18. Mai 2010
Aktuell kenne ich vier:
- Brutus AET (Windows, sehr alt, letztes Update 12.04.2000)
- THC Hydra (Linux, Windows, Palm, Source Code, letztes Update 05.05.2006)
- Medusa (Linux, Source Code, letztes Update 10.02.2010)
- Bruter (Windows, Source Code, letztes Update 24.04.2010)
Bruter ist davon die neueste Software und hoffentlich endlich wieder ein Programm das vernünftig unter Windows funktioniert. Ich bin leider noch nicht zum Testen gekommen. Bei THC hat sich in letzter Zeit leider auch nicht mehr viel getan, was ich schade finde. Hydra könnte mal ein Update und ein paar Bugfixes vertragen. Ansonsten kenne ich nur noch ein paar Spezialprogramme wie TSGrinder (für RDP) oder diverse Share Scanner (für SMB).
16. Mai 2010
Inzwischen kann die Gleichsetzung von Google mit Datenschutzverbrechern gar nicht mehr strafbar sein. Nach allem was man liest und was Google so zugibt handelt es sich um eine wahre Tatsachenbehauptung.
Wenn Google also (wie inzwischen zugegeben) mit Autos durch die Gegend fährt und Datenpakete aus unverschlüsselten WLANs mitsnifft, dann ist das meiner Ansicht nach ein Verstoß gegen § 202b StGB. Auch wenn die Datenübertragung unverschlüsselt ist, waren die Daten garantiert nicht für Google bestimmt. Ich kenne auch niemanden der Google dazu befugen würde. Komplizierter ist es nur mit der Öffentlichkeit. Nur weil die Daten unverschlüsselte Funkdaten sind, kann man jedoch noch nicht von Öffentlichkeit ausgehen. Eine unverschlüsselte Übertragung von E-Mails von mir zu einem anderen mittels SMTP abzuhören fällt explizit nämlich auch unter den § 202b StGB. Inzwischen gibt es für solche Fälle sogar Sekunderliteratur und ein wenig Rechtsprechung. Allerdings braucht es für eine Anzeige einen Betroffenen und der wird nicht zu ermitteln sein. Ich persönlich habe (leider) kein offenes Funknetz und müsste dann auch noch wissen, wann Google bei mir vorbeigefahren ist.
Die Frage ist: glaubt irgendjemand, dass der Vorfall „versehentlich“ erfolgt ist? Merkt Google nicht, wenn mehrere hundert Gigabyte Daten (laut Süddeutsche Zeitung 600 GB) gesammelt werden, weil statt nur der Positionsdaten auch Paketdaten mitgesnifft werden? Oder werden wir einfach nur belogen und betrogen?
Und zuletzt: Wo belügt uns Google eigentlich noch überall?
Nachtrag:
Der Clou ist jetzt, dass Google behauptet die Daten nicht mehr einfach löschen zu dürfen, weil sie ja Beweismittel in einem Kriminalfall sein könnten. Ich denke, Google hebt die Daten einfach mal auf bis Gras drüber gewachsen ist. Das wäre zumindest typisch für das bisherige Verhalten der Datenkrake.
Nachtrag 2:
Kris Köhntopp schreibt, dass das ein normales Verhalten einer Bibliothek wäre, dass im Monitor Mode einer Netzwerkkarte halt Pakete mitgeschrieben werden. Deshalb wäre das ein lässlicher Fehler und Spiegel und Co. übertreiben da alle (und ich natürlich auch). Naja, wenn man wie Kris grundsätzlich alles in eine MySQL-Datenbank schreibt und dann erst analysiert muss man wohl zu diesem Ergebniss kommen. Ich habe allerdings selbst schon WLAN-Sniffing Software programmiert. Und ja, natürlich liest die Bibliothek im Monitor Mode alle Pakete mit, aber nein, die landen nicht alle auf der Festplatte. Die werden in Echtzeit von der Software analysiert und die interessanten Pakete schreibe ich mit. Das darf Kris gerne mal mit seiner Aircrack Suite probieren. Die kann nämlich auch z.B. nur IVs mitschreiben und den Rest nicht. Und zwar OHNE, dass alle Daten auf einer Festplatte gespeichert werden müssen.
Ich glaube immer noch, jeder der von Anfang an so ein Projekt entwirft, überlegt sich welche Daten er braucht und schreibt genau diese Daten mit. Und wenn Google mehr Daten mitgeschrieben hat, dann nicht, weil das ein versehen war sondern weil von Anfang an geplant war, alle Daten mitzuschreiben. Warum, ist mir dann eigentlich auch völlig egal.
15. Mai 2010
Drucker sind auch so ein gerne unterschätztes Sicherheitsrisiko. Darum mal ein paar mehr oder weniger aktuelle Links zum Nachdenken:
Ausdrucke rückverfolgen
Die meisten Farbdrucker drucken auf eine Seite automatisch kaum sichtbare Codes die unterschiedliche Informationen wie z.B. die Seriennummer des Druckers kodieren. Mit diesen Informationen wird es Strafverfolgungsbehörden beispielsweise ermöglicht, gefälschte Geldscheine zurückzuverfolgen. Ich persönlich halte das jedoch für ein Scheinargument denn Geldscheine haben heute so viele Sicherheitsmerkmale. Das was aus einem Farbdrucker herauskommt ist mit einem echten Geldschein nicht vergleichbar. Insbesondere weil praktisch alle Farbdrucker weitere Sicherheitsverfahren implementieren um keine Geldscheine auszudrucken. Man kann jedoch sehr schön damit auch veröffentlichte Geheimpapiere zurückverfolgen und Whistleblower einschüchtern. Und das liegt garantiert im Staatsinteresse. Die EFF hat schon seit ewigen Zeiten eine Liste mit Druckern, die Codes auf jedem Ausdruck hinterlassen.
Festplatten in Drucker und Kopierer
In Drucker und Kopierer eingebaute Festplatten sind ebenso ein Thema. Seit ewigen Zeiten bekannt und trotzdem sind immer wieder Leute überrascht, wenn deren persönliche Daten beim Kopieren auf dem Drucker gespeichert bleiben. Insbesondere die großen Geräte die alles können sind da recht gefährlich. Aber ich kenne kaum ein Unternehmen, das eine passende Datenschutzpolitik für Drucker und Kopierer hat. Obwohl das Thema immer mal wieder hochkommt.
(Danke Nikola)
Druckerregionalisierung
Noch lustiger (oder unlustiger für den Kunden) ist die Gängelei die sich HP mal wieder einfallen hat lassen. Nicht nur, dass HP die teuerste Tinte aller Zeiten verkauft und die Kunden damit so über den Tisch zieht, dass sie die Reibungshitze als Nestwärme empfinden, nein, jetzt werden die Drucker auch noch so regionalisiert, dass man für einen in Australien gekauften Drucker in Europa keine Patronen mehr kaufen kann. Pech für Leute die ab und an umziehen. Denen kann man nur empfehlen auf HP zu verzichten. Inzwischen scheint HP aber auch zu erkennen, dass das eine ganz dumme Idee ist und gibt Anleitungen heraus um den Regionalcode des Druckers zurückzusetzen.
Bei so etwas frage ich mich ja immer, welcher hirnamputierte Idiot da bei den großen Konzernen im Product Marketing sitzt und solche Entscheidungen trifft. Für vielleicht drei oder vier tatsächlich mehr verkaufte Geräte (der Graumarkt lässt sich dadurch nicht eindämmen) nimmt man einen erheblichen Imageschaden für das Unternehmen im Kauf. Aber das sind die klassischen Management-Söldner heute. Wenn der Karren an die Wand gefahren ist, verlässt man das Unternehmen mit einer hohen Abfindung und zieht weiter wie die Wanderheuschrecken. Middlehoff lässt grüßen.
14. Mai 2010
13. Mai 2010
Die Umbrella Corporation Fraunhofer Gesellschaft (genauer Fraunhofer SIT) hat bekanntlich vor einiger Zeit eine bezahlte Studie im Auftrag von Microsoft durchgeführt und gezählt, wie viel Spam bei diversen Freemail-Anbietern aufschlägt (Link zum PDF).
Gewonnen hat Yahoo vor Hotmail und Googlemail. Die beiden 1&1-Firmen Web.de und GMX schnitten deutlich schlechter ab. Über die zu erwartenden Mängel bei einer bezahlten Studie im allgemeinen und einer Fraunhofer Studie im besonderen hat Basic Thinking einen ganz netten Bericht geschrieben. Probleme sind insbesondere, was ist alles Spam (z.B. die Hauspost von GMX die ja zur Finanzierung des Dienstes dient), was ist mit Spam der zugestellt aber als Spam markiert ist (z.B. wenn die Zustellung gesetzlich vorgeschrieben ist) und wie man mit False Positive umgeht (was mit persönlich wichtig ist, lieber ein Spam zu viel als eine wichtige Nachricht verloren). Egal, ist ja eine Fraunhofer Studie (also Werbung) und außer Spiegel Online fällt da keiner mehr drauf rein.
Da ich bei all denen kein echter Nutzer bin interessiert mich eigentlich nicht, wie viel Spam man bei GMX oder Hotmail bekommt. Statt dessen interessiert mich als Nutzer einer anderen Mailadresse, wie viel Spam ich von diesen kostenlosen Diensten bekomme, d.h. was mich dieser Dienst kostet, obwohl ich gar nicht Nutzer bin.
Ich habe letzten Monat deshalb mal andersrum gezählt, nämlich von welchen Adressen ich den meisten Spam auf meine privaten und Firmenadressen bekomme (ist der gleiche Mailserver, darum einfach zu zählen). Genauso stichprobenartig und systematisch wie Fraunhofer. Einfach gezählt, was für mich Spam ist. Die meisten Mails werden mittels Real-Time Blacklist geblockt, insbesondere auch, wenn die Absenderdomain mit dem Absenderserver nicht zusammengeht. Die gezählten Mails sind deshalb nur die Spam-Mails die direkt über die Server der jeweiligen Anbieter verschickt wurden.
Und hier das Ergebnis:
- Gmail: 14 Spam-Mails
- Hotmail: 9 Spam-Mails
- Web.de: 1 Spam-Mail
- GMX: 1 Spam Mail
Mein Fazit: Den größten Schaden durch Spam-Versand an andere richten Google (Gmail) und Microsoft (Hotmail) an. Schade, dass man die nicht verbieten kann.
11. Mai 2010
LUCiD hat auf seiner Webseite ein paar lustige Filter eingebaut. Wenn man beispielsweise von einer harmlosen O2-Adresse drauf zugreifen will bekommt man gerne mal eine Fehlermeldung, dass man nicht erwünscht ist weil Bot-Trap die IP-Adresse auf einer Blacklist führt. Chrome ist komplett unerwünscht. Die meisten Suchmaschinen auch. Ist mir ja egal, jeder darf auf seiner Seite entscheiden wen er drauf lassen will. Wenn ich hier niemanden haben wollte, würde ich einfach ein Passwort davorpacken und Ruhe ist. Die Texte die ich schreibe sind unter eine Creative Commons Lizenz nutzbar und das mit der „nicht-kommerziellen Nutzung“ sehe ich persönlich nicht so eng. Zumindest sind ein paar Google-Banner nach meinen Kriterien noch keine kommerzielle Nutzung (auch wenn es Leute gibt die davon leben können). Egal.
Viel lustiger finde ich den Knopf „keine Zielgruppe“ und den dahinter liegenden Text. Ich klaue zitiere jetzt mal ein paar Auszüge:
5. Werbegeschenke wie Kugelschreiber, Rabattmarken, Taschenrechner, Gratis-Downloads, Promotion-Codes, CD-Roms, Gratis Probeexemplare, Aufkleber, Anstecker o.Ä. führen nicht zu einer Änderung meines Konsumverhaltens.
Das ist schon mal eine mutige Aussage. Eine Menge von Werbung ist inzwischen so subtil angelegt, dass sie auf den ersten Blick gar nicht als Werbung wahrnehmbar ist. Dazu kommt, dass durch Probeexemplare, Aufkleber etc. mir vielleicht erst Produkte bekannt werden die meiner ethischen Überzeugung oder meinen finanziellen Rahmenbedingungen entsprechen und deshalb gekauft werden. Ich bin mir sehr sicher und bewusst, dass Werbegeschenke mein Konsumverhalten verändern können.
7. Aus meinen persönlichen Konsumgewohnheiten lassen sich keine Rückschlüsse auf meine politischen, ethischen oder moralischen Grundüberzeugungen schließen.
Ich bin mir sehr sicher, dass sich aus meinen persönlichen Konsumgewohnheiten ein paar Rückschlüsse auf meine Grundüberzeugungen schließen lassen. Ich kaufe Fleisch, also bin ich kein Vegetarier. Ich kaufe nichts der Dalli-Werke weil die der Familie Wirtz (Grünenthal) gehören (und weil es gleichwertige verfügbare Alternativen gibt). Und ich nehme Einfluss auf meine Mitmenschen, das genauso zu halten.
Warum schreibe ich das eigentlich? Ach ja, zwei Gründe.
1. Ich halte es für nutzlos, mit Sperren, Filtern, Zwangsmaßnahmen etc. auf Missstände hinweisen zu wollen. Ich würde beispielsweise niemals Chrome-Nutzer aussperren. Es ist das gute Recht jedes Benutzers einen beliebigen Browser zu verwenden. Ich würde Chrome nicht verwenden, aber meinetwegen. Ich halte mich nicht für besser oder klüger, anderen da Vorschriften machen zu müssen.
2. Ich bin Zielgruppe. Ganz bestimmt. Meine Anschrift für Werbegeschenke steht im Impressum. Gerne auch große Pakete 🙂 Ich blogge nur nicht darüber, wenn ich was bekomme.
Nachtrag:
Link zu LUCiD auf besonderen Wunsch auf dereferer.org geändert 😉
10. Mai 2010
Mal wieder was aus der Arbeit, weil ich zur Zeit viel mit Juniper-Geräten zu tun habe.
Juniper Networks hat ein paar Broschüren in der Reihe „Day One“ veröffentlicht, die einen Einstieg am „ersten Tag“ in ein bestimmtes Thema eröffnen sollen. Die meisten davon sind sehr spezifisch auf JUNOS zugeschnitten und deshalb für alle nicht JUNOS-Nutzer eher nutzlos. Es gibt aber eine nette Einführung in IPv6, die auch für alle anderen interessant sein könnte.
Und ein paar neue Schulungsunterlagen hat Juniper auch veröffentlicht. Darunter die kompletten Einführungsschulungen für JUNOS (IJS, JRE, TJP, OESJ), Routing (OJRE, AJRE), Switching (OJXE) und Security (JSEC). Insgesamt acht Schulungen, deren Schulungsunterlagen praktisch komplett frei (Registrierung erforderlich!) im Netz stehen.
Schade, dass die Geräte nicht günstiger sind.
9. Mai 2010
Symantec war einkaufen und PGP gehört jetzt Symantec. PGP, als Software von Phil Zimmermann entwickelt und als Firma mitgegründet, war lange Jahre ein Geschäftsbereich von Network Associates, wurde von NAI jedoch nicht konsequent weiterentwickelt. Die PGP-Software wurde deshalb zurückverkauft und ist jetzt bei Symantec gelandet. Zusammen mit den vorher von PGP gekauften Unternehmen Glück & Kanja Technology, Chosen Security und TC Trustcenter.
Tja, der Norton Virenscanner von Symantec heißt bei uns intern „die gelbe Gefahr“. Securityfocus … ein Schatten seiner selbst. Die ganzen Tools von Atstake wie LC5 … verschwunden. Die Symantec Firewalls (ganz früher Axent Raptor, dann Symantec Enterprise Firewall, zuletzt Symantec Gateway Security) … eingestellt.
Ich fürchte, mit PGP werde ich in Zukunft auch nicht mehr froh.
Joey deVilla hat auf Global Nerdy eine Liste von Begriffen zusammengetragen, die von Programmierern umgedeutet werden. Darunter so schöne wie:
- Bugfoot: A bug that isn’t reproducible and has been sighted by only one person.
- Counterbug: A defensive move useful for code reviews. If someone reviewing your code presents you with a bug that’s your fault, you counter with a counterbug: a bug caused by the reviewer.
- Ghetto Code: A particularly inelegant and obviously suboptimal section of code that still meets the requirements.
Mir fällt da in deutscher Sprache gar nicht viel ein:
- Spaghetticode: Unstrukturierter Code kreuz und quer durch die Gegend springt. Dafür gibt es sogar einen Wikipedia-Eintrag.
Auch das Jargon-File wurde nur auf Englisch gepflegt und mir ist keine deutsche Variante bekannt. Vielleicht sollte man da mal sammeln. Aber dann bitte nur Programmiererbegriffe, keinen Gamer-Slang wie Boons oder Noobs.
8. Mai 2010
Ich hab da noch eine lange Liste von Links die ich mir mal aufgehoben habe um hier im Blog darüber was zu schreiben. Die werde ich jetzt langsam abarbeiten.
Gesichtserkennung überlisten
Auf der Defcon 17, im August letzten Jahres gab es einen Wettbewerb wie man automatische Gesichtserkennungssysteme austricksen kann. Gewonnen hat ein Cap, das mit LEDs ausgestattet ist die so pulsieren, dass Gesichtserkennungssysteme nicht mehr richtig funktionieren. Sieht lustig aus, das Teil.
Fooling Face Recognition Systems with Makeup
Zu diesem Thema gibt es übrigens schon ein wenig Sekundärliteratur: „Most faces have a dark region just above the eyes, while the cheek bones and nose bridge will appear lighter. When the algorithm detects enough such attributes, it guesses the object is a face.“ Durch geschickte Verwendung von Makeup kann man nun erreichen, dass diese Hell-Dunkel-Flächen nicht mehr korrekt erkannt werden. Cnet und The Register haben mehr dazu. Und Lady Gaga.
Äh … ja
Rémi Gaillard ist ein französischer Aktionskünstler der immer wieder Aktionen bringt bei denen einem echt nichts mehr einfällt. Der Rocky-Verschnitt im Supermarkt beispielsweise oder im Mario Kart durch Paris fahren. Hat weder was mit Gesichtserkennung noch mit IT-Security zu tun, ist aber trotzdem lustig.
Der Wert von Security-Zertifizierungen
Die meisten Zertifizierungen fragen einfach nur gelerntes Wissen ab. CISSP ist so ein Beispiel. Im Grunde kann man sich ne Woche hinsetzen und Fragen und Antworten auswendig lernen und kann dann kaum noch durchfallen. Entsprechend umstritten sind manche dieser Zertifizierungen, wie der Aufruf zum Capture The Flag Wettbewerb der diesjährigen Defcon beweist: „Those with SANS certs need not apply. CISSPs are right out. CEH holders…well, we sorta feel a little bit sorry for those that admit to holding this cert and abstain from mocking.“ Sehr schön. Ach ja, Meldeschluß ist am 20. Mai.
