Category Archives: German

Kurze Einmischung zum Thema WotzApp

Ein neuer Stern am Himmel der Milliardenkonzerne. Man sollte WhatsApp nicht so sehr dafür loben, dass es simpel zu bedienen ist und funktioniert. Das können andere auch. Anderes ist wichtig. Ihr erinnert euch vielleicht: bis vor Kurzem konnte man sehr einfach WhatsApp-Nachrichten im Namen anderer Leute verschicken. Ist schwieriger geworden, geht aber noch. Was ist eigentlich sicher an WhatsApp?

  • Der Nutzer ist Produkt.
  • Datenschutz hat geringe Priorität.

Ersteres ist spätestens seit dem 19.02.2014 klar. Zweiter Punkt: zum Beispiel kann man im lokalen WLAN versendete Nachrichten mit relativ einfachen Mitteln mitlesen. Es gibt sicherlich noch viele andere kleinere und größere Datenschutz-Probleme — aber all diese Dinge interessieren nur einen kleinen Bruchteil des gemeinen Volkes.

WhatsApp: keine Standards, keine Sicherheit. Einfach Chat im 90er Style für’s Handy.

Die WhatsApp-Ingenieure haben zu Anfang quick & dirty gearbeitet und die Grundzüge ihrer Architektur nicht an gängigen Standards ausgerichtet. IT-Sicherheit und Datenschutz ohne sich an Standards zu halten? Sowas ist von Vornherein im mathematischen Sinne ill-posed. Die Sorglosigkeit bei der technischen Umsetzung von WhatsApp ist uns schon seit Jahren bewusst. Uns ist doch klar, was WhatsApp im Kern ist: eine ganz simple, total gleichgültige Form des Chats. Sicherheit und Datenschutz völlig egal. Folgendes hatte mich schon vor Jahren beeindruckt: man muss sich nicht bei WhatsApp “einloggen”, es gibt kein (geteiltes) Geheimnis.

Krypto-Grundkurs

Man muss sich gar nicht weiter mit WhatsApp beschäftigen, um große Datenschutz-Skepsis dagegen zu hegen. Da schreiben Leute miteinander ohne vorher ein Geheimnis auszutauschen. Mal ein ganz kleiner kurzer Mini-Krypto-Ausflug, vielleicht erreiche ich ja ne schmale Masse, also nen kleinen Teil der breiten Masse. Ein Geheimnis ist etwas was nur DU kennst. Deine Telefonnummer ist kein Geheimnis. Deine IMEI ist auch kein Geheimnis. Ohne ein Geheimnis kann man

  • sich nicht sicher authentifizieren (eindeutig ausweisen),
  • keine Daten sicher verschlüsseln,
  • die Integrität versendeter Daten nicht gewährleisten.

Im Umkehrschluss heißt das für Kommunikation ohne Geheimnis:

  • Jeder kann (mit mehr oder weniger Aufwand) in deinem Namen Nachrichten versenden.
  • Jeder auf dem Kommunikationsweg zwischen dir und dem Empfänger (WLAN, ISP, …) kann deine Nachrichten lesen.
  • Jeder auf dem Kommunikationsweg zwischen dir und dem Empfänger (WLAN, ISP, …) kann deine Nachrichten verändern.

Was wollen die Leute eigentlich? Sicherheit eher nicht so.

Das reicht schon für den Grundkurs. Aber jetzt mal ehrlich: E-Mail und SMS leiden unter den gleichen Problemen. Und auch ICQ und Skype bieten keinen theoretisch vollständigen Schutz, obwohl man hier ja ein Geheimnis benutzt, die Login-Daten (das ist die falsche Geheimnisform, aber das wollen wir hier jetzt nicht behandeln). Und bei DE-Mail muss man sich aufregen, denn hier wird Sicherheit versprochen, die nicht existiert.

Das alles interessiert kaum jemanden. Und ich glaube das ist der Kern — eine wichtige Einsicht: echte Sicherheit wollen die Leute gar nicht unbedingt. Meistens ist ihnen schlicht egal, ob “jemand” mitlesen kann. Ist die breite Masse da irgendwas zwischen naiv und illusorisch? Vielleicht, ist aber egal. Konzeptionell perfekte IT-Sicherheit und alltägliche menschliche Kommunikation passen nicht so recht zusammen. Die selbe Gleichgültigkeit haben wir doch beim NSA-Skandal gesehen. Wo bleibt der Aufschrei? #aufschrei? #aufschrei3000? Mir ist das Ganze ja auch ein Stück weit egal — schließlich benutzte ich ICQ, versende E-Mails und SMS und bin seit Kurzem auch WhatsApp-Nutzer. Dabei weiß ich bei jeder dieser Techniken genau, wie man hier angreifen kann. Habt ihr etwa noch nie per tcpdump im Router die Nachrichten eurer Mitbewohner mitgeschnitten ;-)?

Aber bitte seid euch doch im Klaren darüber, was hier passiert.

Was meiner Meinung nach wichtig ist: das Bewusstsein darüber, wer da Daten von wem in welcher Größenordnung sammeln kann. Und Bewusstsein darüber, dass man sich unter Umständen verkauft. Schaut mal in diesen offiziellen Blogpost von WhatsApp aus 2012:

Remember, when advertising is involved you the user are the product.

Sie erklären da, dass der WhatsApp-Nutzer nicht das Produkt ist, weil sie keine Werbung verwenden. Dann reden sie von ihrer ach so tollen Architektur und dass die simple Form der Kommunikation ihr Produkt ist, nicht etwa der Nutzer oder seine Daten:

That’s our product and that’s our passion. Your data isn’t even in the picture. We are simply not interested in any of it.

19 Milliarden $ für was genau? Achso, ja klar.

Das da oben klang schon immer schmutzig. Neuerdings erscheinen diese Aussagen aber in besonders reudigem Licht, ich formuliere das mal simpel:

  • 19 Milliarden $ für eine (IT-)Architektur, die viele besser hinbekommen hätten? Nee.
  • 19 Milliarden $ für eine riesige Nutzerzahl? Ja.

Was ist also das Produkt? Die Nutzer, genau, wie immer. Seid euch drüber im Klaren.

Was ich noch sagen will: heml.is und BitTorrent Chat

Wenn man wirklich mal sichere Kommunikation braucht, dann muss man wissen, wo man die bekommt. Die Medien haben sich gerade auf Threema eingespielt. Schön für die Schweizer, da klingeln bestimmt gut die Kassen. Soweit ich das sehe, ist das kryptographisch solide gemacht. Man hat sich an anerkannte Standards gehalten. Und arbeitet mit echten Geheimnissen. Die Nutzdaten, also die Nachrichteninhalte, scheinen sicher. Ihr müsst aber wissen, dass auch die Leute von Threema natürlich Metadaten sehen und sammeln können, also wer mit wem wann wie viel und so (eigentlich alles außer was und warum vielleicht :-)). Außerdem ist Threema nicht — wie einige Konkurrenten — kostenlos. Nebenbei bemerkt: ihr müsst kein schlechtes Gewissen haben, wenn ihr eine kostenlose App installiert. Der Flappybird-Mann hatte 50.000 $ tägliche Werbebeteiligung nur durch die Präsenz in den jeweiligen Applikations-Einkaufsläden.

Ich würde eure Aufmerksamkeit gerne auf heml.is und BitTorrent Chat lenken. https://heml.is/ wird seit Längerem von drei Schweden entwickelt. Die machen durch ihre Planungs- und Informationspolitik einen äußerst sympathischen und professionellen Eindruck. Sie stehen kurz vor Release und man twittert ihnen schon zu, dass sie am besten sofort jetzt, blabla, aber man reagiert recht cool:

A car without wheels may be 99% complete but is pretty useless, right?

Also, https://heml.is/, merkt euch das mal. Macht einen besseren Eindruck als Threema. Auch BittorrentChat ist sehr vielversprechend — in anderer Art und Weise. Wie immer rund um “Torrent” wird hier ein dezentraler Ansatz verfolgt. Ein selbstregulierendes P2P-Netz. Nur mit so einem Ansatz kann man Anonymität verwirklichen (Ähnlichkeit zu TOR), nur so kann man das effiziente Sammeln von Metadaten verhindern. Auch BittorrentChat ist noch nicht fertig, aber kurz vor Release.

Abendlicht

Dresden im (Winter-)Abendlicht:

Dresden, Winterabend, 1/125 s, 100 mm, f/2.8, ISO 125

Dresden, Winterabend, 1/125 s, 100 mm, f/2.8, ISO 125

Dresden, Winterabend, 1/640 s, 100 mm, f/3.8, ISO 200

Dresden, Winterabend, 1/640 s, 100 mm, f/3.8, ISO 200

Dresden, Winterabend, 1/1250 s, 100 mm, f/3.5, ISO 200

Dresden, Winterabend, 1/1250 s, 100 mm, f/3.5, ISO 200

100 mm f/2

Neues Objektiv: ich habe mir ein Canon 100 mm f/2 gegönnt. Moderat hohe Brennweite mit großer Apertur: besonders geringe Schärfentiefe. Festbrennweite: sehr gute Abbildungsqualität, günstig. Macht natürlich Arbeit (kein Zoom), aber mir deswegen großen Spaß. Ken Rockwell fasst überzeugend zusammen:

Want better optical quality than an “L” zoom in a much smaller, lighter and less expensive package? Here you go! […] Since fixed, fast short teles are easy to make very good, you can get either the 100mm or 85mm lenses for a lot less money, with better optics, in a much smaller, lighter and less expensive package than any “L” series zoom. […] Spectacular optics, great mechanics with a metal filter thread, low price, fast auto and manual focus, light weight and great handling. Instant manual-focus override by simply grabbing the focus ring.

Kleine Schärfentiefe mag wohl fokussiert sein

Bei offener Blende ist die Schärfentiefe wahnsinnig klein. Das habe ich gestern mit der Schnapsflasche auf der Mauer getestet (Objekt ca. 1 m von der Kamera entfernt):

100 mm, f/2, 1/4000 s

Kleine Schärfentiefe. Aufgenommen bei 100 mm, f/2, 1/4000 s.

Auf den Deckel fokussiert ergibt sich ein 1-2 cm dicker Raumbereich in dem die Szene auf den ersten Blick scharf wirkt. Man sieht deutlich wo diese virtuelle Scheibe die Mauer schneidet. Tatsächlich ist es so, dass der perfekte Fokus in einer nur 1-5 mm dünnen Scheibe liegt. In dem Testbild ist der Deckel nicht perfekt im Fokus. Das wird im Originalbild im Zoom deutlich.

Die besonders geringe Schärfentiefe stellt extreme Bedingungen an den Autofokus der Kamera. Mit diesem Objektiv werden kleine Imperfektionen im Autofokus bei offener Blende schnell sichtbar. Nur bei statischer Szene, mit Stativ und im LiveView-Modus (10 x Zoom) kann ich mit der EOS 600D 100 % zuverlässig fokussieren. In allen anderen Situationen hilft Handfertigkeit, probieren, kontrollieren, nachstellen — am Ende muss man mit kleinen Imperfektionen leben (was je nach Bild völlig okay sein kann).

Testschüsse

Diese Linse animiert zum Laufen. Sie ist auch ein bisschen frustrierend, ständig der Gedanke: nee, so bringt das nichts. Hintergrund und Vordergrund müssen besonders gut zusammen passen, präzise zurechtgelegt und kombiniert werden. Während ein Weitwinkel-Objektiv die Szene ähnlich zum Menschen auffasst, ist die Perspektive und der Bildeindruck des 100 mm f/2 beeindruckend verändert: kleiner Blickwinkel, unnatürlich wirkende Nähe zwischen Hintergrund und Vordergrund, und natürlich die geringe Schärfentiefe. In dieser Sichtweise muss man phantasieren und komponieren. Auf meinem Testrundgang um den Block sind ein paar Schüsse schon ganz gut gelungen.


Tischtennis. Aufgenommen bei 100 mm, f/2, 1/4000 s.

Aufgenommen bei 100 mm, f/2, 1/4000 s.

Dieses Bild ist simpel aufgebaut: drei Graustufen, harter Kontrast zwischen nasser Fläche im Abendlicht und den Personen. Wesentlich ist aber die eher unterbewusste Wirkung der unwirklich detailarm erscheinenden Wiese. Die Ruhe im Hintergrund lässt die Personen im Vordergrund surreal präsent wirken.


Aufgenommen bei 100 mm, f/2.5, 1/400 s.

Neustädter Mulde. Aufgenommen bei 100 mm, f/2.5, 1/400 s.

Die gegenüberliegenden Seiten der Mulde werden durch die leichte Telewirkung der 100 mm Brennweite perspektivisch zusammengezogen, die Mulde wirkt spektakulärer als in der Realität. Der vordere Bereich der Straße wirkt breit und massiv, lenkt den Blick durch seine Unschärfe aber ins Zentrum. Dort versteckt sich eine kleine Punchline: Papa mit Kind, in guter Schärfe.


Baum im Alaunpark. Aufgenommen bei 100 mm, f/3.5, 1/500 s.

Baum im Alaunpark. Aufgenommen bei 100 mm, f/3.5, 1/500 s.

Extrembeispiel für das Herausstellen des Vordergrundes gegenüber des Hintergrundes. Die Peripherie des Parks geht vollständig im Unschärfebereich, dem Bokeh, auf. Hohes Detail und knackige Schärfe im Baum. Ich habe hier die 3.5er-Blende gewählt (also nicht die maximal große Blendenöffnung, sondern 1.5 Stufen kleiner). Grund: Bäume sind rund! :D Bei maximaler Blendenöffnung würde die Baumrinde im Randbereich also schon unscharf sein.


Paketbote. Aufgenommen bei 100 mm, f/2.0, 1/1000 s.

Paketbote. Aufgenommen bei 100 mm, f/2.0, 1/1000 s.

Das war der zweite Auslöserklick mit dem neuen Objektiv. Es kann so einfach sein: einigermaßen angenehmer Hintergrund, abgegrenztes Motiv, gerichtetes und warmes Licht der Abendsonne. An dieser Stelle war die Wahl der 2er Blende unklug — sie (Sie) ist einfach aus dem Fokus gelaufen, wahrscheinlich innerhalb von Sekundenbruchteilen. Nicht perfekt im Fokus, das ist schade, aber dieses Bild leidet darunter nicht sehr. Merke trotzdem: mit extremer Blende nur arbeiten, wenn Zeit und Kontrolle vorhanden sind. Bei diesem Bild ist beachtenswert, dass der Hintergrund gegenüber dem Objekt durch Unschärfe abgerenzt ist, obwohl mein Abstand zum Objekt bei mindestens 15 Metern lag. Feines Objektiv.

Achso, USM: ultraschneller Fokus. Point and shoot, durch ein bisschen Hektik ist nicht gleich jedes Bild verloren. Echt beeindruckend schnell. Beweis:

Vogel. Aufgenommen bei 100 mm, f/2.0, 1/500 s.

Vogel. Aufgenommen bei 100 mm, f/2.0, 1/500 s.

Kein besonders ansprechendes Bild, mehr ne Techdemo: Ich habe spontan gezielt, fokussiert, abgedrückt, und währenddessen in Körperdrehung die Kamera mit dem Objekt mitgeführt. Hat gut funktioniert (kein perfekter, aber ausreichend guter Fokus).

Zur Erinnerung: Elbe Hochwasser 2013 in Dresden

Ziemlich bedrückende Stimmung für so viel Schokopudding. Ich erinnere ich mich an diesen Moment: 5. Juni 2013, eine Viertelstunde nach Sonnenuntergang. Ich legte die Kamera auf die alte Mauer der Dresdner Albertbrücke, stützte das neue Weitwinkelobjektiv mit dem Kameragurt und belichtete für 4 Sekunden:

Dresden Hochwasser 2013, Albertbrücke

Dresden Hochwasser 2013, Albertbrücke

Vielleicht mache ich in den nächsten Tagen ein Bild in gleicher Perspektive. Wir haben jetzt weniger Wasser, aber dafür ein bisschen Schnee.