Archive - April 2011

1
Ver-applt? — Ortungsdaten auf mobilen Geräten
2
CyberGhost-Team lädt zu Quellcode-Studium ein

Ver-applt? — Ortungsdaten auf mobilen Geräten

Große Aufregung in der sonst heilen Apple-Welt: Auch wenn schon so mancher Nicht-Apple-Fan die Hoffnung bereits aufgegeben hat, dass die Jünger des Apfel-Imperiums jemals auf die Barrikaden gehen könnten, scheint man den Bogen dessen, was man seinen Kunden zumutet, erstmals überspannt zu haben. Zumindest regt sich erster Unmut über den Umgang des Konzerns mit den Daten der Nutzer des nahezu geschlossenen Apple-Systems, der es bislang gewohnt war, völlig nach Belieben schalten und walten zu können.

Stein des Anstoßes: Die Aufzeichnung geografischer Ortungsdaten durch iPhones und iPads (3G) über einen längeren Zeitraum – die im Übrigen auch Google via Android-Geräte betreibt. Diese Geodaten werden seit der vor knapp einem Jahr erschienenen Betriebssystem-Version iOS 4.0 (bzw. seit iOS 3.2 beim iPad) registriert und abgespeichert – und in regelmäßigen Abständen ans Unternehmen übermittelt. Zusammen mit den ebenfalls enthaltenen Angaben zu Mobilfunkmasten, WLAN-Basen und bei Verfügbarkeit auch GPS-Koordinaten erhält Apple damit Bewegungsprofile seiner Nutzer – oder zumindest des jeweiligen Geräts, das ja nicht immer beim Besitzer verbleiben muss.

Dumm auch: Die zufällig entdeckte Datenbank liegt unverschlüsselt auf dem Gerät und nach einem Backup auch auf dem Rechner, womit sie Dritten zugänglich werden. Diese Tatsache haben sich die beiden Entwickler des iPhone Tracker, Pete Warden und Alasdair Allan, zunutze gemacht und ihrer Software einverleibt, die in der Lage ist, die im iTunes-Backup hinterlegten Geo- und Zeitdaten auf einer Map mit Zeitleiste darzustellen. Laut Warden/Allan habe man die Genauigkeit sogar „künstlich reduziert“, um die Software für „Schnüffler weniger nützlich“ zu machen. So verschleiert das Programm beim Hineinzoomen die genauen Ortsdaten und erlaubt nur eine wöchentliche Zeitabtastung.

Laut Apple handelt es sich bei der Datenbank um Positionsdaten von WLAN-Routern und Mobilfunkzellen, die zusammen mit Zeitstempeln ‚eingeschränkte Bewegungsprofile‘ ergeben können. Davon abgesehen gesteht Apple Programmierfehler ein, die mit dem nächsten Update behoben werden sollen. Auch wolle man dann die Datenbank auf dem Gerät zusätzlich verschlüsseln. Ein  Beigeschmack und Glaubwürdigkeitsverlust bleibt dennoch zurück, denn ortsgebundene personalisierte Anzeigen sind ein milliardenschwerer zukünftiger Markt, den auch Apple nicht kampflos dem Konkurrenten Google überlassen wird.

Wem die Geschichte nicht so recht geheuer erscheinen mag, der kann sich wehren. Die Ortungsdienste (‚Location Services‘) sind im Auslieferungszustand in den iOS-Einstellungen aktiviert und müssen dort deaktiviert werden, wenn man nicht möchte, dass die Geodaten des Geräts gesammelt und übermittelt werden. Auch empfiehlt sich, in iTunes die Option ‚Verschlüsseltes Backup‘ zu aktivieren. Die schlechte Nachricht: Offenbar ist ein Abschalten der Speicherung aus unbekannten Gründen nicht möglich, da sie unabhängig von einem deaktivierten Location Service zu sein scheint. Die Jailbreak-Gemeinde ist da weiter und veröffentlichte jüngst ein Tool, das iOS daran hindert, registrierte iPhone-Ortsdaten abzuspeichern. Wer sicher gehen will, sollte auch eine eigens von Apple eingerichtete Webseite aufsuchen, auf der man die Verwendung von Ortsdaten zu Werbezwecken unterbinden kann[1. Nur via iOS erreichbar: https://oo.apple.com].

Mit Apples eher klein gehaltenem Geodaten-Skandälchen rücken auch die Gepflogenheiten der anderen Smartphone-Plattformen erneut ins Licht der Öffentlichkeit, darunter in erster Linie Android, mit dem Google auf Geodaten-Jagd geht. Das Ziel geht hier allerdings eindeutig in Richtung Werbemarkt, woraus Google selbst keinen Hehl macht. Neben den Einstellungen im Android-Gerät sollte man hier aber zusätzlich ebenfalls das eine oder andere Werkzeug benutzen, um die Daten bei sich zu behalten, beispielsweise den Location Cache Viewer.

CyberGhost-Team lädt zu Quellcode-Studium ein

Gelebte Transparenz ist wichtig, findet das CyberGhost-Team und lädt Kritiker zu einem Quellcode-Review ein.

Eine kritische Auseinandersetzung der German Privacy Foundation mit verschiedenen Anonymisierungsdiensten nimmt das Team von CyberGhost VPN bei der S.A.D. GmbH, ebenfalls Anbieter eines kommerziell ausgerichteten Internet-Anonymisierer, zum Anlass, mehr Transparenz im Dienstbetrieb  herzustellen.

Hierzu Robert Knapp, Produktmanager bei der S.A.D. GmbH:

Wir nehmen die Ängste unserer Anwender und der Internet-Gemeinde sehr ernst und setzen uns natürlich nicht nur mit Grundstimmungen gegenüber kommerziellen Anonymisierungsdiensten sondern auch mit konkreten Kritikpunkten auseinander. In aller Regel erfolgte diese Auseinandersetzung bislang allerdings intern, ohne mit den handelnden Personen in einen Dialog zu treten. Der Verlauf einer aktuellen Diskussion auf einem Forum der German Privacy Foundation brachte uns jedoch zu der Erkenntnis, dass die Herstellung von Öffentlichkeit notwendig werde und auch eine unabdingbare Voraussetzung sei, um einen für alle Beteiligten möglichst fruchtbaren Diskurs hervorzubringen.

Hierbei geht es dem Unternehmen in erster Linie gar nicht einmal darum, für Vertrauen in einen kommerziellen Anonymisierungsdienst zu werben, „… alleine, weil wir wissen, dass Misstrauen in diesem sensiblen Bereich hochnotwendig ist, die Entwicklung vorantreibt und falsche Richtungen schonungslos aufzeigt“.

Man möchte aber Berührungsängste abbauen und mehr und öfter Einblick in den Dienst gewähren, um die Basis für weitere Entwicklungen zu schaffen, was laut Robert Knapp nicht nur dem Anwender, sondern auch CyberGhost als Dienst nützt. „Wenn man so will, gehen wir von einer gewissen Dialektik aus, die besagt, dass ein Dienst, der die Privatsphäre im öffentlichen Leben schützen will, umso besser und sicherer wird, je mehr Öffentlichkeit er selbst transportieren und kommunizieren kann.“

Ein erster Schritt in dieser Richtung ist ein offener Brief als Antwort auf die aktuelle Diskussion über CyberGhost VPN sowie die Einladung Interessierter zur Einsichtnahme in den Quellcode.

Anlage: Offener Brief an die Privacy Foundation.

Offener Brief an die German Privacy Foundation, via Forum:

https://www.privacyfoundation.de/forum/viewtopic.php?f=6&t=1005

 

Hallo, hier sind die Bösen.

War ja klar, dass wir uns mal melden, um das eine oder andere gerade zu biegen, weil wir meinen, dass es krumm sei. Hierbei beziehen wir uns auf den Blog-Eintrag: https://www.privacyfoundation.de/blog/category/cyberghost/

Zunächst einmal etwas Grundsätzliches: Es ist verständlich, dass ein kommerziell ausgerichtetes Unternehmen im Bereich Internet-Sicherheit prinzipiell misstrauisch beäugt wird. Wir leben in einer Welt, in der Wirtschaft und Staat nachweislich ihrer Verantwortung oftmals nicht (mehr?) nachkommen, siehe Tepco, siehe BP, siehe die gesamte europäische Lobbykratie. Gelder werden hin und her geschaufelt (meistens leider nur in einer Richtung) und die Anhäufung von Profit gilt als oberste Maxime, der alles untergeordnet wird. Diese Erfahrung haben wir alle gemacht und übertragen auf einen kommerziellen Anonymisierungsdienst nährt dies verständliche und gerechtfertigte Ängste. Man geht automatisch davon aus, dass bei einem Konflikt zwischen Anliegen und Geschäft der Gewinner von vornherein fest steht. Dieses Misstrauen können wir euch nicht nehmen und wollen es auch gar nicht. Das Prinzip der Anonymisierung ist zu wichtig, zumal in einigen Ländern sogar Menschenleben davon abhängen, als dass man es einer Marketing-Aktion unterordnet und mit lächerlichen Beruhigungssprüchen ernste Einwände wegbügelt. Womit ihr ins Spiel kommt, denn wir sehen euch als ebenso wichtig. Für uns und für andere, weil ihr euch stellvertretend mit diesen Themen auseinandersetzt und dafür sorgt, dass eine öffentliche Kontrolle stattfindet und Menschen nicht für schnelles Geld verkauft werden.

Nichtsdestotrotz müssen wir ein paar Äußerungen auf diesem Blog korrigieren, weil sie unserer Meinung nach auf falschen Schlussfolgerungen und Annahmen beruhen und auch dem aktuellen Stand der Dinge bei uns nicht mehr entsprechen.

1. Der Bezug auf die Vorratsdatenspeicherung ist nicht mehr gegeben, wie im Beitrag vom 11.November 2009 beschrieben, und wird es so auch nicht mehr. Damals waren wir gezwungen, die VDS umzusetzen, da der Gesetzgeber einen VPN-Anbieter wie uns kurzerhand zu einem Provider umdefinierte. Die VDS wurde zwischenzeitlich vom Verfassungsgericht gekippt, wobei um eine Nachfolgeregelung nach wie vor auf politischer Ebene gerungen wird, aktuell als ‚Mindestdatenspeicherung‘. Wird diese ‚neue‘ Regelung unseren Dienst kompromittieren, werden wir dagegen vorgehen, sehr wahrscheinlich werden wir aber bereits vorher Deutschland als Standort verlassen haben. Die Tatsache, dass verschiedentlich Provider wie die Telekom sehr langsam beim sofortigen Löschen der Verbindungsdaten vorgehen und auch schon mal ein paar Tage dafür brauchen, heißt ja nicht, dass wir dazu gehören. Wir gehören nicht dazu!

2. Die im Zusammenhang mit der VDS kommunizierte Schnittmengenbildung als Sicherheitsrisiko lässt außer Acht, dass diese von der Anzahl gleichzeitiger User und der User- Fluktuation auf den Servern abhängig ist. Sowie sich mehrere User auf dem CyberGhost-Server eingeloggt haben, ohne zwangsläufig auch ins Internet zu gehen (wie es bei uns der Fall ist, da wir beim Systemstart automatisch verbunden werden), ist die Schnittmengenbildung bereits ausgehebelt. Zu allen in dem Blog-Eintrag als Beispiel aufgeführten Zeitpunkten kämen zig User in Betracht. Davon abgesehen ist die VDS aber sowieso kein Thema mehr für uns (siehe oben).

3. Ihr sprecht immer noch von einem Sicherheits-Loch beim Verbindungsabbruch. Hierzu ist zu sagen, dass dies tatsächlich vor langer Zeit ein Problem war. Hey, wir sind nicht perfekt, haben aber schnell gelernt. CyberGhost wird stetig weiterentwickelt und mittlerweile wird die Internetverbindung bei einem Verbindungsabbruch komplett gesperrt, um eine De-Anonymisierung zu vermeiden. Und das nicht erst seit gestern.

4. Zur Vermutung, dass die kryptologischen Schlüssel für den Datensafe auf den Servern abgespeichert werden und daher der Zugriff durch uns möglich sei: Der Verdacht darf und muss geäußert werden, aber das verwendete Masterkey-Verfahren macht eine Hintertür unmöglich. Jede Datei wird mit einem zufälligen “FileKey” verschlüsselt und dieser wiederum mit dem Benutzerkennwort verschlüsselt und dann entweder im Alternate Data Stream der Datei oder in einer Datenbank abgelegt. Besitzen mehrere Benutzer Zugriff auf die verschlüsselte Datei, wie es bei einer CyberGhost-Freigabe der Fall ist, wird der FileKey mit jedem Benutzerkennwort verschlüsselt und abgelegt. Möchte man bei CyberGhost eine Freigabe für einen Freund anlegen, wird ein Base64-encodierter Link verschickt. Einziger Schwachpunkt bei dieser Methode ist die Tatsache, dass der User diesen Link auf sicherem Wege verschicken sollte, da er den Freigabenamen und das Kennwort für die Freigabe enthält. Deshalb findet sich auch ein entsprechender Hinweis im Dialog für die Erstellung der Freigabe. Die Daten selber können und werden NUR auf dem Benutzerrechner ent- und verschlüsselt. Dies könnt ihr jederzeit mit Wireshark überprüfen und euch anschauen, was da übertragen wird.

5. Zu guter Letzt: Wenn ihr Interesse habt, laden wir euch gerne zu uns ein. Ihr könnt Einblick in den Quellcode nehmen und euch mit unseren Programmierern austauschen. Wir wollen gerne wissen, welche Gefahren ihr seht, welche Befürchtungen ihr habt und wie wir unseren Dienst verbessern können. Und wir reden ausdrücklich nicht über Vertrauen, weil wir wollen, dass ihr misstrauisch bleibt und uns und den anderen Anbietern auch weiter auf die Finger klopft, wenn ihr meint, es läuft da etwas schief.

Über Kommentare, Feedback etc. freuen wir uns auch in unserem Forum (http://www.sad-forum.de).

Liebe Grüße

Euer CyberGhost Team

Links zum Forum der German Privacy Foundation:

Copyright © 2014. Created by Meks. Powered by WordPress.