Krypto e.V.

Das Anti-Spam-Projekt Spamhaus hat im Streit mit der US-Justiz Schützenhilfe von der obersten Internetverwaltung ICANN bekommen. Das US-Gericht von Nord Illinois beabsichtigt die Internetverwaltung zum Schließen der Spamhaus-Domain zu zwingen, da sich die Anti-Spam-Organisation stur weigert, sich dem vorangegangenen Schadenersatzurteil über 11,5 Mio. Dollar zu beugen (Krypto e.V. berichtete). ICANN erklärt in einer Aussendung, dass man die möglichen Forderungen des Gerichts mangels Zuständigkeit nicht erfüllen könne.

Die oberste Internetverwaltung reagiert damit, noch bevor es tatsächlich zu einem Beschluss von Seiten des Gerichts kommen konnte. ICANN hält fest, dass man weder in der Lage noch dazu autorisiert sei, einen Domain-Eintrag zu suspendieren. Dazu sei lediglich der Registrar befugt. Im Falle von Spamhaus ist das Tucows mit Sitz in Kanada und somit außerhalb der Reichweite des US-Gerichts. In bestimmten Fällen sei jedoch auch die Internet Registry für eine Suspendierung der Domain berechtigt, so ICANN. Für .org ist die Public Interest Registry zuständig. Diese hat den Sitz in Virginia und wäre somit wieder in Griffweite des Richters.

Konsequenzen dieser Causa wird es vermutlich auch in der Spamjäger-Fraktion geben. Bevorzugte Methode von Anti-Spam-Organisationen ist das Blacklisting. Dabei wird beim Filtern auf Listen zurückgegriffen, die vermeintliche und tatsächliche Spammer anführen und deren Mails rigoros blocken. “Bei Blacklists stellt sich allerdings immer die Frage, wie zuverlässig sie sind. Die bessere Methode sind Whitelists”, meint Frank Ackermann, Jurist beim eco Verband der deutschen Internetwirtschaft. In Whitelists werden Adressen angeführt, die vertrauenswürdig sind. Hier gelten strenge Auflagen und bei Verstößen drohen Sanktionen für den eMail
-Versender. “Die Blacklist-Betreiber werden künftig vorsichtiger sein und müssen sich bessere Argumente zurecht legen, sobald sie eine Adresse permanent blocken. Diese Begründungen müssten dann auch einer gerichtlichen Prüfung standhalten können”, so Ackermann.

Abseits des juristischen Geplänkels bleibt abzuwarten, ob Richter Charles Kocoras sein Vorhaben in die Tat umsetzen wird. Spamhaus-Gründer Steven Linford geht davon aus, dass sich zuvor politische Stellen des Falles annehmen werden und sich um Schlichtung bemühen. Auf dem Spiel steht die Entfachung einer erneuten Diskussion über die US-Vorherrschaft im Internet.

US-Forscher haben eine Methode entwickelt, um Daten über öffentliche Glasfaserleitungen zu übertragen und sie dabei so gut zu verstecken, dass es nahezu unmöglich ist, sie abzufangen und zu entschlüsseln. Bernard Wu und Evgenii Narimanov von der Priceton University präsentierten die Technik auf dem aktuell stattfindenden Treffen der Optical Society of America. Anwender dafür orten sie sowohl in der Wirtschaft, als auch in Regierungskreisen, denn die Übertragungsmethode stelle eine günstige und sichere Möglichkeit dar, hoch sensible und geheime Dokumente und Informationen über das öffentliche Netz zu verschicken – sozusagen vor der Nase aller.

Die Methode sei überaus sicher, betonen die Entwickler. Selbst wenn jemand weiß, dass eine geheime Übertragung stattfindet, macht es die kleinste Wissenslücke über den verwendeten Schlüssel immens schwer, die richtigen Daten abzufangen. Sie sind unter den viel stärkeren Signalen des normalen Datenverkehrs sicher verborgen und sehr schwer zu entdecken.

Der Verbraucherzentrale Bundesverband (vzbv), die Verbraucherzentrale Schleswig-Holstein und das Unabhängige Landeszentrum für Datenschutz (ULD) haben ihren Ratgeber “Datenschutz für Verbraucher – 99+1 Beispiele und Tipps zum Bundesdatenschutzgesetz” neu aufgelegt. Die Broschüre soll auf verständliche Weise mit Alltagsbeispielen die Regelungen des Bundesdatenschutzgesetzes erklären sowie Tipps für Verbraucher und Unternehmen enthalten.

“Egal ob bei der Nutzung von Kundenkarten, zur Verhinderung unerwünschter Werbung, beim Surfen im Internet, Mitbieten oder Einkaufen im Internet oder im Umgang mit der Schufa – in vielen Bereichen laufen Verbraucher Gefahr, zu ‘gläsernen Konsumenten’ zu werden. Schützen kann sich, wer seine Rechte und mögliche Fallen kennt”, so die drei Herausgeber des Datenschutz-Ratgebers. Konsumenten sollten sensible Daten nur wenn unbedingt erforderlich preisgeben.

“Der uninformierte Kunde kann durch raffinierte Methoden dazu gebracht werden, vieles über sich zu offenbaren, um dann mit diesen Informationen von Wirtschaftsunternehmen über den Tisch gezogen zu werden. Wer weiß, wie Datenspuren zu vermeiden und eigene Datenschutzrechte durchsetzbar sind, wird nicht so leicht Opfer von Werbemanipulation, Hacking, Phishing oder Identitätsdiebstahl werden”, so die Hoffnung von Dr. Thilo Weichert, dem Leiter des ULD.

Die Wirtschaft selbst sollte ein ureigenes Interesse an mündigen Konsumenten haben, die sich nicht von Firmen übervorteilen lassen, die unseriös und rechtswidrig Verbraucherdaten verarbeiten, ergänzte Prof. Dr. Edda Müller, Vorstand des vzbv. Mit der gemeinsamen Broschüre würde Verbrauchern und Wirtschaft signalisiert, dass sie sich in der Informationsgesellschaft um Datenschutz “kümmern müssen und können”. Es gehe darum, den Unternehmen eine Anregung zu schaffen, Datenschutz stärker als Qualitätsmerkmal und Wettbewerbsfaktor zu verstehen.

Der Ratgeber “Datenschutz für Verbraucher” kann für 7,40 Euro inklusive Versand- und Portokosten gegen Rechnung bestellt werden; unter anderem im Online-Shop des vzbv.

Mit einem Urteil im Sinne der Klägerin hat das Oberlandesgericht Oldenburg entschieden, dass eine negative Bewertung bei eBay den Tatsachen entsprechen muss. In dem Streitfall kam die Abwicklung des Kaufes zwar nicht zustande, der darauf folgende Kommentar der Verkäuferin war laut Meinung des Gerichts aber nicht zulässig.

Über eBay wollte eine Frau ein Fitness-Laufband verkaufen, wie der deutsche Anwaltsverein berichtet. Die Klägerin ersteigerte das Gerät, holte es gegen Bezahlung ab und meinte dann zu Hause, an dem Laufband Defekte zu entdecken. Die Verkäuferin nahm das Gerät zurück, erstattete den Kaufpreis und trug als Bewertung ein: “Bietet, nimmt nicht ab, schade, obwohl selber großer Verkäufer”.

Die Käuferin klagte gegen diese Bewertung und bekam zum Teil Recht: Dass die Ware nicht abgenommen wurde, muss die Verkäuferin aus der Bewertung löschen (Aktenzeichen 13 U 71/05 -). Die Anwaltsvereinigung weist deshalb darauf hin, dass Bewertungen stets vollständig der Wahrheit entsprechen müssen. Nach Meinung der Anwälte kann bereits eine negative Bewertung bei eBay den Verkaufserfolg beeinträchtigen. Ist diese nicht gerechtfertigt oder unrichtig, sollte man notfalls auch gerichtlich dagegen vorgehen. (Quelle: Golem.de)

Illinois, USA – Das US-Gericht in Nord-Illinois verschärft die Gangart gegen das Anti-Spam-Projekt Spamhaus. Richter Charles Kocoras wies in einer “Proposed Order” die Internetverwaltung ICANN und Tucows, Registrar von Spamhaus, an, die betreffende Domain vom Web zu nehmen. Dem ist ein Schadenersatzurteil voraus gegangen, in dem Spamhaus zu einer Schadenersatzzahlung in der Höhe von 11,7 Mio. Dollar an das klagende eMail-Marketing
-Unternehmen E360Insight verdonnert wurde. Spamhaus ignorierte jedoch diesen Richterspruch.

Spamhaus-Gründer Steven Linford hatte bereits nach dem Urteil angekündigt, dass man dieses nicht beachten werde. Als Begründung wurde angeführt, dass die Organisation mit Sitz in Großbritannien britisches Recht befolge. An Gerichtsurteile in anderen Staaten fühle man sich nicht gebunden. Die Schadenersatzzahlung wurde folglich ebenso wenig geleistet, wie die Auflage des Gerichts erfüllt, wonach E360Insight von der Sperrliste genommen werden sollte. Klagen von Spammern, die ihre Mails nach Großbritannien schicken, sollten in Großbritannien verhandelt werden, forderte Linford.

Zu der jüngsten Entwicklung äußerte sich Linford auf der Webseite schriftlich und demonstrierte Selbstbewusstsein. “Wir glauben nicht, dass es zur Durchsetzung des vorgeschlagenen Urteils kommt, da dies Auswirkungen auf das Internet und Millionen User haben wird. Wir glauben, dass regierungsnahe US-Stellen zuvor noch einschreiten werden.” Die Schließung hätte immense Auswirkungen auf das Netz und würde ernsthafte Probleme in manchen Ländern verursachen. “Abgesehen von den technischen Aspekten ist der Großteil der 50 Mrd. von Spamhaus herausgefilterten Mails illegal, enthält Werbung für Medikamente, Pornographie oder stellt den Versuch von Betrug und Phishing dar. Meiner Meinung nach ist es sehr gefährlich, 650 Mio. Mail-Empfänger dieser Gefahr auszusetzen”, so Linford. Ferner ist sich der Spamjäger sicher, dass ICANN alles in ihrer Macht stehende tun wird, um sie Schließung zu verhindern. “ICANN versteht alle Dimensionen einer Schließung, die technische ebenso wie die politische (US-Kontrolle des Internets)”, so Linford.

Die Vorgehensweise von Richter Kocoras wird erneut die Diskussion über eine US-kontrollierte Internetverwaltung anheizen. Laut Matthiew Price, Professor an der John Marshall Law School, besteht für ICANN (Sitz in Kalifornien) kaum eine Möglichkeit, dieses Urteil abzuwenden. In seinem Blog schreibt er, dass die Anwälte der Organisation die Schließung höchstens verzögern könnten. Seiner Ansicht nach beabsichtigt der Richter, die Verantwortlichen bei Spamhaus an den Verhandlungstisch zu zwingen. Derartige Schließungs-Forderungen wurden von US-Gerichten schon häufiger als letzte Maßnahme in Erwägung gezogen, wenn Inhaber von allgemeinen Top Level Domains (.com, .net, .org) für das US-Gericht nicht fassbar waren. Bislang blieb es jedoch stets bei der Forderungen, die nie wirklich umgesetzt wurde. Das könnte sich nun ändern. Price geht davon aus, dass sich ICANN dem Gericht letztlich beugen wird.

Laut Linford gäbe es einige Möglichkeiten, den Betrieb seines Service trotz Schließung fortzuführen. So könnte man die Domain einfach wechseln oder lediglich von einer IP-Adresse aus operieren. “All diese Aktionen würden uns jedoch in eine kriminelle Ecke drängen. Wir wollen nicht bestraft werden, weil wir Spam bekämpfen. Normalerweise sorgen wir dafür, dass Spammer bestraft werden”, gibt sich Linford kämpferisch.

Mit einer Flut von verschiedenen Varianten überschwemmt derzeit der Spamta-Wurm das Internet. “In der letzten Woche haben wir über 67 neue Exemplare identifiziert”, sagt Margarita Mitroussi, Sprecherin des Anti-Viren-Unternehmens Panda Software. Insgesamt seien nun schon über hundert verschiedene Exemplare des Wurms im Umlauf. Die Experten gehen davon aus, dass der Wurm-Autor auf der Suche nach dem perfekten Schädling ist und die bislang aufgetauchten Variationen nur Testprogramme sind, mit denen die Effizienz der Programmierung ausprobiert werden soll.

Alle Muster der Wurm-Familie sind sehr ähnlich. Unterschiede gibt es im Nachrichtentext, der als Köder benutzt wird, in Größe und Format der verseuchten Datei, die an die Mail angehängt ist, sowie bei den Dateien, die auf den infizierten Rechnern kopiert werden. Variieren kann auch die Meldung, die während der Installation des Wurms angezeigt wird. So öffnet die CY-Variante den Notepad und zeigt eine Reihenfolge unsinniger Zeichen an, während Spamta.FQ ein Fenster mit der Meldung, dass das Update Programm erfolgreich installiert wurde, anzeigt. Gleichzeitig suchen alle Exemplare nach vorhandenen E-Mail-Adressen und versenden an diese Wurm-Kopien über die eigene SMTP-Engine.

Das massenweise Versenden von unterschiedlichen Varianten bezweckt die Erhöhung der Infektionswahrscheinlichkeit. Dabei wird die Schwachstelle von traditioneller AV-Software ausgenutzt, denn ohne Identifizierung des Schädlings und Update des Programms können neue Schdprogramme nicht abgewehrt werden. Die Lücke zwischen dem Auftauchen des Virus und der Aktualisierung der Virensignaturen wird zum Einschleusen des Schadcodes in den Computer genutzt. Diese Vorgehensweise ist schon von anderen Wurmattacken bekannt.

Was jedoch der Endzweck dieser Verbreitung im großen Stil ist, darüber können die Experten nur mutmaßen. “Die Spamta-Vertreter weisen derzeit noch kein hohes Schadpotenzial auf. Daher rechtfertigen die Auswirkungen den Aufwand des Autors nicht”, so Mitroussi. Vorstellbar ist, dass den Testexemplaren ein weitaus gefährlicherer Wurm folgen könnte. Die Experten gehen davon aus, dass anhand der Testversionen ein schädlicher Code entwickelt werden soll, der in kurzer Zeit eine große Anzahl von Rechnern infizieren kann. Findet der Wurm-Schreiber das passende Exemplar, wird er den Schädling wohl mit weiteren Features ausstatten, um seine wahren Absichten zu realisieren und weitaus schädlichere Aktivitäten auszuführen, so die Experten.

Schweizer Behörden prüfen derzeit den möglichen Einsatz von so genannten Trojanern, um Internettelefonate von Verdächtigen abzuhören, wie das Magazin VoIPphones.de berichtet. Das Abhören von Internettelefon-Gesprächen stellt die Polizei vor größere Probleme als das Abhören von herkömmlichen Telefonaten, bei denen die Leitungen von Telefonfirmen angezapft werden. Bei Internettelefonie ist dies nur sehr schwer möglich, da die Daten in Paketen und gesendet werden. Auch die verschlüsselt gesendeten Daten sind den Schweizer Behörden ein Dorn im Auge.

Der direkte Zugriff auf einen Computer scheint der einfachste Weg zu sein, um diese Probleme zu umgehen. Man schleust einfach einen Trojaner in das System, der versteckte Programme installiert. Ein solches Programm sendet die Gesprächsmitschnitte in kleinen Datenpaketen an einen Server. Falls der Computer vorzeitig ausgeschaltet wird, speichert die Software den Rest und sendet ihn, wenn der Rechner das nächste Mal eingeschaltet wird. Verborgen im Datenstrom wird der Trojaner vom Internetanbieter eingeschleust, Antivirensoftware oder Firewalls können das Programm angeblich nicht aufhalten.

Natürlich darf eine solche Überwachung nur mit richterlicher Genehmigung erfolgen. Ein weiteres Einsatzgebiet kann auch sein, die oftmals in Notebooks integrierten Mikrofone einzuschalten, um auch Gespräche innerhalb der Wohnung belauschen zu können. Juristen sind sich nicht einig darüber, ob die Verwendung von derartiger Software gesetzeskonform ist, da Internettelefonie bisher nirgends berücksichtigt wurde.

Unter den Schwergewichten der IT-Branche ist ein Wettrennen um Sicherheitsspezialisten entbrannt. Dabei stehen insbesondere mittelgroße Unternehmen im Fokus, die zu groß sind für eine Rolle als Nischenplayer und zu klein, um ein umfassendes Portfolio anzubieten, berichtet Cnet. “Sicherheit ist von einem ‘nice to have’ zu einem ‘must have’ geworden und die US-Konzerne geben Millionen aus, um dieses Problem zu lösen”, erklärt Analyst Peter Kruper von Morgan Stanley.

Den Analysten zufolge gelten etwa Unternehmen wie Trend Micro, McAfee oder Secure Computing als potenzielle Übernahmekandidaten. Den Konzernen könnte dabei in die Hände spielen, dass die Aktienkurse der Sicherheitsspezialisten in den vergangenen zwölf Monaten um zehn bis 20 Prozent gesunken sind. Während einige Anbieter von Sicherheitslösungen vor allem im mittleren Segment einer Übernahme wohl positiv gegenüber stünden, hat etwa McAfee mit einer Reihe von Zukäufen versucht, die kritische Masse zu erreichen und in der ersten Liga mitzuspielen.

Verbraucherschützer machen sich seit einiger Zeit für die Privatkopie stark. Nun startet der Verbraucherzentrale Bundesverband eine Protestaktion um auf die Problematik aufmerksam zu machen: im virtuellen Gefängnis können sich Internet-Nutzer aus Protest einsperren lassen.

Die Aktion läuft unter dem Motto “Privat kopieren ist kein Verbrechen”. Auf der Webseite www.wir-haben-privat-kopiert.de können Internet-Nutzer ihr eigenes Bild hochladen und damit ins virtuelle Gefängnis einziehen. Gleichzeitig können die Insassen erklären, warum sie freiwillig in den virtuellen Knast gehen.

Das Projekt soll verdeutlichen, dass Millionen Bürgern mit der Urheberrechts-Novelle eine Kriminalisierung drohe. Das Internet-Gefängnis ist Teil einer Informations-Kampagne der Verbraucherschützer, des Online-Netzwerk Campact und des Netzwerks freies Wissen.

“Es ist absurd, Millionen Bürgern mit Gefängnis zu drohen und sie auf eine Stufe mit kommerziellen Produktpiraten zu stellen”, sagte Christoph Bautz vom Online-Netzwerk Campact. “Bei einer nichtgewerblichen Kopie für den privaten Gebrauch handelt es sich schlimmstenfalls um eine Bagatelle.”

Nach dem ersten Entwurf der Urheberrechtsnovelle ist die Privatkopie nicht mehr erlaubt, wenn für die Kopie ein wirksamer technischer Schutz umgangen werden muss. “Damit wird das Recht auf Privatkopie faktisch abgeschafft”, sagte Patrick von Braunmühl, stellvertretender Vorstand des Verbraucherzentrale Bundesverbands.

Zusätzliche Brisanz gewinnt nach Ansicht der Kampagne der Entwurf zum neuen Urheberrecht mit dem ebenfalls geplanten “zivilrechtlichen Auskunftsanspruch gegenüber Dritten”. Medienkonzerne sollen das Recht erhalten, von Internetserviceprovidern die Herausgabe persönlicher Daten der Kunden zu erzwingen, die dann mit Klagen überzogen werden könnten. (Quelle: Netzeitung.de)

Softwareentwickler des Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben mit Prosecco ein Sicherheitswerkzeug für Webanwendungen entwickelt, mit dem man Dateien, Formulare oder Verträge einfach per Browser signieren und verifizieren kann. “Prosecco selbst ist nur die Hülle, in der verschiedene PlugIns ihre Arbeit verrichten”, erklärt Michael Hefert, Bereichsleiter Transaktions- und Dokumentensicherheit am SIT, im Gespräch mit pressetext.

Die Anwendung stellt sicher, dass die Informationen von der gewünschten Quelle stammen bzw. zur gewünschten Adresse gelangen. Dazu klinkt sich das Tool wie ein Proxy in den Browser ein. Prosecco funktioniert auch in der höchsten Sicherheitsstufe des Browsers und beugt so Proxy-Angriffen und Manipulationen vor. Er beherrscht sowohl TLS (Transport Layer Security) als auch SSL (Secure Sockets Layer), um Daten geschützt zu transportieren.