Archive - September 2011

1
@KickMyAss: Nein, so funktioniert es nicht!
2
Dammit, HideMyAss
3
‚Yahoo!‘ – ist es das, was die verratenen Nutzer schreien? (Update)
4
‘V’ wie ‘VDS’ vs. ‘V’ wie ‘Vendetta’

@KickMyAss: Nein, so funktioniert es nicht!

Von HideMyAss noch als ‚Lulzsec  fiasco‘ beschrieben, weitet sich die Affäre um den VPN-Dienstleister, der seine Nutzer offenbar besser kennt als ein gewöhnlicher Provider, aus und gerät zusehends zum ‚HideMyAss-Desaster‘. Allen Versuchen eines verzweifelten Marketing-Teams zum Trotz.

Was war geschehen? Nach der Festnahme zweier mutmaßlicher Hacktivisten in den USA am vergangenen Donnerstag gab einer von ihnen an, seine Internetaktivitäten über den VPN-Dienst HideMyAss (HMA) ausgeführt zu haben. HMA ist Anbieter eines virtuellen privaten Netzwerks und wirbt mit der Anonymisierung seiner Anwender im Internet.

Als sich einen Tag nach den Festnahmen heraus kristallisierte, dass sich die ‚LulzSec-Affäre‘ zu einem ‚Lulzsec  fiasco‘ entwickelte und ein schlechtes Licht auf die Professionalität des Anbieters wirft, veröffentlichte HMA eine Stellungnahme, die in den darauf folgenden Tagen verschiedentlich aktualisiert wurde. Dort heißt es unter anderem, dass HideMyAss strikt darauf achte, mit dem Dienst keine illegalen Aktivitäten zu unterstützen. Und dass man eng mit Strafverfolgungsbehörden zusammen arbeite, wenn dieses doch vorkomme. Ferner behauptet man, dass dies kein VPN-Anbieter anders handhabe. Richtig ist: Jeder VPN-Dienst ist verpflichtet, auf richterliche Anordnung hin persönliche Daten seiner Anwender offen zu legen. Und jeder VPN-Dienst tut dies auch ohne zu murren.

Im Falle HMA handelt es sich um Anschuldigungen gegen zwei mutmaßliche Mitglieder der Hackergruppe LulzSec, denen unter anderem vorgeworfen wird, 77 polizeiliche Websites in den USA sowie das Sony PlayStation Network gehackt, die Websites der beiden Magazine ‚The Sun‘ und ‚The Times‘ defaced und sich unberechtigten Zugriff zu NATO-Server verschafft zu haben. In ihrer Stellungnahme merkt HMA hierzu an, dass es sehr naiv sei, anzunehmen, ein bezahltes VPN-Abonnement verschaffe Nutzern einen Freifahrtschein, das Gesetz zu brechen, ohne die Konsequenzen dafür tragen zu müssen. Ferner behauptet das Unternehmen im gleichen Absatz in einer Art Rundumschlag, dass andere, sogenannte ‚hardcore privacy services‘, a) nicht mit den Behörden kooperierten und b) deshalb komplett von Strafverfolgern überwacht würden.

Von Seiten seriöser VPN-Anbieter gab es zu diesem Passus zwar wenig Gelächter, aber viele böse Worte. Zum einen opfere HMA zu Marketingzwecken politische Dissidenten, indem es sie argumentativ nicht von Kriminellen unterscheidet, zum anderen unterstellt das Unternehmen Mitbewerbern, nicht mit Behörden zu kooperieren und zum Dritten, dass diese deshalb besonders scharf überwacht werden. Die einen oder anderen sahen sich daher genötigt, eine Gegendarstellung zu liefern, so AirVPN und CyberGhost:

Auch wir verbieten in unseren AGBs jede Art krimineller Aktivität.

Auch wir kooperieren mit Behörden auf richterliche Anordnung hin.

Kann sein, dass ein Dienst überwacht wird. Aber dann nur, weil er hinsichtlich der Anonymisierungsleistung wasserdicht ist – was Sinn und Zweck eines VPN-Dienstes ist, und stehen da noch so viele Überwacher vor der Tür.

Im Weiteren stellt sich HMA als Verfechter eines freien, unzensierten Webs dar und hebt seine Rolle als Schützer sozialer Netzwerke wie Twitter während der ägyptischen Unruhen heraus. Gleichzeitig versucht man, die eigenen Kunden zu beruhigen, indem man versichert, dass man sich der Rechtsprechung des Unternehmensstandorts verpflichtet sieht – also Großbritannien, jenes Land, das flächendeckend mit Videokameras ausgestattet ist und vor kurzem noch die sozialen Netzwerke Twitter und Facebook bei Unruhen im Lande blockieren wollte.

Unbeantwortet ließ HMA allerdings die Fragen nach der Praxis des Unternehmens, warum so sensible Daten wie die IP-Adresse der Kunden überhaupt gespeichert werden (laut Eigenaussage, wer wann mit welcher Original-IP im Netz unterwegs war). Die nachgeschobene entschuldigende Begründung, man könne sonst keine User ausfindig machen, die den Dienst missbrauchen, beruhigt jedenfalls wenig und sagt nahezu nichts aus. Im Gegenteil, sie entblättert einen Anonymisierungsdienst, der seinen Zweck verfehlt und weitere Fragen provoziert, beispielsweise danach, wie HMA zur Festnahme der mutmaßlichen LulzSec-Mitglieder hat beitragen können, wenn doch nur die Zeiten des Dienstgebrauchs, nicht aber die Inhalte des Datenverkehrs geloggt werden?

Sehr viele Leute haben sehr viele und sehr gute Gründe, anonym im Internet sein zu wollen: Bürger, die sich Sorgen um Überwachung machen, oppositionelle Politiker in Unrechtsstaaten, Menschenrechtsaktivisten, Whistleblower, Journalisten und selbst Geheimdienste, Polizisten und das Militär. Bei vielen dieser Personen hängt sogar das Leben und die Gesundheit von einem VPN-Anbieter ab. Seriöse Dienste speichern deshalb nur die allernotwendigsten Abrechnungsdaten, die keinerlei Rückschlüsse auf die Identitäten der Nutzer erlauben.

Dammit, HideMyAss

Kürzlich hat das FBI bekannt gegeben, dass es gelungen sei, das 23-jährige LulzSec-Mitglied C. K. aufzuspüren und zu verhaften. Ihm wird vorgeworfen, an den Sony-Hacks dieses Jahres beteiligt gewesen zu sein. Wie es weiter hieß, hatte K. während der Attacken den VPN-Dienst ‚HideMyAss‘ zur Verschleierung seiner Identität genutzt.

Was K. nicht wusste, war, dass ‚HideMyAss‘ die Daten seiner Anwender loggt – und offenbar auch bereit ist, diese Daten dem US-amerikanischen FBI und allen Strafverfolgern und Behörden zu übergeben, wenn diese ein Ersuchen an ‚HideMyAss‘ richten.

Im Rahmen der Marketingkatastrophe, die das Bekanntwerden des Loggings für ‚HideMyAss‘ darstellt, versucht sich der Dienst jetzt durch teils haarsträubende Stellungnahmen reinzuwaschen, die schlichtweg nicht stimmen und von allen seriösen VPN-Anbietern auf das Schärfste zurückgewiesen werden.

So behauptet HideMyAss, dass ‚alle VPN-Provider Logs vorhalten‘ und diese auf richterliche Anordnung hin aushändigen. Diese Behauptung ist insofern wahr, als dass alle VPN-Dienste Strafverfolgungsbehörden ihre Unterlagen auf richterliche Anordnung hin aushändigen müssen und dies auch tun. HideMyAss Daten loggt allerdings Daten, welche offensichtlich die Identifizierung eines Anwenders erlauben. Dies ist bei CyberGhost und anderen seriösen Anbietern nicht der Fall! Bei uns wird ausschließlich eine verschlüsselte Account-ID im Zusammenhang mit Zeitstempeln zu Abrechnungszwecken vorgehalten. Aus diesen Daten lässt sich weder ein bestimmter Account und schon gar nicht ein realer Anwender rückermitteln.

Wir werden den Fall HideMyAss zu gegebener Zeit wieder aufnehmen – zumal uns der Anwender in letzter Zeit auch dadurch auffiel, das verschiedene Twitter-Accounts mit CyberGhost werben, aber zu HideMyAss verlinken (so wie hier).

Kein CyberGhost - aber HMA

Kein CyberGhost - aber HMA

‚Yahoo!‘ – ist es das, was die verratenen Nutzer schreien? (Update)

Das Internetportal Yahoo! gerät in letzter Zeit immer öfter in die Kritik, weil die Geschäftspraktiken des Unternehmens die Interessen der eigenen Nutzer offenbar gerne einmal aus den Augen verlieren und man stattdessen lieber die Politik des jeweiligen Standorts hofiert. So geschehen in China, wo der Konzern so eng mit den chinesischen Behörden kooperiert, das sich ‚Reporter ohne Grenzen‘ genötigt sahen, dessen Verhalten anzuprangern, und so offenbar nun auch in den USA, wo das Unternehmen E-Mails filtert und nur jene weiterleitet, die politisch nicht verwerflich sind.

China als Boom-Nation ist verlockend für ein Internetunternehmen, selbst dann, wenn man dafür die eine oder andere demokratische Grundvoraussetzung zu den Akten legen muss. Für Yahoo!, Google und Microsoft bedeutet dies zunächst einmal das gemeinsame Einverständnis mit Zensurmaßnahmen beim Einsatz der jeweiligen Suchmaschine – für Yahoo! obendrein aber auch noch die Herausgabe von Mailkunden-Daten an chinesische Behörden. Wie Julien Pain, Internetexperte von ‚Reporter ohne Grenzen‘, in einem Interview mit Spiegel Online ausführt, habe Yahoo! in mindestens vier Fällen zur Verurteilung von Cyberdissidenten beigetragen und sehe dabei noch nicht einmal das Kritikwürdige im eigenen Verhalten. Schlimmstenfalls attestiert man sich eine Marketingkrise. Dabei müsse sich der Konzern laut Pain darüber im Klaren sein, dass er Journalisten und Dissidenten ins Gefängnis bringe, wenn er Mailkunden-Identitäten an die chinesische Polizei weitergäbe. Obwohl es auch anders geht, wie Google eindrucksvoll zeigt. Dort hat man seine chinesischen Mailserver schlicht in die USA verlegt, wo sie US-amerikanischem Recht unterstehen – akzeptiert und geduldet von den Chinesen, die deshalb keinen Affront riskiert und die Leitungen auch nicht gekappt haben.

Möglicherweise liegt aber auch der wahre Grund für das Verhalten Yahoos! in der Weltanschauung des Konzerns, für den Zensur kein allzu großes Problem zu sein scheint. Anders lässt sich auch kaum erklären, warum sogar in der ‚Heimat der Freien‘, den USA, der Inhalt einer Kundenmail als Anlass zur Sperrung einer Weitervermittlung dienen kann. Wie ein Aktivist aus Crystal, Minnesota (USA) feststellen musste, blockiert Yahoo! die Zustellung aller E-Mails, die einen Link auf die Aktion ‚occupywallstreet‘ enthalten. Immerhin, Yahoo! hat nichts dagegen, dass man sich über generell über die Besetzung der Wall Street unterrichtet (Texte mit ‚Occupy‘, ‚Wall Street‘ und Verknüpfungen dieser oder ähnlicher Begriffe gehen durch), aber einen direkten Link auf die Occupy-Wall-Street-Website … nein, den darf es nicht geben. Die Meldung, die Yahoo! bei dieser Gelegenheit ausgibt, lautet:

Your message was not sent

Suspicious activity has been detected on your account. To protect your account and our users, your message has not been sent.

If this error continues, please contact Yahoo! Customer Care for further help.

We apologize for the inconvenience

Übersetzt, gibt Yahoo! also Folgendes Kund:

Ihre Nachricht wurde nicht übermittelt

Auf Ihrem Konto wurde eine verdächtige Aktivität entdeckt. Um Ihr Konto und unsere Anwender zu schützen wurde Ihre Nachricht nicht versendet.

Bleibt dieser Fehler bestehen, kontaktieren Sie bitte Yahoo! Customer Care für weitergehende Hilfe.

Wir entschuldigen uns für die Umstände

Die Frage, warum Yahoo! das eigene Zensurverhalten in ein und derselben Nachricht mal als Schutzmaßnahme und mal als (technischen?) Fehler bezeichnet, ist nicht bekannt.

 

Update: Mittlerweile hat Yahoo! reagiert und sich für die E-Mail-Filterung entschuldigt. Laut Unternehmen sei die fragliche URL in den Spamfilter des Dienstes geraten. Eine Zensurmaßnahme verneint der Konzern ausdrücklich.

‘V’ wie ‘VDS’ vs. ‘V’ wie ‘Vendetta’

Die Digitale Gesellschaft sieht in ihrem aktuellen Newsletter dunkle Wolken am Horizont heraufziehen, die auch einen eindeutigen Namen tragen: Scheiß Wetter, aka Vorratsdatenspeicherung (VDS). Ok, ganz Schlaue haben andere Bezeichnungen in die Diskussion geworfen wie ‚Quick Freeze‘ und ‚Mindestdatenspeicherung‘, man kann es aber drehen und wenden wie man will, auch gefrorene und kleine Haufen sind immer noch Mist. In jedem Fall handelt es sich um die verdachts- und anhaltslose Speicherung sensibler Kommunikationsdaten aller Bürger dieses Landes für einen bestimmten Zeitraum. Und das ist nun mal Gift für jede freiheitliche Kultur und gehört gar nicht erst wieder angeschafft – meinen wir.

Und weil das so ist, unterstützen wir die Aktion der Digitalen Gesellschaft (nahezu) im Wortlaut:

Die Vorratsdatenspeicherung kommt wieder – zumindest, wenn es nach dem Willen der Innenministerkonferenz und der EU-Kommission geht.

Wir finden das schlecht, und wenn Du das auch schlecht findest, nimm dir die Zeit und schreib Deinen Abgeordneten im Bundestag und im Europaparlament eine möglichst persönliche E-Mail (besonders denen aus CDU und SPD), warum Du ein Ende der Vorratsdatenspeicherung möchtest:

Sag’ deine Meinung

Finde hierzu Deinen Abgeordneten im Bundestag und den deutschen Abgeordneten im Europaparlament:

Gegen die VDS hatten 2007 im Bundestag folgende Abgeordnete aus SPD und CDU gestimmt, die dafür Lob(!) verdient haben und heute noch im Bundestag sitzen:

Rolf Koschorrek, CDU
Katharina Landgraf, CDU
Wolfgang Gunkel, SPD
Sönke Rix, SPD
Frank Schwabe, SPD

Petition unterstützen:

Seit vergangener Woche gibt es beim Deutschen Bundestag die Online-Petition “Strafprozessordnung – Verbot der Vorratsdatenspeicherung vom 15.03.2011″. Diese kann man mitzeichnen. Ziel ist es, 50.000 Mitzeichner zu gewinnen, um unsere Kritik vor dem Bundestag vorbringen zu können. Hier mitzeichnen!

Jede Menge guter Argumente findest Du beim Arbeitskreis Vorratsdatenspeicherung.

Das ist viel Stoff für einen Vormittag, und wir wissen, dass viele Bürger im Lande bereits aufgegeben haben und lieber ein Tool wie CyberGhost nutzen, um im Netz ihre Ruhe zu haben, leider ist das aber keine Lösung auf Dauer (auch wenn wir gerne unsere Miete bezahlen können). Im Gegenteil, es ist an der Zeit, die Geschicke dieses Landes wieder stärker mitzubestimmen, einfach mal aufzustehen und zu sagen, was Sache ist.

Und zu schauen, wie tief der Kaninchenbau tatsächlich reicht.

 

Dieser Artikel steht unter einer Creative-Commons-Lizenz: CC-BY-SA

Copyright © 2014. Created by Meks. Powered by WordPress.