Mitternachtshacking

War doch klar … wenn man schnell genug die Kanäle wechselt oder (was ich eigentlich eher glaube, bei dem Budget das Google hat) auf allen Kanälen gleichzeitig Daten aufzeichnet, dann erwischt man zwangsläufig irgendwann unverschlüsselt übertragene Passwörter beispielsweise von Webseiten oder POP3-Accounts.

Aber nett, dass die französischen Datenschützer das auch bemerkt haben.

Interessant ist, dass die Aktion bisher keine praktischen Konsequenzen für Google hatte. Ok, Frau Aigner, unsere Bundesverbraucherschutzministerin ist ein wenig beleidigt (wen interessierts, wer kennt die überhaupt?), Herr Schaar, unser Bundesdatenschutzbeauftragter ist ein wenig empört (wayne … jeder zahnlose Rentner im Rollstuhl ist gefährlicher)  und irgendeine Staatsanwaltschaft ermittelt sogar (wird eh eingestellt weil das Thema so komplex ist, dass der typisch deutsche Jurist spätestens beim dritten oder vierten Fachbegriff nichts mehr versteht). Insofern … ist das eigentlich doch nicht interessant.

Auf jeden Fall hat Google laut Golem ein Bauernopfer gefunden: “Dem Programmierer, der die Software entwickelt hat, die die Daten mitgeschnitten hat, drohen disziplinarische Maßnahmen, so Schmidt. Eine solche Software zu schreiben, sei “ein klarer Verstoß” gegen die Datenschutzregeln des Unternehmens.” Mich wundert nur immer wieder, wie der Schmidt lügen kann, ohne dabei rot zu werden.

Sehr schön. Für das angeblich so versehentliche und durch einen dummen Programmierfehler erfolgte umfangreiche Mitsniffen von Paketen hat Google sogar eine Patentanmeldung eingereicht, berichtet The Register.

Man beachte insbesondere Claim 10-13:

• 10. A computer-implemented method of estimating confidence in a status of a wireless device, the method comprising:obtaining one or more packets of data transmitted from a first wireless device to a second wireless device;evaluating the one or more transmitted data packets to identify a frame type for each respective data packet;identifying the first wireless device or the second wireless device as a wireless access point based upon the identified frame type for at least one of the data packets; andassigning a confidence value to the identification of the wireless access point.
• 11. The method of claim 10, wherein:if the frame type of at least one of the respective data packets is a management frame, then identifying the first wireless device as a wireless access point; andsetting the confidence value for the identification of the wireless access point to a maximum confidence value.
• 12. The method of claim 11, wherein:if the frame type of at least one of the respective data packets is not the management frame, then evaluating whether the frame type of any of the respective data packets is a control frame;if the frame type of at least one of the respective data packets is the control frame, then identifying the first wireless device as the wireless access point; andsetting the confidence value for the identification of the wireless access point to a value between the maximum confidence value and a minimum confidence value.
• 13. The method of claim 10, wherein identifying the first wireless device or the second wireless device as the wireless access point further includes analyzing a number of frames transmitted or received by each device.

Auf Deutsch: wir hören Datenpakete ab, analysieren die Inhalte und bestimmen damit wer Client und wer Access Point ist. Yup, hört sich für mich völlig illegal an. In den USA und in Europa sind auch schon diverse Klagen anhängig.

Aber das passiert halt, wenn man völlig amoralische Techniker an so eine Thematik heranläßt. Gemacht wird, was technisch machbar ist. Ob das legal oder moralisch in Ordnung ist, wird nicht mehr hinterfragt. Und irgendein naiver Fanboy findet sich garantiert auch, der so ein Verhalten verteidigt.

Eric Schmidt, der Evil Overlord CEO von Google findet, dass das Abfangen von WLAN-Daten straffrei sein muss mit der Begründung, es wurde ja niemandem (der nennbar wäre) Schaden zugefügt. Die offizielle Meinung von Google laut Eric Schmidt ist:

“If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place.”

Auf deutsch: Wenn ihr nicht wollt, dass wir euer WLAN ausspionieren, dann nutzt einfach keines. Ausser, es betrifft ihn selbst.

Jens Ferner hat dazu auf Datenschutzbeauftragter-Online einen interessanten Kommentar (eine der wenigen Webseiten die ich ständig verlinke) veröffentlich.

Ich schwanke gerade ein wenig mit mir …

Ich bin ja viel unterwegs und regelmäßig in verschiedenen Hotels unterwegs während meine Freundin die Wohnung hütet. Die meisten Hotels haben inzwischen irgendwelche Systeme installiert, bei denen man am Empfang zeitlich beschränkt gültige Zugangsdaten für das Internet bekommt. Meist kommen dabei irgendwelche Ticketdrucker zum Einsatz.

Einige Hotels setzen jedoch weiterhin WEP/WPA/WPA2 mit einem festen Passwort ein. Dieses Passwort bekommt der Gast z.B. an der Rezeption oder steht im Zimmer in der Hotel-Infomappe.

Ist es jetzt unfair, auf einer Webseite wie dieser, die Zugangsdaten der WLAN-Zugänge solcher Hotels zu sammeln und zu veröffentlichen? Ich mache mir weniger Gedanken um die Kosten, da die meisten Hotels dafür eh eine Flatrate dafür haben. Problematisch könnte allerdings sein, wenn von außen illegale Zugriffe stattfinden und die Polizei mal schnell eine Hoteldurchsuchung durchführt. In Deutschland ist das mit der Unverletzlichkeit der Wohnung schließlich nicht mehr weit hin.

Also … soll ich nun oder nicht?

Dieses Urteil ist anscheinend an mir vorbeigegangen, daher hier der Nachtrag:

Störerhaftung des WLAN-Netzbetreibers - Der Betreiber eines WLAN-Netzes haftet erst ab Kenntnis konkreter Missbrauchsfälle und nicht bereits wegen der abstrakten Gefahr einer rechtswidrigen Nutzung durch beliebige Dritte. Sicherung des WLAN-Netzes nur im verhältnismäßigen Umfang erforderlich.
OLG Frankfurt a.M, Urteil vom 01.07.2008 - Az. 11 U 52/07

mehr bei Medien, Internet und Recht.

Lange nicht mehr, aber heute habe ich wieder mal eine Empfehlung:

Parkhotel Ortkemper
Liesborner Straße 30
59556 Lippstadt / Bad Waldliesborn
Telefon 02941/882-0

Bad Waldliesborn liegt ein paar Kilometer nördlich von Lippstadt gehört aber praktisch noch zur Stadt. Das Hotel hat eine gute, schnelle und vor allem kostenlose WLAN-Internetanbindung, ein angegliedertes Restaurant in dem der Chef selbst kocht und eine Bar nebenan. Und die Zimmerpreise sind auch völlig in Ordnung. Genau, wie ich das mag.

Nachtrag:

Das Essen im Hotel kann man auch guten Gewissens empfehlen und es steht sogar Single Malt auf der Speisekarte

Das Amtsgericht Wuppertal hat in einem Urteil (22 Ds 70 Js 6906/06, nachzulesen in NStZ 3/2008, Seite 161) Schwarzsurfen unter Strafe gestellt, schreibt Datenschutzbeauftragter Online.

Grundlage für die Strafe waren laut Urteil die §§89 S.1, 148 TKG sowie §§43 II Nr.3, 44 BDSG. Das TKG soll hier im Abhörverbot des §89 S.1 TKG betroffen sein, da hier eine “Nachricht” empfangen wurde. Das AG verweist dabei auf die extensive Auslegung des Begriffs “Nachricht” durch den BGH. Weiterhin sei bei der “zuteilung der IP ein personenbezogenes Datum” erhoben worden sein.

Das Urteil wird in einschlägigen Foren gerade im Detail diskutiert, dabei wird wie auch im verlinkten Text nicht mit Kritik gespart. Auch wenn prinzipiell zu begrüßen ist, daß Schwarzsurfen strafbar wird, sollte doch differenzierter zwischen geschützten (WEP, WPA) und offenen (unverschlüsselten) sowie versteckten (SSID-Broadcast abgeschaltet) und beworbenen WLANs unterschieden werden. Ich habe das Urteil leider noch nicht im Wortlaut hier vorliegen, darum folgt meine detaillierte Kritik gegebenenfalls später.

Bei McDonalds gibt es auf dem Tablett ja immer diesen buntbedruckten Zettel. Interessant finde ich vor allem die Rückseite davon. Dort stehen nämlich die Kalorien und vor allem die allergieauslösenden Stoffe schön verteilt auf die diversen Produkte.

Besonders fies scheint der McChicken zu sein. Da ist laut Auszeichnung fast alles drin: glutenhaltiges Getreide, Eier, Erdnüsse, Soja, Milch, Schalenfrüchte, Sellerie, Senf, Sesamsamen sowie Schwefeldioxid und Sulfite. Na gut, bei den Ernährungsinformationen auf der Webseite sieht es nicht ganz so krass aus (u.a. steht bei Erdnüsse, Sellerie und Sulfit jetzt nein) aber die gedruckte Fassung ist von September 2007, kann also auch nicht ganz veraltet sein.

Sehr zu empfehlen ist übrigens der Tee. Keine Kalorien und keine Allergene. Und warum ist im Kakaogetränk Classico eigentlich Soja drin? Naja, wer trotzdem (oder deshalb) noch gerne hingehen möchte, findet hier ab und an Gutscheine zum Download.

Ach ja, der Hintergrund ist, daß jeder bei McDonalds jetzt täglich eine Stunde im Internet surfen kann. Das reicht bequem um kurz Mails abzurufen oder einen Blogeintrag zu schreiben. Und das wiederum ist ein McCooler Service.

Ab und an findet man tatsächlich ein paar interessante Bücher die komplett Online veröffentlicht werden. Dazu zählt beispielsweise das Openbook-Projekt des Galileo Verlags oder das Handbook of Applied Cryptography.

Ein anderes intessantes Buch ist von CWNP (eigentlich Planet3 Wireless), einer Firma die hauptsächlich Seminare und Zertifizierungen im Wireless LAN Umfeld anbietet, z.B. den Certified Wireless LAN Analysis Professional (CWAP). Die Zertifizierung ist meiner Meinung nach in Deutschland weitgehend wertlos, es gibt jedoch ein halbwegs brauchbares Buch mit den Inhalten der Zertifizierung.

Dieses Buch ist jetzt von CWNP als Wireless LAN Analysis HTML-Online-Buch veröffentlicht worden. Zugegeben, aus IT-Security Sicht sind vermutlich nur die Kapitel 2 (Scanning), 3 (WEP, WPA), 9 (diverse Sicherheitsmaßnahmen) und vielleicht noch 10 (WLAN IDS) interessant. Da jedoch jede Seite als eigene HTML-Datei dargestellt wird, kann man schön im Buch blättern und hat das Inhaltsverzeichnis im linken Frame immer im Blick.

Kennt eigentlich jemand weitere Online IT-Security Bücher? Ich würde dann eine Liste pflegen, die sicher von allgemeinem Interesse sein könnte.

(via Security4all)

Mal wieder Accor … ich mag die nicht und Gründe gibt es viele. Neulich erst wieder … der Internet-Zugang in so einem Accor-Hotel (diesmal das Mercure Bonn Hardtberg, ehemals Novotel), eine einzige Katastrophe.

Internet-Zugang geht nur über Vodafone Wireless. Das ist vermutlich die teuerste Internet-Verbindung die es in Deutschland überhaupt noch gibt. In dem Mercure haben die für 24 Stunden glatt 24,90 Euro genommen. Nur zum Vergleich, der DSL-Flatrate-Zugang von Vodafone kostet pro Monat auch nur 29,95 Euro. Ich finde das unglaublich frech. Selten solche Abzocker gesehen. Und dann läuft das nicht mal richtig stabil. Alle paar Minuten hatte ich fette Aussetzer, es kommt nur noch eine Fehlermeldung vom Browser. Da geht dann gerne mal 15 oder 20 Minuten gar nichts, aber die 24 Stunden Zeitspanne läuft natürlich ab. Das ist nämlich nicht Online-Zeit sondern gilt ab dem ersten Login und dann ist Schicht im Schacht.

Heute auch wieder, diesmal ein Dorint, in Garmisch-Partenkirchen. Die gehören zwar anscheinend seit 16. Januar 2007 nicht mehr zur Accor-Gruppe aber die Vodafone-Verträge haben die wohl auch noch. Und natürlich den gleichen schlechten Zugang. Immer wieder Komplettaussetzer, teilweise für 10, 15 Minuten. Und natürlich wieder grausam teuer.

Statt gegen die Telekom zu klagen sollte Vodafone lieber mal ihr eigenes Netz in Ordnung bringen. Meine persönliche Meinung aus den bisherigen Erfahrungen kristallisiert immer mehr: Finger weg von Accor (Etap, Ibis, Novotel, Mercure), Finger weg von Dorint und Finger weg von Vodafone.