Archiv: (internet service) providers


05.10.2022 - 17:05 [ Felix Reda / Nitter ]

EU Commissioner @YlvaJohansson claimed that AI is capable of detecting unknown depictions of sexualized violence against children with over 90% accuracy & 99% precision. My #FOIA request reveals that her statement is based on industry claims: #chatcontrol

In the process of responding to my #FOIA request, the @EU_Commission asked for my snail mail address, asked for more time to consult with colleagues, misgendered me, failed to meet the extended deadline, all to finally admit that they believed whatever numbers #Meta published.

29.09.2022 - 19:09 [ Patrick Breyer #JoinMastodon / Nitter ]

@Senficon erklärt euch in 7 Minuten die fünf größten Gefahren der geplanten #Chatkontrolle, u.a. #Massenüberwachung, #ChillingEffects, #Uploadfilter, #Netzsperren, #Altersverifikation.

29.09.2022 - 19:03 [ Freiheitsrechte.org ]

Freiheit im digitalen Zeitalter – Chatkontrolle: Mit Grundrechten unvereinbar

Die EU-Kommission hat einen Entwurf für eine Verordnung vorgelegt, die Vorschriften zur Prävention und Bekämpfung sexueller Gewalt an Kindern (Chatkontrolle-Verordnung) festlegen soll. Die geplanten Regelungen werfen so erhebliche
grundrechtliche Bedenken auf, dass die GFF sich bereits vor einer Verabschiedung des Entwurfs in die Debatte einschaltet. Die wichtigsten Kritikpunkte
im Überblick.

24.09.2022 - 23:55 [ Euractiv.com ]

EU’s contempt for encryption puts all Europeans at risk

Every Internet user will find themselves more easily surveilled by the state and other actors. For Central and Eastern Europeans, where analogue surveillance and political retaliation were conducted within their lifetimes, the proposal would be a depressing rollback of the freedoms hard-won by previous generations.

Members of the LGBTQ+ community, abuse survivors, refugees, and minority groups that are the targets of discrimination or attack, will no longer find refuge on the Internet. Professions such as journalists, who depend upon encryption to keep themselves and their sources safe, will be less able to investigate corruption and criminality. The murders of Slovak journalist Ján Kuciak and Maltese journalist Daphne Caruana Galizia in recent years are a reminder of the high stakes for reporters who are exposed.

21.09.2022 - 13:35 [ Bundesministerium der Justiz und für Verbraucherschutz ]

Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation (Telekommunikations-Überwachungsverordnung – TKÜV)

§ 1 Gegenstand der Verordnung

Diese Verordnung regelt

(…)

4.
die Ausgestaltung der Verpflichtungen zur Duldung der Aufstellung von technischen Einrichtungen für Maßnahmen der strategischen Kontrolle nach § 5 oder § 8 des Artikel 10-Gesetzes oder nach den §§ 6, 12 oder 14 des BND-Gesetzes sowie des Zugangs zu diesen Einrichtungen,

(…)

§ 3 Kreis der Verpflichteten
(1) Die Vorschriften dieses Teils gelten für die Betreiber von Telekommunikationsanlagen, mit denen Telekommunikationsdienste für die Öffentlichkeit erbracht werden. (…)

§ 5 Grundsätze

(2) Zur technischen Umsetzung einer Anordnung hat der Verpflichtete der berechtigten Stelle am Übergabepunkt eine vollständige Kopie der Telekommunikation bereitzustellen, die über seine Telekommunikationsanlage unter der zu überwachenden Kennung abgewickelt wird. (…)

§ 8 Übergabepunkt (…)

(3) Wenn der Verpflichtete die ihm zur Übermittlung anvertraute Telekommunikation netzseitig durch technische Maßnahmen gegen unbefugte Kenntnisnahme schützt oder er bei der Erzeugung oder dem Austausch von Schlüsseln mitwirkt und ihm dadurch die Entschlüsselung der Telekommunikation möglich ist, hat er die für diese Telekommunikation angewendeten Schutzvorkehrungen bei der an dem Übergabepunkt bereitzustellenden Überwachungskopie aufzuheben.

§ 15 Verschwiegenheit

(1) Der Verpflichtete darf Informationen über die Art und Weise, wie Anordnungen in seiner Telekommunikationsanlage umgesetzt werden, Unbefugten nicht zugänglich machen. (…)

§ 27 Grundsätze, technische und organisatorische Umsetzung von Anordnungen, Verschwiegenheit

(2) Der Verpflichtete hat dem Bundesnachrichtendienst an einem Übergabepunkt im Inland eine vollständige Kopie der Telekommunikation bereitzustellen, die über die in der Anordnung bezeichneten Übertragungswege übertragen wird.
(3) Der Verpflichtete hat in seinen Räumen die Aufstellung und den Betrieb von Geräten des Bundesnachrichtendienstes zu dulden, die nur von hierzu besonders ermächtigten Bediensteten des Bundesnachrichtendienstes eingestellt und gewartet werden dürfen und die folgende Anforderungen erfüllen:

21.09.2022 - 13:30 [ Radio Utopie ]

Verfassungsgericht: B.N.D. kopierte seit 2002 die Telekommunikation am Internetknoten Frankfurt

(20. November 2016)

Beschluss 2 BvE 5/15 des Bundesverfassungsgerichts zur G-10 Kommission, in welchem die Verfassungsklage dieses durch die Verfassungsänderungen der „Notstandsgesetze“ und dem nachfolgenden ersten Artikel 10-Gesetz / G10-Gesetz in 1968 geschaffenen Geheimgerichts nicht einmal angenommen wird, ist nicht gelesen worden. Und wer ihn gelesen und verstanden hat lügt oder schweigt.

21.09.2022 - 13:25 [ Radio Utopie ]

Regierung kopiert Internet-Daten an Netzknoten seit 2005, auch “vom und in das Ausland”

(1. Mai 2015)

Das Gutachten des Max-Planck-Instituts für ausländisches und internationales Strafrecht vom Juli 2006 (hier gespiegelt) führte die ganze Liste von Beratungen in Bundestag und Bundesrat an, die der Verfügung der neuen TKÜV und der im Zuge dessen erfolgten Änderungen des Telekommunikationsgesetzes (TKG) vorangegangen waren und nachfolgten. Sie hatten bereits unter der „rot-grünen“ Regierung Gerhard Schröder (S.P.D.) / Joseph Fischer (Bündnis 90/Die Grünen) begonnen.

„Anhang 1: Chronologie zur Telekommunikations-Überwachungsverordnung (TKÜV)
– 22.01.2002: TKÜV tritt in Kraft
Inhalt: Telekommunikation mit dem Ausland ist nicht zu erfassen (§ 3 a.F. TKÜV; ab dem 24.08.2002 war dies in § 4 TKÜV geregelt)
– 30.04.2003: Referentenentwurf
Inhalt: § 4 TKÜV wird aufgehoben und damit die Auslandskopfüberwachung implizit ermöglicht
– 06.07.2004/ 03.09.2004: weitere Referentenentwürfe unterschiedlichen Inhalts
– 13.12.2004: Regierungsentwurf
Inhalt: § 4 TKÜV regelt Auslandskopfüberwachung explizit
– Januar 2005: Notifizierungsverfahren bei der EU-Kommission
– 12.08.2005 (nach Notifizierung): nochmalige Änderung der §§ 3, 4 TKÜV, BR-Drs. 631/05
– 03.11.2005 TKÜV-neu ausgefertigt (mit den nicht notifizierten Änderungen vom 12.8.)
– 08.11.2005 TKÜV-neu wird verkündet (BGBl. I., S. 3136)
– 09.11.2005 TKÜV-neu tritt in Kraft

Anhang 2: Chronologie zum Telekommunikationsgesetz (TKG)
– 25.06.2004: TKG verkündet
– 02.02.2005: Entwurf eines „Gesetzes zur Änderung telekommunikationsrechtlicher Vorschriften (Kabinettsentwurf), BT-Drs. 15/5213:
Inhalt: Entschädigungsregelung § 23 Abs. 5 JVEG (Übergangsregelung, bis die geplante Verordnung nach § 110 Abs. 9 TKG in Kraft tritt)
– 18.03.2005: Stellungnahme und Änderungsvorschläge des Bundesrates zu diesem Entwurf
– 07.04.2005: Gegenäußerung der Bundesregierung
– 15.04.2005: Entwurf wird in Ausschüsse überwiesen
– 19.04.2005: Änderungsantrag SPD/Grüne, BT-Drs. 15(9)1867:
Inhalt: Kostenregelung in einem § 113 a TKG und damit einhergehend Änderung von §23 Abs. 5 JVEG (bezogen auf § 113 a TKG)
– 12.05.2005: öffentliche Anhörung zum Entwurf
– 17.06.2005: Entwurf wird im Bundestag angenommen, BT-Drs. 15/5694:
Inhalt: ohne den vorgeschlagenen Kostenparagraphen § 113 a TKG
– 08.07.2005: Bundesrat beschließt Anrufung des Vermittlungsausschusses
– 05.09.2005: Vermittlungsausschuss vertagt Beratungen
Anmerkung: Damit ist der Gesetzentwurf gescheitert und muss in der neuen Legislaturperiode erneut eingebracht werden (Grundsatz der Diskontinuität, seit 18.09.2005 neuer Bundestag)
– 31.01.2006: Entwurf eines „Gesetzes zur Änderung telekommunikationsrechtlicher Vorschriften“
Inhalt: entspricht vollinhaltlich dem Entwurf vom 02.02.2005
– 06.03.2006: Stellungnahme des Bundesministeriums für Wirtschaft und Technologie zu diesem neuen Entwurf
Inhalt: Mahnung die Entschädigungsregelungen ins Gesetzgebungsverfahren einzubringen
– 17.05.2006: Neuerlicher Gesetzentwurf der Bundesregierung für ein „Gesetz zur Änderung telekommunikationsrechtlicher Vorschriften“
Inhalt: Novellierung des Kundenschutzes durch Integration der bislang in der Telekommunikations-Kundenschutzverordnung (TKV) enthaltenen Regelungen in das TKG; keine neuen Vorschläge zur Kostenregelung bei der TKÜ“

Diesen Mittwoch nun berichtete Radio Utopie von einer Kleinen Anfrage der Fraktion „Die Linke“ an die Bundesregierung im April 2012. Diese beinhaltete unter Punkt 16 ausdrücklich die Frage nach der „Überwachung von Telekommunikation..über den Frankfurter Netzknoten DE-CIX“ durch den Bundesnachrichtendienst.

Stellvertretend für die Regierung antwortete Kanzleramtsleiter Ronald Pofalla am 11. Mai 2012 den Abgeordneten über das, was diese bereits damals wissen mussten. Pofalla wörtlich:

„Gleichwohl wird die Bundesregierung nach gründlicher Abwägung dem Informationsrecht des Parlaments unter Wahrung berechtigter Geheimhaltungsinteressen nachkommen. Die Informationen werden als „Geheim“ eingestuft und dem Deutschen Bundestag zur Einsichtnahme übermittelt.“

Nach unserem Artikel sprach Fritz Mielert, langjähriger Aktivist in der Bürgerbewegung gegen Programm „Stuttgart 21“, via Twitter das Mitglied im Geheimdienste-Untersuchungsausschuss Konstantin von Notz (Bündnis 90/Die Grünen) auf den Inhalt unseres Artikels an (wir berichteten).

Der Rechtsanwalt Dr. Konstantin von Notz dazu:

„Ziemlich verquirlter Irrsinn.“

Es melde sich jetzt jeder weitere Ignorant, Contra, oder leidenswillige abendländische Christ, der allen Ernstes behauptet, alle Regierungsmitglieder, alle Abgeordneten und alle Vertreter der Landesregierungen hätten seit fast zehn Jahren von all dem nichts gewusst.

21.09.2022 - 12:05 [ UN.org ]

The right to privacy in the digital age – Report of the Office of the United Nations High Commissioner for Human Rights

56. With this in mind, OHCHR recommends that States:

(a) Ensure that any interference with the right to privacy, including hacking, restrictions to access and use of encryption technology and surveillance of the public, complies with international human rights law, including the principles of legality, legitimate aim, necessity and proportionality and non-discrimination, and does not impair the essence of that right;

(b) Conduct human rights due diligencesystematically, including regular
comprehensive human rights impact assessments, when designing, developing, purchasing, deploying and operating surveillance systems;

(c) Take into account, when conducting human rights due diligence and
assessing the necessity and proportionality of new surveillance systems and powers, the entire legal and technological environment in which those systems or powers are or would be embedded; States should also consider risks of abuse, function creep and repurposing, including risks as a result of future political changes;

(d) Adopt and effectively enforce, through independent, impartial and well-resourced authorities, data privacy legislation for the public and private sectors that complies with international human rights law, including safeguards, oversight and remedies to effectively protect the right to privacy;

(e) Take immediate measures to effectively increase the transparency of the use of surveillance technologies, including by appropriately informing the public and affected individuals and communities and regularly providing data relevant for the public to assess their efficacy and impact on human rights;

(f) Promote public debate of the use of surveillance technologies and ensure meaningful participation of all stakeholders in decisions on the acquisition, transfer, sale, development, deployment and use of surveillance technologies, including the elaboration of public policies and their implementation;

(g) Implement moratoriums on the domestic and transnational sale and use of surveillance systems, such as hacking tools and biometric systems that can be used for the identification or classification of individuals in public places, until adequate safeguards to protect human rights are in place; such safeguards should include domestic and export control measures, in line with the recommendations made herein
and in previous reports to the Human Rights Council;

(h) Ensure that victims of human rights violations and abuses linked to the use of surveillance systems have access to effective remedies. In relation to the specific issues raised in the present report, OHCHR
recommends that States:

Hacking

(a) Ensure that the hacking of personal devices is employed by authorities only as a last resort, used only to prevent or investigate a specific act amounting to a serious threat to national security or a specific serious crime, and narrowly targeted at the person suspected of committing those acts; such measures should be subject to strict independent oversight and should require prior approval by a judicial body;

Encryption

(b) Promote and protect strong encryption and avoid all direct, or indirect, general and indiscriminate restrictions on the use of encryption, such as prohibitions, criminalization, the imposition of weak encryption standards or requirements for mandatory general client-side scanning; interference with the encryption of private communications of individuals should only be carried out when authorized by an independent judiciary body and on a case-by-case basis, targeting individuals if strictly necessary for the investigation of serious crimes or the prevention of serious crimes or
serious threats to public safety or national security;

Surveillance of public spaces and export control of surveillance technology

(c) Adopt adequate legal frameworks to govern the collection, analysis and sharing of social media intelligence that clearly define permissible grounds, prerequisites, authorization procedures and adequate oversight mechanisms;

(d) Avoid general privacy-intrusive monitoring of public spaces and ensure that all public surveillance measures are strictly necessary and proportionate for achieving important legitimate objectives, including by strictly limiting their location and time, as well as the duration of data storage, the purpose of data use and access to data; biometric recognition systems should only be used in public spaces to prevent or
investigate serious crimes or serious public safety threats and if all requirements under international human rights law are implemented with regard to public spaces;

(e) Establish robust well-tailored export control regimes applicable to surveillance technologies, the use of which carries high risks for the enjoyment of human rights; States should require transparent human rights impact assessments that take into account the capacities of the technologies at issue as well as the situation in the recipient State, including compliance with human rights, adherence to the rule of law,
the existence and effective enforcement of applicable laws regulating surveillance activities and the existence of independent oversight mechanisms;

(f) Ensure that, in the provision and use of surveillance technologies, public-private partnerships uphold and expressly incorporate human rights standards and do not result in an abdication of governmental accountability for human rights.

21.09.2022 - 11:47 [ Netzpolitik.org ]

Client-Side-Scanning: UN-Menschenrechtskommissar erteilt Chatkontrolle deutliche Absage

(19.09.2022)

Der UN-Menschenrechtskommissar hat sich in einem Bericht zum „Recht auf Privatsphäre im digitalen Zeitalter“ (PDF auf unserem Server), der sich mit Trojanern wie Pegasus, der Rolle von Verschlüsselung sowie der Überwachung öffentlicher Räume beschäftigt, kritisch gegenüber der Technologie des Client-Side-Scannings ausgesprochen. Diese ist im Rahmen der Einführung einer Chatkontrolle in der EU als Überwachungstechnologie im Gespräch.

20.09.2022 - 12:41 [ Daniel Neun / Radio Utopie ]

#Internetsperren: Warum das Urteil des E.U.-Gerichtshofs nichts bedeutet

(27.03.2014)

1. Das heisst nicht „Europäischer Gerichtshof“. Das heißt „Gerichtshof der Europäischen Union“.

2. Die „Grundrechte“ der E.U. sind Folklore a la Dr. Seltsam Schäuble, die „umgesetzt“ werden „können“, Art.52 Abs.5. Die 2000 vom E.G.-„Parlament“ beschlossene Charta enthielt diesen außer Funktion setzenden Passus übrigens noch nicht.

3. Wer nach diesem #Internetsperren-Urteil des Gerichtshofs der „Europäischen Union“ immer noch an die E.U. als positives Projekt glaubt, ist ein Gläubiger oder wird dafür bezahlt. Mehr nicht.

4. Der #GhdEU schiebt sowieso alles an die „nationalen“ *schauder* Verfassungsgerichte zurück.

5. Lernt Lesen.

6. Stört meine Kreise nicht.

20.09.2022 - 12:35 [ Gerichtshof der Europäischen Union ]

Urteil des Gerichtshofs in den verbundenen Rechtssachen C-339/20 | VD und C-397/20 | SR

Es geht im Wesentlichen um das Zusammenspiel der einschlägigen Vorschriften der Datenschutzrichtlinie für elektronische Kommunikation im Lichte der Charta der Grundrechte der Europäischen Union (im Folgenden Charta) und der einschlägigen Vorschriften der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung.

(…)

Der Gerichtshof gelangt deshalb zu dem Schluss, dass es nach der Marktmissbrauchsrichtlinie und der Marktmissbrauchsverordnung in Verbindung mit der Datenschutzrichtlinie für elektronische Kommunikation und im
Lichte der Charta
nicht zulässig ist, dass die Anbieter von Diensten der elektronischen Kommunikation die Verkehrsdaten ab dem Zeitpunkt der Speicherung zur Bekämpfung von Straftaten des Marktmissbrauchs, u.a. von Insidergeschäften, ein Jahr lang allgemein und unterschiedslos auf Vorrat speichern.

20.09.2022 - 12:29 [ Spiegel.de ]

EuGH-Urteil: Deutsche Regelung zur Vorratsdatenspeicherung verstößt gegen EU-Recht

Wer hat geklagt?

Ausgangspunkt sind die Klagen der Provider SpaceNet und Deutsche Telekom von 2016. Das Verwaltungsgericht Köln hatte entschieden, dass die beiden Unternehmen nicht zur Vorratsdatenspeicherung verpflichtet seien. Die Bundesnetzagentur setzte die Durchsetzung der Regelung sogar insgesamt aus, kein Provider muss daher Verkehrsdaten speichern. Doch 2019 legte das Bundesverwaltungsgericht im Rahmen der Revision die Frage nach der Vereinbarkeit mit EU-Recht dem EuGH vor.

11.09.2022 - 16:00 [ HelpNetSecurity.com ]

TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys

(April 6, 2020)

Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.

11.09.2022 - 10:05 [ Bundesministerium der Justiz und für Verbraucherschutz ]

Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation (Telekommunikations-Überwachungsverordnung – TKÜV)

§ 1 Gegenstand der Verordnung

Diese Verordnung regelt

(…)

4.
die Ausgestaltung der Verpflichtungen zur Duldung der Aufstellung von technischen Einrichtungen für Maßnahmen der strategischen Kontrolle nach § 5 oder § 8 des Artikel 10-Gesetzes oder nach den §§ 6, 12 oder 14 des BND-Gesetzes sowie des Zugangs zu diesen Einrichtungen,

(…)

§ 3 Kreis der Verpflichteten
(1) Die Vorschriften dieses Teils gelten für die Betreiber von Telekommunikationsanlagen, mit denen Telekommunikationsdienste für die Öffentlichkeit erbracht werden. (…)

§ 5 Grundsätze

(2) Zur technischen Umsetzung einer Anordnung hat der Verpflichtete der berechtigten Stelle am Übergabepunkt eine vollständige Kopie der Telekommunikation bereitzustellen, die über seine Telekommunikationsanlage unter der zu überwachenden Kennung abgewickelt wird. (…)

§ 8 Übergabepunkt (…)

(3) Wenn der Verpflichtete die ihm zur Übermittlung anvertraute Telekommunikation netzseitig durch technische Maßnahmen gegen unbefugte Kenntnisnahme schützt oder er bei der Erzeugung oder dem Austausch von Schlüsseln mitwirkt und ihm dadurch die Entschlüsselung der Telekommunikation möglich ist, hat er die für diese Telekommunikation angewendeten Schutzvorkehrungen bei der an dem Übergabepunkt bereitzustellenden Überwachungskopie aufzuheben.

§ 15 Verschwiegenheit

(1) Der Verpflichtete darf Informationen über die Art und Weise, wie Anordnungen in seiner Telekommunikationsanlage umgesetzt werden, Unbefugten nicht zugänglich machen. (…)

§ 27 Grundsätze, technische und organisatorische Umsetzung von Anordnungen, Verschwiegenheit

(2) Der Verpflichtete hat dem Bundesnachrichtendienst an einem Übergabepunkt im Inland eine vollständige Kopie der Telekommunikation bereitzustellen, die über die in der Anordnung bezeichneten Übertragungswege übertragen wird.
(3) Der Verpflichtete hat in seinen Räumen die Aufstellung und den Betrieb von Geräten des Bundesnachrichtendienstes zu dulden, die nur von hierzu besonders ermächtigten Bediensteten des Bundesnachrichtendienstes eingestellt und gewartet werden dürfen und die folgende Anforderungen erfüllen:

11.09.2022 - 10:00 [ Netzpolitik.org ]

Vorratsdatenspeicherung: Faesers verwirrender Vorstoß

Als Alternative zur Vorratsdatenspeicherung gilt eine sogenannte Quick-Freeze-Lösung. Bundesjustizminister Marco Buschmann erklärte das im vergangenen Dezember so: „Telekommunikationsanbieter sollen bei einem konkreten Anlass auf richterliche Anordnung hin schnell Daten sichern müssen, damit Polizei und Staatsanwaltschaft sie dann auswerten können.“ Die Daten werden also „eingefroren“, bevor der Anbieter sie routinemäßig löschen würde.

11.08.2022 - 07:05 [ Haaretz ]

Pegasus Spyware Maker NSO Has 22 Clients in the European Union. And It’s Not Alone

European lawmaker Sophie in ‘t Veld, who is a member of the Pegasus inquiry committee, told Haaretz: “If just one company has 14 member states for customers, you can imagine how big the sector is overall. There seems to be a huge market for commercial spyware, and EU governments are very eager buyers. But they are very quiet about it, keeping it from the public eye.”

(…)

“We know spyware is being developed in several EU countries. Not least Italy, Germany and France,” in ‘t Veld said. “Even if they use it for legitimate purposes, they have no appetite for more transparency, oversight and safeguards. Secret services have got their own universe, where normal laws don’t apply. To an extent, that has always been the case, but in the digital era they have become all-powerful, and practically invisible and totally elusive.

11.08.2022 - 06:47 [ ORF.at ]

Russland „besetzt“ das ukrainische Internet

Auf der von Russland annektierten Halbinsel hat Moskau schon 2014 die Weichen für die Telekommunikation gestellt. Das russische Telekomunternehmen Rostelekom eröffnete dort einen Ableger unter dem Namen Miranda-Media, der jetzt der Knotenpunkt ist, über den auch Cherson ans Internet angebunden ist. Einziger Verbindungspartner von Miranda-Media ist Rostelekom, die Daten gelangen also weiter Richtung Moskau. Russland legte darüber hinaus auch ein 46 Kilometer langes Unterwasserkabel von der Hafenstadt Kertsch im Osten der Krim zum russischen Festland.

10.07.2022 - 20:54 [ Netzpolitik.org ]

Unter deutschem Vorsitz: G7-Staaten stützen EU-Politik zur Chatkontrolle

(08.07.2022)

Auf ihrem Treffen im November wollen die G7-Innenminister:innen Druck machen, damit Firmen mit Filtertechnologien nach sexualisierter Gewalt gegen Kinder suchen. Treiber ist Großbritannien, das mit einem Gesetz voranprescht. Auch Verschlüsselung ist davon betroffen.

08.07.2022 - 09:55 [ Netzpolitik.org ]

EU-Antiterror-Verordnung: Mit politisierten Behörden gegen Inhalte im Internet

„Es ist hochproblematisch, dass eine Behörde, die Regierungsweisungen unterliegt, Inhalte europaweit löschen lassen kann“, sagt der EU-Parlamentarier Patrick Breyer zu den neuen Befugnissen der ungarischen Medienaufsicht. „Das droht für politische Zwecke missbraucht zu werden“, warnt der Piratenabgeordnete.

Dass womöglich politisch abhängige Behörden mit grenzüberschreitenden Entfernungsanordnungen unliebsame Inhalte aus dem Netz fegen könnten, stand schon vor der Verabschiedung der Verordnung gegen Terrorinhalte in der Kritik. Schließlich einigte sich die EU darauf, dass eine Kopie der Anordnung an die zuständige Behörde des Mitgliedstaats gehen muss, in dem der Hostingdiensteanbieter angesiedelt ist. Diese Behörde kann die Anordnung zwar kontrollieren und ihr innerhalb von 72 Stunden widersprechen, muss sie allerdings nicht ausdrücklich bestätigen, damit sie wirksam wird.

30.06.2022 - 09:45 [ Wiz.io ]

Black Hat 2021: DNS loophole makes nation-state level spying as easy as registering a domain

(Aug 4, 2021)

We have no way of knowing whether the loophole has already been exploited: Anyone could have collected data undetected for over a decade.

We do know this is still an active threat vector – while two major DNS providers (Amazon and Google) have fixed the issue, others may still be vulnerable. As a result, millions of devices are potentially vulnerable.

(…)

After analyzing it, we learned it was dynamic DNS traffic from Windows machines that were querying the hijacked name server about itself. Dynamic DNS keeps DNS records automatically up to date when an IP address changes. It’s traditionally been used in large networks that host internal services, and use their own internal servers. In short, the traffic we received contained sensitive information that was never supposed to leave an organizations internal network.

The dynamic DNS traffic we “wiretapped” came from over 15,000 organizations, including Fortune 500 companies, 45 U.S. government agencies, and 85 international government agencies. The data included a wealth of valuable intel like internal and external IP addresses, computer names, employee names and office locations.

30.06.2022 - 08:55 [ HelpNetSecurity.com ]

TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys

(April 6, 2020)

Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.

30.06.2022 - 08:16 [ AVM.de ]

Filterlisten für Internetseiten erstellen

Tragen Sie die Adressen der Internetseiten, deren Aufruf Sie verbieten bzw. erlauben wollen, in der jeweiligen Filterliste ein:

1. Klicken Sie in der Benutzeroberfläche der FRITZ!Box auf „Internet“.
2. Klicken Sie im Menü „Internet“ auf „Filter“.
3. Klicken Sie auf die Registerkarte „Listen“.
4. Klicken Sie neben der benötigten Liste auf den Link „bearbeiten“.
5. Tragen Sie die Internetadressen ohne Präfix wie http, https oder www in das Eingabefeld ein. Drücken Sie nach Eingabe jeder Adresse die Leertaste.

Beispiel:
poker.com xxx.com aggro.tv
Klicken Sie zum Speichern der Liste auf „Übernehmen“.

Jetzt sind die Filterlisten eingerichtet.

25.06.2022 - 08:59 [ theRegister.com ]

Google: How we tackled this iPhone, Android spyware

We’re told it is potentially capable of spying on the victims‘ chat apps, camera and microphone, contacts book and calendars, browser, and clipboard, and beam that info back to base. It’s said that Italian authorities have used this tool in tackling corruption cases, and the Kazakh government has had its hands on it, too.

On Thursday this week, TAG revealed its analysis of the software, and how it helped dismantle the infection.

25.06.2022 - 08:49 [ ORF.at ]

Google: Spionageangriffe auf Handys in Italien

Google erklärte weiter, in einigen der nun aufgedeckten Fälle mit der Spähsoftware aus Italien hätten die Hacker die Spionagesoftware möglicherweise unter Zusammenarbeit mit Internetdienstanbietern eingesetzt. Daraus könne geschlossen werden, dass die Käufer der Programme Verbindungen zu staatlich unterstützten Akteuren hatten.

25.06.2022 - 08:08 [ Google Threat Analysis Group ]

Spyware vendor targets users in Italy and Kazakhstan

(23.06.2022)

Seven of the nine zero-day vulnerabilities our Threat Analysis Group discovered in 2021 fall into this category: developed by commercial providers and sold to and used by government-backed actors. TAG is actively tracking more than 30 vendors with varying levels of sophistication and public exposure selling exploits or surveillance capabilities to government-backed actors.

(..)

In some cases, we believe the actors worked with the target’s ISP to disable the target’s mobile data connectivity. Once disabled, the attacker would send a malicious link via SMS asking the target to install an application to recover their data connectivity. We believe this is the reason why most of the applications masqueraded as mobile carrier applications. When ISP involvement is not possible, applications are masqueraded as messaging applications. (…)

We assess, based on the extensive body of research and analysis by TAG and Project Zero, that the commercial spyware industry is thriving and growing at a significant rate. This trend should be concerning to all Internet users.

These vendors are enabling the proliferation of dangerous hacking tools and arming governments that would not be able to develop these capabilities in-house. While use of surveillance technologies may be legal under national or international laws, they are often found to be used by governments for purposes antithetical to democratic values: targeting dissidents, journalists, human rights workers and opposition party politicians.

08.06.2022 - 06:59 [ itweb.co.za ]

Gigamon releases 2022 TLS Trends Research based on 1.3trn network flows

Encrypt all feasible East-West traffic – The majority (65%) of East-West network traffic is now encrypted (up from 56% in 2020), leaving 35% of traffic unencrypted.

(…)

„This report seeks to provide real-world data on SSL/TLS usage,” said Bassam Khan, vice-president of product and technical marketing at Gigamon. “The findings illustrate why organisations need to rethink their decryption policies and procedures, particularly as TLS 1.3 gains further traction.”

06.06.2022 - 19:07 [ HelpNetSecurity.com ]

TLS 1.3: Slow adoption of stronger web encryption is empowering the bad guys

(April 6, 2020)

Asymmetric encryption is used during the “handshake”, which takes place prior to any data being sent. The handshake determines which cipher suite to use for the session – in other words, the symmetric encryption type – so that both browser and server agree. The TLS 1.2 protocol took multiple round trips between client and server, while TLS 1.3 is a much smoother process that requires only one trip. This latency saving shaves milliseconds off each connection.

06.06.2022 - 18:56 [ @o0RbR0o / Twitter ]

Ich würde ja gerne Mal: Einen Mailserver testweise komplett falsch konfigurieren und ein paar Monate nutzen. Meine Hypothese: 95% der aktiven deutschen Mailserver: -Sprechen kein TLS 1.3 -Achten allenfalls auf spf -Ignorieren fehlerhafte DKIM-Einträge.

12.05.2022 - 16:01 [ Daniel Neun / Rado Utopie ]

„Strategische Überwachung der Telekommunikation“: Die verschwiegene Infrastruktur der Totalüberwachung

(16.3.2015)

In der „Begründung zum Entwurf für eine Erste Verordnung zur Änderung Telekommunikations-Überwachungsverordnung“ vom 29. April 2002 schrieb die Regierung:

Die Überwachungsmaßnahmen nach den §§ 5 und 8 des G 10 zielen auf ein regional begrenztes Gebiet ab, über das Informationen gesammelt werden sollen. Sie beziehen sich auf internationale Telekommunikationsbeziehungen, soweit eine gebündelte Übertragung erfolgt. Das Besondere an der strategischen Fernmeldekontrolle ist dabei, dass aus einer großen Menge verschiedenster Sachverhalte einzelne ausgewertet werden, die sich hierfür aufgrund bestimmter Merkmale qualifizieren. (…)

Die hierfür bei den Verpflichteten zum Einsatz gelangenden technischen Einrichtungen sind (..) weniger komplex als die Einrichtungen, die zur Umsetzung der übrigen Überwachungsmaßnahmen erforderlich sind. Dies liegt insbesondere darin begründet, dass der Betreiber bei der technischen Umsetzung dieser strategischen Kontrollmaßnahmen keinen Bezug auf eine bestimmte Person oder Anschlusskennung zu beachten hat. Angesichts der wenigen Anbieter, die internationale Übertragungswege anbieten, auf denen eine gebündelte Übertragung erfolgt, ist davon auszugehen, dass insgesamt nur verhältnismäßig wenige technische Einrichtungen zum Einsatz kommen. (…)

Der Gesetzgeber hat bei der Novellierung des G 10 eine Frist von 2 Jahren eingeräumt, innerhalb der eine Evaluation der geänderten Möglichkeiten gerade mit Blick auf die strategische Kontrolle verlangt wird. Auch diese Vorschrift fordert unverzügliches Handeln bei der technischen und organisatorischen Umsetzung von Maßnahmen zur strategischen Überwachung der Telekommunikation.“

Dazu Heise.de am 1.Februar 2002:

„Offenbar, so vermuten nun Experten, will der Bundesnachrichtendienst wohl nun selbst 100 Prozent erfassen, um dann freiwillig nur 20 Prozent auszuwerten.“

06.05.2022 - 14:59 [ ITsecuritynews.info ]

New DNS Flaw Enables ‘Nation-State Level Spying’ on Companies

(7. August 2021)

DNSaaS providers (also referred to as managed DNS providers) rent DNS to other businesses who don’t want to maintain and protect yet additional network resources on their own.

(…)

The Wiz researchers stated, “We found a simple loophole that allowed us to intercept a portion of worldwide dynamic DNS traffic going through managed DNS providers like Amazon and Google,”
“The dynamic DNS traffic we ‘wiretapped’ came from over 15,000 organizations, including Fortune 500 companies, 45 U.S. government agencies, and 85 international government agencies.”
Employee/computer identities and locations and extremely sensitive data about organizations’ infrastructure, such as Internet-exposed network equipment, were among the

06.05.2022 - 08:59 [ UncensoredDNS.org ]

The Unfriendly Internet – Turning Off Cleartext Lookups in September

So, all DNS server operators have to deal with spoofed UDP traffic, doubly so for open recursive server operators. It requires a lot of fiddling with limits in the software used to detect attacks to adapt the constantly changing attack landscape. Sometimes the attacks look so much like regular traffic that it is tricky to tell attackers apart from real users, which is why many of you have had the unfortunate experience of being blocked as a false positive.

Without getting too technical: UDP traffic can be spoofed. This is primarily true because of lazy or incompetent ISPs not enforcing proper filters on their outgoing traffic.

02.04.2022 - 17:50 [ Open Observatory of Network Interference (OONI) ]

New blocks emerge in Russia amid war in Ukraine: An OONI network measurement analysis

(3rd March 2022)

– Different censorship techniques. To block websites, OONI data shows that Russian ISPs adopt the following censorship techniques (beyond throttling):

– DNS manipulation, redirecting in some cases to blockpages
– HTTP man-in-the-middle, serving blockpages
– TLS man-in-the-middle
– Injection of a RST packet after the ClientHello during the TLS handshake (most prevalent)
– Timing out the session after the ClientHello during the TLS handshake
– Closing the connection after the ClientHello during the TLS handshake

16.12.2021 - 05:06 [ bankinfosecurity.com ]

Senate Passes $768 Billion NDAA With Cyber Provisions

Lawmakers claim the bill is the widest expansion of CISA through legislation since the SolarWinds incident. Among other features, the NDAA authorizes CISA’s program to monitor IT and OT networks of critical infrastructure partners; and codifies a program providing businesses and state and local governments with model exercises to test their critical infrastructure.

16.12.2021 - 04:47 [ BGR,com ]

Nation-state hackers are already exploiting the scary Log4j vulnerability

Security researchers recently stunned the world with the Log4Shell hack, revealing that the entire internet is scrambling to patch a vulnerability in a widely used Java utility that many companies employ in their servers. Also known as the Log4j hack, the security issue allows hackers to get into computer systems without a password.

16.12.2021 - 04:45 [ theTimeshub.in ]

Threat 10 out of 10: Hackers are already exploiting a new vulnerability on computers around the world

According to the Finacial Times, up to December 14

hackers launched more than 1.2 million attacks, which affected hundreds of thousands of users.

Attackers have almost unlimited freedom to hack. The attack was quickly and easily deployed.
They extract the information they need, add record data to the server, delete it, switch to different servers, install ransomware.
Hackers can inject malicious software onto servers, install various programs (including for mining cryptocurrencies), steal confidential data, modify information and make changes to the service interface.

12.10.2021 - 11:04 [ Radio Utopie ]

Linke und Grüne wussten seit 2012 vom vollständigen Kopieren des B.N.D. an Netzknoten

(29. April 2015)

Die Telekommunikations-Überwachungsverordnung (TKÜV) der Regierung gilt auch für die Betreiber der Netzknoten. Im Mai 2012 unterrichtete die Regierung den Bundestag über Einzelheiten. Diese halten Parlament und Regierung bis heute geheim.

09.08.2021 - 08:11 [ theIntercept.com ]

XKEYSCORE: NSA’s Google for the World’s Private Communications

(July 1 2015)

These servers store “full-take data” at the collection sites — meaning that they captured all of the traffic collected — and, as of 2009, stored content for 3 to 5 days and metadata for 30 to 45 days. NSA documents indicate that tens of billions of records are stored in its database. “It is a fully distributed processing and query system that runs on machines around the world,” an NSA briefing on XKEYSCORE says. “At field sites, XKEYSCORE can run on multiple computers that gives it the ability to scale in both processing power and storage.”

04.07.2021 - 12:33 [ Reitschuster.de ]

„Sie verstehen schon, warum!“: Die ganz normale Angst im „besten Deutschland aller Zeiten“

Dann kommt ein Anruf. Der Mitarbeiter, der uns beim neuen Provider betreute, ist plötzlich abgezogen worden von dem Fall.

Dafür ist sein Abteilungsleiter, der „Chef“, dran: „Wir können mit Ihnen keinen Vertrag abschließen, Sie verstehen schon warum.“

15.05.2021 - 15:02 [ teleSUR ]

Brazil Joins Humboldt Project for Continental Fiber Optic Cable

Thus far, Chile, Argentina, and Brazil have supported the project, cast as „extraordinarily significant for regional integration.“ The officials expect that Paraguay and Bolivia will also participate.

28.03.2021 - 21:01 [ ORF ]

Gipfel EU-USA gegen sichere Verschlüsselung

Fakt ist, dass es derzeit eine solche Verpflichtung für Provider weder in den USA noch im EU-Raum gibt. Fakt ist weiters, dass der Europäische Gerichtshof – von der Vorratsdatenspeicherung angefangen – noch jede solche anlasslose Massenüberwachungsmaßnahme als grundrechtswidrig verworfen hat.

20.02.2021 - 07:04 [ researchgate.net ]

Cybersecurity-Regulierung 2021: Update

– Schaffung eines einheitlichen EU-Regulierungsrahmens als strategisches Ziel, Deutschland sollte als Vorreiter der europäischen Position agieren.

Cyber-Sicherheitsstrategie 2021

→ Aktuell: Beschlussfassung geplant für Mai 2021

Übersicht
– Deutsche Cyber-Sicherheitsstrategie 2021
– Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer
Systeme (IT-SiG 2.0)
– The EU’s Cybersecurity Strategy for the Digital Decade
– Proposal for a Directive on measures for a high common level of
cybersecurity across the Union, repealing Directive (EU) 2016/1148
(NIS 2)
– EU DID- und WK-Richtlinie inkl. nationaler Umsetzungsrechtsakte

20.02.2021 - 06:54 [ connect.geant.org ]

Running your own DNS service? There may be changes ahead.

(22.01.2021)

As a consequence of this directive’s quite broad definition of DNS, every organisation or individual running their own DNS will have to comply by registering their DNS service with ENISA, the EU agency for Cyber Security. This applies not only to top level domain DNS, but also to universities, companies of all sizes and ICT-enthusiasts who run their own DNS service at home.

20.02.2021 - 06:20 [ jdsupra.com ]

New EU Cybersecurity Strategy: European Commission Accelerates Push for EU to Lead in Cybersecurity Regulation

(24.12.2020)

Broadening the extra-territorial effect already in place under the current regime, selected providers of digital infrastructure or digital services who do not have a European establishment, but offer services in the EU, will also fall under the scope of the proposed NIS 2 Directive (and, to that end, will have to designate a representative in the EU). This will affect DNS service providers, TLD name registries, cloud computing service providers, data centre service providers and content delivery network providers, as well as providers of online marketplaces, online search engines and social networking services platforms.

20.02.2021 - 06:06 [ ec.europa.eu ]

Proposal for directive on measures for high common level of cybersecurity across the Union

(16.12.2020)

The Commission proposal establishes a basic framework with responsible key actors on coordinated vulnerability disclosure for newly discovered vulnerabilities across the EU and creating an EU registry on that operated by the European Union Agency for Cybersecurity (ENISA).