Blogarchiv 2008

Nach über 10 Jahren Druckerabstinenz kam ich nun doch nicht umhin, wieder ein Gerät anzuschaffen. Um Platz zu sparen, sollte es ein Kombigerät (mit Scanner und Stand-alone-Kopierfunktion, idealerweise auch mit Fax) sein, das via Netzwerk nutzbar ist. Die Wahl fiel schließlich auf einen HP Photosmart C7280 - über die Photosmart- und Officejet-Drucker hatte ich im Bekanntenkreis gehört, daß der Linux-Support recht gut sein soll.

Dieser Artikel soll einen Blick auf das Verfahren der Überweisungen werfen (Beginn der Artikelserie hier). Mit einer Überweisung weist ein Kontoinhaber seine Bank an, einen bestimmten Betrag auf ein fremdes Konto (das möglicherweise bei einer fremden Bank liegt) zu übertragen. Die Banken sind untereinander über sogenannte Gironetze verbunden, allein über das Netz der Landeszentralbanken werden täglich Zahlungen im Wert von 500 Milliarden Euro abgewickelt.

Nach jedem pressewirksamen Skandal dauert es nicht lange, bis der erste Politiker vorprescht, der Regierung (bzw. dem Koalitionspartner) Handlungsunfähigkeit und Trägheit vorwirft - und so versucht, das medienrelevante Thema für sich zu proklamieren. So fordert Sebastian Edathy "mehr Datenschutz noch vor Weihnachten" nach dem aktuellen Kundendaten-Skandal: Es ist dringend nötig, "daß der außer Kontrolle geratene Datenhandel endlich gestoppt werden muß". Daten sollen nur mit ausdrücklicher Zustimmung der Kunden weitergegeben werden dürfen, außerdem sollen Vertragsabschlüsse nicht mehr an die Einwilligung zur Weitergabe von Daten gebunden sein.

Banküberfall

"Danach müssen im Extremfall drei von vier Haushalten in Deutschland fürchten, dass Geld von ihrem Girokonto abgebucht wird, ohne dass sie jemals eine Einzugsermächtigung erteilt haben."

Das Problem ist aber nicht nur der laxe Umgang mit dem Datenschutz und die unkontrollierte Weitergabe von Informationen - auch die nicht mehr zeitgemäßen Prozeduren der deutschen Banken sind Teil des Problems.

Angebot und Nachfrage

Es gibt viele Gruppen, die ein Interesse an umfangreichen Datensammlungen über Personen haben - die Nachfrage geht so weit, daß es als alleiniges Geschäftsmodell genügt, welches sich in Form von Rabattkarten wie Payback oder HappyDigits manifestiert. Aber auch darüber hinaus haben (zweifelhafte) Kreise Interesse an weiterführenden Daten - wie beispielsweise den Bankverbindungen der Leute. Und wo eine Nachfrage besteht, findet sich sicher ein Anbieter - so der Preis stimmt... Das Verführerische: Die illegale Weitergabe von Daten und der nicht-datenschutzkonforme Abgleich von Datenbanken ist für die Betroffenen vollkomen unspürbar und faktisch nicht nachvollziehbar. Es liegt in der Natur der Sache, daß Daten beliebig kopiert, weitergegeben und kombiniert werden können.

Diesem Problem begegnen die Datenschutzgesetze, doch diese sind schwer (bis überhaupt nicht, wie man an den aktuellen Beispielen sieht) durchzusetzen. Die Vergehen sind kaum auf den Urheber zurückzuführen, und dementsprechend niedrig ist die Hemmschwelle, diese Gesetze zu übertreten. Im aktuellen Fall stammen die Daten wohl aus verschiedenen Call-Centern und wurden von einem "Dienstleister" zusammengetragen und nun weiterverkauft.

Neben dem gesetzlichen Verbot gibt es jedoch zwei weitere Anreize, um solche Katastrophen zu verhindern: Die Daten müssen entweder so an den Inhaber gebunden sein, daß dieser von sich aus ein großes Interesse an der Wahrung des Datenschutzes hat. Oder aber die Daten müssen so uninteressant (bzw. einfach unbrauchbar) sein, daß kriminelle Datensammler kein Interesse an ihnen haben.

Gerade bei den Kontodaten hätten die Banken freie Hand, einen solchen Anreiz zu implementieren - aus mir nicht einsichtigen Gründen geschieht das jedoch nicht, die Banken halten noch immer an zwei antiquierten Systemen fest: Dem Überweisungsformular und der Lastschrift. Beide Verfahren möchte ich in den folgenden Blog-Artikeln kurz illustrieren und mit meinen eigenen Erfahrungen kommentieren.

Weiter geht es in diesem Artikel! Hast Du selber auch solche Sicherheitsprobleme am eigenen Leibe zu spüren bekommen? Wie sieht Deine Meinung zu der Problematik aus? Hinterlasse doch einen Kommentar!

(Bild: (CC) by Colin Brown)

Affiliate-Werbung und Seiten-Vermarktung kennt man ja schon... aber da betreibt wohl tatsächlich jemand den Aufwand, das Impressum von Webseiten abzutippen und Postkarten (mit echter, aufgeklebter Briefmarke!) zu verschicken:

Das ist jetzt schon der dritte Fall dieses Jahr: Eine externe Platte, die angeblich die Daten mit AES verschlüsselt, stellt sich als Verpackungsschwindel heraus. Im Gegensatz zum vorigen Fall ist der Hersteller diesmal obendrein uneinsichtig: Natürlich käme AES-Verschlüsselung zum Einsatz - nämlich um die ID des RFID-Tokens zu verschlüsseln. Anschließend wird jedoch jeder 512-Byte-Sektor der Platte mit demselben (aus dem Token generierten - immerhin...) Bytestring mit XOR "verschlüsselt". Die c't urteilt darüber über diese Schlamperei vernichtend: "In unserem Test dauerte das Aufschrauben des Gehäuses länger als das Knacken der Verschlüsselung". Und: Nein, das ist keine Übertreibung.

new20.png

Dieser Wurf (der dritte für Drupal) ist nicht mehr "from scratch" selbstgebaut - ich habe mich bei YAML und YAML für Drupal bedient. Ich hatte die Faxen dicke, mich um jede Browserversions-Mimose zu kümmern - und YAML bietet genau das, was ich wollte: Mehrere Spalten, die zwischen einer Mindest- und einer Höchstbreite mit dem Browserfenster mitwachsen. Und trotzdem war für den IE7 eine Sonderbehandlung nötig :-X

Für das "Logo" wollte ich irgendetwas, das die allgemeine Überwachung und den Verlust der Privatsphäre symbolisiert. Nach etwas Suche im Netz nach freier Clipart hatte ich schließlich diese Silhouetten und diese Kameras gefunden... der Erste Entwurf sah dann so aus:

Logo - 1. Entwurf

Die Balken unten wirkten in klein nicht so wie gewünscht, dazu kam die Idee, den allgemeinen Identitätswahn durch einen Barcode zu symbolisieren. Mit barcode4j fand sich übrigens eine Möglichkeit, mit freier Software sogar einen richtigen Barcode zu generieren :-)

Logo - 2. Entwurf

Der Entwurf hatte wieder das "Verkleinerungsproblem": Die Barcode-Striche waren zu schmal und zu schlecht als solcher erkennbar.

Logo - 3. Entwurf

Mit der Verlängerung der Barcode-Striche im Hintergrund wurde deutlicher, woher die roten Linien in den Personen kamen; außerdem hatte ich den Bug behoben, daß der "Überwacher" links ebenfalls mit Barcode-Strichen überzogen war ;-) Ich wäre an dieser Stelle zufrieden gewesen, aber meine Schwester meinte, ich solle den Überwacher entfernen - der würde so "klemmen", und der unbedarfte Betrachter würde den "Überwacher" als solchen nicht erkennen; dazu müßte ich ihm ein Fernglas in die Hand geben - und die Kamera als Symbol sei sowieso viel prägnanter. Naja, sie muß es ja wissen, immerhin ist sie Grafikerin :-) Und so entstand die endgültige Version:

Logo - 4. Entwurf

So, und nun hoffe ich, daß die Layoutänderung gefällt und gegenüber dem alten Layout tatsächlich ein Fortschritt ist! Viel Spaß beim Weiterlesen!

Die Sachsen-SPD hat auf ihrem Landesparteitag entschieden, im Bundesrat gegen das BKA-Gesetz zu stimmen. Damit ist sie das Zünglein an der Waage, welche die extrem knappe Pro-Mehrheit (vorher 35:34 Stimmen) kippt. Den Jubel von Spiegel ("Schäubles Spähgesetz steht vor dem Aus") möchte ich in sofern dämpfen, daß das Gesetz mit einer Ablehnung im Bundesrat nicht vom Tisch ist, sondern in einen Vermittlungsausschuß kommt.

Darin enthalten sind eine Menge guter Vorschläge (und entgegen vielen anderen Gesetzesvorschlägen gehen sie auch mit dem gesunden Menschenverstand konform) sowie einige Dinge, bei denen man sich die Haare raufen könnte, daß sowas keine Selbstverständlichkeit ist - es ist doch schlimm, daß man so etwas festschreiben muß:

Bei europäischen oder internationalen Verhandlungen müssen die [deutschen] Verhandlungsführer an die Vorgaben des Parlaments gebunden werden.

Das schiebt vielleicht dem (schon vor längerem von Roman Herzog kritisierten) "Spiel über Bande" endlich einen Riegel vor.

Wikileaks hat einen Eintrag, der angeblich die IP-Adressbereiche des BND enthält. Die Häme in vielen Blogs ist groß, es gibt schon die ersten Vorlagen für .htaccess-Dateien, um die BND-IP-Bereiche auszusperren. Die Wikileaks-Seite verweist auch auf Wikipedia-Changelogs, welche Änderungen am BND-Artikel der Wikipedia aus den nämlichen Adressbereichen dokumentieren (beim Datenritter gibt's darüber ausführlichere Infos). Amüsant, schon fast clichéhaft sind die Namen der vermeintlichen Subnetzinhaber ("Liegenschaftsverwaltung Pullach", "Informationsbörse München").

Stasi 2.0

Aus dem Bundestag

Bei Heise kann man lesen, wie Innenminister Schäuble versucht, mit einem "Basta" Proteste gegen dieses und andere Gesetze zu beenden:

Auch Bundesinnenminister Wolfgang Schäuble mahnte ein Ende von Kampagnen an, "unseren freiheitlichen Verfassungsstaat in einer Weise zu diffamieren, dass es bei jungen Leuten so ankommt, als sei es die Stasi".

Das Problem, das die Kritiker adressieren, ist in selbigstem Artikel genannt:

"Wir werden ein deutsches FBI bekommen und eine Polizei, die zugleich ihr eigener Geheimdienst ist", warnte der grüne Innenpolitiker Wolfgang Wieland. Durch Überzentralisierung entstehe eine Monsterbehörde ohne parlamentarische Kontrolle.

Die Initiativen behaupten nicht, daß mit dem BKA-Gesetz ein Schalter von "Polizei" auf "Stasi" umgelegt werden würde. Es geht um die deutliche Entwicklung in Richtung großer Datensammlungen und weitreichender, schlecht kontrollierter Befugnisse durch ein zentrales Machtinstrument. Und es geht um die sukzessive Aufweichung von Grundsätzen und Idealen: Hat man das eine etabliert, kann man leicht den nächsten Schritt fordern und durchsetzen (unterstellt man zusätzlich, daß dies nicht zufällig, sondern gewollt geschieht, bezeichnet man das ganze als "Salamitaktik"). Wohlwollend, sinnvoll und mit Vernunft eingesetzt mögen einige der nun erlaubten Maßnahmen in bestimmten Fällen sogar nützlich sein; aber sowohl durch Wildwuchs, unüberlegten Einsatz als auch (vor allem!) die Abstumpfung beim wiederholten Einsatz der Mittel führen in eine Richtung, welche die Ähnlichkeit mit den Datensammlungen der Stasi immer größer werden läßt. Für letzteres gibt es leider bereits reichlich Beispiele, solche Befürchtungen sind alles andere als abstrakt oder weit hergeholt sind.

Aus der Presse

In Blogs und Zeitungen ist viel Wut, Kritik und Frust über die Verabschiedung des Gesetzes zu lesen. Besonders ins Auge gefallen ist mir der Kommentar "Sehenden Auges in den Überwachungsstaat" von Kai Biermann, veröffentlicht in der Zeit. Er fragt: "Wem ist vorzuwerfen, dass ein solches Gesetz ohne große Änderungen die demokratischen Gremien passiert hat?" - und resümiert:

"Wir haben zu wenig getan, um es zu verhindern. Dabei war es noch nie so leicht, politisch Einfluss zu nehmen. (...) Wer entsetzt ist, wie leicht es war, so viele Überwachungsinstrumente und Eingriffe in die Grundrechte per Gesetz zu verordnen, der muss sich fragen lassen, was er getan hat, um es zu verhindern. Wir sind selbst verantwortlich. Wir alle, die es sehenden Auges haben geschehen lassen."

Er proklamiert, daß zu viele Leute sich allenfalls im Stillen geärgert haben, anstatt lautstark zu protestieren. Dabei gäbe es neben den klassischen Mitteln wie Briefen an Abgeordnete und Demonstrationen heutzutage ein weiteres Instrument ("möglicherweise das mächtigste von allen"), um auf die Politik Einfluß zu nehmen: Das Internet.

Ich muß widersprechen. Zunächst einmal stehen bei uns keine Bundestagswahlen an, bei denen jeder einzelne Wähler "bekehrt" werden muß. Es geht hier nicht um Stimmenfang, sondern um die Überzeugung des Kabinetts und der Abgeordneten. Das macht den Obama-Vergleich des Kommentars hinfällig.

Und dennoch scheren sich unsere Volksvertreter keinen Deut um die Meinung des Volkes, das sie vertreten. Ich möchte den Ball zurückspielen: Die anerkannte, renomierte deutsche Presse hat mindestens im gleichen Maße versagt. Oft war sie williges Sprachrohr für die Befürworter von Online-Überwachung und Vorratsdatenspeicherung. Bereitwillig hat sie die Terror-Panik mitgeschürt. Negativ-Aufreißer verkaufen sich gut (ich behaupte, daß die Bankenkrise ein gutes Stück deshalb eine Bankenkrise ist, weil sie von so vielen herbeigeredet wurde) - im Sommerloch waren Datenskandale ein guter Lückenbüßer, aber nun gibt es ja wieder wichtigere Themen. Erschwerend kommt noch hinzu: Mit negativen Schlagzeilen geflutete Leser werden dröge, eingelullt von vielen schlechten Neuigkeiten. Sie fühlen sich an wie eine immer schwerer werdende Last, ein Druck, der von allen seiten kommt und gegen den man sich nicht wehren kann. Wo ist da noch Platz für Motivation? Die Politik hat die Zeichen sicher erkannt: Es ist mit Sicherheit kein Zufall, daß der Kabinetts- und der Bundestagsbeschluß an den Tagen fiel, an denen der Blick der deutschen Medien auf den Wahlsieg Obamas und die Hiobsbotschaften der Wirtschaftsweisen gerichtet war.

Der Kommentar endet mit einem Aufruf "Letztlich geht es darum, das System zu hacken, auszuprobieren, was mit ihm möglich ist, was es noch alles kann, wie es besser werden könnte. Also: Hack die Politik!" Ich frage mal ganz polemisch zurück (ohne ein täglicher Leser der Zeit zu sein; aber ich befürchte, ich kenne die Antworten auf meine Fragen): Auf welcher Seite war denn die Berichterstattung über Demonstrationen wie "Freiheit statt Angst"? Wie prominent wurden die Pressemitteilungen des AK Vorratsdatenspeicherung plaziert (wenn überhaupt)? Wie ausführlich und wie häufig war denn die Berichterstattung über das Rumoren in der "Blogosphäre" und die Aktionen wie die Stasi-2.0-T-Shirts? Immerhin sind noch knapp 40% der Bundesbürger ohne Internet...

Die Aktionen waren meiner Meinung nach vielfältig; vielleicht war es trotzdem zu wenig. Dennoch: Politischer Druck entsteht erst dann, wenn die großen Medien das Thema wiederholt und an prominenter aufgreifen - dazu gehören die Nachrichten und Reportagen der öffentlich-rechtlichen Sender, Zeitungen wie Focus und Spiegel, sowie renomierte überregionale Tageszeitungen, zu denen auch die Zeit gehört...

Und nun?

Auch, wenn Herr Schäuble versucht, ein "das war's" zu kommunizieren: Das war's noch nicht! Einige Abgeordnete haben schon angekündigt, vors Bundesverfassungsgericht zu ziehen. Pessimistisch gesagt wird das auch sicher nicht das letzte Gesetz aus Schäubles Feder gewesen sein. Optimistisch gesagt sind solche Gesetze nicht in Stein gemeißelt und lassen sich aufheben. Deshalb muß der Protest weiterhin hörbar und sichtbar bleiben!

Ah, die Überschrift: Das "Narrenschiff" bezieht sich auf das gleichnamige Lied von Reinhard Mey. Wer's nicht kennt: Anhören! Sehr treffend. Leider immer noch.

Big Brother Awards 2008

Nicht anzufechten war jedoch die Platzierung der Telekom: Den Preis erhielt sie für die Auswertung von Verbindungsdaten zur Bespitzelung ihrer Aufsichtsräte und von Journalisten (erstaunlich: Ein Telekom-Vertreter nahm den Preis persönlich entgegen). Darüber hinaus hatte die Telekom dieses Jahr noch mehr Schlagzeilen: So wurde der Verlust von 17 Millionen Kundendaten von 2006 lange verschleiert (sehr vertrauenserweckend: Die Daten wurden schließlich bei einer Erotikfirma sichergestellt). Außerdem konnte man bis vor kurzem die Kundendaten der Telekom via Internet einsehen und verändern - die Schutzmechanismen waren laut Spiegel sehr gering.

Möglicherweise wäre die Begründung der Jury noch ein wenig anders ausgefallen, wäre der Preis zwei Tage später verliehen worden: Am Tag nach der Preisverleihung wurde bekannt, daß nicht nur Vorstände und Journalisten, sondern auch die Handyverbindungen eigener Mitarbeiter bespitzelt hat. Da wundert es mich schon fast, daß der Publikumspreis nicht an die Telekom, sondern an den Europäischen Ministerrat ging...

(Bild (CC) by Peter Ehrentraut)

Mitglieder des Chaos Computer Club hatten die Kommunalwahl in Brandenburg am 28.9. beobachtet. Bei dieser Wahl kamen (in den Niederlanden inzwischen nicht mehr zugelassenen) NEDAP-Wahlcomputer zum Einsatz. Der Bericht über die Beobachtungen wurde gestern veröffentlicht: Dieser liest sich wie eine Aneinanderreihung von teilweise haarsträubenden Pannen. Sehr deutlich wird auch das Aufeinandertreffen von Theorie und Praxis bei der Benutzerfreundlichkeit und der Zeitersparnis: Häufig kam es zu Bedienungsproblemen, mitunter bildeten sich längere Schlangen an den Stimmcomputern, da die Stimmabgabe so lange dauerte.

Ein Entwickler der Firma Turbocrypt berichtet von einem "neuen Angriff" auf verschlüsselte Festplattan; mit Hilfe der von ihm "comparison attack" getauften Methode könne man beim Vergleich einer Platte mit einem Backup ohne Kenntnis des Schlüssels Rückschlüsse auf die Daten ziehen. In einem Beispiel für den Angriff führt er vor, wie durch das Überlagern von zwei verschlüsselten (unkomprimierten) Schwarzweiß-Bitmaps das Orginalmotiv schemenhaft wieder sichtbar wird.

Keine Bilder für Google Street ViewGoogle Street View erlaubt es dem Benutzer von Google Maps, nicht nur einen Blick vom Satellit auf eine Gegend zu werfen - man kann sich auch aus Perspektive der Straße ringsherum umsehen. Dazu fährt Google die Straßen ab und fertigt alle zig Meter Fotos in mehrere Richtungen an. Was auf den ersten Blick eine nette Spielerei ist (hey, schon mal das Hotel angucken, wohin die nächste Reise führt), führt rasch übers voyeristische zur Verletzung von Persönlichkeitsrechten. Die Google-Autos erwischen alles: Vom Fahrradsturz des Juniors und sonnenbadende, barbusige Schönheiten, über Nasebohrer und tiefen Einblicken in die Unterwäsche bis hin zu Striplokal-Kunden, Einbrechern und Schießereien auf offener Straße. In Schleswig-Holstein wehren sich Datenschutzaktivisten gegen die nun auch dort herumfahrenden Google-Streetview-Cars; das Landeszentrum für Datenschutz hält die Erfassung für rechtswidrig. Aufgrund der Proteste hat Google das Projekt vorerst zurückgestellt.

Bereits die hohe Auflösung der Satellitenbilder von Google Maps ist ein zweischneidiges Schwert: Auf der einen Seite gibt es sicher eine Reihe sehr sinnvoller Anwendungen, auf der anderen Seite treibt es merkwürdige Blüten wie die Spontan-Pool-Parties (ohne Einverständnis der Besitzer). Google Street View eröffnet eine weitere Dimension an Details: Die Ansichten geben Auskunft über den Wohlstand des Wohngebiets, Zustand der Häuser oder Einbruchsmöglichkeiten.

Google Street View AutoIch bin kein Jurist, jedoch habe ich mich ein wenig mit dem "Recht am Bild" auseinandergesetzt. Die allgemeinen Regelungen für Fotos gelten für den öffentlichen Raum (auf Privatgrundstück kann der Inhaber des Hausrechts weitere Beschränkungen vornehmen - so kann der Veranstalter von Konzerten beispielsweise das Fotografieren gänzlich untersagen). Hier gilt, daß Gebäude fotografiert werden dürfen, sofern sie frei einsichtig sind - was ja bei Googles Kameraautos gegeben ist; Ausnahmen gelten für Kunstwerke (Beispiel: Bilder vom Verhüllten Reichstag). Sind Personen auf dem Bild erkennbar, so sind diese vor Veröffentlichung um Einverständnis zu fragen - sie besitzen ein Recht am eignenen Bild. Ausnahmen gibt es für Personen des öffentlichen Interesses, wenn die Personen nur als "Beiwerk" erscheinen (Beispielsweise bei Landschaftsaufnahmen) oder bei Versammlungen oder Umzügen, an denen man teilgenommen hat (hier haben die Teilnehmer damit zu rechnen, daß sie fotografiert werden).

Google könnte meiner Meinung nach allenfalls versuchen, sich auf die Beiwerk-Klausel zu berufen; allerdings entstehen die Bilder automatisch und ohne Bewertung durch einen Menschen, so daß es sehr wahrscheinlich ist, daß ein Mensch bei einem Bild sehr wohl in den Vordergrund rückt - egal, ob dies nun zufällig geschieht oder nicht. Egal, wie die Rechtslage genau aussieht: Ich meine, daß mit Google Street View die Linie des guten Geschmacks und dem Respekt vor der Privatsphäre anderer deutlich überschritten ist - und ich wäre froh, wenn sich Google hier ein juristisches blaues Auge einfängt.

(Foto von byrion)

Die Schlagzeile, TCP hätte ein ernsthaftes Protokollproblem macht erwartungsgemäß die Runde im Netz. Einige Meldungen sind mehr oder minder panisch, manche beinhalten unglaublich dumme Ratschläge (SYN-Cookies dekativieren - argh!)... die meisten sind zum Glück ausreichend besonnen und werden erst einmal bis zur vollständigen Veröffentlichung der Details abwarten, bevor sie ein endgültiges Urteil abgeben. Nun kommentiert auch Fyodor, der Autor des Netzwerkscanners nmap die Ankündigung.

An den wenigen Posts der letzten Wochen läßt sich leicht erahnen, daß ich bis über beide Ohren in Arbeit stecke - aber die Schlagzeile "deadly TCP denial-of-service attack - TCP broken beyond repair?" hat mich dann doch aufhorchen lassen. Die Entwicker des Portscanners Unicornscan sind auf (mehrere?) neue Angriffsvektoren auf TCP gestoßen; Details wollen sie auf der T2-Konferenz Mitte Oktober 2008 in Helsinki vorstellen, einige grobe Informationen konnte man diesem Podcast-Interview entnehmen (Seite sicher bald ge-slashdot-tet, hier die Episode im Coral Cache; das englischsprachige Interview beginnt bei 5:50 Minuten und dauert ca. 35 Minuten).

Google hat seine Webbrowser-Entwicklung "Google Chrome" veröffentlicht - nach alter Firmentradition als "Beta"-Version. Die ersten Testmeldungen überschlagen sich: Google Chrome wäre sowohl beim Seitenaufbau als auch beim Ausführen von JavaScript der schnellste Browser. Nach knapp 24 Stunden kamen dann aber die ersten Negativ-Meldungen: Mit dem Datenschutz geht Google reichlich großzügig um - unter der Hochglanz-Oberfläche lauert so manche übelriechende Tretmine.

"Apple verkauft weder Software noch Hardware, sondern Mode-Accessoires und trojanische Pferde." - So hat sich unlängst ein Bekannter von mir über Apple geäußert. Und die Aussage ist nicht von der Hand zu weisen: Apple nutzt Hardware- und Softwaredongles an allen Ecken und Enden, um die Benutzer geeignet zu erziehen - entsprechend der eigenen Vorstellungen. MacOS läuft nur auf Rechnern von Apple (die haben das geeignete Dongle eingebaut), über den iTunes-Store wird fleißig Musik mit DRM ("Kopierschutz") verkauft. Der iPod akzeptiert nur noch von Apple zertifizierte Erweiterungsgeräte, Musik läßt sich sowieso nur mit iTunes hochladen. Auch das iPhone führt nur die Software aus, von der auch Apple es will - einzige Aufspielmöglichkeit ist im Regelfall wieder der apple-eigene App-Store. Und um allen widerspenstigen Nutzern beizukommen (so wurde heute bekannt), besitzt Apple auch die Möglichkeit, Programme auf allen iPhones zu löschen.

PHP wird von manchen Personenkreise als "per se unsicher" verschrien; unglücklicherweise sind die meisten Webanwendungen in PHP geschrieben, so daß diejenigen, die PHP vermeiden wollen, eine sehr eingeschränkte Auswahl an Software haben. Immerhin gibt es unter diesen Leuten nicht nur Nörgler, sondern auch Bestrebungen, die Situation zu ändern: So gibt es als Reaktion darauf dieses Jobangebot, einen Webshop in Python zu entwickeln - vorzugsweise mit Django, Ruby mit Rails ist als Option aber auch nicht ausgeschlossen.

Pigzip

Noch mehr Ferien-Fun-Programm :-) Aber nachdem ich gerade an Kompressionsproblemen arbeite, habe ich hierüber besonders lachen müssen:

In den 70ern schon einmal en vogue gewesen, findet man heute wieder das eine oder andere Experiment damit: Binaurale Tonaufnahmen, entweder mit Kunstkopf oder mit Mikrofonen, die wie Kopfhörer im Ohr getragen werden. Hört man sich solche Aufnahmen wieder mit Kopfhörern an, erlebt man einen sehr plastischen und räumlich gut aufgelösten "3D"-Klang. Wer's mal ausprobieren will: Hier gibt es einen virtuellen Haarschnitt. Wer starke Nerven hat, kann auch mit Boris den Zahnarzt besuchen.

Vergleich MacBook Air und Commodore SX-64

Über Sinn und Unsinn des MacBook Airs wurde ja schon viel diskutiert und gelästert. Zukunftsweisendes Produkt oder ein praxis-untauglicher Modeartikel? Jeder, wie er meint. Bei "The Register" kann man einen (nicht ganz ernst gemeinten) Vergleich zwischen dem MacBook Air und dem Commodore SX-64 lesen :-)

In jedem Fall ist die Technik und Bauweise so ungewöhnlich, daß sie neben Staunen auch mal Mißtrauen hervorrufen kann - so wurde dieser Mensch in der Sicherheitskontrolle des Flughafens festgehalten, da sein MacBook Air verdächtig erschien: Keine Ports, keine Festplatte, nur irgendwelche merkwürdige Elektronik darin... der Sicherheitsbeamte kannte das noch nicht, und alle Beteuerungen und Erklärungen halfen nichts: Der Flug war weg.

(Bild: © The Register)

Urlaub :-)

Hier wird es die nächste Zeit ein klein wenig ruhiger werden - ich habe Urlaub. Auch vom Bloggen. :-)

Heise weist auf einen Beitrag der Sendung "Report aus München" (heute, 21:45h im Ersten) hin. Deren Recherchen nach waren die Daten der Bürger aus rund 200 Städten frei im Internet zugänglich - und das (laut Aussage der Softwarefirma) seit März diesen Jahres. Die Zugangsdaten standen bei der verantwortlichen Softwarefirma auf deren Homepage. Von etwa einer halbe Million Bürgern waren Adressen, Religionszugehörigkeit und Paßbild abrufbar.

Ich gratuliere. In dem Moment, wo Datensammlungen existieren, besteht die Gefahr von Mißbrauch und Datenpannen. Die Paßdaten (welche ja bei den Einwohnermeldeämtern erhoben werden) sind ja bereits jetzt von Ermittlungsbehörden online abrufbar - nur daß der Zugriff etwas freier als geplant ist, war wohl nicht im Sinne des Erfinders.

Backtrack 3 Logo

Ein schönes Beispiel hierfür ist das Stehlen von Cookies (am einfachsten in einem WLAN), wie man es im "Trailer" für die CD sehen kann. Unglücklicherweise sind es gerade solche Demos, weshalb Programme dieser Art als "evil hax0r-t00lz" beschimpft werden - lieber die Augen verschließen und die Gefahren ignorieren...

Nun also doch: Nachdem es so aussah, als ob das schwedische Überwachungsgesetz doch noch kippen würde, wurde die "Lex Orwell" doch verabschiedet - unter heftigstem Druck auf die Abgeordneten (Fraktionszwang, Hammelsprung und Androhung von Konsequenzen für "politisches Fehlverhalten") und nach einigen kosmetischen Änderungen. Ab kommendem Jahr darf der Geheimdienst anlaßunabhängig und ohne die Mitsprache eines Richters sämtliche Auslandsverbindungen abhören und inhaltlich auswerten - das betrifft Telefonate, Faxe, SMS-Nachrichten genauso wie E-Mail oder andere Internetdienste. Jeder, der weiß, wie das Internet funktioniert, sieht sofort, daß damit auch sowohl innerschwedische als auch rein außerschwedische Kommunikation betroffen sind: Das Routing im Internet kümmert sich nicht um Landesgrenzen, und gerne nimmt ein Paket mal die "Außenbahn" um den halben Globus.

Hier noch ein kleiner Rückblick auf die Podiumsdiskussion vom letzten Montag. Kurz gefaßt: Ich fand die Aktion super - es ist toll, wenn eine Schule sich so bemüht, um Schülern Informationen über das nicht ganz unkomplizierte Thema zukommen zu lassen. Auch war es sicher nicht ganz einfach, entsprechende Gesprächspartner (und mit denen einen gemeinsamen Termin) zu finden - letztlich saßen neben mir auf dem Podium zwei Schüler, ein Vertreter der Ulmer Polizei sowie zwei Anwälte einer Ulmer Kanzlei. Die Diskussion war angeregt, aber stets auf einer sachlichen Ebene. Die anderthalb Stunden vergingen ruck-zuck, es war viel zu wenig Zeit, all die offenen Fragen anzusprechen.

eBook Urheberrecht

Jeder Teil des Buches gliedert sich in kurze Kapitel mit je wenigen Seiten, die rasch zu lesen sind. Sehr erfreulich: In allen Kapiteln werden nicht nur die klassischen Lizenzen, sondern auch die Creative-Commons (und andere freie) Lizenzen werden angesprochen und konsequent als Alternative zu den althergebrachten Modellen dargestellt.

Auch wenn man im ersten Moment vielleicht nicht daran denkt: Auch die weiteren Kapitel beinhalten für den Hobbyisten interessante Informationen. So findet man beispielsweise Hinweise über das "Recht am Bild" - wann darf ich welches Foto veröffentlichen - ebenso wie Informationen über Plagiate und die Gefahr des leichtfertigen Gebrauchs von Bildmaterial aus dem Netz (Stichwort: Marions Kochbuch). Der Thematik von Fanseiten widmet sich ebenfalls ein separates Kapitel. Auch für weitere Fallstricke wie Stadtplanausschnitte findet sich ein eigener Abschnitt.

Alles in allem lohnt es sich wirklich, in dem Buch zu stöbern. Die Artikel sind so geschrieben, daß sie für jung und alt (und ohne juristische Vorbildung) leicht verständlich sind - mit den Informationen, die man hierin findet, kann man sich im Falle eines Falles eine Menge Ärger ersparen.

(via netzpolitik.org)

Plakat Podiumsdiskussion

Die folgenden Artikel sind als "Write-up" der gesammelten Fakten entstanden:

Probleme bei der Beweiserfassung von P2P-Delikten - über die Schwierigkeiten, welche die Strafverfolger bei der Verfolgung von Urheberrechtsverletzungen in Tauschnetzen haben (und wie unbescholtene Bürger Querschläger davon abbekommen)

Urheberrecht im Alltag - dieses eBook erschien wie aufs Stichwort zu den gewünschten Themen. Hier findet man leicht verständlich Antworten zu Themen wie der Legalität von Privatkopien, dem Verwenden von Bildern und Texten auf der eigenen Webseite, usw.

Ein Moment der Gedankenlosigkeit, und schon sind Monate der Arbeit für die Katz. Das gilt auch für Spionagekreise. Vor ein paar Tagen wunderte sich f-secure über einige PDFs, die ihnen über einen Online-Scanner zum Testen zugesandt wurden. Beim Öffnen des ersten PDFs zeigte der Arcobat Reader zwar ein PDF an, im Hintergrund nistete sich zeitgleich eine Hintertür ein. Die Hintertür versuchte, mit einem Rechner in China Kontakt aufzunehmen. Die eigentliche Überraschung befand sich in einem weiteren PDF-File: Die Payload war... das Programm zum Erzeugen solcher trojanischer PDF-Dateien!

Das Tool ist ebenfalls auf chinesisch... irgendjemand in China wird für diese Aktion sicher tüchtig Prügel beziehen ;-)

(via Fefes Blog)

Mit kurzem Nachdenken kann man selber darauf kommen, aber man übersieht sie doch leicht: Fotokopierer. Frontal 21 berichtet in der heutigen Sendung über das potentielle Sicherheitsleck moderner Kopierer. Längst arbeiten die Geräte nicht mehr rein optisch, sondern sind vielmehr integrierte Computer mit Scan- und Druckeinheit. Um große Aufträge zwischenzuspeichern, besitzen größere Geräte eine interne Festplatte.

Heute Nachmittag hatte Innenminister Schäuble Vertreter der Größen aus der Telekommunikationsbranche zur Aussprache eingeladen; Kritiker bezeichneten das Vorgehen bereits im Vorfeld als "Einladung zu Kaffee und Kuchen", die meisten Eingeladenen schlugen die Einladung aus, um nicht mit dem Negativ-Image der Telekom in Verbindung gebracht zu werden. Das Ergebnis ist - wie bei einem Kaffeekränzchen nicht anders zu erwarten - zahnlos: In zwei Stufen soll das Problem diskutiert werden - Deeskalation an allen Ecken. Und schärfere Gesetze soll es deswegen auch nicht geben.

T-Ear

Der Brüller ist aber, daß nun Wolfgang "Mr. Vorratsdatenspeicherung" Schäuble den Telekom-Vorstand nach Berlin zitiert - um "die Bedeutung des Datenschutzes in Unternehmen zu stärken". Ich male mir gerade bildlich aus, wie das Gespräch aussehen könnte (Vorsicht, Satire voraus):

René: "Du, Wolle, wir stecken da gerade in der Klemme... die Presse rückt uns auf die Pelle, unsere Stühe wackeln - Du machst doch mit der Vorratsdatenspeicherung genau das selbe, was wir gemacht haben - wie kannst Du da noch so sicher im Sattel sitzen?"

Wolle: "Tja, alles eine Frage der Übung. Ausreichend pressewirksame Ablenkungsmanöver starten. Außerdem ist das alles halb so schlimm, die deutsche Rechtssprechung orientiert sich ja immer häufiger an den Vorbildern in den USA, und da haben die Spitzel von der HP-Sache auch nichts zu befürchten gehabt."

René: "Könntest Du uns da trotzdem unterstützen? Ich denke da an einen kleinen Beratervertrag..."

Wolle: "Ach was, bei der Nutzung von Verbindungsdaten können wir von euch noch was lernen! Schon seit acht Jahren... ich wußte ja schon immer, daß die Telekom ein modernes Unternehmen mit technologischem Weitblick ist! René, was hältst Du davon: Könnte ich stattdessen nicht eine Kopie von eurer "Hagelsturm"-Software haben? Unsere Experten sind noch auf Jahre hinaus mit dem Erstellen des Bundestrojaners beschäftigt, und so eine Auswertungssoftware für die Daten der Vorratsdatenspeicherung könnten wir gut gebrauchen. Und ohne Beratervertrag gibt's auch keine Einträge bei Abgeordnetenwatch wegen Nebeneinkünften und so..."

;-)

Heise am Morgen verbreitet Schmerzen und Sorgen: Der Bund Deutscher Kriminalbeamter (BDK) fordert eine zentrale Datenbank für Verbindungsdaten. Analog zu den britischen Bestrebungen zur Vorratsdatenspeicherung sollen die Verbindungsdaten nicht wie bisher geplant beim jeweiligen Provider, sondern in einer zentralen Datenbank in Bundeshand gespeichert werden. Hintergrund für die Forderung ist der aktuelle Skandal bei der Telekom, wo durch Abgleich von Verbindungsdaten ein undichtes Loch in der Vorstandsetage gesucht werden sollte (es wurden die Anschlüsse des Vorstands mit Telefonnummern von Reportern abgeglichen) - der BDK-Vorsitzende Jansen: "Die Telekom-Affäre ist eine Riesenchance für den Datenschutz, die wir nutzen müssen. Es ist doch offensichtlich, dass sensible Kundendaten bei privaten Unternehmen mehr als schlecht aufgehoben sind."

Der Vorfall ereignete sich 2005 und 2006 - da war die Vorratsdatenspeicherung allenfalls angedacht. Trotzdem mußte (und muß auch weiterhin) die Telekom solche Verbindungsdaten speichern - nämlich als Beleg für die Abrechnungen. Wo Daten anfallen, können auch Daten gespeichert werden - die Daten in einer solchen geforderten zentralen Datenbank wären allenfalls eine Kopie. Das Mißbrauchspotential reduziert sich dadurch kein bißchen, im Gegenteil: Zusätzlich zu Schnüffeleien innerhalb des Betriebs eröffnet das die Möglichkeit der zentralen Schnüffelei in der zentralen Datenbank - Gelegenheit macht Diebe, und wo Datenmißbrauch möglich ist, wird er auch geschehen. Aber das würden unsere integeren und bürgerfreundlichen Dienste doch niemals tun, oder?

Sowas dann auch noch als "Riesenchance für den Datenschutz" zu bezeichnen ist der blanke Hohn. Der Telekom-Vorfall zeigt vielmehr sehr deutlich, wie gefährlich solche Datensammlungen sind - unabhängig davon, ob sie sich in Firmen- oder in Staatshänden anhäufen.

LWN schreibt über eine Sicherheitslücke in Wordpress, mit deren Hilfe man das Authentisierungssystem vieler Wordpress-Installationen umgehen kann, sprich: Der Angreifer kann sich als beliebiger Benutzer anmelden. Sicherheitsprobleme bei Wordpress sind ja (leider) keine Seltenheit, doch dieser Angriff ist eine so nette Art des Um-die-Ecke-Denkens, daß ich sie hier näher beschreiben will; da diese Falle für Programmierer von Webanwendungen nicht offensichtlich ist, ist dies sicher auch für entsprechende Entwicker von Interesse.

Bletchley Park

Bletchley Park ist für mich irgendwie so etwas wie die Wiege der modernen Kryptographie - im zweiten Weltkrieg befand sich hier die "Station X", in welcher (unter anderem) der Code der Enigma gebrochen wurde. Heute beherbergen die Gebäude unter anderem ein Museum über Kryptographie und historische Computersysteme.

(Foto von Marcin Wichary)

"Google-Gründer machen sich Sorgen um den Datenschutz" / "Privatsphäre der Nutzer bedroht" - so titeln Heise und Golem. Die Google-Gründer sorgen sich um die Daten, welche die Nutzer in der stetig wachsenden Zahl Social Networks hinterlassen. Zum einen bleiben solche Datenspuren lange Zeit erhalten und können so für ein böses Erwachen sorgen (wir alle kennen das Beispiel vom Foto des volltrunkenen Studenten, das dann bei der Bewerbung zum Showstopper wird); zum anderen zwingt die Konkurrenz der Social Networks untereinander die Betreiber dazu, die Daten immer schneller und agressiver auszuwerten und weiterzunutzen, um sich finanziell über Wasser zu halten.

Es macht immer wieder Spaß, irgendwelche Propaganda-Blogs zu lesen - man findet dort die obskursten Dinge, manche zum Weinen, manche zum Lachen, ... so bin ich heute im RFID-Weblog (wird von einer PR-Firma im Auftrag der RFID-Lobby geführt) auf diesen Artikel gestoßen, der eine Weltneuheit anpreist: Eine RFID-Firewall. Das Produkt soll vor "bösen" RFID-Tags schützen, welche ungültige Daten oder gar Viren oder Angriffe via SQL-Injection ins System einschleusen wollen.

Der monatliche Newsletter Crypto-Gram feiert mit seiner gestrigen Ausgabe sein zehnjähriges Bestehen. Bruce Schneier schreibt darin über aktuelle Entwicklungen in den Themen Kryptographie, Sicherheit und Sicherheitspolitik. Im Zuge der allgemeinen Entwicklung erscheinen die einzelnen Artikel auch in Bruce Schneiers Blog - aber dennoch lese ich seine monatliche Rundmail nach wie vor gerne.

...die US-Militärs haben scheinbar Machtphantasien vom ultimativen Botnetz, mit dem sie auch mal ordentlich zurückschießen können:

Debian (und Debian-Derivate wie Ubuntu) hat ein akutes Problem mit OpenSSL-Schlüsseln, die nach dem 17.9.2006(!) erzeugt wurden: Durch einen Debian-spezifischen Patch sind die verwendeten Zufallszahlen so schwach, daß die Schlüssel leicht gebrochen werden können und somit die Verschüsselung von OpenSSH, https und vielen weiteren mehr oder minder hinfällig ist. Seit gestern existiert ein Programm zum automatischen Brechen solcher Schlüssel - es ist also höchste Zeit, sein Schlüsselmaterial zu aktualisieren und auf mögliche Einbrüche zu prüfen! Die Geschichte hinter dem Bug liest sich übrigens mehr als gruselig:

Spiegel berichtet unter der Überschrift "Wir sind die Guten" über das Bild von Hackern im Allgemeinen und die Aktivitäten des CCC im Speziellen. Alles in allem zeichnet der Artikel ein sehr positives Bild des Clubs: Er ernennt ihn gar zum obersten Datenschützer - er kann sich provokante Demonstrationen zu den Mißbrauchsmöglichkeiten von Datensammlungen leisten, wohingegen Schaar nur "von Amts wegen, meistens in der Defensive" aus mahnend den Zeigefinger heben kann.

Seit gut einem Tag klopfen plötzlich hunderte Rechner via ssh an und versuchen, sich als root Zutritt zu verschaffen. Ende letzten Jahres gab es sowas schon einmal - ergeht es jemand aus der werten Leserschaft ähnlich? Weiß jemand, ob Rechner flächendeckend gescannt werden, oder ob einzelne Ziele herausgepickt wurden?

Ok, leicht off-topic, aber diese Geschichte muß ich einfach loswerden: John Ashcroft, Ex-Justizminister der USA hielt an einem US-College eine Ansprache über Amerika, Terror, Sicherheit und Freiheit (was sonst). Im Anschluß daran konnten ihm Fragen gestellt werden; großes Thema waren natürlich die Vorwürfe bezüglich Folter durch die CIA (die sich spätestens durch den von Ashcroft maßgeblich mitbestimmten "Patriot Act" dazu legitimiert fühlen), insbesondere das sogenannte Waterboarding. Wer noch keine genaue Vorstellung davon hat, worum es sich dabei handelt, sollte sich unbedingt den Spot "The Stuff of Life" von Amnesty International ansehen; der US-Kongreß wollte dies übrigens explizit per Gesetz verbieten, jedoch kippte George W. Bush dieses Gesetz mit seinem Veto.

Eine Gruppe der Carnegie-Mellon-University hat Ergebnisse über ihre Forschung zur automatischen Generierung von Exploit-Code aus Programmpatches publiziert - laut einem Bericht bei Heise ist es ihnen gelungen, zumindest semiautomatisch Exploits zu erzeugen, indem lediglich die Unterschiede zwischen gepatchten und ungepatchten Programmbinaries betrachtet wurden. Die Idee ist recht naheliegend und nicht neu - bereits letzten Sommer zeigte Sabre Security Forschungsansätze in dieser Richtung (offenbar setzten die Forscher sogar BinDiff von Sabre Security selbst ein); allerdings wurde der Grad der Automatisierung nochmals deutlich vorangetrieben.

Sprachlosigkeit

Laut Herrn Schäuble ist ein heimliches Betreten der Wohnung kein Widerspruch zum §13 des Grundgesetzes - dieser sagt: Die Wohnung ist unverletzlich. Ein kurzer, unbemerkter Besuch, um den Bundestrojaner zu installieren, sei ja keine Durchsuchung und damit keine Verletzung des Wohnraums.

Überträgt man die Schäublesche Argumentation auf den gemeinen Bürger, so müßte es doch demnach straffrei sein, sich Zutritt zu einer Wohnung zu verschaffen - solange man nichts anfaßt, ist es doch noch kein Einbruch.

Mir bleibt noch immer die Spucke weg.

...stellt man fest, daß man gerne mit zweierlei Maß urteilt. Im letzten Post habe ich mich über das Problem der Wahrnehmung von Privacy-Problemen ausgelassen, und heute schlägt ein Moderator von RBB in diese Kerbe - wenn auch in einem anderen Kontext: Für ein Interview über die Videoüberwachung von Wohnungen hatte der Sender den Vorsitzenden des Bundestags-Innenausschusses, Sebastian Edathy, live zugeschaltet. Mit seiner Eröffnungsfrage erwischte der Moderator Herrn Edathy so kalt, daß dieser das Gespräch mit einem "Was soll denn der Scheiß" abbrach...

RAM abkühlen

Für den direkten Zugriff auf das RAM eines laufenden Rechners gibt es verschiedene Ansätze:

Auf das RAM eines laufenden Systems läßt sich jedoch via DMA zugreifen - im Dezember 2004 wurde bereits demonstriert, wie via Firewire das RAM eines Systems ausgelesen werden kann; andere Möglichkeiten sind PCMCIA-Karten oder PCI-Karten auf einem hotplug-fähigen PCI-Bus.

Auf dem Chaos Communication Camp 2007 wurde vorgeführt, daß auch nach einem Reboot ein Großteil des RAMs erhalten bleibt und so nach dem Schlüsselmaterial gesucht werden kann. Selbst nach dem Aus- und Einschalten des Laptop des Referenten blieb ein großer Teil der Daten im RAM lesbar.

Dieses Phänomen wurde nun weiter untersucht: Modernes DRAM bleibt über mehrere Sekunden ohne Strom stabil, und durch Abkühlen läßt sich die Zeit auf viele Minuten verlängern - sogar so lange, daß man in Ruhe das RAM in eine anderen Rechner(!) einbauen und dort den Inhalt restaurieren konnte.

Waren bis dato Server mit einer verschlüsselten Platte vor dem Zugriff Dritter nahezu sicher, muß diese Annahme nun endgültig revidiert werden - zu einfach ist die Durchführung des Angriffs: Mit Druckluft das RAM abkühlen, den Rechner via Hard-Reset (oder Aus- und Einschalten) neu starten, und anschließend mit einem eigenen Bootmedium den Speicher nach dem Schlüssel für die Festplatte durchsuchen. Das Problem ist, daß es nur sehr schwer möglich ist, sich gegen einen solchen Angriff zu schützen.

  • Der Schlüssel muß für das laufende System in Greifweite sein - ein Spreizen des Schlüssels macht den Zugriff auf die Platte höchst imperformant und erschwert die Suche lediglich, kann sie aber nicht verhindern.
  • Spezielle Hardware-Kryptomodule (wie aus dem Trusted Computing bekannt) könnten theoretisch helfen - die Flexibilität der Softwarelösungen geht jedoch damit verloren.
  • Ein Löschen des RAMs durch den Kernel beim Herunterfahren oder des BIOS beim Einschalten kann durch das Kühlen und Umbauen umgangen werden.

In der Tat, die Optionen sehen schlecht aus; ernsthafte Sicherheit gewährleistet eine verschlüsselte Festplatte nur bei abgeschalteten Systemen (kein Standby oder Suspend-to-RAM) oder physikalischer Kontrolle über das System; letzteres ist gewährleistet, wenn der Zugriff zum Rechner nicht möglich ist oder sichergestellt wird, daß beim Reboot oder dem Öffnen des Gehäuses das RAM zuverlässig gelöscht wird. Daß das mit dem Umbauen in einen anderen Rechner funktioniert, hat mich erstaunt und erschüttert...

Das Phänomen des langsamen Verblassens von DRAM-Speicher haben die Autoren des Papers (zusammen mit den weiteren Problemen) in einem Video schön dargestellt:

Youtube: Lest We Remember: Cold Boot Attacks on Encryption Keys

(via Slashdot)

Safer Internet Day 2008Heute ist Safer Internet Day, bereits zum fünften Mal... was es nicht alles gibt (den SysAdminDay kannte ich, aber der Safer Internet Day war mir neu) :-)

Der Safer Internet Day ist eine Initiative, die eine sichere und verantwortungsvolle Nutzung des Internets verbreiten will. Dabei geht es um Aufklärung und Verbreitung um Informationen - und zwar nicht nur über die Installation einer Personal Firewall und eines Virenscanners: Neben der technischen Seite geht es auch um Medienkompetenz und ein Bewußtsein für die Privatsphäre.

Was muß ich beachten, um meinen Rechner technisch "sicher" zu machen? Wie sieht es mit dem Wahrheitsgehalt von Informationen aus dem Netz auf, und wie kann ich diesen überprüfen? Was sind die gängigen Maschen von Betrügern und Bauernfängern im Netz? Was sollte ich im Hinterkopf behalten, wenn ich persönliche Daten von mir im Netz (z.B. in sozialen Netzwerken) veröffentliche? Wo beginnen Konflikte mit dem Urheberrecht?

Ich nehme stark an, daß die meisten Leser meiner Seite diesbezüglich mehr als ausreichend sensibilisiert sind... aber für den Löwenanteil der nicht-Nerd-Internetnutzern sind dies sehr wichtige Themen, bei denen es noch Informationsdefizite gibt; diese Themen allgemeinverständlich verpackt an die Öffentlichkeit zu bringen ist meiner Meinung nach sehr wichtig (was der Grund ist, weshalb ich auf diesen Aktionstag verweise) - eigentlich sollte sowas auch Bestandteil des Lehrplans in allen Schulen sein...

Nachtrag: Der Aktionstag ist vorbei, und die Blogger von Mitternachtshacking haben die Aktion näher betrachtet. Es kam, wie's bei EU-Initiativen so oft kommt: EU-Projekte ziehen Lobbygruppen wohl an die Kuhfladen die Fliegen - und so wird das ganze als Plattform von GVU und Co. genutzt, um "ihre" Form der Wahrheit zu verbreiten. Sehr schade.

Insbesondere die Bildung der Lehrer wäre imho sehr wichtig - die Entwicklung geht immer rasanter und erfaßt vor allem die Jugendlichen; daher tut eine Weiterbildung der Lehrer hier Not. Allerdings darf die Weiterbildung nicht von irgendeiner Lobbygruppe durchgeführt werden (die GVU ist hier sehr großzügig, was Informationsangebote angeht; ebenso ist Microsoft sehr generös bei der Ausstattung; die List läßt sich fast beliebig fortsetzen), sonst wird man (wie ein Lehrer selbst in dieser Materialsammlung für Lehrer feststellt) sehr leicht vor irgendeinen Karren gespannt.

Ok, die Meldung ist inzwischen endgültig durch alle Blogs durch: Truecrypt 5.0 ist erschienen, und eines der neuen Features ist die Verschlüsselung von (Windows)-Systempartitionen mit einer Pre-Boot-Authentication (ein detailliererer Überblick findet man bei ravenhorst). Zugegebenermaßen ist dies ein tolles (und auch wichtiges) Feature - aber es als Mittel gegen die Vor-Ort-Installation des Bundestrojaners (oder andere lokale Angriffe) anzupreisen ist leider verkehrt.

Die Empörung ging gestern durch die Presse (SWR3, Heise, Golem) und diverse Blogs (z.B. Lunatic Fringe, Lawblog, Mitternachtshacking): Eine Mutter besuchte eine Bankfiliale, um dort im Foyer vom Geldautomat Geld abzuheben; ihre dreijährige Tochter habe dabei mit Hundekot, der an ihren Schuhen klebte, den gefliesten Vorraum verschmutzt. Durch Abgleich der Videoaufzeichnungen, der Uhrzeit und den Transaktionen des Geldautomaten wurde die Adresse der Mutter festgestellt, die daraufhin für die Reinigung eine Rechnung erhielt. In einem aktualisierten Bericht der Stuttgarter Nachrichten heißt es inzwischen, es habe sich dabei nicht um Hundekot gehandelt, vielmehr habe das Kind seine Notdurft auf den Boden verrichtet. Der Fall wird nun von der Aufsichtsbehörde für Datenschutz untersucht.

So... die Sendung von Trackback ist ausgestrahlt und auch auf der Webseite anzuhören (ab Minute 61); glücklicherweise hat die Technik uns keinen Streich gespielt und wir konnten das Interview in der Dreierrunde zwischen Moderator Marcus, Bernhard und mir führen. Leider reichte die Sendezeit nicht, einen kurzen Teaser zu spielen - wer neugierig ist, kann sich hier den Teaser anhören.

Das scheint die aktuelle Marotte des "Web-2.0-Business" zu sein: Schneller, bunter, toller. Mehr Features, noch mehr schräge Streifen, noch mehr Beta-Sticker, noch mehr spiegelnde Buttons. Und spätestens unter dem Deckmäntelchen des "Beta"-Buttons im Logo glaubt man, man könne mit jedem halbgaren Feature direkt an die Öffentlichkeit gehen. Auf Sicherheitslücken kann man da kaum achten, die Konkurrenz arbeitet ja ebenfalls immer schneller, toller und bunter.

Der SWR berichtet über ein Arbeitspapier, in dem der Verfassungsschutz ein Resume über die "Sauerlandgruppe" zieht. Die Gruppe hatte für September 2007 einen Anschlag geplant (für den Sprengsatz sollte Wasserstofperoxid verwendet werden), die Ermittlungsbehörden wurden jedoch darauf aufmerksam und konnten trotz einiger Schwierigkeiten den Anschlag verhindern und die Drahtzieher festnehmen. In dem Arbeitspapier fordert der Verfassungsschutz nun weitergehende Kompetenzen und Regelungen - unter anderem eine Ausweispflicht für Internetcafe-Besucher, ganz nach dem Vorbild Italiens.

Die Kensington Locks haben sich zum allgemein anerkannten Standardtool zum Ansperren von Laptops und anderen Computergerätschaften gemausert. Auch von Versicherungen wird diese Vorkehrung üblicherweise als hinreichende Schutzmaßnahme anerkannt. In diesem Video führt jemand vor, wie man ein Kensington Lock mit Hilfe einer Klopapierrolle und etwas Klebeband knacken kann (MacGyver wäre stolz darauf!):

Bundesverfassungsminister Schäuble hat am Wochenende ein paar heftige Keile in Richtung Verfassungsrichter Papier ausgeteilt - der hatte es gewagt, schon im Vorfeld weitere Versuche, den Abschuß entführter Passagiermaschinen gesetzlich zu verankern, als verfassungswidrig zu bezeichnen. Heise bezeichnet sehr treffend das ganze als regelmäßig wiederkehrende Routine: Zum Wochenende gibt es ein Interview, Schäuble provoziert heftigst - und wenn das Echo zu heftig wird, beruft er sich auf "Mißverständnisse und Fehldeutungen" und mimt den unverstandenen Verteidiger der Demokratie.

...zumindest in Amerika. Ein Anti-Spam-Aktivist wurde zur Zahlung von 60.000 Dollar verurteilt, weil er den Unix-Befehl "host -l" ausgeführt hatte. Das Gericht warf ihm vor, daß der Angeklagte seine Identität hinter Proxies verbarg, ein UNIX-Betriebssystem verwendete und neben anderen Methoden Shell Accounts einsetzte. Außerdem gab er sich als Mail-Server aus.

An einer Schule im US-Bundesstaat Rhode Island läuft ein kontroverser Pilotversuch: Grundschüler tragen in ihren Schulranzen einen RFID-Chip, mit dessen Hilfe ihr Aufenthaltsort bestimmt und von den Eltern abgerufen werden kann. In dem Pilotprojekt wird dieser Chip ausschließlich an den Türen des Schulbusses abgefragt, so daß die Eltern feststellen können, ob ihr Kind noch im Schulbus sitzt oder wann und wo es diesen verlassen bzw. betreten hat.

Der Vorteil, mit dem VoIP häufig verkauft wird, ist die Tatsache, daß man für Sprach- und Rechnerkommunikation auf dieselbe Infrastruktur zurückgreifen kann. Üblicherweise trennt man das reguläre Netz vom VoIP-Netz mit Hilfe von VLANs (virtuellen LANs) aus folgenden Gründen:

Der Vortrag in Suttgart ist gut überstanden (Frank war leider geschäftlich verhindert, so daß die Show komplett an mir hing) - der "Saal 2" war mit ca. 60-70 Leuten gerammelt voll. Obwohl ich die zwei Stunden Vortragszeit sogar noch knapp überzogen habe, haben die Zuhörer ausnahmslos tapfer bis zum Ende durchgehalten :-) Zwischenrein gab es interessierte Rückfragen und kleinere Diskussionen (insbesondere über PHP ;-) ) Alles in allem hat mir die Aktion sehr viel Spaß gemacht, und den Diskussionen und dem anschließendem Feedback nach ging es den Zuhörern wohl ebenso.

In geselliger Runde, mit viel Sarkasmus war's sogar unterhaltsam. Dem Kommentar bei Spiegel Online habe ich nichts hinzuzufügen; die vorgeführten Tricks waren annähernd so alt wie die Kunst der Taschenspielertricks selbst und wurden obendrein von schauspielerisch untalentierten "Magiern" dargebracht.

3sat plant eine Beitragsreihe unter dem Thema "Mein Leben in Sicherheit" - und sucht hierfür bis zum 15.1. Projektideen für Beiträge mit einer Länge von 30 bis 90 Minuten. Wer Interesse hat: Weitere Infos gibt es im Beitrag bei Netzpolitik.