# COVID-19

Wednesday, April 14, 2021

Ohai! Der Luca backend code ist ja doch noch aufgetaucht. Hätte ich jetzt nicht mehr mit gerechnet.

Grad mal fünf Minuten drin geblättert und was finde ich? Das Gesundheitsamt Frontend ist anscheinend (wie erwartet) eine Webapp. Schade, dass ich ohne Luca wohl aktuell nicht zu IKEA kann. Ich brauch dringend nen neuen Schreibtisch. Meiner hat mittlerweile zu viele Bissspuren in der Tischkante.

In Teil II hatten wir bereits gesehen, das Luca die Schlüssel der Gastgeber erzeugt/verwaltet. Jetzt sieht es so aus, als hätte Luca prinzipiell auch Zugriff auf die Schlüssel der Ämter.

Ja ne, ist klar. Was bitteschön soll dieser viel beworbene Crypt-Fu mit der “doppelten Verschlüsselung” eigentlich bezwecken, wenn ihr Schnarchnasen dann am Ende doch beide Schlüssel in der Tasche habt (bzw. haben könntet). An irgendeiner Stelle muss einem doch mal auffallen, dass man da was Grundsätzliches falsch macht, wenn man in die verschlossene Truhe in der einen, den Schlüsselbund in der anderen Hand hält und dann dem Nutzer sagt: “Vertrau mir, ich schau da nicht rein!”

Herzallerliebst ist übrigens auch, dass Luca die Mitarbeiter der Gesundheitsämter duzt.

Kleine Anmerkung zu Luca Track: es hilft überhaupt nichts, dass culture4life den Fehler mittlerweile durch Abschalten des Endpunktes “behoben” hat. Intern besteht die Funktionalität natürlich weiter und kann von Luca genutzt, bzw. Dritten (Polizei, Geheimdiensten, jedem mit zu viel Geld) zur Verfügung gestellt werden.

Monday, April 12, 2021

Luca App Source Code Audit VII: der eingebaute Distributed Denial of Service Angriff

Was macht der 'Luca Algorithmus' eigentlich, wenn wir ihn großflächig ausrollen, z.B. als Teil einer Öffnungsstrategie für den Einzelhandel?

Sunday, April 11, 2021
Saturday, April 10, 2021

Nebenbei, nur weil Luca noch kaputter als die Corona Warn App ist, heißt nicht, dass letztere auf einmal funktional oder sogar lobenswert wäre. Das ist beides völlig überflüssige Grütze, die nur auf dem Papier funktioniert, in der Praxis ihr Ziel um Meilen verfehlt und dabei Steuergeld verbrennt ohne Ende. Der einzige Existenzgrund für die CWA bestand darin, noch schlimmeres zu verhindern und selbst darin hat sie, dank Luca, jetzt auch versagt.

Das hier ist keine “entweder oder”, sondern eine “weder noch” Entscheidung.

Friday, April 9, 2021

Nebenbei, kleine Anmerkung für alle, die meinen, dass wir Luca brauchen, weil die Corona Warn App am (übertriebenen) Datenschutz scheitert: wenn man sich die Downloadzahlen anschaut, stellt man ganz klar fest, dass die CWA nicht am (übertriebenem) Datenschutz, sondern an der geringen Akzeptanz in der Bevölkerung gescheitert ist. Ursache für die geringe Akzeptanz ist das fehlende Vertrauen in den Datenschutz, da sich der Auftraggeber hier seit Jahren wie der Elefant im Porzellanladen benimmt. So rum wird ein Schuh draus und das wird auch Luca das Genick brechen.

Grad mal wieder so eine Mail von irgendeiner Trojaner Klitsche in meinem Postfach gefunden, die gerne meine Apps Userbase kaufen möchte. Mittlerweile gibts für sowas ganze Marktplätze im Internet (z.B. Flippa).

Hat von euch eigentlich wer auf dem Schirm, dass sich die Luca App vollständig in der Hand von einem Privatunternehmen befindet (bei der Corona Warn sind Entwickler und Betreiber aus gutem Grund voneinander getrennt und letzterer ist eine Behörde) und dieses Unternehmen auch noch extra für die App gegründet wurde? Will ja nix sagen, aber Whatsapp und Instagram waren auch mal eigene Unternehmen, bevor Facebook sie sich gekrallt hat.

Schon ein bisschen naiv, verantwortungslos und brandgefährlich, wie die Politik hier grad im Eiltempo, von blindem Aktionismus getrieben und ohne Folgeabschätzung, Abhängigkeiten aufbaut.

Thursday, April 8, 2021

Gefährlicher Spaß mit der Luca App - Mögt ihr eigentlich Friedrich Merz?

Ich glaube, vielen ist immer noch nicht bewusst, was für ein Totalschaden die Luca App ist und wie viel Ärger man auch ohne Computerkenntnisse mit dem Ding produzieren kann.

Ich hatte ja die These geäußert, dass die Sache mit dem geklautem Code daher kam, dass man versucht hat, mit einem Tool den ursprünglichen, proprietären Lizenzkommentar zu entfernen und dass das dann Amok gelaufen ist und einmal überall alle Kommentare gelöscht hat. Das kann so aber natürlich nicht ganz stimmen, denn einige Kommentare sind ja noch vorhanden. Fehlen tun in erster Linie die Klassenbeschreibungen, in die jede vernünftige IDE ein @author Tag einfügt.

Eine andere Sache, die auffällt ist, dass natürlich auch das Revisionslog fehlt. Wirkt jetzt im Nachhinein irgendwie so, als wollten einige Programmierer lieber nicht namentlich mit dem Code in Verbindung gebracht werden.

Luca App Source Code Audit VI: Game Over!

Die gute Nachricht lautet, man kann Luca datenschutzkonform nutzen. Die schlechte könnte den Steuerzahler verunsichern (holt euch schonmal nen Eimer).