SCO wiederbelebt

Heise meldet grad, dass sich für SCO ein Investor gefunden hat.  Insbesondere wollen sie ihre juristischen Ansprüche zu Geld machen.

Mal schauen, was draus wird.

Bisher hat SCO vor Gericht nur Haarsträubendes zum Besten gegeben – erinnert sich noch wer an die „Millionen Zeilen gestohlenen Quelltexts“, den die SCO-Anwälte in Linux gefunden haben wollten?
Vielleicht bestehen die neuen Investoren ja auf einer besseren Prozessstrategie. Andererseits: es ist beim besten Willen nicht zu erkennen, welche juristischen Ansprüche SCO eigentlich haben will; am wahrscheinlichsten ist es, dass da ein Investor ohne Sachkenntnis eingestiegen ist, und das hieße, dass die Tragikomödie weitergeht.

Ein Gutes hat die Sache: Wenn die SCO-Prozesse zu einem Abschluss kommen, dürfte ein für allemal feststehen, dass es in Linux keinen aus Unix geklauten Code gibt. Das ist sogar für die Leute angenehm, die Linux gar nicht einsetzen: Konkurrenz belebt das Geschäft, auch im Betriebssystembereich.

Doppelnorm

MS hat mal wieder durch die Presse gehen lassen, dass es toll sei, sein OOXML normen zu lassen, weil der Markt dann Wahlmöglichkeiten hätte.

Ich glaube, MS hat da schlicht übersehen, wofür eine Norm eigentlich gut ist: nämlich dafür, dass es in den Bereichen, wo eine Wahlmöglichkeit weder dem Kunden noch den Herstellern nützt, eben diese Wahlmöglichkeit ausgeschlossen wird: damit vermeidet man unnötige Anpassungsarbeiten, wenn zwei nicht genormte Teile zusammengebracht werden. (Es gibt für Tische eine Norm, die ihre Höhe vorschreibt. Kein Hersteller ist gesetzlich gezwungen, sich an diese Norm zu halten, aber dadurch, dass alle Tische die gleiche Höhe haben, kann man sie zu einer größeren Fläche zusammenstellen. Das schränkt Wahlmöglichkeiten ein, macht Tische für den Kunden aber nützlicher.)

Linux-Handys

Laut heise wollen die Handyhersteller eine Linux-Distribution für Handys machen.

Für die Handyhersteller ist das natürlich praktisch. Bisher wird die Betriebssoftware für jede neue Handygeneration von Grund auf neu geschrieben, in Zukunft brauchen sie nur noch Gerätetreiber zu schreiben.

Für die Nutzer ist es auch praktisch. Ein Klingelton, Spiel, Adressbuch, …, das auf Handy A läuft, lässt sich dann unverändert auf Handy B übertragen.

Für die Virenschreiber ist es allerdings auch praktisch. Handyviren gibt es ja schon, aber sie sind bisher relativ wenig verbreitet, weil jedes Handelmodell ein bisschen anders tickt und die Infektion oft fehlschlägt. Ein einheitliches Linux räumt auch hier Hürden aus dem Weg.

Die Handyhersteller werden also höllisch darauf achten müssen, ihr mobiles Linux gegen Sicherheitslücken abzudichten. Dabei müssen sie aber die Möglichkeit erhalten, Klingeltöne, Spiele usw. herunterzuladen, der WAP-Browser muss funktionieren, usw., außerdem werden etliche Anwender auch ihre eigene Software installieren wollen.
Dieser Zielkonflikt ist sehr schwer zu lösen. Auf dem PC haben im Moment die Viren gewonnen, Millionen von Zombie-PCs in Botnetzen sprechen da eine klare Sprache. Mal schauen, ob wir in fünf Jahren Milliarden von Zombie-Handies haben.

Wider Javascript

Zunächst mal: Javascript ist eine feine Sache. Man kann damit die Bedienung von Webseiten unendlich vereinfachen.

Der Haken: Javascript ist seit Jahren immer wieder Einfallstor für Malware gewesen. Eigentlich sollte das nicht sein, die scriptfähigen Browser bemühen sich alle darum, dass Javascript gar nicht erst aus dem Browser ausbrechen kann – nur bietet Javascript derart viele Möglichkeiten an, dass es kompliziert ist, Komplexität bedeutet Programmfehler, und Programmfehler in der Absicherung bedeuten ein Sicherheitsleck.

Nun gibt es Möglichkeiten, Javascript nur bestimmten Websites zugänglich zu machen. Auf meinem Standardbrowser (Firefox) nutze ich NoScript, das wirklich sehr bequem zu nutzen ist. Man könnte also nur den Websites, denen man vertraut, Javascript erlauben und allen anderen nicht.

Auch das hat einen Haken. Gesetzt den Fall, ich vertraue 20 Sites, und in einem Fall war das Vertrauen dann doch ungerechtfertigt: dann habe ich trotzdem einen Trojaner auf der Platte.
Selbst bei perfekter Menschenkenntnis würde ich auf diese Weise hereinfallen: Wenn ich einer Website vertrauen, dann vertraue ich ja nicht nur dem Betreiber, dass er schon nichts Böses mit meiner Website anstellt. Ich vertraue auch seiner technischen Kompetenz, dass er seine Website gegen Hacker absichern kann. Und seinem Zeitplan, dass er diese Absicherung auch tatsächlich durchgeführt hat.

JavaScript ist da fast wie Sex: nur mit Leuten, die man gut kennt und denen man vertraut. Und auf den Zeitpunkt gefasst sein, an dem es doch mal schiefgeht.

Der Nutzen der Anonymität

Ich zitiere mal (Quelle, unter „Erklärung 2“, zweiter Absatz nach dem Link):

Ich rate euch zur Vorsicht im Umgang mit Scientology, diese Leute haben mehr Macht als ihr denkt. So wurde meine Handynr immer wieder rausgegeben, eine Mitarbeiterin der Fa. T-Mobile war wohl auch eine Scientologin. Ich wechselte damals zu Eplus, auch dort dauerte es meist nicht lange. Seit verdammt vorsichtig. Solange ihr keine Informationen habt seit ihr auch keine Gefahr, aber ansonsten könnt ihr wirklich Probleme bekommen.

Ist die Vorratsdatenspeicherung erst einmal vollständig umgesetzt und hat alle Kommunikationsmöglichkeiten erfasst, entkommt man auch der Scientology nicht mehr.

Anonyme Handynutzung

Laut Vorratsdatenspeicherungsregeln gibt es keine anonymen SIM-Karten mehr.

Also hebelt der Arbeitskreis Vorratsdatenspeicherung die Regelung aus: man schickt an die Tauschadresse einen frankierten Rückumschlag mit einer vorbezahlten (und registrierten) SIM-Karte und erhält vom Arbeitskreis eine andere Karte zurück. Damit ist keine Zuordnung der Karte zum Nutzer mehr möglich. Details sind hier.

Sollte man als Journalist, Arzt oder sonstiger Geheimnisträger unbedingt nutzen.

Die neueste Sicherheitslücke

… heißt AIR und kommt von Adobe.

Eigentlich eine hübsche Sache: AIR-Programme können, ohne dass der Programmierer großartige Verrenkungen macht, zwischen Online- und Offline-Betrieb umschalten.
Das ist z.B. für Texteditoren praktisch. Ist man online, steht die Hilfefunktion aus dem Netz zur Verfügung, man kann Google-Ergebnisse einarbeiten, oder wasauchimmer; ist man offline, muss man eben mit dem auskommen, was auf dem eigenen Rechner liegt.

So richtig erschließt sich mir der Sinn aber trotzdem nicht. Auch in Word kann man Ergebnisse aus dem Internet einbinden, zum Beispiel.

Dann soll so ein AIR-Programm auf jedem Rechner gleich aussehen und gleich funktionieren.
Das kann man aber eigentlich schon mit Java.

Dafür haben solche Programme, die ganz leicht ins Internet kommen, natürlich auch ganz schnell ein Informationsleck. Bisher kann man ja seinen Firewall aktivieren, und wann immer der mir meldet, dass Word mal wieder nach Hause telefonieren will, sag ich Nein.
Bei einer AIR-Anwendung hieße es dann: „Das Programm air.exe will eine Verbindung mit dem Server 123.234.213.241 aufbauen. Verbindung zulassen?“ Und ich wüsste nicht, welches AIR-Programm das jetzt eigentlich auslöst – nicht gut.

Und Programme, die ganz leicht ins Internet kommen, kann man auch ganz leicht aus dem Internet heraus ansprechen. (Es soll ja „Cloud Computing“ heißen.)
Und Programme, die aus dem Internet heraus ansprechbar sind, sind natürlich Primärziele für alle, die Schadcode auf meinem PC installieren wollen.

Auch das ist nichts Neues – das haben wir schon lange in Form von Javascript in den Browsern.

Na, mal schauen. Vielleicht hat Adobe auf alle diese Fragen eine überzeugende Antwort.
Man darf aber skeptisch bleiben 😉

Fröhliche Vorratsdatenspeicherung

Normalerweise werden zwischen Weihnachten und Neujahr keine unangenehmen Nachrichten verkündet. Es werden keine Gerichtsbefehle zugestellt, der freundliche Gerichtsvollzieher hat Urlaub, nicht mal das Finanzamt verschickt Mahnungen.

Bei der Vorratsdatenspeicherung hat die Zeit wohl zu sehr gedrängt, das Gesetz soll ja Neujahr in Kraft treten.

Ab dem 1.8. werden sämtliche IP-Adressen mitprotokolliert, zu denen der eigene Rechner Kontakt aufnimmt. Bei Abrufen der Mails vom Server genauso wie beim Surfen auf der Pornoseite.
Ähnliches gilt für Telefonate: wer mit wem wie lange telefoniert wird, wird ebenfalls aufgezeichnet.

Nicht erfasst werden die Inhalte. Es geht nur darum, bei Bedarf ausfindig machen zu können, mit wem ein Verdächtiger kommuniziert hat, damit man dessen Kontaktpartner rasch durleuchten kann.

Klingt zunächst ganz einleuchtend und im Prinzip ja sogar in Ordnung.

Der Haken: die Protokolle sind nicht nur für „die Guten“ interessant, sondern auch für „die Bösen“.
Die Medienindustrie beispielsweise. Die will gern herausfinden, wo denn die ganzen frühen Raubkopien herkommen, die im Internet getauscht werden, noch bevor der Film ins Kino kommt. Kann man verstehen, aber wenn die Medienindustrie sich auf den Falschen einschießt und ihm Ärger und Verdruss bereitet, der sich womöglich nicht mal gegen die Verdächtigungen wehren kann, wird der Falsche zu Strafzahlungen und Schadenersatz in Millionenhöhe verdonnert. (Die Medienindustrie hat schon mal rein auf Verdacht hin gegen jemanden geklagt, und dann stellte sich heraus, dass in der IP-Adresse ein Zahlendreher war, sie haben also den Falschen verklagt – und dann wollten sie ihm noch die Anwalts- und Gerichtskosten anhängen. Es hat schon seine Gründe, warum man die Strafverfolgung nicht den Opfern überlässt.)
Die Konzernleitung beispielsweise, die herausfinden möchte, welcher Insider die Daten über die letzte Steuerhinterziehung ans Finanzamt weitergeleitet hat. Da ist es doch spannend, zu sehen, wer in letzter Zeit eine Mail an das Finanzamt geschrieben hat. Oder auf den Beratungsseiten der Finanzbehörde gesurft hat. Wenn derjenige das von zuhause getan hat, besticht man eben einen Administrator des zuständigen DSL-Providers – die Protokolldateien sind schließlich alle noch vorhanden.
Oder auch die Konzernleitung, die gern den letzten Umweltskandal vertuscht hätte. „Wer von unseren Mitarbeitern hat zuletzt Mails vom Stern erhalten? Den schauen wir uns doch mal näher an.“
Oder, zu guter Letzt, die diversen Mafiabosse. Als die letzte Drogenladung vom Zoll beschlagnahmt wurde. Oder als der letzte Auftragskiller enttarnt wurde. Da lohnt es sich doch, den Mailverkehr der Behörde durchzusehen, die solche Informationen entgegennimmt. Und da wir kein Konzern sind, können wir die nötigen Administratoren nicht nur bestechen, sondern – nötigenfalls – auch erpressen.

Mit den Datenhalden der Vorratsdatenspeicherung kriegt man natürlich zunächst mal nicht die Inhalte der Kommunikation heraus. Wie gesagt, es wird nur erfasst, wer mit wem kommuniziert hat – der Inhalt wird nicht aufgezeichnet.
Aber das reicht den Leuten ja. Wenn sie erstmal wissen, wer wem eine Mail geschrieben hat, können sie mindestens einen der Beteiligten greifen und die nötigen Informationen herausholen. Die einen mit behördlichen Befugnissen, die anderen mit Bestechung oder Gewalt.

Die Vorratsdatenspeicherung macht Deutschland nicht sicherer.
Sie gibt nur den Mächtigen zusätzliche Mittel an die Hand. Denen, die tatsächlich auf unserer Seite stehen genaus wie denen, die an unser Geld wollen.

Fröhliche Weihnachten.

Ich blogge demnächst auch über Apple

Wenn man diesem Blogeintrag glauben darf, hat Apple einem Blogger eine saubere halbe Million dafür geboten, dass er nicht mehr über Apple bloggt.

Soviel Geld möchte ich fürs Nichtstun auch mal einstreichen dürfen…

Die interessantere Frage ist natürlich: Warum tut Apple das?
Die Antwort: weil der Mann zu gut geraten hat, was Apple als nächstes tun wird. Es ist schließlich Teil von Apples Marktpolitik, über zukünftige Aktivitäten tiefstes Stillschweigen zu wahren; erfolgreiche Prognosen sind da lästig.

Erstaunlich allerdings, dass ihnen das wirklich so viel Geld wert ist. Die Designer bei Apple kriegen bestimmt nicht so viel.

Dass Apple Schweigegeld zu zahlen bereit ist, macht mir die Firma allerdings ziemlich unsympathisch. Das Image des Außenseiters, der einfach nur geniale Sachen für seine Kunden macht… das will nicht mehr so recht passen.
Aber so ein Image ist ja immer nur Mittel zum Zweck, man darf das nicht mit dem verwechseln, was die Firma tatsächlich tut. (Schade eigentlich.)