iCloud Hack – why you should own a Private Portal

Hacker

Hackers and government agents

Most people understand the difference between a private safe at home and a rented safe controlled by a bank. Your private safe is endangered by family members and burglars. Your bank safe is protected against burglars but is  endangered by banking and government rules as well as fraud by bank employees.

People have a rough understanding of the pros and cons of the physical safe security solutions. However, users have no chance to assess the quality of online IT services.

They hope their data are adequately secured and backed up. Hopefully, the apps they are using and the companies running it will be operational forever. Passwords and accessed are handled according highest security standards. Users hope  that large organisations like Facebook, Yahoo or Apple take better care of their data than small companies. This is certainly not true. The large organisations may have very good mechanisms to protect their data. However, criminals prefer large targets because the return on investment is much larger. Large companies are subject to all kinds of government regulations e.g. banks may not allowed to hand out the money you have in your saving accounts (just figures in a data base).

Many people think that their smart phone is data safe and store huge amounts of  sensitive data – very often data which are owned by other people (e.g. email), employers or companies. Today you may be forced to give immigration officers your passwords to social networks and private accounts.

My solution to this problem is rather simple. I use a private Sharepoint Server Private Portal for me, my family clan, my professional project partners but also my guitar club. The Private Portal is hosted by a small hosting provider in Switzerland. The cost is about 120$/year for > 100 users. Microsoft is also offering  Sharepoint Online for $5/user. The Microsoft Sharepoint software is used by a lot of large companies. Therefore it will be  maintained at least for the next 20 years. Microsoft has a good track record on providing long-term support for their business software. The staff of the Swiss hoster is very experienced and provides services also to Swiss banks. Swiss government tries to establish a trusted IT infrastructure in Switzerland and knows how important security and privacy is for this business – I do not trust the legislation and government agencies of Trump, Merkel or Putin.

I personally control the high level access to my private portal and can create subportals for groups and invite other users.  Users can manage the access to their data. Sharepoint provides multi language support – a very important figure for my WW family.  It also provides private communication much like Facebook. You must not use eMail services to communicate. I don’t store a lot of data on my smart phone. Sensitive data is stored at the portal and can be accessed anytime with a browser or special Sharepoint apps. I personally prefer a browser which works on any device.

Certainly the private portal  server can be attacked by hackers much like any other Sharepoint server. However, the ROI will be very small and not very interesting to NSA and other government agencies. The private portal has also the advantage that I can get a copy of all my data to my PC whenever I want and can move to another service provider. I am using standard systems like Facebook, XING , Google etc for first contacts, chats  and „throw away“  data. The nice things about my Private Portal – no advertizing and no nasty messaging during work. It’s certainly worth 10$ per month.

Attention: Big Companies like Microsoft, Apple, Google etc want to drive the small hosters out of business  and move users to their closed platforms. An Open Source Collaboration Portal offering for private and small business is needed.

PS Sending Sharepoint Messages to users, which are not registered. (German)

iCloud Hackers Threat well known

iCloud Hack: How to Unlock  iCloud & Disable Apple ID without password

 

Mathematrical Science Brains behind Donald Trump – Robert Mercer, Eugene Fama, Benoit Mandelbrot

Mandelbrot Fractals

One of the well-known secrets of the Donald Trump successful campaign is the extensive use of modern technology for voter analysis, media communication and fund-raising and campaign management.

Much like a Silicon Valley start-up, the Donald Trump promotion machine was created in a couple of weeks and was built for low-cost and rapid change. It is estimated the Hillary Clinton crew spent twice the amount for her campaign than Donald Trump. Robert Mercer, the Hedge-Fund Tycoon and co- C.E.O of Renaissance Technologies (ref New Yorker background paper) Hedge Fund, was the key „technology provider“ and a major money provider to Donald Trump’s campaign. To my knowledge Robert Mercer is the only scientist who made his fortune based on mathematics. The key theory for statistical analysis of financial data was developed by the polish-born, french mathematician and „fractalist“ Benoit Mandelbrot.

I met Benoit Mandelbrot in 1978 when I was programming graphic applications for the 801 RISC system at the IBM Research Center, Yorktown Heights using  my graphic application system  (developed at the IBM Lab in Germany) . In 1978 high-resolution graphic workstations and adequate programs were rare even at IBM. From time to time an elderly scientist would show up and ask very politely whether I could display and print some data he had generated. He never forgot to say thank you when the work was finished. At that time the subject of his research seemed to be not  important to the fellow scientists and the IBM management. Benoit Mandelbrot was hired by IBM because his work was related to the forecast of stock prizes. Eugene F. Fama Published his  PhD Thesis The Behavior of Stock Market Prices in 1964. E.F. Fama received the Nobel Prize in 2013. Poor Benoit Mandelbrot did not get a Nobel Prize. The work of Mandelbrot and Fama established the application of statistical methods to the analysis of business data. The lack of powerful computers limited their work.

Robert Mercer worked at the IBM Research Lab in Yorktown Heights, N.Y.  at the same time in the speech recognition team introducing statistical methods to speech recognition. Scientist had access to powerful computers, which allow the analysis of large amounts of data. In 1993 Robert Mercer was hired by Renaissance Technologies, where he applied  the techniques used for speech recognition to the analysis and prediction of stock prizes and made a fortune.  The Medallion Fund with assets worth $65 billion is managed by computer algorithms (quantitive trading) and mostly owned by the employees of Renaissance Technologies.  It is considered to be the most successful fund with a positive track record of 20 years. Math pays off.

Key to the successful campaign of Donald Trump was not money but the technology people supporting the campaign. Robert Mercer provided a people pool from his company  Cambridge Analytica to support the campaign. It is questionable how much impact the products of Cambridge Analytica had on the outcome. For sure the high-tech people did. Today it is not so important how much money is spent on a campaign but how many High-Techs in marketing, media, big data analysis and IT operation can be recruited  for the campaign team in a short time. A very good social network is required. Certainly it helps if you have money to spend.

Motivated probably by his daughter, Robert Mercer applies his winning skills to politics and management of a country – an interesting experiment.

Reporters are wondering about the motivation of Robert Mercer. My guess it is his dedication to winning. In the Research Lab he had to outsmart his fellow scientists and to win the attention of the scientific world. He applied this skills  to the financial world, but also to sailing ( much like Oracle Boss Larry Ellison)  or poker. Whatever he does – he wants to win.  In contrast politicians, like Hillary Clinton, have a long loser record. It takes a long time and endless compromising to get to the top.

PS The three mathematicians were 1st or 2nd generation immigrants from Poland, Italy and Canada!

Zuviel Strom in Kalifornien

smog-caWährend in Deutschland obskure und teure Technologien zur Energieerzeugung wie Biogas oder Müllverbrennung subventioniert werden, setzt Kalifornien voll auf die Solartechnologie. Kalifornien hat das Unglück, daß sich dort täglich durch den Autoverkehr und den Betrieb von Klimaanlagen übler Smog entwickelt. Dafür scheint aber fast immer die Sonne, die man mit moderner Solartechnologie nutzen kann. Bereits 2024 wird in Kalifornien am Tag mehr Strom erzeugt als verbraucht wird. In Hawaii ist das bereits heute der Fall. Die Sonne scheint in Kalifornien wesentlich zuverlässiger als z.B. in Deutschland der Wind weht. Demnächst wird aber auch in Deutschland am Tag mehr Strom von Solaranlagen erzeugt werden als verbraucht wird. (Die Solarthermie hat ein ähnliches Problem. Im Sommer wird das Wasser so stark aufgeheizt, daß z.B. der Dachstock in Brand geraten kann, wenn man nicht gerade einen Swimming Pool hat, den man auf Hot Tub Temperatur aufheizen kann. )

Es ist natürlich völlig sinnlos Solaranlagen bei Überproduktion abzuschalten. Allerdings wird in Kalifornien viel Strom am Abend benötigt, wenn die arbeitende Bevölkerung nach Hause fährt und dort eventuell sogar noch das Elektroauto aufladen will.

Mit der für Elektroautos genutzten Batterietechnologie kann man Stromspeicher für lokale Netze aufbauen, die am Tag geladen werden und Energie für etwa 4 Stunden speichern können. Das reicht aus um die Spitzenbelastung abzufedern. In der Nacht übernehmen dann mit Gas betriebene, konventionelle Kraftwerke die Grundlast. Durch die Konzentration auf die Solartechnologie erreicht man niedrigere Preise als bei dem Technologie-Wirrwar in Deutschland. Es ist eine Illusion, daß staatliche Regulierung die Investitionen sinnvoll im Sinne der Verbraucher und zur Sicherung der Versorgung lenken können.

TESLA hat natürlich bereits erkannt daß durch die Nutzung der Batterien im Netz und in Autos die Preise gesenkt werden können.

PS Die Regeln der kalifornische Umweltbehörde sind übrigens wesentlich vernünftiger als die EU Regeln. Für ältere Autos gibt es sehr vernünftige Übergangsregelungen. Die Zulassungsbehörde kämpft da nicht gegen die Physik. Alle Fahrzeuge müssen alle 2 Jahre zum Smog-Check, wenn sie in „Smog Zonen“ zugelassen sind. Die Landeier können weiter ihren alten Autos fahren oder ältere Autos aus den Smog-Zonen billig erwerben.  Dieselfahrzeuge, die vor 1997 gebaut wurden, werden nicht mehr geprüft. Da weiß man, daß man da ähnlich wie bei Oldtimern technisch nichts mehr sinnvoll ändern kann.

Wie konnte Facebook so schnell wachsen – Crowd Development

Free FacebookDie deutschen Informatiker schauen  an die US West Coast und wundern sich, wie schnell dort Ideen (meist sogar ziemlich alte) in erfolgreiche neue Produkte umgesetzt werden. Das Geheimnis liegt in der unkonventionellen Art wie die Produkte entwickelt werden. Jenseits des „offiziellen“ Management Sprechs beschreibt der Entwickler Ben Blumenfeld, wie in den ersten fünf Jahren bei Facebook entwickelt wurde. Anstatt den von deutschen Informatikern und deren Managern geforderten geordnetem Entwicklungsablauf  mit Marktanalyse, Anforderungen, Entwurf, Codierung und Test verlief die Entwicklung extrem chaotisch. Gruppen von Entwicklern taten sich zusammen und entwickelten, was sie für notwendig hielten. Die Methoden wurden flexibel gemäß den Anforderungen und den Kenntnissen und der Erfahrung der Entwickler gewählt. Irgendwann tauchten diese Projekte dann auf dem Bildschirm von Mark Zuckerberg auf und wurden dann offiziell. Manche Projekte, die nicht auf der offiziellen Linie lagen, mussten geheim durchgeführt werden. Das Management versuchte nicht, die Arbeitszeit jedes Mitarbeiters zu kontrollieren. Zur gewissen Zeitpunkten tauchten diese Projekte dann auf und wurden entweder fortgeführt oder aufgegeben.

Mit dem Anwachsen der Benutzerzahlen mussten natürlich offizielle Prozesse für  Integration, Test und Release eingeführt werden. Der Schwerpunkt lag am Anfang aber auf der Implementierung neuer Ideen. So ähnlich lief am Anfang auch die Entwicklung bei Microsoft, Apple, Amazon u.a., die heute Marktführer sind. Zum Teil gelingen solche Projekte auch in etablierten Firmen wie SAP (Hana) oder IBM (Watson) wenn man wenigstens einer kleinen Gruppe von Entwicklern in der Firma Freiheiten gewährt und sich das Management wenigstens ein bischen etwas zutraut.

Für diese Art der Entwicklung braucht man viele eigenständige und kreative Entwickler, die für erfolgreiche Arbeit nicht nach Tarif, sondern mit einigen Millionen $ belohnt werden. Mit einer Herde von Lämmern und Hasenfüßen kann man solche Projekte natürlich nicht durchführen. Anstatt Start Up Unternehmen  bekommt man dann Shut Down Landschaften.

Falsches Alibi durch Fußfessel – GPS Jammer

GaunerNicht nur die deutsche Polizei hat Probleme der Überwachung von „Gefährdern“. In den USA ist eine Fußfessel offensichtlich ein zu komplexes Gerät für amerikanische Polizisten. Der Schütze, der eine Frau in Washington D.C. erschoß, hatte ein wasserdichtes Alibi. Die Polizei hatte ihm eine Fußfessel verpasst. Die GPS Signale zeigten an, daß der Mörder  zur Tatzeit brav in seiner Wohnung weitab vom Tatort war. Trotzdem wurde er am Tatort gesehen und identifiziert. Des Rätsels Lösung: Dem Täter war früher ein Bein amputiert worden und er trug eine Beinprothese. An dieser Prothese befestigte ein Polizist die Fußfessel. Der Täter legte nun sein „offizielles“ Bein in seiner Wohnung ab und war mit einer Ersatzprothese unterwegs.

Man kann sich eine GPS Tarnung aber einfacher besorgen. Chinesische Firmen bieten kleine GPS Jammer in Größe einer Zigarettenschachtel für etwa 20 $ an, mit denen man die GPS Signale in einem Umkreis von 15 m lahm legen kann. Man kann dann durch GPS nicht mehr geortet werden, selbst wenn Böswillige oder der mißtrauische Ehepartner einen GPS Sender am Auto angebracht haben. Geräte mit größerer Reichweite werden von Firmen und vom Militär eingesetzt, um z.B. Drohnen, die sich selbst mit GPS steuern, abzuwehren. In der Nähe des neuen US Präsidenten wird man wohl bald kein GPS mehr empfangen können. Die NSA wird dann aber auch die Zuhörer nicht einfach identifizieren können. Natürlich gibt es auch GPS Jammer, die das Mobiltelephon z.B. im Restaurant oder an bestimmten Orten lahmlegen um z.B. bei Raub einen Anruf bei der Polizei zu verhindern.

Natürlich sind diese Geräte in Deutschland und anderen Staaten verboten. Allerdings gibt es alleine in der Umgebung von Washington D.C. über 100 Anbieter von GPS und GSM Jammern. Die Gauner sind den Ordnungskräften da sicher einen Schritt voraus.

Vorsichtige sollten wieder lernen ihr Auto nach Verkehrsschildern und mit Karten aus Papier ans Ziel zu bringen.

Autofill Superfishing mit Safari und Chrome

CyberwarkerZur Zeit gehen viele Emails bei mir ein, in denen man aufgefordert wird, ein Formular auszufüllen und per Email abzusenden. Themen der Emails sind z.B. Gewinne, Angebote für Prämien, Drohbriefe usw. Dahinter steht meist eine neue Art von Phishing mit der viele Benutzerdaten durch Autofill Phishing abgegriffen werden. Betroffen sind dabei die „komfortablen“ Browser wie Safari und Chrome sowie Derivate dieser Browser. Der Firefox Browser ist davon nicht betroffen. Grundsätzlich sollte man keiner Aufforderung folgen, auf einen Link zu einer unbekannten, ungewollten Webseite zu klicken.

Es wird empfohlen speziell Passwörter nicht durch Autofill und auch nicht durch Copy/Paste (auch bei Firefox) einzugeben. Da die Daten im Copy/Paste Buffer von jeder beliebigen besuchten Websites ausgelesen werden können. Grundsätzlich wird empfohlen, das automatische Nachladen von externen Inhalten im Browser zu sperren sondern nur nach Bestätigung durch den Benutzer zu erlauben. Das ist sehr wirksam gegen versteckte Angriffe aber leider auch lästig, da viele Webseiten externe Inhalte nachladen.

Siehe auch: Passwort Diebstahl – komplizierte Passwörter sind sinnlos

Identity Management in Deutschland – Anfängerfehler

Hacker

Unbekannte Identität

In der  globalen Welt verlieren Staatsangehörigkeit, Bürgerrechte und Pflichten immer mehr an Bedeutung. Die klassischen Methoden für die Administration von Staatsbürgern, Besuchern, „Gastarbeitern“, Fremdarbeitern und Einwanderern funktionieren in der heutigen globalisierten Welt nicht mehr. Innerhalb von Stunden kann man in andere Kontinente reisen und innerhalb von Sekunden kann man im Web in einem anderen Land aktiv werden kann.

Die Grundlage jedes Systems im realen Leben und in der IT ist die Identifikation der Teilnehmer und die Definition der Regeln sowie deren Überwachung. Verbunden mit der Identität sind Zugehörigkeit zu Gruppen (Staat, Firma, Kirche usw) und daraus abgeleitete Rechte und Pflichten wie z.B. Aufenthaltsrecht, Freizügigkeit, Steuer, Wehrpflicht, Führerschein usw. Damit verbunden sind Rechte bei der Justiz auf Einhaltung der Rechte zu klagen aber auch von anderen verklagt zu werden.

Die Identität wird in der heutigen Welt meist von Staaten vergeben. Zunächst durch Eintragung in ein Personenregister (vielfach macht das noch die Kirche) und durch Ausgabe eines möglichst fälschungssicheren Ausweises. Das hat einigermaßen funktioniert solange die Bürger sich regional nur im eigenen Staat bewegten. Natürlich konnte man schon immer Ausweise fälschen oder sich durch Bestechung einen falschen Ausweis ausstellen lassen. Ausländische Ausweise sind häufig nicht mehr zuverlässig und können nicht überprüft werden. Schon in den 80er Jahren konnte z.B. ein Russe in New York mit einem Smartcard Führerschein in Minuten ein Auto mieten während ich mit meinem deutschen grauen Lappen fast eine Stunde warten musste – man traute dem deutschen Führerschein nicht! Letztendlich wurde mein Firmenausweis (auch eine Smartcard) akzeptiert. Die Hertz Mitarbeiter wussten natürlich nicht, dass es in Russland gar keine Smartcard Führerscheine gab aber sehr gute Smartcard Drucker verfügbar waren. Es genügt nicht einen Ausweis auszustellen – Behörden, Unternehmen und sogar Privatpersonen sollten ihn überprüfen können. Nun weiß man in Deutschland einigermaßen wie ein deutscher Ausweis aussieht und kann ihn zumindest grob überprüfen. Ausweise aus arabischen Staaten können Deutsche z.B. weder lesen noch die Jahreszahlen umrechnen. Man verwendet ja nicht überall die westliche Zählweise und die Geburt Jesu als Nullpunkt! Allenfalls speziell ausgebildete Beamte z.B. an Flughäfen können ausländische Ausweise mit speziellen Geräten prüfen. Gegen korrekte amtliche Ausweise, die mit falschen Daten ausgegeben wurden, sind auch diese Beamte hilflos. Viele Personen haben auch völlig legal mehrere Ausweise und können diese beliebig einsetzen.

Ausweise werden Personen durch biometrische Merkmale wie Porträtphoto, Unterschrift, Fingerabdruck, Irisbild, Stimme u.a. an reale Personen gebunden. Photo und Unterschrift können auch Laien auf Plausibilität grob prüfen. Ist das Photo aber schlecht gemacht, gelingt die Identifikation nicht. Mein Photo für die „Fast Lane“ am JFK Flughafen wurde von einem US Army Veteranen z.B. so ungeschickt gemacht, dass bei Vorträgen über Identifikation niemand mich identifizieren konnte! Sind die Bilder älter als 10 Jahre und haben sich Bart- und Haartracht geändert, wird die Prüfung schon schwierig. Mit IT Systemen kann man sowohl gute Porträtphotos als auch Unterschriften in Datenbanken mit mehreren Millionen Einträgen vergleichen und Personen identifizieren. Die Systeme arbeiten sehr schnell und mit besserer Qualität als menschliche Prüfer. Die Fehlerraten sind relativ hoch genügen aber für Plausibilitätsprüfungen und die Identifikation von Duplikaten.

Auch bei Fingerabdrucksystemen ist die Fehlerrate bei einem einzelnen Fingerabdruck recht hoch. Vergleicht man allerdigs 10 Finger, wie in der Kriminalistik üblich, kann man Personen in Millionen von Einträgen identifizieren. Dieses Verfahren kann man wohl im täglichen Leben nicht einsetzen. Sowohl bei der Unterschrift als auch beim Fingerabdruck lassen sich manche Personen nicht registrieren. Etwa 10% der deutschen Bevölkerung können keine verlässliche Unterschrift leisten. Der Fingerabdruck verändert sich z.B. bei Handwerkern und Musikern (Gitarre, Kontrabaß) und auch bei Kälte. Dann arbeiten z.B. die Türöffner mit Fingerabdruck Systemen nicht zuverlässig.

GroupHat man die Identität festgestellt wartet schon das „Wer darf Was“ Problem. Ein relatives simples Beispiel ist z.B. das Zutrittssystem einer Firma. Hierfür werden die Mitarbeiter bestimmten Gruppen zugeordnet und Zugangszonen eingerichtet wie z.B. Allgemein, Rechenzentrum, Postraum, Forschungsabteilung, Fertigung usw. Schon das Management solcher einfacher Systeme kann sehr komplex werden.

Bei staatlichen Stellen gibt es unzählige Gruppen von Mitarbeitern und „Kunden“, die unterschiedliche Rechte und Pflichten haben, die meist unklar definiert sind und gemäß vielen Gesetzen und Verordnungen gebildet werden. Dabei sind Fehlern und Willkür Tür und Tor geöffnet. Wer ist z.B. in Deutschland ein Flüchtling und welche Rechte und Pflichten hat man als Flüchtling in welcher Stadt, in welchem Bundesland,  in der EU?

In der IT von Großfirmen ist Identity Management und die Verwaltung der Benutzerechte ein Schlüsselthema. Allerdings gibt es große Unterschiede beim Grad der Umsetzung. Es gibt aber inzwischen Methoden und Verfahren wie man das Problem angeht. Ein ganz wichtiges Prinzip ist dabei die Selbstorganisation. Komplexe Systeme lassen sich zentral nicht effizient verwalten.

Bei den staatlichen Stellen in Deutschland,  sowohl bei der Gesetzgebung als auch in der Verwaltung, fehlt das Bewußtsein (Awareness) als auch die Methodik für die Umsetzung. So ist es kein Wunder, daß die staatliche Verwaltung bei der Erfassung der vielen Flüchtlinge 2016 völlig versagt hat. Dabei kann man solche Probleme mit heutigen Mitteln der IT und der Kommunikation einfach und schnell lösen. Beim Tsunami 2004 in Südostasien (230 000 Tote) wurde innerhalb von zwei Wochen von freiwilligen Mitarbeitern der IBM ein zentrales Meldesystem für Millionen von Betroffenen basierend auf einem Standard Portal aufgebaut. Mit der heutigen Cloud/Smartphone  Infrastruktur ginge das noch schneller. Typisch ist dabei, daß das System mit privater Initiative aufgebaut wurde. Die staatlichen Stellen waren hilflos.

Bei der Administration der Flüchtlingswelle 2016 in Deutschland wurden vier grundlegende Fehler gemacht:

  • Es wurden keine sicheren, vom Staat geprüften Ausweise beim Eintritt in das Staatsgebiet ausgegeben.
  • Es wurde kein zentrales Register angelegt (geht ja nicht wann man die Teilnehmer nicht identifizieren kann)
  • Es wurde kein weitgehend automatisiertes Meldesystem eingerichtet (Wer ist wo?)
  • Die auch bei den Flüchtlingen vorhanden Infrastruktur mit Smrtphones wurde nicht konsequent genutzt.

Als sicheeuro_10ren Ausweis hätte man z.B. einen numerierten Geldschein verwenden können. Geldscheine sind relativ schwierig zu fälschen und können sogar an Registrierkassen mit einfachen Geräten geprüft werden. Ordnet man der Nummer des Geldscheins (kann mit Smartphone) eingescannt werden und als Zugangsindex zu einer zentralen Datenbank mit Personaldaten und Photos verwendet werden. Damit könnte man ein dezentrales Identitätssystem in wenigen Wochen aufbauen. Mal sehen wie lange die deutschen Behörden brauchen werden, bis ein solches Basis System in Betrieb gehen kann.