Mitternachtshacking

Heute nicht ganz so zuällig, die Themen haben das gemeinsame Leitmotiv des Urheberrechts und geistigen Eigentums und wie man sich eine gewisse Unabhägigkeit schaffen kann.

All Your Apps Are Belong to Apple

Die Electronic Frontier Foundation (EFF) hat sich von der NASA den Lizenzvertrag der Software-Entwickler mit Apple erklagt und erschreckendes zu Tage gefördert:

“If Apple’s mobile devices are the future of computing, you can expect that future to be one with more limits on innovation and competition than the PC era that came before. It’s frustrating to see Apple, the original pioneer in generative computing, putting shackles on the market it (for now) leads.”

Erstaunlich, daß bei diesen Lizenzbedingungen überhaupt jemand für Apple Software schreibt. Aber Gier frißt bekanntlich Hirn.

Dein Twitter gehört dir nicht!

“Viele, die munter Fotos hochladen, anderen Applikationen Zugriff auf ihre Social Media gewähren oder sonstwo etwas posten, haben noch nie wirklich nachgelesen, welche umfassenden Rechte sich viele Betreiber auf das geistige Eigentum der Teilnehmer vorbehalten.”

Wovon schreib ich eigentlich die ganze Zeit?

Jetzt backe ich sie mir selbst

“Micro blogging wird immer poulärer. Doch Dienste wie Twitter haben ein 140-Zeichen-Limit für die Nachrichten. In der Kürze liegt die Würze, ja, doch wenn manchmal die halbe Nachricht für lange URL’s draufgeht, macht es keinen Spaß mehr. […] Aber wer weiß, wann so ein kostenloser URL-Kürzer seinen Laden dicht macht - und dann sind alle Short-URL’s futsch! Nicht so, wenn ich meinen eigenen Dienst nutze.”

Sehr schöne Anleitung

ich bin dieses Jahr mit einem Asus Eee 1000H auf dem Congress unterwegs, der ist klein  und leicht und gut tragbar und das Akku läuft auch schön lange. Natürlich habe ich das System neu installiert, Dual-Boot, Linux und XP, alle Hackingtools drauf, die Festplatte ist verschlüsselt, BIOS-Passwort, alle Schikanen. War ‘ne Menge Arbeit zu Weihnachten. Aber man weiß ja nie unter den ganzen Hackern auf dem Congress

Jedenfalls verlangt die Asus-Software wie bei den meisten Herstellern die Annahme einer Lizenz:

Und ganz ehrlich, das ist mal eine Lizenz ganz nach meinem Geschmack. Jetzt muß ich mir nur noch eine passende Lizenz ausdenken und einfügen

Ich bin ja der festen Meinung, daß Microsoft Vista und zukünftige Systeme mit der Online-Aktivierung und regelmäßigen Überprüfung eines der zentralen Risiken für den zukünftigen IT-Betrieb darstellen wird. Damit meine ich jetzt gar nicht die speziellen Probleme mit DRM sondern beispielsweise die Pleiten und Pannen mit der WGA-Prüfung in Windows. Aber von Microsoft sind wir ja viel Leid gewöhnt und geschäftskritische Systeme betreibe ich inzwischen nicht mehr auf Windows.

Womit ich allerdings nicht gerechnet hätte ist, daß die Online-Überprüfung von Lizenzen direkt die IT-Sicherheit von Unternehmen gefährden kann. Betroffen waren Kunden von SonicWall. Anscheinend hat SonicWall da was mit den Lizenzservern verbockt woraufhin Geräte mit eigentlich gültiger Lizenz, diese verworfen und wichtige Funktionen abgeschaltet haben. Firmen, die sich auf den Schutz und die Sicherheit von SonicWall verlassen haben, waren plötzlich verlassen. Funktionen wie Content Filter (hauptsächlich URL- und Spam-Filter), Intrusion Prevention und Antivirus der SonicWall ES Appliance waren laut Berichten ohne Vorwarnung nicht mehr verfügbar.

Die Kunden sind wohl auch entsprechend sauer:

“I’ll say it to whoever I need to say it to. This is unacceptable,” wrote a customer using the handle “rhouseholder.” “We are a 100 million dollar ‘technology’ defense contractor with serious security considerations, and I can’t just have SPAM and VIRUSES pouring into my network for half a day because your license server went down.”

Ok, wenn die Mitarbeiter unerlaubt nach Pr0n surfen mag mir das vielleicht noch egal sein, daß sich aber ein gültig lizenzierter und bezahlter Virenscanner einfach so abschaltet ist absolut nicht in Ordnung. Wenn die Mailboxen der Mitarbeiter vor Spam und Schadprogrammen überquellen, weil SonicWall ihre Lizenzserver nicht richtig betreibt, dann kann das für die Unternehmen richtig teuer werden. Warum muß das überhaupt online verifiziert werden, alleine das sehe ich schon als gewaltiges Risiko.

Geschäftskritische Infrastruktur darf meiner Ansicht nach nicht mit Produkten aufgebaut werden, die online ihre Lizenzen verifizieren. Das ging schon mal bei Microsoft schief, das ging jetzt bei SonicWall schief und das wird bei anderen Herstellern auch schief gehen. Schade, damit hat sich SonicWall vermutlich aus der Liste ernsthafter IT-Security-Anbieter verabschiedet. Also wenn ich für einen 100 Millionen Dollar Defense Contractor verantwortlich wäre, die SonicWall-Kisten wären noch am selben Tag rausgeflogen!

Klare Empfehlung von mir:  Finger weg von SonicWall!

Frage: Weiß eigentlich jemand, wie das mit den Ironport-Appliances ist? Die kriegen meines Wissens ihre Lizenzen auch recht von alleine von irgendeinem Ironport-Server, potentiell mit dem gleichen Problem. Oder sehe ich das falsch?

Irgendwann musste es ja soweit sein …

Russische Hacker haben ihre Viren und Schadprogramme mit einem “License Agreement” versehen. Die Jungs von Symantec haben das mal übersetzt:

1. Does not have the right to distribute the product in any business or commercial purposes not connected with this sale.
2. May not disassemble / study the binary code of the bot builder.
3. Has no right to use the control panel as a means to control other bot nets or use it for any other purpose.
4. Does not have the right to deliberately send any portion of the product to anti-virus companies and other such institutions.
5. Commits to give the seller a fee for any update to the product that is not connected with errors in the work, as well as for adding additional functionality.

Gut, das ist in Deutschland natürlich nicht bindend. Erstens stand das da in Russisch und wenn es sich an deutsche Kunden richtet, muß es natürlich verständlich sein. Zweitens fehlt bei so installierter Software natürlich das Einverständnis des Kunden.

Aber die Idee ist natürlich nicht schlecht. Nur nicht neu. Ich hatte sie schon letztes Jahr, hätte allerdings zwecks Verbreitung der Schadprogramme die GPL empfohlen.

Nachtrag:

Ob die Defcon-Viren auch einen Copyright-Hinweis bekommen?