das wäre auch gut so!!!

Liebe Grüße

Sonntag, 13. April 2014

Wie gehe ich mit dem "Heartbleed Bug" um?

Bildquelle: Giga.de


Oh man, da biste mal ne Woche krank und schon kommt die "ultimative Netzkrise" daher. Der "Heartbleed Bug" beim "OpenSSL" Verschlüsselungs-System. Erst einmal ein bisschen grundsätzliches dazu:

Mehr als die Hälfte der Server auf der Welt verwenden OpenSSL: Banken, Online-Shops, aber auch im Hintergrund ablaufende automatische Prozesse wie beispielsweise Software-Updates uvam. werden über dieses System abgewickelt.

Der aktuell aufgedeckte und weltweit verbreitete Fehler in OpenSSL führt dazu, das von dritter Seite (aus dem Arbeitsspeicher der Server) auszugsweise Informationen ausgelesen werden können - z.B. die Schlüssel zur Entschlüsselung von Kommunikationsinhalten. Das Schlimme daran ist, wenn der Angreifer Schlüssel des SSL Servers (oder Euren Schlüssel) hat kann er viele Dinge, unter anderem auch Passwörter in Klartext lesen. Erlangt der Angreifer die Sicherheitszertifikate kann er theoretisch eigene Schlüssel erstellen und sich selbst beispielsweise als Banken- oder Softwareherstellerserver ausgeben -  genau das Szenario sollte die SSL-Verschlüsselung eigentlich komplett ausschließen. Neben vielen finanziellen Manipulationsmöglichkeiten (z.B. beim Onlinebanking oder bei Amazon/ebay)  könnte auch Schadsoftware unter "falscher Flagge" auf Euren Rechnen landen. Ich will jetzt nicht weiter ausholen, aber das war schon ein dickes Ding!

Bei aller Panik ist allerdings anzumerken das die Hauptaktion (um diesen Fehler zu reparieren) von Euren Serveradmins durchzuführen ist. Ihr (sofern Ihr keinen Server betreibt) seid also nur in zweiter Linie betroffen und auch nur dann wenn schon Daten abgegriffen wurden - später dazu mehr.

Nun plötzlich schreit der Mainstream nach einer grundsätzlichen Änderung der Internet-Sicherheitsstandards, ich meine zu unrecht. Das die NSA Heartbleed benutzt hat ist höchst wahrscheinlich, aber ich möchte jetzt überhaupt nicht darüber spekulieren ob dieser Bug eine "Backdoor" oder ein einfacher Fehler ist.  Das Geschrei allerdings über eine grundlegende Änderung der Netzstruktur im punkto Sicherheit ist mir suspekt. Birgt doch eine umfassende Änderung der Standards Raum für neue (kaum einzuschätzende) Bugs, welche ein noch gößeres Sicherheitsrisiko darstellen könnten. Deshalb: "never change a running system"! Merzt den Fehler aus und gut iss!!! 

Die Hauptarbeit um Heartbleed in seine Schranken zu weisen obliegt allen Serverbetreibern, dessen Seiten Ihr besucht. Die meisten großen Internetseitenbetreiber haben bereits reagiert und die OpenSSL-Lücke geschlossen. Sollten aber schon vorher Daten abgegriffen worden sein, hilft auf Eurer Seite nur ein Passwortwechsel. Die Bank oder andere wichtige Serverbetreiber sollten dann neue Sicherheitszertifikate angelegt haben - Wirklich sicher sind nur die Zertifikate, welche nach dem 08.04.14 erstellt wurden. Hier eine kleine Anleitung um zu checken ob Eure wichtigsten Seiten schon "repariert" sind und was Ihr sonst noch so tun könnt:

1. Bitte zum besseren Verständnis vorher folgendes Video ansehen:



2. Checkt Eure wichtigsten Seiten mit folgendem Onlinetool:


Einfach die URL (z.B.: www.Sparkasse.de) in das Feld eingeben und auf "GO" klicken.
Sollte eine Eurer Lieblingsseiten noch nicht repariert worden sein - Bitte sofort anmailen!!!

3. Lasst sämtliche Eurer Virenscanner über Euer System laufen. Nachher noch bitte folgende zwei Scanner downloaden und als Admin (installieren) ausführen, sowie durchlaufen lassen:

(Keine Sorge, die Programme wurden im Selbstversuch mehrfach von mir  angewendet!!!)



Bitte alle Treffer markieren und löschen (prüft allerdings vorher ob die Programme nicht wichtige "Hackertools"  von Euch als Schadsoftware erkannt haben. (Diese dann nicht markieren) Manchmal ist es notwendig vor der Ausführung der Programme die eigene Schaderkennungssoftware nebst Firewall kurzfristig auszuschalten.

4. Erneuert sämtliche Eurer Passwörter: Von Eurer Bank über die E-Mailadesse bis zu Spieleservern!!!

5. Passwörter des Routers ändern und Firmware updaten. Besonders anzuraten bei VPN Nutzern!!! Laut AVM ist die Fritzbox zwar mit OpenSSL ausgestattet, hat aber diesen Fehler nicht im System - diesbezüglich also Entwarnung für alle Fritzbox-user.

6. Vorsichtshalber Browser und Plugins aktualisieren. Ein Windowsupdate schadet auch nicht.

Wenn Ihr all diese Punkte beherzigt habt könnt Ihr Euch wieder zurücklehnen und Euch wichtigeren Dingen widmen. Ich hoffe diese kleine Anleitung ist umsetzbar und kann Euch helfen - mir hat sie jedenfalls geholfen!

Liebe Grüße und einen schönen Sonntag noch!

Sonntag, 6. April 2014

Straßenkameras mal näher betrachtet...


Da ich als Außendiensttechniker naturgemäß viel auf den Straßen in NRW unterwegs bin, ist mir der sprunghafte Anstieg von Kameras an Autobahnen und Landstraßen, sowie an Ampeln nicht entgangen - Dieser Sache bin ich mal nachgegangen. Laut "Straßen NRW" und den Straßenbetrieben anderer Bundesländer - sei die Auflösung dieser Kameras zu gering um Personen oder Fahrzeuge zu identifizieren. Die Systeme würden ausschließlich zur Steuerung der digitalen Verkehrsleitsysteme und zur Nutzung im Verkehrsinfoportal verwendet. Der normale NRW-Autofahrer könne demnächst sogar per Smartphone die Echtzeit-Verkehrslage im Verlauf seiner Reiseroute in Online-Streams überprüfen, dort könne man auch keine Personen oder gar Kennzeichen erkennen - deshalb sei man datenschutzmäßig auf der sicheren Seite. Eine Speicherung der Videos fände nicht statt....Soweit die offizielle Aussage.

Weil ich aber tendenziell misstrauisch gegenüber offiziellen Aussagen bin, habe ich mal ein wenig recherchiert um die verbaute Hardware bei diesen Systemen kennenzulernen. Ich kann mir nämlich nicht vorstellen das in NRW und in anderen Bundesländern Millionenbeträge für Schrott ausgegeben wird. Da ich mit googeln nach Herstellern solcher Systeme nicht wirklich weiter kam, habe ich nach öffentlichen Ausschreibungen gesucht und bin fündig geworden. So bin ich dann auf die Ausschreibung einer geplanten Verkehrsüberwachungsanlage an der A45 (Lennetalbrücke) gestoßen und staunte nicht schlecht. Immerhin verlangt Straßen NRW 1280x960 Pixel Kameras als Standard, Mindestvoraussetzung ist (1280 x 720). Zum Vergleich: Gute Standard-Überwachungskameras
haben in der Regel eine Auflösung von 704x576.

Nun gut das muss noch nichts heißen dachte ich - kommt halt auch auf die Objektive an und so besuchte die Seite der Firma AXIS, welche von Straßen NRW als Referenz genannt wurde. Auf dieser Herstellerseite fand ich auch, die von unseren Straßenbetrieben vorgeschlagenen Kameras und Objektive. Nicht schlecht! Alles vom feinsten, Megapixel-Objektive von Macro bis Zoom, online steuerbare Kameras die schlag- und sabotagesicher in allen erdenklichen Streamqualitäten Bilder und Videos liefern. Nur wer dann allerdings welche Streamqualität bekommt, das steht auf einem vollkommen anderen Blatt. Den verpixelten Bullshit um die Smartphoneuser zu begeistern und Datenschützer zu beruhigen und die feine HD Qualität für die Nachrichtendienste. Hier mal ein Leistungsbeispiel der kleineren "AXIS Q6034E" im 720 p Modus (1280 x 720) und der Text des Herstellers  zur "AXIS Q1604-E": (Und nicht vergessen: Die Auflösung bei Youtube und auf meiner Seite ist kein HD!)


"Video mit außergewöhnlicher Klarheit und Schärfe"
"Mit der AXIS Q1604-E Netzwerk-Kamera ist eine deutliche Identifizierung sowohl von Personen als auch von Objekten selbst bei sehr variablen Lichtverhältnissen wie etwa bei Gegenlicht oder hohen Kontrasten möglich. Sie ist perfekt für die Überwachung von Tunnelpassagen zum Beispiel in Anwendungen der Städteüberwachung."


Wie Ihr sehen könnt ist mit diesen Kameras und entsprechenden Objektiven sehr wohl eine Personenerkennung und Fahrzeugidentifizierung auf Basis des Nummernschildes möglich - auch auf einige Entfernung. Bei schnell fahrenden Fahrzeugen wird allerdings noch ein Nummernschildscanner benötigt, dieser ist natürlich nachrüstbar. Auch muss so ein Paket entsprechend der Umgebungs-Bedingungen und des Bildausschnittes von einem Techniker ein- und ausgerichtet werden, aber das dürfte das geringste Problem darstellen. Etwas beunruhigt hat mich die ausschließliche Verwendung des nicht mehr supporteten Betriebssystems Windows XP beim "Verkehrsleitsystem" von Straßen NRW, Dieses dürfte bereits Sicherheitslücken (so groß wie Scheunentore) haben.


Das Straßen NRW oder andere deutsche Straßenbetriebe solch eine Dauerüberwachung illegal durchführen und diesbezügliche Daten speichern (sowas ist nämlich gerichtlich verboten) will ich noch nicht einmal sagen, aber die Möglichkeit bestimmter Dienste oder Behörden sich dieses Knowhows nach Belieben zu bemächtigen steht ja wohl außer Frage. Außerdem ist die offizielle Stellungnahme bezüglich der "Mehrfachnutzbarkeit" dieser Kamerasysteme schlichtweg unwahr - auch nicht zuletzt weil es schon Prozesse wegen der "Materialverwendung" solcher Systeme zur Beweissicherung bei Ordnungswidrigkeiten gegeben hat. (siehe hier) Also hat sich  mein mulmiges Gefühl über die Kameras an Deutschlands Straßen bestätigt. Willkommen liebe Autofahrer, willkommen in Eurer schönen neuen Überwachungswelt, aber Hauptsache man kann bei seinen Freunden protzen und per Smartphone gucken ob am Westhofener Kreuz mal wieder Stau ist...

Liebe Grüße

Euer