Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

October 23 2013

Wikipedia geht gegen Sockenpuppen und schwarze Hüte vor

Jeder darf zur Wikipedia beitragen, Artikel erstellen, ergänzen und sich an Diskussionen beteiligen. Das ist ein Konzept mit vielen Vorteilen, aber es kann auch für ganz konträre Zwecke missbraucht werden.

TheDailyDot veröffentlichte am Anfang des Monats einen Artikel, in dem über die Erfahrungen des Wikipedia-Autors DocTree berichtet wurde. Er entdeckte durch eine Routinekontrolle in der Diskussion eines Artikels Sockpuppets. Sockpuppets sind Mehrfachaccounts eines einzelnen Nutzers. Sie können, besonders in Diskussionsforen, dazu missbraucht werden, seine Meinung zu verstärken, indem unterschiedliche Gesprächsteilnehmer simuliert werden.

Ausgehend von den fünf Sockpuppets aus dem ursprünglichen Artikel wurde dann ein ganzes Sockpuppet-Netzwerk enthüllt, das auf den User Morning277 zurückgeht. Das Auffinden von mutmaßlichen Sockpuppets ist z.B. mittels Vergleich von IP-Adresse und Browsereigenschaften möglich. Da die Ermittlung der IP-Adressen aber einen Eingriff in die Anonymität der Nutzer darstellt, sind nur wenige Admins der Wikipedia in der Position, diese Untersuchungen durchzuführen – und damit stark belastet.

Dennis Brown, einer dieser Admins, der auch intensiv zu der Hilfeseite: “Dealing with Sockpuppets” beigetragen hat, beschrieb seine Arbeitsbelastung:

Gestern habe ich wörtlich 12 Stunden darin investiert, 199 Sockpuppets zu bestätigen/taggen/blocken und es sind noch etwa 100 übrig, zusätzlich zu den paar Dutzend ungelisteten, denen man noch nachgehen muss. Ich bin ein bisschen ausgelaugt im Moment und habe vielleicht höchstens 25% der Arbeit fertig.

Sockpuppets arbeiten oft nicht im persönlichen Interesse, sondern kommerziell, indem sie als Black Hat Wikipediaseiten für Firmen und Organisationen erstellen und warten – indem sie sie durch Manipulation der Diskussion beispielsweise vor der Löschung bewahren. Die Dienstleistung bezahlter Wikipedia-Autorschaft wird sogar offen beworben, unter anderem von den Unternehmen MyWikiBiz und WikiPR, die jedoch vorgeben, sich an die Wikipedia-Regeln zu halten. WikiPR verkündet in seiner Service-Beschreibung sogar, Wikipedia-Admins zu beschäftigen.

Am Montag hat nun Sue Gardner, Geschäftsführerin der Wikimedia Foundation, auf dem Wikimedia Blog eine Stellungnahme veröffentlicht, in der sie die Praktiken von Sockpuppets und Black Hats verurteilt und auch Firmen dazu aufruft, verantwortungsvoll mit der Wikipedia umzugehen und die Nutzungsbedingungen zu respektieren, darunter Neutralität und Belegbarkeit der Artikel.

Bisher gibt es noch keine Meldung für Profilsperren in der deutschen Wikipedia. Viele Unternehmen, Organisationen und Personen öffentlichen Interesses sind auch hier aktiv. So lange sie jedoch registriert und verifiziert sind, ist eine Überprüfung der von ihnen editierten Artikel jedoch möglich. Eine Liste der bekannten Nutzer in Deutschland findet man hier.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 02 2013

Def Con und Black Hat: Hacker und Geheimdienste treffen sich in Las Vegas

bh

Quelle: Black Hat Events

So ziemlich jeder hat drüber berichtet – NSA General Keith Alexanders Keynote zum Start der Black Hat 2013 in Las Vegas. Im ersten Moment mag man denken, dass das Timing nicht hätte besser schlechter sein können – nur wenige Stunden zuvor hatte Glenn Greenwald neue Folien zu XKeyscore veröffentlicht, die darlegen, dass die Amerikaner wesentlich mehr abhören, als sie bisher zugaben. So müsste es doch ein Spießrutenlauf gewesen sein, wenn der NSA General vor einer Meute Hacker sitzt und über das größte Überwachungsprogramm in der Geschichte der Menschheit redet!? Nicht wirklich. Zum einen saßen im Raum vor allem professionelle, meist auf die ein oder andere Art und Weise vom Staat bezahlte, Sicherheits-Experte und -analysten. Somit war es für Gen. Keith Alexander eher wie ein Heimspiel – kein “Fort Meade Heimspiel”, aber zumindest recht nah dran.

Im Gegensatz zur Def Con ist die Black Hat eher die Recruiting-Platform für Geheim- und Sicherheitsdienst. So ist es auch verständlich, dass es Keith Alexander recht leicht fällt, den Diskurs zu verschieben. Dies Ausgangslage: Die NSA überwacht massenhaft und verdachtsunabhängig alle Menschen – einschlielich US Amerikaner. Nachdem Gen. Keith Alexander die Bühne verlässt: Jeder einzelne NSA-Analyst gibt sein Bestes für die Sicherheit des Landes und den Gleichzeitigen Schutz der Privatsphäre des Einzelnen. Wie hat er das geschafft?

1. Geheimdienstmitarbeiter setzen ihr Leben aufs Spiel, um die US Streitkräfte mit wichtigen Informationen zu versorgen.

I believe these are the most noble people we have in this country.

2. FISA Court hat die Aufsicht über jede Abhörmaßnahme und mit den Richtern ist nicht zu spaßen.

I’ve heard the court is a rubber stamp. I’m on the other end of that table, against that table of judges that don’t take any—I’m trying to think of a word here—from even a four-star general. They want to make sure what we’re doing comports with the constitution and the law, I can tell you from the wire brushings I’ve received, they are not a rubber  stamp.

3. Bisher gab es die wildesten Anschuldigungen, aber wenn die NSA mal wirklich überprüft wurde, wurde nie etwas gefunden.

But when people check what the NSA is doing, they’ve found zero times that’s happened. And that’s no bullshit. Those are the facts.

4. Das System ist bei weitem nicht perfekt, aber zur Zeit das beste, was es gibt. Die NSA ist auf die Hilfe der Community angewiesen, um es stetig zu verbessern.

The whole reason I came here was to ask you to help you to help us make it better. And if you disagree with what we’re doing, you should help us twice as much.

Mit diesen argumentativen Schritten hatte es Gen. Keith Alexander relativ souverän geschafft, den Diskurs zu verschieben. Es geht nicht mehr um grundsätzliche Fragen bzgl. Überwachungsstaat und Freiheit, sondern es geht darum, dass gerade Kritiker helfen sollten das System zu verbessern, da es Leben rettet. Zweifel an der Notwendigkeit und Rechtmäßigkeit dieses Überwachungssystems wurden somit beiseite geschoben und im Fokus steht nur noch: Wie können wir es besser machen? Mit der Rede im Hinterkopf ist es nicht mehr so verwunderlich, dass Jeff Moss – (ehemailder) Gründer der Black Hat und Def Con – dieses Jahr die Geheimdienstbehörden gebeten hat, von der Def Con wegzubleiben.

Zum Glück gab und gibt es auf beiden Konferenzen allerdings mehr zu sehen und zu berichten, als nur Keith Alexanders Rede. Ein paar der “Highlights“:

  • Brandon Wiley, Mitbegründer der Freenet-Platform und derzeitiger Entwickler beim Tor-Projekt, hat ein Tool entwickelt, das das Muster von Datenverkehr beliebig verändern kann. Jegliche Art von Datenverkehr hat bestimmte Muster. So sieht Mail-Verkehr “anders aus”, als ein Video-Stream oder Bit-Torrent. Deep packet Inspection analysiert u.a. diese Muster, um SSL-Verkehr, VPN-Tunnel oder Bit-Torrent zu blockieren. Mittels Wileys Tool namens ‘Dust’ ist es nun möglich das Muster z.B. eines VPN-Tunnels vor dem Versenden zu ändern, um von Deep Packet Inspection nicht erkannt zu werden. Das würde z.B. Menschen in authoritären Regimen ermöglichen sicher und verschlüsselt zu kommunizieren, selbst wenn DPI-Equipment eingesetzt wird.
  • Industrial Control Systems (IES) bezeichnet Steuercomputer z.B. in Heiz- oder Wasserkraftwerken, Atomkraftwerken und vielem mehr. Es war lange bekannt, dass diese Systeme oft nur unterdurchschnittlich gesichert sind. So gab es auf der Black Hat gleich 3 Präsentation, die Sicherheitslücken in diesen Systemen aufgedeckt haben.

One demonstration today will spray the audience with water from a replica water plant component forced to overpressurize. Another will show how wireless sensors commonly used to monitor temperatures and pressures of oil pipelines and other industrial equipment could be made to give false readings that trick automatic controllers or human operators into taking damaging action. A third talk will detail flaws in wireless technology used in 50 million energy meters across Europe that make it possible to spy on home or corporate energy use and even impose blackouts.

  •  Distributed Denial-of-Service (DDoS) Attacks über simple Werbe-Netzwerke. Ein anderer Vortrag auf der Black Hat hat gezeigt, wie Javascript Ads genutzt werden können, um einen Webserver in die Knie zu zwingen. Durch einen manipulierten Werbebanner haben es die Sicherheitsexperten geschafft ein bestimmtes Bild auf einem Test-Webserver so oft von 100.000 Besuchern laden zu lassen, dass der Webserver schlichtweg zusammengebrochen ist. Effektv wäre es einer Botnet-Attacke gleichzusetzen. Allerdings ist fraglich, wie effektiv diese Attacke gegen Websites ist, die DDoS Mitigation-Tools einsetzen.
  • Außerdem gab es noch gehackte iPhone-Ladegeräte, die root-Zugriff ermöglichten oder Sicherheitslücken in medizinischen Geräten, wie Herzschrittmacher u.ä.

Leider wird es von den wenigsten Präsentationen Streams geben. Letztlich sind Def Con und Black Hat aber, wie jedes Jahr, zu gleichen Teil Spielplatz, Hype-Maschine und “the place to be.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl