US-Regierung verzichtet auf Hintertüren per Gesetz
Die amerikanische Regierung hat es sich vorerst anders überlegt. Sie will nun doch keine gesetzlichen Vorgaben schaffen, die IT-Unternehmen verpflichten würden, Behörden und Geheimdiensten verschlüsselte Nutzer- und Kommunikationsdaten zu geben. Nach Berichten der Washington Post hatte das Kabinett bereits am 1. Oktober diese Entscheidung getroffen. FBI-Direktor James B. Comey bestätigte das am Donnerstag in einer Anhörung im Senat, verwies aber gleichzeitig auf fortlaufende Gespräche mit Vertretern der Industrie. Die Debatte darum gibt es seit fünf Jahren. Kritiker der Regierungspläne sehen in ihnen die Drohung eines neuen „Kryptokriegs“. Im September 2010 wurde erstmals berichtet, es gebe Gesetzespläne, mit denen die US-Regierung einheimische Unternehmen dazu zwingen könnte, Hintertüren in ihre Produkte einzubauen. Über diese könnten Ermittler und Geheimdienste auf Daten zugreifen, selbst wenn sie verschlüsselt sind. Firmen, die beispielsweise Kommunikationssoftware mit einer Ende-zu-Ende-Verschlüsselung anbieten, können nicht in die Daten ihrer Kunden schauen, die über die Firmenserver laufen. Damit können sie die entsprechenden Informationen auch nicht an Ermittler herausgeben, wenn die mit einem Gerichtsbeschluss kommen. Daher hatte die US-Regierung die Forderung aufgestellt, dass die Schlüssel, die zur Ver- und Entschlüsselung notwendig sind, an mehreren Stellen gespeichert werden sollten. Damit hätte es einen „Zweitschlüssel“ für Behörden gegeben. In den Augen von Sicherheits- und Geheimdiensten wie NSA und FBI, aber auch in denen von Politikern wie dem britischen Premierminister David Cameron ist Verschlüsselung ein Problem. Mit der Technik schützen Bürger ihre Privatsphäre, Firmen ihre Geschäftsgeheimnisse und Dissidenten ihr Leben. Doch Leute wie Cameron sehen Verschlüsselung nur unter dem Aspekt der Kriminalität. Er warnte daher vor den angeblichen Gefahren und forderte Gesetze, um sichere Schlüssel praktisch zu verbieten. Als etwa Apple im vergangenen Herbst ankündigte, die Nutzerdaten auf iOS-Geräten besser verschlüsseln zu wollen, äußerten NSA und FBI Bedenken. Verschlüsselung, sagte FBI-Direktor Comey, erschwere die Polizeiarbeit und helfe gleichzeitig Terroristen bei der Kommunikation. „Wir suchen keinen Hintertüransatz. Wir wollen die Vordertür benutzen, mit Transparenz und klaren gesetzlichen Vorgaben“, sagte Comey. Unsichere Verschlüsselung schadet der USA Dieser einseitige Blick ignoriert jedoch die großen Vorteile, die Verschlüsselung für viele Menschen und viele Lebensbereiche bringt. Im vergangenen Jahr wurde die Kritik an den Gesetzesplänen dann lauter. Denn neue Snowden-Dokumente machten der Öffentlichkeit deutlich, wie weit die Spionage der NSA und ihrer Partner bereits unter den bestehenden Gesetzen geht. Mithilfe der vor wenigen Tagen gestarteten Onlinepetition Save Crypto fordern Bürgerrechtsorganisationen wie Human Rights Watch und Unternehmen wie Mozilla, Twitter und Dropbox von Präsident Obama eine klare Positionierung zugunsten sichererer Verschlüsselung. 55.000 Menschen haben die Petition bereits mitgezeichnet. Auch in Industrie und Politik gab es zunehmend Bedenken an den Plänen. Große Unternehmen wie Apple, Facebook und Google entdeckten im vergangenen Jahr die Verschlüsselung für sich und warnten gleichzeitig davor, dass eine neue Gesetzgebung dem Vertrauen in amerikanische Software und somit auch der Wirtschaft nachhaltig schaden könnte. Denn Hintertüren dienen nicht nur den Behörden; sie sind immer auch ein Ziel für Hacker und damit eine potenzielle Bedrohung für alle Nutzer. Niemand kann garantieren, dass ein solcher Zweitschlüssel nicht in die Hände von Kriminellen fällt. Selbst der frühere CIA- und NSA-Direktor Michael Hayden...
MehrCrypto Wars 3.0: Obama will Verschlüsselung nicht per Gesetz schwächen
US-Präsident Barack Obama (Bild: dpa, Aude Guerrucci) Die US-Regierung will vorerst keine Gesetze anstreben, die eine Schwächung von Verschlüsselung vorschreiben würden. IT-Unternehmen sollen stattdessen davon überzeugt werden, Ermittlern Zugänge zu Daten ihrer Kunden zu öffnen. Die US-Regierung will Unternehmen ? vorerst ? nicht per Gesetz dazu zwingen, Behörden Einsicht in verschlüsselte Kommunikation ihrer Nutzer zu ermöglichen. Damit bleibe der Status Quo erst einmal erhalten, schreibt die Washington Post. Dieses vorläufige Ende der US-Debatte um gesetzlich vorgeschriebene Hintertüren in Geräten und Software war bereits erwartet worden. Zu den „Crypto Wars 3.0“ siehe: Ihren Wunsch nach eigenen Zugängen hätten US-Regierung und Sicherheitsbehörden aber noch nicht aufgegeben, ergänzt die US-Zeitung. Unternehmen sollen jetzt stattdessen „überzeugt werden“, einen Zugriff auf verschlüsselte Daten vorzusehen, um bei Ermittlungen zu helfen. Die Entscheidung gegen eine Gesetzesänderung ist dem Bericht zufolge bereits am 1. Oktober vom Kabinett getroffen worden. Ein Sprecher des Nationalen Sicherheitsrats habe nun aber auch erklärt, dass US-Präsident Obama weiterhin sicherstellen wolle, dass „niederträchtige Akteure“ zur Rechenschaft gezogen werden können. Die eigene Verpflichtung zu starker Verschlüsselung solle dadurch aber nicht beeinträchtigt werden. Unklar sei, was die US-Regierung unter „starker Verschlüsselung“ verstehe. Immerhin war in den vergangenen Monaten immer wieder von Möglichkeiten zur Entschlüsselung gesprochen worden, etwa durch eine Art „Zweitschlüssel“. Zugang auf anderen Wegen Bürgerrechtler fordern deshalb, dass die US-Regierung nicht nur auf neue Gesetzesinitiativen verzichtet, sondern auch keine anderen Wege beschreitet, die Sicherheit einzuschränken. So habe der FBI-Chef James Comey die seit Monaten andauernden Gespräche zwischen dem FBI und dem US-Justizministerium sowie IT-Unternehmen auf der anderen Seite, nun als „sehr produktiv“ bezeichnet. Viel „Gift“ sei aus der Debatte verschwunden und die Manager seien alles Menschen, „die sich um die Sicherheit Amerikas aber auch um Datenschutz und Bürgerrechte“ sorgten. Ein ungenannter Regierungsvertreter habe sogar erklärt, dass inzwischen genug Fortschritte gemacht wurden, um eine Gesetzesänderung unnötig zu machen. (mho) aktuelle Nachrichten weitere aktuelle...
MehrVerschlüsselung: Kampf dem Klartext
Die Mission der 24-jährigen Yan Zhu: Internetnutzer vor Überwachung schützen. Bei Yahoo und der Electronic Frontier Foundation macht sie Verschlüsselung massentauglich. 7. September 2015 11:10 Uhr Yan Zhu, 24, arbeitet als Security Engineer bei Yahoo und bei der Bürgerrechtsorganisation EFF. Im Interview erklärt sie die Browser-Erweiterung HTTPS Everywhere und warum man sie nutzen sollte. Video kommentieren Als Yan Zhu 16 Jahre alt war, ging sie zur High School in St. Louis, Missouri. Dort langweilte sie sich so sehr, dass sie beschloss, sich direkt fürs College zu bewerben. Nicht für irgendeines, sondern für das berühmte MIT, das Massachusetts Institute of Technology. Sie wurde angenommen, und seither ist es mit der Langeweile vorbei. Yan Zhu, geboren in Peking und mit fünf Jahren in die USA umgezogen, ist jetzt 24 Jahre alt und hat eine Mission: „Ich helfe Menschen, sicher, privat und anonym das Internet zu nutzen“. Sie tut das, indem sie eine E-Mail-Verschlüsselung für Yahoo-Nutzer entwickelt, mit der Initiative Let’s Encrypt und der Browsererweiterung HTTPS Everywhere sichere Internetverbindungen fördert, den elektronischen Briefkasten SecureDrop für Whistleblower verbessert und in einer von Tim Berners-Lee geleiteten Arbeitsgruppe des World Wide Web Consortiums (W3C) an der Web-Architektur der Zukunft arbeitet. Je weniger Daten unverschlüsselt, also als clear text über das Internet gesendet werden, desto zufriedener ist sie. Anzeige Es ist eine erstaunliche Karriere für eine Mittzwanzigerin, die nach eigenen Angaben „erst mit 17 oder 18 angefangen hat, Computer wirklich zu benutzen“. Gleichzeitig könnte man Yan Zhu als Traditionalistin bezeichnen: Sie arbeitet mit Verschlüsselungsmethoden, die zum Teil älter sind als sie selbst und von fantasievollen Hackern zwar nicht grundsätzlich gebrochen, aber immer wieder umgangen oder ausgetrickst werden. Denn bessere gibt es noch nicht, jedenfalls nicht für den Masseneinsatz. Verschlüsselung heute Yan Zhu | © Fabian Mohr / ZEIT ONLINE Die Snowden-Enthüllungen haben der Welt vor Augen geführt, welches Ausmaß die Überwachung des Internets angenommen hat, welch einen Aufwand die NSA betreibt, um Datenpakete rund um den Globus abzufangen und auszuwerten. Doch nicht nur Geheimdienste nutzen die Schwachstellen der Technik und die Sorglosigkeit der Nutzer aus. Andere staatliche Stellen benutzen Überwachungstechnik zur Zensur des Netzes. Kriminelle versuchen, an Zugangsdaten oder andere verwertbare Informationen zu gelangen. Und nicht wenige Unternehmen nutzen die vielfältigen Analyseverfahren, um das Verhalten und die Interessen von Internetnutzern zu beobachten. Eine Möglichkeit, vieles davon zu verhindern oder zumindest erheblich zu erschweren, ist die Verschlüsselung von Nachrichten und Datenübertragungen. Dafür gibt es etablierte Protokolle und Programme wie PGP und SSL/TLS. Yan Zhu hat es sich zur Aufgabe gemacht, diese lange bekannte Technik möglichst weit zu verbreiten. Als Entwicklerin bei Yahoo und bei der Bürgerrechtsbewegung Electronic Frontier Foundation (EFF) betreut sie deshalb Projekte wie Yahoo End-to-End, Let’s Encrypt und HTTPS Everywhere. Zum Artikel „Verschlüsselung: Kampf dem Klartext“ … und morgen Tanja Lange | © Claudia Bracholdt / ZEIT ONLINE Heutige Verschlüsselungsverfahren wie PGP und SSL/TLS basieren auf jahrzehntealten Methoden und Algorithmen. Sie sind nicht perfekt, hinreichend gut ausgestatte und motivierte Angreifer können sie überwinden. Aber insbesondere die mühelose, passive Massenüberwachung im Internet durch Geheimdienste können sie weitgehend unmöglich machen. Jedenfalls solange, bis...
MehrSeit 18 Monaten ungepatcht: Schwere Sicherheitslücke in FireEye-Hardware
Auf seiner Webseite protokolliert FireEye aktuelle Hackerangriffe. Nun könnten die eigenen Schutzsysteme zum Ziel werden. (Bild: FireEye) Die verschiedenen Sicherheits-Appliances von FireEye sollen das Netz des Kunden vor Angriffen schützen, auf Grund einer schwerwiegenden Sicherheitslücke könnten sie jetzt selbst zu Opfern von Hackern werden. Sicherheits-Appliances von FireEye enthalten eine schwere Sicherheitslücke, die es Angreifern erlaubt, die Geräte von außen komplett zu übernehmen. Sicherheitsforscher Kristian Erik Hermansen hat nach eigenen Angaben über 18 Monate lang ohne Erfolg versucht, die Sicherheitsfirma zum Schließen dieser und weiterer Lücken zu bewegen. Da nichts passiert sei, mache er die erste Lücke nun öffentlich, schreibt er in einem Pastebin-Post. Laut Hermansen kann man unter Kenntnis der richtigen URL mit Root-Rechten auf das Dateisystem der Systeme zugreifen. Das sei möglich, da der Webserver der Software mit Root-Rechten läuft. Der Angreifer kann so die Passwörter für das zu Grunde liegende Unix-System auslesen und die Kontrolle übernehmen. Dazu muss man die Appliance freilich erreichen können. FireEye bald unter Feuer? Bis jetzt gibt es keinen Patch. FireEye bestätigte gegenüber heise Security die Lücke, gab aber zu bedenken, dass sie bis jetzt nicht aktiv für Angriffe ausgenutzt werde. Man informiere seine Kunden nur dann über Lücken, wenn diese bereits in freier Wildbahn genutzt werden. Welche FireEye-Produkte die Lücke im Detail aufweisen, lies der Entdecker der Schwachstelle offen. FireEye stellt eine Reihe von Appliances zum Absichern von E-Mail-Systemen, von Endbenutzer-Rechnern und von ganzen Netzwerken her. Zum Teil sind die Systeme dabei als erste Verteidigungslinie direkt den Angriffsvektoren ausgesetzt und somit Primärziele. (fab) Mehr dazu…...
MehrKostenlose Sport-Streams: Nachfolger von Wizwig geht online
Moderatoren des ehemaligen Streaming-Portals Wizwig haben sich zusammengeschlossen, um einen Nachfolger zu gründen. Der neue dienst Streamhub.hk soll es Nutzern ermöglichen, Sport-Events live als kostenfreien Stream zu empfangen. Nach Angaben der Betreiber ist die Seite nicht daran interessiert, finanzielle Interessen mit der Webseite zu folgen. Wizwig war für Millionen von Menschen lange Jahre die erste Anlaufstelle für Streams zu Sport-Events. Das Forum bot seinen Nutzern eine Plattform für den Austausch von Links, die zu Online-Übertragungen von Live-Wettbewerben führten. Zumeist waren die angebotenen Programme rechtlich nicht einwandfrei. Für den Empfang der vieler Sportveranstaltungen ist schließlich ein kostenpflichtiges Abonnement bei einem Pay-TV-Anbieter notwendig. So kam es Anfang des Jahres 2015 dazu, dass Wizwig seine Pforten schließen musste, nachdem sie durch spanische Anti-Piraterie-Gruppen unter Druck gesetzt wurde. Die ehemaligen Moderatoren des Portals haben sich nun zusammengetan, um eine neue Plattform mit gleichem Funktionsumfang zu schaffen. Das Projekt namens streamhub.hk bietet seinen Besuchern ebenfalls die Möglichkeit, Streams untereinander auszutauschen. Bereits jetzt ist auf der Seite ein Terminplan für Events sämtlicher Sportarten zu sehen. Links sind bislang jedoch nur wenige eingetragen. Wie die Macher der Seite gegenüber Torrentfreak erklärten, habe man nicht vor, mit der Seite Geld zu verdienen. Stattdessen sei das Ziel von Streamhub lediglich, sportinteressierten Internetnutzern eine Hilfestellung zu geben. In den Statuten, die sich die Moderatoren selbst auferlegt haben, wird explizit erklärt, dass man nicht einmal Werbung einsetzen werde. Ebenso wolle man sich für den Einsatz von StreamTorrent-Technik einsetzen, um die Videoangebote weniger anfällig gegenüber Qualitätsverlusten zu machen. Julian Wolf (g+) am Samstag, 05.09.2015 16:20 Uhr Tags: stream sport Weitere interessante News Empfohlene Lektüre Empfohlene...
MehrMATLAB beschleunigt Codeausführung mit neuer Engine-Architektur
MathWorks hat im Rahmen seiner halbjährlichen Updates unter anderem aktualisierte Versionen von MATLAB und Simulink veröffentlicht, die beispielsweise mit neuer Hardware umgehen können. Nach dem Update steht in MATLAB R2015b ein Add-on Explorer zur Verfügung, über den sich Toolboxen, Modelle, Funktionen und Ähnliches einfach hinzufügen lassen sollen. Außerdem haben die Entwickler die Architektur der Execution Engine umgestaltet, sodass sie nun wohl in der Lage ist, Programme schneller auszuführen. Außerdem kann MATLAB nun mit iOS-Sensoren, dem Raspberry Pi 2 und BeagleBone Black umgehen, sodass sich diese Hardwarekomponenten in mit der Software umgesetzten Projekten einsetzen lassen. Darüber hinaus haben auch einige Toolboxen neue Funktionen und Verbesserungsmaßnahmen erhalten. Beispielsweise ist die Computer Vision System Toolbox nun mit Möglichkeiten zur 3D-Punktwolkeverarbeitung inklusive Normalenvektorschätzung und Visualisierung ausgestattet und die Database Toolbox kann in der Datenbank schneller lesen und schreiben. Simulink hat unter anderem eine neue Benutzerschnittstelle in Scopes bekommen, mit der sich Signale einfacher Debuggen lassen sollen. Das Testtool bietet nun die Option, Testfälle aus mit Simulink Design Verifier generierten Eingangsvektoren zu erstellen, und die Test-API wurde so überarbeitet, dass Nutzer nun auch MATLAB-Skripte zum Automatisieren der Testerstellung, Anpassung und Ausführung verwenden können. In der ebenfalls aus der Produktfamilie stammenden Simulations- und Modellierungsumgebung Stateflow lassen sich jetzt Objekte, die Daten enthalten, in Warteschlangen stellen. Eine vollständige Liste aller Neuerungen ist in den Release Notes zu finden. MATLAB ist vor allem im akademischen Umfeld verbreitet, wo die Software zum Lösen mathematischer Probleme und der grafischen Darstellung ihrer Ergebnisse zum Einsatz kommt. Simulink hingegen wird als Werkzeug zum Modellieren von Systemen angeboten. (jul) Community Nachrichten Deutsche...
Mehr