Mitternachtshacking

Heiraten ist eigentlich ganz einfach. Also, jetzt so aus Sicht des Datenbankverwalters, in dessen Datenbank die Hochzeiten gespeichert werden sollen. Ein Mann, eine Frau, Hochzeitsdatum, fertig. Oder?

Naja, ein wenig komplizierter ist es schon. Beispielsweise gibt es gleichgeschlechtliche Lebensgemeinschaften. Also gut, eine Person, noch eine Person, Hochzeitsdatum, fertig. Oder?

Naja, ein klein wenig komplizierter ist es doch nicht. Beispielsweise darf sich eine Person nicht selbst heiraten. Bei Mann und Frau war das automatisch ausgeschlossen. Jetzt wird das schwierig. Also gut, ein wenig Application-Logic, fertig.

Äh ja, aber die Software soll universell eingesetzt werden. Beispielsweise bei den Mormonen in Utah. Oder in Saudi-Arabien. Da gibt es unter Umständen mehrere die miteinander verheiratet sind (auch wenn meistens nur ein Mann dabei ist). Also gut, dann wird eben die Ehe als Verbindung zwischen einer Person a (männlich/weiblich) und n Personen (ebenfalls männlich oder weiblich) definiert. Dabei dürfen die n Personen nicht Person a enthalten.

Ja gut, aber was ist wenn sich eine Person in n scheiden läßt und jemand anderes heiratet? Und ist Person x (in n) die mit Person a verheiratet ist dann gleichzeitig mit Person y (in n) verheiratet? Oder kann Person x (in n) Person y (in n) heiraten und sich dann von Person a scheiden lassen?

Oder wie? Oder was? Gay marriage: the database engineering perspective. Rein technisch natürlich. Gegen heiraten bin ich geimpft.

Symantec schließt einen großen Teil von SecurityFocus und führt einige Inhalte in Symantec Connect über. Zumindest die Bugtraq-Mailingliste und die Vulnerability Datenbank sollen aber (vermutlich erstmal) erhalten bleiben.

Eigentlich habe ich darauf ja schon seit der Übernahme gewartet. Kaum war @stake bei Symantec sind die ganzen Tools wie LC (das ehemalige LophtCrack) verschwunden. So schnell konnte man gar nicht sichern wie Symantec da bereinigt hat. Nicht sehr freundlich, wenn man mich fragt. Andere Firmen (namentlich wären hier McAfee und Foundstone zu nennen) sind da etwas cooler.

Ich persönlich glaube ja, Symantec hätte SecurityFocus am liebsten schon direkt nach der Übernahme zugemacht. Insbesondere die öffentliche Schwachstellendatenbank mit den Exploits dürfte einigen Leuten bei Symantec ein Dorn im Auge sein. Aber vermutlich hat Symantec den öffentlichen Aufschrei gefürchtet. Ich bin ja mal gespannt wie lange es die Schwachstellendatenbank noch öffentlich und kostenlos gibt.

(via Heise)

Mein Security Kalender 2010 ist mit leichter Verspätung online aber im Januar war eh nicht viel zu erwarten. Falls ich Termine vergessen oder nicht im Netz gefunden habe, bitte entweder hier in die Kommentare oder mir per Mail schicken. Ich nehme die gerne mit auf.

Soso, BT möchte die Datenkrake Phorm erstmal nicht im eigenen Netz loslassen. Großbritannien ist von der EU dank Phorm ja bereits wegen Verletzung des EU-Vertrags (Datenschutz und so) eine Klage angedroht worden. Da wird sich die British Telecom sicher nicht nach vorne wagen. Allerdings kann das mehrere Gründe haben:

1. BT hat mit Phorm bereits einen Vertrag und kann ohne Vertragsstrafe nicht komplett drauf verzichten. Dann sagt man “erstmal” und schiebt das auf den Sankt-Nimmerleinstag
2. BT möchte Phorm eigentlich schon einsetzen aber traut sich im aktuellen politischen Umfeld nicht. Dann sagt man “erstmal” und hofft, daß sich der Staub irgendwann legt.

Naja, die Kunden haben ja die Hoffnung, daß Phorm bis dahin pleite ist. Der Aktienkurs ist um 40 Prozent gefallen und Phorm schreibt heftige Verluste.

Ich habe endlich mein USB-Kabel für die blöde Samsung-Kamera mit dem proprietären Stecker wiedergefunden und die Fotos aus der Schweiz auf den Computer bekommen. Darum trage ich die jetzt hier erstmal alle nach.

Diese Schweizer Werbung fand ich ganz witzig. Ich hab etwa eine halbe Minute gebraucht, um (ohne Internet) die Lösung rauszukriegen:

Langsam mache ich mir Sorgen ob Snowcrash bei mir auch schon wirken würde.Leider ist das Foto so schief, damit der Blitz den Text nicht überstrahlt aber ich denke man kann es noch lesen.

Aufgenommen vor dem Bahnhof in Bern.

In Österreich geht die Diskussion um Überwacher und Überwachte in eine neue Runde. Ein dem FoeBuD PrivacyDongle vergleichbarer USB-Stick wird in Österreich verbreitet, aber nicht etwa von Bürgerrechtsgruppen.

Statt dessen organisiert die Herstellung und Verteilung laut ORF die Wirtschaftskammer! Erreicht werden sollen mit dem Dongle Ärzte, Rechtsanwälte und Journalisten.

“Wir haben ordentliche Maschinen mit entsprechender Leistung aufgestellt, ausschließlich dedizierte Server”, sagte UBIT-Obmann Friedrich Kofler am Montag zu ORF.at, “sie stehen bei kleinen und mittleren Betreibern im Wiener Raum.”

Das muß man sich vorstellen. In Österreich stellt die Fachgruppe Unternehmensberatung und Informationstechnologie (UBIT) und die IT-Security Experts Group der Wirtschaftskammer Österreich (WKÖ) die TOR-Server auf. In Deutschland werden sie von den Handlangern des Schäubleterrorismus wieder einkassiert.

Im Falle von sensiblen Kundendaten liegt das freilich etwas anders, denn hier gibt es eine Berufspflicht, diese zu verbergen. Der typische Benutzer des Anonymisierungsdienstes sei zum Beispiel die “kleine Rechtsanwaltskanzlei, die ich als Unternehmer betreue”, sagte Martin Prager, Sprecher der Security Experts Group, zu ORF.at.

Unglaublich, was die Österreicher da auf die Beine stellen.

Microsoft verklagt TomTom wegen der Verwendung des FAT-Filesystems (das Microsoft mit Trivialpatenten aus der untersten Schublade in den USA hat schützen lassen) im Linux-Kernel.

Natürlich geht es nicht um TomTom. Das ist lediglich ein europäisches Unternehmen, das Linux einsetzt und gerade rote Zahlen schreibt. Daher dürfte eine Einigung recht schnell erledigt sein. Eine Lizenzierung der FAT-Patente ist für TomTom billiger als ein gewonnener Rechtstreit, weil der Anwalt nicht umsonst arbeitet und so oder so nur ein Teil der Kosten vom Gegner ersetzt werden müssen. Praktisch geht es Microsoft ganz offensichtlich darum, in einer Reihe von einfachen und billigen Prozessen die Anerkennung ihrer Patente zu erreichen. Und wenn das geschehen ist, kann man zum Rundumschlag gegen Linux, Free-/Open-/NetBSD und alle anderen freien Betriebssysteme ausholen (ausgenommen vielleicht Minix, aber das hat eh keinen praktischen Nutzen).

Ich hatte ja schon auf etwas ähnliches gewartet, nachdem die Taktik von Microsoft, den Strohmann SCO vorzuschicken gescheitert ist.

Weil ich’s grad sehe und von dort verlinkt werde:

Das Hauptproblem beim Online-Banking sehen die Bundesbürger in der Sicherheit. 64% der Bürger sind der Meinung, beim Online-Banking bestünde ein zu hohes Risiko. Und immer noch 41% sehen ein Problem darin, daß die Banken keine Haftung bei Schäden übernehmen.

Der letzte Punkt ist der, in dem ich die größten Probleme bei der Akzeptanz von Online-Banking sehe. Natürlich übernehmen einige Banken zur Zeit Schäden, die Kunden bei der Nutzung von Online-Banking entstehen. Aber nicht etwa, weil es für den Kunden einen vertraglichen Anspruch gäbe. Das geschieht allein aus dem Grund, Negativschlagzeilen über das Online-Banking zu vermeiden und ist reine Kulanz der Bank. Darauf verlassen kann sich leider niemand.

Ich habe vor einiger Zeit die AGB meiner Bank zum Online-Banking studiert. Frei übersetzt für Nichtjuristen steht da drin: “Online-Banking ist absolut sicher und wenn doch was passiert ist natürlich der Kunde schuld und trägt den Schaden. Der Kunde könne aber der Bank gerne ein Fehlverhalten nachweisen.” Ich habe meine Hausbank dann freundlich nach einer Kopie ihres Sicherheitskonzepts zum Online-Banking gefragt, denn um das Fehlverhalten nachweisen zu können brauche ich natürlich die relevanten Unterlagen. Fehlanzeige. Ich vermute ja, das Sicherheitskonzept ist so schlecht, daß sich die Bank nicht traut es herauszugeben (und ja, ich habe etwa zwei Jahre in der IT-Sicherheit einer Bank gearbeitet, ich weiß wie da gepfuscht wird).

Praktisch stellt sich das Online-Banking daher für den Kunden als nicht zu durchschauender Komplex dar, der den Banken Kostenvorteile bringt bei gleichzeitiger Risikoabwälzung auf den Kunden. Wenn man gleichzeitig in der Zeitung lesen kann, daß sich viele Banken aus Kostengründen scheuen, Anti-Skimming-Module an ihren Geldautomaten anzubringen (weil das Risiko da trägt ja auch der Kunde), dann ist das Mißtrauen gegenüber den Banken völlig gerechtfertigt.

Im Endeffekt brauchen wir deshalb einen verbindlichen, einklagbaren Rechtsanspruch der Kunden, daß Banken die ja auch den Kostenvorteil haben, die durch das Online-Banking entstehenden Risiken ebenfalls übernehmen müssen. Bei Kreditkarten funktioniert das ja auch. Aber das wird nicht ohne Gesetzesänderung über die Bühne gehen, die Rechtssprechung des BGH ist in Deutschland für eine Selbstregulierung viel zu bankenfreundlich.

Sehr spannend: Avast schlägt prompt Alarm, wenn man sich meinen letzten Beitrag (den mit dem Javascript-Schadcode) im Feed ankuckt:

Die Malware-Erkennung ist im übrigen korrekt, das ist das Javascript-Programm, das ich im letzten Beitrag beschrieben habe.  Dumm nur, daß ich das Programm lediglich im Text stehen habe, nicht in <script>-Tags. Es sollte daher auch nicht ausgeführt werden. Das Problem für einen Virenscanner ist allerdings, daß diese Unescape-Sequenz nicht nur in HTML-Dateien sondern in CSS-Files versteckt wird. Im Gegensatz dazu ist die Bytefolge sehr charakteristisch.

Ich denke daher, Avast hat lediglich ein Patternmatching auf die Unescape-Sequenz implementiert und schlägt daher immer Alarm wenn diese Folge auftaucht, egal ob ausführbares Skript oder nicht. Mein Antivir schlägt beim Zugriff auf infizierte Webseiten auch Alarm, nicht jedoch beim RSS-Feed.

(Danke Nikola, für die Zusendung des Screenshots)

Heise schreibt, die Stanford University bastelt an einem autonomen Hubschraubersystem, das das Fliegen von einem menschlichen Piloten lernen soll. Ich wäre ja mal interessiert, wen sie da als Fluglehrer engagieren. Ich stelle mir grad so einen Quax, der Bruchpilot vor von dem der Computer das Fliegen lernen soll. Das gibt sicher spannende Schlagzeilen:

“Computergesteuerter Hubschrauber mit noch spektakuläreren Abstürzen in noch kürzerer Zeit.”

Andererseits … dann braucht man dem System das Fliegen gar nicht beibringen. Da genügt es, einfach Windows zu installieren

Aber im Ernst, ist es wirklich effizienter, dem Computer das Fliegen durch einen Fluglehrer beizubringen und ihn nicht einfach mit voller Rechenleistung im Simulator loslegen zu lassen? Wenn das System lediglich die Flugmanöver lernt, die ein realer Pilot vorfliegt, dann wird es auf Dauer einfach zu beschränkt bleiben, um auf kritische Situationen wie beispielsweise in Krisengebieten flexibel reagieren zu können.