Archiv

Archive for August 2009

Warum ich kein Skype habe – Alternativen

2009-08-21 49 Kommentare

Immer wieder fragen mich Leute, ob ich Skype nutze, empfehlen es mir, oder drängen es mir regelrecht auf. Ich kann das durchaus verstehen – soweit ich das bisher sehen konnte, handelt es sich um eine einfache und ohne Konfigurationsaufwand auch unter schwierigen Bedingungen gut funktionierende Sprachkommunikationslösung, sowohl für Gespräche zwischen zwei Personen als auch größere Konferenzen. Dazu ist Skype weit verbreitet. Dennoch habe ich Skype nicht und werde es auch nicht haben.

Skype ist proprietär, es handelt ich also nicht um Open-Source-Software, die jeder prüfen kann. Das an sich wäre für mich jedoch noch lange kein Grund, Skype zu verschmähen, ich nutze zahlreiche proprietäre Software, angefangen mit Windows. Das Problem bei Skype ist, dass die Programmdatei besonders gegen eine Analyse geschützt ist, und zwar in einer Art und Weise, die fast alle anderen mir bekannten Programme weit übertrifft. Auch der Netzwerkverkehr ist verschleiert, d.h. es ist nahezu unmöglich festzustellen, was Skype für Daten ins Internet übermittelt. Durch die Peer-to-Peer-Technik, welche von Skype verwendet wird, werden ständig Daten übertragen, selbst wenn man das System nicht nutzt. Darüber hinaus umgeht Skype Firewalls und ähnliche Schutzmechanismen routinemäßig, um problemlose und konfigurationsfrei funktionieren zu können. Wenn die Entwickler sich also entschließen würden, die Software für unlautere Zwecke zu missbrauchen, würde das sehr lange nicht auffallen, und bei einem nicht flächendeckenden Einsatz vermutlich gar nicht. Bei normalen Programmen hingegen, welche keine besondere Verschleierung nutzen, ist die Wahrscheinlichkeit groß, dass recht schnell jemand auf den Missbrauch aufmerksam werden und ihn öffentlich machen würde.

Diese Geheimnistuerei mag durchaus legitime Gründe haben, doch sie geht oft mit dem Prinzip „Security by Obscurity“ einher. Das bedeutet, dass ein System nicht wirklich sicher gemacht wird, sondern nur so kompliziert, dass ein Angreifer es möglichst nicht versteht und somit nicht angreifen kann. Das Problem dabei ist, dass früher oder später ein Angreifer das System verstehen wird – Security by Obscurity funktioniert nicht, wie zahlreiche Beispiele gezeigt haben. Natürlich ist es möglich, „Security and Obscurity“ zu betreiben, also ein System richtig abzusichern und es zusätzlich kompliziert zu machen. Dies geschieht jedoch oft nicht, und selbst wenn, verhindert es, dass Fehler von gutwilligen Personen entdeckt werden (und so behoben werden können), bevor ein Angreifer sie findet und missbraucht. Eine Analyse von Skype durch zwei Sicherheitsforscher, welche sich durch die Verschleierung von Skype gekämpft haben, lässt jedenfalls nichts gutes vermuten. (Dort werden auch die Verschleierung und deren Gefahren ausführlich erklärt.)

Darüber hinaus erfordert diese Geheimniskrämerei ein großes Vertrauen in die Entwickler. Skype wurde von drei Personen entwickelt, welche ebenfalls die Filesharing-Software KaZaa entwickelt haben. Diese Software war randvoll mit Adware und Spyware, also Software, die den Nutzer ausspioniert und mit Werbung „versorgt“. Diese Software wird von Antivirenprogrammen inzwischen (zurecht) meist als Schadsoftware („Malware“) eingestuft und ist oft schwer zu entfernen. Skype selbst wurde – trotz Verschleierung – bereits mehrfach bei fragwürdigen Aktionen ertappt, wie z. B. beim Auslesen von BIOS-Daten. Ich hoffe, das erklärt, warum ich Skype nicht traue. Es überrascht mich übrigens, dass einige Firmen diese Software sogar als firmeninternes Kommunikationsmedium nutzen, auch solche, die Wirtschaftsspionage befürchten müssen. (In vielen Firmen ist Skype allerdings explizit verboten, aus den oben genannten Gründen.)

UPDATE: Skype hat auch einfach mal so zusätzliche (Müll-)Software auf den Rechnern installiert, selbst wenn der Nutzer es ausdrücklich abgelehnt hat. Genau sowas meine ich. Das war übrigens nach dem Kauf durch Microsoft nach dem der Kauf durch Microsoft angekündigt war, geplant soll die Aktion schon länger gewesen sein.

Die Sprachübertragung bei Skype ist verschlüsselt. Diese Verschlüsselung schützt vor Dritten, nicht aber vor den Betreibern des Netzes. Einige der Alternativen bieten keine Verschlüsselung, bei anderen kann man eine Verschlüsselung nutzen, für welche man nicht einer fremden Stelle vertrauen muss.

Ich hatte bereits erwähnt, dass Skype vermutlich die einfachste solche Software ist. Dennoch gibt es brauchbare Alternativen. Durch die zunehmende Verbreitung von Festnetzflatrates ist das Telefon für Gespräche zwischen zwei Personen eine gute Alternative. Wenn es um internationale Gespräche geht, die aus Kostengründen über das Internet laufen sollen, bieten sich diverse SIP-Provider als Alternative zu Skype an. SIP ist (im Gegensatz zu Skype) ein standartisiertes Protokoll, weswegen es auch eine Fülle an Software gibt, welche mit SIP arbeitet. Beispielsweise bei sipgate bekommt man kostenlos einen Account, mit welchem man kostenlos mit anderen Sipgate-Nutzern und Nutzern zahlreicher anderer SIP-Netze (über ENUM) telefonieren kann. Darüber hinaus kann man kostenlos eine normale Festnetznummer (Ortsnetz) erhalten, über die man von normalen Telefonen erreichbar ist – über eine Festnetzflatrate sogar kostenlos. Skype berechnet für eine solche Ortsnetznummer eine recht hohe monatliche Grundgebühr. Sipgate bietet eine vorkonfigurierte Software an, mit der die Einrichtung sehr einfach ist. Alternativ kann man seine eigene Software nutzen oder den Sipgate-Account z. B. in einer FritzBox eintragen und dann per Telefon nutzen. Telefonkonferenzen sollen darüber auch möglich sein, allerdings scheint die Standardsoftware das nicht so richtig zu unterstützen. Eine weitere Möglichkeit sind diverse Messenger, welche jedoch meist ihr eigenes Süppchen kochen und somit nicht mit anderen Diensten kompatibel sind.

Telefonkonferenzen über eine Festnetznummer können mit Hilfe von Talkyoo durchgeführt werden.

Konferenzen über das Internet gehen zum Beispiel mit TeamSpeak, Ventrilo oder der Open-Source-Alternative Mumble, wobei für diese Programme jemand einen Server starten muss. Der Vorteil gegenüber Telefonkonferenzen und Skype-Konferenzen ist, dass auch große Teilnehmerzahlen möglich sind und „push to talk“ einstellbar ist (d.h. man einen Nutzer nur hört, wenn er eine Taste drückt, was störende Hintergrundgeräusche verhindert).

Wenn gemeinsam Texte erarbeitet werden sollen, ist Gobby hilfreich, ein Texteditor, bei welchem mehrere Nutzer an einer Datei arbeiten können. UPDATE: Eine bessere, einfacher zu bedienende und einzurichtende Alternative zu Gobby ist das webbasierte Etherpad, welches von Google aufgekauft und zu Open Source gemacht wurde. Einen öffentlichen Server hierfür bietet z. B. die Piratenpartei mit dem Piratenpad.

Wie ich hoffentlich gezeigt habe, geht es (teils mit Komforteinbußen bei der Einrichtung) auch ohne Skype, und oftmals sind die Alternativen speziell für bestimmte Einsatzzwecke gebaut und dafür dann deutlich besser als Skype. Man wird sicherlich mehrere der Alternativen installieren müssen, wenn man mit wechselnden Personengruppen kommunizieren will – aber gerade, wenn man sich auf eine Konfernzsoftware einigen muss, sollte man die Skype-Problematik bedenken.

Ergänzung: Für reine Textnachrichten (Instant Messaging) bietet sich Jabber/XMPP an. Das Protokoll wird von vielen auf den ersten Blick proprietär erscheinenden Messengern (z. B. Google Talk und die Web.de/GMX Multimessenger) genutzt, sodass eine gewisse Verbreitung gegeben ist. Jabbernutzer können unabhängig davon auf welchem Server sie sind mit Jabbernutzern anderer Server kommunizieren. Zusammen mit dem offenen Protokoll und der großen Anzahl verfügbarer Clients macht dies Jabber sehr attraktiv. Um als Alternative zu Skype zu gelten, fehlt jedoch gute Sprachchatunterstützung. Diese existiert zwar in Form der Jingle-Erweiterung, ist allerdings noch eher experimentell. (Einige Clients wurden in den Kommentaren erwähnt, wie stabil und untereinander kompatibel die schon sind weiß ich nicht.) Google Talk benutzt diese Erweiterung jedoch, sodass – sobald genug brauchbare Clients und Plugins für weit verbreitete Clients entwickelt sind – eine interoperable, plattformübergreifende Alternative zu Skype und proprietären Messengern entstehen wird. Ich gehe davon aus, dass die Zukunft in Richtung Jabber + Jingle gehen wird.

Update: Es wird auch desöfteren SIP Communicator / Jitsi empfohlen. Getestet habe ich es nicht, sieht aber vielversprechend aus (Jabber/XMPP, Jingle, und es ist open source)

Advertisements

Howto: Kinderpornographie im Internet melden

2009-08-17 15 Kommentare

Für Eilige: Hier klicken, um zur Liste der Beschwerdestellen zu springen.

Obwohl ich das Internet schon sehr lange sehr intensiv nutze, ist mir dort noch nie Kinderpornographie begegnet. Soweit ich weiß nichtmal in Form von SPAM-Betreffzeilen, die allerdings durchaus gelegentlich auf Jugendpornographie hinweisen.

Dennoch stellt sich die Frage: Was, wenn man doch mal auf sowas stoßen sollte? Eigentlich wäre es ja sinnvoll, so etwas zu melden, nur wohin? Die staatlichen Ermittlungsbehörden haben oft genug unter Beweis gestellt, dass sie nicht der geeignete Ansprechpartner sind. Es soll sogar zu Verfahren gegen Zufallsfinder, die kinderpornographisches Material gemeldet haben, gekommen sein. Daraufhin wurde mit „Netz gegen Kinderporno“ eine private Initiative gegründet, welche Beschwerden anonym weiterleitete. Diese wurde inzwischen wieder geschlossen, und zwar auf die Versicherung der Landeskriminalämter hin, gegen Zufallsfinder keine Verfahren mehr einzuleiten. Seitdem fordert die Seite dazu auf, Kinderpornographie wieder den Behörden zu melden.

Das BKA hat allerdings deutlich gemacht, dass deutschen Ermittlungsbehörden nicht zu trauen ist: Es überwacht(e) systematisch seine Fahndungsseiten, in der Hoffnung, die Gesuchten würden diese Seite auch aufrufen. Wenn man sich also beim BKA über aktuelle Fahndungen informiert hat, konnte man in Verdacht geraten. Damit hat das BKA sämtliches Vertrauen verspielt und deutlich gemacht, dass es keine Hilfe von Bürgern wünscht. Dazu kann ich auch die Kommentare zu einem Blogpost von Lawblogger Udo Vetter empfehlen. Nr. 4 berichtet davon, dass das BKA sich im Jahr 2000 nicht um Missbrauchsbeschwerden kümmern konnte, weil es ja über 70 Mails am Tag bekam und das zu viel Arbeit sei. Nr. 88 weist darauf hin, dass er nach einer angeblich anonymen Onlineanzeige bei der Polizei eine Zeugenvorladung bekommen hat. Das sind nur unverifizierte anonyme Kommentare, aber dieser Artikel des AK Zensur macht deutlich, dass der Kampf gegen Kinderpornographie beim BKA auf dem Dienstweg versandet. Es mag sein, dass die Landeskriminalämter da besser sind – aber bei Servern im Ausland werden die wohl erst recht nichts machen können.

Man sollte bedenken, dass es hier auch um Opferschutz geht. Wenn man also die Kooperation mit den Behörden aufgrund ihrer Praktiken einstellt, schadet man nicht wirklich der Behörde, sondern vor allem den Opfern. Da die Behörden aber eh nicht wirksam eingreifen, muss man einen sinnvolleren Weg finden. Davon abgesehen ist die Gefahr, durch die Behörden in irgendeiner Form belästigt zu werden, einfach zu groß, man muss auch an den Selbstschutz denken. Von einer Meldung an deutsche Behörden kann ich daher leider nur abraten. Stattdessen kann man sich an unabhängige Beschwerdestellen wenden, welche wohl etwas effektiver arbeiten. Drei davon möchte ich hier aufführen:

naiin (No Abuse in Internet) ist ein Verein, welcher eine eigene Beschwerdestelle betreibt. Anonymität wird zugesichert, die Angabe von Namen und/oder E-Mail-Adresse ist freiwillig. Das Webformular ist Anonymizer-freundlich (ein Schritt, kein CAPTCHA, kein JavaScript).

Die „Internet-Beschwerdestelle“ wird gemeinsam von eco (Verband deutscher Internetprovider) und fsm (Freiwillige Selbstkontrolle Multimedia-Diensteanbieter) betrieben. Insbesondere durch die Beteiligung von eco können in Deutschland gehostete illegale Inhalte gut bekämpft werden. Für ausländische Inhalte übernimmt die Internet-Beschwerdestelle die Weiterleitung über INHOPE. Die Internet-Beschwerdestelle bietet ein Webformular für die Meldung und fordert für die Meldung von Kinderpornographie keine persönlichen Angaben (ggf. muss JavaScript deaktiviert oder gültig aussehende Daten angegeben werden, für alle anderen Meldungen müssen Name und E-Mail angegeben werden). Das Formular scheint Anonymizer-freundlich (d.h. ohne Captcha, sollte ohne JavaScript funktionieren, nur ein Schritt) zu sein.

INHOPE ist ein Verband, der international Beschwerdestellen koordiniert. Auf der Meldeseite finden sich Links zu den einzelnen nationalen Meldestellen. Die meisten Meldestellen bieten eine mehr oder weniger vollständig übersetzte englische Version an, fast immer kann die Meldung anonym abgegeben werden.

Wer auf Nummer sicher gehen will, kann gängige Anonymisierungsdienste wie TOR oder JAP/JonDo nutzen, um die Beschwerde anonym abzuschicken.

Die Existenz und Funktionsweise (nichtstaatliche Organisationen, die die Provider kontaktieren) dieser Beschwerdestellen und ihre Effizienz im Vergleich zu BKA und Co. zeigen übrigens, dass ein staatliches Eingreifen im Internet weder nötig noch sinnvoll ist. Sollte jemand über Erfahrungen mit den Beschwerdestellen oder Ermittlungsbehörden (im Hinblick auf illegale Internetinhalte) verfügen, bitte über die Kommentarfunktion hier posten!

Man sollte niemals gezielt nach solchen Inhalten suchen, da man sich dabei sehr schnell strafbar machen kann. Der Bundestagsabgeordnete Jörg Tauss, welcher auf eigene Faust Ermittlungen anstellte, darf hier als abschreckendes Beispiel dienen – selbst wenn er freigesprochen werden sollte, ist sein Leben gründlich zerstört worden. Bei Zufallsfunden gilt: Auch offizielle Stellen weisen darauf hin, das man entsprechende Inhalte unverzüglich löschen sollte, um sich nicht strafbar zu machen. Also an sich selbst denken und unabhängig davon, ob man dadurch Beweise vernichtet, aufräumen. Cache und History entsorgen, entsprechende E-Mails löschen und Papierkorb leeren (falls man weiß wie, ggf. vorher die Header an die Beschwerdestelle schicken). (Für paranoide Fortgeschrittene: E-Mail-Ordner komprimieren, freien Speicherplatz überschreiben.) Selbst wenn man meint, per WHOIS oder ähnliches Details herausfinden zu können (z. B. um gleich den richtigen Provider zu kontaktieren), würde ich das lieber lassen, ehe man noch mehr Logeinträge irgendwo hinterlässt. Sollen sich die entsprechenden Stellen die Arbeit machen.

SICHERHEITSHALBER DER HINWEIS: Das Kommentarfeld unten ist KEINE Beschwerdestelle und nicht dazu geeignet, Meldungen abzugeben! Ich will hier keine Links auf Kinderpornographie haben, die Beschwerdestellen sind oben verlinkt.

Kündigung wegen Handyaufladens – oder doch wegen Wirtschaftsspionage?

2009-08-02 4 Kommentare

Sicher haben alle schon vom bedauernswerten Mitarbeiter gehört, der sein Handy auf der Arbeitsstelle aufgeladen hat und daraufhin entlassen wurde. Der WDR berichtet auch mit einem Beitrag darüber. Und dort in den Kommentaren hat jemand darauf aufmerksam gemacht, dass der Fall nicht so einfach ist:

Ungefähr bei 1:35 im Video ist das Kündigungsschreiben zu sehen. Dort ist tatsächlich von einer Kündigung wegen des Aufladens des Handys die Rede. Wie im Beitrag erwähnt, kann man davon ausgehen, dass dieser Grund vorgeschoben ist. Was der wirkliche Grund sein könnte, kann man dem Schreiben jedoch auch entnehmen: Es ist scheinbar die Rede davon, dass der Mitarbeiter trotz Aufforderung, das nicht zu tun, wiederholt Fotos von Maschinen gemacht hat. Leider zeigt die Kamera das Schreiben nicht vollständig, sodass ein Irrtum nicht auszuschließen ist.

Der „Vorfall“ mit dem Handy ist auf jeden Fall auch als Kündigungsgrund aufgeführt, was eine Sauerei ist, und meiner Meinung als juristischer Laie nach wird das auch dazu führen, dass ein Gericht die Kündigung verwerfen wird – zumindest, wenn die im WDR-Beitrag aufgestellte Behauptung stimmt, der Betrieb anderer privater Geräte am Arbeitsplatz sei geduldet worden.

Es ist auch unklar, ob es sich bei den fotografierten Maschinen um irgendetwas relevantes (Firmengeheimnis) handelt oder um ein harmloses Foto weit verbreiteter Maschinen, welches keinem Wirtschaftsspion von Nutzen sein könnte. Dennoch finde ich es schade, dass die Medien sich nur auf die Sache mit dem Handy stürzen, ohne zumindest zu erwähnen, dass da noch was ist. Wohlgemerkt: Ich maße mir hier nicht an, irgendwelche Aussagen darüber zu treffen, was denn nun genau passiert ist oder gar ob die Kündigung berechtigt war – ich bedauere nur, dass die Medien scheinbar nur den plakativen Teil der Geschichte erwähnen. (Ergänzung: Und zwar auch wenn sie erst heute darüber berichten).

Das Ganze wäre mir ohne den Kommentar von „Martin“ unter dem Video nie aufgefallen. Danke an den unbekannten Hinweisgeber! So ne Kommentarfunktion ist schon was praktisches…

Falls das Video entfernt werden sollte, habe ich natürlich von dem öffentlich verfügbaren, nicht kopiergeschützten Video eine Kopie gesichert (Privatkopie), um meine Behauptungen notfalls beweisen zu können. flvstreamer ist ein tolles Tool für das Sichern von RTMP-Streams.