Mitternachtshacking

wie man sieht, aus dem Failblog geliehen.

Laut Bitkom sind letztes Jahr (2007) in mehr als 4100 Fällen insgesamt rund 19 Millionen Euro gemopst worden. Ein Anstieg von 25% gegenüber dem Vorjahr (2006). Die meisten Zugangsdaten werden inzwischen wohl nicht mehr mit billigen Spam-Mails und Phishing-Seiten sondern durch Trojaner, DNS-Redirection, etc. geklaut. Ich habe jedenfalls kaum noch Banken-Spam im Posteingangsfach.

Erstaunlich finde ich in diesem Zusammenhang die Untätigkeit der meisten Banken. Ok, meine Bank hat es jetzt endlich auch mal geschafft, aus iTAN umzustellen. Aber Sensibilisierung der Kunden, vielleicht mal ein Brief wenn wieder aktuell was passiert … komplett Fehlanzeig. Ist aber klar, das kostet Geld und laut AGB sind ja die Kunden schuld wenn was passiert.

Das ist wie mit den Geldautomaten. Anti-Skimming-Module, die effizient verhindern, daß Aufsätze oder Kameras montiert werden können kosten lediglich ein paar hundert Euro pro Geldautomat. Trotzdem haben nur etwa 20% aller Automaten solche Module. Die Skimming-Angriffe sind inzwischen jedoch so gut, daß nicht einmal Fachleute des BKA alle Aufsätze zuverlässig erkennen.

2008 sollen die Zahlen übrigens wieder sinken. Angeblich durch bessere Sicherheitsmaßnahmen der Wirtschaft, ich nehme aber an, hauptsächlich wegen besserer Sensibilisierung der Bankkunden. Inzwischen sollte es sich rumgesprochen haben, daß man für Überweisungen nach Estland per Western Union wegen Geldwäsche verurteilt werden kann. Aber das ist ja unseren BGH-Richtern egal. Hauptsache die Banken kommen gut weg.

Weitere Informationen findet der geneigte Leser bei der Arbeitsgruppe Identität im Internet (A-I3) der Ruhr-Universität Bochum.

Nochmal was lustiges trauriges vom Google Browser:

11. Content licence from you
11.1 You retain copyright and any other rights that you already hold in Content that you submit, post or display on or through the Services. By submitting, posting or displaying the content, you give Google a perpetual, irrevocable, worldwide, royalty-free and non-exclusive licence to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content that you submit, post or display on or through the Services. This licence is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.

Faktisch, zumindest im amerikanischen Recht bedeutet das, Google eignet sich das Urheberrecht für alles an, was mittels Chrome erzeugt, geschrieben und irgendwo gepostet wird. Das kenne wir ja schon von Googles Text & Tabellen.

Geht es eigentlich noch mehr Evil?

Bei uns in der Firma ist die Installation und Nutzung von Google Chrome deshalb verboten.

(via The Register)

Der Google Chrome Browser hat ein paar interessante Eigentümlichkeiten, die uns die wahre Intention von Google deutlich zeigen:

1. Klar ist natürlich, daß alle Suchanfragen immer automatisch bei Google landen. Irgendwoher müssen die Suchresultate ja kommen.
2. Das gleiche gilt vermutlich auch für alle anderen aufgerufenen URLs, da ja sowas wie die Google Toolbar integriert ist.

Ok, das unterscheidet sich jetzt nicht von anderen Browsern, wenn ich so blöd bin, ne Toolbar zu installieren. Egal ob Google, Yahoo oder Aks.com. Aber jetzt kommt der spannende Teil.

Jede  Google Chrome Installation hat lt. Datenschutzbeauftragter Online eine eindeutige ID, die bei jeder Anfrage an Google mitgeschickt wird. Dann genügt es einmalig, sich bei irgendeinem Google Dienst (iGoogle, Google Mail, …) anzumelden und Google hat eine eindeutige Zuordnung der Chrome ID zum User. Selbst wenn man nicht angemeldet ist, kann das gesamte Surfverhalten anhand der Chrome ID nachvollzogen werden und die Zuordnung zum realen Nutzer bleibt ja erhalten.

Oder anders ausgedrückt: Mit Google Chrome hat Google bessere Möglichkeiten zur individuellen Profilierung aller Nutzer als je zuvor. Und das ist 100% Evil.Ich weiß schon mal was definitiv nicht auf irgendeinen meiner Rechner kommt!

(via lawblog)

Nachtrag:

Das gilt sogar für jedes einzelne Zeichen(!) das man in die Chrome-Adresszeile eingibt. Jeder Tippfehler landet also auch bei Google. Andreas Krennmair von synflood.at hat das entdeckt und dokumentiert.

Software:
Google Chrome Browser 0.2.149.27

Tested:
Windows XP Professional SP3

Result:
Google Chrome Crashes with All Tabs

Problem:
An issue exists in how chrome behaves with undefined-handlers in chrome.dll version
0.2.149.27. A crash can result without user interaction. When a user is made to visit
a malicious link, which has an undefined handler followed by a ’special’ character,
the chrome crashes with a Google Chrome message window “Whoa! Google Chrome has crashed. Restart now?”. It lies in dealing with the POP EBP instruction when pointed out by the EIP register at 0×01002FF4.

Proof of Concept:
http://evilfingers.com/advisory/google_chrome_poc.php

Credit:
Rishi Narang (psy.echo)
www.greyhat.in
www.evilfingers.com

(via Milw0rm)