Blogarchiv 2006

So, nach­dem noch kein ech­ter Schnee liegt, be­hel­fen wir uns eben mit vir­tu­el­len Schnee­bäl­len. Elias hatte wohl nichts bes­se­res zu tun, als mit Un­men­gen Schnee um sich zu wer­fen ;-) Na gut, nach­dem zu­rück­wer­fen nicht gilt, krat­ze ich hier­mit mal ein paar Schnee-Bits zu­sam­men und seife damit mal tüch­tig Bern­hard (mit sei­nem Tech-Non­sen­se-Blog Tes­ser­akt), die bei­den Linux&Co-Tricks-Blog­ger Uli und Cop­ton und die Fa­mi­lie Neis (wobei zu­min­dest Va­len­tin in Ka­na­da in­zwi­schen aus­rei­chend Schnee zum wei­ter­ma­chen haben soll­te) ein :-)

Ab und zu er­wischt's einen ein­fach. In die­sem Fall einen Be­kann­ten von mir. Da der Vor­fall recht schn einen Stan­dard­fall dar­stellt und man daran ei­ni­ge best prac­tices fest­ma­chen kann, erzh­le ich mal, was pas­siert ist.
Der Rech­ner, um den es ging, war ein vHost bei einem Gns­tig­hos­ter, auf dem ein Web­ser­ver eine Hand­voll Dom­nen von Freun­den und Be­kann­ten lagen. Alles fing damit an, da vom Pro­vi­der eine Mail kam, da es mg­li­cher­wei­se Pro­ble­me mit dem mo­na­til­chen Traf­fi­cli­mit geben knnte...

Es ist immer be­quem, an­de­re für sich ar­bei­ten zu las­sen :-) Frei nach die­sem Motto be­schreibt das Se­cu­ri­Team Blog eine Mög­lich­keit, URL-ba­sier­te Ex­ploits von an­de­ren aus­füh­ren zu las­sen: An­statt den ent­spre­chend prä­pa­rier­ten Link selbst auf­zu­ru­fen, set­zen sie ihn auf eine Web­sei­te - und war­ten dar­auf, daß ein arg­lo­ser Be­nut­zer oder einer der vie­len Such­ma­schi­nen-Ro­bots die URL ab­ruft.

Gleich zwei Ju­bi­lä­en an (fast) einem Tag: PGP wird 15 Jahre alt, die Firma PGP Inc. fei­ert das Er­schei­nen der Ver­si­on 1.0 vor 15 Jah­ren - da­mals als Hob­by­pro­jekt von Phil Zim­mer­man er­schie­nen. Na­he­zu zeit­gleich er­scheint GPG in der Ver­si­on 2.0. Die neue Ver­si­on ist mo­du­la­rer als die 1er-Ver­sio­nen auf­ge­baut, neben PGP-Mails gibt es nun auch Tools für S/MI­ME-Ver­schlüs­se­lung.

USB-Sticks sind ein guter Platz, per­sön­li­che Daten mit sich zu tra­gen: Seien es Book­marks, ssh-Keys oder die TANs des Konto - so hat man alles Wich­ti­ge immer dabei. An­wen­dun­gen, die nicht in­stal­liert wer­den müs­sen, ma­chen das Leben sogar noch ein­fa­cher. Das haben wohl nun auch Wurm­pro­gram­mie­rer er­kannt, mel­det ta­ges­schau.​de (und be­zieht sich damit wohl auf diese USB-Tools) - und die Schäd­lin­ge um ent­spre­chen­de Funk­tio­nen an­ge­rei­chert: USB-Sticks wer­den mit­un­ter kom­plett ko­piert.

Up­date: Ein aus­führ­li­che­rer Ar­ti­kel hier­zu fin­det sich bei ra­ben­horst.

Wenn das nicht Iro­nie des Schick­sals ist: Nach die­sem Be­richt bei Di­gi­tal­Li­fe woll­te der Chef einer Firma, die op­ti­sche Über­wa­chungs­sys­te­me zur Ge­fah­ren­er­ken­nung an Flug­hä­fen her­stellt, per Flug­zeug zu einem Vor­trag rei­sen. An sei­nem Ab­flugs­flug­ha­fen be­fand sich eines der Sys­te­me sei­ner Firma im Ein­satz - und schlug bei ihm Alarm: An­geb­lich be­fän­den sich Spreng­stoff­spu­ren an sei­ner Klei­dung.

Unter die­sem Motto könn­te der ak­tu­el­le Thre­ad bei Slash­dot "How to ma­na­ge a se­cu­ri­ty breach?" ste­hen. Die Be­schrei­bung des Vor­falls klingt nach einem Se­cu­ri­ty-GAU: Auf Win98-Le­ga­cy-Sys­te­men hat sich ein Wurm breit­ge­macht und gi­ga­byte­wei­se (mög­li­cher­wei­se sen­si­ti­ve) Daten zu einem Rech­ner in Ost­eu­ro­pa ge­schau­felt. Das ganze wurde von einer be­auf­trag­ten Firma durch Zu­fall ent­deckt, die Lö­cher sind ge­stopft - aber wie ver­fährt man nun wei­ter? Of­fi­zi­el­le Be­nach­rich­ti­gung oder den Vor­fall unter den Tep­pich keh­ren (in der Hoff­nung, das nix schlim­me­res pas­siert ist)?

Daß das Ent­wi­ckeln von Soft­ware etwas an­ders funk­tio­niert als sons­ti­ge In­ge­nieur­tä­tig­kei­ten ist hin­läng­lich be­kannt; ob das an den Ei­gen­ar­ten des Pro­gram­mie­rens oder der Pro­gram­mie­rer liegt (oder gar an den Ge­ge­ben­hei­ten der Neu­zeit wie der Zu­sam­men­ar­beit via In­ter­net, ist eine of­fe­ne Frage. Ver­schie­de­ne Ideen wie Ex­tre­me Pro­gramming schla­gen un­kon­ven­tio­nel­le An­sät­ze vor.

Die Soft­ware des An­ony­mi­sie­rungs­diens­tes AN.ON ist in neuer Ver­si­on ver­füg­bar. Heise be­rich­tet au­ßer­dem, daß die Be­trei­ber mit aus­län­di­schen Pro­vi­dern in Kon­takt ste­hen, um wei­te­re Mix-Kas­ka­den über Rech­ner au­ßer­halb Deutsch­lands auf­bau­en zu kön­nen.

Die Pe­ti­ti­on zum Ver­bot von Stimm­com­pu­tern hatte ges­tern noch rund 500 Stim­men - heute früh sind es schon über 2100. Also: Ein­tra­gen, wei­ter­sa­gen! Im ei­ge­nen Blog, auf der Web­sei­te, etc. pu­blik ma­chen (et­li­che Blogs und auch News­sei­ten wie Golem sind schon dabei)! Im­mer­hin geht es ja nicht nur um "ir­gend­was", son­dern um eine brei­te Ein­falls­schnei­se für groß­flä­chi­gen Wahl­be­trug...

Wie man ja un­längst sehen konn­te, sind Wahl­ma­schi­nen eine höchst un­si­che­re Kiste. Wer der Mei­nung ist, daß man daher auf Wahl­com­pu­ter ver­zich­ten soll­te, der soll­te diese On­line-Pe­ti­ti­on des Bun­des­ta­ges gegen Stimm­com­pu­ter un­ter­zeich­nen. Die Zeich­nung ist bis zum 28.11. mög­lich - also: Ein­tra­gen! Wei­ter­sa­gen! Dies ist eine un­kom­pli­zier­te Form, seine Mei­nung der rich­ti­gen Stel­le ge­gen­über zu äu­ßern!

So­ci­al Net­wor­king Ex­po­ses You To Ha­ckers and Iden­ti­ty Thie­ves - so ti­tu­liert die Web­sei­te "Tech­News Daily". Wer hätte das ge­dacht: Wenn ich In­for­ma­tio­nen über mich, was ich tue und wen ich kenne öf­fent­lich mache, kön­nen das nicht nur liebe Leute, son­dern auch Per­so­nen mit kri­mi­nel­ler En­er­gie lesen... schier nicht zu fas­sen. Un­glaub­lich. Brea­king News. Fefe würde hier­für den "Cap­tain Ob­vious Award" ver­ge­ben...

Der "Un­glücks­tag" ist ein guter Anlaß, sich Ge­dan­ken zu ma­chen, was alles schief gehen kann. Goog­le könn­te sein "do no evil" ver­ges­sen, von Be­hör­den zur Da­ten­her­aus­ga­be ge­zwun­gen wer­den, ge­hackt wer­den - oder einem ähn­li­chen Lap­sus wie AOL an­heim­fal­len.

Trotz aller Kri­tik sieht man sich im Jus­tiz­mi­nis­te­ri­um mit dem An­ti-Ha­cker-Tool-Ge­setz auf dem rich­ti­gen Weg. Das Ge­setz wird den Be­sitz, die Her­stel­lung und Wei­ter­ga­be von "Ha­cker-Tools" unter Stra­fe stel­len. Was aber ist ein "Ha­cker-Tool"? Im Ge­setz­ent­wurf (ein Glück, daß die PDF-Da­tei die Num­mer 1317 und nicht 1337 trägt - an­sons­ten hätte man wohl von ver­schärf­tem Sar­kas­mus spre­chen müs­sen...) wird hier auf die Pa­ra­gra­phen 202a und 202b ver­wie­sen - diese be­han­deln das Ver­schaf­fen von Zu­griff auf (be­son­ders ge­si­cher­te) Daten sowie das Ab­fan­gen von Daten be­han­delt. Pro­gram­me, deren Zweck also das Ver­schaf­fen von Zu­griff auf Daten oder das Ab­fan­gen von Daten ist, sind also nach die­sen "ob­jek­ti­ven" (Zitat!) Kri­te­ri­en Ha­cker-Tools.

...​nicht so heiß ge­ges­sen, wie's ge­kocht wird? Die­ser Be­richt liest sich doch recht ent­span­nend, ver­gli­chen mit den dunk­len Theo­ri­en über Ein­schüch­te­run­gen von TOR-Node-Be­trei­bern in Deutsch­land.

Heise be­rich­tet, daß Ar­nold Schwar­ze­negger in sei­nem Amt als Gou­ver­neur von Ka­li­for­ni­en ein Ge­setz zum Schutz pri­va­ter Daten ge­kippt hat. Das Ge­setz sah vor, daß Per­so­nal­do­ku­men­te mit RFID-Chip ma­ni­pu­la­ti­ons- und ko­pier­ge­schützt sein müs­sen. Au­ßer­dem wäre eine ver­schlüs­sel­te Ver­bin­dung beim Aus­le­sen der Daten ver­pflich­tend ge­we­sen. Eben­falls wäre in die­sem Ge­setz ver­an­kert ge­we­sen, daß der Be­sit­zer des Do­ku­ments Kon­trol­le dar­über haben muß, wann die In­for­ma­tio­nen aus­ge­le­sen wer­den dür­fen.

Die nie­der­län­di­sche In­itia­ti­ve "Wij ver­trou­wen stem­com­pu­ters niet" (Wir ver­trau­en Wahl­com­pu­tern nicht) hat heute ihre Ana­ly­se der in den Nie­der­lan­de ver­wen­de­ten Ne­dap-Wahl­com­pu­ter pu­bli­ziert. Die Ana­ly­se (auf Eng­lisch) ist so de­tail­liert wie ver­hee­rend; of­fen­bar wurde le­dig­lich auf "se­cu­ri­ty by ob­scu­ri­ty" - näm­lich die Ver­wen­dung pro­prie­tä­rer Hard­ware - ver­traut. Der CCC for­dert kon­se­quen­ter­wei­se ein Ver­bot von Wahl­com­pu­tern in Deutsch­land.

Admin pass­word se­cu­ri­ty 'abys­mal' - so ti­telt ein Ar­ti­kel bei The Re­gis­ter. Eine Stu­die be­sagt, daß 42% der Paß­wör­ter pri­vi­li­ger­ter Ac­counts nicht re­gel­mä­ßig ge­än­dert wer­den. Da fragt man sich: Wo ist das Pro­blem? Was ist un­si­che­rer - ein ein­ma­lig ge­setz­tes, gutes Paß­wort, oder aber ein re­gel­mä­ßig ge­än­der­tes, das dann ent­we­der zu ein­fach ist oder man es auf­schrei­ben muß, weil man es sich in­ner­halb der Gül­tig­keits-Zeit­span­ne nicht ein­prä­gen kann?

Air­port Se­cu­ri­ty - The Game. Schlüp­fe in die Rolle eines Si­cher­heits­be­am­ten und flu­che über die sich stän­dig än­dern­den Be­stim­mun­gen, was an Bord er­laubt ist und was nicht - ge­nau­so wie die Pas­sa­gie­re, wenn sie zu lange war­ten oder man die fal­schen Sa­chen ab­nimmt, bzw. ge­nau­so wie Dein Chef, wenn etwas fal­sches durch­ge­winkt wird.

Die­ser Ar­ti­kel der Com­pu­ter­wo­che und Tech­world be­rich­ten über die Keyno­te von Bruce Schnei­er auf der Hack in the Box se­cu­ri­ty con­fe­rence. Je kom­ple­xer Com­pu­ter­sys­te­me wer­den, desto höher die Wahr­schein­lich­keit für ir­gend­wel­che Schwach­stel­len. Das Haupt­pro­blem aber sei, daß die Her­stel­ler der Sys­te­me die Fol­gen der Se­cu­ri­ty-Pro­ble­me oft nicht aus­ba­den mü­ß­ten, wes­halb die Mo­ti­va­ti­on, in Si­cher­heit zu in­ves­tie­ren, ent­spre­chend klein sei.

Im Zuge der Be­schlag­nah­mung meh­re­rer TOR-Ser­ver wurde auch der AN.​ON-Ser­ver des ULD vom Netz ge­nom­men - was die Be­trei­ber aber erst fünf Tage spä­ter er­fuh­ren. Al­ler­dings fragt man sich, ob hier nicht der fal­sche er­wischt wurde: Ge­ra­de bei AN.​ON ver­steht man die Lage der Er­mitt­lungs­be­hör­den, wes­halb man Funk­tio­nen vor­hält, die im Be­darfs­fall ein sehr se­lek­ti­ves Pro­to­kol­lie­ren er­lau­ben. Von die­sem Fea­ture wurde al­ler­dings bis dato nur sel­ten Ge­brauch ge­macht - der erste Vor­fall wurde sogar per rich­ter­li­cher Ver­fü­gung rück­gän­gig ge­macht. Da die AN.​ON-Pro­xies keine Log­da­tei­en füh­ren, ist die Be­schlag­nah­mung aus er­mitt­lungs­tech­ni­scher Sicht voll­kom­men über­flüs­sig. Wieso be­rei­tet die Staats­an­walt­schaft aus­ge­rech­net die­ser In­sti­tu­ti­on Ärger, die sich selbst eher als Al­li­ier­te denn als Geg­ner ver­steht und wo mit sach­li­chen Ar­gu­men­ten si­cher­lich mehr zu be­we­gen ge­we­sen wäre?

...​wenn die Staats­an­walt­schaft an­klopft - oder sogar ohne wei­te­res Fe­der­le­sens die Rech­ner be­schlag­nahmt. So be­rich­tet Heise von der Be­schlag­nah­mung meh­re­rer Tor-Ser­ver; im Gen­too-Fo­rum hatte sich be­reits ges­tern ein Be­trof­fe­ner zu Wort ge­mel­det. Das Un­wort "Kin­der­por­no­gra­fie" dürf­te sein üb­ri­ges dazu tun, daß die Pri­va­cy- und Vor­rats­da­ten­spei­cher-De­bat­te wie­der auf­flammt (im­mer­hin das Law-Blog äu­ßert sich kri­tisch zu den Vor­fäl­len).

Erst der Vor­wurf, die Bran­den­bur­ger CDU-Füh­rung hätte E-Mails ab­ge­hört - und nun das ganze zwei Zeh­ner­po­ten­zen grö­ßer: We­ni­ge Tage vor den Wah­len wird in Schwe­den ruch­bar, daß die schwe­di­sche li­be­ra­le Volks­par­tei die Rech­ner der re­gie­ren­den So­zi­al­de­mo­kra­ten aus­späh­te. Zu Wa­ter­ga­te-Zei­ten mußte man noch in das Par­tei­bü­ro ein­bre­chen, heute geht sowas be­quem über das In­ter­net...

Im Zei­chen des Ter­rors und der Ver­brei­tung von Kin­der­por­no­gra­fie (eben die ak­tu­el­le Samm­lung "böser Worte") for­der­te Schles­wig-Hol­steins Jus­tiz­mi­nis­ter Uwe Dö­ring (SPD) die Ein­stel­lung oder zu­min­dest Ein­stel­lung des An­ony­mi­sie­rungs­diens­tes AN.​ON. Es sei ein Un­ding, daß Kri­mi­nel­len mit Staats­kos­ten Hil­fe­stel­lung ge­leis­tet wer­den würde.

Wired hat im Ar­ti­kel Pri­va­cy de­ba­cle hall of fame die zehn übels­ten Pri­va­cy-Ver­feh­lun­gen no­mi­niert. Platz eins ist ein ty­pisch ame­ri­ka­ni­sches Pro­blem: Die "So­ci­al Se­cu­ri­ty Num­ber". Die So­zi­al­ver­si­che­rungs­num­mer dient als Au­then­ti­sie­rung und Iden­ti­fi­zie­rung für alles mög­li­che - wer sie kennt, kann damit jede Menge Schind­lu­der trei­ben.

Seit Frei­tag über­zieht ein Bot­net die­sen Blog mit Track­back-Spam (wie sinn­los - lan­det doch eh' im Spam­fil­ter...). Da ich keine Lust habe, den Spam re­gel­mä­ßig zu lö­schen, habe ich das Fea­ture vor­über­ge­hend de­ak­ti­viert.

Ob sich der gute Mensch wie der sprich­wört­li­che Buch­bin­der Wan­nin­ger fühl­te? Ein Mit­ar­bei­ter von Kas­per­s­ky war über eine Seite mit Kre­dit­kar­ten­num­mern ge­stol­pert, und woll­te sei­nen Fund um­ge­hend beim BKA mel­den; dum­mer­wei­se war es be­reits Frei­tag Nach­mit­tag, wes­halb sich das ganze als nicht allzu ein­fach ge­stal­te­te. Sein Blog­ein­trag, eben­so wie ein Be­richt in der Süd­deut­schen Zei­tung, lesen sich wie eine schlech­te Glos­se: "Die Kol­le­gen sind schon im Wo­chen­en­de, schi­cken sie uns doch eine Mail an info@​bka.​de"!

Mann mit Strumpf­mas­ke be­tritt am Sams­tag Vor­mit­tag einen Su­per­markt und schie­ßt in die Luft. Hys­te­ri­sche Sze­nen, Kun­den ren­nen krei­schend hin und her. Pa­nisch greift ein Mit­ar­bei­ter zum Te­le­fon und wählt den Not­ruf:

AOL spei­chert (zur Ver­bes­se­rung der Such­tech­no­lo­gie) die Such­an­fra­gen aller User für einen Monat. Ei­ni­ge wer­den (für ein spe­zi­el­les For­schungs­pro­gramm) drei Mo­na­te ge­spei­chert. Zu For­schungs­zwe­cken hatte AOL ei­ni­ge (laut NY Ti­mes-Ar­ti­kel: von 657000 Nut­zern) die­ser drei-Mo­nats-Da­ten zu­gäng­lich ge­macht; um die Pri­vat­sphä­re der Kun­den zu schüt­zen, wurde ihnen ein Pseud­onym zu­ge­ord­net.

Win32­Sec ist ein Tool des Cha­os-Treffs Bad Wald­see, mit dem auf ein­fa­che Weise ver­schie­de­ne un­nö­ti­ge Win­dows-Ser­vices, die via Netz er­reich­bar wären, ab­schal­ten kann. Fol­gend der sim­plen De­vi­se, daß ein Pro­gramm, das nicht läuft, keine wei­te­re Si­cher­heits­lü­cke auf­rei­ßen kann, dient die­ses Vor­ge­hen der Stei­ge­rung der Sys­tem­si­cher­heit (neben nütz­li­chen Ne­ben­ef­fek­ten wie schnel­le­rem Boot­vor­gang, etc.).

Nach einem Be­richt des Wired-Ma­ga­zi­nes wurde auf den ge­ra­de lau­fen­den Black­hat Brie­fings das Klo­nen des RFID-Chips eines E-Pas­ses vor­ge­führt. Ein wei­te­res Pro­jekt zeig­te, daß die Me­tall­schicht im De­ckel des Pas­ses, wel­che die ame­ri­ka­ni­schen E-Päs­se vor un­be­merk­tem Aus­le­sen schüt­zen soll, ihren Ef­fekt ver­fehlt, wenn der Paß nur einen Zen­ti­me­ter weit ge­öff­net ist; als An­wen­dungs­bei­spiel zeig­ten sie eine Dum­my-Bom­be (Video bei YouTube), die von einem be­stimm­ten Paß aus­ge­löst wurde. Nach dem "Smart Passport" die pas­sen­de "Smart Bomb"...

Spam- und Phis­hing­mails sieht man lei­der viel zu häu­fig. Einen un­frei­wil­li­gen Blick, wie die Ver­tei­ler­pro­gram­me funk­tio­nie­ren, er­hält man bei Spam von Leu­ten, die sogar zu un­fä­hig sind, ein Spam-Pro­gramm zu be­die­nen.

...​heute Vor­mit­tag war gegen 9:00 Uhr zu­nächst das Tep­pen­haus des Park­hau­ses, spä­ter das ganze Park­haus von der Po­li­zei ab­ge­sperrt. Ich hoffe ja, daß es nicht stimmt, aber den Stim­men im Haus nach hat man dort eine Lei­che ge­fun­den...

Das be­rich­tet ein Mit­ar­bei­ter des KIZ in der Ulmer News­grup­pe; er habe um 6:50h mit der Po­li­zei te­le­fo­niert - dort wurde ihm ge­sagt, die Uni sei nicht mehr ab­ge­sperrt.

Die Po­li­zei hat in­zwi­schen eine Such­mel­dung nach dem Tat­ver­däch­ti­gen Fre­de­rik Haase her­aus­ge­ge­ben. In­for­ma­tio­nen di­rekt an die Po­li­zei, keine Ver­su­che, ihn selbst an­zu­spre­chen - er ist aller Wahr­schein­lich­keit nach noch immer be­waff­net.

So... Und was macht ein In­for­ma­ti­ker, wenn er einen Namen in die Fin­ger be­kommt? Rich­tig, in Goog­le ein­ge­ben :-) Und dabei stößt man dann auch auf das hier; na­tür­lich kann es sich auch um eine zu­fäl­li­ge Na­mens­kol­li­si­on han­deln... schwer ma­ka­ber ist es aber al­le­mal. Dis­kus­sio­nen über die Ge­fah­ren von Ego-Shoo­tern bitte nach /dev/null...

Up­date: Unter dem an­ge­ge­be­nen Ama­zon-Link be­fand sich auch eine Re­zen­si­on des Ego-Shoo­ters "Day of De­feat". Of­fen­sicht­lich wurde diese von Ama­zon ge­löscht. im Goog­le-Ca­che fin­det man mo­men­tan noch eine Kopie.

Ob die Uni mor­gen wie­der be­tret­bar sein wird, ist noch nicht klar - in der Uni-News­grup­pe wird zwar be­rich­tet, daß die An­zahl an Po­li­zis­ten stark re­du­ziert sei; laut einem Kol­le­gen, der um 19h bei der ört­li­chen Po­li­zei nach­ge­fragt hat, ist die Uni aber wei­ter­hin ge­sperrt.

Uni ge­räumt

So, um ca. 11:20h habe ich das Büro (und die Uni) ver­las­sen. Im Gang traf ich dann einen Po­li­zis­ten mit ku­gel­si­che­rer Weste an, der die Pas­san­ten an­raunz­te, daß es sich um einen Po­li­zei­ein­satz han­del­te und das Ge­bäu­de um­ge­hend zu ver­las­sen sei. An den Not­fall­plä­nen und der Be­nach­rich­ti­gung der Mit­ar­bei­ter muß die Uni noch ar­bei­ten...

Manch­mal frage ich mich, ob die Uni nicht doch ein ge­fähr­li­cher Ar­beits­platz ist. Vor der Mensa scha­ren sich ge­ra­de seit 10h die Po­li­zei­kräf­te - die­ses Foto ist 30 Mi­nu­ten alt, in­zwi­schen sind ca. 30 Po­li­zei­fahr­zeu­ge da. Der Ein­gang Süd wurde ge­räumt. Über der Uni kreist ein Po­li­zei-He­li, auf den Dä­chern der Uni wur­den schon schwar­ze Ge­stal­ten mit ku­gel­si­che­ren Wes­ten ge­sich­tet.

Ja, na­tür­lich sind sol­che Tests Nonse... aber trotz­dem gibt es ir­gend­wie zu den­ken :)

Eine neue Spiel­art des So­ci­al En­gi­nee­rings: An­statt Be­nut­zer per Te­le­fon oder E-Mail zu über­zeu­gen, ein be­stimm­tes Pro­gramm her­un­ter­zu­la­den und zu star­ten, haben die Mit­ar­bei­ter einer Si­cher­heits­fir­ma ge­sam­mel­te USB-Sticks (al­le­samt alte Wer­be­ge­schen­ke) vor dem Fir­men­ge­län­de der ent­spre­chen­den Firma "ver­lo­ren" (sprich: ver­teilt). Auf den Sticks be­fand sich die ent­spre­chen­de Spio­na­ge­soft­ware; die Neu­gier­de der glück­li­chen Fin­der tat ihr üb­ri­ges.

Das Bun­des­ver­fas­sungs­ge­richt hat ge­ur­teilt, daß die Ras­ter­fahn­dung nach is­la­mis­ti­schen Schlä­fern vom Ok­to­ber 2001 gegen das Recht auf in­for­ma­tio­nel­le Selbst­be­stim­mung ver­stieß. Im Ur­teils­spruch wurde die Ver­wen­dung der Ras­ter­fahn­dung ein­ge­schränkt: Sie sei künf­tig nur zu­läs­sig, wenn eine "kon­kre­te Ge­fahr" z.B. für die Si­cher­heit der Re­pu­blik vor­liegt.

Das Wired-Ma­ga­zin be­rich­tet über meh­re­re reale RFID-Hacks. Es ist er­schre­ckend, wie blau­äu­gig die Tech­nik ein­ge­setzt wird.

Ein Ge­schäfts­mann nutzt RFID mit einem solch pri­mi­ti­ven Ver­fah­ren für die Tür­schlös­ser der Firma, ge­nau­so wie die ID eines im­plan­tier­ten RFID-Chips di­rekt ver­wen­det wird; ein­fa­che RFID-Tags be­inhal­ten in einem Laden Pro­dukt­na­men und -preis; eine Bi­blio­thek nutzt wie­der­be­schreib­ba­re RFID-Tags zum Ar­chi­vie­ren der Bü­cher.

Wie ZDNet UK ges­tern be­rich­tet, drängt man in Eng­land mo­men­tan auf die Um­set­zung einer Ge­set­zes­vor­la­ge (RIPA) aus dem Jahr 2000. Nach die­sem Ge­setz kön­nen Straf­ver­fol­gungs­be­hör­den die Her­aus­ga­be von Schlüs­seln und Paß­wör­tern unter An­dro­hung einer bis zu zwei­jäh­ri­gen Ge­fäng­nis­stra­fe er­zwin­gen.

Phis­hing ist hin­läng­lich be­kannt: Der arg­lo­se Be­nut­zer er­hält eine Mail, in der er (mehr oder min­der ge­schickt) auf­ge­for­dert wird, eine be­stimm­te Web­sei­te zu be­su­chen. Heise On­line be­rich­tet von einem Me­di­en­wech­sel: Statt einer Web­sei­te war die Te­le­fon­num­mer der Bank­hot­line an­ge­ge­ben; dort er­war­te­te den An­ru­fer ein Sprach­steu­er­sys­tem, das ihn auf­for­der­te, Kon­to­num­mer und PIN ein­zu­ge­ben.

Pri­vat­heit und Trans­pa­renz sind die Krank­hei­ten, an denen eine De­mo­kra­tie mit ak­ti­ver, in­no­va­ti­ver und agi­ler Re­gie­rung stirbt.

Wil­liam Stuntz ver­tritt die These, daß Trans­pa­renz und Pri­vat­heit in einem Zeit­al­ter des Ter­rors nicht nur un­er­schwing­li­che Lu­xus­gü­ter, son­dern sogar per­ver­se Ideen sind. Sei­ner Mei­nung nach zwin­gen die Re­ge­lun­gen, die die Pri­vat­heit er­hal­ten und für Trans­pa­renz im Re­gie­rungs­ap­pa­rat sor­gen, einen Staat dazu, auf noch schlim­me­re Mit­tel zu­rück­zu­grei­fen: Wenn eine Bun­des­be­hör­de keine Te­le­fo­ne ab­hö­ren darf, dann muß eben ein SEK an­rü­cken und die Leute zur Be­fra­gung mit­neh­men. Im Kampf gegen den Ter­ror braucht man eben jede In­for­ma­ti­on, und nach Stuntz' Ar­gu­men­ta­ti­on muß einem Staat auch jedes Mit­tel recht sein, an diese zu ge­lan­gen.

Car­toons…

...​von Clay Ben­nett. Zwar schon vor ein paar Jah­ren ge­zeich­net, aber des­we­gen nicht min­der ak­tu­ell:

Goog­le ist ein tol­les Spiel­zeug (auch die CIA mußte dies ja un­längst mit Er­schre­cken fest­stel­len, als über 2000 Agen­ten in ers­ter Linie mit Hilfe ge­schick­tem Goo­gelns ent­tarnt wur­den). Wer sich auch im Goog­le Hacking be­tä­ti­gen will - oder ein­fach nur so ge­schick­ter su­chen will, dem sei diese Seite mit einer Be­schrei­bung ver­schie­de­ner Goog­le-Such­funk­tio­nen emp­foh­len - ein prima "Cheat­s­heet" zum Nach­schla­gen.

Immer wie­der schön zu sehen, wie ein sinn­vol­ler Dienst wie Track­back Links miß­braucht wird. Seit heute früh um 8h wird die Seite im Mi­nu­ten­takt mit Track­backs von Rech­nern der IPs 85.​255.​113.​xx/​24 mit Track­back Spam über­zo­gen. Schön, daß die Spam­mer-Such­bots mich auch ge­fun­den haben :-( Es lebe die "mo­dera­te"-Funk­ti­on...

Ir­gend­wie hatte man es doch fast er­war­tet - Goog­le hat na­tür­lich kei­nen 15jäh­ri­gen ein­ge­stellt. Die Falsch­in­for­ma­ti­on stamm­te von einem ex­pe­ri­men­tier­freu­di­gem 15jäh­ri­gem, der beim Stö­bern im Netz auf einen Ar­ti­kel ge­sto­ßen war, wie man Googles Ra­ting-Sys­tem mit Hilfe fin­gier­ter Pres­se­mit­tei­lung aus dem Tritt brin­gen könn­te. Er lan­cier­te eine selbst­ge­schrie­be­ne Mel­dung via I-News­wire und Digg.​com.

Be­reits im Ok­to­ber wies das BSI in sei­ner Stu­die zur Si­cher­heit von VoIP auf die Ab­hör­pro­ble­ma­tik hin. Vor we­ni­gen Tagen ver­öf­fent­lich­te der Bun­des­da­ten­schutz­be­auf­trag­te ein Falt­blatt mit Hin­wei­sen auf die Si­cher­heit von VoIP - we­ni­ger tech­nisch, und mit dem mah­nen­den Hin­weis, vor allem bei un­ge­si­cher­ten Funk­net­zen und/oder WLAN Hot­spots be­son­de­re Vor­sicht wal­ten zu las­sen.

Die Amis haben es vor­ge­macht, des­halb muß es die Welt nach­ma­chen: Im Juni soll im ja­pa­ni­schen Par­la­ment eine Re­ge­lung ver­ab­schie­det wer­den, die die Ab­nah­me von Fin­ger­ab­drü­cken und das Fo­to­gra­fie­ren von ein­rei­sen­den Aus­län­dern vor­schreibt. Von der er­ken­nungs­dienst­li­chen Be­hand­lung aus­ge­nom­men sind Ein­hei­mi­sche sowie Aus­län­der, die dau­er­haft in Japan leben.

Der Flash-Film Epic 2015 zeich­net eine kühle, aber nicht un­plau­si­ble Zu­kunfts­vi­si­on: Was wäre, wenn Nach­rich­ten nicht mehr von Jour­na­lis­ten er­stellt, son­dern durch ma­schi­nel­le Ana­ly­se von Blogs und an­de­ren per­sön­li­chen Kom­men­ta­ren au­to­ma­tisch er­stellt wer­den - und das auch noch per­sön­lich zu­ge­schnit­ten auf die Vor­lie­ben des Be­nut­zers?

Eine Se­cu­ri­ty-Mel­dung, die es sogar bis in die Ta­ges­schau ge­schafft hat: Ges­tern star­te­te der Por­tal­dienst Bür­ger-CERT. Über Mai­ling­lis­ten soll der durch­schnitt­li­che Com­pu­ter­be­nut­zer auf akute Si­cher­heits­pro­ble­me hin­ge­wie­sen wer­den. Ein 14­tä­gi­ger News­let­ter faßt die Mel­dun­gen zu­sam­men und soll wei­te­re all­ge­mei­ne Hin­wei­se rund um die Rech­ner­si­cher­heit geben.

Im Hand­ler's Diary des ISC fin­det sich die­ser Be­richt über "Pro­fes­sor Pa­cket­s­lin­ger": In sei­nem Kurs wurde den Stu­den­ten die (be­no­te­te!) Auf­ga­be er­teilt, einen Rech­ner ihrer Wahl einem vul­nera­bi­li­ty scan zu un­ter­zie­hen. Uni­ver­si­täts­ei­ge­ne Rech­ner aus­ge­schlos­sen, ver­steht sich - sonst droht die Uni­ver­si­tät mit Ex­ma­tri­ku­la­ti­on.

Pro­be­hal­ber habe ich mal die Track­back-Funk­ti­on ak­ti­viert. Nach­dem bis dato der Kom­men­tar-Spam aus­ge­blie­ben ist (zum Glück!), bin ich da halb­wegs guter Dinge.

Data on the loose

Wenn Daten ein­mal pu­blik sind, ist es na­he­zu un­mög­lich, sie wie­der "ein­zu­fan­gen". Über den Ver­such der US-Ge­heim­diens­te, frei ver­füg­ba­re Do­ku­men­te auf 'ver­trau­lich' zu­rück­zu­stu­fen, konn­te man noch lä­cheln (und spot­ten: "Aid ver­gleicht die Be­mü­hun­gen mit dem Ver­such, eine Zahn­pas­ta wie­der in ihre Tube zu­rück­zu­brin­gen"...), sorg­te nun ein "Da­ten­leck" dafür, daß ein an­ony­mer In­ter­view­part­ner der Wa­shing­ton Post plötz­lich doch nicht mehr so an­onym war.

Beim Blick in die Log­files fie­len ver­schie­de­ne Log­ein­trä­ge auf - ir­gend­je­mand (oder -et­was) sucht nach einer seit No­vem­ber be­kann­ten Schwach­stel­le im Mambo/Joom­la CMS. Es gab be­reits einen Wurm, der diese Lücke aus­nutzt: Elx­Bot such­te al­ler­dings via Goog­le nach ver­wund­ba­ren Ser­vern. Da auf mei­nen Kis­ten je­doch kein Mambo in­stal­liert ist, kön­nen meine Ma­schi­nen wohl kaum via Goog­le als sol­che iden­ti­fi­ziert wer­den...

Die Log­ein­trä­ge sehen fol­gen­der­ma­ßen aus (ge­sucht wird in wei­te­ren Pfa­den):

...​bie­ten mehr als genug Raum für Ver­schwö­rungs­theo­ri­en und Sci­ence-Fic­tion-Ge­schich­ten. Auf der an­de­ren Seite war zu­min­dest in der Ver­gan­gen­heit (z.B. bei der Ent­wick­lung von DES oder der Ent­de­ckung der dif­fe­ren­zi­el­len Kryp­t­ana­ly­se) der Wis­sens­vor­sprung der NSA im­mens.

Man könn­te Tor­Park als keine Va­ri­an­te von An­onym.​OS be­zeich­nen: Ein vor­kon­fi­gu­rier­tes Tor-Gate­way samt pas­send ein­ge­rich­te­tem Fi­re­fox zur In­stal­la­ti­on auf einem USB-Stick.

Prof. Kon­gehl, ers­ter Da­ten­schutz­be­auf­trag­ter Ba­den-Würt­tem­bergs, war bei SWR1 Leute zum Ge­spräch. Es ging um ak­tu­el­le Da­ten­schutz-Pro­ble­me wie die neuen Pässe oder die Ver­brei­tung von RFID-Chips. Kon­gehl faßte die Pro­ble­ma­tik schön zu­sam­men:

An­onym.​OS ist eine OpenBSD Li­ve-CD mit spe­zi­el­lem Fokus auf An­ony­mi­tät. Ziel der Dis­tri­bu­ti­on ist es, auf frem­den Sys­te­men (wie z.B. im In­ter­net-Ca­fe oder dem Ho­tel­rech­ner) ein mög­lichst hohes Maß an An­ony­mi­tät und Si­cher­heit zu er­rei­chen.

Die US-Re­gie­rung will Goog­le dazu zwin­gen, alle Such­an­fra­gen einer Woche her­aus­zu­ge­ben. Man will damit über­prü­fen, wie häu­fig Min­der­jäh­ri­ge mit "schäd­li­chen In­hal­ten" in Be­rüh­rung kom­men - ein frag­li­ches Un­ter­fan­gen, be­denkt man, daß laut ak­tu­el­len Mel­dun­gen die Such­ma­schi­nen nur ca. 10% des Webs er­fas­sen und der Zu­gang zu "schäd­li­chen In­hal­ten" häu­fig an­ders ge­schieht (Tips von Freun­den, Infos aus Foren, etc.) - ganz ab­ge­se­hen von der Tat­sa­che, daß po­pu­lä­re "schäd­li­che Such­wor­te" nicht zu den "schäd­li­chen In­hal­ten", son­dern le­dig­lich (Goog­le-Spamming sei dank) zu Dia­ler- und Mal­wa­re-ge­spick­ten Sei­ten füh­ren.

Mo­nen­tan sind zwei Feh­ler in Mi­cro­soft­pro­gram­men be­kannt, die eine ex­plo­si­ve Mi­schung dar­stel­len könn­ten: Der WMF-Bug und der TNEF-Bug in Out­look und Ex­ch­an­ge Ser­ver. Mit einer ent­spre­chen­den Mail ließe sich viel Schind­lu­der trei­ben - wie­vie­le Leute be­nut­zen Out­look, und wie­vie­le Fir­men nut­zen Ex­ch­an­ge als Ser­ver? Und falls doch an­de­re Soft­ware ein­ge­setzt wird, schlägt ein pas­sen­des WMF-Bild zu...