So, nachdem noch kein echter Schnee liegt, behelfen wir uns eben mit virtuellen Schneebällen. Elias hatte wohl nichts besseres zu tun, als mit Unmengen Schnee um sich zu werfen ;-) Na gut, nachdem zurückwerfen nicht gilt, kratze ich hiermit mal ein paar Schnee-Bits zusammen und seife damit mal tüchtig Bernhard (mit seinem Tech-Nonsense-Blog Tesserakt), die beiden Linux&Co-Tricks-Blogger Uli und Copton und die Familie Neis (wobei zumindest Valentin in Kanada inzwischen ausreichend Schnee zum weitermachen haben sollte) ein :-)

aSSL - Ajax Secure Service Layer soll nach eigener Darstellung "eine Technologie ähnlich wie SSL, nur ohne HTTPS" sein. Nette Idee, denke ich, mal einen Blick darauf werfen...

Ab und zu erwischt's einen einfach. In diesem Fall einen Bekannten von mir. Da der Vorfall recht schn einen Standardfall darstellt und man daran einige best practices festmachen kann, erzhle ich mal, was passiert ist.
Der Rechner, um den es ging, war ein vHost bei einem Gnstighoster, auf dem ein Webserver eine Handvoll Domnen von Freunden und Bekannten lagen. Alles fing damit an, da vom Provider eine Mail kam, da es mglicherweise Probleme mit dem monatilchen Trafficlimit geben knnte...

Effekte der Verschlüsselung

Es ist immer bequem, andere für sich arbeiten zu lassen :-) Frei nach diesem Motto beschreibt das SecuriTeam Blog eine Möglichkeit, URL-basierte Exploits von anderen ausführen zu lassen: Anstatt den entsprechend präparierten Link selbst aufzurufen, setzen sie ihn auf eine Webseite - und warten darauf, daß ein argloser Benutzer oder einer der vielen Suchmaschinen-Robots die URL abruft.

Gleich zwei Jubiläen an (fast) einem Tag: PGP wird 15 Jahre alt, die Firma PGP Inc. feiert das Erscheinen der Version 1.0 vor 15 Jahren - damals als Hobbyprojekt von Phil Zimmerman erschienen. Nahezu zeitgleich erscheint GPG in der Version 2.0. Die neue Version ist modularer als die 1er-Versionen aufgebaut, neben PGP-Mails gibt es nun auch Tools für S/MIME-Verschlüsselung.

USB-Sticks sind ein guter Platz, persönliche Daten mit sich zu tragen: Seien es Bookmarks, ssh-Keys oder die TANs des Konto - so hat man alles Wichtige immer dabei. Anwendungen, die nicht installiert werden müssen, machen das Leben sogar noch einfacher. Das haben wohl nun auch Wurmprogrammierer erkannt, meldet tagesschau.de (und bezieht sich damit wohl auf diese USB-Tools) - und die Schädlinge um entsprechende Funktionen angereichert: USB-Sticks werden mitunter komplett kopiert.

Update: Ein ausführlicherer Artikel hierzu findet sich bei rabenhorst.

Wer um Himmels Willen verbricht solche Überschriften? RFID being used to counter terror in Germany.

Bundesjustizministerin Zypries stellte ihren neuen Entwurf zur TK-Überwachung vor. Dem Heise-Artikel nach wurde sie dabei nicht müde, die Neuerungen klein zu reden: Auf dem "niedrigsten Level", die "wenigsten Datenarten", "nur zu repressiven Zwecken". Das haarsträubendste Argument:

Offensichtlich haben die Ersteller der Software nicht damit gerechnet, daß eine Petition mehr als 25.000 Stimmen sammelt: Die Unterzeichner können nun "aus technischen Gründen" nicht mehr angezeigt werden. Eine Ersatzpetition ist eingereicht, bitte hier unterzeichnen!

Unter dem Titel "Nicht jede Stimme zählt" berichten die Heute-Nachrichten über die Wahlen in den USA. Dort werden immer häufiger Wahlcomputer eingesetzt - und die ersten Pannen ließen nicht lange auf sich warten; vor allem die "early votings" bereiten Probleme.

Wenn das nicht Ironie des Schicksals ist: Nach diesem Bericht bei DigitalLife wollte der Chef einer Firma, die optische Überwachungssysteme zur Gefahrenerkennung an Flughäfen herstellt, per Flugzeug zu einem Vortrag reisen. An seinem Abflugsflughafen befand sich eines der Systeme seiner Firma im Einsatz - und schlug bei ihm Alarm: Angeblich befänden sich Sprengstoffspuren an seiner Kleidung.

Unter diesem Motto könnte der aktuelle Thread bei Slashdot "How to manage a security breach?" stehen. Die Beschreibung des Vorfalls klingt nach einem Security-GAU: Auf Win98-Legacy-Systemen hat sich ein Wurm breitgemacht und gigabyteweise (möglicherweise sensitive) Daten zu einem Rechner in Osteuropa geschaufelt. Das ganze wurde von einer beauftragten Firma durch Zufall entdeckt, die Löcher sind gestopft - aber wie verfährt man nun weiter? Offizielle Benachrichtigung oder den Vorfall unter den Teppich kehren (in der Hoffnung, das nix schlimmeres passiert ist)?

TaoSecurity hat sechs Bücher über die Entwicklung sicherer Software rezensiert. Wer ein Buch über dieses Thema sucht, findet hier sicher ein paar Anhaltspunkte für seine Entscheidung.

Der aktuelle Stand der abgegebenen Stimmen bei der Petition gegen Wahlcomputer ist hier zu sehen:

Die Petition gegen Wahlcomputer gewinnt zwar stetig Stimmen, jedoch wird es beim momentanen Schnitt bis zur Zeichnungsfrist nicht ganz reichen, wie die folgende Grafik (Klick oder dieser Link führen zum Orginal) zeigt:

Daß das Entwickeln von Software etwas anders funktioniert als sonstige Ingenieurtätigkeiten ist hinlänglich bekannt; ob das an den Eigenarten des Programmierens oder der Programmierer liegt (oder gar an den Gegebenheiten der Neuzeit wie der Zusammenarbeit via Internet, ist eine offene Frage. Verschiedene Ideen wie Extreme Programming schlagen unkonventionelle Ansätze vor.

Die Petition (schon eingetragen? nein? nachholen!) hat es seit ihrem Start auf rund 14.500 Stimmen gebracht. Das Problem der Wahlcomputer bringt der Cartoon "der Wahlschrank" schön pointiert auf den Punkt (Bild anklicken):

Wie British Telecom und Bruce Schneier übereinstimmend berichten, wurde Counterpane Systems von der British Telecom übernommen. Bruce Schneier wird aber weiter an der Spitze der von ihm gegründeten Firma bleiben.

Die Software des Anonymisierungsdienstes AN.ON ist in neuer Version verfügbar. Heise berichtet außerdem, daß die Betreiber mit ausländischen Providern in Kontakt stehen, um weitere Mix-Kaskaden über Rechner außerhalb Deutschlands aufbauen zu können.

Die Petition zum Verbot von Stimmcomputern hatte gestern noch rund 500 Stimmen - heute früh sind es schon über 2100. Also: Eintragen, weitersagen! Im eigenen Blog, auf der Webseite, etc. publik machen (etliche Blogs und auch Newsseiten wie Golem sind schon dabei)! Immerhin geht es ja nicht nur um "irgendwas", sondern um eine breite Einfallsschneise für großflächigen Wahlbetrug...

Wie man ja unlängst sehen konnte, sind Wahlmaschinen eine höchst unsichere Kiste. Wer der Meinung ist, daß man daher auf Wahlcomputer verzichten sollte, der sollte diese Online-Petition des Bundestages gegen Stimmcomputer unterzeichnen. Die Zeichnung ist bis zum 28.11. möglich - also: Eintragen! Weitersagen! Dies ist eine unkomplizierte Form, seine Meinung der richtigen Stelle gegenüber zu äußern!

Das ISC berichtet in diesem Artikel über ein Paper, in dem vorgestellt wird, wie man die Anonymität beim Surfen via Tor aushebeln kann (Mirror hier). Gleich vorneweg: Dies ist kein Angriff auf Tor selbst, sondern auf Browser(teile), welche die Proxy-Einstellungen ignorieren.

Social Networking Exposes You To Hackers and Identity Thieves - so tituliert die Webseite "TechNews Daily". Wer hätte das gedacht: Wenn ich Informationen über mich, was ich tue und wen ich kenne öffentlich mache, können das nicht nur liebe Leute, sondern auch Personen mit krimineller Energie lesen... schier nicht zu fassen. Unglaublich. Breaking News. Fefe würde hierfür den "Captain Obvious Award" vergeben...

Es wird nicht nur nach Banken- sondern auch nach sonstigen Paßwörtern gephisht - unter anderem auch nach Paßwörtern bei MySpace, wobei die Phisher so dilletantisch waren und die gesammelten Daten für alle lesbar in einem browseable directory ablegten...

Der "Unglückstag" ist ein guter Anlaß, sich Gedanken zu machen, was alles schief gehen kann. Google könnte sein "do no evil" vergessen, von Behörden zur Datenherausgabe gezwungen werden, gehackt werden - oder einem ähnlichen Lapsus wie AOL anheimfallen.

Mit Google Code Search kann man auch gezielt nach Sicherheitsproblemen suchen... erinnert an die Google Hacking getaufte Strategie - Neues Feature, neues Glück.

Trotz aller Kritik sieht man sich im Justizministerium mit dem Anti-Hacker-Tool-Gesetz auf dem richtigen Weg. Das Gesetz wird den Besitz, die Herstellung und Weitergabe von "Hacker-Tools" unter Strafe stellen. Was aber ist ein "Hacker-Tool"? Im Gesetzentwurf (ein Glück, daß die PDF-Datei die Nummer 1317 und nicht 1337 trägt - ansonsten hätte man wohl von verschärftem Sarkasmus sprechen müssen...) wird hier auf die Paragraphen 202a und 202b verwiesen - diese behandeln das Verschaffen von Zugriff auf (besonders gesicherte) Daten sowie das Abfangen von Daten behandelt. Programme, deren Zweck also das Verschaffen von Zugriff auf Daten oder das Abfangen von Daten ist, sind also nach diesen "objektiven" (Zitat!) Kriterien Hacker-Tools.

...nicht so heiß gegessen, wie's gekocht wird? Dieser Bericht liest sich doch recht entspannend, verglichen mit den dunklen Theorien über Einschüchterungen von TOR-Node-Betreibern in Deutschland.

Heise berichtet, daß Arnold Schwarzenegger in seinem Amt als Gouverneur von Kalifornien ein Gesetz zum Schutz privater Daten gekippt hat. Das Gesetz sah vor, daß Personaldokumente mit RFID-Chip manipulations- und kopiergeschützt sein müssen. Außerdem wäre eine verschlüsselte Verbindung beim Auslesen der Daten verpflichtend gewesen. Ebenfalls wäre in diesem Gesetz verankert gewesen, daß der Besitzer des Dokuments Kontrolle darüber haben muß, wann die Informationen ausgelesen werden dürfen.

Die niederländische Initiative "Wij vertrouwen stemcomputers niet" (Wir vertrauen Wahlcomputern nicht) hat heute ihre Analyse der in den Niederlande verwendeten Nedap-Wahlcomputer publiziert. Die Analyse (auf Englisch) ist so detailliert wie verheerend; offenbar wurde lediglich auf "security by obscurity" - nämlich die Verwendung proprietärer Hardware - vertraut. Der CCC fordert konsequenterweise ein Verbot von Wahlcomputern in Deutschland.

Admin password security 'abysmal' - so titelt ein Artikel bei The Register. Eine Studie besagt, daß 42% der Paßwörter priviligerter Accounts nicht regelmäßig geändert werden. Da fragt man sich: Wo ist das Problem? Was ist unsicherer - ein einmalig gesetztes, gutes Paßwort, oder aber ein regelmäßig geändertes, das dann entweder zu einfach ist oder man es aufschreiben muß, weil man es sich innerhalb der Gültigkeits-Zeitspanne nicht einprägen kann?

Airport Security - The Game. Schlüpfe in die Rolle eines Sicherheitsbeamten und fluche über die sich ständig ändernden Bestimmungen, was an Bord erlaubt ist und was nicht - genauso wie die Passagiere, wenn sie zu lange warten oder man die falschen Sachen abnimmt, bzw. genauso wie Dein Chef, wenn etwas falsches durchgewinkt wird.

Dieser Artikel der Computerwoche und Techworld berichten über die Keynote von Bruce Schneier auf der Hack in the Box security conference. Je komplexer Computersysteme werden, desto höher die Wahrscheinlichkeit für irgendwelche Schwachstellen. Das Hauptproblem aber sei, daß die Hersteller der Systeme die Folgen der Security-Probleme oft nicht ausbaden müßten, weshalb die Motivation, in Sicherheit zu investieren, entsprechend klein sei.

Im Zuge der Beschlagnahmung mehrerer TOR-Server wurde auch der AN.ON-Server des ULD vom Netz genommen - was die Betreiber aber erst fünf Tage später erfuhren. Allerdings fragt man sich, ob hier nicht der falsche erwischt wurde: Gerade bei AN.ON versteht man die Lage der Ermittlungsbehörden, weshalb man Funktionen vorhält, die im Bedarfsfall ein sehr selektives Protokollieren erlauben. Von diesem Feature wurde allerdings bis dato nur selten Gebrauch gemacht - der erste Vorfall wurde sogar per richterlicher Verfügung rückgängig gemacht. Da die AN.ON-Proxies keine Logdateien führen, ist die Beschlagnahmung aus ermittlungstechnischer Sicht vollkommen überflüssig. Wieso bereitet die Staatsanwaltschaft ausgerechnet dieser Institution Ärger, die sich selbst eher als Alliierte denn als Gegner versteht und wo mit sachlichen Argumenten sicherlich mehr zu bewegen gewesen wäre?

Die Antwort der Ermittlungsbehörden dürfte wohl ein "Leider nein" sein. Aus ihrer Sicht dürften Anonymisierungsdienste eine lästige Erschwerung der Ermittlungen sein. Konnte man sich im Falle von JAP auf eine Protokollierung bei Bedarf einigen, ist die bei TOR prinzipiellbedingt nicht möglich.

...wenn die Staatsanwaltschaft anklopft - oder sogar ohne weiteres Federlesens die Rechner beschlagnahmt. So berichtet Heise von der Beschlagnahmung mehrerer Tor-Server; im Gentoo-Forum hatte sich bereits gestern ein Betroffener zu Wort gemeldet. Das Unwort "Kinderpornografie" dürfte sein übriges dazu tun, daß die Privacy- und Vorratsdatenspeicher-Debatte wieder aufflammt (immerhin das Law-Blog äußert sich kritisch zu den Vorfällen).

Das ist der Tenor dieses Artikels bei Businessweek.com. Um ihre Dienste zu verbessern un d zu verfeinern (jedenfalls das offizielle Argument), tracken und speichern die großen Suchmaschinen-Anbieter die Anfragen ihrer Nutzer - über einen unbekannten Zeitraum hinweg.

Slashdot referenziert den Artikel einer schwedischen Zeitung, laut dem der Einbruch über ein "schwaches Paßwort" stattfand - Username=Passwort.

Erst der Vorwurf, die Brandenburger CDU-Führung hätte E-Mails abgehört - und nun das ganze zwei Zehnerpotenzen größer: Wenige Tage vor den Wahlen wird in Schweden ruchbar, daß die schwedische liberale Volkspartei die Rechner der regierenden Sozialdemokraten ausspähte. Zu Watergate-Zeiten mußte man noch in das Parteibüro einbrechen, heute geht sowas bequem über das Internet...

Im Zeichen des Terrors und der Verbreitung von Kinderpornografie (eben die aktuelle Sammlung "böser Worte") forderte Schleswig-Holsteins Justizminister Uwe Döring (SPD) die Einstellung oder zumindest Einstellung des Anonymisierungsdienstes AN.ON. Es sei ein Unding, daß Kriminellen mit Staatskosten Hilfestellung geleistet werden würde.

Wired hat im Artikel Privacy debacle hall of fame die zehn übelsten Privacy-Verfehlungen nominiert. Platz eins ist ein typisch amerikanisches Problem: Die "Social Security Number". Die Sozialversicherungsnummer dient als Authentisierung und Identifizierung für alles mögliche - wer sie kennt, kann damit jede Menge Schindluder treiben.

Seit Freitag überzieht ein Botnet diesen Blog mit Trackback-Spam (wie sinnlos - landet doch eh' im Spamfilter...). Da ich keine Lust habe, den Spam regelmäßig zu löschen, habe ich das Feature vorübergehend deaktiviert.

Nach der Suchanfragen-Panne rollen nun Köpfe: Heise berichtet, daß neben dem verantwortlichen Mitarbeiter und dessen direkten Vorgesetzten nun auch die Technologie-Chefin ihren Hut nehmen mußte.

Ob sich der gute Mensch wie der sprichwörtliche Buchbinder Wanninger fühlte? Ein Mitarbeiter von Kaspersky war über eine Seite mit Kreditkartennummern gestolpert, und wollte seinen Fund umgehend beim BKA melden; dummerweise war es bereits Freitag Nachmittag, weshalb sich das ganze als nicht allzu einfach gestaltete. Sein Blogeintrag, ebenso wie ein Bericht in der Süddeutschen Zeitung, lesen sich wie eine schlechte Glosse: "Die Kollegen sind schon im Wochenende, schicken sie uns doch eine Mail an info@bka.de"!

Mann mit Strumpfmaske betritt am Samstag Vormittag einen Supermarkt und schießt in die Luft. Hysterische Szenen, Kunden rennen kreischend hin und her. Panisch greift ein Mitarbeiter zum Telefon und wählt den Notruf:

Die Firefox-Extension "FoxyProxy" erlaubt eine dynamische Proxy-Konfiguration - anstatt pauschal einen Proxy "für alles" zu konfigurieren, schickt das Modul anhand von Wildcard-Ausdrücken die Seitenanfragen durch verschiedene, konfigurierbare Proxies.

AOL speichert (zur Verbesserung der Suchtechnologie) die Suchanfragen aller User für einen Monat. Einige werden (für ein spezielles Forschungsprogramm) drei Monate gespeichert. Zu Forschungszwecken hatte AOL einige (laut NY Times-Artikel: von 657000 Nutzern) dieser drei-Monats-Daten zugänglich gemacht; um die Privatsphäre der Kunden zu schützen, wurde ihnen ein Pseudonym zugeordnet.

Win32Sec ist ein Tool des Chaos-Treffs Bad Waldsee, mit dem auf einfache Weise verschiedene unnötige Windows-Services, die via Netz erreichbar wären, abschalten kann. Folgend der simplen Devise, daß ein Programm, das nicht läuft, keine weitere Sicherheitslücke aufreißen kann, dient dieses Vorgehen der Steigerung der Systemsicherheit (neben nützlichen Nebeneffekten wie schnellerem Bootvorgang, etc.).

Nach einem Bericht des Wired-Magazines wurde auf den gerade laufenden Blackhat Briefings das Klonen des RFID-Chips eines E-Passes vorgeführt. Ein weiteres Projekt zeigte, daß die Metallschicht im Deckel des Passes, welche die amerikanischen E-Pässe vor unbemerktem Auslesen schützen soll, ihren Effekt verfehlt, wenn der Paß nur einen Zentimeter weit geöffnet ist; als Anwendungsbeispiel zeigten sie eine Dummy-Bombe (Video bei YouTube), die von einem bestimmten Paß ausgelöst wurde. Nach dem "Smart Passport" die passende "Smart Bomb"...

Heute ist System Administrator Appreciation Day! Die Species der Sysadmins gehört zu denjenigen, von denen man nix merkt, wenn alles funkioniert, und die nur Murren und Geschimpfe abbekommen, wenn mal was nicht tut.

Die Sendung "Betrifft: Wer hat meine Daten? Wie wir täglich ausspioniert werden" wird in den kommenden Tagen auf 1extra wiederholt (Danke an Steffen für den Hinweis).

"The war for privacy may be lost. But the battle over what to do with all that data has just begun." Ich hoffe, daß es noch nicht soweit ist - dennoch sind die Argumente, die dieser Artikel bei redherring.com beschreibt, durchaus lesenswert.

Spam- und Phishingmails sieht man leider viel zu häufig. Einen unfreiwilligen Blick, wie die Verteilerprogramme funktionieren, erhält man bei Spam von Leuten, die sogar zu unfähig sind, ein Spam-Programm zu bedienen.

...heute Vormittag war gegen 9:00 Uhr zunächst das Teppenhaus des Parkhauses, später das ganze Parkhaus von der Polizei abgesperrt. Ich hoffe ja, daß es nicht stimmt, aber den Stimmen im Haus nach hat man dort eine Leiche gefunden...

Bei VulnerabilityAssessment.co.uk gibt es eine Mindmap rund um das Vorgehen beim Penetration Testing (Freemind-Sourcen dazu hier). Cool.

Phishing-Mails gehören inzwischen (leider!) schon fast zum Alltag. Die Citibank in Amerika setzt inzwischen 2-Faktor-Authentisierung ein; wie schon vor längerer Zeit angemerkt, führt dies nur dazu, daß der Angriff zeitnah - nämlich innerhalb der Gültigkeit des Credentials - ausgeführt werden muß.

...so titelt inzwischen dieser Artikel von SWR. Auch die Südwest-Presse veröffentlichte einen Artikel ähnlichen Inhalts. Diesem Foren-Eintrag bei Südwest-Aktiv zufolge wurde er in Lehr in der Nähe eines Kindergartens aufgefunden; zuvor hatte die Polizei Lehr (und wohl auch andere Gegenden in der Nähe der Uni) abgesucht.

Mein Zimmernachbar Sven kam eben vom Parkhaus - und brachte dieses Foto mit (danke für das Bild!). Die ganze Helmholzstraße ist schon wieder mit Einsatzwagen und Mannschaftsbussen zugeparkt.

Inzwischen hat die Univerwaltung die Pressemitteilung von gestern Abend und das Fahndungsfoto per Mail an die Mitarbeiter verteilt. Leselektüre für alle, die offizielle Informationen wollen :-)

Das berichtet ein Mitarbeiter des KIZ in der Ulmer Newsgruppe; er habe um 6:50h mit der Polizei telefoniert - dort wurde ihm gesagt, die Uni sei nicht mehr abgesperrt.

Presseberichte:

Die Polizei hat inzwischen eine Suchmeldung nach dem Tatverdächtigen Frederik Haase herausgegeben. Informationen direkt an die Polizei, keine Versuche, ihn selbst anzusprechen - er ist aller Wahrscheinlichkeit nach noch immer bewaffnet.

So... Und was macht ein Informatiker, wenn er einen Namen in die Finger bekommt? Richtig, in Google eingeben :-) Und dabei stößt man dann auch auf das hier; natürlich kann es sich auch um eine zufällige Namenskollision handeln... schwer makaber ist es aber allemal. Diskussionen über die Gefahren von Ego-Shootern bitte nach /dev/null...

Update: Unter dem angegebenen Amazon-Link befand sich auch eine Rezension des Ego-Shooters "Day of Defeat". Offensichtlich wurde diese von Amazon gelöscht. im Google-Cache findet man momentan noch eine Kopie.

Ob die Uni morgen wieder betretbar sein wird, ist noch nicht klar - in der Uni-Newsgruppe wird zwar berichtet, daß die Anzahl an Polizisten stark reduziert sei; laut einem Kollegen, der um 19h bei der örtlichen Polizei nachgefragt hat, ist die Uni aber weiterhin gesperrt.

Die Polizei hat den Campus noch immer abgesperrt; an einen Vortrag heute abend ist nicht zu denken. Der Vortrag wird auf kommende Woche (17.7.) verschoben - gleiche Zeit (20h), aber anderer Hörsaal (H22).

Zum frühen Nachmittag sind nun Informationen bei den lokalen Zeitungen zu finden; die Neu-Ulmer Zeitung und SZ-Online berichten nun auch über die Vorgänge. Die Neu-Ulmer Zeitung mutmaßt, daß ein dreifacher Familien-Mord vom Vormittag mit den Vorgängen zusammenhängt.

So, um ca. 11:20h habe ich das Büro (und die Uni) verlassen. Im Gang traf ich dann einen Polizisten mit kugelsicherer Weste an, der die Passanten anraunzte, daß es sich um einen Polizeieinsatz handelte und das Gebäude umgehend zu verlassen sei. An den Notfallplänen und der Benachrichtigung der Mitarbeiter muß die Uni noch arbeiten...

Eben sind wieder ein gutes Dutzend schwarzer, gutgerüsteter Gestalten in die Uni verschwunden. So sieht es im Moment vor der Uni Süd aus. Das Gerücht, daß es sich um einen bewaffneten Selbstmörder handeln soll, wurde vom lokalen Radiosender bestätigt. Er scheint jedoch woanders im Gebäude zu sein, sonst dürften wohl kaum so viele Leute auf dem Rasen vor der Uni sitzen.

Manchmal frage ich mich, ob die Uni nicht doch ein gefährlicher Arbeitsplatz ist. Vor der Mensa scharen sich gerade seit 10h die Polizeikräfte - dieses Foto ist 30 Minuten alt, inzwischen sind ca. 30 Polizeifahrzeuge da. Der Eingang Süd wurde geräumt. Über der Uni kreist ein Polizei-Heli, auf den Dächern der Uni wurden schon schwarze Gestalten mit kugelsicheren Westen gesichtet.

Am kommenden Montag halte ich beim Chaos-Seminar des Ulmer CCC einen Vortrag über die Privacy-Problematik im Ubiquitous Computing.

Ja, natürlich sind solche Tests Nonse... aber trotzdem gibt es irgendwie zu denken :)

Das EAC-Verfahren wurde nun von Brüssel als Standard abgesegnet. Bis dato handelte es sich hierbei nur um einen Entwurf, der federführend auf Initative des BSI entstand.

Unter diesem Titel veröffentlicht c|net news einen Artikel. Bruce Schneier wird hier zitiert, daß er ein komplett offenes Funknetz habe - der Netzzugang sei eine Geste der Freundlichkeit, und seine Rechner seien ausreichend gesichert, so daß er keinen weiteren Schutz benötige. Inzwischen scheint er diese Aussage jedoch etwas zu bereuen.

Fyodor hat wie schon zwei Mal zuvor eine Umfrage nach den brauchbarsten Tools rund um Netzwerksicherheit gestartet. Hier ist das diesjährige Ergebnis. Viele alte Bekannte, aber auch ein paar Neuigkeiten dabei - und allemal eine praktische Zusammenstellung.

Eben auf Slashdot gesehen: Forschern ist es gelungen, über den WLAN-Gerätetreiber in einen Rechner einzudringen. Bis dato wurden keine Details veröffentlicht, jedoch ist aufgrund der Beschreibung zu vermuten, daß es sich um einen Buffer Overflow Exploit handelt.

Eine neue Spielart des Social Engineerings: Anstatt Benutzer per Telefon oder E-Mail zu überzeugen, ein bestimmtes Programm herunterzuladen und zu starten, haben die Mitarbeiter einer Sicherheitsfirma gesammelte USB-Sticks (allesamt alte Werbegeschenke) vor dem Firmengelände der entsprechenden Firma "verloren" (sprich: verteilt). Auf den Sticks befand sich die entsprechende Spionagesoftware; die Neugierde der glücklichen Finder tat ihr übriges.

Bruce Schneier hat bei Wired News ein lesenswertes Plädoyer für die Wichtigkeit der Privatheit veröffentlicht.

Das Bundesverfassungsgericht hat geurteilt, daß die Rasterfahndung nach islamistischen Schläfern vom Oktober 2001 gegen das Recht auf informationelle Selbstbestimmung verstieß. Im Urteilsspruch wurde die Verwendung der Rasterfahndung eingeschränkt: Sie sei künftig nur zulässig, wenn eine "konkrete Gefahr" z.B. für die Sicherheit der Republik vorliegt.

Das Wired-Magazin berichtet über mehrere reale RFID-Hacks. Es ist erschreckend, wie blauäugig die Technik eingesetzt wird.

Ein Geschäftsmann nutzt RFID mit einem solch primitiven Verfahren für die Türschlösser der Firma, genauso wie die ID eines implantierten RFID-Chips direkt verwendet wird; einfache RFID-Tags beinhalten in einem Laden Produktnamen und -preis; eine Bibliothek nutzt wiederbeschreibbare RFID-Tags zum Archivieren der Bücher.

Wie ZDNet UK gestern berichtet, drängt man in England momentan auf die Umsetzung einer Gesetzesvorlage (RIPA) aus dem Jahr 2000. Nach diesem Gesetz können Strafverfolgungsbehörden die Herausgabe von Schlüsseln und Paßwörtern unter Androhung einer bis zu zweijährigen Gefängnisstrafe erzwingen.

Komplett Off-Topic, aber ich konnte einfach nicht anders...

Phishing ist hinlänglich bekannt: Der arglose Benutzer erhält eine Mail, in der er (mehr oder minder geschickt) aufgefordert wird, eine bestimmte Webseite zu besuchen. Heise Online berichtet von einem Medienwechsel: Statt einer Webseite war die Telefonnummer der Bankhotline angegeben; dort erwartete den Anrufer ein Sprachsteuersystem, das ihn aufforderte, Kontonummer und PIN einzugeben.

Vor der Kantine des CIA-Hauptquartiers steht die Skulptur 'Kryptos'. Auf ihr befinden sich vier verschlüsselte Botschaften, die seit Jahren Amateurkryptographen faszinieren. Nun stellte sich heraus, daß der zweite Teil, der bereits als gelöst galt, einen Schreibfehler enthält.

Privatheit und Transparenz sind die Krankheiten, an denen eine Demokratie mit aktiver, innovativer und agiler Regierung stirbt.

William Stuntz vertritt die These, daß Transparenz und Privatheit in einem Zeitalter des Terrors nicht nur unerschwingliche Luxusgüter, sondern sogar perverse Ideen sind. Seiner Meinung nach zwingen die Regelungen, die die Privatheit erhalten und für Transparenz im Regierungsapparat sorgen, einen Staat dazu, auf noch schlimmere Mittel zurückzugreifen: Wenn eine Bundesbehörde keine Telefone abhören darf, dann muß eben ein SEK anrücken und die Leute zur Befragung mitnehmen. Im Kampf gegen den Terror braucht man eben jede Information, und nach Stuntz' Argumentation muß einem Staat auch jedes Mittel recht sein, an diese zu gelangen.

...von Clay Bennett. Zwar schon vor ein paar Jahren gezeichnet, aber deswegen nicht minder aktuell:

In einem aktuellen Artikel berichtet Heise Online über die Aussage des Sicherheitsexperten Klaus Dieter Matschke, daß die hohe Präzision der Koordinatenangaben in Google Earth ein Sicherheitsrisiko für die Fußball-WM darstellen.

Anfang des Jahres gab's hier schon einmal einen Hinweis auf Seiten, die Vordrucke für Datenanfragen bereitstellen. Bei einem der letzten Chaosseminare gab es weitere Tips; hier nochmal alle zusammengefaßt:

Google ist ein tolles Spielzeug (auch die CIA mußte dies ja unlängst mit Erschrecken feststellen, als über 2000 Agenten in erster Linie mit Hilfe geschicktem Googelns enttarnt wurden). Wer sich auch im Google Hacking betätigen will - oder einfach nur so geschickter suchen will, dem sei diese Seite mit einer Beschreibung verschiedener Google-Suchfunktionen empfohlen - ein prima "Cheatsheet" zum Nachschlagen.

Immer wieder schön zu sehen, wie ein sinnvoller Dienst wie Trackback Links mißbraucht wird. Seit heute früh um 8h wird die Seite im Minutentakt mit Trackbacks von Rechnern der IPs 85.255.113.xx/24 mit Trackback Spam überzogen. Schön, daß die Spammer-Suchbots mich auch gefunden haben :-( Es lebe die "moderate"-Funktion...

Auf der Percom 2006 wurde von einer Mitarbeiterin von Andrew Tanenbaum ein Proof of Concept für RFID-Viren präsentiert. Eine Kurzzusammenfassung gibt es auf der Webseite des Projekts.

Nach einer internationalen Umfrage der IBM zum Thema Netzwerksicherheit sind 75% der Befragten der Meinung, daß die Angestellten (bzw. deren Rechner) eine größere Gefahr darstellen als Angreifer von außerhalb des Firmennetzes.

Sie sind wie das Leatherman-Tool im Serverraum: Eine Menge praktischer Werkzeuge handlich zum einstecken. Darknet berichtet unter dem Titel "10 Best Security Live CD Distros" über verschiedene aktuelle "Geschmacksrichtungen".

Irgendwie hatte man es doch fast erwartet - Google hat natürlich keinen 15jährigen eingestellt. Die Falschinformation stammte von einem experimentierfreudigem 15jährigem, der beim Stöbern im Netz auf einen Artikel gestoßen war, wie man Googles Rating-System mit Hilfe fingierter Pressemitteilung aus dem Tritt bringen könnte. Er lancierte eine selbstgeschriebene Meldung via I-Newswire und Digg.com.

Bereits im Oktober wies das BSI in seiner Studie zur Sicherheit von VoIP auf die Abhörproblematik hin. Vor wenigen Tagen veröffentlichte der Bundesdatenschutzbeauftragte ein Faltblatt mit Hinweisen auf die Sicherheit von VoIP - weniger technisch, und mit dem mahnenden Hinweis, vor allem bei ungesicherten Funknetzen und/oder WLAN Hotspots besondere Vorsicht walten zu lassen.

Die Amis haben es vorgemacht, deshalb muß es die Welt nachmachen: Im Juni soll im japanischen Parlament eine Regelung verabschiedet werden, die die Abnahme von Fingerabdrücken und das Fotografieren von einreisenden Ausländern vorschreibt. Von der erkennungsdienstlichen Behandlung ausgenommen sind Einheimische sowie Ausländer, die dauerhaft in Japan leben.

Der Flash-Film Epic 2015 zeichnet eine kühle, aber nicht unplausible Zukunftsvision: Was wäre, wenn Nachrichten nicht mehr von Journalisten erstellt, sondern durch maschinelle Analyse von Blogs und anderen persönlichen Kommentaren automatisch erstellt werden - und das auch noch persönlich zugeschnitten auf die Vorlieben des Benutzers?

Im Oktober 1996 veröffentlichte Ralph Erskine im Krypto-Journal Crypologia drei Enigma-Funksprüche, die bis dato nicht dechiffriert werden konnten. Die Nachrichten wurden mit der M4-Variante der Enigma Chiffriermaschine verschlüsselt.

Eine Security-Meldung, die es sogar bis in die Tagesschau geschafft hat: Gestern startete der Portaldienst Bürger-CERT. Über Mailinglisten soll der durchschnittliche Computerbenutzer auf akute Sicherheitsprobleme hingewiesen werden. Ein 14tägiger Newsletter faßt die Meldungen zusammen und soll weitere allgemeine Hinweise rund um die Rechnersicherheit geben.

Im Handler's Diary des ISC findet sich dieser Bericht über "Professor Packetslinger": In seinem Kurs wurde den Studenten die (benotete!) Aufgabe erteilt, einen Rechner ihrer Wahl einem vulnerability scan zu unterziehen. Universitätseigene Rechner ausgeschlossen, versteht sich - sonst droht die Universität mit Exmatrikulation.

Probehalber habe ich mal die Trackback-Funktion aktiviert. Nachdem bis dato der Kommentar-Spam ausgeblieben ist (zum Glück!), bin ich da halbwegs guter Dinge.

Wenn Daten einmal publik sind, ist es nahezu unmöglich, sie wieder "einzufangen". Über den Versuch der US-Geheimdienste, frei verfügbare Dokumente auf 'vertraulich' zurückzustufen, konnte man noch lächeln (und spotten: "Aid vergleicht die Bemühungen mit dem Versuch, eine Zahnpasta wieder in ihre Tube zurückzubringen"...), sorgte nun ein "Datenleck" dafür, daß ein anonymer Interviewpartner der Washington Post plötzlich doch nicht mehr so anonym war.

"You have zero privacy anyway - Get over it." So tönte Sun-Chef Scott McNealy vor sieben Jahren. Deutlich moderater waren seine Aussagen auf der RSA conference:

Beim Blick in die Logfiles fielen verschiedene Logeinträge auf - irgendjemand (oder -etwas) sucht nach einer seit November bekannten Schwachstelle im Mambo/Joomla CMS. Es gab bereits einen Wurm, der diese Lücke ausnutzt: ElxBot suchte allerdings via Google nach verwundbaren Servern. Da auf meinen Kisten jedoch kein Mambo installiert ist, können meine Maschinen wohl kaum via Google als solche identifiziert werden...

Die Logeinträge sehen folgendermaßen aus (gesucht wird in weiteren Pfaden):

Adi Shamir berichtet auf der RSA Conference von erfolgreichen Angriffen auf kennwortgeschützte RFID-Tags. Mit Hilfe einer Richtantenne ließ sich der Stromverbrauch der RFID-Tags während des Zugriffs beobachten; anhand charakteristischer Muster konnte er schließen, ob der Sender ein korrektes oder ein falsches Kennwort-Bit gesendet hatte.

Nach Berichten von Heise Online und F-Secure beinhaltet die DVD "Mr. & Mrs. Smith" einen Kopierschutz, der mit Rootkit-artigen Techniken arbeitet.

In der gestrigen Sendung "Menschen bei Maischberger" ging es um das Thema "Der gläserne Bürger – Droht uns die totale Überwachung?".

Was zunächst als Gag begann, ist nun tatsächlich zu haben: Der FoeBuD verkauft RFID-Schutzhüllen für den neuen Reisepaß.

...bieten mehr als genug Raum für Verschwörungstheorien und Science-Fiction-Geschichten. Auf der anderen Seite war zumindest in der Vergangenheit (z.B. bei der Entwicklung von DES oder der Entdeckung der differenziellen Kryptanalyse) der Wissensvorsprung der NSA immens.

Unter dem Titel 11 things to do after a hack versucht diese Seite, Hinweise für den Fall eines Falles zu geben. Leider sind die Tips teilweise nur gut gemeint...

Man könnte TorPark als keine Variante von Anonym.OS bezeichnen: Ein vorkonfiguriertes Tor-Gateway samt passend eingerichtetem Firefox zur Installation auf einem USB-Stick.

...leider zu wahr. Gib' den Leuten ein Gimmick, etwas zu spielen oder ein Geiz-ist-Geil-Almosen, und schon denken sie nicht mehr über die Risiken nach. Doctor Fun bringt es auf den Punkt.

In Deutschland gibt es (seit dem Volkszählungsurteil) das Recht auf informationelle Selbstbestimmung. Inzwischen im Datenschutzgesetz verankert, hat jeder Bürger die Möglichkeit, bei jeder Institution (sei es Firma oder Behörde) die über ihn gespeicherten Daten abzufragen, über die Weitergabe zu verfügen und sie ggf. auch löschen zu lassen.

Prof. Kongehl, erster Datenschutzbeauftragter Baden-Württembergs, war bei SWR1 Leute zum Gespräch. Es ging um aktuelle Datenschutz-Probleme wie die neuen Pässe oder die Verbreitung von RFID-Chips. Kongehl faßte die Problematik schön zusammen:

Mit einer sehr treffenden Karikatur hat Bob Englehart die Klage der US-Regierung auf Herausgabe von Google-Suchanfragen dargestellt :-)

Anonym.OS ist eine OpenBSD Live-CD mit speziellem Fokus auf Anonymität. Ziel der Distribution ist es, auf fremden Systemen (wie z.B. im Internet-Cafe oder dem Hotelrechner) ein möglichst hohes Maß an Anonymität und Sicherheit zu erreichen.

Die US-Regierung will Google dazu zwingen, alle Suchanfragen einer Woche herauszugeben. Man will damit überprüfen, wie häufig Minderjährige mit "schädlichen Inhalten" in Berührung kommen - ein fragliches Unterfangen, bedenkt man, daß laut aktuellen Meldungen die Suchmaschinen nur ca. 10% des Webs erfassen und der Zugang zu "schädlichen Inhalten" häufig anders geschieht (Tips von Freunden, Infos aus Foren, etc.) - ganz abgesehen von der Tatsache, daß populäre "schädliche Suchworte" nicht zu den "schädlichen Inhalten", sondern lediglich (Google-Spamming sei dank) zu Dialer- und Malware-gespickten Seiten führen.

Vor 20 Jahren wurden die erste Vireninfektion auf einem PC bekannt. Brain verbreitete sich durch Infizieren der Bootsektoren von Disketten. In ihrem Weblog hat F-Secure einige amüsante Kommentare.

Diese Seite zeigt, wie man den Inhalt seines Geldbeutels vor dem Auslesen durch RFID-Scanner sichert. Am Design muß wohl noch gearbeitet werden - beim FoeBuD bekommt man bereits ein formschönes Mäppchen für Karten, das dieselbe Funktion verspricht.

In einem Interview stellte Steve Gibson die Behauptung auf, der WMF-Bug könne nur schwerlich ein normaler Bug sein - zu ungewöhnlich seien die Begleitumstände, um dieses Verhalten auszulösen:

Monentan sind zwei Fehler in Microsoftprogrammen bekannt, die eine explosive Mischung darstellen könnten: Der WMF-Bug und der TNEF-Bug in Outlook und Exchange Server. Mit einer entsprechenden Mail ließe sich viel Schindluder treiben - wieviele Leute benutzen Outlook, und wieviele Firmen nutzen Exchange als Server? Und falls doch andere Software eingesetzt wird, schlägt ein passendes WMF-Bild zu...

Unter dem Titel the future of malware hat Whitedust einen lesenswerten Jahresrück- und -ausblick über das Thema Malware veröffentlicht.