Formspring-Spam

Es erstaunt mich immer wieder, welcher Einfallsreichtum sich bei der Erfindung von Personal Spam entfalten kann…

Formspring ist einer dieser gehypten social startups, bei denen man sich fragt, wie man damit Geld verdienen will. Das Prinzip: Formspring erlaubt es Ihnen mit ganz einfachen Mitteln, beliebige Personen im Internet in die Lage zu versetzen, eine Frage an Ihre digitale Identität zu stellen (hier zum Beispiel an mich). Die können Sie dann beantworten und auf diese Weise das Profil Ihres digitalen Ichs nicht einfach blind aufbauen, sondern tatsächlich anhand dessen erweitern, was die anderen Ichs tatsächlich interessiert. Klar kann man das “Irgendwie” gebrauchen, aber ich fand schon immer, dass ist was für Popstars, die dann wiederum einen beschäftigen, der den Job für sie erledigt. Mich jedenfalls hat noch keiner etwas gefragt (na schön, ich habe vergessen, Formspring irgendwo einzubauen ;-)…

Das war noch nicht der Spam. Der Spam ist: Fake-Fragen, die keine andere Aufgabe haben, als irgendeine URL zu bewerben:

social spam bei Formspring: Falsche Freunde stellen Fake-Fragen, um bräsige URLs zu bewerben

Ich prophezeie: An jedem Eck, an dem wir künftig auch nur die Nasenspitze unseren digitalen Ichs aus der Deckung heben, wird künftig eine Marketingheini stehen, der uns sofort ein Ad drauftackert.

…natürlich kann man das auch einschränken, und zum Beispiel nur angemeldeten Nutzern eine Frage erlauben – aber dann ist ja der ganze Witz von Formspring weg.

Formspring Privacy-Einstellungen

Wikileaks goes DerWesten

Die Leak-heres kommen, nach openleaks.org nun auch andere. Es hat immerhin ein halbes Jahr gedauert, bis “die Medien” auf den Trichter gekommen sind: Meine Güte, warum leaken die Leute eigentlich bei *uns* nicht? (Die Frage stellte mir mal ein Chefredakteur, der sich zugleich weigerte, mit der Szene, über die Berichte haben wollte, auch nur in Kontakt zu kommen.) Die Antwort ist extrem vielfältig, einen einzelnen Aspekt will ich herausgreifen: Man will als Whistleblower natürlich die Gewähr haben, dass nicht 5 Minuten nach dem Ausposaunen von VS-NfD.DOCs die Handschellen klicken und man über die soeben eingetretene Tür geschleift wird. Okay, das ist paranoid, aber man kann bekanntlich seinen Job verlieren und die Aussicht auf 52 Jahre Haft ist auch kein Spaß, auch wenn sich nicht jeder Dokumente solcher Brisanz im Zugriff hat.

Den Bedarf für Leak-Systeme hat auch die WAZ-Mediengruppe erkannt, die sich mit “DerWesten” ein vergleichsweise moderne Medien gönnt, und eine eigene “anonyme Upload-Seite” gestartet. Mit ihr können Petzen petzen, Denunzianten denunzieren (deutsche Tradition!), Konkurrenzen die Konkurrenz fertig machen – aber eben auch besorgte Bürger, die in den Besitz geheimer und brisanter Dokumente gelangt sind, auf Missstände hinweisen – und dabei trotzdem (hoffentlich) anonym bleiben. Mich persönlich beschäftigt das Problem, wie man zum Beispiel *mich* anonym erreichen kann (und zwar so, dass ich antworten kann – das ist bei Whistleblowing ja eher nicht nötig) schon einige Zeit und ich werde noch darauf zurückkommen. Wie auch immer:

Die WAZ-Mediengruppe kann sich nun tatsächlich den Ordnen an die Brust heften, den ersten anonymen Datenupload einer Mainstream-Zeitung im deutschen Internet eingerichtet zu haben. Näheres finden Sie unter derwesten.de/recherche, der Datei-Upload ist über https://www.derwesten-recherche.org/upload möglich. Ich habe diesen nicht geprüft und weise hier nur auf *die Möglichkeit* hin.

Die ofiziellen Infos der WAZ finden Sie hier. Dort heißt es: “Die Verbindungen zum Dateiupload der Seite derwesten.de/recherche sind wie beim Online-Banking vollständig verschlüsselt und gesichert. Die Daten werden auf getrennten Systemen auf Servern im Ausland gespeichert. Dokumente oder Emails, die dorthin hoch geladen werden, sind zu keinem Zeitpunkt unverschlüsselt. Es besteht kein Kontakt zu den übrigen IT-Systemen der WAZ-Gruppe. Die Datenverbindungen können als abhörsicher gelten.”

Vorsicht: Es sei an dieser Stelle darauf hingewiesen, dass die WAZ-Leute nichts zur Speicherung der IP-Adressen des Uploaders sagen – und die ist mindestens ebenso wichtig wie die gesicherte https-Verbindung. Es versteht sich natürlich von selbst, dass IP-Verbindungsdaten nicht anfallen dürfen, aber man müsste man genauer nachfragen, was ich derzeit aus Zeitgründen nicht kann. Als Vorsichtsmaßnahme empfehle ich Einsteigern wenigstens dringend, sich mit Themen wie Anonymer Surfen und Spurenfrei surfen auseinanderzusetzen.

Das Thema wird mich hier noch beschäftigen, denn das Gegenteil der digitalen Identität ist natürlich die digitale Anonymität -und ebenso, wie die digitale Identität sich überall wie von selbst auftut, ist die digitale Anonymität verdammt schwer herzustellen. Aus Gründen der Klarheit werde ich Themen wie Identität und Anonymität im kommenden Jahr vermehrt von scareware.de hierher auslagern, sofern mir das die Zeit erlaubt. Es sei daher nochmal erwähnt, dass ich mich über ein zwei Mitstreiter durchaus freuen würde.

PS: Nachtrag vom 29.12.: Eine E-Mail an die WAZ vom 13.12. mit der Frage, wie genau man denn verhindern wolle, dass die IP-Adresse eines Uploaders bei der WAZ anfalle, blieb leider unbeantwortet. So was nennt man gemeinhin “vom Stamme Nimm”. Es ist um so bedauerlicher, als sich die WAZ bei diesem negativen Bericht über mangelhafte Anonymisierung beim WAZ-Whistleblow ausgerechnet darüber beschwert, dass man sie nicht kontaktiert hätte.  Nun ist mir klar, dass einen solchen Dienst einzurichten nicht besonders leicht ist. Allerdings sollte man es eben – nicht nur aus Gründen des Informantenschutzes – endweder gründlich tun (und diese Gründlichkeit transparent machen) – oder es ganz einfach sein lassen.

Jede digitale Identität hat einen Standort

Jede digitale Identität hat auch einen Standort. Der lässt sich mehr oder weniger genau bestimmen. Sehr anschaulich zeigen das Maps wie diese:

Large Visitor Globe

Der Punkt zeigt für völlig Fremde (wie den Server, der diesen Globus erzeugt) natürlich nicht Ihren wirklichen Standort an, sondern den Ihres Providers, aber um Ihnen eine Sprache zuzuordnen, reicht es aus, ebenso, um Ihnen aufgrund Ihrer Nationalität den Zugang zu bestimmten Daten zu verweigern, wie das zum Beispiel bei hulu.com der Fall ist.

Sie sehen also gar nicht “das Web”, Sie sehen “das Web, so wie es Ihrer digitalen Identität gestattet ist”.

Buugle weiß alles – über dich

Quelle:NDR N3 Extra 3

Facebook: Wir wollen Dich doch nur kennenlernen

Nettes Video bei N3 Extra3:

Rufen Sie nicht diese Seite auf (sonst werden Sie ein ganz klein bisschen anspioniert)

Ist natürlich “mostly harmless”, aber sicher nicht jedem bekannt:

So ein Schildchen kann sich jeder auf die Seite pappen, den Code gibt es frei auf danasoft.com.

“Daten bitte hier speichern, wo wir sie besser überwachen können”

Es muss US-Behörden ein leichtes sein, intime Gespräche mitzuschneiden. Anders ist nicht zu erklären, warum sich US-Offizielle gegen den Verkauf von ICQ an ein Nicht-US-Unternehmen aussprechen, mit der Begründung, jeder bekannte Verbrecher sei auf ICQ – und die Verbrechen dort seien schwerer zu ahnden, wenn die Server in Russland stehen.

Eigentlich sollte man sich denken: “Na und?”, denn dass US-Behörden einen Straftäter, der sich über ein elektronisches Medium strafbar gemacht hat, leichter fassen, wenn dieses Medium der eigenen Gerichtsbarkeit unterliegt, das liegt ja eigentlich auf der Hand.

Im Fall von ICQ, dessen Hersteller ursprünglich aus Israel stammt und das seit Ende der 90er zu AOL gehört, liegt der Fall so, dass die Server noch in Israel stehen, was kein Problem war, weil die USA und Israel ja eng verbündet sind – da tauscht man auch mal ein paar Daten aus, hey, es dient ja der guten Sache, siehe Navy CIS (die TV-Serie ;-). Doch die neuen russischen Besitzer von ICQ wollen das ICQ-Hauptquartier wohl umziehen – oder sie könnten es zumindest tun.

Auweh. Russen! Bolschewiken! Commies! Ja, da ist das Bohei plötzlich groß… Zitat ft.com:

“Israel and the US are close allies and in some cases US investigators have gained access to the chat transcripts on ICQ of criminal suspects”

Aha. Soso. Mit anderen Worten: Irgendwelche underfuckten Schlapphüte delektieren sich nächtens an den verschwitzen ICQ-Chats weltweiter Frischverliebter und speichern auf Staatskosten die Festplatten ihrer NSA-Server mit Dirty-Talk-Protokollen voll. Das allein fände ich schon ein bisschen klebrig, indes, es geht natürlich nicht um uns, die friedlichen Bürger, sondern um die schwarzen Schafe in unserer Mitte.

Der moderne Kriminelle chattet nämlich gern, vor allem hier drüben in Old Europe. Zitat ft.com:

“ICQ is [...] according to law enforcement investigators [...] one of the main avenues of communication for criminal groups in eastern Europe”

([...] = Kürzungen durch mich) und

“Every bad guy known to man [is on] ICQ,” one investigator said in an interview.

Wow. Every bad guy known to man. Bei dieser Aussage handelt es sich garantiert um eine überdrehte, wahlweise vom Geld-Gossenblatt FT oder vom interviewten Wichtigtuer. However: Aus diesem Grunde wollen laut diesem Bericht, den Sie allerdings nur lesen können, wenn Sie sich bei ft.com anmelden (und dann ziemlich genervt sind), sowohl DOD als auch Homeland Security nicht wirklich, dass die ICQ-Server nach Russland umziehen.

Das wirft ein interessantes Licht auf Aspekte, die zugespitzt folgende Schatten werfen:

• Chats werden mitgeschnitten, aber sicher nicht nur diese. Internetausdrucker drucken diese dann aus und investigators lesen das Papier dann. Kurz: das digitale Ich unterliegt Begehrlichkeiten. Erst recht, wenn die Server in den USA oder in deren extrem verbündeten Staaten liegen.
• Die USA wollen nicht, dass unsere digitales Ichs woanders liegen als im direkten Einflussbereich der USA, weil dann haben sie keinen optimalen Zugriff mehr drauf.
• Die USA hätten offenbar gern möglichst vollen Zugriff auf alle unsere digitalen Ichs.

Betrachten wir unsere Existenz nicht bloß als analoge, sondern auch als digitale, so könnte man tatsächlich davon sprechen, dass die US uns zwangsweise einbürgern wollen… ach Blödsinn. Lassen wir mal diese Polemik beiseite: Sie wollen zumindest nicht, dass ihre eigenen Landsleute digital ausgebürgert werden. Offenbar setzt sich zumindest dort langsam die Erkenntnis durch, dass unsere digitalen Ichs auch eine digitale Zugehörigkeit haben, die längst keine “Staatszugehörigkeit” mehr ist. (Hierzulande wird das wohl noch dauern.)

Es stellen sich paranoide Fragen:

• Ist es empfehlenswert, seine Daten bei einem US-Unternehmen speichern zu lassen, wo man gerne mal mitgeschnitten & abgehört wird? (Die unsrigen täten es sicher auch gern, stellen sich aber weitgehend blöd an.) Der Gerechtigkeit halber sei hinzugefügt, dass ich noch weniger gern meine Daten bei einem russischen Unternehmen gespeichert wüsste …
• Müssten deutsche Unternehmen gezwungen werden, offen zu legen, wo sie ihre Daten speichern (lassen)? Die Frage stellt sich vor allem mit steigender Bedeutung der Clouds, bei denen Rechenleistung und Speicherkapazität bei Dienstleistern eingekauft werden – gerne auch im Ausland.
• Kann man US-Unternehmen im Medien- oder IT-Bereich noch anders sehen als als “Staatsunternehmen”, die der freien Wirtschaft entzogen sind? Schließlich zeigt sich, dass “feindliche internationale Übernahmen” vor allem im Datenbereich im Sinne der Staatsräson wohl eher nicht erwünscht sind.

Dafür habe ich sogar Verständnis – und ich würde mir gelegentlich auch einen Hauch von Staatsräson nach US-Vorbild in unser Land wünschen. Denn unsere digitale Identität ist real, und sie befindet sich auf Servern in Nationen, deren Rechtsverständnis nicht immer unserem entspricht. Es ist höchste Zeit, sich das klar zu machen. Nur was tun?