Share this page!

Marcus Mengs Profile picture
Twitter logo
21 Jul, 5 tweets, 3 min read
#LucaApp PR vs Reality
#LucaApp PR vs Reality #2
#LucaApp PR vs Reality #3
#LucaApp PR vs Reality #4
Weil die Frage aufkam, was denn eigentlich den Länder "verkauft" wurde ... zumindest für BaWü gibt es bei @fragdenstaat eine Antwort:

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Marcus Mengs

Marcus Mengs Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @mame82

Marcus Mengs Profile picture
16 Jul
@markus_bublitz @coronawarnapp Eine Gegendarstellung zu den Aussagen vom "Galaxy Georgsheil" vom Gesundheitsamt Aurich wäre hier profunder.

Vielleicht wird zu gegebener Zeit existieren eine veröffentlicht, jetzt hat man dort sicher besseres zu tun.
@markus_bublitz @coronawarnapp Verantwortlich für die Bereitstellung korrekter und vollständiger Kontaktdaten ist ja sicher nicht das Luca-Fachsystem, sondern der Veranstalter ... oder irre ich da?
@markus_bublitz @coronawarnapp Achso, was die technische Umsetzung betrifft:

Wenn auch ein Gesundheitsamt nur 1000 der (zentral gespeicherten) verschlüsselten Kontaktdatensätze pro Stunde abrufen darf, wird es nicht leichter mit einer Gästeliste >1000
gitlab.com/lucaapp/web/-/…
Read 5 tweets
Marcus Mengs Profile picture
3 Jul
Me: #LucaApp Kontaktdaten und Checkins können eindeutig zu Smartphones zugeordnet werden.

Hersteller: Nö, höchstens unter "Laborbedingungen".

Me: No, wurde an Production System belegt.

Hersteller: Wenn du die App Nutzung einstellst, löschen wir zugeordnete Kontaktdaten

🤪🤯 ImageImage
Ernsthaft: Unzählige Nutzer haben die App (wegen Fehlern) mehrfach neuinstalliert und dabei jedes Mal einen neuen Account angelegt.

Wie wurden die verschlüsselten Kontaktdaten denn zugeordnet, um sie zu löschen?

Immerhin gibt es ja jetzt einen "löschen" Button in der App
Hinweis:

Wer seine Daten mit einem Schlüsselanhänger registriert hat, hat übrigens keinen "löschen" Button.

Man könnte zwar den Betreiber - unter Angabe der Seriennummer- bitten zu löschen, dabei teilt man aber das Kennwort zu den verschlüsselten Kontaktdaten mit.

🤪🤯🤪
Read 6 tweets
Marcus Mengs Profile picture
29 Jun
@gnirbel @markus_bublitz @cccfr @patrick_hennig @alvar_f @HonkHase @LoeweHeinz @AllenRe97883617 @BergerPhilipp @_lucaApp Ich greife die Aussagen gerne auf, weil hier (wie so oft) Fakten vermischt und in teilen falsch dargestellt werden.

Zunächst diese:
@gnirbel @markus_bublitz @cccfr @patrick_hennig @alvar_f @HonkHase @LoeweHeinz @AllenRe97883617 @BergerPhilipp @_lucaApp Die Aussagen beziehen sich auf den Fakt, dass ein Beobachter des Netzwerkverkehrs am Backend (Angreifer, Innentäter, Intermediaries mit Logging Funktionalität) die im Bild gezeigten Ableitungen treffen kann.
Verschlüsselte Daten haben hierbei keine Relevanz!
@gnirbel @markus_bublitz @cccfr @patrick_hennig @alvar_f @HonkHase @LoeweHeinz @AllenRe97883617 @BergerPhilipp @_lucaApp "hohem Aufwand": der Aufwand ist gering, es wurde lediglich Netzwerkverkehr betrachtet, also passiv (außehalb der Transportverschlüsselung, so wie dieser innerhalb der Luca-Infrastruktur auf Betreiber-Seite anfällt - ab dem terminierenden TLS Proxy)
Read 26 tweets
Marcus Mengs Profile picture
29 Jun
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Ah, Risk-Management und -Analysis. ... eine bessere Basis!

Du lenkst den Fokus damit auf abstrakte Risiken, wie Infiltration des Systems durch Angreifer oder Missbrauch durch Innentäter.

Das gute: auch solche Risiken müssen qunatifiziert werden ...
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp ... insbesondere da der Schutzbedarf für alle Schutzziele mindestens "HOCH" sein dürfte (wir kennen ja das SiKo nicht).

Möchtest du solche Risiken bewerten, betrachtest du zunächst mal die Eintrittswahrscheinlichkeit. Die dürfte im Falle "luca" für erfolgreiche Angriffe ...
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp vergleichsweise hoch sein, denn das System ist bisher permanent und kontinuierlich durch technische Mängel aufgefallen.
Gleichzeitig bietet es ein "high value target" für Angreifer und es darf angenommen werden, das Informationsgewinnung/Beschaffung eher das Ziel sind als ...
Read 8 tweets
Marcus Mengs Profile picture
27 Jun
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Ja wenn man ihn nicht im Kontext der Möglichkeiten betrachtet, die er hier eröffnet, mag das sogar vertretbar sein.

Es ist aber auch einer der Belege dafür, dass die vorliegenden Bewertungen der Datenschützer "irrelevant" sind, wenn man wissen möchte, ob ...
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp ... das System "luca" geeignete Maßnahmen ansetzt, um die zu verarbeitenden Daten zu schützen (oder es vielleicht wenigstens schafft die wenigen selbst definierten "security objectives" zu erfüllen)!
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp I know, I know ... soll sich Berlin drum kümmern.

Klappt bestimmt vielleicht bevor das erste Lizensierungsjahr endet. Solange kannst du weiter versuchen technische Faktenlage in "Fundamentalkritik" umzudeklarieren.
Read 6 tweets
Marcus Mengs Profile picture
27 Jun
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Und ich werde auch keine Kryptoanalyse schreiben ... nicht nur weil ich kein Kryptologe bin, sondern weil der Großteil der relevanten Informationen UNVERSCHLÜSSELT am Backend anfallen.
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Bekannt und korrelierbar sind Telefonnummer, Checkinhistorie, Abfragestatus Gesundheitsamt der Systemteilnehmer.

Die einzigen Informationen die das Backend nicht ohne weiteres lernen kann, sind die nicht anderweitig bekanntgewordenen Kontaktdatenanteile (Name, Adresse).
@alvar_f @HonkHase @LoeweHeinz @gnirbel @AllenRe97883617 @BergerPhilipp @patrick_hennig @_lucaApp Für die genannten verbleibenden Kontaktdatenanteile (Name, Adresse) hat wiederum das "asymnetrische Krypto-Kungfu" keine Relevanz, da sie SYMMETRISCH verschlüsselt auf dem Server abgelegt und mit einer UserID assoziiert werden.
Read 13 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @mame82 has new unrolls!

Check out other threads from @mame82!

Read all threads by @mame82

:(