Mitternachtshacking

Die Umbrella Corporation Fraunhofer Gesellschaft (genauer Fraunhofer SIT) hat bekanntlich vor einiger Zeit eine bezahlte Studie im Auftrag von Microsoft durchgeführt und gezählt, wie viel Spam bei diversen Freemail-Anbietern aufschlägt (Link zum PDF).

Gewonnen hat Yahoo vor Hotmail und Googlemail. Die beiden 1&1-Firmen Web.de und GMX schnitten deutlich schlechter ab. Über die zu erwartenden Mängel bei einer bezahlten Studie im allgemeinen und einer Fraunhofer Studie im besonderen hat Basic Thinking einen ganz netten Bericht geschrieben. Probleme sind insbesondere, was ist alles Spam (z.B. die Hauspost von GMX die ja zur Finanzierung des Dienstes dient), was ist mit Spam der zugestellt aber als Spam markiert ist (z.B. wenn die Zustellung gesetzlich vorgeschrieben ist) und wie man mit False Positive umgeht (was mit persönlich wichtig ist, lieber ein Spam zu viel als eine wichtige Nachricht verloren). Egal, ist ja eine Fraunhofer Studie (also Werbung) und außer Spiegel Online fällt da keiner mehr drauf rein.

Da ich bei all denen kein echter Nutzer bin interessiert mich eigentlich nicht, wie viel Spam man bei GMX oder Hotmail bekommt. Statt dessen interessiert mich als Nutzer einer anderen Mailadresse, wie viel Spam ich von diesen kostenlosen Diensten bekomme, d.h. was mich dieser Dienst kostet, obwohl ich gar nicht Nutzer bin.

Ich habe letzten Monat deshalb mal andersrum gezählt, nämlich von welchen Adressen ich den meisten Spam auf meine privaten und Firmenadressen bekomme (ist der gleiche Mailserver, darum einfach zu zählen). Genauso stichprobenartig und systematisch wie Fraunhofer. Einfach gezählt, was für mich Spam ist. Die meisten Mails werden mittels Real-Time Blacklist geblockt, insbesondere auch, wenn die Absenderdomain mit dem Absenderserver nicht zusammengeht. Die gezählten Mails sind deshalb nur die Spam-Mails die direkt über die Server der jeweiligen Anbieter verschickt wurden.

Und hier das Ergebnis:

1. Gmail: 14 Spam-Mails
2. Hotmail: 9 Spam-Mails
3. Web.de: 1 Spam-Mail
4. GMX: 1 Spam Mail

Mein Fazit: Den größten Schaden durch Spam-Versand an andere richten Google (Gmail) und Microsoft (Hotmail) an. Schade, dass man die nicht verbieten kann.

LUCiD hat auf seiner Webseite ein paar lustige Filter eingebaut. Wenn man beispielsweise von einer harmlosen O2-Adresse drauf zugreifen will bekommt man gerne mal eine Fehlermeldung, dass man nicht erwünscht ist weil Bot-Trap die IP-Adresse auf einer Blacklist führt. Chrome ist komplett unerwünscht. Die meisten Suchmaschinen auch. Ist mir ja egal, jeder darf auf seiner Seite entscheiden wen er drauflassen will. Wenn ich hier niemanden haben wollte, würde ich einfach ein Passwort davorpacken und Ruhe ist. Die Texte die ich schreibe sind unter eine Common Criteria Lizenz nutzbar und das mit der “nicht-kommerziellen Nutzung” sehe ich persönlich nicht so eng. Zumindest sind ein paar Google-Banner nach meinen Kriterien noch keine kommerzielle Nutzung (auch wenn es Leute gibt die davon leben können). Egal.

Viel lustiger finde ich den Knopf “keine Zielgruppe” und den dahinterliegenden Text. Ich klaue zitiere jetzt mal ein paar Auszüge:

5. Werbegeschenke wie Kugelschreiber, Rabattmarken, Taschenrechner, Gratis-Downloads, Promotion-Codes, CD-Roms, Gratis Probeexemplare, Aufkleber, Anstecker o.Ä. führen nicht zu einer Änderung meines Konsumverhaltens.

Das ist schon mal eine mutige Aussage. Eine Menge von Werbung ist inzwischen so subtil angelegt, dass sie auf den ersten Blick gar nicht als Werbung wahrnehmbar ist. Dazu kommt, dass durch Probeexemplare, Aufkleber etc. mir vielleicht erst Produkte bekannt werden die meiner ethischen Überzeugung oder meinen finanziellen Rahmenbedingungen entsprechen und deshalb gekauft werden. Ich bin mir sehr sicher und bewußt, dass Werbegeschenke mein Konsumverhalten verändern können.

7. Aus meinen persönlichen Konsumgewohnheiten lassen sich keine Rückschlüsse auf meine politischen, ethischen oder moralischen Grundüberzeugungen schließen.

Ich bin mir sehr sicher, dass sich aus meinen persönlichen Konsumgewohnheiten ein paar Rückschlüsse auf meine Grundüberzeugungen schließen lassen. Ich kaufe Fleisch, also bin ich kein Vegetarier. Ich kaufe nichts der Dalli-Werke weil die der Familie Wirtz (Grünenthal) gehören (und weil es gleichwertige verfügbare Alternativen gibt). Und ich nehme Einfluß auf meine Mitmenschen, das genauso zu halten.

Warum schreibe ich das eigentlich? Ach ja, zwei Gründe.

1. Ich halte es für nutzlos, mit Sperren, Filtern, Zwangsmaßnahmen etc. auf Mißstände hinweisen zu wollen. Ich würde beispielsweise niemals Chrome-Nutzer aussperren. Es ist das gute Recht jedes Benutzers einen beliebigen Browser zu verwenden. Ich würde Chrome nicht verwenden, aber meinetwegen. Ich halte mich nicht für besser oder klüger, anderen da Vorschriften machen zu müssen.

2. Ich bin Zielgruppe. Ganz bestimmt. Meine Anschrift für Werbegeschenke steht im Impressum. Gerne auch große Pakete Ich blogge nur nicht darüber, wenn ich was bekomme.

Nachtrag:

Link zu LUCiD auf besonderen Wunsch auf dereferer.org geändert

Ich hab da noch eine lange Liste von Links die ich mir mal aufgehoben habe um hier im Blog darüber was zu schreiben. Die werde ich jetzt langsam abarbeiten.

Gesichtserkennung überlisten

Auf der Defcon 17, im August letzten Jahres gab es einen Wettbewerb wie man automatische Gesichtserkennungssysteme austricksen kann. Gewonnen hat ein Cap, das mit LEDs ausgestattet ist die so pulsieren, dass Gesichtserkennungssysteme nicht mehr richtig funktionieren. Sieht lustig aus, das Teil.

Fooling Face Recognition Systems with Makeup

Zu diesem Thema gibt es übrigens schon ein wenig Sekundärliteratur: “Most faces have a dark region just above the eyes, while the cheek bones and nose bridge will appear lighter. When the algorithm detects enough such attributes, it guesses the object is a face.” Durch geschickte Verwendung von Makeup kann man nun erreichen, dass diese Hell-Dunkel-Flächen nicht mehr korrekt erkannt werden. Cnet und The Register haben mehr dazu. Und Lady Gaga.

Äh … ja

Rémi Gaillard ist ein französischer Aktionskünstler der immer wieder Aktionen bringt bei denen einem echt nichts mehr einfällt. Der Rocky-Verschnitt im Supermarkt beispielsweise oder im Mario Kart durch Paris fahren. Hat weder was mit Gesichtserkennung noch mit IT-Security zu tun, ist aber trotzdem lustig.

Der Wert von Security-Zertifizierungen

Die meisten Zertifizierungen fragen einfach nur gelerntes Wissen ab. CISSP ist so ein Beispiel. Im Grunde kann man sich ne Woche hinsetzen und Fragen und Antworten auswendig lernen und kann dann kaum noch durchfallen. Entsprechend umstritten sind manche dieser Zertifizierungen, wie der Aufruf zum Capture The Flag Wettbewerb der diesjährigen Defcon beweist: “Those with SANS certs need not apply. CISSPs are right out. CEH holders…well, we sorta feel a little bit sorry for those that admit to holding this cert and abstain from mocking.” Sehr schön. Ach ja, Meldeschluß ist am 20. Mai.

Fefe rantet gerne mal in alle möglichen Richtungen und meistens hat er ja recht. In einem konkreten Fall möchte ich ihm aber widersprechen und zwar wenn es um den Sicherheitsbeauftragten von Facebook geht. Der hat laut Heise in einem Interview festgehalten:

“Kelly gab bei Facebook die Devise aus, dass das Sammeln von Informationen über Attacken und die dahinter stehenden Kriminellen wichtiger ist als das Stopfen sämtlicher Lücken.”

Daraus hat Fefe sich zu folgender Aussage verstiegen:

“Der Polizist ist gewohnt, Verbrecher zu verfolgen. Wenn er die Lücken alle fixt, dann ist er aus seiner Sicht arbeitslos. Also kann er das nicht tun. Stattdessen wird er sich zusammenrationalisieren, dass das eh nicht geht, und seine Ressourcen für Honeypots und ähnlichen Mumpitz ausgeben.”

Das ist in diesem Zusammenhang meiner Ansicht nach völliger Quatsch. Ich kann mir gut vorstellen, dass der Code von Facebook inzwischen so komplex ist, dass sie gar nicht mehr alles sicher programmiert kriegen. Das ist wie mit Windows. Microsoft kriegt da auch nicht alle Fehler raus, ganz im Gegenteil. Und noch schlimmer ist, mit jeder Iteration können neue Fehler und ganz neue Fehlerklassen auftreten, die bisher niemand berücksichtigt hat. Beispielsweise durch den PHP-Compiler. Stefan Esser, der gerade wieder den Month of PHP-Bugs ausgerufen hat, kennt sich da am besten aus. Der findet Fehler in PHP, an die vorher niemand gedacht hat. Völlig neues kreatives Zeug.

Genau deshalb ist es extrem wichtig, dass man nicht nur Fehler schließt sondern auch neue Fehler und Probleme erkennen kann, bevor sie echten Schaden auslösen. Das genau ist effizientes Risikomanagement. Ob man dazu Honeypots braucht sei dahingestellt, wichtig ist aber, den Sicherheitsvorfall möglichst schnell zu erkennen und einzudämmen. Mein Lieblingssatz dazu lautet: “All Control Is Damage Control“.

Oder wie das Donald Rumsfeld mal formuliert hat:

“There are known knowns. These are things we know that we know. There
are known unknowns. That is to say, there are things that we know we
don’t know. But there are also unknown unknowns. There are things we
don’t know we don’t know.”

Und auf die müssen wir auch achten, nicht nur auf die Lücken!

Dank Google Safebrowsing wissen wir endlich, in welchen Netzen und auf welchen Domains die Bösen der Bösen sitzen … im Google Internet Backbone:

und bei Doubleclick:

Gut zu wissen

(via Fefe)

Schöpfungshöhe und Pornos

Die Taiwanesen stehen auf japanische Pornos. Zumindest die dortige Behörde für geistiges Eigentum: “Die taiwanesische Behörde für geistiges Eigentum reagierte darauf mit dem Stellungnahme, wonach man die Frage, ob ein Porno als schöpferisches Werk gelte, nur von Fall zu Fall entscheiden könne.” Auf Deutsch: von Fall zu Fall wollen die alle Pornos erstmal ankucken. Mal kucken ob man sich da bewerben kann

VolksPad

St. Steve erlaubt nicht mehr beliebige Programme und Entwicklungswerkzeuge auf dem iPhone und iPad. Das ist inzwischen wohl allgemein bekannt. Ich verstehe auch nicht, welcher Depp denn überhaupt noch für das iPad entwickelt. Egal. Nach dem iPad, dem WePad, dem MyPad und dem MeTooPad gibt es demnächst bei Bild im Online-Shop: das VolksPad.

Noch ne App

Und weil wir gerade beim iPhone und Karikaturen sind: Das ist ne App.

89 Taxis

Warum 89 wird erst am Ende aufgelöst. Aber das Video bei Annalist zeigt sehr schön den Sicherheitsirrsinn, dem unsere Innenpolitikerknallköpfe verfallen sind. Erst sprengen, dann fragen.

Und jetzt wird’s völlig offtopic, aber die paar Bilder müssen hier noch drauf …

Ich mache mir ja gerne einen Spaß und fotografiere, wenn ein Japaner andere Japaner aus der gleichen Reisegruppe fotografiert. Die stellen sich nämlich gerne in obskure Posen und meistens sieht das dann ganz lustig aus. Deshalb das folgende kleine Bilderrätsel. Wo sind diese Bilder aufgenommen worden?

Kleiner Hinweis, da stellen sich praktisch alle Touristen so komisch hin. Italien ist schonmal nicht verkehrt aber ein wenig genauer wäre schon hilfreich. Meine Freundin macht sich übrigens inzwischen einen Spaß daraus, mich zu fotografieren während ich Japaner fotografiere, die Japaner fotografieren.

Und ich verspreche, jetzt ist auch wieder Schluß mit dem Offtopic Content.

Gelegentlich stößt man neben einigen Stickern auch noch auf ein interessantes italienisches Kunstprojekt:

Leider ist mein Italienisch dafür wirklich zu schlecht

Im letzten Teil habe ich die Sticker untergebracht, die ich nicht zuordnen konnte. Oft ist da nur eine Grafik drauf, die manchmal auch recht lustig aussieht. Wie immer weiter nach dem Klick.

Vielleicht sollte ich für das Blog hier auch Sticker drucken lassen

(weiterlesen…)

Kommen wir zu reinen Werbestickern. Interessant finde ich, daß mehrere Modeunternehmen dabei sind, aber auch Kneipen und Bands und viele Sticker nur eine Grafik und einen Link auf eine Webseite enthalten. Ich warte ja darauf, daß die ersten Sticker mit 2D-Barcode ausgestattet werden, damit man sich die URL nicht mehr merken muß.

(weiterlesen…)