Kategorie Privatsphäre (6 Artikel)
Der Internet-Musikladen allofmp3.com war kürzlich wieder in aller Munde, als bekannt wurde, dass einige Kreditkartenfirmen keine Zahlungen mehr für diese Firma akzeptieren. Eine freche Bevormundung der Kunden, fand ich, und suchte nach einer alternativen Bezahlmöglichkeit für den genialen Musikshop.
Es gibt diese Alternative: paysafecard.com. Über einen kleinen Umweg (paysafecard und xrost) lässt sich Bargeld zu einem Guthaben bei allofmp3 machen. Der Vorteil ist, dass keine Kreditkartendaten bekannt gegeben werden müssen. Man kauft also anonym ein und bleibt von nervender Werbung verschont.
So geht's:
Die paysafecard gibt's beispielsweise an Tankstellen in Deutschland (leider noch nicht in der Schweiz). Sie kann in Einheiten von EUR 10, 25, 50 oder 100 bezogen werden. Es handelt sich eigentlich nicht um eine Karte, denn man erhält einen einfachen Kassenzettelausdruck, auf dem der 16stellige PIN der paysafecard aufgedruckt ist.
Um diesen PIN nun zu virtuellem Geld zu machen, wähle ich auf xrost.biz SIGN UP, gebe beliebige Anmeldedaten ein (die E-Mail-Adresse muss nicht existieren), wähle als Bezahlsystem paysafecard und klicke auf den Betrag, den ich von paysafecard abbuchen möchte.
Achtung, es werden Dollars abgebucht. Das bedeutet: Wenn man $10 von einer EUR 10 paysafecard abbucht, bleiben zum aktuellen Wechselkurs EUR 2.12 Guthaben auf paysafecard übrig, die erst einlösbar sind, wenn man eine weitere paysafecard kauft. Bei xrost müssen nämlich mindestens $10 aufs Mal abgebucht werden, wobei aber mehrere paysafecards mit kleinerem Restguthaben kombiniert werden können.
Ich wähle also bei xrost den Betrag von $10 aus. Ich werde auf eine Seite von paysafecard weiter geleitet, wo ich den 16stelligen PIN eingebe. Es erscheint ein mit OK zu bestätigender Dialog und schliesslich werden iCard Pin und iCard Claim angegeben.
Um diese iCard wiederum zu einem Guthaben bei allofmp3 zu machen, eröffnet man dort ein Konto (auch hier muss die E-Mail-Adresse nicht existieren), wählt als Zahlungsmittel XROST Prepaid iCards und gibt PIN und Claim ID ein. Als Zückerchen addiert allofmp3 10 % zur Gutschrift - ich kann nun also für $11 Musik einkaufen.
Die rechtliche Situation habe ich schon in einem früheren Artikel beschrieben. Heise online bietet eine Zusammenfassung zum Thema an.
Details (6 Kommentare) | Internet | Audio | Privatsphäre
Die Firma AOL etwas getan, was sie jetzt bitter bereut (Heise Online berichtete: Link 1, Link 2, Link 3, Link 4): Sie hat Suchanfragen von über 500'000 Mitgliedern über einen Zeitraum von drei Monaten publik gemacht - zu Forschungszwecken, wie es heisst.
Die Benutzernamen sind zwar durch zufällige Nummern ersetzt worden, trotzdem lassen sich aus den Daten eine Menge Informationen herauslesen, die zum Teil sogar zur Identifikation von Einzelpersonen führen können. Dem Datenschützer sträuben sich die Haare ob soviel Naivität beim Zugänglichkeitmachen von solch heiklen Daten.
AOL hat die rund 440 MB grosse, komprimierte Datei zwar von ihrem Server entfernt, aber bereits kursiert sie anderswo im Netz, auch in Tauschbörsen.
Ich habe mir einen dieser anonymisierten Datensätze angeschaut. Hier meine Erkenntnisse:
- Die gespeicherten Suchanfragen dieser Person sind über den Zeitraum vom 1. März bis zum 31. Mai 2006 vorhanden (dank Cookies mit langer Gültigkeit, die der Browser des Benutzers speichert, war es AOL möglich, die Suchanfragen immer wieder derselben Person zuzuordnen).
- Es fällt schnell auf, dass in den Suchbegriffen der amerikanische Bundesstaat Ohio besonders oft vorkommt. Die Kombination mit Youngstown ist auch häufig. Eine kurze Web-Recherche zeigt, dass dieser Ort tatsächlich in Ohio liegt. Aha, Youngstown ist höchstwahrscheinlich der Wohnort dieser Person.
- Suchbegriffe wie black on black fuck, nude africa, ebony big pussy legen den Schluss nahe, dass es sich um eine männliche, schwarze Person handeln könnte.
- Das Geschlecht wird hiermit wohl bestätigt: mossberg (Waffen), automatic knifes
- Die Person ist jüngeren Alters, wie ich aus den Interessen folgere: free wireless minutes, Gizmondo (Game-Handheld), tracfone hackz, mp3 players
- handwerklich begabt: maytag washer diy repair (er möchte die Maytag-Waschmaschine selber (do it yourself DIY) reparieren)
- fährt Auto: tire firestone service center, und zwar Jahrgang/Marke: 1998 dodge check engine light flashing
- health care crisis, health care insurance costs: finanzielle Probleme, Gesundheitsprobleme?
- gegen finanzielle Probleme spricht dieses: high end lcd tv, whirlpool refrigerator troubleshooter
- Wir erfahren auch, welche Druckermarke er hat: epson printer repair
- er oder die Partnerin schnarcht womöglich: www.sleepandsnoring
- darauf, dass er eine Partnerin hat, könnte dies hinweisen: rodier parfums
Fazit
Die Logs zu lesen und zu interpretieren ist fast so spannend, wie einen Krimi zu lesen.
Dass einige Erkenntnisse widersprüchlich sind, könnte auch daran liegen, dass der besagte PC von mehreren Personen im gleichen Haushalt benutzt wird.
Wenn Ermittlungsbehörden auf illegale Suchbegriffe in diesen Logs stossen, könnte es evtl. für einige AOL-Kunden ungemütlich werden: Es ist nicht auszuschliessen, dass bei einer eingehenden Recherche Personen identifiziert werden können. Oder noch einfacher: Die Polizei verlangt die Herausgabe der Kundendaten direkt von AOL, die sekundengenaue Zeit, zu der die Websuche stattfand, hat sie ja.
Ich empfehle, die Cookies im Browser regelmässig zu löschen, um es den datenhungrigen Internet-Unternehmen wie AOL, Google usw. zu erschweren, Nutzungsprofile zu erstellen. Firefox lässt sich so einstellen, dass Cookies beim Beenden des Browsers automatisch gelöscht werden.
Hilfreich ist auch, verschiedene Suchmaschinen zu verwenden.
Update 26.09.2006
AOL wegen Veröffentlichung von Suchanfragen verklagt.
Details (1 Kommentar) | Internet | Privatsphäre
Auf der Seite Fourmilab wird eine vollständig in JavaScript realisierte Textverschlüsselung angeboten, d.h. die Ver- und Entschlüsselung geschieht vollständig im Web-Browser.
Einsatzzwecke:
- Spontane Verschlüsselung eines Mailtextes. Der Empfänger braucht zum Entschlüsseln keine Software zu installieren.
- Sicheres Mailen ab einem fremden Computer, z.B. im Internet-Café.
Zum Sicherheitsaspekt: Die Ver-/Entschlüsselung geschieht lokal, es werden keine Daten übers Internet übertragen. Für Offline-Verschlüsselung ist eine lokale Version verfügbar. Im Quelltext der lokalen Version ist der gesamte JavaScript-Code enthalten, das Programm ist also quelloffen.
Details (1 Kommentar) | Internet | Privatsphäre
Mittlerweile geht der grösste Teil aller Internet-Suchanfragen über Google. Damit hat eine amerikanische Firma quasi die Kontrolle darüber, welche Informationen gefunden werden können: Missliebige Seiten können jederzeit aus dem Index entfernt oder ganz weit nach hinten geschoben werden.
Monopole sind schlecht für die Wirtschaft, Vielfalt ist wichtig. Ich möchte deshalb daran erinnern, dass es neben Google noch weitere empfehlenswerte Suchmaschinen im Internet gibt:
- http://ch.search.yahoo.com/ / http://search.yahoo.de
- http://search.msn.ch / http://search.msn.de
- http://ask.de / http://ask.com
- http://clusty.com
- http://seekport.de
- http://a9.com
- http://www.yacy-websuche.de
Von http://www.heise.de/ct/ftp/06/10/176/ lässt sich ein Zip-Archiv herunterladen, das Bookmarklets für einige der bekanntesten Suchmaschinen enthält.
Manchmal führen Suchmaschinen nicht zur gewünschten Auskunft. Dann kann eine öffentliche Anfrage an die Internet-Gemeinde helfen:
Update 12.07.2007
- http://www.scroogle.org/cgi-bin/scraper.htm
- http://www.exalead.com/search
- http://metager.de/
- http://metager2.de/
Details (1 Kommentar) | Internet | Privatsphäre
In Bülach und in ein paar anderen zürcherischen Gemeinden wird zum ersten Mal E-Voting angeboten: Beim Urnengang vom 30. Oktober 2005 kann jede(r) Stimmberechtigte(r) entscheiden, ob er seine Stimme wie bisher mit handschriftlichem Hinschreiben von Ja oder Nein auf dem Stimmzettel oder aber auf elektronischem Weg abgeben will.
Ich bin durchaus skeptisch gegenüber elektronischen Wahlverfahren, ich verweise dazu auf die Probleme, die schon die USA mit elektronischen Wahlsystemen hatten. Da ich von mir behaupten kann, schon einige Erfahrung mit Web-Applikationen zu haben, nahm mich wunder, wie die Online-Abstimmung technisch umgesetzt wurde.
Per Internet
Es handelt sich um eine per SSL verschlüsselte Seite, ein Abhören der Kommunikation ist also nicht möglich. Der Fingerprint des Server-Zertifikats ist auf dem Stimmrechtsausweis aufgedruckt. Man logt sich ein mit der User-ID, die auch auf dem Stimmrechtsausweis steht. Hat man seine Stimme bereits abgegeben, erfolgt eine entsprechende Mitteilung. Ansonsten geht es weiter mit einigen Erläuterungen, die per Mausklick abzunicken sind. Es ist zu überprüfen, ob das Gemeindewappen und der Name der Gemeinde angezeigt wird. Seine Stimme gibt man schliesslich per Klick auf Ja oder Nein ab. Nach dem Absenden des Formulars wird eine neue Seite aufgebaut, wo die abgegebene Stimme zur Ueberprüfung nochmals angegeben ist. Ich sollte jetzt auch überprüfen, ob das auf dem Stimmrechtsausweis aufgedruckte Symbol mit dem im Browser angezeigten übereinstimmt. Ich habe dann die Gewissheit, mit dem richtigen Server verbunden zu sein, denn ein böser Server könnte nicht wissen, welches Symbol auf meinem Ausweis aufgedruckt wurde. Zwei Eingaben sind jetzt noch zu machen: Der PIN (das Sicherheitssiegel auf dem Stimmrechtsausweis aufreissen und das Feld aufrubbeln) und mein Geburtsdatum. Das Geburtsdatum ist übrigens nicht aufgedruckt. Der Grund ist wohl, dass aus dem Altpapier gefischte Stimmrechtsausweise so nicht zur spontanen Stimmabgabe motivieren können.
Per SMS
Die Stimmabgabe per Handy ist etwas komplizierter, da der verwendete Kommunikationskanal nicht verschlüsselt ist -
die Telefongesellschaft kann im Prinzip alle SMS mitlesen. Deshalb wird anstatt des Klartextes Ja oder Nein
ein dreistelliger Code eingetippt, dessen Bedeutung auf dem Ausweis ersichtlich ist.
Diese Codes sind selbstverständlich auf jedem Stimmrechtsausweis anders.
Es sind zwei SMS abzusenden: Die erste beinhaltet die User-ID, den Vorlagencode (um welche Abstimmung es sich handelt)
und den Code des Votums. In der zweiten SMS ist der PIN und das Geburtsdatum einzugeben. In beiden Fällen enthält
man sofort eine Bestätigungs-SMS.
Fazit
Die Behörden versichern, dass die elektronische Stimmabgabe mindestens ebenso sicher sei wie die herkömmliche Stimmabgabe. Auf der Benutzerseite ist das sicher so, ich konnte keine Schwachstellen entdecken. Man könnte sich höchstens fragen, ob die komplizierte Stimmabgabe per SMS wirklich nötig ist. Jeder am E-Voting interessierte dürfte einen PC mit Internetanschluss haben und wird das komfortable Abstimmen per Browser wählen. Ausserdem: Ist es sinnvoll, dass die Leute in der Beiz am Stammtisch mit Stimmrechtsausweis und Handy ausgerüstet ihre Stimme abgeben können?
Was die Serverseite betrifft: Für den Bürger ist das eine Black Box. Niemand kann mir sagen, ob meine Stimme als Ja oder Nein oder überhaupt gezählt wurde. Verfälschte Resultate durch Programmfehler oder Uebermittlungsprobleme sind möglich. Manipulationen an der Datenbank durch autorisierte Personen dürften keine Spuren hinterlassen. Hier ist durchaus Aufklärungsarbeit nötig, um das Vertrauen der Stimmberechtigten in das neue Verfahren zu stärken. Einige werden entgegnen, dass bei der Auszählung der Papierstimmen im Wahlbüro auch Manipulationsmöglichkeiten bestehen. Schon, aber diese Auszählung ist öffentlich und es sind viele Augen, die über die Einhaltung der Vorschriften wachen. Was beim E-Voting in den Computern abläuft durchschaut wohl niemand ausser die Programmierer dieser Software.
Die Stimmabgabe per Internet und per SMS lässt sich auf evotingdemo anonym ausprobieren.
Update 31.10.2005
Die Abstimmung verlief ohne Probleme. 37.3 % der Teilnehmer/Innen haben ihre Stimme elektronisch (per Handy oder Internet) abgegeben. Hier einige Links:
- http://www.heise.de/newsticker/meldung/65566
- http://www.tagi.ch/dyn/news/zuerich/555813.html
- http://www.nzz.ch/2005/10/30/zh/newzzEFF95AZM-12.html
Update 30.12.2005
Kritische Links zu e-voting:
Update 01.06.2006
Schweizer Regierung will elektronische Stimmabgabe schrittweise einführen: http://www.heise.de/newsticker/meldung/73786
Details (3 Kommentare) | Schweiz | Privatsphäre
