Techjourno-Perlen und Anderes, Teil 1

Weil auf der ganzen Netzwelt so viel passiert (während wir dies schreiben, hat das BAG seine Entscheidung für die Impfzertifikate gefällt), und wir nicht alles gleichzeitig verarbeiten, verarzten und verkommentieren können, wollen wir hier ein paar Leseempfehlungen aus dem Techjournalismus machen.

Drum starten wir hier unser eigenes Meta-Gefäss: Wir empfehlen hin und wieder regelmässig ein paar Artikel aus der Netzwelt, mit Lob, mit Kritik und auch Ergänzungen. Einfach und simpel Meta.

1. (von Adrienne) Revealed: the Facebook loophole that lets world leaders deceive and harass their citizens

Die Whistleblowerin und Ex-Datenwissenschaftlerin von Facebook Sophie Zang macht verschiedene Fälle von schlampiger Arbeit bei ihrem ehemaligen Arbeitgeber publik. Als sie bei Facebook arbeitete, war sie für die Identifizierung von Desinformation und orchestrierten Propaganda-Kamapagnen zuständig. Dabei stiess sie bei der Sichtung verschiedener Länder auf Massen von Schein-Kampagnen und Troll-Armeen. Ihre Vorgesetzten reagierten je nach Namen des Landes – wenn es kein globaler Brennpunkt darstellt- mit Gleichgültigkeit. Die interessanteste Entdeckung von Zang war ein Schlupfloch in den Bestimmungen des sozialen Netzwerks und seines Threat Intelligence Teams, das auch ein Blindfleck darstellt: FB ortet “inauthentisches Verhalten” nur bei Benutzerkonten, sie bekämpfen also lediglich Fake-Personenprofile. Wenn also eine Person mehrere Accounts kreiert, werden diesem vom Threat Intelligence Team und ihrer KI relativ schnell identifiziert. Was das Löschteam übersieht: Pages. Dabei legen die beauftragten Personen Tausende von FB-Pages an getarnt als Personen. Mit Vor- und Nachnamen. Solche Kommentarpropaganda wird nicht identifiziert vom Team. Die Recherche zeigt: Facebook hat klare Prioritätenländer wie Russland oder Ukraine. Andere Staaten wie Aserbeidschan oder Honduras, in denen offenbar die Eliten krasse Desinformationskampagnen hochfahren und nicht im Fokus der weltweiten medialen Öffentlichkeit stehen, kümmerte das Threat Intelligence Team nicht.

2. (von Adrienne) So jagen Schweizer Polizisten mit Gesichtserkennung Verbrecher

Eine gute Bestandaufnahme zu Gesichtserkennungssysteme und ihre kantonalen Beschaffungen. Die Autorin hat sogar mit dem Öffentlichkeitsgesetz die Beschaffung des Kanton St. Gallen in Erfahrung bringen können (den Namen verrate ich jetzt nicht, sonst liest man den Text nicht). Die Information zu Anyvision war mir bereits bekannt, der Kanton Aargau schrieb mir auf Anfrage bereits im Frühjahr dass man mit den israelischen Gesichtserkennungstechnologie experimentiere und eine Beschaffung in Frage komme. Gleichwohl wurde mir vom Sprecher Graser versichert (wie dies auch der Herr Gloor im Artikel tat) dass man dabei keine Echtzeitidentifizierung anstrebt. Im Klartext heisst das: das gesammelte Fotomaterial wird im Nachhinein gesichtet, ausgewertet und identifiziert. Dieselbe feine (und meiner Meinung nach unsinnige) Differenzierung strebt auch die EU an. Biometrische Gesichtserkennung ja, aber NICHT LIVE, sondern nur im Nachhinein. Also ob dies irgendwas am Überwachungsausmass ändern würde.

Dennoch, was fehlt mir im Artikel: 2-3 Zusatzinformation zum globalen Player Anyvision. Dieser beliefert nämlich halb Frankreich mit Gesichtserkennungstechnologie, berühmtestes Beispiel ist Nizza. Nach dem Terroranschlag durch einen Lastwagen im Jahr 2016, hat die französische Stadt an der Cote d’Azur mächtig aufgerüstet.

Was auch fehlt: das kritische Nachhaken zur erwähnten Fall-Datenbank PICAR welche ebenfalls im Kanton Aargau benutzt wird, und offenbar (auch gemäss meinen Quellen) Personendaten speichert, die potenzielle künftige Gefährder darstellen (das PMT lässt hier grüssen)…

3. (von Adrienne) Datenschutzexpertin zum digitalen Impfzertifikat: «Ein schwer zu fälschendes Sicherheitspapier wäre die bessere Lösung»

Ein Top-Interview mit der EPFL-Assistenzprofessorin und Privacy-Spezialistin Carmela Troncoso zum Thema Impfzertifikate. Zahlreiche gute und kluge Statements, daher hier eine kleine Auswahl:

“Die digitale Infrastruktur, die wir jetzt schaffen, kann man mit Strassen vergleichen. Wenn erst einmal eine gebaut ist, wird sie danach nicht so schnell wieder verschwinden. Das muss man im Kopf haben und sich fragen: Warum bauen wir diese Infrastruktur? Wie lange ist sie relevant? Was kostet sie die Gesellschaft? Die Zertifikate sollen in unsere Gesundheitssysteme integriert werden – und könnten für viel mehr verwendet werden als nur für den Nachweis einer Impfung. Denn am Ende des Tages bauen wir etwas, was über unseren Gesundheitszustand Auskunft gibt und damit problematisch werden kann.

(…)

Die EU sagt, dass die Verifizierung dezentral laufe. Aber sie sagt gleichzeitig, dass eine Online-Verifizierung möglich sei. Das bedeutet, dass jedes Mal, wenn jemand meinen Nachweis kontrolliert, ein Server im Hintergrund ist, der lernt. Er kann lernen, dass irgendjemand die Grenze bei Genf überquert hat und irgendjemand in eine Bar gegangen ist. Oder aber, dass ich die Grenze bei Genf überquert habe und ich in eine Bar gegangen bin. Es gibt nichts, was darauf hinweist, dass das nicht möglich ist. Es könnten also Bewegungsprofile erstellt werden. Aus all diesen Punkten leitet sich die Frage ab, ob diese Impfzertifikate verhältnismässig sind.”

https://www.nzz.ch/technologie/fuer-den-impfnachweise-waere-ein-schwer-zu-faelschendes-sicherheitspapier-waere-die-bessere-loesung-ld.1613180

4. (von Patrick) US Could Block Personal Data Transfers To Ireland, European Home Of Digital Giants, Because GDPR Is Not Being Enforced Properly

Mit GDPR hätte die EU bekanntlich ein Werkzeug in den Händen, um allzu emsigen Datensammeln von Facebook und co einen Riegel zu schieben. “Hätte” weil viele grosse Internet-Firmen ihren europäischen Sitz in Irland haben, und sich die irische Datenschutzbehörde nicht gerade mit grossem Engagement um GDPR-Verletzungen kümmert. So sind nach wie vor Fälle aus 2018 hängig. Es ist drum geradezu ironisch, dass dieses Verhalten nun unter Umständen dazu führen könnte, dass europäische Unternehmen keine Daten von US-Bürger:innen mehr verarbeiten dürften.

The US Senate is to debate a proposal to limit foreign countries’ access to US citizens’ personal data and to introduce a licence requirement for foreign companies that trade in this information.

[…]

The draft Bill proposes collating a list of sensitive personal data categories and then instructing federal agencies to “take into account the adequacy and enforcement of data protection, surveillance, and export control laws” in foreign countries where this information is processed.

The Irish Times

Mit anderen Worten: Ob Daten von US-Bürger:innen verarbeitet werden dürfen, hängt gemäss der Gesetzesvorlage dann nicht nur von den Gesetzen im jeweiligen Verarbeitungsland ab sondern auch von der Fähigkeit des jeweiligen Staats, diese durchzusetzen. Noch ist offen, ob die Vorlage angenommen wird, aber um es mit dem Titel des Techdirt-Artikels zu sagen: oh, the irony!

5. (von Patrick) Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app’s perspective

Vor einigen Monaten war das Unternehmen Cellebrite, dessen Software zum Beispiel bei Strafermittlungsbehörden im Einsatz ist, in den Schlagzeilen, die Signal-Verschlüsselung geknackt zu haben. Signal stellte das bereits damals in einen Blogpost richtig (angreifbar war nicht die Verschlüsselung sondern der vom Gerät gextrahierte Chat-Verlauf), jetzt haben sie quasi zum Gegenangriff gestartet. Und zwar haben die Macher von Signal die auf Windows laufende Datenextraktionssoftware von Cellebrite näher angeschaut und dabei festgestellt, dass diese auf teilweise veralteten Komponenten mit bekannten Sicherheitslöchern basiert und ganz generell die vom Handy ausgelesenen Daten nur rudimentär validiert.

Looking at both UFED and Physical Analyzer, though, we were surprised to find that very little care seems to have been given to Cellebrite’s own software security. Industry-standard exploit mitigation defenses are missing, and many opportunities for exploitation are present.

Given the number of opportunities present, we found that it’s possible to execute arbitrary code on a Cellebrite machine simply by including a specially formatted but otherwise innocuous file in any app on a device that is subsequently plugged into Cellebrite and scanned. There are virtually no limits on the code that can be executed.

For example, by including a specially formatted but otherwise innocuous file in an app on a device that is then scanned by Cellebrite, it’s possible to execute code that modifies not just the Cellebrite report being created in that scan, but also all previous and future generated Cellebrite reports from all previously scanned devices and all future scanned devices in any arbitrary way (inserting or removing text, email, photos, contacts, files, or any other data), with no detectable timestamp changes or checksum failures. This could even be done at random, and would seriously call the data integrity of Cellebrite’s reports into question.

Vereinfacht gesagt: Mit geeignet manipulierten Files auf dem Smartphone kann man den von Cellebrite generierten Analyse-Report unbemerkt verändern. Und wer sich jetzt freut und denkt “Ha, dann leg ich so ein File ab und bin safe”, sollte sich bewusst sein, dass einem auch jemand Dritter ein manipuliertes File unterjubeln kann (z.B. via Signal) und das eigene Smartphone beim Auslesen mittels Cellebrite dann plötzlich als verdächtigt im Report auftaucht.

Ob und wie Signal mit den gefundenen Lücken umgehen will, bleibt offen. Ein Hinweis verbirgt sich im Schlussabschnitt des Blog-Artikels.