Die Software-Krise der Politik

Nachdem ich seit letztem Freitag bei Kunden auf der Suche nach Software-Bugs war, greife ich das Thema gleich nochmal hier auf. Das Thema SoftwarequalitĂ€t oder dazu wie wir Software typischer Weise entwickeln hat durchaus auch eine politische Dimension. Zudem passt das Thema gut zum Titel meines Blogs “Scheiss Software” 😉

KĂŒmmern wir uns zunĂ€chst mal um die Frage: Warum ist es eigentlich so schwer fehlerfreie Software zu Entwicklen? Software ist eben rein virtuell, es gibt keine EinschrĂ€nkungen und dem Programmierer stehen alle Freiheiten offen. Dadurch entsteht so manches kleine Programm das bereits eine enorme KomplexitĂ€t aufweist. Dieses Problem ist seit ĂŒber 40 Jahren unter dem Begriff – Softwarekrise – bekannt. Klar hat sich seitdem viel getan, aber trotz agilem Test Driven Development, Scrum und Extreme Programming schaffen wir es nicht Software ohne Fehler zu produzieren.

Auf absehbare Zeit mĂŒssen wir also mit den UnzulĂ€nglichkeiten moderner Software leben. Es ist nur wichtig das wir uns dessen immer bewusst sind! Das WWW zum Beispiel war zunĂ€chst nur fĂŒr den Austausch unter Wissenschaftlern gedacht, erst ein schnell draufgezimmerter Überbau mit dem Secure Sockets Layer (SSL) macht Online-Banking mehr schlecht als recht sicher. Unsere Netz ist also ganz schön auf Sand gebaut, wenn man es so sieht…

Was hat das nun mit Politik zu tun? Die Probleme der Software-Entwicklung stehen dann schon mal so manchem Politiker beim nÀchsten innovativen Vorzeigeprojekt im Weg. Drei Beispiele dazu:

  1. Der neue PersonalausweisWeitere SicherheitslĂŒcke beim elektronischen Personalausweis (heise.de). Sollte man diesen Ausweis dann wirklich nutzen um sich im Internet beweissicher ausweisen zu können?
  2. Wahlcomputerwahlcomputer.ccc.de. Wollen wir in Zukunft wirklich mit solchen Computern unsere Wahlen durchfĂŒhren?
  3. Vorratsdatenspeicherung / Digitale Beweisewww.vorratsdatenspeicherung.de. Wie sicher sind den Beweise die auf einem so wackligen Konstrukt aufbauen?

Ich finde es schon sehr bezeichnend wenn die Computerfreaks die sonst jede IT-Mode mitmachen plötzlich zu Mahnern werdern und vor unabsehbaren Folgen warnen.

20 Jahre WWW

20 Jahre WWW, diesen Anlass möchte ich fĂŒr meinen eigenen kleinen RĂŒckblick nutzen. ZunĂ€chst verlinkte ich aber den Telepolis Beitrag von Wolfgang KleinwĂ€chter – 20 Jahre WWW: Prinzipienschwemme im Cyberspace. Da der Artikel nicht auf das Usenet Posting von Tim Berners-Lee verlinkt, hier das Orginal: WorldWideWeb: Summary. Aber nehmen wir das Jahr 1991 als Ausganspunkt fĂŒr eine kleine Zeitreise.

WWW ist nicht das Internet – ich war damals ab ca. 1990 mit einem 2400 Baud Modem ans Usenet angeschlossen und bezog tĂ€glich via UUCP einige ausgewĂ€hlte Newsgroups. Diese Technik ist heute noch relevant wie folgender Tweet zeigt:

RT @martinbogo In #Egypt a network of BBS’s are coming to life to combat the closure of ISP access. UUCP is up an running, quickly hashed up FIDOnet nodes

Heutigen Internetnutzern ist meist nicht klar das das WWW nur ein Bestandteil des Netzes ist. Wie man sieht geht es zur Not auch ohne WWW und viele Internet-Dienste haben nicht direkt etwas mit dem WWW zu tun.

Die Zensur-Debatte – ebenfalls im Jahr 1991 erlebte die deutsche Netzgemeinde die erste große Zensur-Debatte. Auslöser war damals ein EMMA Artikel von Ursula Ott – mit dem Titel “Pornos im Uni-Computer”. Dies fĂŒhrte zu einer sehr langen und kontroversen Diskussion. Ich verlinke mal ein Posting von Frank Simon (Chaos Computer Club) – Den Aufstand proben (Sonderbeitrag Chalisti) das Anfang 1992 als Reaktion auf diesen Artikel entstand. Das Thema Zensur gabs beim CCC aber schon 1985, hier ein Link in die Hackerbibel – Elektronische Zensur. Und wenn wunderts damals war die Liste mit den zensierten Angeboten natĂŒrlich geheim…

Benehmen im Netz – am 31.07.2011 behauptete SPD-Chef Sigmar Gabriel in einem Bild am Sonntag Interview folgendes:

Gelegentlich werden Hetze, Beleidigungen oder gar Bedrohungen als eine Art Folklore hingenommen. Hier haben die Nutzer des Internets eine Verantwortung dafĂŒr, dass solche Dinge zur Anzeige gebracht werden. In den sozialen Netzen mĂŒssen auch soziale Regeln gelten. Aufrufe zum Rassenhass oder gar zu Mordtaten sind auch im Internet strafbar.

Passend dazu möchte ich auf ein Netiquette Posting vom 15 Januar 1992 verlinken. Gutes Benehmen ist also ebenfalls ein Dauerbrenner in der Netzgemeinde…

Viele Themen die aktuell diskutiert werden sind also nicht wirklich neu, wie diese Beispiele von vor 20 Jahren zeigen. Es ist eher so das unsere Politiker 20 Jahre hinterher sind 😉

Um zum Schluß nochmal auf das WWW zu kommen, Zugang zum World Wide Web hatte ich dann ab 1993 im Rechenzentrum meiner Hochschule. Und heute? Als IT-Berater habe ich natĂŒrlich stĂ€ndig mit dem Internet zu tun, aber ich kann auch ohne! Soziale Netzwerke nutze ich ĂŒbrigens sehr eingeschrĂ€nkt. Ich habe ein berufliches Profil bei Xing, aber um Facebook und & Co mache ich ansonsten einen weiten Bogen – mir fehlt einfach die Zeit dazu.

Mir ist es wichtig das die Leser meines Blogs erkennen das “Das Netz” viel mehr als WWW, Google oder Facebook ist! Letztendlich ist es ein Kommunikationsmittel das unsere Welt in ein virtuelles Globales Dorf verwandelt. Noch so ein Begriff der die Netzgemeinde sehr geprĂ€gt hat. Vielleicht ist es gerade der Gedanke vom Globalen Dorf der dazu fĂŒhrt das sich mir die Nackenhaare aufstellen wenn wieder mal ein deutscher Politiker die Floskel von “Den Servern im Ausland” benutzt. In der realen Welt hat “Das Netz” natĂŒrlich ebenfalls seine Spuren hinterlassen und so sitze ich glĂŒcklich neben Leuten aus Frankreich und Indien im BĂŒro beim Kunden – im Globalen Dorf eben…

Die Sperrliste – Teil 3

Die technische Richtlinie zur Umsetzung des Zugangserschwerungsgesetz (ZugErschwG) ist offenbar fertig. Kann man unter anderem hier nachlesen:

Die Richtlinie ist aber VS-NfD (Verschlusssache NUR FÜR DEN DIENSTGEBRAUCH) eingestuft, wird also nicht veröffentlicht. Dies ist aus meiner Sicht total unverstĂ€ndlich. An dieser Richtlinie sollte doch eigentlich nichts geheimes dran sein. Besonders hart finde ich die Klausel das Stellungnahmen automatisch ebenfalls VS-NfD eingestuft sind und nur an das BKA weiter gegeben werden dĂŒrfen. Halte ich fĂŒr sehr praxisfern. Die betroffenen Internet-Service-Provider haben zur Umsetzung der Internetsperren sicher jeweils ein Projektteam. Ich gehe davon aus, das die jeweiligen Projektleiter diese technische Richtlinie anfordern werden. FrĂŒher oder spĂ€ter wird aber doch die Chef-Etage, das Controlling und die Sicherheits-Abteilung wissen wollen was konkret umzusetzen ist. Quasi eine interne Stellungnahme… und die ist dann auch VS-NfD 🙂

Ich kann mich an dieser Stelle nur wiederholen, Security through obscurity ist per Definition kein guter Ansatz. Meinen Kunden rate ich meist von sowas ab und bei denen die nach diesem Konzept bereits arbeiten komme ich oftmals aus dem Staunen nicht mehr raus (Wisst ihr eigentlich wie schmerzhaft es sein kann, wenn man eigentlich lachen will, aber nicht darf?).

Es ist einfach schade das versucht wird mit dem Stempel VS-NfD eine öffentliche Diskussion ĂŒber die technische Umsetzung der Internetsperren in Deutschland zu verhindern. Auch hier kann ich mich nur wiederholen, Strafverfolgung allgemein hĂ€ngt ganz entscheidend vom Vertrauen der Bevölkerung ab. Vertrauen entsteht unter anderem durch eine transparente Arbeitsweise der Behörden. Wenn jetzt schon die technische Richtlinie fĂŒr die Umsetzung geheim ist, dann sind die statistischen Daten zur Sperrliste (z.B. in welchen LĂ€ndern stehen die Server, oder warum konnte das Angebot nicht gelöscht werden) ebenfalls streng vertraulich.

Mein PR-Tipp fĂŒrs BKA, richtet fĂŒr das Team das die Sperrliste erstellen und verwalten soll eine Blog ein…

Löschen geht auch ohne Gesetze

Bei MOGIS gibts einen sehr interessanten Post “Warum man mit Kooperation weiter kommt ..“. Auf ein Argument in diesem Artikel wollte ich vor einiger Zeit in meinem Blog ebenfalls eingehen. Deshalb möchte ich dies nun nachholen.

Sex-Seiten lassen sich oftmals ganz ohne Gesetze und Polizei löschen! Wie soll das gehen? Es ist eigentlich ganz einfach. Die Mehrzahl der Hosting Provider schließt in den Allgemeinen GeschĂ€ftsbedingungen Schmuddelseiten einfach aus. Ist bei mir schon etwas lĂ€nger her das ich direkt mit Internet Hosting zu tun hatte. Soweit ich mich noch erinnere war der Hintergrund, das diese Internet-Auftritte fĂŒr den Hoster in mehreren Punkten sehr unbequem sein können:

  1. Sex-Seiten machen Traffic… eigentlich gut fĂŒr den Hoster, nur manchmal ist es soviel das die QualitĂ€t der Internet-Anbindung aller Kunden leidet und das ist dann wieder sehr schlecht
  2. Sollte die Seite evtl. doch illegal sein hat der Hoster mit der Staatsanwaltschaft zu tun, das ist viel Papier und macht Arbeit, so kommt der Hoster nicht auf seine Gewinn-Marge
  3. In der Sex-Branche herrscht natĂŒrlich auch ein gewisser Wettbewerb zwischen verschiedenen Anbietern… da wird dann schon mal mit unfairen Mitteln wie Denial of Service Angriffen gearbeitet. SpĂ€testens jetzt macht man sich als Kunde beim Hoster seeehr unbeliebt.

Das wĂ€re mal Punkt eins zum Hoster. Frau von der Leyen spricht ja von einem kommerziellen Massenmarkt. WĂŒrde also bedeuten, der Anbieter will Kohle vom Kunden haben. Dazu benötigt der Anbieter einen Payment-Dienstleister, der ermöglicht dann einen Geldtransfer vom Kunden zum Anbieter. Geld ist ja immer so eine Sache und so einen Akzeptanzvertrag bekommt man nicht so ohne weiteres. Da wird dann schon im Vorfeld das Risiko durch den Payment-Dienstleister abgeprĂŒft (mehrseitiger Fragebogen). Erotik ist fĂŒr Payment-Dienstleister ein heikles GeschĂ€ft da in diesem Bereich das Zahlungsausfallrisiko besonders hoch ist. Deshalb nehmen einige Payment-Dienstleister keine Erotik-Anbieter an.

Und nun das Argument in Kombination. Frau von der Leyen spricht von einem kommerziellen Massenmarkt und Herr Ziercke der Chef vom BKA behauptet die Kinderporno-Seiten wĂŒrden in “Failed-States” gehostet. Bleiben wir zuerst beim Thema Bezahlen, UK Foreign and Commonwealth Office:

  • Credit cards are not accepted in Somalia…

  • Iran:

    Credit cards are very rarely accepted and should not be relied upon as a means of payment.

  • Afghanistan:

    You should ensure that you carry sufficient cash, in US Dollars, for your visit because credit cards are not accepted.

Um die Sache rund zu machen, hier noch ein paar Anhaltspunkte wie es um das Thema “Hosting” in diesen LĂ€ndern bestellt ist. CIA Worldfact Book:

  • Somalia:

    …the public telecommunications system was almost completely destroyed or dismantled during the civil war; private companies offer limited local fixed-line service…

  • Chad:

    …primitive system with high costs and low telephone density; fixed-line connections for only about 1 per 1000 persons…

  • Afghanistan:

    …limited landline telephone service;…

Glaubt wirklich jemand die Taliban wĂŒrden im Swat-Tal geheime unterirdische Rechenzentren betreiben?

UI, offener DNS-Server der SPD [Update]

Also das muss ich vor meinem Kurzurlaub jetzt doch noch loswerden! Is einfach gigantisch!

Die SPD hat einen Internet-User der einen eigenen DNS-Server betreibt und damit die Internet-Sperren umgeht in die NÀhe von KinderschÀndern gestellt:


Sie hingegen haben fĂŒr sich
die technischen Voraussetzungen geschaffen, damit sie sich weiterhin
unbeschrÀnkt, wenn Sie denn die Absicht hÀtten, die Vergewaltigung
von Kindern betrachten können und dies auch im Bekanntenkreis weiter
empfohlen. Die KinderschÀnder in dieser Welt werden es Ihnen danken.

Siehe hierzu:

Ich hatte in einem meiner Post “Wie funktioniert die DNS-Sperre” ja schon mal etwas zu DNS erklĂ€rt. Das können wir jetzt gleich nochmal praktisch ĂŒben:


$ whois 195.50.146.131
[Querying whois.ripe.net]
[whois.ripe.net]
% Information related to '195.50.146.0 - 195.50.146.255'
inetnum: 195.50.146.0 - 195.50.146.255
netname: SPDINET-NET
descr: Sozialdemokratische Partei Deutschland
descr: Wilhelmstr 141
descr: 10963 Berlin
country: DE
admin-c: FH1138-RIPE
tech-c: ANOC1-RIPE
status: ASSIGNED PA
mnt-by: ARCOR-MNT
source: RIPE # Filtered
...
$ dig @195.50.146.131 www.youporn.com
; <<>> DiG 9.6.1-P1-RedHat-9.6.1-4.P1.fc11 <<>> @195.50.146.131 www.youporn.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10312 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 5 ;; QUESTION SECTION: ;www.youporn.com. IN A ;; ANSWER SECTION: www.youporn.com. 14007 IN CNAME youporn.com. youporn.com. 134 IN A 74.86.111.11 youporn.com. 134 IN A 74.86.111.8 ;; AUTHORITY SECTION: youporn.com. 14446 IN NS ns2.softlayer.com. youporn.com. 14446 IN NS ns1.youporn.com. youporn.com. 14446 IN NS ns1.softlayer.com. ;; ADDITIONAL SECTION: ns1.youporn.com. 39766 IN A 74.86.202.26 ns1.softlayer.com. 2071 IN A 67.228.254.4 ns1.softlayer.com. 2071 IN AAAA 2607:f0d0:0:f:1::1 ns2.softlayer.com. 2071 IN A 67.228.255.5 ns2.softlayer.com. 2071 IN AAAA 2607:f0d0:0:f:2::1 ;; Query time: 64 msec ;; SERVER: 195.50.146.131#53(195.50.146.131) ;; WHEN: Thu Aug 6 13:30:54 2009 ;; MSG SIZE rcvd: 247

Da kann ich nur noch sagen, das is wirklich PEINLICH!!!!!!!!!!!!!!

Vielleicht noch kurz etwas technische AufklĂ€rung dazu. Die SPD betreibt sicherlich ein sehr großes internes Netzwerk, da ist es völlig normal das es einen eigenen DNS-Server gibt der interne DNS-Anfragen auflöst. Wer eigene Internet-Domains in grĂ¶ĂŸerem Stil besitzt, wird dafĂŒr auch einen eigenen "Authoritative name server" (z.B. fĂŒr spd.de) betreiben. Dieser Authoritative Name Server wird immer fĂŒr alle im Internet zugreifbar sein, das ist technisch bedingt so. Das dieser Server allerdings auch andere Domains (z.B. www.cdu.de) auflöst sollte eigentlich nicht sein! An dieser Stelle möchte ich auf ein englisches Whitepaper von Luis Grangeia verweisen: Snooping the Cache for Fun and Profit.

Unter "Die Sperrliste" hatte ich geschrieben "Das BKA veröffentlicht die Sperrliste indirekt selbst". Ich weiss ich verlange viel, aber wer sich auch als nicht Hacker das oben verlinkte Whitepaper ĂŒbers Wochenende mal durchliest, kann vielleicht so langsam nachvollziehen was ich damit sagen wollte.

[Update 19.08.2009]
Nachdem gerade jemand im Heise-Forum danach gefragt hat, der angesprochene DNS-Server lÀsst inzwischen keine rekursiven Anfragen mehr zu:


$ dig @195.50.146.131 www.heise.de
; <<>> DiG 9.6.1-P1-RedHat-9.6.1-4.P1.fc11 <<>> @195.50.146.131 www.heise.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 53149 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;www.heise.de. IN A
;; Query time: 59 msec
;; SERVER: 195.50.146.131#53(195.50.146.131)
;; WHEN: Wed Aug 19 12:01:52 2009
;; MSG SIZE rcvd: 30