Mitternachtshacking

Die Verschlüsselung von Skype wurde mittels Reverse Engineering aufgedeckt. Auf Details müssen wir noch etwas warten. Die gibt es erst auf dem 27C3 im Dezember in Berlin. Als Basis dient ein recht gewöhnlicher RC4, den Skype ein wenig angepasst hat.

Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.

Und ich sage weiterhin: Finger weg von Skype!

So alt und kann doch nicht oft genug wiederholt werden. Verschlüsselte Daten auch auf privaten Festplatten und Datenträgern schützen! Nicht nur bei Verlust der Datenträger sondern auch und vor allem vor Behörden. Und gerade da kann man gar nicht vorsichtig genug sein. Ich hatte neulich erst wieder mit drei Gestalten vom Verfassungsschutz zu tun, mit denen war nichtmal eine normale Diskussion zu diesem Thema möglich, soweit hatten die die Realität ausgeblendet.

Ich persönlich habe meine Rechnerfestplatten normalerweise komplett mit Utimaco verschlüsselt. Das ist ein kommerzielles Produkt, weil ich eventuell dafür Support haben möchte und hauptsächlich deshalb im Einsatz, weil es das erste war, das gut mit Dual-Boot Platten mit Windows/Linux zurecht kam. Wichtige Daten sind auf der verschlüsselten Windows-Partition zusätzlich in einem Truecrypt-Container gespeichert (nur für den Fall, dass Utimaco irgendwann eine Sicherheitslücke oder Hintertür haben sollte) und Passwörter befinden sich in diesem Truecrypt-Container nochmal in einem KeePass-Safe. Wenn das nicht reicht, weiß ich auch nicht.

Ach ja, die Truecrypt-verschlüsselte Festplatte hat aktuell einen brasilianischen Bankier vor dem FBI gerettet. Nach einem Jahr hat das FBI aufgegeben, die Platte noch entschlüsseln zu können. Meine Empfehlung sind Passphrases mit mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen gemischt. Bei meinen Platten halte ich das (mit zwei Ausnahmen) genauso. Ausnahme eins ist ein unverschlüsselter USB-Stick zum Datenaustausch mit Leuten die nicht verschlüsseln können und Ausnahme zwei ist eine Festplatte mit Daten die lediglich für Schulungen und Seminare benötigt werden und eigentlich nicht vertraulich sind. Da ist nur routinemäßig Verschlüsselung drauf und das Passwort kennen ein paar Kollegen. Und so läßt sich auch prima arbeiten.

War doch klar … wenn man schnell genug die Kanäle wechselt oder (was ich eigentlich eher glaube, bei dem Budget das Google hat) auf allen Kanälen gleichzeitig Daten aufzeichnet, dann erwischt man zwangsläufig irgendwann unverschlüsselt übertragene Passwörter beispielsweise von Webseiten oder POP3-Accounts.

Aber nett, dass die französischen Datenschützer das auch bemerkt haben.

Interessant ist, dass die Aktion bisher keine praktischen Konsequenzen für Google hatte. Ok, Frau Aigner, unsere Bundesverbraucherschutzministerin ist ein wenig beleidigt (wen interessierts, wer kennt die überhaupt?), Herr Schaar, unser Bundesdatenschutzbeauftragter ist ein wenig empört (wayne … jeder zahnlose Rentner im Rollstuhl ist gefährlicher)  und irgendeine Staatsanwaltschaft ermittelt sogar (wird eh eingestellt weil das Thema so komplex ist, dass der typisch deutsche Jurist spätestens beim dritten oder vierten Fachbegriff nichts mehr versteht). Insofern … ist das eigentlich doch nicht interessant.

Auf jeden Fall hat Google laut Golem ein Bauernopfer gefunden: “Dem Programmierer, der die Software entwickelt hat, die die Daten mitgeschnitten hat, drohen disziplinarische Maßnahmen, so Schmidt. Eine solche Software zu schreiben, sei “ein klarer Verstoß” gegen die Datenschutzregeln des Unternehmens.” Mich wundert nur immer wieder, wie der Schmidt lügen kann, ohne dabei rot zu werden.

Eigentlich weiß ich gar nicht, was ich heute so schreiben will. Naja, dann halt irgendwas buntes durcheinander:

Apple macht sich weiter unbeliebt

Apple zensiert munter weiter im App-Store. Der Bewertungsmaßstab scheint der durchschnittlichte Hillbilly-Farmer im religiösen Mittleren Westen zu sein. Was der nicht gut findet, wird von Apple auch gesperrt. Inzwischen scheint sich sogar Fanboy und Springer-Chef Döpfner unsicher zu werden. Jedenfalls wird auf allen Kanälen um Hilfe gerufen. Apple schert das gar nicht, jetzt wird mittels iAd-Zensur gegen Google und Microsoft geschossen. Langsam hat man das gesamte IT-Lager (Adobe, Microsoft, Google, …) gegen sich. Und zu aller Freude verliert Partner AT&T auch noch jede Menge Daten.

Adobe macht sich weiter unbeliebt

Zumindest gibt es schon wieder einen Zero-Day Exploit für Flash. Ich verstehe ja manchmal Steve Jobs wenn er Flash nicht auf dem iPfusch haben will. Zusätzlich zu den Fantastilliarden (Enzyklopädie, my ass) an Safari-Lücken auch noch die Flash-Lücken auf seinen Geräten? Dabei gibt’s einen simplen Workaround. Einfach die ganze Adobe-Software deinstallieren. Schon ist Ruhe. Lustig ist nur, dass laut Advisory die Lücke gleichzeitig Flash, Reader und Acrobat betrifft. Da wird anscheinend heftig Code wiederverwendet.

Facebook macht sich weiter unbeliebt

Und zwar durch fleißig aus dem iPhone abgegriffenen Telefonkontaktdaten. Löschen der Daten ist nicht vorgesehen. Auskunft was mit den Daten passiert: keine. Auskunft, wie die Daten geschützt werden: keine. Reaktion vom Bundesdatenschutzbeauftragten Peter Schaar: keine (der wird sich notfalls einfach für “nicht zuständig” erklären). Da kann man nur hoffen, dass man keine “Freunde” hat, die gleichzeitig iPhone- und Facebookaccount-Besitzer sind.

Offtopic: Grätzel gewinnt Millenium-Preis (und macht sich nicht unbeliebt)

Da geht es um organische Solarzellen. Allerdings scheint die Versiegelung des Elektrolyt noch ein Problem zu sein (falls man Wikipedia trauen kann). Das Genie unserer Familie arbeitet in Dresden ebenfalls an organischen Solarzellen und kommentiert das mit: “Das Gute daran ist, dass der optische Anregungszustand durch das TiO2  schnell in Ladungen getrennt wird. Aber das Problem ist der Elektrolyt  und das andere reine organische Solarzellen wie unsere und Polymer-basierte in der Effizienz aufholen und jetzt bei 8% sind (Anmerkung: Grätzel-Zellen sind bei 11%). Ich denke das sich unsere Technologie oder Polymersolarzellen durchsetzen werden.”

Nachtrag:

Fefe hat die wichtigsten aktuellen Lücken in Flash aufbereitet. Langsam machen CVE-Nummern für Adobe gar keinen Sinn mehr. Die brauchen eine eigene Datenbank nur für Adobe-Lücken.

Auf Golem.de gibt es gerade einen sehr schönen Artikel über eine Studie, die die Passwortsicherheit auf Webseiten untersucht hat:

“Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.”

Dabei scheinen größere Webseiten prinzipiell besser zu sein als kleine und Webseiten mit Zahlungsfunktion besser als sonstige.

Ich persönlich sehe das größte Risiko ja immer noch darin, dass die Nutzer auf allen Webseiten das gleiche Passwort verwenden. Wenn dann eine Webseite kompromittiert wird und die Kombination aus Login/Passwort/E-Mail einem Angreifer bekanntgeworden ist, kann sich der Angreifer oft direkt auf vielen verschiedenen anderen Seiten anmelden.

Aber das ist nichts neues. Ich empfehle mal wieder die OSCON 2005 Keynote von Dick Hardt. Schade, daß es immer noch keine vertrauenswürde und verläßliche Identity 2.0 gibt.

Sehr schön. Für das angeblich so versehentliche und durch einen dummen Programmierfehler erfolgte umfangreiche Mitsniffen von Paketen hat Google sogar eine Patentanmeldung eingereicht, berichtet The Register.

Man beachte insbesondere Claim 10-13:

• 10. A computer-implemented method of estimating confidence in a status of a wireless device, the method comprising:obtaining one or more packets of data transmitted from a first wireless device to a second wireless device;evaluating the one or more transmitted data packets to identify a frame type for each respective data packet;identifying the first wireless device or the second wireless device as a wireless access point based upon the identified frame type for at least one of the data packets; andassigning a confidence value to the identification of the wireless access point.
• 11. The method of claim 10, wherein:if the frame type of at least one of the respective data packets is a management frame, then identifying the first wireless device as a wireless access point; andsetting the confidence value for the identification of the wireless access point to a maximum confidence value.
• 12. The method of claim 11, wherein:if the frame type of at least one of the respective data packets is not the management frame, then evaluating whether the frame type of any of the respective data packets is a control frame;if the frame type of at least one of the respective data packets is the control frame, then identifying the first wireless device as the wireless access point; andsetting the confidence value for the identification of the wireless access point to a value between the maximum confidence value and a minimum confidence value.
• 13. The method of claim 10, wherein identifying the first wireless device or the second wireless device as the wireless access point further includes analyzing a number of frames transmitted or received by each device.

Auf Deutsch: wir hören Datenpakete ab, analysieren die Inhalte und bestimmen damit wer Client und wer Access Point ist. Yup, hört sich für mich völlig illegal an. In den USA und in Europa sind auch schon diverse Klagen anhängig.

Aber das passiert halt, wenn man völlig amoralische Techniker an so eine Thematik heranläßt. Gemacht wird, was technisch machbar ist. Ob das legal oder moralisch in Ordnung ist, wird nicht mehr hinterfragt. Und irgendein naiver Fanboy findet sich garantiert auch, der so ein Verhalten verteidigt.

Ich habe meine persönliche Filterliste im Adblock Plus mal überarbeitet und neu strukturiert. Ich bin sicher, man kann die Filter noch optimieren für meine Zwecke sind sie jedoch schnell und effizient genug.

Filterliste allgemeine Webbugs

• .etracker.com/nscnt.php?* (eTracker)
• .etracker.com/cnt.php?* (eTracker)
• .etracker.com/t.js?* (eTracker)
• .nuggad.net/bk?* (nugg.ad)
• .sitestat.com/* (Nedstat)
• quantserv.com/* (Quantcast)
• 2o7.net/* (Omniture)
• .hitbox.com/* (Omniture)
• .extreme-dm.com/c.g?* (Extremetracking)
• .lijit.com/res/images/wijitTrack.gif?* (Lijit)
• .lijit.com/res/images/empty.gif?* (Lijit)
• /botd.wordpress.com/botd.gif?* (Wordpress Botd)
• .webtrekk.net/* (Webtrekk)
• /track.webtrekk.de/* (Webtrekk)
• */webtrekk.js (Webtrekk)
• */webtrekk_media.js (Webtrekk)
• /c*.statcounter.com/* (StatCounter)
• /*.doubleclick.net/ad/* (DoubleClick)
• /stats.blogoscoop.net/* (Blogoscoop)
• .yahoo.com/b?P* (Yahoo)
• /stats.big-boards.com/* (Big Boards)
• /static.getclicky.com/* (Clicky)
• /www.browser-statistik.de/browser.png?* (browser-statistik.de)
• /statse.webtrendslive.com/* (Webtrends)
• /dcstest.wtlive.com/*  (Webtrends)
• /anormal-tracker.de/countv2.php?* (Anormal Media, immerhin zeigt dieser Tracker nicht die kompletten IP-Adressen an, Datenschutz positiv umgesetzt)
• /wikia-ads.wikia.com/onedot.php?* (Wikia Inc.)
• wikio.de/blogs/top/getrank?* (Wikio)
• *.addfreestats.com/cgi-bin/afstrack.cgi?* (Free Web Stats)
• topblogs.de/tracker.php?* (Top Blogs)

Filterliste Google Analytics / Urchin

• .google-analytics.com/* (Google Analytics)
• */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
• */__utm.gif?* (Urchin Tracker Modul ??)
• */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
• */ga.js (das neue Google Analytics Javascript)
• */__ga.js (das neue Google Analytics Javascript)
• ||ajax.googleapis.com/ajax/libs/jquery/*
• ||ajax.googleapis.com/ajax/libs/jqueryui/*

Filterliste IVW / SZM

• .ivwbox.de/cgi-bin/* (Infoline SZM)
• */ivw-bin/ivw/* (Infoline SZM)
• */cgi-bin/igare/CP/* (Infoline SZM ??)
• /ivw.* (Infoline SZM)
• *.ivwbox.de/2004/01/survey.js (Infoline SZM)
• *.wemfbox.ch/2004/01/survey.js (WEMF Schweiz)
• */cgi-bin/ivw/CP/* (WEMF Schweiz)
• ||met.vgwort.de/* (VG Wort)
• /map24agof.php?ivwCode=* (IVW Link auf Map24)

Filterliste Facebook / Like und andere Social Networks

• ||facebook.com/plugins/like.php
• ||facebook.com/plugins/likebox.php
• ||facebook.com/connect.php
• ||facebook.com/connect/connect.php
• ||facebook.com/widgets/recommendations.php
• ||static.ak.fbcdn.net/rsrc.php
• ||static.ak.fbcdn.net/connect.php
• ||badge.facebook.com/badge/
• ||api.tweetmeme.com/button.js

Filterliste Yahoo Web Analytics Tracking

• *.yimg.com/*/ywa.js (Yahoo Web Analytics)

Filterliste Flattr (vermutlich mache ich mich damit unbeliebt)

• api.flattr.com/* (Flattr)

Spezialfilter für nervende Social Network Bookmark Links

• sueddeutsche.de##div[class^=”articlefooter”]
• sueddeutsche.de##div[id^=”bookmarking”]
• sueddeutsche.de##li[class^=”social”]
• welt.de##div[class^=”advertising”]
• welt.de##div[id^=”footerContainer”]
• welt.de##div[id^=”stickySocialBookmarks”]
• spiegel.de##div[id^=”spSocialBookmark”]
• 20min.ch##div[class^=”social_bookmarks”]

Anmerkung am Rande

Die einzige mir bekannte Webseite eines Medienunternehmens auf dem meine Filter nichts, aber auch gar nichts blockieren ist die Webseite des Titanic Magazins.

Nachtrag:

Und ja, ich habe ein (bezahltes) Titanic Abo. Das hat mir mein Bruder zu Weihnachten geschenkt

Nachtrag 2:

Ich habe noch ein paar Facebook-Blockierregeln ergänzt. Das entwickelt sich echt zur Seuche. Ich denke ich werde die Liste mal komplett überarbeiten und optimieren müssen. Dann kann ich die auch als Import-Filter zur Verfügung stellen, wenn das jemand interessiert.

Heute mit Links von den Inseln …

Komplettausschluß aller Haftungsregeln in Software-Lizenzen ist unfair

In Großbritannien hat der High Court (also keine kleineAmtsgerichtsklitsche) entschieden, dass bestimmte Klauseln in Software Lizenzen unfair und damit unwirksam sind. Im speziellen Fall ging es um eine Hotelsoftware, die wohl nicht ganz den Vorgaben entsprochen hat. In den Lizenzbedingungen stand jedoch, der Kunde könne bei Problemen nur auf den Supportvertrag zurückgreifen und keine Rückerstattung verlangen, egal wie schlecht die Software ist. Diese Klausel hat das Gericht als unwirksam verworfen. Ich hoffe ja, dass wir in Deutschland auch irgendwann stärker entweder Produkthaftungsregeln für Software anwenden oder, wenn das nicht möglich oder praktikabel ist, Lizenzbedingungen zumindest wie AGB einer Inhaltskontrolle unterliegen. Naja, abwarten.

Large-Scale Cyber-Attacks

Ebenfalls in Großbritannien wurde vom House of Lords der 5. Bericht zum Schutz der EU vor Large-Scale Cyber-Attacks veröffentlicht. Dabei wurden insbesondere die (vermutlich aus Russland durchgeführten) Angriffe gegen Estland im April/Mai 2007 und die chinesischen Angriffe gegen Systeme des Dalai Lama vor den olympischen Spielen im August 2008 als Beispiele herausgegriffen. Und die ENISA bei der sich Udo Helmbrecht auf seine Pension vorbereitet hat auch einen Seitenhieb bekommen, da sie in Kreta in der Sonne weit ab vom Schuss ist.

UK will Big Brother (ein wenig) zurückfahren

Schreibt Heise. Also, eigentlich ja nicht, aber es ist einfach nicht mehr genug Geld für alles da. Vorratsdatenspeicherung kostet den Staat erstmal Geld und ob es was bringt, weiß eigentlich keiner. Ein paar Ãœberwachungskameras (CCTV) werden vielleicht abgeschaltet. Ein klein wenig weniger DNA- und Fingerabdruckdatenbanken (an Stellen an denen der EUGH schon hinschauen wollte). Und das Auskunftsrecht bei Behörden “wie in Deutschland” klingt eher wie eine Drohung als eine Verheissung. Auf Deutsch, ich bin extrem pessimistisch. Das hört sich an wie das Dialogangebot von Herrn de Maiziere und in Folge wird dann eben auch getrickst, getäuscht und verarscht.

Three Strikes in Irland

Die irren Iren sind da schon einen Schritt weiter. Der (noch) größte irische Provider Eircom hat inzwischen auf Druck der Contentmafia ein System der “abgestuften Erwiederung” eingerichtet. Die IRMA droht schon mal, Eircom “jede Woche mit tausenden IP-Adressen von Copyright-Sündern versorgen zu können”. Wenn das stimmt, hat Eircom in einem Jahr nicht mehr 750.000 Kunden sondern nur noch die Hälfte. Und zu wünschen ist es dem Laden ja auch.

Eric Schmidt, der Evil Overlord CEO von Google findet, dass das Abfangen von WLAN-Daten straffrei sein muss mit der Begründung, es wurde ja niemandem (der nennbar wäre) Schaden zugefügt. Die offizielle Meinung von Google laut Eric Schmidt ist:

“If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place.”

Auf deutsch: Wenn ihr nicht wollt, dass wir euer WLAN ausspionieren, dann nutzt einfach keines. Ausser, es betrifft ihn selbst.

Jens Ferner hat dazu auf Datenschutzbeauftragter-Online einen interessanten Kommentar (eine der wenigen Webseiten die ich ständig verlinke) veröffentlich.

Drucker sind auch so ein gerne unterschätztes Sicherheitsrisiko. Darum mal ein paar mehr oder weniger aktuelle Links zum Nachdenken:

Ausdrucke rückverfolgen

Die meisten Farbdrucker drucken auf eine Seite automatisch kaum sichtbare Codes die unterschiedliche Informationen wie z.B. die Seriennummer des Druckers kodieren. Mit diesen Informationen wird es Strafverfolgungsbehörden beispielsweise ermöglicht, gefälschte Geldscheine zurückzuverfolgen. Ich persönlich halte das jedoch für ein Scheinargument denn Geldscheine haben heute so viele Sicherheitsmerkmale. Das was aus einem Farbdrucker rauskommt ist mit einem echten Geldschein nicht vergleichbar. Insbesondere weil praktisch alle Farbdrucker weitere Sicherheitsverfahren implementieren um keine Geldscheine auszudrucken. Man kann jedoch sehr schön damit auch veröffentlichte Geheimpapiere zurückverfolgen und Whistleblower einschüchtern. Und das liegt garantiert im Staatsinteresse. Die EFF hat schon seit ewigen Zeiten eine Liste mit Druckern, die Codes auf jedem Ausdruck hinterlassen.

Festplatten in Drucker und Kopierer

In Drucker und Kopierer eingebaute Festplatten sind ebenso ein Thema. Seit ewigen Zeiten bekannt und trotzdem sind immer wieder Leute überrascht, wenn deren persönliche Daten beim Kopieren auf dem Drucker gespeichert bleiben. Insbesondere die großen Geräte die alles können sind da recht gefährlich. Aber ich kenne kaum ein Unternehmen, das eine passende Datenschutzpolitik für Drucker und Kopierer hat. Obwohl das Thema immer mal wieder hochkommt.

(Danke Nikola)

Druckerregionalisierung

Noch lustiger (oder unlustiger für den Kunden) ist die Gängelei die sich HP mal wieder einfallen hat lassen. Nicht nur, dass HP die teuerste Tinte aller Zeiten verkauft und die Kunden damit so über den Tisch zieht, dass sie die Reibungshitze als Nestwärme empfinden, nein, jetzt werden die Drucker auch noch so regionalisiert, dass man für einen in Australien gekauften Drucker in Europa keine Patronen mehr kaufen kann. Pech für Leute die ab und an umziehen. Denen kann man nur empfehlen auf HP zu verzichten. Inzwischen scheint HP aber auch zu erkennen, dass das eine ganz dumme Idee ist und gibt Anleitungen heraus um den Regionalcode des Druckers zurückzusetzen.

Bei sowas frage ich mich ja immer, welcher hirnamputierte Idiot da bei den großen Konzernen im Product Marketing sitzt und solche Entscheidungen trifft. Für vielleicht drei oder vier tatsächlich mehrverkaufte Geräte (der Graumarkt lässt sich dadurch nicht eindämmen) nimmt man einen erheblichen Imageschaden für das Unternehmen im Kauf. Aber das sind die klassischen Management-Söldner heute. Wenn der Karren an die Wand gefahren ist, verlässt man das Unternehmen mit einer hohen Abfindung und zieht weiter wie die Wanderheuschrecken. Middlehoff läßt grüßen.