netz und politik

Ab Mai oder Juni bieten wir wieder die Möglichkeit, ein Praktikum in der Redaktion von netzpolitik.org zu machen.

Die klassische Laufzeit beträgt zwischen drei bis sechs Monaten, weniger macht in der Regel keinen Sinn. (Ausnahmen bestätigen aber die Regel.) Die Praktikumsvergütung beträgt 300 Euro pro Monat.

Was erwarten wir?

In unserem Berliner Büro arbeitest du an der Schnittstelle zwischen Netzaktivismus und Online-Journalismus. Du solltest einen Überblick über unsere Themen haben, dich in neue Themen einarbeiten und recherchieren können.

Dabei sind wir ziemlich frei, du solltest selbstständig Themen suchen und arbeiten können. Wir unterstützen dich aber gerne dabei. Den Arbeitsalltag vorstrukturieren können wir nicht, dafür aber die Möglichkeit bieten, dezentral und vernetzt neue Sachen auszuprobieren.

Du solltest Dich selbstverständlich gut ausdrücken können, denn was du schreibst soll ja auch gelesen werden. Erste Erfahrungen mit journalistischer Praxis sind sicher von Vorteil, aber kein Muss. Sehr praktisch sind gute Englisch-Kenntnisse, da viele Quellen einfach auf Englisch vorliegen.

Blogs und Twitter kennst du schon, RSS können wir Dir notfalls noch erklären, kann man aber auch bei Wikipedia nachschlagen.

Kenntnisse in Video- und Audiobearbeitung und Grafiktools können wir immer gebrauchen.

Wir bieten dafür:

Bei uns erhältst du gute Einblicke in netzpolitische Prozesse auf Landes, Bundes- und EU-Ebene und Einblicke in den Arbeitsalltag eines größeren redaktionellen Blogs.

Wir haben flexible Arbeitszeiten, die an den jeweiligen Biorhythmus angepasst werden können: Du kannst um neun Uhr anfangen, aber auch um zwölf kommen. Von woanders arbeiten geht auch, wobei das kein Dauerzustand sein sollte, weil du sonst nichts lernst.

Im Büro gibt es nette Mit-Menschen und auch Technik zum spielen und ausprobieren, auch wenn wir selbst selten dazu kommen. Wir bieten Stammtrolle und liebenswerte Kommentatoren unter den eigenen Beiträgen, aber auch konstruktives Feedback durch unsere Leserinnen und Leser. Und vor allem findest du bei uns viele Möglichkeiten, eigene Ideen umzusetzen und zu experimentieren.

Zu den Aufgaben gehören:

Bei uns wirst du aktuelle politische Debatten verfolgen und auswerten. Dabei kannst du dich auch auf wenige Themen “spezialisieren”, wenn dir das mehr liegt und du dein Wissen vertiefen willst. Dazu gehört das Verfassen eigener Beiträge und natürlich das dazugehörige Fact-Checking und die Recherche. Kommentare wollen auch beantwortet werden, wenn auch nicht alle. Aber dafür entwickelst du bei uns auch noch ein Fingerspitzengefühl. Du kannst auch viele der zahlreichen Netzpolitik-relevanten Veranstaltungen besuchen, die es in Berlin gibt, um von dort zu berichten, natürlich nur sofern es einen Erkenntnisgewinn dabei gab.

Lust auf ein Praktikum bei uns? Dann schick bitte Deine Bewerbung an markus @diesedomain. Eingescannte Zeugnisse deiner gesamten Schul- und Uni-Karriere interessieren uns dabei nicht wirklich. Wir finden es spannender, etwas über deine Motivation zu hören und darüber, was du schon gemacht hast.

Joi Ito, Leiter des MIT Media Lab, hat in einbem Interview über die “Tools for the Coming Chaos” eine Liste von Prinzipien für das Leben im 21. Jahrhundert formuliert. Hier die deutsche Übersetzung:

1. Ausdauer statt Stärke, was bedeutet: Du willst lieber nachgeben, Fehler zulassen und wieder auf die Beine kommen anstatt versuchen, keine Fehler zu machen.
2. Du ziehst anstatt zu drücken. Das heißt, du ziehst Ressourcen aus dem Netzwerk, so wie du sie benötigst, anstatt sie zentral zu lagern und zu kontrollieren.
3. Du willst lieber etwas riskieren, anstatt auf Sicherheit bedacht zu sein.
4. Du willst das System fokussieren anstatt Objekte.
5. Du willst gute Kompasse haben und keine Karten.
6. Du willst praktisch arbeiten, nicht theoretisch. Manchmal weißt du nicht, wieso es funktioniert, aber es ist wichtig dass es funktioniert und nicht, dass du irgendeine Theorie dafür hast.
7. Ungehorsamkeit statt Regelbefolgung. Du bekommst keinen Nobel-Preis dafür, zu tun, was dir gesagt wird. In der Schule geht es zu viel um Gehorsamkeit, wo wir doch eigentlich den Ungehorsam feiern sollten.
8. Es ist die Crowd, nicht die Experten.
9. Der Fokus liegt auf Lernen, nicht auf Bildung.

http://brucesterling.tumblr.com/

Server auf der ganzen Welt funktionieren als Kommando-Zentralen für den kommerziellen Staatstrojaner FinFisher/FinSpy. Das geht aus einem Bericht des Citizen Lab hervor, der 33 Server in 25 Staaten auflistet. Das verstärkt die Vermutung, dass diese deutsche Überwachungstechnologie auch in Staaten eingesetzt wird, die für Menschenrechtsverletzungen bekannt sind.

Das kanadische Citizen Lab der Universität Toronto hat schon öfters Überwachungstechnologien enttarnt, darunter auch die Staatstrojaner-Suite FinSpy/FinFisher der deutsch-kanadischen Firmengruppe Gamma. Jetzt hat das Team um Morgan Marquis-Boire einen neuen Bericht veröffentlicht, der die weltweite Verbreitung der Software “made in Germany” beschreibt.

Der ursprüngliche Bericht vom Citizen Lab hatte entdeckt, dass die Software auf Computern von Demokratie-Aktivisten aus Bahrain eingesetzt wird. Aus den Eigenschaften des dazugehörigen “Command and Control”-Servers hatten Forscher von Rapid 7 Server in zehn Staaten entdeckt, die sich ähnlich verhalten. Kurz nach dieser Veröffentlichung wurden die gefundenen FinFisher-Server geupdated, um diese Erkennungsmethode zu verhindern.

Jetzt haben sich beide Teams zusammen getan und mit einer neuen Methode 33 FinFisher Kommando-Server in 25 Staaten ausfindig gemacht. Auf einer Karte:

Unter den gefundenen Servern sind auch drei aus Deutschland:

• 80.156.xxx.xxx – Gamma International GmbH
• 37.200.xxx.xxx – JiffyBox Servers
• 178.77.xxx.xxx – HostEurope GmbH

Für den Gamma-Server ist Chef-Entwickler Martin J. Münch als Kontaktperson eingetragen. Damit dürfte es schwierig werden, sich erneut herauszureden. Wir haben Münch einen Fragenkatalog zu den neuen Ergebnissen geschickt, aber bisher leider keine Antwort erhalten.

Unter den gefundenen Staaten sind auch einige, die nach dem aktuellen Freedom in the World Bericht der Nichtregierungsorganisation Freedom House als nur “teilweise frei” (Bangladesh, Malaysia, Mexiko, Singapur) oder sogar als “nicht frei” eingestuft werden (Bahrain, Brunei, Äthiopien, Katar, Turkmenistan, Vereinigte Arabische Emirate, Vietnam).

In Äthiopien haben die Forscher auch ein weiteres Exemplar des FinFisher-Trojaners im Einsatz gefunden, der mit dem entdeckten Kommando-Server beim staatlichen Telekommunikations-Anbieter kommuniziert. Das Sample hat viele Gemeinsamkeiten mit dem bahrainischen Exemplar, darunter den String “finspyv2″ im Code und identische Dateien. Als “Köder” wurden Bilder von politischen Oppositionellen der Partei Ginbot 7 verwendet. Öffnet man diese, wird der Computer infiziert und alle Daten und Kommunikation können ausgelesen werden. Das lässt vermuten, dass auch die äthiopische Regierung mit diesem Staatstrojaner politische Aktivistinnen überwacht.

Ein weiteres Sample wurde in Vietnam entdeckt, diesmal FinSpy Mobile für Android. Auch dieses Exemplar kommunizierte mit dem gefundenen Kommando-Server in Vietnam und schickt dort unter anderem die SMS-Nachrichten hin. Laut einer gefundenen Konfigurationsdatei wurden in dieser Version folgende Funktionen aktiviert:

Die Berichte der Menschenrechtsorganisation Human Rights Watch über Äthiopien und Vietnam listen massive Freiheitseinschränkungen und Menschenrechtsverletzungen auf:

Ethiopian authorities continued to severely restrict basic rights of freedom of expression, association, and assembly. Hundreds of Ethiopians in 2011 were arbitrarily arrested and detained and remain at risk of torture and ill-treatment.

The Vietnamese government systematically suppresses freedom of expression, association, and peaceful assembly. Independent writers, bloggers, and rights activists who question government policies, expose official corruption, or call for democratic alternatives to one-party rule are routinely subject to police harassment and intrusive surveillance, detained incommunicado for long periods of time without access to legal counsel, and sentenced to increasingly long terms in prison for violating vague national security laws.

Diese neuen Fakten widersprechen den Beteuerungen der Hersteller-Firmen, dass sie nur an die Guten (TM) verkaufen, die auch wirklich nur die Bösen (TM) fangen. Immer wieder werden westliche Staatstrojaner bei autoritären Regimen auf der ganzen Welt gefunden. Wenn Gamma, VUPEN und Hacking Team beteuern, dass sie sich an alle Exportbeschränkungen halten, dann zeigt das, dass diese unzureichend sind. Überwachungstechnologien dieser Art dürfen nicht in die Hände von Staaten gelangen, die für Menschenrechtsverletzungen bekannt sind.

Erst gestern hat Reporter ohne Grenzen gefordert:

„Der Einsatz solcher Technologien ist schon unter strenger rechtsstaatlicher Aufsicht umstritten“, sagte ROG-Vorstandsmitglied Matthias Spielkamp in Berlin. „In den Händen autoritärer Regime verwandeln sie sich in digitale Waffen.“ Die Europäische Union und die USA haben mittlerweile den Export von Soft- und Hardware zur Internetüberwachung nach Syrien und in den Iran verboten. Doch das ist zu wenig.

„Sanktionen gegen Krisenstaaten wie Syrien sind richtig, greifen aber zu kurz“, sagte Spielkamp. „Reporter ohne Grenzen fordert die EU-Staaten auf, den Export von Zensur- und Überwachungstechnik generell zu kontrollieren.“ Gleiches gelte für die USA. So sollten diese Technologien in das Wassenaar-Abkommen über Exportkontrollen für konventionelle Waffen und Dual-Use-Güter und -Technologien aufgenommen werden.

So lange das nicht der Fall ist, sollte auch Deutschland von Geschäften mit solchen Firmen Abstand nehmen, statt die gleiche Software selbst verwenden zu wollen.

Heute wird beim Europäischen Gerichtshof in einem Vorabentscheidungsverfahren über die Frage verhandelt, ob Fingerabdrücke aufgrund der EU-Verordnung Nr. 2252/2004 von jedem EU-Bürger gefordert werden können, der einen Reisepass beantragt. Der klagende Rechtsanwalt Michael Schwarz aus Bochum sieht darin seine Rechte auf informationelle Selbstbestimmung verletzt, er fordert eine Verpflichtung zur Erteilung des Reisepasses ohne Fingerabdrücke. Constanze Kurz wird ihn dabei als Sachverständige unterstützen. Bei DRadio Wissen erklärt sie, welche datenschutzrechtlichen Bedenken sie hat:

Remote access tool, kurz RAT: Eine Software, die es ermöglicht, die Kontrolle über ein fremdes Computersystem zu übernehmen. Solche Programme wurden entwickelt, um von außen technischen Support auf einem Zielsystem leisten zu können. Doch der umfangreiche Ars Technica Artikel über ‘Ratter’, der gestern erschienen ist, beschreibt ein ganz anderes Szenario: Vater, Mutter, Kind sind zu Hause. Ein ‘Hacker’, tausende Kilometer entfernt, sieht Frau und Kind auf der Couch vor ihrem Computer sitzend. Er sieht sie durch ihre eigene Webcam. Weil ihm das zu langweilig wird, öffnet er pornografische Webseiten auf dem Computer der Familie und beobachtet die Reaktionen. ‘For teh lulz’.

Nate Anderson schreibt, es handle sich wohl ausschließlich um männliche ‘Ratter’, die RAT benutzen, um Frauen zu beobachten und sich in Foren damit zu brüsten. Im Hack Forums gibt es einen mehr als 130 Seiten umfassenden Thread mit Aufnahmen von Frauen, die mit ihren eignen Webcams gemacht wurden. Diese Frauen werden von den Rattern slaves genannt, also Sklaven. Und das ist nicht der einzige Thread und nicht das einzige Forum, in dem es um RATs geht.

Menschen mithilfe von RATs beobachten; Ars Technica

RAT Software ist nichts Neues – 1998 wurde eine der ersten, BackOrifice, auf der Defcon vorgestellt, als Tool für “remote tech support aid and employee monitoring and administering [of a Windows network].” Heute geht es Rattern vor allem darum, möglichst solche Tools zu finden, die an Anti-Viren-Programmen vorbeikommen und nicht nachweisbar sind. Um ein System zu infizieren, muss die Zielperson lediglich dazu gebracht werden, eine Datei auszuführen. Die wird häufig in Taschbörsen platziert, benannt nach beliebten Filmen oder Songs. Ein Ratter erzählt, er habe besonders viele weibliche slaves anhand einer infizierten Sims 3 Version kriegen können. Anderson schreibt, es gebe sogar Bücher wie Rusty_v’s Spreading Guide v 7.0, in dem RAT ‘Experten’ Tips und Tricks zum Infizieren fremder Systeme geben.

Followers of Rusty_v’s methods are told they can pick up 500-3,000 slaves per day. The book is “noob friendly” and features “many screenshots.” And if even this handholding isn’t enough, more successful ratters sometimes rent out slaves they have already infected. In other cases, they simply hand them off to others in a “Free Girl Slave Giveaway.”

Ratter brauchen also keine allzu großen technischen Fähigkeiten, haben aber nahezu vollständige Kontrolle über den von ihnen infizierten Computer.

RATs können auch völlig legitim sein. Sicherheitsfirmen nutzen sie beispielsweise, um bei einem Diebstahl den Aufenthalt des Laptops herauszufinden oder sensible Daten zu löschen. Ein Forscher der Sicherheitsfirma MalwareBytes, Adam Kujawa, hat eine Liste aller Funktionen des berühmten RAT DarkComet zusammengestellt:

• Find out all system information, including hardware being used and the exact version of your operating system, including security patches
• Control all the processes currently running on your system
• View and modify your registry
• Modify your Hosts file
• Control your computer from a remote shell
• Modify your startup processes and services, including adding a few of its own
• Execute various types of scripts on your system
• Modify/View/Steal your files
• Put files of its own on your system
• Steal your stored password
• Listen to your microphone
• Log your keystrokes (duh)
• Scan your network
• View your network shares
• Mess with your MSN Messenger / Steal your contacts / Add new contacts!
• Steal from your clipboard (things you’ve copied)
• Control your printer
• Lock/Restart/Shutdown your computer
• Update the implant with a new address to beacon to or new functionality
• Watch your webcam
• Use your computer in a denial of service (DOS) attack

Und das ist nicht mal alles. Es gibt noch einen Fun Manager, der für Verwirrung sorgen soll, in dem zum Beispiel die Taskleiste versteckt oder das CD-Fach geöffnet wird. RAT kann zudem Windows Text-in-Sprache-Programme auf dem Remote-System aktivieren, sodass Texte vorgelesen werden können, oder ein Chat Fenster öffnen, oder Klaviermusik abspielen. Laut Kujawa sind das vor allem Funktionen, die die Slaves ärgern sollen.

Im Juni 2012 wurde Michael Hogue, einer der Entwickler des RAT Tools Blackshades, vom FBI festgenommen für das Verkaufen von “malware that allows cybercriminals to take over and control, remotely, the operations of an infected computer.” Er wollte auf einer Seite die nötigen Rechte erlangen, um Blackshades verkaufen zu können – die Seite war ein Honeypot des FBI, und er zeigte u.a. einem FBI Agenten sein persönliches RAT Dashboard. Hogue wurde im Januar zu 40.000$ Strafzahlung verurteilt. Blackshades wird weiterhin verkauft, für bis zu 50$/Stück, mit folgender Werbung:

Have you ever questioned what your spouse, kids or employees have been doing on the computer?
Is your child misusing the Internet facility and taking secret chat with the stranger? Are your employees mailing your business data to your competitors? Blackshades Remote Controller will enable you to control the client’s PC as if you were sitting right in front of it, with support for mouse and keyboard input!

Einige Wochen nach der Verhaftungs Hogues kündigte Jean-Pierre Lesueur das Ende des von ihm entwickelten RAT Tools DarkComet an: Gründe sind zum Einen die Missachtung von Regeln durch Nutzerinnen und Nutzer an, zum Anderen die Vermutung, dass DarkComet in Syrien genutzt wurde, um Aktivistinnen und Aktivisten zu bespitzeln.

Auch in Ratter Foren gibt es laut Anderson hier und da Äußerungen zu moralischen Bedenken, die werden aber meist als neidgetrieben abgetan. Vielmehr scheint der Konsens zu herrschen, dass Ratting ein legitimer Spaß ist und niemandem wehtut.

For many ratters, though, the spying remains little more than a game. It might be an odd hobby, but it’s apparently no big deal to invade someone’s machine, rifle through the personal files, and watch them silently from behind their own screens.

Aber eines der größten Probleme für Ratter bleibt die zunehmende Verbreitung von Lämpchen an den Webcams. Ein Problem, eine neue Herausforderung. Und alles for teh lulz.

Wir berichteten über Bradley Mannings Teilgeständnis, er bekannte sich in 10 der 22 Anklagepunkte für schuldig. Die Freedom of the Press Foundation hat dieses Teilgeständnis, eine Rede die Manning über eine Stunde lang vorlas, nun als Audioaufnahme veröffentlicht. Wer ihnen die Aufnahme zugespielt hat, ist unklar, doch sie schreiben, dass die extreme Geheimhaltung der Gerichte ein Gräuel für die Demokratie ist und dass die ganze Welt Mannings Stimme hören können soll.

When we received this recording, we realized we had a unique opportunity to bring some small measure of transparency directly by allowing the world to hear for itself the voice of someone who took a controversial and important stance for government transparency.

You are using a browser that doesn’t support HTML5 audio.

Aus digitalen Aufzeichnungen des menschlichen Verhaltens lassen sich individuelle Eigenschaften und Einstellungen ableiten. Das ist das Ergebnis einer Studie an der Cambridge University. Es reicht, die “Likes” von Facebook-Profilen zu betrachten, um sehr persönliche Dinge mit hoher Wahrscheinlichkeit vorherzusagen.

Ein Forscher-Team um den Psychologen Michal Kosinski hat ein Paper in der wissenschaftlichen Fachzeitschrift PNAS veröffentlicht: Private traits and attributes are predictable from digital records of human behavior (PDF):

We show that easily accessible digital records of behavior, Facebook Likes, can be used to automatically and accurately predict a range of highly sensitive personal attributes including: sexual orientation, ethnicity, religious and political views, personality traits, intelligence, happiness, use of addictive substances, parental separation, age, and gender.

Dazu haben sie auf myPersonality.org Facebook Likes und demografische Daten von 58.000 Freiwilligen gesammelt. Mit dieser Datenbasis können die Forscher mit statistischen Analyseverfahren aus den öffentlichen Likes von beliebigen Facebook-Profilen individuelle psycho-demografische Eigenschaften vorhersagen. Und zwar mit einer Genauigkeit von bis zu 95 Prozent. Im Einzelnen:

Das kann ganz automatisiert für Millionen von Menschen gemacht werden:

“What was traditionally laboriously assessed on an individual basis can be automatically inferred for millions of people without them even noticing,” Kosinski says, “which is both amazing and a bit scary.”

Einen kleinen Selbst-Check für das eigene Facebook-Profil gibt es auf YouAreWhatYouLike.com. Bereits 2009 haben Studenten die sexuelle Orientierung anhand der Freunde von Facebook-Profilen herausgefunden.

Die Forscher glauben, dass diese Methode nicht auf Facebook Likes beschränkt ist, sondern aus vielen alltäglich anfallenden Daten detaillierte Persönlichkeits-Profile erstellt werden können:

We show that a wide variety of people’s personal attributes, ranging from sexual orientation to intelligence, can be automatically and accurately inferred using their Facebook Likes. Similarity between Facebook Likes and other widespread kinds of digital records, such as browsing histories, search queries, or purchase histories suggests that the potential to reveal users’ attributes is unlikely to be limited to Likes. Moreover, the wide variety of attributes predicted in this study indicates that, given appropriate training data, it may be possible to reveal other attributes as well.

Das könne dann zum Beispiel für personalisierte Werbung verwendet werden (wobei ich mich immer frage, wer ernsthaft Werbung sehen will). Oder missbraucht werden:

[…] The predictability of individual attributes from digital records of behavior may have considerable negative implications, because it can easily be applied to large numbers of people without obtaining their individual consent and without them noticing. Commercial companies, governmental institutions, or even one’s Facebook friends could use software to infer attributes such as intelligence, sexual orientation, or political views that an individual may not have intended to share. One can imagine situations in which such predictions, even if incorrect, could pose a threat to an individual’s well-being, freedom, or even life. Importantly, given the ever-increasing amount of digital traces people leave behind, it becomes dif?cult for individuals to control which of their attributes are being revealed. For example, merely avoiding explicitly homosexual content may be insuf?cient to prevent others from discovering one’s sexual orientation.

There is a risk that the growing awareness of digital exposure may negatively affect people’s experience of digital technologies, decrease their trust in online services, or even completely deter them from using digital technology. It is our hope, however, that the trust and goodwill among parties interacting in the digital environment can be maintained by providing users with transparency and control over their information, leading to an individually controlled balance between the promises and perils of the Digital Age.

Diese Forschung macht schön sichtbar, welche Macht in den Persönlichkeitsprofilen steckt, die alltäglich von uns erstellt werden. Das Problem bei diesen angeblich “pseudonymen” Daten ist, das diese immer leichter einzelnen Personen zuordenbar und damit deanonymisierbar werden. Vor allem, je größer die Datenberge sind.

Als man Facebook diese Forschung präsentiert hat, war man dort nicht überrascht. Immerhin ist genau das deren Geschäftsmodell:

Science NOW contacted Facebook’s in-house social scientists about the work. The study’s results are “hardly surprising,” the company contends in their official response. “On Facebook, people can share the things they like—like bands, brands, sports teams, public figures, etc. By using Login with Facebook on third party sites, people can take their Likes and interests with them around the web—to have more personalized experiences.”

“I am glad that Facebook is aware that likes allow predicting individual traits,” Kosinski says. “I am afraid, however, that users [of Facebook and other online environments] do not realize that by ‘carrying around’ their likes, songs they listen to, Web sites they visit, and other kinds of online behavior, they are exposed to a degree potentially well beyond what they expect or would find comfortable.”

Es braucht also ein Bewusstsein, wie aussagekräftig solche Daten wirklich sind.

Ein “Verbot aller Arten von Pornographie in den Medien” auf europäischer Ebene ist vom Tisch. Das Europäische Parlament hat soeben den Bericht über den Abbau von Geschlechterstereotypen angenommen, aber die beiden von uns kritisierten Absätze abgelehnt.

Können wir jetzt bitte die ganze Aufmerksamkeit auf die wichtigen Themen lenken, wie die Europäische Datenschutz-Reform?

Italienische Internet-Provider stehen im Verdacht, die Daten der Vorratsdatenspeicherung nicht ausreichend zu sichern. Die Guardia di Finanza und der Datenschutzbeauftragte haben eine Untersuchung bei elf Anbietern eingeleitet. So soll herausgefunden werden, ob die Provider die datenschutzrechtlichen Anforderungen der Vorratsdatenspeicherung verletzen.

Das Fachblatt Telecompaper berichtet über die Vorwürfe:

Nine cases were registered over alleged administrative violations of the Privacy Code relating to the retention of traffic data beyond the prescribed limits, the non-adoption of minimum safety measures, and the failure to adopt some of the additional protective measures prescribed by the Guarantor, such as the use of biometric recognition technologies to control data access and data encryption.