federation.cloud-foo.de

Marius Friendica

Frage: wenn das OS verdeckte DNS Abfragen gen USA schickt...

Guten Abend @Ulrich Kelber (Herr Kelber),

in der Linux-Welt hat sich ein kleines Problem ergeben, zu dem ich gern Ihre (grobe) Meinung hätte:

Mit dem Update auf die Distribution Fedora 33 wird systemd-resolved als DNS Resolver eingesetzt. Der erledigt die ganzen Fragen "Wie lautet die IP für Domain x.de?"

Das Problem damit ist, daß es einen versteckten Default-Fallbackserver mitbringt, der weder vom System gesetzt wird noch per DHCP Request vom Netzwerkrouter mitgeschickt wird.

Es handelt sich dabei um die US Versionen der CloudFlare und Google DNS Server.

Da für diese Anfrage die IP des PC und der gewünschte Domainname zwangsläufig an die DNS übermittelt wird, und IPs ja Personenbezogene Daten sind laut Kammergericht Berlin 2013,
ergibt sich daraus nicht für Firmen die das Einsetzen ein Datenschutzverstoß, da der Privacy Shield mit den USA ja nicht gehalten hat?

Eine grobe Schätzung würde reichen, da wir derzeit in der Entwickler-MailingListe von Fedora über dies Thema sprechen. Das Thema ist so heiß, daß seitens der IETF erwogen wird eine CVE Nummer dafür zu vergeben, weil im gleichen Zuge auch DNSSEC zerstört wurde.

Beteiligt sind hier Red Hat/Fedoraprojekt, die IETF, Dr. Paul Vixie ( BIND ) und Leonard Pöttering ( Systemd ) und jede Menge Entwickler aus der ganzen Welt ;)

Da wir in Deutschland wegen der IP einen besonderen Status haben, wäre es echt gut, da eine Empfehlung zu bekommen. Das wäre auch für andere Projekte eine wichtige Information. Fedora möchte natürlich keine Gerüchte aufkommen lassen, daß es Privatssphärenprobleme hätte, aber wie immer im Leben braucht es einen gewissen "Druck". Immerhin als Konsequenz wurde jetzt DoT defaultmäßig aktiviert ( DNS-over-TLS ).

In wie weit ist eigentlich ein Distributionshersteller für solche Dinge verantwortlich?

mit freundlichen Grüßen,
Marius
Marius Friendica
@Ulrich Kelber

Herr Kelber, auch wenn ich diesen Kommentar etwas schlaksig formuliere, ich habe mehrfach begründet wenig Vertrauen in dieses Haus wie Sie feststellen können, möchte ich Sie doch an den Schwierigkeiten des simplen Versuches einer Terminvereinbarung mit einer Datenschutzbehörde in Niedersachsen teilhaben lassen :)

Nach 14 Tagen Wartezeit auf meine Emailanfrage, habe ich heute in Hannover angerufen und wollte mal nachhacken. Das erwies sich leider als schwieriger, als man meinen sollte. Die Telefonzentrale verwechselte zunächst mal den "Datenschutzbeauftragten des Bundes" mit einem "Datenschutzbeauftragten des Unternehmens" :) Dann konnte man meine -> bestätigte <- Emailanfrage im System nicht finden, was mich nicht so richtig überrascht, sonst wäre ja vermutlich vorher mal eine Nicht-auto-Antwort gekommen. Als nächstes kam die Weiterleitung an eine Mitarbeiterin, die völlig entsetzt "nichts" bei sich oder Ihren Kollegen finden konnte. Falsche Abteilung, welche es war, weiß man nicht.

Ein "Verbinden" zur Abteilung Telekommunikation war intern nicht möglich. Ein zweiter Anruf daher notwendig. "Ja, ich ähm.. " "Telekommunikation" ".. verbinde Sie mal zum Kollegen." Da war dann zur Hauptsprechzeit nur der AB dran.

Ich wette, daß es da auch keinen Rückruf gibt, weil der AB meine Nummer nicht parat haben wird.

Jetzt mal unter uns: In der Sache, lieber Referat 23 oder 24 bei Ihnen im Haus?
Ulrich Kelber mastodon (AP)
Tut mir leid, aber ich kann nicht Anfragen an die Landes Datenschutzbehörden mit meinen Leuten auffangen. Die Landesdatenschutzbehörden haben einfach zu wenig Personal, das ist die Schuld der Landesregierung und Landesparlamente. Zur Info können Sie uns trotzdem den ganzen Vorgang senden

Marius Friendica

Let's Encrypt gibt milliardstes Zertifikat aus \o/

Am 27.2. wurde die eine Milliarde SSL Zertifikate von Let'sEncrypt überschritten. Bei 46 Millionen Webseiten für die Zertifikate ausgestellt wurden, war das ja auch nur eine Frage der Zeit, wenn man 4 Zerts pro Jahr pro Domain durchbringen muß :)

Herzlichen Glückwunsch - Let's Encrypt :D

"We issued our billionth certificate on February 27, 2020. We're going to use this big round number as an opportunity to reflect on what has changed for us, and for the Internet, leading up to this event. In particular, we want to talk about what has happened since the last time we talked about a big round number of certificates - one hundred million. One thing that's different now is that the Web is much more encrypted than it was. In June of 2017 approximately 58% of page loads used HTTPS globally, 64% in the United States. Today 81% of page loads use HTTPS globally, and we're at 91% in the United States! This is an incredible achievement. That's a lot more privacy and security for everybody. Another thing that's different is that our organization has grown a bit, but not by much! In June of 2017 we were serving approximately 46M websites, and we did so with 11 full time staff and an annual budget of $2.61M. Today we serve nearly 192M websites with 13 full time staff and an annual budget of approximately $3.35M. This means we're serving more than 4x the websites with only two additional staff and a 28% increase in budget. The additional staff and budget did more than just improve our ability to scale though - we've made improvements across the board to provide even more secure and reliable service."

Das selbstgesteckte Ziel haben Sie jedenfalls erreicht, das ist mal sicher. Ob das Netz wirklich sicherer geworden ist, ist eine andere Frage :D

# # # #

Marius Friendica

Mozilla aktiviert DoH in Firefox für US Benutzer

Zitat von der Mozilla Presseveröffentlichungswebseite:

"Wir haben die Auswirkungen bereits beschrieben, die ungesicherte DNS auf unsere Privatsphäre hat:

Aufgrund der fehlenden Verschlüsselung können andere Geräte Nutzerdaten sammeln oder sogar blockieren und verändern. Die DNS-Suchen werden an Server weitergeleitet, die Ihren Browserverlauf ausspähen können, ohne Sie zu informieren oder Richtlinien darüber zu veröffentlichen, was sie mit diesen Informationen tun.

In den Anfangstagen des Internets waren solche Bedrohungen für die Privatsphäre und Sicherheit der Nutzer zwar bekannt, wurden allerdings noch nicht ausgenutzt. Heute wissen wir, dass DNS nicht nur anfällig für Bespitzelungen ist, sondern die Schwachstellen auch aktiv ausgenutzt werden. Deshalb helfen wir dem Internet dabei, zu sichereren Alternativen zu wechseln. Dafür werden DNS-Suchen in Firefox über eine verschlüsselte HTTPS-Verbindung durchgeführt. Auf diese Weise wird Ihr Browserverlauf vor Angreifern im Netzwerk versteckt sowie die Sammlung von Daten durch Drittanbieter verhindert, die Ihren Computer andernfalls mit den Webseiten, die Sie besuchen, verknüpfen könnten."

Wir fassen zusammen:

Firefox wird alle DNS Abfragen über den DoH Anbieter von Mozilla abwickeln, was dann Cloudfare ist.

All das, was Mozilla als Bedrohung der Privatsphäre auflistet, trifft auf das DOH Modell mit Cloudflare auch zu, nur millionenfach verstärkt.

Warum?

Weil vorher hunderte DNS Cache von regionalen Zugangsanbietern von deren Kunden benutzt wurden und sich diese Anfragen jetzt nur noch bei einem einzigen Anbieter konzentrieren werden. Das Cloudfare Management wird sich jetzt bereits den Champus liefern lassen, für die Profite, die mit diesen Daten in Zukunft gemacht werden.

Erschwerend kommt hinzu, daß die Benutzer meistens einen Vertrag mit Ihrem DSL Anbieter haben, an dessen Inhalt dieser gebunden ist, aber über die Voreinstellung von Mozilla werden Daten an jemanden übermittelt, mit dem man selbst in keiner vertraglichen Beziehung steht. Ich denke, daß ist am Ende sogar in den USA strafbar.

Mozilla wendet jetzt natürlich ein, daß das ja "vertraglich" ausgeschlossen sei, aber a) hat den Vertrag mal wer gesehen? und b) was juckt schon die Konventionalstrafe(falls vorhanden) wenn die Gewinne stimmen?

All die Szenarien die Mozilla anprangert, hat es also jetzt selbst über seine Nutzer gebracht. Das da nicht jeder mitmacht, ist ein sehr lobende Entwicklung.

Red Hat + Fedora haben lange angekündigt, daß Sie in Ihren Firefoxversionen diese DoH Voreinstellung nicht aktiveren werden. Der Bundesdatenschutz hat in einer Reaktion auf eine kleine Anfrage von mir im letzten Jahr bereits angedeutet, daß, würde so eine Voreinstellung kommen, der Fall Datenschutzrechtlich für die EU geprüft würde.

Dabei gibt es gegen alle die von Mozilla genannten DNS Probleme erfolgreiche Gegenmaßnahmen. Das Hauptargument, daß ein DNS Anbieter den Browserverlauf sehen könnte, ist natürlich hahnebüchener Unsinn. Bei einer DNS Anfrage durch den Browser wird nur der Domainname abgefragt, was und wie oft man dort etwas aufgerufen hat, bleibt dem DNS Cache verborgen.

Sollte man sich darüber Sorgen machen, kann man dies bei linuxbasierten Betriebssystemen mit einem DNS Spreader verhindern. Dieser verteilt die DNS Anfragen einfach an hunderte/tausende öffentliche DNS Cache, so daß keiner der Betreiber ein Profil des Benutzers erstellen kann.

Der DSL Anbieter kann im übrigen allein an den kontaktierten IPs erkennen, wer wann wo war und so immer ein Profil erstellen. Das verhindert Mozillas DoH Aktion im übrigen auch nicht.

In der Vergangenheit hat es einige Versuche gegeben, das Profilbildungsproblem zu lösen:

DOT (Dns-Over-TLS), sollte die Profilbildung beim DSL Anbieter verhindern, nutzte aber wegen der IP->Domain Datenbanken nichts.

Eine Erweiterung von HTTPS sollte das Domainnamen-Leak vom TLS Connect verhindern, tut es aber nicht, weil das keiner einsetzt und wenn doch, würde wieder die IP->Domainnamen Datenbank eine Profilbildung erlauben.

Wir können also nur verhindern, das Dritte den Inhalt der Kommunikation sehen können, aber nicht wo wir hin wollen. Wenn das pseudogeheim bleiben soll, dann muß man ein VPN oder TOR einsetzen. Damit verlagert man das Profilbilden aber nur an eine andere Stelle. Im Falle von TOR erreicht diese Verlagerung ggf. einen Punkt, an dem nicht mehr auf den Benutzer zurück geschlossen werden kann. Eine Garantie ist das aber nicht.

Marius Friendica

Weltbild: Emailrechnungen wie von einem Scammer

Schaut mal was mir heute ins Haus geflattert ist:



Ich weiß nicht was schlimmer ist, die Phisherfloskel oder die mangelnde Zeichensetzung.

Erstmal müßte es lauten: "... anbei erhalten Sie Ihre Rechnung als PDF-Datei, die Sie bedenkenlos öffnen und, wenn Sie möchten, ausdrucken können."

Inhaltlich ist das schon komisch von "Ihre Rechnung als PDF-Datei, die Sie bedenkenlos öffnen ... können" zusprechen, weil das würde natürlich auch exakt jeder Scammer/Virenversender/Phisher so von sich geben :) Und denen würde ich das auch nicht glauben ;)

Das einzige Merkmal, was für eine echte Email von Jokers ( gehört zu Weltbild ) spricht, ist der korrekte Name des Empfänger/in/s. In Zeiten wo praktisch alle Datensätze irgendwo schon einmal abhanden gekommen sind, ist das natürlich nur noch ein schwaches Merkmal.

Das war übrigens die Reaktion auf die Bestellung:



Von einer "Nachlieferung" nur reden, wenn es überhaupt eine Lieferung gegeben hat. Das war aber hier nicht der Fall wie man sieht, weil keines der beiden Bücher sofort versendet wurde :)

Davon mal abgesehen gibt es mit der Lieferung dann auch noch PC-Probleme, weil Jokers folgende Stückelung einer einzigen Bestellung versendet:

3x Buch 1
1x Buch 1 +3 Tage zur vorherigen Lieferung
1x Buch 2 +5 Tage zur ersten Lieferung

Umweltfreundlich ist das mit Sicherheit nicht und betriebswirtschaftlich rentabel kann das auch nicht sein.

3x Liefern bedeutet:
3x CO2 für den Transport,
3x Transportkosten
und 3x Verpackungsmüll.

Vielleicht sollten die Kinder der Angestellten von Weltbild mal Freitags am Arbeitsplatz Ihrer Eltern protestieren, denn das umweltunfreundliche Verhalten wäre leicht vermeidbar gewesen. Zu keiner Zeit gab es einen Zwang, daß die Bücher so schnell wie möglich versendet werden sollten. Das waren/sind nämlich Weihnachtsgeschenke für 2020, die mir bloß jetzt bereits über den Weg gelaufen sind.

Am Ende sind es die kleinen Dinge, die dem Kampf um den Klimawandel entscheiden:
Nicht mehr 4x im Jahr in den Urlaub fliegen, mal mit dem Fahrrad in die Innenstadt zum Shoppen fahren, unnötige Lieferungen quer durch das Land vermeiden und nur ein Handy pro Nase pro Jahrzehnt ( Stichworte: Reperatur- und Updategarantie), keine Turbotrendklamotten mehr. Tut alles nicht weh und spart eine Menge an Ressourcen, Müll und vor allem Co2 ein.

PC meinte oben natürlich "Political Correctness" und nicht "Personal Computer" wie Ihr eventuell angenommen habt ;)

Marius Friendica

Strike: Smartphone-Hersteller liefern 5G Handies mit abgeschaltetem 5G Modem aus

Weil der Chiphersteller Qualcomm seinen Abnehmern die 5G fähigen Snapdragon 865 SOCs auf Auge gedrückt hat, 5G aber kaum irgendwo verbreitet ist, liefern die jetzt Ihre Handies zwar mit dem 5G Modem aus, aber das Modem ist deaktiviert :D

Mehr zu dem Unsinn könnt Ihr hier lesen:

Marius Friendica

T-Online schützt den Datentransport nicht per TLS

Wenn man internen Adressen von T-Online, in diesem Fall dem Server-Support, eine Mail schicken will, dann kann man das nicht, ohne das Gesetz zu brechen:

"2020-02-25 04:55:03 1j69ZJ-0001iL-S3 H=rx.t-online.de [194.25.134.67]: a TLS session is required, but the server did not offer TLS support"

Artikel 32 1 a DSGVO meint dazu:

"Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten .... treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;"

Artikel 4 Satz 2 DSGVO definiert als Verarbeitung auch den Transport von Personenbezogenen Daten. Wegen der einfachen, kostengünstigen und dem Stand der Technik entsprechenden Technik Namens STARTTLS, in Form von TLS1.2, ist der Transportschutz ganz leicht zu implementieren. Die Kosten einen Mailserver TLS sprechen zu lassen, sind praktisch nicht vorhanden, wenn da nicht eine vor sich hin siechende uralt Mailserveranlage wäre.

Die oben gezeigte Logzeile stammt von einer Email an T-Online und nachdem alle personenbezogenen Daten Dritter aus selbiger entfernt waren, durfte Sie dann auch endlich T-Online zugestellt werden, manuell versteht sich ;)

Die Antwort von T-Online war zwar inhaltlich super, aber leider offenbarten die RECEIVED Header das wahre Ausmaß des TLSGATES bei T-ONLINE.

Der Teamserver vom Support konnte nur TLS 1.0 zu einem internen Mailserver reden, der wiederum sprach dann gar komplett unverschlüsselt mit einem dritten Server, welcher dann final mit unserem Mailserver TLSv1.2 kommunizierte.

Jetzt regelt die DSGVO nicht nur den Umgang mit Daten nach außen, sondern auch den Internen Umgang damit und dies bedeutet, daß Artikel 32 auch bei den internen Mailservern greift, womit eine unverschlüsselte bzw. gebrochene Krypto Kommunikation dann wohl einen Datenschutzverstoß darstellt.

Oder wie sehen Sie das Herr @Ulrich Kelber ? Sie sind doch vom Fach, das müßte doch jetzt genau Ihr Ding sein :)

Nun wird man natürlich wie folgt argumentieren: "Da wurden ja gar keine Personenbezogenen Daten transportiert, ergo gilt Artikel 32 gar nicht."

Tja, klingt toll, ist aber Unsinn, weil man als Betreiber des Servers nie wissen kann, was einem da in Zukunft mal geschickt wird. Aus der Unmöglichkeit die Kommunikation der Vergangenheit nachträglich fallbezogen zu verschlüsseln, ergibt sich eine Pflicht zur generellen Verschlüsselung von Emailtransporten.

Jetzt kommt erschwerend hinzu, daß Emailadressen wie niels.böhrdings@blah auch als personenbezogene Daten gelten. Solche Adressen gibt es viele, eine Eintrittswahrscheinlichkeit dafür, daß man auf so eine Adresse stößt, ist also hoch. Damit ist das Argument, daß Eintrittrisiko wäre gering, weg gefallen.

Zum Glück muß man sich das nicht auf mein Wort verlassen, fachkundige Stellen z.b. beim Landesdatenschutz NRW ließen dies bereits 2018 verlautbaren:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand/Technische-Anforderungen-an-technische-und-organisatorische-Massnahmen-beim-E-Mail-Versand.html

An T-Online gerichtet, freut Euch schon mal auf das Audit durch den LDS, dann bekommt ihr endlich neue Server und ein neues Supportsystem, denn das schickt Emails mit ISO-8859-1 Zeichensatz passend zum Gebrauch von TLS 1.0 ;D


@Ulrich Kelber : Die waren doch mal Bundesbehörde, da gibt es doch bestimmt einen guten Kontakt hin ;)

# # # # #

(Pinnwand kopie)

Marius Friendica
Neues vom Datenschutz
Starts:  Wednesday April 24, 2019 @ 6:00 PM
Finishes:  Wednesday April 24, 2019 @ 9:00 PM
Wir gehen auf Änderungen und die aktuelle Lage, sowie Gesetzesänderungen im Datenschutz ein. Einige Aspekte werden wir etwas genauer beleuchten, z.B.:

- was das dem normalen Menschen bringt
- wie das Unternehmen betrifft
- worauf man achten sollte
- was sich geändert hat.

Dazu werden wir in Vorträgen die Zusammenhänge vorstellen, die Neuigkeiten, und natürlich was für den Einzelnen wichtig ist. Und wir werden sicher auch auf die diversen Missgriffe und Fehlentscheidungen eingehen.

Anschließend gibt es ein Podium, wo wir gemeinsam diskutieren und auf Eure Fragen eingehen.

Mehr auf: https://bs-lug.de/tan

Veranstalter: Braunschweiger Linux-User-Group
Location:  Haus der Talente
Elbestraße 45
Braunschweig-Weststadt

Marius Friendica
BSLUG - Digitale Selbstverteidigung
Starts:  Wednesday March 27, 2019 @ 6:00 PM
Finishes:  Wednesday March 27, 2019 @ 10:00 PM
Am 27.3. 2019 finden im Haus der Talente, in der Braunschweiger Weststadt, der Themenabend "Digitale Selbstverteidigung" statt.

Die Braunschweiger Linuxuser auf- und erklären rund um Überwachung, Spionage, Scamming und wie man sich dagegen wehrt.

Ab 18 Uhr geht es los.
Location:  Haus der Talente
Elbestraße 45
38120 Braunschweig
Later posts Earlier posts