Unwichtige Fakten über die Türkei

Veröffentlicht am 5. April 2016 von Elias

Achtung, dieser Post enthält ein paar Datenbankabfragen in SQL. Allergiker mögen bitte genau jetzt mit dem Lesen aufhören.

$ psql mernis
psql (9.3.11)
Type "help" for help.

mernis=# select count(*) from citizen;
  count   
----------
 49611709
(1 row)

Die Türkei hat 49.611.709 gemeldete Einwohner.

mernis=# select address_city, count(*) 
mernis=#   from citizen 
mernis=#   group by 1 
mernis=#     having count(*) > 1000000
mernis=#   order by 2 desc;

 address_city |  count  
--------------+---------
 ISTANBUL     | 8829584
 ANKARA       | 3081443
 IZMIR        | 2791399
 BURSA        | 1784471
 AYDIN        | 1411630
 ADANA        | 1390497
 KONYA        | 1332240
 ANTALYA      | 1289687
 MERSIN       | 1098963
 KOCAELI      | 1018557
(10 rows)

Es gibt in der Türkei 10 Städte mit mehr als einer Million gemeldeter Einwohner. Übrigens hat die türkische Meldedatenbank folgende, für mich überraschende Eigenschaften:

  • Alle Daten sind in Großbuchstaben hinterlegt.
  • Es gibt keine türkischen Sonderzeichen. (Wenn Mustafa Kemal Atatürk, der Vater der Türken, wüsste, dass er in der Meldedatenbank zum »Vater der Turken« gemacht wird! Nein, diese Verunstaltung ist nicht von mir, sondern eine Eigenschaft der staatlichen Datenbank, die an vielen nach Atatürk benannten Straßen und Plätzen sichtbar wird.)

Ich wäre nicht überrascht, wenn Teile des Datenbestandes auf eine frühere Lochkarten-Lösung zurückgingen und sich von daher die Einschränkungen bis in unser Unicode-Zeitalter gehalten haben.

mernis=# select first, count(*) 
mernis=#   from citizen 
mernis=#   where gender='K' 
mernis=#   group by 1 
mernis=#   order by 2 desc 
mernis=#   limit 20;

  first  |  count  
---------+---------
 FATMA   | 1154707
 AYSE    |  893025
 EMINE   |  756629
 HATICE  |  658979
 ZEYNEP  |  315488
 MERYEM  |  214972
 ELIF    |  203543
 SULTAN  |  173627
 HULYA   |  166646
 SEVIM   |  163928
 SERIFE  |  158777
 FADIME  |  158131
 OZLEM   |  157157
 AYSEL   |  152450
 HANIFE  |  151887
 YASEMIN |  144333
 HACER   |  143326
 DILEK   |  143144
 HAVVA   |  139982
 ZEHRA   |  136409
(20 rows)

Dies sind die zwanzig häufigsten Frauennamen in der Türkei.

mernis=# select first, count(*) 
mernis=#   from citizen 
mernis=#   where gender='E' 
mernis=#   group by 1 
mernis=#   order by 2 desc 
mernis=#   limit 20;

  first   |  count  
----------+---------
 MEHMET   | 1172949
 MUSTAFA  |  898640
 AHMET    |  719375
 ALI      |  663121
 HUSEYIN  |  521223
 HASAN    |  487897
 MURAT    |  403148
 IBRAHIM  |  398216
 ISMAIL   |  382176
 OSMAN    |  282860
 RAMAZAN  |  278833
 OMER     |  237684
 YUSUF    |  230066
 HALIL    |  202444
 SULEYMAN |  201852
 ABDULLAH |  191434
 RECEP    |  154332
 MAHMUT   |  153623
 FATIH    |  153251
 METIN    |  145817
(20 rows)

Dies sind die zwanzig häufigsten Männernamen in der Türkei.

mernis=# select first, count(*) 
mernis=#   from citizen 
mernis=#   where first in ('ELIAS', 'FRANK', 'KEVIN') 
mernis=#   group by 1 
mernis=#   order by 2 desc;

 first | count 
-------+-------
 ELIAS |     4
 FRANK |     3
 KEVIN |     2
(3 rows)

Es gibt natürlich auch ein paar seltene Namen in der Türkei. Die beiden Kevins genießen mein aufrichtiges Beileid – aber immerhin werden sie nicht für Juden gehalten und mit wenig erfreulichen Wörtern beschimpft.

mernis=# select first, 
mernis=#        overlay(last placing '.' from 2 for 30), 
mernis=#        date_of_birth 
mernis=#   from citizen 
mernis=#   limit 10;

     first     | overlay | date_of_birth 
---------------+---------+---------------
 SERPIL        | D.      | 27/4/1969
 YAGMUR        | S.      | 6/11/1987
 SUNA          | Y.      | 8/5/1990
 DENIZ         | K.      | 13/4/1989
 NIHAL         | Z.      | 30/9/1974
 ESIN          | S.      | 25/6/1984
 IBRAHIM CIHAN | D.      | 15/12/1984
 GOKHAN        | G.      | 3/3/1983
 MERYEM        | D.      | 17/4/1961
 ALI           | E.      | 13/6/1977
(10 rows)

(Mit overlay habe ich den Nachnamen auf den ersten Buchstaben runtergekürzt. Die Menschen in der Türkei sind mit diesem Datenleck bereits gestraft genug, da muss ich ihre Namen nicht noch zusätzlich für jene veröffentlichen, die gar nicht dazu imstande sind, einen Datenbankserver aufzusetzen und die Daten zu importieren.)

Die Geburtsdaten sind als Text hinterlegt, was etwas ärgerlich ist, weil es einfache Abfragen erschwert. Tag, Monat und Jahr sind durch Querstriche getrennt. Noch ärgerlicher ist, dass die Angabe des Tages und des Monats in vielen Datensätzen fehlen, so dass ich die Daten nicht mit einer einfachen Funktion in eine verarbeitbare Datumsangabe konvertieren kann.

mernis=# select date_of_birth, count(*) 
mernis=#   from citizen 
mernis=#   where date_of_birth like '//%' 
mernis=#   group by 1 
mernis=#   order by 2 desc;

 date_of_birth | count 
---------------+-------
 //1934        |  5688
 //1926        |  4145
 //1930        |  3446
 //1933        |  2988
 //1929        |  2981
 //1931        |  2921
 //1928        |  2858
 //1932        |  2768
 //1936        |  2533
 //1927        |  2490
 //1937        |  2374
 //1935        |  2243
 //1938        |  1977
 //1939        |  1663
 //1944        |  1581
 //1925        |  1580
 //1924        |  1191
 //1923        |  1095
 //1940        |  1083
 //1956        |   957
 //1941        |   942
 //1946        |   838
 //1922        |   815
 //1942        |   774
 //1943        |   763
 //1945        |   697
 //1947        |   626
 //1921        |   603
 //1920        |   532
 //1950        |   501
 //1919        |   433
 //1917        |   381
 //1918        |   349
 //1916        |   348
 //1948        |   337
 //1949        |   330
 //1951        |   311
 //1914        |   266
 //1954        |   265
 //1952        |   263
 //1915        |   260
 //1953        |   240
 //1913        |   193
 //1912        |   174
 //1955        |   171
 //1960        |   153
 //1957        |   129
 //1911        |   115
 //1343        |   113
 //1910        |   106
 //1958        |    69
 //1909        |    64
 //1959        |    60
 //1342        |    45
 //1961        |    42
 //1969        |    33
 //1908        |    33
 //1962        |    31
 //1963        |    30
 //1906        |    28
 //1344        |    24
 //1973        |    23
 //1966        |    23
 //1967        |    22
 //1964        |    21
 //1965        |    20
 //1970        |    18
 //1968        |    15
 //1976        |    15
 //1978        |    15
 //1971        |    14
 //1975        |    12
 //1974        |    11
 //1972        |    10
 //1907        |    10
 //1905        |     9
 //1904        |     8
 //1980        |     8
 //1981        |     6
 //1340        |     5
 //1979        |     5
 //1977        |     5
 //1985        |     5
 //1894        |     4
 //1346        |     4
 //1341        |     4
 //1338        |     3
 //1901        |     3
 //1345        |     3
 //1899        |     3
 //1902        |     3
 //1898        |     3
 //1339        |     2
 //1900        |     2
 //1984        |     2
 //1903        |     2
 //1348        |     1
 //1896        |     1
 //1354        |     1
 //1982        |     1
 //1983        |     1
 //1355        |     1
 //1333        |     1
 //1353        |     1
 //1989        |     1
 //1352        |     1
 //1335        |     1
 //1330        |     1
 //1990        |     1
 //1991        |     1
(110 rows)

Dieses Fehlen des genauen Geburtsdatums betrifft vor allem ältere Datensätze, kommt aber auch in jüngerer Zeit ab und an mal vor. Ich gratuliere den Menschen, die bei ihrer Anmeldung ein Geburtsjahr 1330, 1335, 1352, 1354, 1333, 1354, 1348, 1339, 1345 etc. angegeben haben, übrigens zu ihrem gesegneten Alter! (Vermutlich handelt es sich nicht um ein gregorianisches Datum.)

mernis=# select birth_city, count(*) 
mernis=#   from citizen 
mernis=#   where date_of_birth='//1342' 
mernis=#   group by 1 
mernis=#   order by 2 desc;

   birth_city    | count 
-----------------+-------
 AKCAKOY         |     5
 GUNEY           |     4
 BURSA           |     4
 USAK            |     3
 KARAHUYUKAFSARI |     2
 ULUPINAR        |     2
 AKHISAR         |     2
 GAZIANTEP       |     1
 ALANKOY         |     1
 KARAABDULBAKI   |     1
 HIVRIS          |     1
 KIRLI           |     1
 DOMANIC         |     1
 BEYTUSSEBAP     |     1
 SARIKAMIS       |     1
 CAPAKCUR        |     1
 YAKA            |     1
 SEBINKARAHISAR  |     1
 MURUDU          |     1
 DENIZLI         |     1
 ZIRZANOS        |     1
 ORHANGAZI       |     1
 ALANKOY         |     1
 KARAABDULBAKI   |     1
 HIVRIS          |     1
 KIRLI           |     1
 DOMANIC         |     1
 BEYTUSSEBAP     |     1
 SARIKAMIS       |     1
 CAPAKCUR        |     1
 YAKA            |     1
 SEBINKARAHISAR  |     1
 MURUDU          |     1
 DENIZLI         |     1
 ZIRZANOS        |     1
 ORHANGAZI       |     1
 SALDA           |     1
 VERAS           |     1
 SINEK           |     1
 REFAHIYE        |     1
 SINCAN          |     1
 DUDEN           |     1
 REFIK           |     1
 PASINLER        |     1
(30 rows)

Eine Liste der Orte, in denen die 45 Menschen geboren wurden, die bei der Anmeldung das Geburtsjahr 1342 angegeben haben. (Die Beamten dort akzeptieren offenbar bei der Ausstellung einer Geburtsurkunde ein nicht-gregorianisches Datum.)

mernis=# select street_address, 
mernis=#        door_or_entrance_number as number, 
mernis=#        count(*) 
mernis=#   from citizen 
mernis=#   where address_city='ISTANBUL' 
mernis=#   group by 1, 2 
mernis=#   order by 3 desc 
mernis=#   limit 20;

         street_address         | number  | count 
--------------------------------+---------+-------
 SELAMET SOKAK                  | 5       |  2361
 KUCUKSU CADDESI                | 265     |  1799
 BASIBUYUK YOLU CADDESI         | 36      |  1439
 SABRI ULKER (G/62) SOKAK       | 37      |  1346
 510. SOKAK                     | 6 A /1  |  1214
 GUL SOKAK                      | 7       |  1073
 GUL SOKAK                      | 5       |  1060
 RUMELI FENERI YOLU KUME EVLERI | 1       |  1053
 ITU KUME EVLERI                | 1       |   995
 GUL SOKAK                      | 3       |   989
 GUL SOKAK                      | 8       |   965
 GUL SOKAK                      | 4       |   943
 GUL SOKAK                      | 6       |   899
 GUL SOKAK                      | 10      |   880
 GUL SOKAK                      | 9       |   863
 GUL SOKAK                      | 1       |   860
 LALE SOKAK                     | 3       |   838
 LALE SOKAK                     | 6       |   826
 ESKI HAVAALANI CADDESI         | 13      |   803
 MENEKSE SOKAK                  | 3       |   798
(20 rows)

Unter diesen Anschriften sind in Istanbul die meisten Menschen gemeldet.

Wer immer noch daran glaubt, dass Daten beim Staat sicher sind: Die Meldedatenbank steht zurzeit jedem Menschen auf der Welt zur Verfügung, natürlich auch Kriminellen, die sich nicht mit einer schnellen Demonstration in einer kaum gelesenen Website begnügen. Diesen Kriminellen steht für jeden gemeldeten Bewohner der Türkei der Name, die Meldeadresse, der Geburtsort, das Geschlecht, das Geburtsdatum und der Name von Vater und Mutter zur Verfügung. Das ist genug für einen kriminellen Identitätsmissbrauch oder einen fiesen, personalisierten Betrug.

Ich hoffe, hier in der Bundesrepublik Deutschland freut sich schon jeder so richtig auf die elektronische Gesundheitskarte und staatlich erzwungene Überwachungsdatenbanken (aus der so genannten »Vorratsdatenspeicherung«), die beidesamt deutlich weiter in die Privatsphäre hineinragen als so eine »harmlose« Meldedatenbank, die schon erschreckende kriminelle Nutzungsformen ermöglicht.

Auch beim Staat sind Daten niemals sicher.

Wer trotz der Tatsachen immer noch an den Datenschutz glaubt, ist ein dummer Vollidiot! Wer nicht mehr daran glaubt, sollte damit aufhören, sich wie ein Vollidiot zu verhalten.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | Schreib einen Kommentar

Über die Verschlüsselungs- und Erpressungstrojaner

Veröffentlicht am 26. Februar 2016 von Elias

Die Programmierer dieser Trojaner verwenden zwar Bitcoin, aber sie sie haben eine gewisse Unabhängigkeit von diesem Bezahlverfahren, die in der gegenwärtigen medialen Berichterstattung viel zu wenig beleuchtet wird. Frühere »Ransomware« hat den Geldtransfer über Western Union, UKash, Money Gram und vergleichbare Dienstleister abgewickelt und war für die Kriminellen auch ein gutes Geschäft. Wer vermeiden möchte, diese unangenehmen Handschellen angelegt zu bekommen, ist eben einfallsreich.

Dass Menschen auf diese Kriminalitätsform reinfallen und von Verbrechern abgezogen werden, liegt keineswegs an der Existenz oder Nichtexistenz irgendwelcher Bezahlverfahren, sondern in erster Linie daran, dass sie ungebildet sind. Wenn die Menschen in den Anforderungen »Lesen und Schreiben« lediglich so wenig Bildung hätten wie in der Anforderung »Informationstechnik«, dann müsste man zurzeit die meisten Menschen als Analphabeten bezeichnen. Das ist bitter.

Wer etwas informationstechnische Bildung hat, fällt nicht so leicht auf eine Spam rein, öffnet schon gar nicht einen Mailanhang von Unbekannten, weiß davon, dass Absenderadressen einer E-Mail beliebig gefälscht sein können, verwendet einen gut gesicherten Webbrowser mit wirksamem Adblocker und NoScript, lässt nicht standardmäßig die Ausführung von Makros in Office-Dokumenten unbekannter Zeitgenossen zu, hat eine halbwegs angemessene Backupstrategie und achtet immer darauf, ein aktuelles System mit aktueller Software zu benutzen, so dass möglichst wenig von Kriminellen ausbeutbare Fehler die Computersicherheit gefährden.

Und während diese Bildung – angesichts der Bedeutung von Informationstechnik halte ich sie für eine Form der unabdingbaren Allgemeinbildung – bei den meisten Menschen nur rudimentär vorhanden ist oder gar völlig fehlt, werden in den staatlichen Schulen von heute die Erwachsenen von morgen auf die Herausforderungen von gestern vorbereitet, und zwar so »gut«, dass nach wenigen Jahren aus neugierigen, aufgeweckten und interessierten kleinen Menschen stumpfe, ausgewachsene Zeitgenossen werden, die jeden Vorgang der Wissensaneignung für eine unbedingt zu vermeidende Last halten.

Dummheit ist leider ein gutes Geschäft. Dies gilt schon für legale Geschäfte, was der tiefere Grund für die systematische Förderung der Dummheit durch Staat, Schule, Fernsehprogramm und Journalismus ist. Aber es ist nicht auf legale Geschäfte beschränkt.

Vor rd. achteinhalb Jahren schrieb ich an anderer Stelle die folgenden Zeilen:

Fragen sie ihre Tageszeitung, warum es keine Informationen und Warnungen zu den jeweils aktuellen Phishing- und Spam-Wellen an auffälliger Stelle gibt. Das Internet ist schließlich keine Spielwiese der Nerds mehr, es ist eine Massenerscheinung, an der auch ganz gewöhnliche Menschen in verschiedener Weise Teil haben. Auch die Journaille muss unter solchen Umständen einen Beitrag zur Verbrechensverhinderung leisten. Jeder andere Trickbetrüger bringt es doch auch als Warnung in die Presse, warum also nicht ein gefährlicher Phisher, der bei Erfolg Menschen um tausende von Euros erleichtern und sogar an den Rand des persönlichen wirtschaftlichen Ruins bringen kann? Wenden sie sich an ihren bevorzugten Radio- oder Fernsehsender und fragen sie, warum es zwar Unwetterwarnungen gibt, aber keinen Hinweis auf gefährliche Schadsoftware, die ihren Weg über Spam auf die Rechner ganz gewöhnlicher Mitbürger findet und die diese Rechner in fernsteuerbare Zombies der Spam-Mafia verwandelt?

Das größte Problem im Zusammenhang der Spam ist die gefährliche Unwissenheit vieler Menschen. Das beste Mittel gegen Unwissenheit ist besonnene, den Fakten verpflichtete und hilfreiche Aufklärung.

Ich kann und will hier keine umfassende und aktuelle Aufklärung geben – tatsächlich habe ich auch noch ein Leben neben dem Internet. Aber die Passivität derer, die solche Aufklärung leisten müssten, ist schon erschreckend. Dies gilt in besonderer Weise angesichts der Tatsache, dass die öffentlich-rechtlichen Rundfunkanstalten inzwischen von jedem Computernutzer über die Gebühren mitfinanziert werden; ich bin durchaus der Meinung, dass aus diesem Umstand auch eine Verantwortung für die Versorgung der Computernutzer mit essentiellen Informationen erwächst

Nichts an diesen Worten hat seine Aktualität verloren. In fast einem Jahrzehnt. Das ist schon ziemlich bitter, und es lässt nur einen Schluss zu: Die Agenda, die in den Medien (und in den staatlichen Schulen) verfolgt wird, soll nicht verantwortungsvoll handelnde, kundige Menschen hervorbringen, sondern dumme Konsumtrottel, denen man jedes Schlangenöl andrehen kann¹. (Ich weiß übrigens genau, dass in diesem Moment irgendwo ein paar Leute zusammensitzen, das dort von Heise Online mutmaßlich in bezahlter Schleichwerbung angepriesene Programm genau analysieren und eine Version ihres Trojaners bauen, die von diesem Programm nicht erkannt werden kann. Das ist nämlich das »Geschäft« dieser Leute. Die leben davon.)

Die Opfer der aktuellen Erpressungstrojaner sind auch Opfer eines vorsätzlich verdummenden, von der Werbung finanzierten Journalismus und eines vorsätzlich verdummenden staatlichen Schulbetriebes. Gegen Letzteres kann man leider nicht so viel machen; vor die Gründung von Privatschulen sind hohe Hürden gesetzt, deren Überwindung Mühe und Mittel erfordert, die für die meisten Menschen schlicht nicht erbringbar sind, während die Kultusministerien der BRD-Bundesländer von einer unfassbaren Trägheit befallen sind, die jede Entwicklung in der Gesellschaft zu verneinen scheint. Aber der Journalismus ist durchaus beeinflussbar, und sei es dadurch, dass seine Produkte systematisch boykottiert werden, bis sie wieder einen Wert und einen Nutzen für die Menschen bekommen haben, die sich daraus informieren sollen.

Anders, als die meisten Journalisten denken und unterschwellig schreiben, ist die mangelnde informationstechnische Bildung breiter Bevölkerungsschichten sowie das Fehlen selbst grundlegenden Wissens nämlich kein Naturgesetz, sondern ein auch durch die Praxis des Journalismus bewusst und planvoll miterzeugter Zustand. Und zwar einer, der beendet werden muss. So schnell wie möglich.

Denn nicht »Bitcoin« ist das Problem. Unwissen und informationstechnischer Analphabetismus ist das Problem.

¹Wer sich an diesem zugegebenermaßen unsachlichen Begriff für Antivirus-Produkte stört, lese bitte vor dem bequemen Ablassen eines schnellen Kommentares hier und hier weiter. Danach sind Ergänzungen und Widersprüche durchaus erwünscht…

Veröffentlicht unter Allgemeines | Verschlagwortet mit , , , , | 4 Kommentare

Bis zum Ende der Werbung im Web sinds nur noch zwei Jahre

Veröffentlicht am 23. Februar 2016 von Elias

Ich habe zu meinem vorhin in der Nacht (und nach Meinung einiger meiner Zeitgenossen: auch in geistiger Umnachtung) geschriebenen und veröffentlichten Text eine Menge Feedback erhalten. Vielfach wurde – wie ich jetzt einräumen muss – zu Recht kritisiert, dass die Abhängigkeit des Firefox-Projektes von Google nicht mehr so groß ist, was in der Tat stimmt. Es handelt sich inzwischen um eine Abhängigkeit von Yahoo, einer Unternehmung, die ebenfalls auf die Sichtbarkeit von Werbung angewiesen ist. Wie leicht zu sehen ist, wird das grundsätzliche Argument von meiner kurzfristigen Recherchefaulheit nicht entwertet.

Eine besonders interessante Rückfrage betrifft die folgende Anmerkung in einer Fußnote:

Ich bin optimistisch und gehe davon aus, dass der Werbemarkt im Internet binnen der nächsten zwei Jahre zusammenbricht; und mit ihm alle darauf basierenden Geschäftsmodelle. Ich habe Gründe für diese Prognose, aber diese sind so komplex, dass diese Fußnote sie nicht fassen kann. Komme es, wie es komme: Bis dahin haben wir den Salat

Ich wurde mehrfach nach meinen ominös wirkenden »Gründen« für diese Prognose gefragt, und ich bin gern bereit, sie hier verkürzt darzulegen – in aller Ausführlichkeit könnte ich daraus einen sehr langen Text machen, zu dem ich gerade nicht die Zeit habe.

Der Angriff auf den Werbemarkt im Web kommt von mehreren Seiten gleichzeitig.

Zum einen liegt die Adblocker-Nutzung in Europa inzwischen bei über zwanzig Prozent, so dass mehr als ein Fünftel der Webnutzer gar keine Werbung mehr sieht. Ergänzend wird auch auf mobilen Zugangsgeräten immer häufiger ein Adblocker eingesetzt. Generell ist diese Zahl steigend, und mit zunehmender Gefährlichkeit und Nervigkeit der meist völlig unerwünschten Reklame wird sie schneller steigen. Niemand mag es, in einer Halde aus unerwünschtem Müll nach dem zu suchen, was er eigentlich haben möchte.

Zum zweiten gibt es automatisierten und trojanifizierten Klickbetrug auf Werbebanner, der ein immer größeres Geschäft wird. In einigen extremen Fällen, die bei den seltenen Untersuchungen mal aufgefallen sind, waren schon jetzt lediglich wenige Prozent der Klicks auf ein Banner von Menschen ausgegangen. (Ich finde gerade in meinem Archiv nur diesen zwei Jahre alten Text mit einer etwas besseren Quote) Eine technische Abwehr gegen diese Betrugsform ist sehr schwierig, denn jedes messbare Anzeichen einer »echten Benutzerinteraktion« beim Klick auf eine rechteckige Fläche lässt sich auch brauchbar von einem Programm simulieren. Die Sichtbarkeit, die von Werbetreibenden bezahlt wird, ist eine verzerrte statistische Illusion, und das wird sich irgendwann bis zu denen herumsprechen, die zurzeit noch das Geld für die Werbung ausgeben. Bis dahin wird aber noch eine Menge Geld bewegt, indem Leute eine Müllseite voller Banner aufsetzen und gemietete Botnetze darin automatisiert »klicken« lassen. Angesichts der Einfachheit dieser »Gelderzeugung« gehe ich sogar noch von einer Ausweitung aus, denn es ist sehr einfach, diese Nummer durchzuführen und es ist sehr schwierig, diese Nummer gerichtsfest zu beweisen, wenn sich nicht gerade jemand ausgesprochen dumm dabei anstellt. Wo die Kriminalität risikoarm, technisch, abstrakt, gewaltfrei und lukrativ wird, finden sich die Täter nun einmal besonders leicht.

Zum dritten sind Werbebanner mit Code von anderen Leuten ein sehr häufig verwendetes Transportmittel für Schadsoftware, was zurzeit den Adblocker zur unverzichtbaren Sicherheitssoftware macht. Die über Ads transportierten Trojanerpacks sind bislang immer der heißeste Schrei der Kriminellen gewesen und wurden deshalb ein, zwei Tage lang von keinem Antivirus-Schlangenöl erkannt. Während das Antivirusprogramm bei einer häufigen und gefährlichen Angriffsform versagt, schützt der Adblocker den Computer zuverlässig. Der Adblocker ist also – jetzt schon, obwohl es immer noch selten offen so benannt wird – eine Sicherheitssoftware, deren Einsatz vernünftig ist; der Verzicht darauf ist hingegen ein Zeichen von Unwissen, Desinteresse und Dummheit. Ich gehe davon aus, dass Unwissen, Desinteresse und Dummheit mit beschissenem Job, schlechter Bildung und geringer Kaufkraft korrelliert sind (die Classe politique mag da ein Ausreißer sein), so dass immer mehr gesehene Werbung bei Menschen ankommt, die sich die beworbenen Produkte gar nicht leisten können. Auch das wird sich irgendwann zu denen herumsprechen, die die Werbung bezahlen – spätestens, wenn sie den Erfolg ihrer Kampagnen ernsthaft kontrollieren.

So viel dazu in Kürze. Es ist ein Thema, zu dem ich eine riesen Betrachtung machen müsste, und das lohnt sich nicht, weil ich davon ausgehe, dass es sich bald erledigt hat. Außer vielleicht auf »schmuddeligen« Seiten, so dass ein wachsender Reputationsverlust der Online-Werbung noch hinzukommt.

Es wurde auch angemerkt…

…dass Google, Facebook und Co in 2 Jahren ihr gesamtes Geschäftsfeld umstellen müssten

Bei Google ahnt man offenbar schon sehr lange, dass das Werbegeschäft zum Ende geht; vermutlich sitzt man dort an direkt erfassten Daten. Die Reaktion Googles auf diese Entwicklung ist aufwändige, teure Forschung und ein auffälliges Streben nach Diversifikation. Google wird diesen Zusammenbruch überstehen, und in zehn Jahren wird sich kaum jemand, der Heimautomation mit Google macht, ein Google-Auto fährt, weitere materielle Google-Produkte nutzt und unter Google… ähm… Alphabet eine große, »coole« Technikfirma versteht, noch daran erinnern, dass Google anfangs einmal sein ganzes Geld mit Werbung gemacht hat. Die Werbung in der Suchmaschine wird vermutlich bestehen bleiben – sie kann übrigens, wenn sie gut geschaltet wird, in vielen Fällen ähnlich nützlich sein wie ein Suchergebnis. Sie wird ohne Javascript auskommen und keinen Code von Dritten enthalten. Und sie wird immer noch ein fettes Geschäft sein, denn Google hat einen unglaublich guten Algorithmus zum Auffinden von Netzinhalten, dessen Beliebtheit bei den Nutzern nicht aus dem Nichts gekommen ist. Aber sie wird nicht mehr das Hauptgeschäft sein.

Facebook wird es nicht überstehen. Twitter auch nicht. Andere S/M-Sites¹, deren verachtenswertes Geschäftsmodell darin besteht, erwünschte Kommunikation mit unerwünschter Reklame zu vergällen, auch nicht. Und der gegenwärtige Online-Journalismus ebenfalls nicht. Keine der teilweise an der Börse hochkapitalisierten Klitschen ohne seriöses Geschäftsmodell, die da recht schnell zusammenbrechen werden (für Facebook und Twitter, die als »Geschäftsmodell« nur eine Datensammlung und eine Werbemöglichkeit sind, wird es die Insolvenz bedeuten), werde ich vermissen – genau so wenig, wie ich MySpace² vermisse. Irgendwelche LayerAds werde ich übrigens auch niemals vermissen. Nichts am gegenwärtigen Irrsinn der Monetarisierung durch Werbung werde ich vermissen. Ganz im Gegenteil, ich werde mich freuen, wenn ich sehe, was nicht mehr da ist. Und ich glaube nicht, dass ich da der Einzige bin.

Schon in fünf Jahren wird jeder wissen, was »Big Data« und Werbung im Internet wirklich waren und jetzt bereits sind: Die Tulpen des 21. Jahrhunderts

Es wird übrigens auch nach diesem Zusammenbruch noch Werbung geben, sogar im Web. Es wird andere Werbung sein. Es wird Werbung sein, die nicht aus dem Code irgendwelcher Dritter besteht, den man in die eigene Seite einbettet. Es wird Werbung sein, die nicht ihren Betrachter offen verachtet. Es wird bessere Werbung sein, wenn auch immer noch keine »gute«, weil es keine »gute« Werbung geben kann. Es gibt ja auch heute noch Tulpen.

¹S/M ist meine Abk. für »social media«. Aus Gründen.

²Das war eine Website, wo sie alle waren, bevor es Facebook gab.

Veröffentlicht unter Technisches | Verschlagwortet mit , , | Schreib einen Kommentar

Werbung ist der Tod der Internetsicherheit

Veröffentlicht am 23. Februar 2016 von Elias

Ihr habt es heute gewiss schon alle gelesen:

Infizierte Joomla-Server verteilen Erpressungs-Trojaner TeslaCrypt

Vergesst jetzt bitte mal für einen kurzen Moment die gemeldete Tatsache, dass es diesmal Joomla ist, das massenhaft gecrackt wurde. Es könnte jede andere populäre Software für den Betrieb einer Website sein. Bei nächsten Mal ist es gewiss wieder WordPress oder eines der häufig eingesetzten Systeme für Webforen – nur die trolligsten Trolle des Heiseforums lassen sich von solchen basalen Schlüsselreizen füttern. Joomla hat inzwischen zwar eine tendenziell eher gute Codequalität (wenn man mal von einigen Plugins absieht), aber es ist eben auch sehr komplex (und vor allem: ungleich komplexer als ein WordPress oder ein einfaches Webforum), so dass sich leicht Fehler und ausbeutbare Lücken einschleichen können. Die Komplexität von Software ist das genaue Gegenteil von ihrer Sicherheit. (Die letzte Aussage bitte so lange lesen, bis sie sitzt! Dieses Wissen zu haben, hilft bei vielen technischen Entscheidungen.)

Und dann stellt euch in diesem kurzen Moment, in dem ihr die von Journalisten angebotene Ausrichtung eurer Aufmerksamkeit einfach abgetan habt, einmal die Frage, die Heise Online in seinem nicht sonderlich informativen Artikel gar nicht erst aufwirft und erst recht nicht beantwortet, obwohl sie für die meisten Menschen wohl das Wichtigste wäre: Wie kann man sich davor schützen, dass der Computer von Kriminellen über den Webbrowser übernommen wird?

Die von Journalisten meist verweigerte Antwort darauf ist verblüffend einfach.

In beinahe allen¹ Fällen einer Schadsoftware-Auslieferung über den Browser kann man sich – neben der ausschließlichen Benutzung eines aktuellen Browsers, der wegen behobener Fehler weniger Angriffsfläche für derartige Verbrecher bietet – durch »Click to Play« für Plugins und die Deaktivierung von Javascript vollständig absichern. Das immer noch viel zu selten verwendete Browser-Addon NoScript ist da eine Rundum-Sorglos-Lösung, die es sehr einfach macht, das Privileg einer Codeausführung nur bestimmten Websites zu geben.

Es ist nämlich eine unfassbar dumme Idee, jeder dahergelaufenen Website in einem anonymisierenden, technischen Medium das Privileg einzuräumen, Programmcode im Browser auszuführen. An sich sollte der Respekt vor der eigenen Privatsphäre es schon verbieten. (Wer nicht sofort versteht, was Javascript mit seiner Privatsphäre zu tun hat, möge diesen Test einmal mit und einmal ohne Javascript machen.) Aber angesichts der gegenwärtigen Internetkriminalität sollte man mit diesem Privileg so sparsam umgehen, wie es gerade noch erträglich ist.

Ich vertraue der großen Mehrzahl der Websites und ihren Machern jedenfalls nicht. Meine Haltung ist dabei stets: Wenn mir die Website ohne Javascript nichts zu sagen hat, dann wird sie mir auch mit Javascript nichts zu sagen haben. Zum Glück treten Probleme mit völliger Unbenutzbarkeit und Unlesbarkeit beinahe nur bei Vollidioten und (neuerdings) bei Internet-Angeboten von Presseverlegern auf.

Allerdings drängt sich da sofort eine weitere Frage auf: Wenn das Nichtzulassen von Javascript so eine elementare und wirksame Sicherheitseinstellung ist, warum macht der Browser das dann nicht standardmäßig. Und warum weist Heise Online (oder ein beliebiges anderes journalistisches Produkt) nicht deutlich darauf hin, am besten mit einer kleinen Anleitung für völlig kenntnislose Anwender?

Nun, zum ersten Punkt fragt einfach das Browserprojekt eures Vertrauens! Chrome ist von Google, dem größten Reklamevermarkter des Internet, der für die Distribution seiner meist unerwünschten Inhaltevergällung und für das Tracking der Leser vollständig auf Javascript setzt, so dass klar ist, welche Entscheidung Google trifft: Der Nutzer mit seinem Schaden ist nachrangig, wichtig ist das eigene Geschäft. Der Firefox existiert in einer erschreckenden bis erstickenden Abhängigkeit von Google, so dass die dort getroffene Entscheidung in ihrer Motivation ebenfalls klar ist.

Der contentindustrielle Presseverlagsbetrieb im Web befindet sich in einer ähnlichen Abhängigkeit von der beinahe ausschließlich über Javascript realisierten Distribution von Reklame. Von daher ist eine Aufklärung der Leser über elementare Sicherheitseinstellungen mit einer Beschädigung des eigenen Geschäftsmodelles verbunden und unterbleibt deshalb praktisch immer.

Versteht mich jetzt bitte nicht falsch. Ich beschreibe das, ohne dass ich es mit einer Wertung verbinde. Die Motivation sowohl der großen Browserprojekte als auch der werbefinanzierten Presseverlagsangebote im Web ist völlig nachvollziehbar und verständlich. Niemand sägt den Ast ab, auf dem er sitzt. Was im Ergebnis herauskommt, ist eine schlechtere und gefährlichere Welt für uns alle. Die Äste, auf denen viele sitzen, werden aber auch nicht stabiler…

Die Abhängigkeit des gesamten »Apparates« von der Reklame im Web schafft Bedingungen, unter denen die Organisierte Kriminalität im Internet ihren Schaden anrichten kann und ihren Reibach macht. Nichts daran wird sich ändern, solange diese Abhängigkeit bestehen bleibt. Die Monetarisierung von Webauftritten über eingeblendete Werbung ist der Tod der Computersicherheit – und jene, deren Dateien in denen letzten Tagen mit einem Erpressungstrojaner unbrauchbar gemacht wurden und die jetzt bangend Banknoten der EZB gegen Bitcoin eintauschen und hoffen, dass sie wieder an ihre Fotos, Korrespondenz, Musik, Kontakte und Dokumente kommen; sie sind auch Opfer eines halbseidenen, gefährlichen und zutiefst unseriösen Geschäftsmodelles, das hoffentlich so schnell wie möglich an sein Ende kommt².

Es tut mir leid, dass ich euch dazu nichts schöneres sagen kann: Angesichts dieses gegenwärtigen Zustandes führt für euch – für dich, und für dich, und für jeden anderen – nichts daran vorbei, dass ihr euch selbst informiert, dass ihr wach und aufmerksam seid und dass ihr selbstverantwortlich und schlau handelt. Wenn ihr damit überfordert seid, wenn der ganze Technikkram euch so hirnt, dass ihr keine Chance seht, damit selbst klarzukommen, kann ich euch nur viel Glück mit eurem Freundes- und Bekanntenkreis wünschen, auf dessen Unterstützung und Hilfe ihr dann zurückgeworfen seid. Ich befürchte, viele Menschen werden damit nicht so viel Glück haben. Wenn die Menschen im Lesen und Schreiben nur so viele Kenntnisse hätten, wie sie in Informationstechnik haben, dann müsste man sie Analphabeten nennen³.

Die Browserprojekte und der Journalismus werden bis dahin die Strategie fahren, euch »gefühlte Sicherheit« anzubieten, um wenigstens Aktivität zu simulieren.

Der Journalist wird euch erzählen, dass ihr ein Antivirus-Schlangenöl braucht, um Computersicherheit herzustellen. Obwohl sich diese Softwaregattung bei aktuellen Angriffen regelmäßig als vollkommen nutzlos erweist; ganz im Gegensatz zur Abschaltung von Möglichkeiten, die jedem Gestalter und jedem Cracker einer Website Code im Browser ausführen lassen und ganz im Gegensatz zum Adblocker, der einen wichtigen Distributionsweg für Schadsoftware an der Wurzel unterbindet – beides wirkt bereits, noch bevor das Antivirus-Schlangenöl scheitern kann.

Auch die Browserprojekte versuchen es mit gefühlter Sicherheit. Firefox wird in Kürze auf Websites, die nicht TLS-verschlüsselt sind, standardmäßig Warnungen anzeigen, dass sie unsicher sind – das ist dann zum Beispiel auch hier der Fall. Vom viel größeren Sicherheitsproblem mit Javascript wird auf diese Weise erfolgreich abgelenkt, und das Geschäft Googles kann weitergehen. Koste es, was es wolle…

Deshalb: Fallt nicht darauf herein! Installiert euch NoScript für euren Browser! Installiert euch einen wirksamen Werbeblocker, der auch dort noch den wichtigsten Weg für Schadsoftware versperrt, wo ihr den Websites und ihren Machern so weit vertraut, dass ihr sogar ausnahmsweise Javascript gestattet. Ihr bewahrt euch damit vor Datenverlusten, Erpressungsversuchen und den meisten destruktiven »Spielereien« krimineller Zeitgenossen. Besser als eine lediglich »gefühlte Sicherheit« durch den Zauber unverstandener und regelmäßig wirkungsloser Software ist eine Haltung, die aktiv für die Sicherheit des Computers handelt. Zum Glück ist da in Sachen Webbrowser nicht so viel zu tun, denn fertige, Freie und kostenlose Lösungen warten darauf, dass sie von euch benutzt werden. (Allerdings ist manchmal auf die Webangebote von Vollidioten und Journalisten zu verzichten, die euch dazu zwingen wollen, Sicherheitssoftware für euren Browser abzuschalten, damit ihr Geschäft auf Kosten eurer Computersicherheit besser läuft. Glaubt mir: Es gibt Alternativen.)

Und das Beste daran: Es kostet nichts und macht generell das Web viel angenehmer.

Dazu könnt ihr doch gar nicht »nein« sagen, wenn ihr noch bei Troste seid! 😉

¹Es gibt keine hundertprozentige Sicherheit, und schon gar nicht durch nur eine einzige Maßnahme. Vor einigen Monaten gab es einen Angriff über einen Fehler im integrierten PDF-Anzeiger von Firefox, der sogar mit Linux funktioniert hat. Der Schutz dagegen war ähnlich einfach: Ein Adblocker. Denn die Schadsoftware wurde über Werbung in Websites verteilt.

²Ich bin optimistisch und gehe davon aus, dass der Werbemarkt im Internet binnen der nächsten zwei Jahre zusammenbricht; und mit ihm alle darauf basierenden Geschäftsmodelle. Ich habe Gründe für diese Prognose, aber diese sind so komplex, dass diese Fußnote sie nicht fassen kann. Komme es, wie es komme: Bis dahin haben wir den Salat.

³Mit Dank an ein staatliches Zwangsschulsystem, das heute die erwachsenen Menschen von morgen auf die Herausforderungen von gestern vorbereitet.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , , , , , , | 4 Kommentare

Kurzanleitung: Hidden Service mit Tor aufsetzen

Veröffentlicht am 30. Januar 2016 von Elias

Es ist verblüffend einfach, einen Hidden Service mit Tor aufzusetzen. Ich beschreibe hier das Vorgehen, das weniger als fünf Minuten Lebenszeit in Anspruch nimmt, für Linux. Für alle Aktionen an der Kommandozeile setze ich root-Rechte voraus.

Schritt 1: Einen Webserver besorgen und installieren.

Ob es sich um apache handelt, der inzwischen ziemlich »moppelig« geworden ist, oder um nginx, ist dabei eine Geschmacksfrage. Für einfache Aufgaben ist nginx wesentlich einfacher zu konfigurieren und außerdem deutlich performanter, während apache doch eine Menge Lesen verlangt. Und nein, das bedeutet nicht, dass man mit nginx nichts »komplexeres« machen kann…

Wer ein debianoides Linux (Debian, Ubuntu, Raspbian, Mint, Trisquel und viele mehr) verwendet, tippt einfach als Admin in der Konsole…

# apt-get install apache2

…oder…

# apt-get install nginx

…und hat hinterher einen laufenden Webserver, der beim Systemstart automatisch gestartet wird. Über die Konfiguration kann ich mich hier nicht in der gebotenen Ausführlichkeit auslassen, aber dafür gibt es im Web jede Menge Dokumentation.

Andere Distributionen mit rpm-Paketmanagement (insbesondere RedHat, Fedora oder SuSE) gehen natürlich anders vor, und wer Slackware benutzt, hat hoffentlich schon gelernt, wie man sich in einer Distribution ohne Paketmanagement behilft (es ist auch nicht so schwierig). Freunde von Arch Linux und Gentoo wissen sich sowieso zu helfen. 😉

Schritt 2: Die eigene IP-Adresse herausbekommen

# ifconfig | grep inet | grep -v '127.0.0.1'
inet addr:192.168.13.199  Bcast:192.168.13.255  Mask:255.255.255.0
# _

Diese IP-Adresse wird später, in Schritt 4, für die Konfiguration von Tor benötigt.

Schritt 3: Tor besorgen und installieren

Hier wieder der Teil für die debianoiden Linuxe:

# apt-get install tor

Das wars.

Schritt 4: Hidden Service in Tor konfigurieren

Hierfür muss die Konfigurationsdatei torrc im Editor bearbeitet werden – und tatsächlich sind nur zwei Zeilen einzufügen, die folgendermaßen aussehen (die IP-Adresse muss natürlich durch die richtige aus Schritt 2 ersetzt werden):

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 192.168.13.199:80

Unter unixoiden Betriebssystem, die sich an den Dateisystemstandard halten, liegt diese Datei im Verzeichnis /etc/tor, für andere Betriebssysteme kann ich nichts sagen.

Nachdem die beiden Zeilen eingefügt wurden, steht noch die kleine Arbeit an, das Verzeichnis hidden_service an der konfigurierten Stelle anzulegen und die Rechte entsprechend zu setzen – dabei wird der im Folgenden verwendete technische User, unter dem der Tor-Dienst läuft, in nicht-debianoiden Distributionen aus naheliegenden Fiesheitsgründen völlig anders heißen.

Es ist aber nicht so viel Arbeit.

# cd /var/lib/tor
# mkdir hidden_service
# chown debian-tor:debian-tor hidden_service
# chmod 0700 hidden_service
# _

Nun gilt es nur noch zwei Dinge zu tun: Als erstes wird der Tor-Dienst neu gestartet, damit er die neue Konfiguration verwendet.

Wenn es sich um ein Linux mit systemd handelt, geht das so:

# systemctl restart tor
# _

Und wenn es sich um ein Linux mit sysvinit handelt, geht es so:

# /etc/init.d/tor restart
# _

Danach sollten im Verzeichnis hidden_service zwei Dateien liegen:

# ls -l
-rw------- 1 debian-tor debian-tor  23 Jan 29 22:10 hostname
-rw------- 1 debian-tor debian-tor 887 Jan 29 21:42 private_key
# _

In der Datei hostname steht der Onion-Domainname, unter dem der Hidden Service erreichbar ist – der wird natürlich anders sein als hier:

# cat hostname
z6bacnlvodyije26.onion

Wenn das nicht geklappt hat, noch einmal die Bearbeitung der torrc überprüfen und auch einen Blick auf die Rechte des Verzeichnisses hidden_service werfen.

Schritt 5: Hidden Service testen

Hierfür muss der Browser für die Benutzung von Tor konfiguiert werden. Beim Firefox ist hierzu in den Einstellungen der Punkt »Erweitert« auszuwählen, dort der Unterpunkt »Netzwerk«, wo dann unter »Verbindung« auf »Einstellungen« zu klicken ist. (Ja, ich weiß, im Gegensatz zu den einfachen Dingen an der Kommandozeile hirnt das alles ein bisschen…) Es ist »Manuelle Proxy-Konfiguration« auszuwählen und unter SOCKS-Host 127.0.0.1, Port 9050 einzutragen. Darunter ist SOCKS v5 zu aktivieren. Das Firefox-Projekt hat sich nicht gerade Mühe gegeben, diese Einstellungen leicht auffindbar oder leicht bedienbar zu machen. Für andere Browser kann ich keine Aussagen machen, aber das Internet ist voller Dokumentation.

Nach abschließendem Klick auf »OK« kann man hier schnell überprüfen, ob der Browser Tor verwendet. Dies sollte immer der Fall sein.

Ich empfehle übrigens, sich gut zu merken, wie man diese Einstellung wieder rückgängig macht – sonst bekommt man bei eventuellen Problemen nicht einmal mit seinem Webbrowser mehr eine Verbindung zum Internet. Die Einstellung »Kein Proxy verwenden« dürfte bei fast jedem richtig sein.

Aber warum hat der Proxy jetzt die IP-Adresse 127.0.0.1, also die Loopback-Adresse des Rechners, an dem man gerade arbeitet? Nun, es läuft ja ein in Schritt 2 installierter Tor-Dienst auf dem lokalen Rechner, den wir natürlich benutzen. Port 9050 ist der Standardport; um einen anderen Port zu verwenden, müsste man SocksPort in der Datei torrc verändern. Dies wird wohl niemals nötig sein.

Schritt 6: Endlich! Ein laufender Hidden Service!

So, und damit zum Spaß an der Sache: In die Adresszeile des Browsers den Rechnernamen aus der Datei hostname eingeben – gut, dass es eine Zwischenablage gibt – und nach einer gewissen Wartezeit (es können beim ersten Aufruf schon zehn bis zwanzig Sekunden werden) erscheint die Startseite des in Schritt 1 lokal installierten Webservers. Diese kann unter dieser Adresse aus dem gesamten Internet heraus aufgerufen werden, und das recht anonym und schwierig überwachbar. Einzige Voraussetzung dafür ists, dass Tor benutzt wird. Die in diesem Webserver zur Verfügung gestellten Inhalte sind nicht öffentlich sichtbar, was ja auch die Bedeutung des Wortes Hidden Service ist – um jemanden Zugriff darauf zu geben, muss man ihm (oder ihr) also die Adresse zukommen lassen. Wenn es um empfindliche, private Dinge geht, aber besser nicht in einer unverschlüsselten E-Mail, die offen wie eine Postkarte durch das Internet befördert wird, denn sonst kann man sich die Mühe mit dem Hidden Service gleich sparen.

Wer so etwas ständig laufen lassen möchte, ist vermutlich gut mit einem Raspberry Pi beraten, der deutlich weniger Energie verbraucht als ein PC.

Ach ja: Wer ab jetzt nicht ständig mit Tor surfen möchte, sollte hinterher die Proxy-Einstellungen im Browser zurücksetzen. Und wer es vielleicht doch manchmal möchte, ist gut beraten, sich ein Browser-Addon für das schnelle Umschalten zwischen verschiedenen Proxy-Konfigurationen zu besorgen.

Veröffentlicht unter Technisches | Verschlagwortet mit , , | 13 Kommentare