Archiv für riseup.net

Update zum Riseup Canary: Entwarnung

Posted in medien, netzkultur with tags , , , , on April 2, 2017 by stefon

In zwei vorherigen Blogposts (1, 2) habe ich bereits über das Thema Riseup.net und deren abgelaufenen Canary berichtet. Seit Mitte Februar ist nun klar, was passiert ist:

Nach Ausschöpfung aller rechtlichen Optionen hat Riseup vor kurzem enschieden, zwei verdeckten FBI-Anordnungen (“warrants”) des FBI nachzukommen, anstatt Widerstand gegen die Vollstreckung zu leisten (was zur Inhaftierung von Riseup-Vögeln und/oder Auflösung der Organisation Riseup geführt hätte). Der erste Befehl betraf die öffentliche Adresse eines internationalen DDoS-Erpresserrings. Der zweite richtete sich gegen ein Konto, das Erpressungssoftware (“ransomware”) nutzte, um Geld zu erpressen.
[…]
Es gab eine „Maulkorb-Anordnung“ („gag order“), die es uns bis jetzt verboten hat, auch nur die Existenz der Befehle offenzulegen. Dies ist auch der Grund, weshalb wir unseren „Canary“ nicht aktualisieren konnten.
[zur vollständigen Pressemitteilung]

Durch die etwas weit gefasste Definition in was für einer Situation der Kanarienvogel anschlagen sollte (also: nicht mehr aktualisiert wird) wurde das ganze Durcheinander und Rätsel raten ausgelöst. Laut Riseup wurden keine Beutzer*innendaten von staatlicher Seite abgegriffen.

Um einer ähnlichen Situation in der Zukunft vorzubeugen, wurde der Canary nun angepasst.

Der „Canary“ war so breit angelegt, dass jeder Versuch, einen neuen herauszugeben, ein Verstoß gegen die „Gag-Order“ bzgl. der Ermittlung gegen ein DDoS-Erpresserring und eine Ransomware-Operation gewesen wäre. Dies ist nicht wünschenswert, weil es, wenn eine Reihe von kleineren Dingen passiert, dazu führt, dass die Nutzer_innen annehmen müssen, etwas großes sei passiert.

Canary

Canary

Dies spiegelt sich auch im neuen Canary wider. Zusammengefasst: Gut ist’s gegangen, nix is geschehen. Mensch kann auch zwei positive Ergebnisse mitnehmen:

  • ein angepasster Canary, der nun besser aufzeigt, ob mensch sich Sorgen machen muss
  • das bewusst machen, wie abhängig mensch von genau einer Plattform ist (sei diese auch so sympathisch wie riseup.net)

Riseup.net: Was nun?

Posted in politik with tags , , , on Dezember 28, 2016 by stefon

Vor einigen Tagen wurde ich mit der Frage konfrontiert, wie denn nun die Situation bei riseup.net aussieht? Ist der Dienst nun kompromittiert worden oder nicht? Wenn ja: Was ist zu tun? Steht nun die Flucht auf eine andere Plattform an oder bleibt doch eh irgendwie alles beim alten?

Kurz ein Blick zurück: In meinem letzten Blogartikel habe ich vom Ablauf des Riseup.net Canary’s berichtet und die Schlüsse, die daraus gezogen werden können. Kurz gesagt: Ein behördlicher Zugriff auf die Infrastruktur des riseup.net Netzwerks ist nicht ausgeschlossen, sondern sogar recht wahrscheinlich. Am 26.11 hat auch Heise Online darüber berichtet:

RiseUp, ein Anbieter verschlüsselter E-Mail-Kommunikation, hat seinen Warrant Canary nicht aktualisiert – das wird als Hinweis darauf gewertet, dass staatliche Stellen in den USA die Herausgabe von Nutzerdaten gefordert haben könnten.

Aktueller Stand ist folgender: Der Riseup Canary wurde NICHT aktualisiert. Ein offizielles riseup.net Statement auf Twitter zum Thema Canary gibt es bis heute nicht. Riseup.net hat auf Twitter jedoch folgendes retweetet

Im englischsprachigen Artikel wird ein anonymer Riseup.net Vertreter zitiert, der zwar nicht sagen kann, warum sich Riseup.net nicht offiziell zu der Situation äussern kann, aber um Vertrauen bittet.

Zusammengefasst: Die Lage hat sich seit einem Monat nicht geändert. Eines von zwei Szenarien trifft zu: Entweder gab/gibt es einen Zugriff der staatlichen Behörden oder riseup.net hat beschlossen ihren Canary zu ignorieren und akzeptiert die Verwirrung und die Unsicherheit von Aktivist*innen. Keines der beiden Szenarien ein Grund zur Freude. Weiterlesen

Riseup.net kompromittiert? User aufgepasst!

Posted in aktivismus, politik with tags , , , , , on November 24, 2016 by stefon

Schlechte Nachrichten für riseup.net Benutzer*Innen. Bitte durchlesen und überlegen wie ihr damit umgehen wollt!

Kurz gesagt: Es besteht die Möglichkeit, dass die riseup.net Infrastruktur von staatlicher Seite aus kompromittiert und übernommen wurde. Potentiell ist also das Nutzen von riseup.net Diensten wie Mail, we.riseup.net, vpn, … unsicher und könnte überwacht werden. Nochmal zur Sicherheit: Es besteht die Möglichkeit.

Hier nun die längere Erklärung, welche Indizien es dafür gibt. In der USA. gibt es die Möglichkeit des Staates, Unternehmen/Privatpersonen/Vereine/… zur Herausgabe von Informationen/Zugangsdaten/… zu zwingen. So ein Verfahren wird ein Subpoena genannt.

[…] Mit einer Subpoena wird eine Person unter Androhung einer Erzwingungsstrafe aufgefordert, bestimmte Auskünfte oder Beweismittel zu einem Sachverhalt in bestimmter Weise beizubringen. Die Subpoena dient damit als ein Zwangsmittel, mit dem Beteiligte und Dritte zur Auskunft in oder gelegentlich vor einem Prozess verpflichtet werden können. […]
(wikipedia)

Nun wäre das schon schlimm genug. Jedoch kann so ein Subpoena auch geheim sein. Was bedeutet das? Die staatliche Institution zwingt nicht nur zur Herausgabe von Daten, sondern verbietet auch das publik machen der Herausgabe. Anders formuliert: Wenn riseup.net beispielsweise von solch einem Subpoena betroffen ist, ist es ihnen verboten dies öffentlich zuzugeben. Solche Subpoena werden auch genutzt, beispielsweise gegen den Krypto Messenger Signal.

Wenn nun also nicht öffentlich zugegeben werden darf, dass Behörden Zugang zur (beispielsweise) Serverinfrastruktur besitzen, wie kann mensch sich dann gegen solch einen Zugriff wehren bzw. die eigenen Nutzer*Innen trotzdem darüber informieren? Dabei wird ein Trick genutzt: Anstatt zu versuchen nach einem Subpoena den behördlichen Zugriff offen zulegen – was ja rechtlich verboten ist – wird in regelmäßigen Abständen kommuniziert, dass es keinen behördlichen Zugriff gibt. Warum ist uns das nun eine Hilfe? Weiterlesen