• Pascoda berichtet über den problematischen AMS-Algorithmus
• Thomas Lohninger and Angelika Adensamer über die Aufgaben, Erfolge und Projekte von epicenter.works
• Starbug und Julian über ihre Erfolge beim hacken von Venenerkennung
• Michael Steigerwald berichtet über seine Erfahrungen mit smarten Glühbirnen
• Ulf Buermeyer and Andre Meister über die alltägliche Rasterfahndung mittels Handydaten und über das System, das in Berlin eingeführt wurde, damit Leute darüber informiert werden, wenn sie „Opfer“ der Rasterfahndung wurden
• Peter Schmidt über Störquellen im Uplink
• Trammell Hudson über Hardware implants and supply chain attacks

Es steht wohl außer Frage, dass es noch weitere interessante Vorträge gegeben hat. Vielleicht komme ich in den nächsten Tagen noch dazu ein paar Vorträge anzusehen. Gegebenenfalls wird dann die Liste noch ergänzt.

Der Einfachheit nehmen wir folgende Tabelle her:

Create table raster.personen (
raster_250_id character varying,
raster_500_id character varying,
raster_1000_id character varying,
geschlecht character(1),
altersklasse character(6),
personen int
);

Jetzt noch ein paar Testdaten:

insert into raster.personen values
('250mN263325E457650', '500mN26330E45765', '1kmN2633E4576', 'w', '20-30', 14),
('250mN263325E457650', '500mN26330E45765', '1kmN2633E4576', 'm', '40-50', 1),
('250mN263300E457650', '500mN26330E45765', '1kmN2633E4576', 'm', '40-50', 5),
('250mN263325E457650', '500mN26330E45765', '1kmN2633E4576', 'w', '40-50', 1),
('250mN263300E457650', '500mN26330E45765', '1kmN2633E4576', 'w', '40-50', 2);

Für die Berechnung selbst, habe ich der Einfachheit halber jeweils einen Hash verwendet, der alle relevanten Spalten umfasst. Jetzt legen wir für jede Ebene noch einen Hash an:

alter table raster.personen add column hash_250 text, add column hash_500 text, add column hash_1000 text;

update raster.personen set hash_250 = encode(digest(raster_1000_id || raster_500_id || raster_250_id || geschlecht || altersklasse, 'sha256'), 'hex'),  hash_500 = encode(digest(raster_1000_id || raster_500_id || geschlecht || altersklasse, 'sha256'), 'hex'),  hash_1000 = encode(digest(raster_1000_id || geschlecht || altersklasse, 'sha256'), 'hex');

Jetzt müssen wir noch überlegen, wie wir die Daten aggregieren müssen. Die Idee ist, dass man auf der untersten Eben (250 Meter) anfängt zu überprüfen, welche Daten unter der minimalen Anzahl an Personen (5) liegt. Danach die diese Daten auf der Ebene 500 Meter überprüft und gegebenenfalls dann auf die höchsten Ebene (1000 Meter) legt. Danach muss man auf der 500 Meter Ebene überprüfen, welche der möglichen Daten, nicht auf die 1000 Meter Ebene gehoben wurden und am Ende noch auf dem 250 Meter Raster überprüfen, welche Daten noch übrig sind. Das ganze wird in einer SQL-Abfrage mit mehreren CTEs[2] überprüft. Der erste Teil holt sich alle Daten, die auf der 250er Ebene die Kriterien nicht erfüllen:

with nicht_250 as (
select hash_500, hash_1000 from raster.personen where personen < 5
group by 1,2
)

Die nächste CTE aggregiert dann die Daten für die 500er-Ebene

vielleicht_500 as (
select a.hash_500, a.hash_1000, sum(a.personen) as personen from raster.personen as a, nicht_250 as b
where a.hash_500=b.hash_500 group by 1,2
)

Im nächsten Schritt werden die Datensätze ermittelt, die auch auf der 500er Ebene zu wenig Personen haben

nicht_500 as (
select hash_1000 from vielleicht_500 where personen < 5
group by 1
)

Diese Daten werden dann auf der 1000er Ebene aggregiert

schon_1000 as (
select a.hash_1000, sum(a.personen) as personen from raster.personen as a, nicht_500 as b
where a.hash_1000=b.hash_1000 group by 1
)

Und im nächsten Schritt geht es wieder auf die 500er Ebene um die Daten für diese Ebene zu ermitteln. Dafür müssen wir alle potenziellen Datensätze eliminieren, die schon auf der 1000er Ebene in Verwendung sind

exclude_1000 as (
select a.hash_1000, a.hash_500 from vielleicht_500 as a
left join schon_1000 as b on (a.hash_1000=b.hash_1000)
where a.personen >= 5 and b.hash_1000 is null
)

Und danach können wir alle Datensätze für die 500er-Ebene ermitteln

schon_500 as (
select a.hash_500, a.hash_1000, sum(a.personen) as personen from
raster.personen as a, exclude_1000 as b
where a.hash_500 = b.hash_500
group by 1,2
)

Im letzten Schritt ermitteln wir noch alle Datensätze für den 250 Meter Raster

schon_250 as (
select hash_250, a.personen from raster.personen as a
left join schon_1000 as b on (a.hash_1000=b.hash_1000)
left join schon_500 as c on (a.hash_500=c.hash_500)
where b.hash_1000 is null and c.hash_500 is null
)

Und zum Abschluss das komplette Statement:

with nicht_250 as (
select hash_500, hash_1000 from raster.personen where personen < 5
group by 1,2
),
vielleicht_500 as (
select a.hash_500, a.hash_1000, sum(a.personen) as personen from raster.personen as a, nicht_250 as b
where a.hash_500=b.hash_500 group by 1,2
),
nicht_500 as (
select hash_1000 from vielleicht_500 where personen < 5 group by 1 ), schon_1000 as ( select a.hash_1000, sum(a.personen) as personen from raster.personen as a, nicht_500 as b where a.hash_1000=b.hash_1000 group by 1 ), exclude_1000 as ( select a.hash_1000, a.hash_500 from vielleicht_500 as a left join schon_1000 as b on (a.hash_1000=b.hash_1000) where a.personen >= 5 and b.hash_1000 is null
),
schon_500 as (
select a.hash_500, a.hash_1000, sum(a.personen) as personen from
raster.personen as a, exclude_1000 as b
where a.hash_500 = b.hash_500
group by 1,2
),
schon_250 as (
select hash_250, a.personen from raster.personen as a
left join schon_1000 as b on (a.hash_1000=b.hash_1000)
left join schon_500 as c on (a.hash_500=c.hash_500)
where b.hash_1000 is null and c.hash_500 is null
)
select hash_250 as id, '250'::text as ebene, personen from schon_250
UNION
select hash_500 as id, '500'::text as ebene, sum(personen) as personen from schon_500 group by 1,2
UNION
select hash_1000 as id, '1000'::text as ebene, sum(personen) as personen from schon_1000 group by 1,2;

Jetzt könnte man beispielsweise noch einen View anlegen, der die einzelnen Zeilen über den Hash wieder mit den „Roh-Daten“ verknüpft und so die einzelnen Merkmale wieder abrufen kann.

[1] http://data.statistik.gv.at/web/meta.jsp?dataset=OGDEXT_RASTER_1

[2] https://www.postgresql.org/docs/current/static/queries-with.html

Auf der Liste der Kritiker, die einen „Anschlag auf die Sicherheit Österreichs“ begehen, befinden sich Organisationen wie der Oberste Gerichtshof, der Österreichische Städtebund, Rechtsanwaltskammer, Universitäten, Österreichisches Rotes Kreuz oder Ministerien.^[3][4] Auch gab es einen offenen Brief vom Verband der österreichischen Internetanbieter ISPA, dem Fachverband  UBIT in der Wirtschaftskammer, der „Österreichische Computer Gesellschaft“^[5] und der Initiativen Austrian Start-ups und Digital Society, die vor einer Schwächung der Cybersicherheit warnten.^[6] Und in einem Gastkommentar schreibt Gerhart Holzinger (Präsident des österreichischen Verfassungsgerichtshofs) in den Salzburger Nachrichten:„Allzu oft ertönt dieser Ruf nach neuen Gesetzen schon, bevor überhaupt klar ist, ob nicht die bestehenden ausreichten, würden sie nur konsequent angewendet.“^[7]

Auch gibt es beim österreichischen CERT (Computer Emergency Response Team) ein gutes Blogposting was eine Schwächung von Kryptographie für die Sicherheit bedeuten würde und warum es nahezu unmöglich ist Sicherheitslücken als einzige Organisation auszunutzen.^[8] Eine komplette Liste der Stellungnahmen kann bei epicenter.works eingesehen werden.^[9]

Aber trotz aller Kritik war das „Sicherheitspaket“ auch für Sebastian Kurz „ohne Alternative“. Und alles ist natürlich nur im Sinne der Bevölkerung, denn „Eine Regierung, die ihre Bevölkerung best möglich schützen will, wird dieses Paket umsetzen“.^[10]

Womit auch Kurz hier, ähnlich wie bei Sobotka, Kritikern des Pakets unterstellt wird, gegen die Sicherheit der österreichischen Bevölkerung zu sein. Dies brachte ihm auch Kritik unter anderem von Albert Steinhauser: „Ein Außenminister, der die Kritik von Institutionen wie Ministerien, dem OGH, Universitäten oder der Rechtsanwaltskammer nicht ernstnimmt, schützt nicht die Interessen der Österreicherinnen und Österreicher, sondern gefährdet den Rechtsstaat und seine Grundrechte“.^[11]

Generell erinnern die Aussagen der „neue“ ÖVP, eher an die von autoritären Regierungen, wie zum Beispiel derzeit sehr gut am Beispiel der Türkei beobachtbar, wo Erdogan Kritiker auch gerne staatsfeindliche Absichten unterstellt.^[12]

Ebenfalls schwer bedenklich finde ich, dass von der „neuen“ ÖVP einerseits (vollständige) Transparenz der Bürger erwartet wird, aber andrerseits Transparenzgesetze, die die Partei selbst betreffen würden, im Parlament verhindert werden. So hat man sich beispielsweise zusammen mit der SPÖ darauf geeinigt das Amtsgeheimnis nicht abzuschaffen^[13] und wie eine gemeinsame Pressekonferenz von Hubert Sickinger, dossier.at, meineabgeordneten.at und dem Verein „Forum Informationsfreiheit“ am Freitag gezeigt hat, wäre auch bei der Transparenz der Parteifinanzen noch einiges zu tun.^[14][15]

One reason the ransomware on Friday was able to spread so quickly was that the stolen N.S.A. hacking tool, known as “Eternal Blue,” affected a vulnerability in Microsoft Windows servers.

“It would be deeply troubling if the N.S.A. knew about this vulnerability but failed to disclose it to Microsoft until after it was stolen,” Patrick Toomey, a lawyer at the American Civil Liberties Union, said on Friday. “These attacks underscore the fact that vulnerabilities will be exploited not just by our security agencies, but by hackers and criminals around the world.”

Jetzt ist also etwas passiert. Die WannaCry ransomware attack² sorgt dafür, dass kritische Infrastrukur wie z.B. Krankenhäuser oder Telefonunternehmen in unterschiedlichsten Ländern attackiert und lahmgelegt wird.

…und der Bhf Neustadt so: pic.twitter.com/T4BfmaugYi

— Moohten Moohtinowski (@Moohten) 12. Mai 2017

Wie es derzeit scheint, ist der Ursprung des Ganzen eine von der N.S.A. gefundene und nicht gemeldete Schwachstelle, ein Zero-Day-Exploit, im SMB-Protokoll von Microsoft. Es wird vermutet, dass die N.S.A Microsoft erst verständigt hat, nachdem der Geheimdienst den Diebstahl seiner Tools festgestellt hat.

In einem Artikel habe ich schon einmal dargelegt für wie gefährlich ich es halte, wenn Staaten versuchen Zero-Day-Exploits auszunutzen, um die eigenen Bürger zu überwachen, anstatt die eigene Infrastruktur zu schützen.³ Aber die österreichische Bundesregierung will weiter an ihrem Plan des „Bundestrojaners“ festhalten (auch wenn der Name dann ein anderer sein wird)⁴

Zum Abschied noch ein Ausblick auf die neue wunderbare neue Welt voller smarter Geräte.

Fußnoten