Es ist Zeit sich auch mal den aktuellen Software-Produkten rund um die allgegenwärtige Corona-Pandemie zu beschäftigen.
Wir sind sehr froh, dass wir Bianca Kastl (Twitter) dafür gewinnen konnten. Sie beschäftigt sich seit geraumer Zeit mit der Integration von Corona-Daten für die Gesundheitsämter und Applikationen, die in diesem Kontext auch für die Bevölkerung zur Verfügung stehen. Dabei sprechen wir vollem über die Vorteile und Probleme der Luca-App.
Schaunotizen
- [00:03:10] Corona App – Wirkungsweise, Vorteile und Nachteile
- Um eine gute Grundlage für unsere Diskussion zu legen, sprechen wir darüber warum es Apps wie die Luca-App oder die Corona-Warn-App gibt und wie sie funktionieren. Gerade auf technischer Seite gibt es einige Unterschiede, die wir erläutern und erklären, was dabei zu beachten ist.
- [00:17:08] Probleme der Luca-App
- Die Luca-App unterstützt Geschäfte und Restaurants Gästelisten und Check-ins nachzuhalten und tritt dabei als zentraler Datentreuhänder auf. Wir gehen auf das technischen Setup der App ein, sprechen über Verschlüsselung der Daten und die Datenübermittlung an Gesundheitsämter.
Darüber kommen wir dann auf die Probleme der App zu sprechen.
- Offene und erratbare URLs – Related
- Offene Keys / Schlüsselanhänger
- Input- und Output-Sanitation
- DoS mit Contextwechseln
Mehr „Fails“ der Luca-App finden sich auf der entsprechenden Website dazu.
Keine Schaunotizen
- CSV Injection über die Luca-App
- Der erste Zeit Artikel und das Follow-up.
- Bianca als Gast beim NDR Podcast
Kommentare
Tim #
Geschrieben am 23.07.2021 um 13:13
Schöne Folge, mir ist nur aufgefallen das über drei Dinge nicht gesprochen wurde.
1. Es geht das Gerücht um, das die Gesundheitsämter sich überhaupt nicht für die Daten der Gaststätten und co. interessieren, weil die Kontaktnachverfolgung nur in den Fällen Sinn macht, wo wirklich enger Kontakt bestand, also man am gleichen Tisch saß etc. Was ist da dran?
2. Wurde das Geschäftsmodell nicht erwähnt, also wie es nach Corona weitergeht mit Ticketverkäufen und co.
3. Wurde nicht über Preise und das Abo-Modell gesprochen, was m.E. auch ein no-go ist.
Bianca Kastl #
Geschrieben am 23.07.2021 um 14:39
Hallo Tim.
zu den Fragen:
1. Nach meiner Erfahrung mit Gesundheitsämtern ist die Nutzung der Gästelisten eher gering, es ist eher der Ausnahmefall. In Gaststätten ist es tatsächlich so, dass hier meist eher nur die am Tisch sitzenden Personen als Risiko bewertet sind. Gästelisten werden für Gaststätten also eher kaum verwendet, speziell wenn es sich um Außengastronomie handelt, weil das Risiko ohnehin als gering zu bewerten ist. Ganz auszuschließen, dass Daten aus Gästelisten-Apps aber nicht doch in einem speziellen, aber selnt Kontext genutzt werden. (Diese grundsätzliche Einschätzung kommt aus meiner Erfahrung mit einem Gesundheitsamt über die Pandemie hinweg)
2.Luca ist aktuell etwas unklar bezüglich des Geschäftsmodells, das ist richtig. Im ursprünglichen Konzept waren Erweiterungen Richtung Ticketing angedacht, aktuell ist meines Kenntnisstandes davon wenig zu sehen. Ganz uneigennützig dürfte sich eine privatwirtschaftliche App mit so einer Verbreitung aber am Ende sicher nach der Pandemie mit entsprechenden Verbindungen aber wohl nicht verhalten.
3. Luca kostet in 13 Bundesländern etwas mehr als 21 Millionen über den Zeitraum eines Jahres. (https://netzpolitik.org/2021/digitale-kontaktverfolgung-fast-20-millionen-euro-fuer-luca/) Das ist nicht wenig, Luca ist aber quasi kostenfrei für Gaststätten, etc. allerdings zahlen wir quasi mit unseren Steuern dafür gemeinschaftlich. Bemerkenswert ist auch, dass der Vertrag über ein Jahr geht – was in Anbetracht auf die Dynamik der Pandemie und der Verordnungen, die eine solche Kontaktnachverfolgung überhaupt erlauben, durchaus bemerkenswert ist.
Das wäre so in Kürze dazu zu sagen.
Gruß
Bianca
Ernesto Sun #
Geschrieben am 2.08.2021 um 11:16
Guten Tag!
Erstmal wirklich Lob und Anerkennung. Als Dauer-Hörer der noch nie gespendet hat will ich meine (scharfe) Krtitik mit ehrlichem herzlichen Lob beginnen. Ich mag im Grunde alles an Eurem Podcast, auch die gelegentlichen Schwachstellen die ja nur menschlich und authentisch sind, und vor allem auch extrem lehrreich. Es lebe die ‚fehlerfreundliche Gesellschaft‘.
So, nun zur Kritik:
a) Die Offenheit des Quellcodes einer Web-App ist keine ‚Schwachstelle‘ und kein ‚Sicherheitsmangel‘, wie es hier mehrfach genannt wurde bzw. in diese Ecke gerückt wurde. Es wird eine ‚Sicherheits-Hierarchie‘ angedeutet, als wäre Web-App am wenigsten sicher, WebView etwas besser, und Native App sicherer. NEIN!! Hier gehts um die selbe Logik wie bei der Sicherheit von Offenem Quellcode an sich: Offenheit ist KEIN Sicherheits-Manko – ganz im Gegenteil. Web-Apps sind besonders sicher (zu bauen) weil der Code eben im Client lesbar vorliegt. Die Bösen (Profis) können immer jeden Code im Client lesen. The ‚Man in the Client‘ ist nie und mit keiner noch so ‚dillentanten-unfreundlichen‘ Technologie vermeidbar. Auch dämliche EXE-Dateien sind für nicht-dämliche Coder lesbar.
ERGO: Zu behaupten Web-Apps wären weniger sicher als kompilliertes Zeug, ist ebenso FALSCH wie zu sagen Open Source wäre weniger sicher als propietärer Code. Die Pseudo-Richtigkeit dieser Ausssage liegt alleine in der Coding-Unfähigkeit der Allgemeinheit.
————-
b) Das Problem mit der ‚Komma-Injektion‘ mit CSV und Excel ist alleine auf der Schrottigkeit von MS-Software begründet, in diesem Fall auf ‚MS Excel‘. Es ist wirklich peinlich zu hören wie ein Software-Entwickler ‚lange sucht‘ um ein Problem mit Komma-Escaping bei CSV zu finden. Stichwort Namens-Listen. Dieser Grad an Dilledanz sollte illegal sein, es gibt viele Berufe auf der Welt die auch Essen oder Dach erzeugen. Leute die mit Mathematik Probleme haben (andere Sendung wo es mir die Haare aufgestellt hat) oder die in CSV-Files Probleme mit ‚Commas‘ haben, sollten bitte keine Programmierer sein (dürfen). Sonst kommen eben solche Sachen raus wie Microsoft und Excel.
ERGO: Eine gute Web-App hat auch eine gute Web-Backend-App für die interne Adminstration und lückenlose Weiter-Verarbeitung der Daten zu haben. Die dunklen Jahrzehnte wo Daten am Ende in Pfühlen wie MS-Produkten enden, müssen ein Ende haben. HIER liegt das Problem, die Menschheit hat noch nicht gerlernt mit Wasser umzugehen, es wird immer saurer und dreckiger. Wir brauchen sauberes Wasser. Wir brauchen saubere Daten! Das Wasser hat nichts im Klo verloren. Genauso sollten Daten nicht im Excel landen!
Vielen Dank!
Schepp #
Geschrieben am 2.08.2021 um 11:25
Danke für diesen fantastischen Kommentar, Ernesto! 🙏
RSS-Feed zu diesem Beitrag
Kommentare sind für diesen Beitrag geschlossen.