Mitternachtshacking

Eigentlich weiß ich gar nicht, was ich heute so schreiben will. Naja, dann halt irgendwas buntes durcheinander:

Apple macht sich weiter unbeliebt

Apple zensiert munter weiter im App-Store. Der Bewertungsmaßstab scheint der durchschnittlichte Hillbilly-Farmer im religiösen Mittleren Westen zu sein. Was der nicht gut findet, wird von Apple auch gesperrt. Inzwischen scheint sich sogar Fanboy und Springer-Chef Döpfner unsicher zu werden. Jedenfalls wird auf allen Kanälen um Hilfe gerufen. Apple schert das gar nicht, jetzt wird mittels iAd-Zensur gegen Google und Microsoft geschossen. Langsam hat man das gesamte IT-Lager (Adobe, Microsoft, Google, …) gegen sich. Und zu aller Freude verliert Partner AT&T auch noch jede Menge Daten.

Adobe macht sich weiter unbeliebt

Zumindest gibt es schon wieder einen Zero-Day Exploit für Flash. Ich verstehe ja manchmal Steve Jobs wenn er Flash nicht auf dem iPfusch haben will. Zusätzlich zu den Fantastilliarden (Enzyklopädie, my ass) an Safari-Lücken auch noch die Flash-Lücken auf seinen Geräten? Dabei gibt’s einen simplen Workaround. Einfach die ganze Adobe-Software deinstallieren. Schon ist Ruhe. Lustig ist nur, dass laut Advisory die Lücke gleichzeitig Flash, Reader und Acrobat betrifft. Da wird anscheinend heftig Code wiederverwendet.

Facebook macht sich weiter unbeliebt

Und zwar durch fleißig aus dem iPhone abgegriffenen Telefonkontaktdaten. Löschen der Daten ist nicht vorgesehen. Auskunft was mit den Daten passiert: keine. Auskunft, wie die Daten geschützt werden: keine. Reaktion vom Bundesdatenschutzbeauftragten Peter Schaar: keine (der wird sich notfalls einfach für “nicht zuständig” erklären). Da kann man nur hoffen, dass man keine “Freunde” hat, die gleichzeitig iPhone- und Facebookaccount-Besitzer sind.

Offtopic: Grätzel gewinnt Millenium-Preis (und macht sich nicht unbeliebt)

Da geht es um organische Solarzellen. Allerdings scheint die Versiegelung des Elektrolyt noch ein Problem zu sein (falls man Wikipedia trauen kann). Das Genie unserer Familie arbeitet in Dresden ebenfalls an organischen Solarzellen und kommentiert das mit: “Das Gute daran ist, dass der optische Anregungszustand durch das TiO2  schnell in Ladungen getrennt wird. Aber das Problem ist der Elektrolyt  und das andere reine organische Solarzellen wie unsere und Polymer-basierte in der Effizienz aufholen und jetzt bei 8% sind (Anmerkung: Grätzel-Zellen sind bei 11%). Ich denke das sich unsere Technologie oder Polymersolarzellen durchsetzen werden.”

Nachtrag:

Fefe hat die wichtigsten aktuellen Lücken in Flash aufbereitet. Langsam machen CVE-Nummern für Adobe gar keinen Sinn mehr. Die brauchen eine eigene Datenbank nur für Adobe-Lücken.

F-Secure hat festgestellt, daß der Adobe Reader die gefährdetste Anwendung ist. Fast 49 Prozent aller Client-Side Angriffe richten sich gegen den Reader oder das Reader-Plugin im Browser. Auf Platz zwei mit rund 39 Prozent folgt Microsoft Word. Es wird also Zeit, über Alternativen nachzudenken. Mehr bei F-Secure.

(via The Register)

Zumindest sieht das Elcomsoft so, die russische Firma, die Passwort Recovery Programme (sprich: Hackingtools) für verschiedene verschlüsselte Dokumente u.a. eben auch Adobes Acrobat 9 anbieten.

Das Problem liegt dabei trivial in der Geschwindigkeit, wie die eingegebenen Passwörter zu Hashes verarbeitet werden, die dann als Verschlüsselungskeys eingesetzt werden. Man kann beispielsweise das Passwort nehmen und einen MD5-Hash draus machen. Das ist sehr schnell aber man kann automatisiert dann eben auch sehr schnell sehr viele Passwörter ausprobieren. Umgekehrt macht es dem Anwender in der Regel nichts aus, wenn der Computer nach Eingabe des Passworts vielleicht 0,5 Sekunden rechnet. Matasano hatte dazu einen detallierten Artikel geschrieben, den ich hier verlinkt hatte.

Laut Angabe von Elcomsoft lassen sich die Passwörter etwa um den Faktor 100 schneller ermitteln. Das klingt nicht dramatisch, in Kombination mit anderen Verfahren wie beispielsweise die GPUs der Grafikkarten für die Berechnung mit einzuspannen, was ebenfalls einen Faktor von etwa 100 bringt, wird es langsam etwas beängstigend.

Bei Adobe geht der Fehler einher mit dem Wechsel von MD5 auf SHA1 und von AES-128 auf AES-256. Im Ergebnis ist jedoch der Schutz mit Passwörtern bis etwa 8 Zeichen schlechter als in älteren Adobe Acrobat Versionen. Vermutlich hat der Junior Programmierer, der SHA1 implementier that, einfach nur keine Ahnung von sicheren Passwörtern gehabt. Für Adobe hat der dumme Fehler jetzt aber anscheinend auch den Vorteil, das teure Public Key Verschlüsselungsprodukt LiveCycle Rights zu vermarkten.

Naja, jetzt ist der Geist aus der Flasche, aktuell kann man wahrscheinlich am ehesten noch empfehlen, die alte 128-Bit Verschlüsselung zu verwenden. Das ist dann nämlich sicherer und gleichzeitig abwärtskompatibel.

Digitales Restriktionsmanagement, d.h. die Software die gerne mal zur Gängelung der Kunden eingesetzt wird schlägt mal wieder zu. Die Bösen sind Apple und Adobe.

Mit dem Update auf QuickTime 7.4 hat Apple eine neue DRM-Version eingeführt, die an Quicktime-Filme etwas andere Anforderungen stellt. Videos, die mit Adobes Premier und After Effects erstellt wurden, können plötzlich nicht mehr geöffnet werden. Sogar die eigenen Filme nicht mehr:

“After Effects error: opening movie - you do not have permission to open this file (-54).”

Und Apple Quicktime erlaubt es leider nicht, auf eine ältere Version zurückzugehen. Ohne Time Machine hat man plötzlich ganz schlechte Karten. Am besten packt man einfach kein Quicktime auf den Rechner. VLC tut es für mich auch.

Bei den eigenen zahlenden Kunden ist Apple aber auch nicht zimperlich. Wer dumm genug war, sich in den letzten Jahren mittels iTunes eine nette Sammlung DRM-geschützter Lieder zu kaufen kuckt heute verdientermaßen blöd aus der Wäsche. Inzwischen bieten nämlich fast alle Musicshops im Internet auch ungeschützte MP3s an. Nur leider läßt Apple die Kunden die bereits gekaufte Musik nicht einfach als MP3 herunterladen. Die Konvertierung eines Liedes vom DRM-verseuchten AAC-Format in MP3 kostet pro Lied extra. Und … man kann nur alle Lieder zusammen konvertieren, bei ein paar hundert Liedern im iTunes Store ein richtig teurer Spaß. Mit Tools aus dem Internet kann der Kopierschutz natürlich entfernt werden aber legal ist das nicht. Man kann nur hoffen, daß jetzt auch der dümmste kapiert, daß er mit DRM nur beschissen wird.

Adobe profitiert gerade davon, daß YouTube und Co. ihre Filme per FlashMovie vertauschen und Flash plötzlich das dominierende Format im Internet ist. Allerdings kann man die ganzen FlashMovies auch runterladen, lokal anschauen, Ausschnitte bearbeiten, kurz das ganze “rip, mix and burn” Programm. Und was tut Adobe folglich? DRM in Flash integrieren. Jetzt ist das Format weit genug verbreitet, jetzt kann man die Schrauben anziehen. Demnächst wird man Flash-Filme nicht mehr herunterladen oder nur noch einmal oder zweimal anschauen können. Oder gleich zahlen müssen. Was Adobe meiner Ansicht nach vergißt ist, daß es genug Alternativen gibt. Man kann nur hoffen, daß die Nutzer klug genug sind, ein DRM-verseuchtes Flash schnell fallen zu lassen.

Ansonsten ist leider weiterhin der Ehrliche auch der Dumme.