14 Nov

Deine Daten gehören dir!

Dieser Beitrag könnte mal ein wenig länger werden und hat nicht so richtig was mit den Code-Schnipseln zu tun, die ich hier eigentlich sammle.

Was für einen Wert haben deine Daten für dich?

Millionen Menschen geben ganz freizügig sehr viele Informationen über ihr Privatleben auf den großen Plattformen wie Facebook (und seinen beteiligten Firmen wie Instagram und WhatsApp), Twitter oder den Berufsnetzwerken Linkedin oder Xing für alle preis. Man hat ja schließlich auch nichts zu verbergen. Google und seine kostenlosen Tools für Fotos, E-Mail und Kalender oder Microsofts outlook.de Plattform sind weitere Beispiele für einfach zu nutzende und scheinbar kostenlose Dienste.

Scheinbar kostenlos? Ja, wir akzeptieren undurchsichtige Nutzungsbedingungen und geben unser Eiverständnis für das Tracking via Cookies und die automatisierte Analyse der von uns hinterlegten Daten oder im schlimmsten Fall auch den von uns dort gespeicherten E-Mails.

Die Datensammelwut dieser Unternehmen kennt keine Grenzen und die Speicherdauer dieser Daten auch nicht. Die Undurchsichtigkeit, wo diese Daten überall landen macht es schwer das ganze Ausmaß wirklich zu überblicken.

Datenschutzfreundliche Unternehmen – Deine Daten gehören dir!

Ein Slogan den Apple in letzter Zeit immer mehr forciert und in seiner Werbung und Aussagen immer wieder betont darauf hinweist, dass die Daten auf den Apple Geräten sicher verstaut sind und nur du selbst an diese Daten gelangst macht doch einen super Eindruck, oder? Zusätzlich will man den Nutzer seiner Geräte vor dem Tracking der bösen (siehe oben) Firmen schützen.

Spätestens mit dem großen Ausfall vieler Apple-Dienste am 12.11.2020 kann man diese Aussage nicht mehr so richtig glauben. Entwickler stellten fest, dass der langsame Start diverser Programme mit einer Verbindung zum Apple Server ocsp.apple.com zu tun hatte. Sperrt man diese Verbindung mit einem kleinen Hilfsprogramm wie Little Snitch starten die Programme wieder wie gewohnt.

Der Sicherheitsexperte und Hacker Jeffry Paul hat das weiter analysiert und dabei festgestellt, dass mit jedem Start eines Programmes unter MacOS eine ganze Menge an Informationen an Apple gesendet werden:

Date, Time, Computer, ISP, City, State, Application Hash

Apple oder auch jeder andere kann natürlich solche Hashes für bekannte Programme (aus dem App-Store, Creative Cloud, Tor Browser, Cracking-Tools, Reverse-Engineering Tools) errechnen und dementsprechend zuordnen.

Daraus lässt sich leicht Rückschlüsse darüber erzielen, wann man zu Hause oder im Büro welche Programme geöffnet hat.

Ich höre schon die Stimmen derer, die fragen: „Wen interessiert’s?“

Es ist nicht nur Apple. Die o.g. Informationen bleiben nicht bei Apple alleine.

  1. Die OCSP Anfragen werden unverschlüsselt übertragen. Jeder im eigenen Netzwerk, im öffentlichen WLAN, dein Provider und die Organisationen die den Provider angezapft haben können diese Daten ebenfalls sehen.
  2. Diese Daten gehen an eine dritte Firma. Einem „Content-Delivery-Netzwerk“ namens Akamai.
  3. Seit Oktober 2012 ist Apple Partner im US PRISM Programm, welches allen US Behörden und deren Partnern uneingeschränkten Zugang zu diesen Daten gibt.

Bis zur vorherigen Version von MacOS lassen sich diese Datenweitergaben leicht unterbinden. In der aktuellen Version von MacOS (Big Sur) hat Apple das verhindert. Die OCSP Server laufen hier dann an den normalen Netzwerkregeln vorbei und gehen auch bei vorhandener VPN Verbindung unverschlüsselt an der VPN Verbindung vorbei.

Zeit die Kontrolle zurückzuerlangen!

Es gibt Alternativen! Man muss sie nur nutzen. Lokale E-Mail Provider die klein genug sind um nicht unter die Telekommunikations-Überwachungsverordnung zu fallen. Mastodon-Server statt Facebook. Pixelfeed statt Instagram und diverse sichere Messenger statt WhatsApp.

Die Bequemlichkeit hält einen davon ab. Die Unternehmen freut es und sie sammeln fleißig weiter.

Die EU gibt sich derweil alle Mühe um ebenfalls der Datensammelwut (in dem Falle der Behörden) behilflich zu sein. Siehe hier!