Weil auf der ganzen Netzwelt so viel passiert, und wir nicht alles gleichzeitig verarbeiten, verarzten und verkommentieren können, empfehlen wir hin und wieder ein paar Artikel aus der Netzwelt, mit Lob, mit Kritik und auch Ergänzungen. Einfach und simpel Meta.
Google considers switching FLoC to a topic-based approach, as exec acknowledges cookie replacement has fingerprinting potential
Über FLoC (Googles Alternative zu 3rd party cookies) haben wir ja schon im April geschrieben, und darauf hingewiesen, dass diese Methode aus Privacy-Sicht kaum viel besser ist als Cookies und insbesondere weiterhin Fingerprinting von Browsern/Benutzern erlaubt. Das diese Vermutungen nicht unbegründet sind, hat Google nun selbst einsehen müssen, nicht zuletzt weil die Werbeindustrie bereits begonnen hatte, die Cohort-Informationen zur Identifikation von Benutzern zu verwenden.
Als Alternative zu den über 30’000 möglichen, automatisch definierten “Cohorts” will Google nun ein System prüfen, welches jeder Webseite eines von 200-300 Themen wie “Kunst”, “Sport”, “Haustiere” zuweist (unter Umständen kann das die Webseite auch selbst definieren). Noch sind ausser der Ankündung nicht allzuviele Details bekannt. Ob dadurch effektiv ein Privacy-Zuwachs entsteht, müssen weitere Analysen und Tests zeigen.
互联网信息服务算法推荐管理规定
Das CAC (die chinesische Internet-Behörde) hat einen Entwurf zu “Richtlinien für die Verwaltung von Internet-Informationsdiensten für Algorithmenempfehlungen” veröffentlicht, Kendra Schaefer hat auf Twitter eine Zusammenfassung geschrieben.
Einerseits ist es zu begrüssen, dass eine Internet-Behörde einen Versuch unternimmt, den Einsatz von Algorithmen im Internet transparent zu machen und den Benutzern mehr Rechte im Umgang damit zu verschaffen. So sollen den Benutzern die von Algorithmen genutzten Schlüsselworte sichtbar gemacht werden, und man hofft, mit dem Verbot von diskriminierenden Schlüsselworte den Bias von Algorithmen zu reduzieren. Ob dies dann wirklich den gewünschen Effekt hat, oder ob diskriminierende Schlüsselworte einfach durch neutral klingende Proxy-Begriffe ersetzt werden, wird sich zeigen. Andererseits wäre China nicht China, wenn es nicht auch darum ginge, gutes Verhalten der Bürgerinnen und Bürger zu steuern: “The algorithm recommendation service provider shall adhere to mainstream values … actively spread positive energy, and promote the application of algorithms for the better”.
Eine Übersetzung des ganzen Texts findet sich bei der Stanford University.
SolarWinds and the Holiday Bear Campaign: A Case Study for the Classroom
In 2020 wurden weltweit Unternehmen und Organisationen (darunter auch das Europa-Parlament und mehrere Bereiche der US-Administration) Opfer einer Cyberattacke mit vermutlich russischem Ursprung. Wie so oft wurden für diese Angriffe Schwächen und Bugs verschiedener Applikationen und Systeme kombiniert ausgenutzt, um in die Computer-Systeme der Zielunternehmen einzudringen, diese zu überwachen und vermutlich auch Daten zu kopieren.
Einer der verwendeten Angrifsvektoren basierte auf Schwächen in einem Produkt von SolarWinds welches von Unternehmen zur Überwachung ihrer internen Netzwerke eingesetzt wird. Dieses wird zwar lokal (d.h. innerhalb des internen Netzwerks) installiert und ist daher nicht abhängig von Cloud-Installationen, muss aber regelmässig aktualisiert werden (analog zu Updates wie sie auch bei Windows, macOS etc. vorkommen). Um diese Updates sicher zu machen, werden sie vom Anbieter digital signiert und vor der Installation überprüft. Im konkreten Fall ist es den Angreifern gelungen, diesen Signatur-Prozess anzugreifen, den Kunden/Anwendern über die Update-Funktion eine modifizierte Version unterzuschieben und über diese dann die jeweiligen Netzwerke auszuspionieren.
Der im Titel verlinkte Artikel beschreibt das Vorgehen in gut verständlicher Weise und zeigt (wieder mal) auf, wie viele kleine Problemchen kombiniert zu einem grossen führen können.
Privacy is relative
Der Mail-Anbieter ProtonMail bewirbt sein Angebot mit End-To-End-Encryption und Anonymität, und ist nicht zuletzt deswegen eine gerne genutzte Plattform wenn es um vertraulichen Mailaustausch geht. Aber wie alles im Internet hinterlässt auch die Nutzung von sicheren Mail-Plattformen Spuren in Form von IP-Adress-Informationen, drum warb der Email-Anbieter jahrelang damit, dass die IP-Adresse der Kunden beim Zugriff nicht geloggt werde.
Wie sich nun gezeigt hat, war dies allerdings ein schlussendlich leeres Versprechen, da verschiedene Fälle bekannt wurden in welchen bei Strafermittlungen auch Daten des Anbieters verwendet wurden.
Proton hält in einem neuen Transparency Report fest:
Upon receiving a judicial order, ProtonMail is obliged to provide any user information readily available that would help identify a user that is subject to a criminal investigation that has been validated by Swiss authorities. In addition to the items listed in our privacy policy, in extreme criminal cases, ProtonMail may also be obligated to monitor the IP addresses which are being used to access the ProtonMail accounts which are engaged in criminal activities. Whether or not a case qualifies for these enhanced obligations is determined solely by Swiss authorities and not by ProtonMail.
ProtonMail Transparency Report, updated on Sept 6th
Mit anderen Worten: Ermittlungsbehörden können verlangen, dass Proton die IP-Adressen protokolliert von welchen auf bestimmte Mailboxen zugegriffen wird. Und da IP-Adressen je nach Standort und Anbieter sehr klar einzelnen Personen zugeordnet werden können, ist es mit der Anonymität dann nicht mehr weit her.
Proton selber hält fest, dass “Under no circumstances will ProtonMail be able to provide the contents of end-to-end encrypted messages sent on ProtonMail”. Wer darüberhinaus auch seine IP verschleiern will, ist gut damit beraten, den Zugriff auf seine Proton-Mailbox zumindest über TOR laufen zu lassen.
Schlussbericht des EDÖB in der Sachverhaltsabklärung zu meineimpfungen.ch
Der eidgenössische Datenschutzbeauftragte (EDÖB) hat Schlussbericht und Empfehlungen zu meineimpfungen.ch veröffentlicht. Und dieser Bericht hat es in sich, deutet doch vieles darauf hin, dass es um die Datensicherheit auf der Plattform noch deutlich schlechter stand als wir im März beschrieben haben, und dass die Lücken sowohl das unter Zeitdruck entwickelte Covid-Modul wie auch den bereits länger bestehenden digitalen Impfausweis betrafen:
Ausserdem fehlte eine aktive Überwachung des Systems im Hinblick auf potentielle Angriffe und Manipulationen:
Hacker hätten sich also problemlos auch über längere Zeit ein Bild über das System machen können ohne dass dies apriori jemandem aufgefallen wäre. Hinzu kommt, dass die Protokollierung der Logins etc nicht fälschungssicher erfolgte, einem Angreifer wäre es also unter Umständen sogar möglich gewesen, seine Spuren aus den Logfiles zu entfernen. Erschwerend kommt hinzu, dass sämtliche Logfiles nach 30 Tagen automatisch gelöscht wurden. Bereits beim Aufdecken der Lücken Ende März war daher nicht mehr erkennbar, ob im Januar/Februar oder in den Vorjahren Angriffe auf das System versucht wurden oder sogar erfolgreich waren.
Der EDÖB kommt zum Schluss, dass “grundsätzlich weder die Plattform noch einzelne Komponenten davon in Zukunft sicher betrieben werden können” und hält im weiteren fest, dass “die Stiftung … nicht belegen [kann], inwiefern sie beurteilen konnte, ob die Daten nicht durch Unbefugte manipuliert worden sind. Mit anderen Worten kann der EDÖB nicht nachvollziehen und überprüfen, ob die Datenintegrität noch gegeben ist”.
Zusammenfassend ist nun also erwiesen, dass
- die Plattform kritische Lücken aufwies und den Datenschutz nicht gewährleisten konnte
- es sogar möglich gewesen wäre, gefälschte Impfbestätigungen/-Zertifikate zu erstellen
- es keine Instrumente gab um Angriffe und Missbrauch frühzeitig zu erkennen
- es keine Garantie dafür gibt, dass die Plattform nicht bereits früher erfolgreich angegriffen wurde und/oder dass Daten manipuliert wurden
