For the moment, WIPO is busy with its new Director General (Francis Gurry just got elected to the post), and the Development Agenda process has forced the advocates of strict copyright to at least re-shuffle their cards for a moment.

But another front is opening up elsewhere. There's an agreement that's being prepared for negotiation. Under the name of ACTA (Anti-Counterfeiting Trade Agreement),  rich country governments in cahoots with some business lobbies are trying out yet another way to impose their agenda on the rest of us.

In Knowledge Ecology Studies, Aaron Shaw has recently published an excellent write-up explaining why this is a problem. According to him, it wouldn't just mean that overly strict rules for copyright and patents are foisted upon people that don't need them. It would also set a very bad precedent for global governance:

So why is ACTA such a big deal? If signed, the agreement would constitute a diplomatic putsch by a handful of wealthy states and corporations against the rest of the world. Already, it signals an overt and troubling rejection of multilateralism. The so-called “plurilateral” approach represents an outdated model of international treaty-making whereby the unelected representatives of Northern states and a few corporate lobbyists dictate the rules of global markets. Such arrangements were commonplace during the 1990s under the neo-liberal “Washington Consensus” and prior to the Doha Round of negotiations in the WTO. Today, however, this kind of blatant disregard for global consensus and the needs of developing regions poses a threat to the world's prosperity, security and health.

So keep your eyes peeled. And go do something about it.

IFSO member Ben North has sent a Freedom of Information Act request regarding Ireland's change to a Yes vote to the National Standards Authority of Ireland. The request has been received and we're told it's being acted on. Letters sent by IFSO during the ISO consultation can be found on IFSO's correspondence page.

Becta in the UK have sent a complaint to the EU about the UK's Yes vote. This story was also covered on channelregister.co.uk.

And now I see that "the city of Aarhus" in Denmark have registered a complaint about Denmark's Yes vote. (From Groklaw's newspicks)

All is not over yet and OOXML may come out of this with a very negative image. Background info can be found on FSFE's open standards page.

-- 
Ciarán O'Riordan,
Support free software: Join FSFE's Fellowship

A lot of confusion has turned up about the OpenSSL insecure PRNG vulnerability in Debian and related systems. This is an attempt to clear these up.

Which distributions were affected?

All distributions which pulled their OpenSSL changes directly from Debian. Those are namely:

Debian Etch and Lenny, Ubuntu/Kubuntu/Xubuntu and related, grml, Knoppix and all living customizations and Univention UCS 2.0. Other Linux distributions may also be affected.

Known not to be affected are: Fedora, Debian Sarge, NetBSD, OpenBSD, FreeBSD, DragonFlyBSD, MirBSD, Gentoo Linux, Univention UCS 1.x, Red Hat Enterprise Linux, OpenSuSE, SuSE Linux Enterprise, CentOS, pfSense, m0n0wall, Sun Solaris 10 and prior and OpenSolaris.

What exactly is the problem?

Due to a slightly misguided valgrind warning patch, the only “random” element used in key generation and other random number generation processes by Debian was the process ID. Since typical process IDs under Linux range from 0 to 65'535, there were only 65'536 possible different keys generated by the OpenSSL toolchain, also including SSH.

This means specificially that an attacker needs only 65'536 attempts to bruteforce a key generated by any Debian tool during this period of time. The impact of this depends on the usage of the key: for SSH user keys, it means that an attacker can impersonate the affected user and log in as the affected user to any system where the key is in the authorized_keys file. For keys used for certification and encryption, such as SSH host keys and SSL certificates, an attacker can impersonate the affected SSH or web server, and can potentially read currently running and recorded sessions, depending on the procedure used for session key establishment.

How can I figure out if my key was affected?

Debian and Ubuntu have released tools for key analysis which scan for patterns of the vulnerable keys by connecting to named hosts and looking into user's home directories for authorized_keys files which contain the patterns. An updated version of OpenSSH for Debian and Ubuntu now ships with a tool to automatically discover and refuse the vulnerable keys.

My key is affected – what should I do?

The first point is of course to immediately update the affected packages if you use a Debian derived system. Then, generate new SSH keys and replace them on all systems where your old SSH keys are located. Replace them as well on the servers of this nasty customer who left for the concurrence – imagine what would happen if he found out that you left a vulnerable SSH key on his host and that his host was compromitted by your negligence.

All affected OpenSSL certificates should also be revoked immediately. Generate new certificates and let them be signed and re-issued through your CA. Commercial CAs should let you reissue the certificate with the same Subject until the end of the certification period you paid up to. Please note that revokation is a critical step here, otherwise people might still impersonate your old certificate which might, after all, still be valid.

Then make sure your infrastructure was not taken over by botnets through an insecure SSH key. Check for rootkits as well while you're at it. If your log host is affected, tough luck.

How urgent is this? Will I have to act immediately?

Yes, this item requires your immediate attention as there are already botnets out there which search for accounts with vulnerable SSH keys. The question is not “Does someone care about me little Internet user?” — these bots are out to compromise hosts and to send SPAM and malware to other hosts. They don't care if you are an attractive target, they attack anything they can find and try to send SPAM with it.

I have put my securely generated private SSH user key onto a Debian system. Should I replace it?

Yes. On a Debian system, your private key was not safe during the last 2 years. The system may have been compromitted during that time, or someone may even only have been eavesdropping your communication and have gained knowledge about your SSH key. You should definitely consider it compromitted.

I have put my securely generated public SSH user key onto a Debian system. Should I replace it?

This depends. If your key is an RSA key, it is not compromitted simply by putting the public key onto a server and authenticating against it. The SSH 2.0 protocol, as described in RFCs 4252 and 4253, part of the token being signed as challenge by the user is the “session identifier”, which is a hash from the key exchange. This effectively prevents replay attacks of authentication processes done using a non-vulnerable SSH key, because the random material used as challenge is not only controlled by the vulnerable SSH host, but also by the non-vulnerable client. Thus, the data your SSH key has to sign as a challenge is not vulnerable to the weak PRNG of the SSH server, and thus cannot compromise your key.

This is however not true for DSA keys. DSA has a weakness when used in the Diffie-Hellmann key exchange process, rendering it basically uneffective. If the attacker gets hold of the random number used by the Debian SSH server in the key exchange process, this can be used to calculate the private DSA key from the public key with a complexity of 2¹⁶, being 65'536.

 

Summary

• Change any key pair generated using an affected version of the pseudo-random number generator. This applies both to the user and host SSH keys, and is of course also valid for certificates.
• If you have used a DSA key or certificate on a host affected by the vulnerability, it must be regenerated.
• Assume that all data read from and written to a vulnerable machine may be intercepted and/or tampered with, like if no crypto layer had been applied in the first place.
• RSA keys used to authenticate to vulnerable hosts are secure.

Acknowledgements

Special thanks for this goes to Steven M. Bellovin, who took the time to go through an analysis of this entire process with me and to clear up my misunderstandings about the OpenSSH challenge-response procedure.

(Original source)

Here's a report from a breakfast meeting I was at yesterday on the topic of SMEs and the Community Patent. There were 50 seats, all full. The speakers included representatives from the Commission, the Parliament, and the Slovenian EU Presidency.

The most interesting part was the speech by a Director of the European Commission. She talked about its possible adoption, the motivations, translations, and she responded to my question about software patents. (Each topic has a section title if you want to skip some parts.)

Possible adoption

About the possible adoption of this proposal, she talked about this being one final attempt. The question of how realistic this proposal is is an important one since the EC have been making proposals on this since 1962 without success. She said that only one country is still openly opposed to the current proposal: Spain. France is not supporting the proposal, but that's only because they're not willing to start an open conflict with Spain. So if Spain can be convinced to change their position, then agreement could be possible quite soon. Me, I hope Spain continues to block this until all the problems are fixed.

Motivations

On motivations, she gave an example of an unnamed large European tyre manufacturer. I'll paraphrase slightly. This manufacturer applied for patents in it's core markets which were the UK, Italy, France, and Germany. Then they heard that a shipment of tyres was to arrive in Antwerp and that those tyres used the patented idea. The European tyre manufacturer phoned the Belgian authorities and asked them to stop the shipment in Antwerp, but the Belgian authorities refused. The allegedly infringed patent didn't exist in Belgium. It only existed in the UK, Italy, France, and Germany. The arrival of the tyres in Belgium might not be a big problem (given that Belgium isn't a core market for them), but because the EU has reduced borders, these tyres could easily be transported into the UK, Italy, France, or Germany.

I don't have a position on the patentability of tyres, but this example is interesting because it's quite easy to understand. When we're making proposals for how to avoid harming software developers, we have to keep in mind what the possible legitimate goals of the legislation are. That allows us to make proposals that face less resistance.

Another interesting point is that when telling the tyre story, she kept referring to this as "counterfeiting". I'm not sure if that was just an accidental wrong choice of word or if this is a hint at a plan to link the ideas of patent infringement and counterfeiting, or even a plan to broaden the definition of "counterfeiting".

Translations

On translations, she said most countries were now satisfied with the proposal to have patents only in English, French, and German. Unofficial automated translations would be provided in the other languages of the EU. She acknowledge the general low quality of automated translations but said that the EPO had now developed some amazing new software for automated translations.

This made me think of a comment about ODF and OOXML compatibility: To sway votes, it doesn't have to be technically possible, it just has to be politically possible. Heh.

Software patents question

At question time, I asked: When I talk to SMEs in the field of software, they say they want fewer or no software patents. We have to remember that every patent is a regulation. Every patent is bureaucracy. The software patents that exist today, although dubiously legal, are making product development difficult. They are particularly problematic when they block the use of a standard, thus prevent others from writing useful software. Wouldn't a faster, cheaper system worsen the current problem in those fields?

Of the six questions asked, the moderator picked this question out as the most interesting. He was an MEP, so it was nice to see this issue still touches a nerve - even moreso because he was a pro-swpat MEP (or was in 2005 at least).

The Commission speaker's reply was that the Community Patent doesn't aim to encourage more patents, weaker patents, or an increase of wrongly-granted patents - but she didn't explain how it wouldn't. She did say that being EU-wide, it would be easier to overturn wrongly-granted patents since they would only have to be overturned once instead of in every Member State. She also said that by making the granting process faster, the period of uncertainty would be reduced.

Those two points are not wrong, but they're help is not so great, and they definitely wouldn't cancel out the problems caused by the increased number of patents (which is inevitable if the process is faster, cheaper).

When talking about software patents, she constantly called them "wrongly granted" patents or "disguised software patents". This is consistent with the European Commission's position that software patents are not valid, but "computer implemented inventions" are valid. In reality, the latter is just a vague term which includes software patents. The European Commission's use these funny terms and definitions makes meaningful dialogue difficult.

Asking a question won't have an immediate effect. Commission and Parliament speakers are ready for these questions. The point is that they have to be reminded constantly that we're still here, the problem is still here, and we still want a solution. If you're at such a meeting and no one else raises the issue of software patents or free software, you have to ask a question. It's also good practice. Asking questions is the best way to get good at asking good questions :-)

Miscellaneous

Aside from the above points, she mentioned in passing that the London Protocol had made progress and that France had now ratified it, and said that she hoped this would encourage others to also ratify it.

She also positioned the Community Patent as something that is meant to help the little guy. She went as far to say that Big Business is trying to stall the Community Patent behind the scenes - saying that Big Business doesn't want SMEs to have access to the patent system. She said the European Commission isn't changing the Community Patent in ways Big Business is asking for - "Big Business can take care of itself". This sort of talk is to be expected, given that it was an SME breakfast, but I thought it was interesting to note that this is how they're promoting it.

There was no mention of the issue of having a central court, and how impartial the judges would be, and how to avoid the EPO (the executive power) having power over the court (the judicial power). Maintaining this separation of powers is important.

Well, without getting too long, that's the summary of my notes. Probably the best way to ask questions would be to raise them on FSFE's discussion mailing list. And there's more information about software patents FSFE's Software Patents page.

In related news, FFII published a very interesting press release on another software patents topic yesterday: "McCreevy wants to legalise Software Patents via a US-EU patent treaty".

-- 
Ciarán O'Riordan,
Support free software: Join FSFE's Fellowship

• FFII PR: McCreevy wants to legalise Software Patents via a US-EU patent treaty
• Sic Transit Gloria Laptopi - an insider's criticisms of the OLPC's seemed move toward MS Windows (with an interesting link to a New York Times article on the failure of cheap laptops as an educational tool).
• Microsoft has asked for help from the Blender 3D project - the question is, does Microsoft deserve their help and what should be asked in return? Meaningful patent promises would be nice, as would (really) opening some file formats.
• GPL wins in court again - short blog entry by Harald Welte about the recent victory against Skype.
• Qwantz: Dinosaur Comics the recent ones have been good, but none stand out as excellent. The beginnings are usually better than the endings.

See also: Yesterday's links - the archive of my Links posts.

-- 
Ciarán O'Riordan,
Support free software: Join FSFE's Fellowship

The big run on valgrind way back in 2005 to 2006 has already demanded its first prominent victim: the OpenSSL implementation shipped with Debian.

Way back in May 2006, one of the Debian developers ran valgrind on OpenSSL in an attempt to make it more secure. Along the findings of valgrind was an uninitialized buffer named buf in the ssleay_rand_add function in openssl/crypto/rand/md_rand.c. The programmer simply commented out the MD_Update call which added the random data to the pool in order to fix the presumed flaw.

This blind patch was not exactly the correct thing to do. The data contained in buf was exactly the random pool initialization data, which was now no longer being added.

Apparently, the OpenSSL team also had its part in this game though. The Debian developer sent the patch upstream, and it was approved for debugging purposes by the OpenSSL team. Apparently, this was slightly misunderstood by the Debian developer, so he committed the now-defunct MD based PRNG into the Debian codebase.

According to the audit trail of the corresponding Debian bug, the Debian SSL team approved the patch and released a “fixed” package in May 2006.

The impact

As soon as the new OpenSSL release was deployed, the Debian users would now create keys using an MD as pseudo random number generator with hardly any modifications in the randon pool. As a short explanation to non-cryptographers: it was not really random.

The Debian Security team then discovered certain patterns which would emerge magically in most of their SSH and SSL keys, as well as keys from all other products which were based on OpenSSL. After several days if not weeks of analysis, the culprit had been tracked down to be that precise valgrind-triggered change.

The effect of this could be observed in the past couple of days by close followers of the Debian community. All of a sudden, the web certificates changed, all authorized_keys files were removed from the project servers, and some SSH host keys had changed, even though non of them had expired. This confused the Debian community very much, and was perceived as “A large security incident immediately ahead”.

With the release of the Debian Security Advisory today, this expectation was finally fulfilled, and the incident was indeed a major one: users were asked to regenerate all OpenSSL generated cryptographic keys since May 2006. A script was released to detect and warn about common patterns(!) in the various key files.

Lessons learned

There are certainly various lessons to be learned from this, both on the cryptographic, the programming and the practical side.

1. Don't blindly trust valgrind's output.
   This has been repeated over and over again. If valgrind finds a presumed flaw in your code, it does not necessarily mean it is really a flaw. It must be investigated very thoroughly by the programmer, and not patched away lightly just because it's there.
2. Cryptography may be counter intuitive to a programmer.
   I personally can't stop repeating this. What might appear as a runtime optimization to a programmer can indeed be a timing based information disclosure on the cryptographic level, and what might look like an uninitialized variable might actually not want to be zeroed out.
   This is also an argument against GnuTLS I keep repeating. Cryptography is not something which can be handled just like that by any good programmer. One needs at least a diploma in maths and programming plus be a very focused computer geek and close follower of the cryptographic community to even be able to touch cryptographic products successfully. This is the reason why I have major concerns with the GNU community rewriting an SSL implementation from scratch just because they do not like the OpenSSL license.
3. A diversification of infrastructures may be useful at times.
   This might be a bit counter-intuitive to those who followed the argument from the last paragraph, but the sole reason why the chain of trust did not break for the Debian team was that besides their working OpenSSL PKI, they also had a working, trusted and distributed GnuPG PKI. Thus, even though all OpenSSL keys were compromitted, the GnuPG keys could still be used to verify the origin of various security credentials and to verify that the new key material et cetera was indeed originating from the Debian project.

That said, I would like to proudly add that neither the NetBSD base nor the pkgsrc version of OpenSSL are affected by this bug.

Audit trail

• 22:20: Added more precise information on what keys and certificates changed
• 23:25: Added reference to what exactly happened to get the patch approved

(Original source)

After the free software movement, Wikipedia has to be my favourite computer-enabled community project. It does a first rate job of getting computer users involved, it's articles can be freely copied and modified, and it has lots of useful info.

Since I blogged about it last year, English Wikipedia's Free Software Portal has continued to improve. The "Topics" and "Featured and Good content" boxes on the portal are interesting, as is the separate archive of highlighted articles. There are now also Free Software Portals on 15 of the Wikipedia's in other languages (compared to 6 in March 2007). For the list, see the box at the bottom of the left-hand column of the Portal.

As well as the articles having good info, the references sections at the bottom of each article are very useful. I often dig around the references when I'm looking for an old webpage or news article whose title I can't remember.

Here is a list of some good free software articles. They're good, but remember that you can improve them.

• Alternative terms for free software
• Free software
• Free software licence
• Free software movement
• GNU (the operating system)
• GNU/Linux
• GNU/Linux naming controversy
• GNU General Public License
• GNU project
• History of free software
• List of FSF approved software licences
• Software patents and free software

Of course, there are also plenty of articles that really should be better, such as:

• Free Software Foundation Europe
• Free Software Foundation India
• Free Software Foundation Latin America
• Free software community
• Permissive free software licences

And interesting related articles:

• Copyleft
• Free Java implementations
  
• Free Software Foundation
• Licence compatibility
• Licence proliferation
• Proprietary software
• Richard Stallman
• Software patent
• Software patent debate
• Software patents under the European Patent Convention
• The Free Software Definition

And there are hundreds of articles on specific free software packages: glibc, GCC, Emacs, OpenOffice.org, RockBox, etc.

The coordination WikiProject for Free Software is still there, but isn't used for much.

-- 
Ciarán O'Riordan,
Support free software: Join FSFE's Fellowship

Kathrin, with whom I will visit Ireland Real Soon Now™ (i.e. late September), asked me if I am letting this blog die. No, I don't. I dutifully pay my Fellowship fees, as I believe I am supporting a greater and better cause through it. I just never was this big blogger, as I am a very private person. Also I kind of feel inadequate using my Fellowship blog for personal stuff, whereass ‘all’ the other Fellows blog about important stuff. But as I do not intend to create another blog, you just have to accept that. Which is nice for ‘suck it!’ ;)

To at least say something about free software, I may add how lucky the people are which never once in their lifes touch any Microsoft Windows platform whatsoever. A little example: For my company I am coordinating the introduction in Germany of a company-wide VPN solution. This solution is a nice program (in the confines of proprietary software that is) and is generally hassle free and easy to use. But installing it on ‘patient zero's’ laptop first took the better part of a week. Then one had to package it for our software deployment solution, which taught me the value of the .deb-Package format and apt &c. (as if I did not already knew that), even though I did not do the actual packaging.

The software (really an assembly of different components) came ‘packaged’ in a folder structure using a VB script ‘installer’… which works surprisingly well. My colleague decided to use this script instead of starting from scratch. Of course the script tried to do the right thing by uninstalling other VPN solutions. Now this is not a problem at all, as this new VPN solution is scheduled to replacy any existing solution at my company.

The only thing I have a problem with is the ‘why?’. Why in the name of the universe does one have to uninstall other VPN solutions? Oh, alright, it says in the accompanying documentation that this VPN solution is incompatible with other VPN solutions. Well then: why? Apart from making sure that the routing table is in order no one ever has to uninstall $VPN[0] just to be able to install $VPN[1] (or indeed $VPN[$i]) on any Unixy system I encountered. And why should one need to? Virtual interfaces are all perfectly compatible with one another, and if you do not connect to different networks with the same IP address range everything is just dandy. I just don't get it…

To me this can only mean one thing: spread free software. Completely free systems. Free infrastructure. Stable, reliable, working, compatible systems. I cannot understand how otherwise sophisticated people accept the occasional blue screen (yes, this still happens) or computer that stopped responding and happily reboot (okay, in light of the reboot actually taking up to ten minutes on older machines this forced coffee break may actually appear a nice distraction). But I deeply loathe problems I cannot get to the bottom of and so will never accept this kind of computer ‘experience’, and will never shed a tear looking back to my Windows days.

And the title of this blog entry? Well, last time I blogged I was ‘not dead yet’, but you can consider me dead from now on (dead and zombified, shambling around the streets, slowly decomposing, looking for the living to devour, that is ;)).

• gNewSense 2.0 aka DeltaH is released.
• The Guile project's new FAQ. Guile is GNU's embedable Scheme interpreter. Version 1.8.5 was just released.
• Squaring The Net a French initiative against a proposed Internet filtering law.
• Software patents and free software - Wikipedia's article on the relationship between the two. Contains good links. Maybe you can improve it. (Found on WP's Free Software portal)
• RMS: Can we rescue OLPC from Windows? His April 29th blog entry (that I just saw now). Also discussed on Groklaw.
• European Parliament testing GNU/Linux, OpenOffice.org, and Firefox (Firefox users might be interested in the GNUzilla/IceCat browser).

See also: Yesterday's links - the archive of my Links posts.

-- 
Ciarán O'Riordan,
Support free software: Join FSFE's Fellowship

Reinhard Müller hatte für seine Vorträge die Idee der "aeiou"-Kriterien für die Definition eines offenen Standards. Die Kritieren eines Offenen Standards sind danach:

• (a)ufbauend (auf anderen bestehenden offenen Standards)
• (e)xistierend (in mehreren Implementierungen)
• (i)mplementierbar (ohne rechtliche oder technische Hindernisse)
• (o)ffengelegt (= Spezifikation für alle verfügbar)
• (u)nabhängig (von einem einzelnen Unternehmen gewartet)

Ich denke ich werde das in Zukunft auch benutzen, wenn ich Leuten Offene Standards erkläre. Vielleicht hilft es ja dem ein oder anderen hier auch. Auf jeden Fall vielen Dank an Reinhard für den guten Einfall.

Sunday my external HD crashed on the floor, a Bad Thing^(TM).

Luckily, it hosted an ext3 file system -free with all the documentation available-, so, even if the hardware is broken (it works, then it fails, then it works again), you can recover the infos using dd (it's what my wife is doing - she's the Sysadmin).

If you know how it is made you can fix it!

(or at least salvage it :) ).

The green party in North Rhine-westphalia demands Free Software in public administration (German).

"Free Software offers great opportunities for a knowledge based society through variety, sustainability and security. The system of "open code" and "open standards" allows fair competition, precludes monopolies and ensures innovation."

The downer: the proposal uses the term Free Software only once (in the quoted sentence) and then uses "open source" perpetually.

Well, but that's maybe just my typical German side: never content and always complaining :) 

A few weeks ago, FSFE co-launched the Open Parliament petition, along with Esoma and OpenForum Europe. Here's a summary of why we're asking you to sign it, and we hope you'll point others to it.

The focus of this petition is to ask the European Parliament to review their policies for choosing software and for publishing data. We'd like the elected politicians to be able to choose free software and we'd like data to be published in open standards.

The online petition is not part of the official petitions process inside the European Parliament, but it is a way to show that this issue is important. On the openparliament.eu website you can see the text of the petition.

This text was written for the official internal petitions procedure of the European Parliament. It avoids technical details and it focusses on referencing related projects instead of making detailed requests. As far as I know, this is the normal style for petitions. Some studies will be done to define the details. FSFE is explicitly mentioned in the petition, so we will be involved in the process to ensure it does it's job of removing barriers to the use of free software.

The open standards aspects are important because when the European Parliment publishes videos in proprietary formats, they are pressuring EU citizens to use proprietary software.

In March, we made a joint press release and held a press conference in the European Parliament with MEPs David Hammerstein and Eva Lichtenberger. (Old friends from the anti-swpat campaign.)

-- 
Ciarán O'Riordan,
Support free software: Join FSFE's Fellowship

There's now an open standards project section on the fsfeurope.org website. There are links to our previous documents, including the ones about ISO and OOXML. Maybe most interesting is that there's a definition of open standards that we endorse. We didn't write this definition, but we took part in it's drafting, and many of our projects need to define "open standard" at some point, so this is the common definition we're using. Comments welcome, obviously.

There's also a new website section for hosting the leaflets that we have at our conference booths. Comments welcome there too (that is, unless you're going to say the formatting of the software patents leaflet is horrible - I just spotted that myself).

-- 
Ciarán O'Riordan,
Support free software: Join FSFE's Fellowship

Dieser Text wurde ursprünglich auf Freedom Blog veröffentlicht.

---

In den vergangen Monaten beherrschte die von Innenminister Schäuble vorgeschlagene Online-Durchsuchung die öffentliche (Internet-) Diskussion. Sie ist nur eine der vielen Maßnahmen, die im Zuge des „Kriegs gegen den Terrorismus“ unser aller Sicherheit erhöhen sollen, dabei unsere Freiheit aber immer mehr einschränken. Neben neuen „Anti-Terror-Gesetzen“, der Vorratsdatenspeicherung, der zunehmenden Verbreitung von Videoüberwachung (inklusive Gesichtserkennung) und Funkchips beunruhigt auch die geplante Online-Durchsuchung mit dem sogenannten „Bundestrojaner“ die deutsche Internetgemeinde stark. Und das mit Recht. Der Gedanke, dass der heimische Computer und alles, was man damit tut, rund um die Uhr überwacht werden könnte, bereitet vielen – gerade in Zeiten, in denen der Computer immer mehr Raum in unserem Leben einnimmt – große Sorge. Denn im Gegensatz zu einer richterlich genehmigten Hausdurchsuchung erfahren die Betroffenen erstmal nichts von der Durchsuchung und dass sie im Fokus der Ermittler stehen. Auf diese Weise dringen die Ermittler Wochen oder sogar monatelang immer tiefer in die Privatsphäre der Betroffenen ein.

Zwar soll die Online-Durchsuchung nur wenige Male im Jahr und nur bei „Terror-Verdächtigen“ angewendet werden, doch schon jetzt werden Rufe laut, sie auch gegen organisierte Kriminalität und Kinderpornographie einzusetzen. Auch andere Beispiele zeigen, dass einmal eingeführte Maßnahmen mit minimalem Anwendungsbereich recht bald ausgeweitet werden, sobald sie etabliert und akzeptiert sind. So sollen z.B. die Daten der Maut-Erfassung zu Fahndungszwecken verwendet werden. Der § 129a zur Bildung terroristischer Vereinigungen wird zunehmend auf unbescholtene Bürger, wie z.B. Mitglieder der linken Szene oder Wissenschaftler angewendet. Außerdem operiert die Bundeswehr ohne Rechtsgrundlage im Inland gegen Globalisierungsgegner zum G8-Gipfel. Vor diesem Hintergrund scheint auch ein breiterer Einsatz der Online-Durchsuchung bis hin zur Überwachung von Urheberrechtsverletzern in Zukunft wahrscheinlich.

Die bloße Möglichkeit, dass wir mit Hilfe unseres Computers überwacht werden könnten, erzeugt eine Atmosphäre der Angst und stellt einen tiefen Eingriff in den privaten Bereich unserer Lebensgestaltung dar. Unsere Freiheit wird eingeschränkt, wenn wir nicht mehr selbst entscheiden können, wer welche unserer privaten Informationen erhalten kann. Dabei ist es unerheblich, ob wir letzten Endes einmal persönlich betroffen sind oder nicht. Denn schon die Möglichkeit, dass sich jemand ohne unser Wissen Zugang zu Informationen, die wir ihm nicht gegeben hätten, verschaffen kann, verletzt unser Recht auf informationelle Selbstbestimmung. Viele Menschen, auch solche, die meinen, dass sie nichts zu verbergen haben, sind aus verschiedensten Gründen nicht bereit, dem Staat diese Befugnis einzuräumen. Und das, obwohl die Online-Durchsuchung hoffentlich an enge rechtsstaatliche Vorgaben geknüpft werden wird.

Umso verwunderlicher ist es, dass fast alle dieser Kritiker an anderer Stelle ihre Freiheit schon lange aufgegeben haben und sich diesem Umstand oft nicht einmal bewusst sind. Sie wollen nicht, dass der Staat, der eigentlich nur im Interesse seiner Bürger handeln sollte, die Möglichkeit bekommt, ihre täglichen Computer- und Internetaktivitäten zu überwachen. Gleichzeitig aber räumen sie, völlig freiwillig und ohne Zwang, unzähligen Firmen und Einzelpersonen, die sich nicht dem Allgemeinwohl verschrieben haben, genau diese Möglichkeit ein. Doch damit nicht genug. Sie ermöglichen nicht nur Anderen diese Überwachung, sondern geben ihnen zusätzlich auch noch die volle Kontrolle über ihren Computer und ihre anderen elektronischen Helfer.

Dies tun die meisten Menschen, indem sie unfreie Software benutzen, Software, die ihre Freiheit nicht respektiert. Man kann sie sich wie den „Bundestrojaner“ vorstellen: Programme auf unserem Computer, von denen wir nicht wissen, welche Informationen sie sammeln und wohin sie sie schicken. Im Unterschied zum „Bundestrojaner“ und viel mehr im Sinne eines trojanischen Pferdes erfüllt unfreie Software meist auch noch einen von uns gewünschten Zweck, weswegen sie von Vielen installiert oder sogar gekauft wird. Beispiele hierfür sind Microsoft Windows und Office (Word, Excel, Outlook etc.) sowie Skype und Adobes Flash. Wer solche Programme verwendet, hat den eigenen Computer nicht mehr vollständig unter Kontrolle. Stattdessen sind es die Hersteller dieser Programme, die die Kontrolle haben und bestimmen, was wir mit unserem Computer tun dürfen bzw. können und was nicht. Dies liegt daran, dass jedes unfreie Programm meist Zugriff auf unseren ganzen Computer hat und nur genau das tut, was sein Hersteller vorgesehen hat. Es ist uns nicht möglich, das Programm noch etwas anderes Nützliches tun zu lassen oder seine Funktionalität unseren speziellen Bedürfnissen anzupassen. Auch nicht vorgesehenen Funktionen, wie Fehlern oder Sicherheitslücken, sind wir hilflos ausgeliefert und bei ihrer Behebung auf die Gnade des Herstellers angewiesen. Ein noch weitaus größeres Problem stellen die Funktionen unfreier Programme dar, die wir gar nicht haben wollen, die wir auch nicht loswerden und von denen im schlimmsten Fall noch nicht einmal jemand weiß. Diese Funktionen existieren. Sie geben den Herstellern die Möglichkeit, unseren Computer und seine Benutzung auch unbemerkt zu überwachen und zu kontrollieren.

Vielleicht denkt man jetzt: Die meisten Hersteller unfreier Software verfolgen kommerzielle Interessen, und es wäre doch schlecht für das Geschäft, wenn sie ihre Möglichkeiten zur Kontrolle zu sehr ausnutzen und missbrauchen würden. Doch wer einmal Macht hat, wird sie eines Tages auch nutzen, erst recht, wenn man damit eigene Interessen durchsetzen kann. Die Geschichte hat dies bereits vielfach bestätigt. Die Hersteller nutzen ihre Kontrolle über unsere elektronischen Helfer und damit über einen wachsenden Bereich unseres alltäglichen Lebens zunehmend gegen unsere Interessen aus. So enthält zum Beispiel immer mehr Software ein Digitales Restriktionen Management (DRM), das die vollständige Kontrolle über viele unserer Dateien verwaltet und an noch mehr Personen und Unternehmen verteilt. Diese bestimmen dann, welche Dateien wir wann und wie oft lesen, kopieren und abspielen dürfen. Besonders beliebt ist es inzwischen geworden unseren Zugriff auf Musikdateien zu beschränken, aber auch Filme und elektronische Bücher werden zunehmenden unserer Kontrolle entzogen. Wenn man zum Beispiel mit Microsofts MP3-Player „Zune“ Musik austauscht, die bisher noch nicht vom Digitalen Restriktionen Management erfasst wurde, wird die Musik beim Empfänger automatisch in das DRM eingegliedert und seiner Kontrolle entzogen. Er kann sich die Musik dann nur drei Mal und nur innerhalb der ersten drei Tage anhören und kann nichts dagegen tun. Erst kürzlich erhielt Microsoft ein Patent, dass es ihnen erlaubt, die Festplatte der Benutzer von Windows zu durchsuchen und an den gefundenen Inhalt angepasste Werbung einzublenden, sowie den Werbelieferanten darüber im einzelnen zu informieren. Schon länger ist bekannt, dass Microsoft Windows XP und noch in viel stärkerem Maße Windows Vista seine Nutzer ausspioniert und regelmäßig gesammelte Informationen ungefragt über das Internet versendet. Selbst die unverbindliche Datenschutzerklärung von Windows Vista macht daraus keinen Hehl und mit der seitenlangen Lizenzvereinbarung stimmt man dem unwissend zu.

Dies waren nur einige wenige der bekannten Beispiele, wie die Programmierer unfreier Software ihre Kontrolle bereits nutzen. Diese Beispiele beschränken sich nicht nur auf Microsoft, auch wenn dieses Unternehmen bei seiner Machtausübung bisher eine Vorreiterrolle einnimmt. Ein weiteres großes Problem unfreier Software allgemein ist, dass es unmöglich ist, ihre genaue Funktionsweise herauszubekommen. Niemand weiß, was diese Programme eigentlich tun, ob sie nur das tun, was sie tun sollen und wie sehr sie ihre Macht über unsere Computer wirklich ausnutzen. Oft ist es nur Zufall, dass Programmverhalten, welches nicht im Interesse der Nutzer liegt, auffällt. So wurde beispielsweise kürzlich bekannt, dass Microsofts Windows ohne die Nutzer zu fragen oder zu benachrichtigen Updates über das Internet einspielt und sich damit selbst verändert. Mit dieser Technik ist es allen Herstellern unfreier Software und nicht nur Microsoft jederzeit möglich, weitgehend unbemerkt ihre Software auf unseren Computern zu verändern, zusätzliche ungewollte Funktionen einzubauen und ihre Interessen noch besser – eventuell sogar selektiv – durchzusetzen.

Man könnte auf die Idee kommen, dass man ja einfach andere unfreie Software benutzen kann, wenn bekannt wird, dass sich ein bestimmtes Programm zu dreist verhält. Oft hat man sich aber so sehr an seine Programme und dessen verlockende Features gewöhnt, dass ein Wechsel schwer fällt. Außerdem löst man damit das Grundproblem nicht, wenn man wieder unfreie Software, nur diesmal eine andere, benutzt. Denn man gewinnt keine Freiheit hinzu, sondern begibt sich nur unter die Kontrolle eines anderen, der seine Macht, wenn man Glück hat, etwas weniger ausnutzt. Frei zu sein bedeutet hier nicht, zwischen verschiedenen Herrschern wählen zu können, sondern gar nicht beherrscht zu werden.

Unglücklicherweise haben wir Verbraucher oft nicht einmal mehr die Wahl, welche Software wir einsetzen. Unsere Handys, MP3-Player und Internetrouter werden zunehmend gegen uns geschützt. Sie machen es uns unmöglich auf ihnen andere, oft bessere und unseren Wünschen eher entsprechende, Software zu betreiben. Computer werden standardmäßig mit unfreien Betriebssystemen ausgeliefert, die wir mitbezahlen und benutzen müssen, weil die Hersteller meist nur eingeschränkte Hardware-Treiber herausgeben.

Die neuste Hardware enthält inzwischen so genanntes Trusted Computing (Video), das mit Signaturen und Verschlüsselung sicherstellen kann, dass unsere Computer nur noch mit der Software funktionieren, die von der Industrie genehmigt wurde und deswegen eigentlich „Treacherous Computing“ genannt werden sollte. Die Genehmigungen für Programme und Programmverhalten können über das Internet aktualisiert und sogar ganz entzogen werden, was uns noch mehr die Kontrolle und die Möglichkeit andere Software einzusetzen entzieht. Damit erledigen unsere privaten Computer nur noch die Aufgaben, die die Hersteller erlauben und nicht mehr notwendigerweise die, die wir selbst gerne ausführen würden.

Wieso aber hat eine solche Technik, die so offensichtlich unseren Interessen zuwider läuft überhaupt eine Chance? Die Antwort dürfte vielen schon bekannt vorkommen: Erhöhung unserer Sicherheit. Denn die gleiche Technik, die uns daran hindern wird, selbst zu bestimmen, was unsere elektronischen Geräte tun, hindert (in der Theorie) natürlich auch jeden anderen daran, möglicherweise schädliche Funktionen auszuführen. Das Problem ist nur, dass bei fast allen Geräten jemand anderes für uns entscheidet, was schädlich ist und was nicht. Einige hypothetische Beispiele aus anderen Lebensbereichen erhöhen an dieser Stelle vielleicht das Verständnis: Man stelle sich vor, fast alle Waschmaschinen erlaubten uns nur ein bestimmtes, auf den ersten Blick harmloses Waschmittel zu verwenden und nur Kleidung einer bestimmten Marke zu waschen. Dabei stellt sich aber auf den zweiten Blick heraus, das dieses Waschmittel unangenehm riecht und die Kleidung auf der Haut kratzt. Ein anderes Beispiel könnte sein, dass unser Fernseher trotz hunderter möglicher Kanäle darüber entscheidet, welche Sendungen wir schauen dürfen und wie lange wir die Werbung ansehen müssen.

Genauso wie der Staat ganz langsam, schrittweise und für viele Bürger unbemerkt unsere Freiheit immer weiter einschränkt, nutzen auch immer mehr Softwarehersteller ihre Macht über unsere Computer zunehmend aus. Der fatale Unterschied liegt darin, dass wir, was unsere elektronischen Helfer angeht, unsere Freiheit bereits aufgegeben haben. Der Staat ist gerade erst damit beschäftigt, langsam die Möglichkeit von Kontrolle und Überwachung auf uns alle auszudehnen, während die Softwareindustrie schon einen gewaltigen Schritt weiter ist: Sie hat diese Möglichkeit längst und ist bereits daran, sie immer weiter zu nutzen und auszubauen. Es reicht hier nicht, darauf zu vertrauen, dass der Staat mögliche Angriffe von Dritten auf unsere persönlichen Freiheiten verhindern wird. Das Beispiel der aktuellen „Urheberrechtsreformen“ zeigt, dass der Staat der Industrie eher bei der Einschränkung unserer Freiheiten hilft, als dass er uns davor schützt. Vermutlich freuen sich einige Politiker sogar über all die neuen Überwachungsmöglichkeiten, die sich ihnen (und auch vielen anderen) in einer digitalen Zukunft mit unfreier Software bieten. Der beste Weg eine ausufernde Überwachung in einem Bereich zu verhindern, ist immer noch, die Möglichkeit zur Überwachung gar nicht erst zu schaffen!

Diejenigen, die immer noch nicht glauben, dass dies ein großes Problem ist, sollten einige Jahre in die Zukunft schauen. Bereits jetzt ist Software in vielen Bereichen unseres Lebens präsent. Sie steuert unglaublich viele Abläufe, mehr als uns bewusst sind, und wir werden zunehmend von ihr abhängig. 58 Prozent der Beschäftigten in Deutschland nutzen im Arbeitsalltag einen PC. Dort und auch in unseren Häusern und Wohnungen wird Software eine immer größere Rolle spielen. Nicht nur unser Computer, sondern auch unser Auto, unser Kühlschrank, unser Fernseher, neue Geräte, wie robotische Haustiere und nicht zuletzt unser ganzes Heim werden eines Tages von Software über das Internet gesteuert und kontrolliert werden. Wer die Software kontrolliert, wird auch all das und damit unser ganzes Leben kontrollieren.

Derzeit sind die meisten Menschen noch bereit sich dies gefallen zu lassen. Sie entscheiden sich damit für eine Zukunft, in der Überwachung und Kontrolle immer einfacher und selbstverständlicher werden. Dabei muss das nicht sein. Es steht in unser aller Macht, dies zu verhindern und die Kontrolle zurückzuerlangen. Mittlerweile gibt es – zumindest für den heimischen Computer – einfache und praktische Alternativen, die unsere Freiheit respektieren. Dazu gehört auch das freie Betriebssystem GNU/Linux, das vergleichbar gut und teilweise schon besser funktioniert als sein unfreies Pendant Windows. Ein Umstieg auf Freie Software bedarf vielleicht ein wenig Umgewöhnung, ist aber zunehmend problemlos möglich. Zumal alle sie auf ihrem Computer, ohne etwas zu installieren, ganz gefahrlos ausprobieren können.

Nicht nur für das Betriebssystem, sondern auch für alles andere, was man mit einem Rechner machen möchte (z.B. Surfen, Chatten, Email, Texte verfassen, Bildbearbeitung) haben Firmen, Stiftungen und Millionen Freiwillige auf der ganzen Welt zahllose freie Alternativen geschaffen. Diese Software wird in einem transparenten und demokratischen Prozess entwickelt, gewartet und ständig geprüft: Eine Direkt-Partizipation des Volks auf einer nicht politisch institutionalisierten Ebene. Es steht allen offen, sich an diesem Prozess zu beteiligen oder andere damit zu beauftragen. Auch so entstandene Freie Software kann natürlich Funktionen enthalten, die bestimmte Nutzer nicht haben möchten. Dies ist aber unproblematisch, weil es vergleichsweise einfach ist, solche Funktionen zu finden und es allen gestattet ist, sie zu entfernen. Es genügt, wenn solch eine Verbesserung nur einmal irgendwo auf der Welt vorgenommen wird, damit alle anderen davon profitieren. Denn Freie Software darf nicht nur legal weitergegeben, sondern auch verändert und in verbesserten Versionen verbreitet werden. Über das Internet werden so in sekundenschnelle auf spezielle Bedürfnisse zugeschnittene Versionen von Freier Software auf der ganzen Welt verbreitet. Dies ist ganz legal und geschieht ohne lästige Lizenzschlüssel oder Produktaktivierungen. Ähnlich verhält es sich mit Sicherheitslücken. Zwar gibt es diese in jeder Software, also auch in freier. Aber die Offenheit von Freier Software (Open Source Eigenschaft) macht es unabhängigen Sicherheitsexperten möglich, sie auf Herz und Nieren zu Prüfen. Auf Dauer wird Freie Software so immer sicherer und sicherer. Virenscanner und Firewall-Programme sind in freien Betriebssystemen für den Heimanwender deshalb bereits überflüssig. Dies ist unter anderem ein Grund, weshalb GNU/Linux so attraktiv für das deutsche Außenministerium und die Bundesagentur für Arbeit ist.

Doch nicht nur die Programmierer und Computerexperten tragen diese Gemeinschaft. Allein durch die schlichte Nutzung der freien Programme unterstützt man sie, indem man ihre Bekanntschaft erhöht und damit ihre Akzeptanz verbreitert. Darüber hinaus gibt es jedoch noch viele andere Möglichkeiten, sich aktiv für Freie Software einzusetzen. Alle können einen Beitrag leisten, z.B. indem sie sich in Organisationen engagieren, die sich auf politischer Ebene für Freie Software einsetzen, oder diese finanziell Unterstützen. Auch wer sich nicht so gut mit Computern auskennt, kann helfen, Freie Software für alle Menschen zu verbessern. Zum Beispiel kann man Übersetzungen und Anleitungen schreiben, oder Grafiken erstellen. Alternativ ist es möglich, die Entwicklung des eigenen Lieblings-Programmes aktiv mit einer kleinen Spende voranzutreiben. Aber auch Menschen, die weder Zeit noch Geld haben, können ihren Beitrag leisten, indem sie beim Kauf ihres nächstes Computers, Laptops, Handys o.ä. darauf achten, dass auf dem neuen Gerät ein freies Betriebssystem (wie GNU/Linux) läuft oder zumindest darauf laufen kann.

Das Beste aber, was jede einzelne Person tun kann und sollte, ist, anderen Menschen davon zu berichten, welche Gefahren in einer modernen Informationsgesellschaft von unfreier Software ausgehen und wie ungemein wichtig es ist, den Ausweg, den uns Freie Software bietet, zu nutzen.

While Switzerland's people can see nothing wrong with the scandalous acceptance of MSOOXML as an ISO standard, Norway sees it differently. Perhaps that's because Norway is more successful in the international software business (Opera, Funcom, Trolltech etc.) and therefore has something to lose, while Switzerland has a very passive and consumerist attitude.

But never mind the reasons, Norwegian people were smart enough to gather in front of the ISO SC34 meeting for a demonstration to kick OOXML out of ISO. One sign even asks Neelie Kroes to intervene. Seeing that the EC has started an investigation into the irregularities encountered during the OOXML voting process, it looks like she read the sign. Yes, throw IS 29500 out. It's a broken specification, and there is proof.

If any other company had submitted this spec, they would have been sent back to the drawing board to fix all the defects. But Microsoft has the power and the money to manipulate and to bribe, so they can undermine ISO's integrity and force steaming piles like this through an erstwhile respectable standardization process.

The general idea being tossed around by leaders of the Swiss standardization body is now "let's all be happy and hug each other, and start to fix IS 29500 together". Come again? Why should we waste our time and money to fix a broken product that we do not even control, because of the patents on it and because of the proprietary extensions that are at any point possible? Why shouldn't we instead invest this time into making the existing ODF standard even more interoperable and accessible?

It's not impossible that IS 29500 at some point is mature enough, but the problem is that it should have been mature enough to begin with. Microsoft should not have submitted such a broken spec and come through with it. That they have shows that the standardization process has failed.

Link via noooxml.org.

Datamation's James Maguire just published an article with an audience questions session and an interview of Richard Stallman. I think it's quite interesting. There's also a page 2 and a page 3.

On that kind of topic, Palamida's GPLv3 blog reports the number of GPLv3 projects has reached 2,000. I'll have to look into this however since a friend said his company's three GPLv3'd projects aren't listed, so the reported number may be a conservative estimate. I just also noticed that the Boycott Novell site has some cautionary advice for Palamida about how to describe licence risk.

And while I'm blogging, here's a link to new logos for projects using GPLv3 ...and while grabbing that link, I just noticed that FSF has launched a jobs directory.

-- 
Ciarán O'Riordan,
Support free software: Join FSFE's Fellowship