Eigentlich habe ich darauf ja schon seit der Übernahme gewartet. Kaum war @stake bei Symantec sind die ganzen Tools wie LC (das ehemalige LophtCrack) verschwunden. So schnell konnte man gar nicht sichern wie Symantec da bereinigt hat. Nicht sehr freundlich, wenn man mich fragt. Andere Firmen (namentlich wären hier McAfee und Foundstone zu nennen) sind da etwas cooler.

Ich persönlich glaube ja, Symantec hätte SecurityFocus am liebsten schon direkt nach der Übernahme zugemacht. Insbesondere die öffentliche Schwachstellendatenbank mit den Exploits dürfte einigen Leuten bei Symantec ein Dorn im Auge sein. Aber vermutlich hat Symantec den öffentlichen Aufschrei gefürchtet. Ich bin ja mal gespannt wie lange es die Schwachstellendatenbank noch öffentlich und kostenlos gibt.

(via Heise)

Das Problem ist … was will man dagegen tun? Nur Anwendungen aus vertrauenswürdigen Quellen herunterladen? Aus dem iTunes Store für das iPfusch, aus dem Google Store für das Android und aus dem Ovi Store für Nokia? Und was, wenn es das benötigte da nicht gibt? Beispielsweise war Putty für das TouchUI eine der ersten Anwendungen die es auf mein neues Telefon geschafft haben. Inzwischen laufen da mehrere Tools, die nicht aus dem Ovi Store sind.

Das Problem wird sein, daß Virenscanner keine echte Chance haben, solche Anwendungen zu finden. Ja, es gibt für mein Mobiltelefon beispielsweise einen Schadcode-Scanner von Trend Micro und einen weiteren von F-Secure. Der von F-Secure ist sogar vorinstalliert. Ich wette, das hätte TippingPoint-Trojaner auch nicht erkannt. Dafür kostet der Adobe Reader 10,- Euro. Das ruft doch nur so nach infizierten Raubkopien. Und mit etwas Geschick kann man einen Trojaner immer so programmieren, daß der Virenscanner ihn nicht findet.

Lösungen? Tja, eine echte habe ich nicht. Nur signierte Anwendungen zuzulassen ist jedenfalls keine. Dann bekommt man ein Lock-in-Gerät wie mit dem iPfusch von Apple. Was ich mir für mein Telefon wünschen würde, wäre beispielsweise eine einfache Übersichtsseite, welche Anwendung auf welche Funktionen(GPS, Datenübertragung eingehend/ausgehend, welche IP-Adressen/Server, etc.) zugreift und eine Möglichkeit das (a) zu Beschränken und (b) zu Widerrufen. Das AccuWeather auf meinem Mobiltelefon fragt mich bei jedem Aufruf ob ich eine Netzverbindung erlauben will. Das ist zwar nett aber nervig. Ich würde das dieser Anwendung beispielsweise pauschal erlauben. Google Maps fragt mich nicht sondern greift einfach auf GPS und Datenverbindung zu. Ich wüsste nicht wie ich das verbieten kann. Andere Anwendungen haben mich bei der Installation einmal gefragt und fertig. Widerrufen ist nicht vorgesehen nur Deinstallation. Ich denke, da müssen die Mobiltelefonhersteller noch von den Desktopfirewallherstellern lernen.

Ach ja, weiß jemand zufällig ob es Truecrypt für das N97 mini gibt?

(Danke Sören)

“Gates claimed right off that Microsoft “owned the office productivity market” and Openoffice needed to pay the Vole lots of cash in royalties. Bill told Schwartz that he was happy to “get you under license” so Sun would have to pay Microsoft for every download of Openoffice. However Schwartz was apparently ready for this and pointed out that .NET was clearly trampling all over a lot of Java patents.”

Die Rückkehr der Datenleichen

“Seit einigen Wochen geistert die Idee eines Datenbriefs durchs Internet und durch die Presse. Jeder Bürger soll einmal im Jahr von Behörden und Unternehmen informiert werden, welche Daten dort über ihn gespeichert sind.” Und das kann unter Umständen interessante Folgen haben.

Der Bund der Deutschen Kriminalbeamten ist konsterniert

“Bemerkenswert an der Pressemeldung ist aber nicht nur die Schadenfreude, die sie erzeugt. Bemerkenswert ist die ehrliche Furcht ihres Autors, daß sich etwas ändert in Sachen Grundrechte, daß man der Polizei eben nicht mehr jeglichen erdenklichen Kredit schenkt. Es ist nicht nur Pressemeldungsbefindlichkeitsanzeige: Man ist wirklich konsterniert.“

(via The Register)

Soso, Apple hat die ganzen Wifi-Scanner aus dem iTunes Store verbannt. Weil die Scanner um auf Wireless LAN Signale z.B. von offenen Hotspots in der Nähe zugreifen zu können, ein paar private APIs benötigt haben, die Apple nicht für die gemeinen Plebs-Entwickler freigegeben hat. Für das iPhone ist mir das im Grunde ja egal, für ein iPad keinen Wifi-Scanner mehr zu haben ist … typisch Apple halt.

Wann gibt’s eigentlich endlich das HP Slate mit Windows 7 und Back Track Linux?

So eine Originalkarte von Ben Vautier hätte ich ja schon gerne

Eines der amüsanteren Themen  auf der CeBIT ist De-Mail, weil es ja da unten in Friedrichshafen am Bodensee so ein lustiges Pilotprojekt gibt. Amüsant vor allem, weil jeder seinen Senf dazugeben muß.

Die Zeit beispielsweise sieht De-Mail eher kritisch:

“Ohnehin ist noch nicht ganz klar, warum sich die Bürger einen De-Mail-Account zulegen sollen. Schließlich profitieren davon vor allem Behörden, Banken und Versicherungen, die ihre Bescheide künftig elektronisch zustellen und so Porto sparen können. Die Kunden dagegen werden für den Versand von De-Mails voraussichtlich extra zahlen müssen […]”

Heise dagegen schließt sich aktuell den Jubelpersern an:

“Internet-Provider, Behörden, Unternehmen und schließlich die Anwender haben auf der CeBIT ein positives Fazit zum sechsmonatigen Feldtest von DE-Mail in Friedrichshafen gezogen. […] Die größten Wünsche haben dabei die Behörden.”

Tja, ist mir schon klar, daß Behörden das toll finden. Bescheide nicht mehr per Post sondern per E-Mail. Und wenn der Bürger nicht rechtzeitig in seine Mailbox schaut dann hat der Bürger eben Pech gehabt. Den Hartz 4 Bescheid gibt es trotzdem nicht pünktlicher und um gegen den E-Mail Bescheid Widerspruch einzulegen muß dieser dann (rechtssicher) ausgedruckt werden.

Die spinnen doch, die gallischen Behörden.

Ich bin ja viel unterwegs und regelmäßig in verschiedenen Hotels unterwegs während meine Freundin die Wohnung hütet. Die meisten Hotels haben inzwischen irgendwelche Systeme installiert, bei denen man am Empfang zeitlich beschränkt gültige Zugangsdaten für das Internet bekommt. Meist kommen dabei irgendwelche Ticketdrucker zum Einsatz.

Einige Hotels setzen jedoch weiterhin WEP/WPA/WPA2 mit einem festen Passwort ein. Dieses Passwort bekommt der Gast z.B. an der Rezeption oder steht im Zimmer in der Hotel-Infomappe.

Ist es jetzt unfair, auf einer Webseite wie dieser, die Zugangsdaten der WLAN-Zugänge solcher Hotels zu sammeln und zu veröffentlichen? Ich mache mir weniger Gedanken um die Kosten, da die meisten Hotels dafür eh eine Flatrate dafür haben. Problematisch könnte allerdings sein, wenn von außen illegale Zugriffe stattfinden und die Polizei mal schnell eine Hoteldurchsuchung durchführt. In Deutschland ist das mit der Unverletzlichkeit der Wohnung schließlich nicht mehr weit hin.

Also … soll ich nun oder nicht?

Beispielsweise diese:

http://5z8.info/dont-just-drizzle_k2c3j_malicious-cookie

Und wenn diese URL nicht funktioniert, dann vielleicht diese?

http://5z8.info/click-on-this-and-youll-be-taken-to-page-that-will-create-pop-up-windows-until-your-browser-crashes_l2y0d__init_download

oder doch besser was harmloseres?

http://5z8.info/amazon.com-phish_q4a6v_open_exe_begin_transfer

Passende URLs gibt’s bei http://www.shadyurl.com/. Klingt lustig, hat aber durchaus einen ernsten Hintergrund.

Zur Wiederholung, das Geschäftsmodell von Verisign basiert neben der überteuerten Domainverwaltung von .com und .net vor allem darauf, überteuerte Zertifikate für SSL-Server zu verkaufen. Am besten gleich die mit Extended Verification, was bei mir den Eindruck erweckt als würde Verisign bei den anderen SSL-Zertifikaten gar nicht richtig prüfen. (Naja, tun sie ab und zu auch nicht wie die fehlerhaft auf den Namen Microsoft ausgestellten Zertifikate zeigen.) Aber gut, man braucht ja nicht unbedingt ein Zertifikat von Verisign. Es gibt auch günstige seriöse Anbieter.

Verisign hat jetzt aber entdeckt, daß es ja gaaaanz viele Webseiten gibt, die gar kein SSL haben. Und den gaaaanz vielen Webseiten ohne SSL kann man gar kein SSL-Zertifikat verkaufen. Was verkauft man denen dann? Genau, ein Webseiten-Siegel. Sowas wie es der TÜV (die anderen Beutelschneider) auch im Angebot hat. Bei Verisign heißt das “VeriSign Trusted” (nur 299 USD, umgerechnet 220 Euro) und beinhaltet laut Heise die Identitätsprüfung des Seitenbetreibers. Ein SSL-Zertifikat ist nicht enthalten, das ist nämlich dann “VeriSign Secured” und kostet natürlich mehr. Nebenbei ist noch ein Malware-Scanner für die Webseite enthalten. Ich persönlich halte das ja für Quatsch, aber es gibt sicher genug Webseitenbetreiber die drauf reinfallen. Und vielleicht gibt’s das Siegel irgendwann sogar im VeriSign-Sparabo.

Nachtrag:

Ganz sachlich: ein normales VeriSign-SSL-Zertifikat kostet umgerechnet 440 Euro (599 USD) für ein Jahr, ein VeriSign-SSL-Zertifikat mit Extended Validation kostet umgerechnet 1250 Euro (1699 USD) für einen Server außerhalb der USA/Kanada. Ein vergleichbares SSL-Zertifikat z.B. von TC Trustcenter kostet 159 Euro (aktuelle Promo 143 Euro) zzgl. MwSt., von der Deutschen Telekom kostet es 150 Euro zzgl. MwSt. Aber da VeriSign keine Zwangslage ausnutzt darf man nicht von Wucher sprechen.