My Authors
Read all threads
Gerade dieses Paper zu Sicherheits- und Privatspärerisiken von Corona-Apps gelesen. arxiv.org/abs/2006.05914 Ich schwanke noch ein wenig zwischen sachlicher Dankbarkeit, dass sie so viel Arbeit da rein gesteckt und sich des Themas angenommen haben und einem polemischen Verriss.
Ok, ich mache beides. Erst einmal: Die Untersuchungen und das experimentelle Setup sind nachvollziehbar, das Paper verständlich, und mir sind keine offensichtlichen technischen Fehler aufgefallen. Was da beschrieben ist, kann man so machen und wird zu ählichen Ergebnissen kommen.
Es ist auch sinnvoll und richtig, sich die auch beim dezentralen Verfahren entstehenden Risiken anzusehen, auch, um sie vielleicht weiter zu minimieren. Eine klare Position bezieht das Paper auch zu zentralen Apps, die zweifelsfrei als zur Überwachung geeignet angesehen werden.
Bei der dezentralen App werden zwei Angriffsszenarien demonstriert: Ein Angriff auf die Privatsphäre eines Nutzers mit Hilfe von Tracking-Stationen und eine Angriff auf die Integrität des Systems durch Signalweiterleitung. ("Wormhole Attack") Beide wurden ausgeführt.
Was ich dagegen vermisse sind quantitative Analysen zu den beiden Angriffen, das heißt, wie viele Stationen und Wormholes brauche ich, um wie viele Nutzer zu tracken oder wie viele Fehlalarme auslösen zu können.
Ein Angreifer möchte ja für seine Kosten und Entdeckungsrisiken eine angemessene Effektgröße und Eintrittswahrscheinlichkeit erreichen. Nach erster Abschätzung dürfte das Aufwand-Wirkung-Verhältnis zu ungünstig sein, um die Angriffe als reale Bedrohung einzustufen.
Jetzt ein bisschen Polemik. Leute, ist das echt euer Ernst? Gesichtserkennung zum Deanonymisieren? Wozu brauche ich den Bluettooth-Quatsch, wenn ich großflächig Gesichterkennung ausrollen und *alle* tracken kann und nicht nur Covid-Infizierte?
Nehmen wir Berlin. Dreihundert Infizierte pro Woche, ein Drittel mit App, macht hundert Leute, die ihre Daten freigeben. Möchte ich die Stadt mit einem Sensornetz mit 50 m Abstand überziehen, bräuchte ich 300.000 Sensoren. Ok, dann nur alle 50m entlang 5500km Straße: 100.000.
Ok, die Russen, Amerikaner oder Chinesen oder eine geheime deutsche Regierungsorganisation könnten das sicher leisten. Wäre aber bisschen schwierig, hunderttausend Sensoren geheim zu halten, und sobald jemand ein paar findet, ist der Rest ganz schnell geklaut oder eingesammelt.
Und wofür das ganze? Um zwei Wochen lang hundert Covid-Infizierte in Berlin zu tracken, von denen ich vorher nicht weiß, wer es sein wird, den ich getrackt haben werde? Viele davon Leute in Heimen oder Kinder, die ich auch per Gesichtserkennung identifiziert haben muss. Lol.
Echt Leute, es war bestimmt viel Spaß, zwölf Sensoren in Darmstadt zu verteilen und rumzulaufen und zu sehen, was die so einfangen, aber das als Angriff zu verkaufen wäre mir echt peinlich.
Sicherheitvorkehrungen müssen nicht unüberwindbar sein; es genügt, wenn der Aufwand oder Entdeckungsrisiko hoch genug sind, dass niemand den Angriff vornehmen wird, und das können wir beim Sensorangriff getrost annehmen.
Sogar in einem totalen Movie-Plot-Szenario, wo Geld keine Rolle spielt, weil der Erpresser mit den Atombomben getrackt werden soll und alle Observationsteams gerade keine Zeit haben, überzieht man schnell die Stadt mit einen Netz aus zigtausend Sensoren und kontakiert ...
... den Atomterroristen über das Gesundheitsamt, dass er unter Covid-Verdacht steht und einen Test machen soll. Der nichtahnende, gesundheitsbewusste Atomterrorist, der sein Handy immer bei sich hat, wenn er sein Bombenversteck besucht, meldet sich beim Gesundheitamt ...
... und bekommt einen Code und schliesslich ein positives Ergebniss, so dass er mit der App die Tracking-Daten von seinem Telefon in die Cloud schicken kann. Und was macht dieser Terrorist? Er sendet die Daten nicht. Mist, ganze Geheimoperation im letzten Moment gescheitert.
Mir fällt beim besten Willen kein Szenario ein, beim dem sich für irgendeinen Akteur nennenswerte Anstrengungen lohnen würden, wo es viel einfacher Mittel und Wege gibt, an viel bessere Informationen zu kommen.
Einziges Szenario, dass ich mir vorstellen kann wäre, wenn alle Handys so manipuliert wären, dass sie heimlich alle Informationen an seinen zentralen Server schicken. Das würde aber nicht lange unentdeckt bleiben und wäre kein Angriff auf das System, sondern die Endgeräte.
Man kann auch sagen: Wenn jemand überall Sensoren ausbringt und ein Nutzer beschließt, seine Daten freizugeben, dann wissen die Betreiber der Sensoren auch, dass er in der Nähe war. Das ist aber schliesslich auch der einzige Zweck des Systems.
Bleibt der Wurmlochangriff, um das System zu kompromittieren, indem man die Beacons von einem belebten Ort an einem anderen Ort ausstrahlt und so Fehlalarme auslöst. Wie viel bringt so ein Wurmloch, und wie Wurmlöcher brauche ich, um das System zu stören?
Nicht eine einzige Zahl oder Überlegung dazu im ganzen Paper. Ich habe eigentlich keine Lust, die Arbeit von Leuten zu machen, die hauptsächlich Spaß am Gerät hatten und anekdotisch Risiken postulieren, sich aber zu fein zum Rechnen sind. Eigentlich.
Überschlägig bräuchte ich in Berlin eine Menschenmenge von 10000 Leuten, damit einer dabei ist, der nächste Woche erkrankt. 30000, weil nur jeder dritte die App hat. Oder einen Ort, wo in zehn Minuten 30.000 Leute vorbeikommen. Selbst am Alex zur Rush hour erreicht man das nicht.
Und wie viele von den 10.000 Beacons kriege ich eigentlich technisch eingesammelt? Wie viele davon kriege ich ausgesendet? Wie viele davon empfängt das Opfer, das ja zu einem unötigen Test und Quarantäne gebracht werden soll? Eigentlich wollte ich ja nicht rechnen.
Hier hat sich mal jemand angeschaut, wie viele Beacons ich gleichzeitig haben kann, damit noch Daten durchkommen: blog.ruuvi.com/bluetooth-beac… Kurz gesagt: Ab 2000-3000 Beacons auf einem Haufen geht nichts mehr bei 250 ms Sendeintervall.
Ich würde in Berlin bei derzeitiger Infektionsrate nicht mal genug Daten für mein Wurmloch einsammeln können. Wie es auf der Empfangsseite aussieht ist weniger klar, es wird spätestens alle fünf Minuten einmal für eine unspezifizierte Zeit empfangen, vielleicht einige Sekunden.
Obwohl theoretisch um die 1500 Beacons pro Sekunde gehen könnten, scheinen in der Praxis um die 150 zu sein. Ich kriege also die 10.000 Beacons, die ich nicht eingesammelt kriege, als Opfer auch nicht ansatzweise empfangen.
Wenn ich sowas nebenbei in 30 Minuten überschlagen kann, hätten ja wenigstens einer von den 16 Autoren auch auf die Idee kommen können. Jetzt haben sie den Salat. Ja, es ist eine bei Angriffen gängige Verteidigung, sie seien nicht praktikabel, aber von einer seriösen Arbeit ...
... kann man erwarten, dass sie sich quantitativ mit der Praktikabiltät auseinandersetzt, wenn sie die Angriffe als praktikabel darstellt. Hätten die Autoren das gemacht, hätte ihr Fazit anders ausfallen müssen. Kurz gesagt: Der Angriff skaliert nicht.
Meine Einschätzung ist: Mit etwas Glück und viel Aufwand könnte man mit dem Wurmlochangriff ein Dutzend Fehlalarme pro Woche produzieren. Selbst, wenn es 10.000 wären: Wir machen gerade 300.000-400.000 negative Tests pro Woche.
Und natürlich ist das alles wieder zu schwierig für die Presse. In diesem Artikel in der FAZ klingt das alles superseriös und gefährlich. Mit Professorenzitaten und so. faz.net/aktuell/rhein-…
Tatsächlich sind da ein paar Studenten mit Handies durch die Gegend gerannt, haben unter unrealistischen Bedingungen etwas demonstriert, was vorher klar war, und mit unzulässigen Schlüssen zu etwas aufgeblasen, was keine Substanz hat.
Es tut mir leid, wenn ich jetzt jemandes Gefühle verletzt habe, der es nur gut gemeint hat, aber dieses Paper ist überflüssig und nicht hilfreich. Nicht nur fehlt jegliche Quantifizierung, es gibt auch keine Verbesserungsschläge.
Zu möglichen Mitigationsmassnahmen wird bemerkt, dass sie das Risiko eher erhöhen dürften, ohne konkret zu werden. Tatsächlich dürfte zur Mitigation ausreichen, am Timing zu drehen. Ebenso könnte man solche Angriffe erkennen und abwehren. Beides erscheint mir derzeit unnötig.
Missing some Tweet in this thread? You can try to force a refresh.

Keep Current with Pavel Mayer

Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

Twitter may remove this content at anytime, convert it as a PDF, save and print for later use!

Try unrolling a thread yourself!

how to unroll video

1) Follow Thread Reader App on Twitter so you can easily mention us!

2) Go to a Twitter thread (series of Tweets by the same owner) and mention us with a keyword "unroll" @threadreaderapp unroll

You can practice here first or read more on our help page!

Follow Us on Twitter!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3.00/month or $30.00/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!