11. Juli 2010

Skype Verschlüsselung Reverse Engineered

Category: Datenschutz,Hacking,Internet — Christian @ 20:32

Die Verschlüsselung von Skype wurde mittels Reverse Engineering aufgedeckt. Auf Details müssen wir noch etwas warten. Die gibt es erst auf dem 27C3 im Dezember in Berlin. Als Basis dient ein recht gewöhnlicher RC4, den Skype ein wenig angepasst hat.

Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.

Und ich sage weiterhin: Finger weg von Skype!

Perfect Citizen

Category: Internet,Politik — Christian @ 11:54

Die Bezeichnung „Perfect Citizen“ der NSA für ein Bürgerüberwachungs- und -bespitzelungsprogramm (die NSA bezeichnet es als „Forschungsprogramm“) ist behördlicher Neusprech allererster Güte. Der „Perfekte Bürger“ ist aus Sicht der Behörden schließlich der obrigkeitshörige, verdummte, kritiklos alles mit sich machen lassende Bürger. George Orwell wäre stolz auf diese Verwendung.

Anscheinend bastelt die NSA zusammen mit Raytheon an einem Programm, das potentielle Cyberkriminelle erkennen kann. Der Nachteil: offensichtlich muss man dafür viele Bürger und deren gesamte Kommunikation überwachen, um die Bösen zu finden. Oder wie Raytheon das in einer internen E-Mail bezeichnet: „Perfect Citizen ist Big Brother“. Basic Thinking hat einen ganz netten Artikel zum Thema.

Ich versuche mal ein paar Links zum Thema zusammenzustellen:

Ich kann die Bedenken der Leute gut verstehen. Die NSA möchte zur Erkennung und Abwendung von Cyberangriffen Sensoren in den privaten Netzwerken der Unternehmen installieren. Die befinden sich normalerweise hinter Firewalls und sind daher für die NSA nicht direkt zugänglich. Im Gegensatz zum restlichen Internet, das bei den Providern gut überwacht werden kann. Im ersten Schritt ist die Teilnahme freiwillig und vermutlich werden tatsächlich nur Angriffe wie mit einem IDS analysiert. Aber was ist im zweiten Schritt? Ich kann mit gut vorstellen, dass für alle Anbieter von „kritischer Infrastruktur“ die Teilnahme irgendwann verpflichtend wird und dass spätestens nach dem nächsten Terrorangriff nicht mehr nur Cyberangriffe sondern alle möglichen Daten abgehört und ausgewertet werden.

Und irgendwie erinnert mich das ganze an die Überwachung der Behördenkommunikation durch das BSI.