Blogarchiv 2009

Als "Datenquelle für Marketing, Forschung und Planung" präsentiert mobilkom Austria ihren Dienst A1 Traffic Data Stream. Versprochen werden die Bewegungsdaten von 4,7 Millionen Kunden. Einige Bewegungsdaten, so verspricht die Präsentation, sind zusätzlich durch GPS-Position präzisiert. Selbstverständlich werden sämtliche Daten vollständig anonymisiert - doch wie einfach eine Deanonymisierung möglich ist, habe ich bereits in meiner Promotion festgestellt.

Geht es nur mir so, oder fallen Apple-Fans in den letzten paar Jahren deutlich mehr für ihre fanfanatische Haltung auf als andere OS-Gesinnungen? Ich bin immer leicht geneigt, von der Gemeinde zum Heiligen Steve zu reden - auch wenn mir wohl bewußt ist, daß Fans anderer OS-Glaubensrichtungen ebenfalls in dieses Schema passen (wie eine Künstlerin in diesem Bild sehr schön darstellt). Eine dänische Studie attestiert nun iPhone-Fans Symptome des Stockhom-Syndroms, benannt nach einer Entführung in Stockholm, während derer sich die Entführten mit ihren Entführern solidarisierten.

Das "Motorola Droid", das erste Handy mit Googles Android 2.0, startet gerade in den Läden durch... und fährt eine Werbung, welche seinen Ruf als "iPhone-Killer" unterstreicht:

Vergangenes Wochenende habe ich die Anleitung für einen alten DVD-Player gesucht. Die Papierversion war im Haushalt verschwunden, aber ein Blick ins Netz schickte mich zu fnet.de. Dort gab es tatsächlich einen Scan der von mir gesuchten Anleitung - ein direkter Download ist auf der Seite jedoch nicht möglich, man bekommt vielmehr einen Download-Link per Mail zugeschickt.

Shodan

Wer erinnert sich noch an Google hacking? Hier wurde auch nach verwundbaren Seiten anhand gewisser Charakteristika (z.B. Softwarename und Versionsnummer, die im Footer der Seiten oft zu finden sind) nach verwundbaren Seiten gesucht... Shodan ist sozusagen Google Hacking on Steroids ;-)

(via TaoSecurity)

Seit Anfang diesen Jahres bin ich berufstechnisch von C++ auf Java umgeschwenkt. C++ ist ja bekannt dafür, die diversesten Fallstricke zu haben - und Java ist ja irgendwann mal mit dem Vorsatz angetreten, das alles besser zu machen. Unglücklicherweise ist das allenfalls partiell gelungen, denn ich finde allein schon im Arbeitsalltag immer wieder häßliche Fußangeln. So zum Beispiel folgendes Problem beim Aufruf überladener Methoden im Konstruktor:

Unix goodness

Wie bekomme ich das Plattenimage einer 30G großen Partition eines entfernten Rechners auf meine lokale Kiste, wenn es keinen Platz für einen lokalen Plattendump gibt? Per ssh und netcat... und dank pv sogar mit Fortschrittsbalken :-)

Und noch ein Geburtstag: Ziemlich exakt vor 60 Jahren veröffentlichte Claude Shannon sein Paper über die theoretischen Grundlagen sicherer Kommunikation. Hierin beschreibt er die informationstechnischen Eigenschaften einer sicheren Kommunikation; das Paper beinhaltet auch den Beweis für die absolute Sicherheit des One-Time-Pads. Das Paper gilt als der Grundstein für die moderne Kryptographie.

Ich hatte gerade in Radeldudels Blog einen Kommentar zu seinen Freuden mit RAID hinterlassen; ihm sind - wie mir auch schon einmal - mehrere Platten in einem RAID-5 faktisch gleichzeitig gestorben. Das kann - entgegen der verallgemeierten RAID-Wahrscheinlichkeits-Rechung - durchaus passieren! Problem war bei ihm eine nicht sachgemäße Lieferung, die Platten waren wohl beim Transport beschädigt worden. Ich hatte damals das Vergnügen, daß wohl der Plattenhersteller eine Charge ausgeliefert hatte, die nicht ganz koscher war.

Die Nachricht tickerte sogar bis zu Slashdot durch: Ein Programmierer, ehemaliger Mitarbeiter der Schweizer Firma ERA IT Solutions, hat nun den Quelltext für ein trojanisches Pferd veröffentlicht, welcher insbesondere in der Lage ist, Skype-Telefonate mitzuschneiden und auf dem Server des Angreifers abzulegen. Sicher mit ein Grund für die Aufregung: Das Programm, das er während seiner Tätigkeit bei ERA IT erstellt hatte, hat von seinen Zügen her Ähnlichkeiten zum "Bundestrojaner".

MeineDatenUndIch-Brief-klein.jpg

Man könnte den Film als "Meta-Dokumentation" bezeichnen: Die Rahmenhandlung ist eine "Making-Of-Dokumentation" über die Dreharbeiten zum Film selbst; er handelt vom (fiktiven) Filmemacher Axel Ranisch (gespielt vom realen Axel Ranisch), der eine Dokumentation über den Datenschutz und die Datenskandale des Jahres 2008 drehen möchte. Nach der Absage eines privaten Fernsehsenders entschließt er sich, den Film als No-Budget-Produktion auf eigene Faust zu drehen. Zusammen mit dem Kameramann Hardy und seiner Freundin Eva macht er sich schließlich an die Arbeit, verschiedene Persönlichkeiten aus Politik, Forschung und den Kreisen der Netzaktivisten zu den verschiedenen Themen zu interviewen.

Die Stärken des Films sind meiner Meinung nach ganz klar die geführten Interviews: Die Liste der Interview-Partner liest sich wie ein who-is-who der Befürworter, Kritiker und Gegner der einzelnen Themen (abgesehen von Herrn Schäuble, der die Interviewanfragen ablehnte; sein Ministerium fühlte sich ja ab einem Punkt plötzlich für viele vorher vertretenen Forderungen zur Vorratsdatenspeicherung nicht mehr zuständig - und wird dafür in einer Cartoon-Szene mit einer ordentlichen Portion Sarkasmus bedacht). In den Interviews sieht (und hört) man stets nur den Interviewpartner; die Gespräche mit den einzelnen Personen sind geschickt so zusammengeschnitten, daß der Eindruck entsteht, die einzelnen Personen würden auf die Aussage ihres Vorredners antworten oder dieser widersprechen. Da die Aussagen der einzelnen Personen selten länger als eine Minute am Stück sind, bleiben diese Quasi-Dialoge spannend. Trotzdem gelang es den Filmemachern, die Kernaussagen aus den Interviews geschickt herauszudestillieren.

Sind die angesprochenen Themen bei den Interviews klar (Online-Durchsuchung, Vorratsdatenspeicherung, Mitarbeiterüberwachung bei Lidl, Gefahr von Datenhalden am Beispiel des Telekom-Skandals), ist die Kernaussage bei den Szenen, in denen Axel Ranisch selbst betroffen ist, weniger klar: Das Thema Scoring (und wieso er plötzlich von seiner Bank für nicht kreditwürdig eingestuft wird) funktioniert in dieser Darstellung noch gut; bei der Beantragung von ALG2 vermischen sich verschiedene Aspekte (der aufgezwungene Privatsphären-Exhibitionismus durch die Harz-IV-Regelungen; die Gefahr, die durch das Sammeln von Daten aus sozialen Netzwerken entsteht; das Persönlichkeitsprofil, das durch die Einsichtnahme in die Kontobewegungen entsteht), und bei der Szene am Anfang des Films, in der erzählt wird, daß ein Streit zwischen Axel und Hardy mit einem Handy gefilmt und bei YouTube eingestellt wurde, ist vermutlich allenfalls bereits sensibilisierten Leuten klar, was mit dieser Szene angeprangert werden soll.

Der Anfang des Films ist auch der Part, der beim ersten Ansehen den schwächsten Eindruck hinterließ. Gut 20 Minuten dauert es, bis die Rahmenhandlung aufgebaut ist - und diese ist für den Rest des Films mehr oder minder belanglos, denn der verbleibende Film besteht fast ausschließlich aus den Interviewausschnitten, welche (mit Ausnahme des Kredit- und des ALG2-Antrags) auch keinen direkten Bezug zu den Hauptpersonen haben. Letzteres tut der Reportage zwar keinen Abbruch, aber im Vergleich dazu fehlte mir der Bezug zum Anfang des Films.

Natürlich muß sich der Film vergleiche mit anderen Reportagen aus den letzten Monaten gefallen lassen; allen voran ist mir die Sendung "Wer hat meine Daten" aus dem Jahr 2006 in Erinnerung geblieben. Auch hier bildete die Recherche rund um das Thema Datenschutz (Ausgangsfragestellung war, wieso jemand genau diese Werbung zugesandt bekommt) die Rahmenhandlung. Die (sehr sehenswerte) Reportage ist im 45-Minuten-Format erstellt und mußte dementsprechend an vielen Stellen straffen - sie rüttelt in Bezug auf die Probleme wach, bleibt jedoch Details schuldig.

Die (in diesem Jahr ausgestrahlte) Reportage "Der gläserne Deutsche - wie wir Bürger ausgespäht werden" greift ebenso wie "Meine Daten und ich" die verschiedenen Datenschutz-Skandale bei Bahn, Telekom und Lidl auf. In 45 Minuten geht es um den Datenmißbrauch, das Tauziehen um das neue Datenschutzgesetz (in dem ursprünglich das Listenprivileg, das Datenhändlern erst das Sammeln von Daten ermöglicht, gekippt werden), aber auch um Mitarbeiterüberwachung mit Kameras oder sogar Autowanzen. Die ebenfalls 45 Minuten lange Reportage schafft es, zu Beginn des Films mit der "Pizzabestellung von morgen", einem Ausblick in eine nahe Zukunft, viele Probleme anzureißen und den Zuschauer zu fesseln. Die einzelnen Themen werden plakativer (oder negativ formuliert: Bildzeitungs-artiger) angeprangert.

Insbesondere im Vergleich zur zweiten Reportage ist der Film bedeutend ruhiger. Wer auf Provokation, flotte Sprüche und Kalauer wie in den (Pseudo-)Reportagen Michael Moores hofft, der wartet vergeblich. Die ausführlichen Interview-Zusammenschnitte strahlen Sachlichkeit aus, machen aber trotzdem eine scharfe Kritik deutlich. Gegenüber den beiden Fernsehreportagen beschäftigt sich "Meine Daten und ich" mit mehr politischen Themen und den Folgen der aktuellen Sicherheits-Gesetzgebung.

An welche Zielgruppe richtet sich der Film? Leute, die bereits mit der Materie vertraut und für das Thema sensibilisiert sind, erfahren freilich nicht viel Neues. Für sie ist das Interview-Kondensat (und wohl auch die alternative Tonspur mit einem Audiokommentar von Netzaktivist Padeluun) interessant. "Neulingen", die sich für die Materie interessieren, kann ich nur raten, sich von der spielfilmartigen Einleitung nicht (ent)täuschen zu lassen - im Zweifelsfall einfach zu den Interviews vorspringen. In anderen Berichten hört man die Argumente immer aus dem Munde einiger weniger Experten, oder nur als Sprecherton vom Reporter aus dem Off. In diesem Film kann man sowohl Pro- als auch Contra-Argumente direkt aus dem Munde der Verantwortlichen hören. Das macht den Film nicht zu einer Konkurrenz, sondern zu einer Ergänzung zu anderen, kürzeren Reportagen.

Um Otto-Normalbürger mit der "ich habe doch nichts zu verbergen"- und "gegen den Terror muß man doch was tun"-Mentalität zu sensibilisieren oder zu überzeugen taugt der Film leider nicht - Michael Moore polemisiert und polarisiert zwar heftig, hat dafür aber auch einen erheblichen Unterhaltungswert. Das fehlt dem Film leider.

Der Film kann bei GMfilms für 10 Euro erworben werden.

pWeitere Rezensionen und Berichte zum Film:

"Meine Daten und ich" heißt der Film von Philipp Eichholtz, der den Zustand rund um Datenschutz und Sensibilität für die Privatsphäre sowohl bei Firmen als auch bei Normalbürgern in Deutschland schildern will. Im Stile von Michael Moore möchte der Film Mißstände aufzeigen, den Zuschauer sensibilisieren und aufzeigen, was Recht ist - und was nicht.

Lange Zeit war K-otic eine der ersten Anlaufstellen, wenn es um aktuelle (und frei zugängliche) Sicherheitstools oder Exploits ging; nachdem K-otic (unter neuem Namen) auf ein Abo-Modell wechselte, mauserte sich milw0rm zur ersten Adresse. Auch Dienste wie der md5/lanman-Hash-Online-Cracker war sicher gern gesehen (nicht jeder wollte zig Gigabyte Rainbow Tables aus dem Netz ziehen und damit seine Platte(n) füllen).

Edit: Mitternachtshacking sammelt aus diesem Anlaß Links auf bestehende Exploit-Archive.

Edit 2: Laut einem Kommentar beim SANS ISC wird milw0rm von einem Freund des ursprünglichen Betreibers nun weitergeführt. Glück auf!

Die Anzahl sinnloser Überwachung (ganz egal ob erst geplant oder bereits im Einsatz) ist ja schier uferlos. Manchmal habe ich den Eindruck, man überwacht einzig allein des Überwachens wegen - oder, damit man gegenüber Management oder Investoren sagen kann: "Wir haben auch eine Überwachungskamera"...

Camera fail

Der 100.000ste Zeichner

Wer noch etwas mehr "Gruselmaterial" zu dem Thema benötigt:

OS history poster

Wer das Selbstausdrucken scheut, kann sich die Geschichte von UNIX in 6 bis 12 Meter Länge auf einem hübschen Hintergrund bei einer kanadischen Firma bestellen - leider nicht ganz günstig.

Wer trotzdem ein Geek-Poster sucht und weniger Geld investieren will: Etwas günstiger sind die Meilensteine der Computer-, Elektronik- und Kommunikations-Revolution, welches die Geschichte von Mitte der 70er bis heute in vielen kleinen Produktbildern und kurzen Textblöcken beschreibt.

Kritiker warnen ständig davor, daß viele Leute zu viele Datenspuren im Netz hinterläßt und zu unkritisch persönliche Informationen über sich ins Internet stellt. Andere entgegnen, das sei lediglich Panikmache oder Technikfeindlichkeit.

Ich hatte soeben (mal wieder) die Anforderung, möglichst skriptgesteuert OpenSSL-Zertifikate von Webservern herunterzuladen und deren Fingerprint anzuzeigen (warum zum Geier zeigen die meisten Netz-Clients einen Fingerprint in der GUI zwar an, lassen es aber nicht zu, ihn als Text zu markieren und zu kopieren?).

SSL (insbes. https)

openssl hat ja eine schier unglaubliche Menge an Parametern und Optionen - unter anderem bietet openssl mit s_client und s_server einen primitiven SSL-Client/Server.

Zertifikate herunterladen

Folgender Oneliner läd ein Zertifikat und gibt es auf stdout aus:

Fingerprint anzeigen

So zeigt openssl den SHA1-Fingerprint eines Zertifikats an:

71.000 ZeichnerDie 50.000er-Marke der Petition gegen Netzsperren wurde in der Rekordzeit von weniger als vier Tagen geknackt (Edit: soeben um 15:31h waren es genau 71.000); wie bereits argumentiert, dürfte die größte Errungenschaft das reiche Presse-Echo sein - und davon gibt es reichlich, wie man auf dieser Liste bei netzpolitik.org sehen kann: Alle großen Medien und Fernsehnachrichten haben Berichte und Kommentare.

Aber auch meine Befürchtung, daß die Politik unbeeindruckt weitermachen wird wie bisher, scheint sich zu bewahrheiten: Der Vorsitzende des Petitionsausschusses ließ verlauten, man verhandele die Petition erst nach der Wahl. Das Gesetzgebungsverfahren geht jedoch ungebremst weiter, schließlich ist es ja das erklärte Ziel von Frau von der Leyen, das Gesetz noch vor der Wahl zu verabschieden.

Ansonsten war ich stark versucht, den Titel (um bei den P-Worten zu bleiben) noch um "...und Pappnasen" zu ergänzen: Es ist unglaublich, wieviele Leute sich äußern, die sich scheinbar mit den Argumenten der Petitionsunterstützer keinen Millimeter auseinandergesetzt haben... und wie viele von ihnen eigentlich Ahnung haben sollten - sei es aufgrund ihrer Ausbildung oder wegen ihrer Position.

Da wäre zum einen unser Wirtschaftsminister zu Guttenberg:

"Es macht mich schon sehr betroffen, wenn pauschal der Eindruck entstehen sollte, dass es Menschen gibt, die sich gegen die Sperrung von kinderpornographischen Inhalten sträuben. Das ist nun wirklich einer der wichtigsten Vorhaben in vielerlei Hinsicht." (Video unter obigem Link)

Wenn das eine der typischen Politiker-Nummern war (nach dem Motto: Egal, wie wenig Ahnung - Hauptsache Medienpräsenz), dann war das maximal ungeschickt. Es bedarf wohl keiner Erwähnung, daß in der Petition ausdrücklich steht, daß gegen dieses Ekelgeschäft vorgegangen werden soll - lediglich der eingeschlagene Weg ist vollkommen falsch. Ich muß über solche Äußerungen heftig den Kopf schütteln... aber andererseits entstammt er einer Politikergeneration, bei der ich eigentlich auch nichts anderes mehr erwarte.

Auf der anderen Seite gibt es Leute, die eigentlich technischen Background genug hätten, um es besser zu wissen; dennoch muß ich bei Heise lesen, wie sich der Direktor des Hasso-Plattner-Instituts Christoph Meinel äußert:

"Interessanterweise hat bei gedruckten Medien die Öffentlichkeit längst akzeptiert, dass Strafbares dort nicht veröffentlicht werden darf und versteht das nicht als Angriff auf die Meinungsfreiheit." (...)

Ich kann mich nur den Ausführungen von F!XMBR anschließen: Es geht nicht darum, daß irgendjemand anzweifelt, daß KiPo aus dem Netz verbannt gehört. Aber wie die Beispiele auf F!XMBR (Vorratsdatenspeicherung, Mauterfassung, Handyortung, etc.) zeigen, ist die Gefahr, daß solche Techniken immer umfassender eingesetzt werden, sehr real und wohl begründet. Sogar in diesem konkreten Fall konnte man das schon weit vor der Verabschiedung des Gesetzes in einer Bundestagsdebatte beobachten.

Im übrigen ist es ein Unterschied, ob die Publikation einer Zeitschriftenausgabe eingestampft (und der verantwortliche Redakteur verhaftet bzw. angezeigt) wird, oder ob der Post verboten wird, sämtliche Zustellversuche von Briefen von und an eine bestimmte Adresse abzufangen und den Behörden zu melden (einschließlich der Gefahr, daß jemand angeschwärzt wird, indem man seine Adresse als Briefabsender angibt). Genau letzteres machen nämlich die DNS-Sperren.

Christian Weber hatte per Mail bei seinem Provider Vodafone angefragt, wie es mit einem Sonderkündigungsrecht aussieht - immerhin zieht die DNS-Filterung ja eine Änderung der AGBs nach sich. Die Antwort: Nein, ein Sonderkündigungsrecht gäbe es nicht. Und:

Die Petition gegen Netzsperren scheint im Affenzahn durchzustarten: Waren es heute früh noch rund 42.000 Zeichner, sind es (Stand 19h) bereits über 47.000! Die Frage, ob die nötige Stimmenzahl erreicht wird, dürfe sich wohl nicht mehr stellen - nur noch, um wieviele Tausend Stimmen die Schallmauer durchbrochen wird. Fahler Beigeschmack ist der wenig professionelle Umgang der Administratoren des Petitionssystems - mehr weiter unten.

Auf dem ePetitions-System des Deutschen Bundestages wurde eine "Anti-Zensursula"-Petition "Internet - Keine Indizierung und Sperrung von Internetseiten" eingerichtet. Wird die Petition innerhalb bis zum 13.5. von mehr als 50.000 Bürgern gezeichnet, findet hierzu eine Anhörung im Petitionsausschluß statt; das ist vielleicht nochmals eine Möglichkeit, etwas zu bewegen. Also: Auf auf, zeichnen gehen! Und: Weitersagen, der 13.5. ist nicht allzu fern!

Bei Wired gibt es einen sehr aufgeregten Artikel, daß das PIN-System gebrochen sei (edit: ...und einen entsprechenden deutschen Bericht bei Golem). Laut dem Artikel gibt es wohl akut zwei Probleme: Zum einen steht die PIN während der Übertragung in der Übertragung in den Transit-Systemen für kurze Zeit im Speicher (und wird dort von einer Hintertür abgegriffen); zum anderen gibt es wohl tatsächlich Angriffe, mit Hilfe derer sich die PIN anhand der Kartendaten berechnen läßt - zumindest wenn die Hardware Security Modules (HSM) "kompatibel, aber unsicher" konfiguriert werden.

Ich weiß, man kann seine Erwartungen gar nicht niedrig genug ansetzen, wenn man mit einer der Firmen mit dem großen "T" zu tun hat. Ich bin in die Verlegenheit gekommen, mir die Seite mit den Informationen zu Partnerseiten anzusehen - hierfür gab's eine https-URL, Loginname und Passwort.

Heute abend um 23:30 läuft im ZDF die Reportage "Der gläserne Deutsche - Wie wir Bürger ausgespäht werden" (Edit: Wer sie verpaßt hat, kann sie hier in der ZDF-Mediathek ansehen... man, I love that feature! Außerdem gibt es eine Kopie bei archive.org). Ähnlich wie die Sendung "Wer hat meine Daten?" von vor zweieinhalb Jahren (zu sehen bei Youtube oder als Download von diversen Servern) berichtet die Reportage über die erschreckende Leichtigkeit, wenn man private Daten erstehen möchte, den leichtfertigen Umgang der Menschen mit ihren Daten, sowie Situationen, in denen man zur Datenherausgabe gezwungen wird - so führt wohl die Deutsche Post ein umfangreiches Datenregister, in welches unter anderem die Daten von Nachsendeanträgen einfließen.

MtEverest-Zipfelbob.jpg

War vor 56 Jahren die Besteigung des Mount Everest noch eines der ultimativen Abenteuer, die man auf unserem blauen Planeten erleben konnte, ist inzwischen eine einfache Besteigung des höchsten Bergs der Erde kein besonderes Ereignis mehr. Seit den 80ern gibt es einen regelrechten "kommerziellen Everest-Tourismus"; für die wahren Helden mußten neue Herausforderungen her: Schwierigere Aufstiegsrouten, Alleingänge, Besteigung ohne Sauerstoffflasche.

Der slowenische Extrem-Bergsteiger Pavlek Levpist hat seine ganz eigene Herausforderung gewählt: Er ist der erste Mensch, der den Mount Everest bestieg und anschließend mit einem Zipfelbob abfuhr. Wegen schlechten Wetters konnte er den Gipfel nicht vollends erreichen - er startete knapp 100 Höhenmeter darunter.

"Mit Spaß hat das nichts mehr zu tun" äußerte sich Levpist über seine Aktion - ich glaube, man kann sich nur näherungsweise vorstellen, was das für ein Höllenritt gewesen sein muß.

Soviel zum Thema, ob (und wieviel) Spaß wir in meiner neuen Firma haben ;-)

Auf dieses Problem stößt vermutlich früher oder später jeder: Es gibt einfach ein paar Programme, die man "dabeihaben will" oder auf einem stationären Rechner nutzen - aber so, daß nicht jeder ohne weiteres an die gespeicherten Daten herankommt. Die in Frage kommenden Rechner keine gänzlich vertrauens-unwürdige Maschinen wie z.B. Virenschleudern aus einem Internetcafe, vielmehr der PC bei der Arbeit oder bei einem Bekannten.

Zunächst einmal gilt, daß ein Programm mit root-Privilegien den Rechner kontrolliert; das bedeutet, daß ein Rechner, der mit einem Rootkit, einem entsprechenden trojanischen Pferd oder ähnlichem "ausgestattet" ist, alle hier vorgestellten Schutzmaßnahmen aushebeln kann: Daten können kopiert, Passwörter von der Tastatur mitgelesen werden.

Zunächst wird ein sicherer Datenbereich benötigt; Truecrypt bietet hierfür alles an, was man benötigt: Hiermit erzeugt man ein verschlüsseltes Volume (nach außen sichtbar als Datei) gewünschter Größe. Möchte man seine Programme mitnehmen, bietet Truecrypt die die Einrichtung samt Treiber auf einem USB-Stick an.

Als Anwendungen installiert man nun die gewünschten Portable Apps in den gemounteten Truecrypt-Container. Die Portable Apps speichern ihre gesamten Einstellungen unterhalb ihres Installationsverzeichnisses, so daß im Restsystem keine Dateien installiert werden müssen - und auch Spuren bleiben.

Ein wenig trickreich wird es, wenn man Firefox (oder Thunderbird) parallel mit einer Instanz vom regulären System betreiben möchte. Hierzu waren zwei Schritte nötig:

  • Mittels einer Verknüpfung wird der Firefox mit dem zusätzlichen Startparameter "-no-remote" aufgerufen; dadurch werden beispielsweise anklickbare URLs im systemeigenen Browser geöffnet.
  • Im Installationsverzeichnis von Portable Firefox legt man eine Datei namens FirefoxPortable.ini an, welche folgenden Inhalt hat:

Rootkit im BIOS

Forscher haben die Demonstration eines BIOS-basierten Rootkits vorgeführt. Nachdem ich vor geraumer Zeit irgendwo gelesen hatte, daß eine Firma eine BIOS-Erweiterung(?) anbietet, welche eine Deaktivierung eines Laptops via Netzwerk ermöglicht, habe ich auf so eine Schlagzeile gewartet...

Es ist still geworden um den Hackerparagraph, seit dieser im Sommer 2007 verabschiedet wurde: Weitere Überwachungswünsche a la Schäuble, BKA-Gesetz, Wahlcomputer, Datenskandale - es gab ja auch viel anderes zu berichten. Das grundlegende Problem ist damit natürlich nicht verschwunden; vermutlich war es auch Hintergedanke des iX-Chefredakteurs, das Problem erneut ins Gedächtnis zu rufen, als er sich Ende 2008 selbst anzeigte. Er war redaktionell für eine iX-Ausgabe verantwortlich, auf deren beigelegter DVD auch "Hackertools" wie das Backtrack-Livesystem enthalten waren. Letzte Woche wurde das Verfahren eingestellt.

Es ist erschreckend, wie schnell man sich der "Schlapphut-Zone" zu nähern scheint, wenn man im Kontext Sicherheit und angewandte Kryptographie nach einer Anstellung sucht. Sehr häufig ist für die Stelle dann eine Überprüfung zur "VS-GEHEIM" (oder ähnlichem) nötig - mitunter sogar bereits im Vorfeld, für ein Bewerbungsgespräch! Als ich das erste Mal auf eine solche Anforderung gestoßen bin, habe ich mich erstmal schulterzuckend auf die Google-Suche gemacht, was das genau bedeutet - beim BMWi gibt's die Details.

Kaum, daß die Meldung die Runde macht, daß sich die Arbeitsgruppe von Bund und Providern zur Einführung von Netzfiltern via Provider-AGBs ergebnislos aufgelöst hat, folgt der nächste Paukenschlag: Die Immunität des SPD-Abgeordenten Tauss wurde aufgehoben, gegen Tauss wird wegen des Verdachts auf Besitz von Kinderpornographie ermittelt. Tauss hatte sich in der Vergangenheit dadurch hervorgetan, daß er sich ernsthaft mit der Technik moderner Medien (wie dem Internet) befaßte und ein scharfer Kritiker übertriebener Überwachungs- und Kontrollmaßnahmen war. So war er beispielsweise einer der wenigen, der - entgegen dem Parteizwang - gegen den "Hackerparagraphen" gestimmt hatte.

Mein Server ist auf neue Hardware umgezogen - und dabei gab es unvorhergesehene Probleme, das ganze hätte still und heimlich letzte Nacht über die Bühne gehen sollen. Wie auch immer: Nun läuft wieder alles, und Gerüchte einer Beschlagnahmung wegen "falscher" Links o.ä. sind vollkommen übertrieben ;-)

Der Einsatz von Wahlcomputern bei der Bundestagswahl 2005 war verfassungswidrig - so lautet das eben verkündete Urteil des Bundesverfassungsgerichts. Die Kläger argumentierten, daß es unmöglich sei, "das Zustandekommen des Wahlergebnisses überhaupt zu kontrollieren". Die Richter bestätigten diese Aussage - eine Überprüfbarkeit der Stimmauszählung war nicht gegeben, denn "Programmierfehler in der Software oder zielgerichtete Wahlfälschungen durch Manipulation der Software bei elektronischen Wahlgeräten (sind) nur schwer erkennbar".

Rein hypothetisch: Ich habe einen Kumpel, der einen Freund hat, dessen Bekannter eine Bank überfallen hat - und ich werde daraufhin verhaftet. Absurd? Sicherlich, aber näher an der Realität, als einem lieb ist: Bei einem Blogger gab es eine Hausdurchsuchung mit Beschlagnahmung des Rechners (und sämtlicher Peripherie); er hatte sich in seinem Blog an der Diskussion um Netzfilter gegen Kinderpornographie beteiligt und dabei auf ein anderes Blog verlinkt. Dieses wiederum verlinkte die bei Wikileaks aufgetauchte dänische Sperrliste (welche ja potentiell Links auf Kinderpornographie enthält).

dbus-actions

Momentan enthält das Programm drei Module: Mein GPS-Logger-Modul (speziell für das Holux M241), ein Debugging-Modul (das alle dbus-Nachrichten anzeigt) sowie ein generisches Modul, mit dem man sich individuelle Aktionen für neu angesteckte Hotplug-Geräte zusammenbauen kann.

Das Thema gärt bereits seit Ende letztem November - hier forderte Familienministerin Ursula von der Leyen ein rigoroses Vorgehen gegen Kinderpornographie mit Hilfe von Netzsperren: "Ich bin fest entschlossen und von dieser Bahn bringt mich auch keiner mehr ab". Ihre Meinung sorgte für stark gespaltenes Echo (auch im eigenen Lager), und da ihr Ziel offensichtlich nicht so schnell zu erreichen war, wie sie ursprünglich geplant hatte, schlug sie einen zweiten Weg ein: Die großen Provider sollten dazu gebracht werden, einen Vertrag zur Umsetzung von Sperrlisten zu unterzeichnen - so sollte der Weg über die Verabschiedung eines Gesetzes abgekürzt werden. Ein Aktionismus, der allgemein auf Unverständnis stieß.

Vor knapp zwei Wochen wurde phpbb.com gehackt - und rund 20000 Passwörter der User im Netz veröffentlicht. Bei Darkreading gibt es nun einen Artikel, der die Stärke der gewählten Passwörter analysiert - sehr interessant ist auch der Vergleich zum Vorfall vor anderthalb Jahren, bei dem über eine Phishing-Seite MySpace-Passwörter gesammelt und analysiert wurden. Meine damalige Aussage bezüglich der Stärke der selbst gewählten Passwörter ("ich persönlich deutlich schlimmeres vermutet") muß ich wohl relativieren: Ein Teil der Stärke rührt wohl von den Zwangsmaßnahmen von MySpace her, die eine Passwortlänge von 6-10 Zeichen und mindestens ein Sonderzeichen erzwingen. phpbb.com tat dies nicht, und prompt sieht die Quote schlechter aus.

Dieser Artikel soll einen Blick auf das Lastschrift-Verfahren werfen (Beginn der Artikelserie hier). Mit einer Lastschrift belastet man ein fremdes Konto um einen bestimmten Betrag, der dem eigenen Konto gutgeschrieben wird. Juristisch ist hierzu eine Lastschrift-Ermächtigung notwendig: Ein formloses Schreiben, in dem der Kontoinhaber einem Dritten per Unterschrift gestattet, einmalig oder bis auf Widerruf das eigene Konto zu belasten.

Epochale Uhrzeit

Geek Fun: Nach mitteleuropäischer Zeit wird heute Nacht um 00:31 Uhr und 30 Sekunden die Unix Epoch Time (also die Zahl der Sekunden seit dem 1. Januar 1970 UTC) den Wert 1234567890 (dezimal) erreichen :-)

Im letzten Sommer hatte der Bundesverband der Verbraucherzentralen per Probekauf belegt, wie der illegale Handel mit Kundendaten floriert - und damit den "Datenschutzsommer" losgetreten. Ein ehemaliger Callcenter-Angestellter hatte dem Verband 6 Millionen Datensätze (einschließlich Bankverbindungen) verkauft. Dafür stand er nun vor Gericht - und wurde zu einer Geldstrafe von 900 Euro verurteilt. Ich fasse es nicht - die Message dieses Urteils: Datenhandel lohnt sich!

Durch die Datenweitergabe haben möglicherweise zehntausende Bürger Scherereien mit nicht genehmigten Lastschrift-Abbuchungen (und, wenn sie diese nicht rechtzeitig bemerken und rückbuchen lassen, auch den realen Schaden). Auf die Datensätze heruntergerechnet setzte das Gericht eine Strafe von 0,015 Cent(!) pro Person an... zum Vergleich: Zweimal mit 0,5 Promille am Steuer erwischt werden kostet 750 Euro - und vier Monate Fahrverbot!

Auf der anderen Seite sind solche Daten für Kriminelle eine Goldgrube: Allein die Lastschrift-Nummer dürfte einiges an Geld bringen. Über welchen Pfad die Daten weitergegeben wurden, ist für die Betroffenen faktisch nicht nachvollziehbar - es gibt für die Weitergabe keine Spuren, und die Effekte treten von der Datenerhebung zeitlich vollkommen entkoppelt auf. Die Gefahr, beim Datenhandel erwischt zu werden ist also sehr gering; und selbst wenn: 900 Euro Strafe sind Peanuts!

Die Schutzvorkehrungen in Firmen bzgl. personenbezogener Daten werden offenbar üblicherweise stiefmütterlich behandelt, der Wert der Daten beim illegalen Verkauf dürfte erheblich sein, ebenso die Gewinne bei der Verwendung (wie beispielsweise in diesem Fall), die Chance erwischt zu werden, ist minimal, die Höhe der Strafe lächerlich (und ganz bestimmt nicht abschreckend)... Datenhandel lohnt sich. In Anbetracht dieser Umstände verwundert es nicht mehr, wenn sich herausstellen sollte, daß das letzte Jahr erst die Spitze des Eisbergs war.

Auf dem 25C3 hatte eine Gruppe einen Vortrag gehalten, wie das Storm Botnet zu kontrollieren ist (Torrent des Videomitschnitts). Inzwischen war sogar die Nachricht zu hören, daß das Verfahren inzwischen so weit verbessert wurde, daß man vollständige Kontrolle über das Botnetz erlangen kann. Man wäre in der Lage, beispielsweise den Befehl zum Nachladen beliebiger Programme zu geben - und ein Programm zum Entfernen des Wurms haben die Leute auch schon am Start. Diesen Schritt hat man freilich nicht vollzogen - aus rechtlichen Gründen.

Na, diese Schlagzeile lese ich doch gerne - insbesondere auf dem Propaganda-Blog der RFID-Lobby:

Screenshot rfid-weblog.com

Der Hintergrund der Meldung ist bedeutend tragischer: Papua hatte die perverse Idee, AIDS-Infizierte mit implantierten RFIDs zu chippen - um so die Ausbreitung von AIDS einzudämmen. Absolut menschenverachtend. Und als ob Nichtinfizierte erst einen RFID-Scan durchführen würden, bevor sie mit irgendjemandem ins Bett steigen...

Auf dem 25. Chaos Communication Congress stellte der Vortrag "MD5 considered harmful today" (zunächst unter dem kryptischen Titel "Making the theoretical possible" angekündigt) einen erfolgreichen Angriff auf MD5-Hashes in SSL-Zertifikaten vor (auf der Seite der Autoren gibt es ein ausführliches Vortragsskript, ein Videomitschnitt ist via Bittorrent verfügbar). Die Gruppe manipulierte ein selbst erstelltes (und on einer Root-CA signiertes) Webseiten-Zertifikat so, daß es als "intermediate CA" verwendbar war; die Korrektheit der Signatur der Root-CA behielten sie mit Hilfe einer "Chosen Prefix Attack" auf den MD5-Hash der Zertifikatsdaten bei. Mit Hilfe dieses Zertifikats war es möglich, beliebige (und von Browsern als gültig und vertrauenswürdig akzeptierte) Webeiten-Zertifikate selbst zu erstellen.

MD5 gilt bereits seit längerem als gebrochen und sollte deshalb nicht mehr verwendet werden. Trotzdem kam bei einigen Root-CAs nach wie vor MD5 im Erstellungsprozeß der Signatur zum Einsatz (die entsprechenden CAs haben inzwischen Besserung gelobt).

Eine "Intermediate CA" ist eine CA, die noch nicht im Browser als vertrauenswürdige Root-CA integriert ist, aber von einer solchen zertifiziert wurde - das heißt, sie wurde von dieser signiert und mit dem Vermerk versehen, daß dieser Schlüssel dazu verwendet werden darf, wiederum weitere Zertifikate zu belaubigen. Ein Angreifer kann sich so beispielsweise ein Zertifikat für eine Onlinebank erstellen, eine der (berühmt-berüchtigten) gespooften Onlinebank-Seiten erstellen, auf die er seine Opfer mit geeigneten Tricks (DNS-Spoofing, Manipulation der Hosts-Datei oder gar einem eigenen DNS-Server, den er seinen Opfern mittels eines trojanischen Pferds, welches als DHCP-Server agiert, unterschiebt) lockt... und im Gegensatz zu früher erscheint nun keine Warnung des Browsers, daß mit dem SSL-Zertifikat der Webseite etwas nicht in Ordnung ist.

Bruce Schneier argumentiert, daß dies keine ernsthafte Verschlimmerung der Situation sei, da die meisten Leute mit solchen Warnungen ohnehin nichts anfangen könnten und sie deshalb ignorieren würden. Ich finde, daß das die Situation verharmlost; es gibt doch viele Leute (wie mich ;-), die solche Warnungen ernstnehmen - und die Warnmeldung von Firefox 3 ist so penetrant, daß man sie nicht einfach wegignorieren kann.

Die Firefox-Extension SSL Blacklist wurde von den Autoren prompt erweitert: Ursprünglich diente sie dazu, vor Zertifikaten zu warnen, die mit der von Debian verkackten OpenSSL-Version erstellt wurden. Nun warnt das Plugin auch vor Website-Zertifikaten, in deren Zertifikatkette MD5-Signaturen zum Einsatz kommen. Die Installation des Plugins würde ich durchaus empfehlen (Leute, die mit der Materie nicht vertraut sind, muß man natürlich briefen, was die Warnmeldungen bedeuten).