[heise.de] Das Bundeskriminalamt (BKA) hat offenbar versucht, eine mit PGP/GnuPG verschlüsselte Datei zu öffnen und sich dabei an verschiedene Wissenschaftler, aber auch an das Bundesamt für Sicherheit in der Informationstechnik gewandt. Dies behauptet die Journalistin Anne Roth in ihrem Blog Annalist. Als Lebensgefährtin des Soziologen Andrej Holm hat sie vom BKA angelegte Schriftsätze ausgewertet, die bei der Ermittlung nach § 129a auf Bildung einer terroristischen Vereinigung produziert wurden. (weiter)

Freie mobile verschlüsselte Arbeitsumgebung auf USB-Stick oder externer Festplatte zum sicheren Bearbeiten und Mitführen sensibler Daten, für verschlüsselte Kommunikation und zum anonymen Surfen im Internet

[mandalka.name/privatix] Nicht alle, die bei der Internetnutzung und Kommunikation auf Privatsphäre wert legen oder sensible Daten bearbeiten, haben hierfür immer einen eigenen PC mit sicher eingerichtetem Betriebssystem und den nötigen Tools zur Verfügung bzw. können oder wollen diesen ständig mitnehmen.

Deshalb gibt es das Privatix Live-System. Dabei handelt es sich um ein von USB-Stick oder einer externen Festplatte startendes und einfach zu bedienendes Betriebssystem zur sicheren, mobilen und vor allem Privatsphäre und Vertraulichkeit erhaltenden Internetnutzung und Kommunikation oder zur Bearbeitung und Verschlüsselung sensibler Daten.  (weiter)

[heise.de] Sicherheitsforschern ist es gelungen, das Zertifikatsystem SSL für vertrauenswürdige Internet-Verbindungen zu kompromittieren. Durch eine sogenannte MD5-Kollision konnten sie ein Herausgeberzwischenzertifikat erstellen, das alle wichtigen Internet-Browser als vertrauenswürdig einstufen. Wer über ein solches Herausgeberzertifikat verfügt, kann sich bespielsweise SSL-Zertifikate für jede beliebige Internet-Domain erstellen. Damit können sich Angreifer als "Man in the Middle" in gesicherte Internetverbindungen einklinken und Daten ausspähen (etwa für Phishing) oder manipulieren, ohne dass Anwender eine Warnmeldung zu sehen bekämen. (weiter)

Versuch einer Übersicht über die heute beschlossenen Veränderungen des BKA-Gesetzes (vorbehaltlich der Zustimmung des Bundesrats noch dieses Jahr). Ermöglicht wird unter anderem das "risk profiling", also der Versuch der Vorhersage potentieller Risiken oder Straftaten mittels Software, die in Datenbanken nach "clustern" (Häufungen) sucht.

Quellen: Rote Hilfe Hamburg, Tagesschau

 (weiter)

[heise.de] Der Begriff scheint sich eingebürgert zu haben: "Online-Durchsuchung" wird die fixe Idee der Politiker genannt, private Rechner ausspähen zu wollen. Wenn das BKA-Gesetz (1) in Kraft tritt, ist damit ist der einflussreichste Hoax der bundesdeutschen Mediengeschichte in juristische Form gegossen worden. Am Montag hat der Innenausschuss die gleichlautenden Gesetzentwürfe der Koalition ( 16/9588 (2)) und der Bundesregierung ( 16/10121 (3)) mit den Stimmen der Koalitionsfraktionen und gegen die Stimmen der Oppositionsfraktionen angenommen (4). Am Mittwoch dürfte es nun im Bundestag verabschiedet werden. (weiter)

[heise.de] Unter Strafe gestellt werden neben Cyberterrorismus eine ganze Reihe von "elektronischen Verbrechen". Pakistan will scharf gegen "Cyberkriminelle" vorgehen. Ein Erlass des Präsidenten Asif Ali Zardari, am 6. November veröffentlicht von der Nachrichtenagentur APP, soll der "Prävention elektronischer Verbrechen" dienen und ist bereits Ende September in Kraft getreten. In erster Linie ist er gegen "Cyberterrorismus" gerichtet, aber er soll, wie es im Wortlaut heißt, allgemein der Prävention dienen, das Eindringen in elektronische Systeme sowie die Manipulation und den Missbrauch von diesen und von allen Daten verhindern und die Möglichkeiten schaffen, gegen elektronische Straftaten und damit verbundene Taten strafrechtlich vorzugehen. (weiter)

[heise.de] Für die kommende Sicherheitskonferenz PacSec 2008 ist ein Vortrag "Gone in 900 Seconds, Some Crypto Issues with WPA" des deutschen Sicherheitsspezialisten Erik Tews angekündigt, der zeigen soll, wie sich bei WLANs auch unter WPA mit TKIP gesicherte Verbindungen mitlesen lassen. Sogar das Einschleusen von Paketen soll so möglich sein. Dazu soll es laut US-Medienberichten jedoch nicht nötig sein, den TKIP-Schlüssel zu knacken. Der genaue Weg wurde bislang aber noch nicht veröffentlicht. (weiter)

[news.cnet.com] When criminals turn to disk encryption to hide the evidence of their crimes, law enforcement investigations can hit a brick wall. Where digital forensics software has failed to recover encryption passwords, one tried and true technique remains: violence. It is is this more aggressive form of good cop bad cop behavior which the Turkish government is alleged to have turned to, in order to learn the cryptographic keys of one of primary ringleaders in the TJ Maxx credit card theft investigation. (weiter)

[unwatched.org] Zwei Personen wurde vom Gericht in Bezug auf Computerverschlüsselungen das Recht zu schweigen verwehrt; die Schlüssel mussten der Polizei übergeben werden.

Die Männer hatten vor Gericht argumentiert, dass die Offenlegung der Verschlüsselung der Daten auf ihren Computern bedeuten würde, sie zu zwingen sich selbst zu belasten. Angeklagte haben das Recht zu schweigen und Aussagen zu verweigern, die gegen sie verwendet werden können. (weiter)

[gulli.com] In Großbritannien gilt im Rahmen der sehr strengen neuen Antiterror-Gesetzgebung seit dem Jahr 2000 der sogenannte RIPA (Regulation of Investigatory Powers Act). Dieser beinhaltet unter anderem die Regelung, dass man auf Anweisung der Ermittlungsbehörden verpflichtet ist, die Passwörter für Computer oder andere elektronische Geräte (und auch die Schlüssel für eventuell zum Einsatz kommende Kryptographie) herauszugeben. Anderenfalls kann man bis zu zwei Jahre (in Fällen, die die nationale Sicherheit betreffen, bis zu fünf Jahre) in Haft genommen werden. Nun gab es ein neues, sehr bedeutendes Urteil zu diesem Gesetz. (weiter)

[gulli.com] Viele Festplatten-Verschlüsselungsprogramme wie beispielsweise das sehr populäre TrueCrypt bieten die Möglichkeit an, sogenannte versteckte Container zu erstellen, die bei einer Untersuchung der Festplatte nicht auffindbar sein sollen. Das funktioniert offenbar nicht so zuverlässig, wie es sich die Benutzer wünschen, wenn man den neuesten Untersuchungen eines deutschen Wissenschaftlers glauben darf. (weiter)

[heise.de] Österreichische Kryptologen präsentierten auf der Crypto 2008 Fortschritte bei Angriffen auf Hash-Funktionen. So stellten sie einen Angriff auf den russischen Hash-Standard GOST vor, dessen Verwendung in russischen Behörden vorgeschrieben ist. Außerdem zeigen sie erste Ansätze für Invertierungsangriffe auf SHA-1, mit denen man beispielsweise ein Passwort aus dem Hash zurückrechnen könnte. (weiter)

[heise.de] Im Skype-System könnte Berichten zufolge eine Backdoor eingebaut sein, die das Abhören der Verbindungen ermöglicht. Das Unternehmen dementierte das nicht ausdrücklich. Ranghohe Beamte des österreichischen Innenministeriums hatten am 25. Juni bei einem Treffen zum Thema Lawful Interception für IP-basierte Dienste mit Vertretern von Internetprovidern (ISP) und der Regulierungsbehörde des Landes mitgeteilt, dass das Abhören von Skype für sie kein Problem mehr darstelle. (weiter)

[gulli.com] Eine aktuelle Untersuchung der University of Washington, sowie von British Telecommunications, ist zu dem Ergebnis gelangt, dass der Einsatz einer verschlüsselten Partition zu gravierenden Sicherheitslücken führen kann, da zahlreiche verschlüsselte Dateien Rückstände auf dem unverschlüsselten Teil der Festplatte verursachen.

Betroffen davon seien in erster Linie beliebte Anwendungen, wie etwa die Dokumentenverschlüsselung von Word oder Google Desktop. Beide speicherten Teile von verschlüsselten Dateien auf dem nicht verschlüsselten Teil einer Festplatte, wo diese dann frei zugänglich wären. (weiter)

[gulli.com] Einem Team von italienischen Wissenschaftlern ist es gelungen, eine Methode ausfindig zu machen, wie man getunnelten Netzverkehr genauer betrachten kann. Dank dieser Technologie wären selbst die Inhalte aus einer verschlüsselten SSH-Verbindung nicht mehr vor dem Einblick Dritter sicher. Ihre umfassenden Erkenntnisse haben sie in einem Paper öffentlich zur Verfügung gestellt. Es ist nur noch eine Frage der Zeit, bis sich die ersten Internetprovider dieser Technik bedienen werden. (weiter)

Mit Daten aus mehreren Computern der FARC-Guerilla will Kolumbiens Regierung deren Kontakte zu Parteien und Regierungen weltweit belegen. Doch ihre Beweise sind dürftig

[telepolis] Der Angriff kam schnell und unerwartet. In einer Blitzaktion griff die kolumbianische Armee am 1. März ein Lager der Revolutionären Streitkräfte Kolumbiens ( FARC (1)) auf ecuadorianischem Boden an. Nicht allein die Grenzverletzung belastet seither das Verhältnis zwischen den Staatsführungen in Bogotá und Quito. Nach Angaben der kolumbianischen Regierung wurden in dem Guerillalager mehrere Laptops und weitere Hardware gefunden. Die darauf gespeicherten Daten belegten Kontakte der FARC-Guerilla nach Ecuador und Venezuela, heißt es aus Kolumbien, dessen Regierung seither mehrfach konkrete Vorwürfe gegen die Nachbarregierungen erhoben hat. Doch die Belege sind wenig aussagekräftig.  (weiter)

[heise] Die weltweite Polizeiorganisation Interpol hat ein forensisches Gutachten (PDF-Datei) veröffentlicht, das in einem Streit zwischen Kolumbien, Ecuador und Venezuela klären sollte, ob Computerdateien gefälscht wurden. Nun entpuppt sich das Gutachten zumindest im öffentlich frei verfügbaren Teil als Gefälligkeitsgutachten und der Streit geht weiter.

Im Umfeld des EU-Lateinamerikagipfels sorgen drei Toshiba Satellite-Laptops, zwei externe LaCie-Festplatten und drei USB-Sticks für Aufregung. Diese acht Geräte wurden am 1. März von kolumbianischen Militärs erbeutet, als diese ein Lager der FARC-Guerilla stürmten, das 1,2 Meilen von der kolumbianischen Grenze in Ecuador lag.  (weiter)

Skype ist der bekannteste Voice-over-IP-Dienst. Die Software ist einfach zu installieren, flexibel und vor allem weit verbreitet. Wie das proprietäre Skype-Protokoll funktioniert, ist nicht bekannt. Und niemand weiß genau, wie sicher beziehungsweise unsicher das »Skypen« ist. Was die meisten Nutzer auch nicht wissen: Es gibt Alternativen, um über das Netz zu kommunizieren. von burkhard schröder (weiter)

Der Autor von GnuPG im Gespräch
Über die Fernsehbildschirme der Nation flimmern seit ein paar Monaten landauf landab Beiträge zu Themen wie Online-Durchsuchung, Bundestrojaner, Vorratsdatenspeicherung oder Hackerparagrafen. Selbst Laien begreifen, die Rechtslage von uns allen befindet sich in einem drastischen Umbruch. Sichtbar ist ein Trend, der eindeutig in Richtung mehr Kontrolle von oben und weniger Schutz für die Normalsterblichen hier unten geht. Wie unser Leben konkret in fünf oder zehn Jahren aussehen wird, ist schwer absehbar. Der Rheinländer Werner Koch kämpft seit vielen Jahren als Programmierer der Verschlüsselungssoftware GnuPG (PG = Privacy Guard) an vorderster Front wenn es darum geht die uneingeschränkte Privatsphäre der Menschen sicherzustellen. Er ist darüber hinaus eines der Gründungsmitglieder der Free Software Foundation Europe (FSFE) und beruflich wie privat aktiv im Bereich der Freien Software tätig. Wir wollten von ihm wissen, wie es aktuell um unseren Datenschutz bestellt ist. Interessant erschien uns auch seine Argumentation warum bis heute die meisten PC-Anwender Windows einem Freien wie auch kostenlosen Betriebssystem vorziehen.

Anmerkung von euro-police: Vollständiger Artikel mit Bildern bei gulli.com (weiter)

Drei Tage lang informierte das Bundeskriminalamt (BKA) auf seiner Herbsttagung über das Thema "Tatort Internet". Verglichen mit dieser "Fernuniversität des Terrors, die rund um die Uhr geöffnet hat", so BKA-Chef Ziercke, war das recht kurz, doch die Nachricht kam rüber: Den straffreien Raum Internet wird es nicht geben, weil es ihn nicht geben darf. Zum guten Schluss kamen im Rahmen einer Podiumsdiskussion erstmals die Kritiker der Online-Durchsuchung zu Worte.

ZDF-Moderator Steffen Siebert hatte keine Mühe, die Diskussion in Gang zu bringen, dazu waren die Positionen zu klar vorgegeben. Der ehemalige Bundesinnenminister Baum, Beschwerdeführer beim Bundesverfassungsgericht, tat die Online-Durchsuchung als überflüssig ab und kritisierte die Arbeit der gesetzgebenden Politiker als Schluderei. Moderater gab sich Bundesdatenschützer Peter Schaar. Er habe keine Bedenken, wenn mit der Online-Durchsuchung tatsächlich gegen Terroristen ermittelt werde. Er habe aber Probleme damit, wenn das Verfahren auf umfangreiche Vorfeldermittlungen ausgeweitet werde. Als Beispiel führte Schaar die Kontoabfrage an, die zunächst nur für schwerste Straftaten wie Terrorismus und organisierte Kriminalität gedacht war und nun zur Kontrolle von Hartz-IV-Beziehern verwendet werde. (weiter)

Die Verschlüsselung des VoIP-Anbieters Skype stellt das deutsche Bundeskriminalamt (BKA) vor "gravierende Probleme". Das sagte Jörg Ziercke, Präsident des BKA, gestern, Donnerstag, anlässlich einer Tagung zum Thema Internetkriminalität. BKA-Experten können die Telefongespräche, die über den beliebten VoIP-Dienst getätigt werden, nicht entschlüsseln. Hier kommt einmal mehr der Bundestrojaner ins Spiel. "Wir müssen die Gespräche entweder an der Quelle abfangen bevor sie verschlüsselt werden oder beim Empfänger nachdem sie dechiffriert wurde", so Zierke.

"Skype verwendet erstens einen Algorithmus, der bis jetzt noch nicht geknackt wurde, und zweitens werden die Datenpakete über ein verschlüsseltes P2P-Netzwerk gesendet", erläutert der Sicherheitsexperte Günther Wiesauer, CEO des Securityunternehmens underground_8 , im Gespräch mit pressetext. Die verschickten Datenpakete können somit auch kaum identifiziert werden, so Wiesauer weiter. Diese hohe Sicherheitsstufe des VoIP-Anbieters stellte selbst sein Unternehmen bereits vor Probleme. "Wir haben die Linzer Universität mit unserer Sicherheitslösung ausgestattet. Da es sich dabei um ein öffentliches Netzwerk handelt, ist es aus rechtlichen Gründen verboten, via Skype zu telefonieren", berichtet Wiesauer. Aufgrund der mühsamen Identifikation der Datenpakete können sie kaum abgefangen werden, daher mussten die Techniker bereits die Skype-Anmeldung, wo die Daten noch klar vorliegen, verhindern.  (weiter)

UK terror law change kicks in

[theregister.co.uk] An animal rights activist has been ordered to hand over her encryption keys to the authorities.
Section Three of the Regulation of Investigatory Powers Act (RIPA) came into force at the start in October 2007, seven years after the original legislation passed through parliament. Intended primarily to deal with terror suspects, it allows police to demand encryption keys or provide a clear text transcript of encrypted text.
Failure to comply can result in up to two years imprisonment for cases not involving national security, or five years for terrorism offences and the like. Orders can be made to turn over data months or even years old.
The contentious measure, introduced after years of consultation, was sold to Parliament as a necessary tool for law enforcement in the fight against organised crime and terrorism.

But an animal rights activist is one of the first people at the receiving end of a notice to give up encryption keys. Her computer was seized by police in May, and she has been given 12 days to hand over a pass-phrase to unlock encrypted data held on the drive - or face the consequences. (weiter)

Online-Durchsuchung müsse rasch eingeführt werden

[de.internet.com] Der Präsident des Bundeskriminalamtes, Jörg Ziercke, hat die Erlaubnis zur Online-Durchsuchung als unerlässlich für den Kampf gegen den Terror bezeichnet und vor dem Hintergrund der jüngsten Festnahmen von drei Terrorverdächtigen im Sauerland dafür plädiert, sie möglichst rasch einzuführen. "Es ist wichtig, dass wir online auf die Festplatte kommen, weil die dort abgespeicherten Informationen in der Regel verschlüsselt sind", sagte er der in Halle erscheinenden 'Mitteldeutschen Zeitung' (Dienstagsausgabe). "Verschlüsselung darf nicht vor Strafverfolgung schützen und wirksame Gefahrenabwehr unmöglich machen. Das wäre unerträglich. Es geht um Terrorismus und herausragende Formen der Organisierten Kriminalität. Wir erwarten Anfang des Jahres Hinweise des Bundesverfassungsgerichtes, wie diese Norm auszugestalten ist. Ich kann mir nicht vorstellen, dass das Gericht sagt: Die Online-Durchsuchung ist grundsätzlich nicht erlaubt." (weiter)