18. Juni 2009

Rätsel für Schweizer

Category: Allgemein,Offtopic — Christian @ 23:03

Ich habe endlich mein USB-Kabel für die blöde Samsung-Kamera mit dem proprietären Stecker wiedergefunden und die Fotos aus der Schweiz auf den Computer bekommen. Darum trage ich die jetzt hier erstmal alle nach.

Diese Schweizer Werbung fand ich ganz witzig. Ich hab etwa eine halbe Minute gebraucht, um (ohne Internet) die Lösung rauszukriegen:

Binärcode

Langsam mache ich mir Sorgen ob Snowcrash bei mir auch schon wirken würde. Leider ist das Foto so schief, damit der Blitz den Text nicht überstrahlt aber ich denke man kann es noch lesen.

Aufgenommen vor dem Bahnhof in Bern.


Tags: ,
9. März 2009

Verpflichtung zur TOR-Nutzung in Österreich?

Category: Allgemein — Christian @ 17:38

In Österreich geht die Diskussion um Überwacher und Überwachte in eine neue Runde. Ein dem FoeBuD PrivacyDongle vergleichbarer USB-Stick wird in Österreich verbreitet, aber nicht etwa von Bürgerrechtsgruppen.

Statt dessen organisiert die Herstellung und Verteilung laut ORF die Wirtschaftskammer! Erreicht werden sollen mit dem Dongle Ärzte, Rechtsanwälte und Journalisten.

    „Wir haben ordentliche Maschinen mit entsprechender Leistung aufgestellt, ausschließlich dedizierte Server“, sagte UBIT-Obmann Friedrich Kofler am Montag zu ORF.at, „sie stehen bei kleinen und mittleren Betreibern im Wiener Raum.“

Das muss man sich vorstellen. In Österreich stellt die Fachgruppe Unternehmensberatung und Informationstechnologie (UBIT) und die IT-Security Experts Group der Wirtschaftskammer Österreich (WKÖ) die TOR-Server auf. In Deutschland werden sie von den Handlangern des Schäubleterrorismus wieder einkassiert.

    Im Falle von sensiblen Kundendaten liegt das freilich etwas anders, denn hier gibt es eine Berufspflicht, diese zu verbergen. Der typische Benutzer des Anonymisierungsdienstes sei zum Beispiel die „kleine Rechtsanwaltskanzlei, die ich als Unternehmer betreue“, sagte Martin Prager, Sprecher der Security Experts Group, zu ORF.at.

Unglaublich, was die Österreicher da auf die Beine stellen.


Tags: , , , , ,
27. Februar 2009

Microsoft gegen OpenSource – Wir sind im Krieg!

Category: Allgemein,Offtopic — Christian @ 22:04

Microsoft verklagt TomTom wegen der Verwendung des FAT-Filesystems (das Microsoft mit Trivialpatenten aus der untersten Schublade in den USA hat schützen lassen) im Linux-Kernel.

Natürlich geht es nicht um TomTom. Das ist lediglich ein europäisches Unternehmen, das Linux einsetzt und gerade rote Zahlen schreibt. Daher dürfte eine Einigung recht schnell erledigt sein. Eine Lizenzierung der FAT-Patente ist für TomTom billiger als ein gewonnener Rechtstreit, weil der Anwalt nicht umsonst arbeitet und so oder so nur ein Teil der Kosten vom Gegner ersetzt werden müssen. Praktisch geht es Microsoft ganz offensichtlich darum, in einer Reihe von einfachen und billigen Prozessen die Anerkennung ihrer Patente zu erreichen. Und wenn das geschehen ist, kann man zum Rundumschlag gegen Linux, Free-/Open-/NetBSD und alle anderen freien Betriebssysteme ausholen (ausgenommen vielleicht Minix, aber das hat eh keinen praktischen Nutzen).

Ich hatte ja schon auf etwas ähnliches gewartet, nachdem die Taktik von Microsoft, den Strohmann SCO vorzuschicken gescheitert ist.


Tags: , ,
15. Februar 2009

Die Probleme im Online-Banking

Category: Allgemein,Recht — Christian @ 20:21

Weil ich’s gerade sehe und von dort verlinkt werde:

Das Hauptproblem beim Online-Banking sehen die Bundesbürger in der Sicherheit. 64% der Bürger sind der Meinung, beim Online-Banking bestünde ein zu hohes Risiko. Und immer noch 41% sehen ein Problem darin, dass die Banken keine Haftung bei Schäden übernehmen.

Der letzte Punkt ist der, in dem ich die größten Probleme bei der Akzeptanz von Online-Banking sehe. Natürlich übernehmen einige Banken zur Zeit Schäden, die Kunden bei der Nutzung von Online-Banking entstehen. Aber nicht etwa, weil es für den Kunden einen vertraglichen Anspruch gäbe. Das geschieht allein aus dem Grund, Negativschlagzeilen über das Online-Banking zu vermeiden und ist reine Kulanz der Bank. Darauf verlassen kann sich leider niemand.

Ich habe vor einiger Zeit die AGB meiner Bank zum Online-Banking studiert. Frei übersetzt für Nichtjuristen steht da drin: „Online-Banking ist absolut sicher und wenn doch was passiert ist natürlich der Kunde schuld und trägt den Schaden. Der Kunde könne aber der Bank gerne ein Fehlverhalten nachweisen.“ Ich habe meine Hausbank dann freundlich nach einer Kopie ihres Sicherheitskonzepts zum Online-Banking gefragt, denn um das Fehlverhalten nachweisen zu können brauche ich natürlich die relevanten Unterlagen. Fehlanzeige. Ich vermute ja, das Sicherheitskonzept ist so schlecht, dass sich die Bank nicht traut es herauszugeben (und ja, ich habe etwa zwei Jahre in der IT-Sicherheit einer Bank gearbeitet, ich weiß wie da gepfuscht wird).

Praktisch stellt sich das Online-Banking daher für den Kunden als nicht zu durchschauender Komplex dar, der den Banken Kostenvorteile bringt bei gleichzeitiger Risikoabwälzung auf den Kunden. Wenn man gleichzeitig in der Zeitung lesen kann, dass sich viele Banken aus Kostengründen scheuen, Anti-Skimming-Module an ihren Geldautomaten anzubringen (weil das Risiko da trägt ja auch der Kunde), dann ist das Misstrauen gegenüber den Banken völlig gerechtfertigt.

Im Endeffekt brauchen wir deshalb einen verbindlichen, einklagbaren Rechtsanspruch der Kunden, dass Banken die ja auch den Kostenvorteil haben, die durch das Online-Banking entstehenden Risiken ebenfalls übernehmen müssen. Bei Kreditkarten funktioniert das ja auch. Aber das wird nicht ohne Gesetzesänderung über die Bühne gehen, die Rechtsprechung des BGH ist in Deutschland für eine Selbstregulierung viel zu bankenfreundlich.


Tags: , ,
23. Dezember 2008

Avast erkennt Text als Virus

Category: Allgemein — Christian @ 13:18

Sehr spannend: Avast schlägt prompt Alarm, wenn man sich meinen letzten Beitrag (den mit dem Javascript-Schadcode) im Feed ankuckt:

Avast Mitternachtshacking-Alarm

Die Malware-Erkennung ist im übrigen korrekt, das ist das Javascript-Programm, das ich im letzten Beitrag beschrieben habe.  Dumm nur, dass ich das Programm lediglich im Text stehen habe, nicht in <script>-Tags. Es sollte daher auch nicht ausgeführt werden. Das Problem für einen Virenscanner ist allerdings, dass diese Unescape-Sequenz nicht nur in HTML-Dateien sondern in CSS-Files versteckt wird. Im Gegensatz dazu ist die Bytefolge sehr charakteristisch.

Ich denke daher, Avast hat lediglich ein Patternmatching auf die Unescape-Sequenz implementiert und schlägt daher immer Alarm wenn diese Folge auftaucht, egal ob ausführbares Skript oder nicht. Mein Antivir schlägt beim Zugriff auf infizierte Webseiten auch Alarm, nicht jedoch beim RSS-Feed.

(Danke Nikola, für die Zusendung des Screenshots)


Tags: , ,
4. September 2008

Autonome Systeme sollen vom Menschen lernen

Category: Allgemein — Christian @ 15:29

Heise schreibt, die Stanford University bastelt an einem autonomen Hubschraubersystem, das das Fliegen von einem menschlichen Piloten lernen soll. Ich wäre ja mal interessiert, wen sie da als Fluglehrer engagieren. Ich stelle mir grad so einen Quax, der Bruchpilot vor von dem der Computer das Fliegen lernen soll. Das gibt sicher spannende Schlagzeilen:

    „Computergesteuerter Hubschrauber mit noch spektakuläreren Abstürzen in noch kürzerer Zeit.“

Andererseits … dann braucht man dem System das Fliegen gar nicht beibringen. Da genügt es, einfach Windows zu installieren 🙂

Aber im Ernst, ist es wirklich effizienter, dem Computer das Fliegen durch einen Fluglehrer beizubringen und ihn nicht einfach mit voller Rechenleistung im Simulator loslegen zu lassen? Wenn das System lediglich die Flugmanöver lernt, die ein realer Pilot vorfliegt, dann wird es auf Dauer einfach zu beschränkt bleiben, um auf kritische Situationen wie beispielsweise in Krisengebieten flexibel reagieren zu können.


Tags: ,
29. August 2008

Sind McAfee die Bösen?

Category: Allgemein,Produkte — Christian @ 15:56

Ok, ich kenne niemanden sehr viele Privatpersonen und Firmen die McAfee freiwillig auf ihrem Rechner installieren würden. Das ist wie mit Symantec, dessen Norton Antivirus auch mal als gelbe Gefahr bester Virenscanner der Welt bezeichnet wird und den unsere Systemadministratorin und Windows-Guru nicht mal geschenkt sehr gerne auf ihren Systemen installieren wollte. Der McAfee Virenscanner hat auch schon mal natürlich noch nie die Produktionsanlagensteuerungssoftware eines unserer Kunden als Virus eingestuft. Und der McAfee SiteAdvisor warnte lautstark vor irrt sich niemals auch nicht wegen dem Heise Browsercheck der Exploits simuliert.

Jedenfalls hat der Anbieter der gefährlichen Spyware nützlichen Browsertoolbar 7search.com McAfee wegen unfairen Geschäftspraktiken und Rufschädigung verklagt und verlangt Schadenersatz.

Ich finde das ein idiotisches prima Geschäftsmodell. Da könnte man ja auch Viren verbreiten, die sich nur nach Zustimmung einer EULA Endkundennutzungsvereinbarung installieren, die das Reverse Engineering verbietet. Und dann verklage ich die ganze Baggage alle Virenscannerhersteller wegen Verstoß gegen die Lizenzbedingungen.

Das habt ihr nun davon Vorsorglich distanziere ich mich von meiner eigenen Meinung. Ich steh eh heute 3 Meter neben mir.


Tags: , , ,
25. August 2008

Security Kalender 2009

Category: Allgemein — Christian @ 20:51

Bei dieser Gelegenheit habe ich gleich mal den Security Kalender 2009 angefangen. Wer ergänzende Termine, Daten, Informationen etc. hat, wird hiermit aufgerufen mit per Mail oder hier in den Kommentaren Bescheid zu geben.

Ich bin mir übrigens nicht ganz schlüssig, ob es Sinn macht Veranstaltungen wie die IT-Security 2008 in den Kalender mit aufzunehmen. Aus meiner Sicht ist das eine reine Werbeveranstaltung die von ein paar Herstellern und Distributoren gesponsert wird, damit sie da ihre Vorträge unterbringen können. Für Systemhäuser mag das ganz interessant sein (ich geh z.B. auch gerne auf die CL University) aber meiner Meinung nach passen so „Hausmessen“ nicht ganz zur Idee meines Security Kalenders.  Andererseits bin ich anderslautenden Meinungen durchaus aufgeschlossen.

Freitickets bitte direkt an meine Mailadresse schicken 🙂
Vielen Dank.


Tags:

Die IT-Underground kommt nach Deutschland

Category: Allgemein,Work — Christian @ 17:40

Die IT Underground ist die wichtigste osteuropäische Security-Konferenz und fand im Februar in Prag und findet im Oktober in Warschau statt.

Im Januar wird es erstmalig eine Veranstaltung in Deutschland geben:

  • IT Underground, Frankfurt/Main, 27.-29. Januar 2009

Langsam wird der Security Konferenzkalender in Deutschland eng. Neben der IT Underground im Januar drängeln sich noch im Dezember die Chaos Communication Conference, die IT-Defense dann im Februar, die Troopers 2009 (falls sie wieder stattfindet), die Black Hat in Amsterdam und die Infosecurity in London im April um die gleichen Referenten und Interessenten. Mal sehen, wen es davon 2010 nicht mehr gibt.

Die IT Underground in Warschau kostet (nur die Konferenz) 1090 Zloty, umgerechnet gerademal 330 Euro. Mit dem Preisniveau hätte die IT Underground einen echten Wettbewerbsvorteil. Mal sehen.

(Der Hinweis kam per Mail vom Veranstalter, ein werblicher Charakter ist daher nicht auszuschließen)


Tags: , ,
12. August 2008

Handyortung

Category: Allgemein,Datenschutz — Christian @ 01:07

Ich habe da mal eine Frage zur Handyortung … vielleicht kann mir jemand von Euch helfen.

Wenn ich mich bei irgendeinem Dienst zur Handyortung anmelde, dann muss ich eine bestimmte SMS an eine bestimmte Rufnummer schicken. Locate24 hat dazu eine ganz brauchbare FAQ. Dort steht auch, dass ich als Vodafone- oder T-Mobile-Kunde auch eine SMS an den Netzbetreiber schicken muss, damit die Ortungsoption vom Netzbetreiber freigeschaltet wird.  Soweit finde ich das ja ok und wenn ich mich selbst anmelde, dann weiß ich das auch.

Jetzt aber folgendes Szenario … eine Bekannte vermutet, dass ihr Ex (der irgendwann garantiert einmal Zugriff auf ihr eingeschaltetes ungeschütztes Handy hatte) sie für die Ortung freigeschaltet hat und bei irgendeinem Dienst jetzt munter trackt, wo sie sich wann so aufhält. Natürlich ist das illegal. Und natürlich ist es blöd, das offene Handy Fremden zu überlassen aber sogar Geschäftspartner vergessen ihr Telefon gelegentlich am Tisch wenn sie auf die Toilette gehen. Und  nun finde ich nirgendwo ein zuverlässiges Verfahren, die Ortung generell wieder beim Netzbetreiber abschalten zu lassen. Bei Picosweb steht was von einer Sperr-SMS aber nicht, ob die nur für diesen einen Anbieter oder generell für den Netzbetreiber gilt.

Frage 1:

Gibt es eine Rufnummer, Auskunftsnummer, SMS Kurzwahlnummer, was auch immer mit der ich bei meinem Netzbetreiber feststellen kann, ob mein Mobiltelefon bzw. meine SIM-Karte für die Handyortung freigeschaltet ist?

Frage 2:

Gibt es eine Möglichkeit, generell die Handyortung beim Netzbetreiber wieder abzuschalten, auch wenn man nicht weiß ob und über welchen Dienstleister die Ortung stattfindet?

Ich habe dazu leider trotz längerer Google-Suche nichts finden können.


Tags: , , ,