Mitternachtshacking

Soso, BT möchte die Datenkrake Phorm erstmal nicht im eigenen Netz loslassen. Großbritannien ist von der EU dank Phorm ja bereits wegen Verletzung des EU-Vertrags (Datenschutz und so) eine Klage angedroht worden. Da wird sich die British Telecom sicher nicht nach vorne wagen. Allerdings kann das mehrere Gründe haben:

1. BT hat mit Phorm bereits einen Vertrag und kann ohne Vertragsstrafe nicht komplett drauf verzichten. Dann sagt man „erstmal“ und schiebt das auf den Sankt-Nimmerleinstag
2. BT möchte Phorm eigentlich schon einsetzen aber traut sich im aktuellen politischen Umfeld nicht. Dann sagt man „erstmal“ und hofft, dass sich der Staub irgendwann legt.

Naja, die Kunden haben ja die Hoffnung, dass Phorm bis dahin pleite ist. Der Aktienkurs ist um 40 Prozent gefallen und Phorm schreibt heftige Verluste.

Ich habe endlich mein USB-Kabel für die blöde Samsung-Kamera mit dem proprietären Stecker wiedergefunden und die Fotos aus der Schweiz auf den Computer bekommen. Darum trage ich die jetzt hier erstmal alle nach.

Diese Schweizer Werbung fand ich ganz witzig. Ich hab etwa eine halbe Minute gebraucht, um (ohne Internet) die Lösung rauszukriegen:

Langsam mache ich mir Sorgen ob Snowcrash bei mir auch schon wirken würde. Leider ist das Foto so schief, damit der Blitz den Text nicht überstrahlt aber ich denke man kann es noch lesen.

Aufgenommen vor dem Bahnhof in Bern.

In Österreich geht die Diskussion um Überwacher und Überwachte in eine neue Runde. Ein dem FoeBuD PrivacyDongle vergleichbarer USB-Stick wird in Österreich verbreitet, aber nicht etwa von Bürgerrechtsgruppen.

Statt dessen organisiert die Herstellung und Verteilung laut ORF die Wirtschaftskammer! Erreicht werden sollen mit dem Dongle Ärzte, Rechtsanwälte und Journalisten.

„Wir haben ordentliche Maschinen mit entsprechender Leistung aufgestellt, ausschließlich dedizierte Server“, sagte UBIT-Obmann Friedrich Kofler am Montag zu ORF.at, „sie stehen bei kleinen und mittleren Betreibern im Wiener Raum.“

Das muss man sich vorstellen. In Österreich stellt die Fachgruppe Unternehmensberatung und Informationstechnologie (UBIT) und die IT-Security Experts Group der Wirtschaftskammer Österreich (WKÖ) die TOR-Server auf. In Deutschland werden sie von den Handlangern des Schäubleterrorismus wieder einkassiert.

Im Falle von sensiblen Kundendaten liegt das freilich etwas anders, denn hier gibt es eine Berufspflicht, diese zu verbergen. Der typische Benutzer des Anonymisierungsdienstes sei zum Beispiel die „kleine Rechtsanwaltskanzlei, die ich als Unternehmer betreue“, sagte Martin Prager, Sprecher der Security Experts Group, zu ORF.at.

Unglaublich, was die Österreicher da auf die Beine stellen.

Microsoft verklagt TomTom wegen der Verwendung des FAT-Filesystems (das Microsoft mit Trivialpatenten aus der untersten Schublade in den USA hat schützen lassen) im Linux-Kernel.

Natürlich geht es nicht um TomTom. Das ist lediglich ein europäisches Unternehmen, das Linux einsetzt und gerade rote Zahlen schreibt. Daher dürfte eine Einigung recht schnell erledigt sein. Eine Lizenzierung der FAT-Patente ist für TomTom billiger als ein gewonnener Rechtstreit, weil der Anwalt nicht umsonst arbeitet und so oder so nur ein Teil der Kosten vom Gegner ersetzt werden müssen. Praktisch geht es Microsoft ganz offensichtlich darum, in einer Reihe von einfachen und billigen Prozessen die Anerkennung ihrer Patente zu erreichen. Und wenn das geschehen ist, kann man zum Rundumschlag gegen Linux, Free-/Open-/NetBSD und alle anderen freien Betriebssysteme ausholen (ausgenommen vielleicht Minix, aber das hat eh keinen praktischen Nutzen).

Ich hatte ja schon auf etwas ähnliches gewartet, nachdem die Taktik von Microsoft, den Strohmann SCO vorzuschicken gescheitert ist.

Weil ich’s gerade sehe und von dort verlinkt werde:

Das Hauptproblem beim Online-Banking sehen die Bundesbürger in der Sicherheit. 64% der Bürger sind der Meinung, beim Online-Banking bestünde ein zu hohes Risiko. Und immer noch 41% sehen ein Problem darin, dass die Banken keine Haftung bei Schäden übernehmen.

Der letzte Punkt ist der, in dem ich die größten Probleme bei der Akzeptanz von Online-Banking sehe. Natürlich übernehmen einige Banken zur Zeit Schäden, die Kunden bei der Nutzung von Online-Banking entstehen. Aber nicht etwa, weil es für den Kunden einen vertraglichen Anspruch gäbe. Das geschieht allein aus dem Grund, Negativschlagzeilen über das Online-Banking zu vermeiden und ist reine Kulanz der Bank. Darauf verlassen kann sich leider niemand.

Ich habe vor einiger Zeit die AGB meiner Bank zum Online-Banking studiert. Frei übersetzt für Nichtjuristen steht da drin: „Online-Banking ist absolut sicher und wenn doch was passiert ist natürlich der Kunde schuld und trägt den Schaden. Der Kunde könne aber der Bank gerne ein Fehlverhalten nachweisen.“ Ich habe meine Hausbank dann freundlich nach einer Kopie ihres Sicherheitskonzepts zum Online-Banking gefragt, denn um das Fehlverhalten nachweisen zu können brauche ich natürlich die relevanten Unterlagen. Fehlanzeige. Ich vermute ja, das Sicherheitskonzept ist so schlecht, dass sich die Bank nicht traut es herauszugeben (und ja, ich habe etwa zwei Jahre in der IT-Sicherheit einer Bank gearbeitet, ich weiß wie da gepfuscht wird).

Praktisch stellt sich das Online-Banking daher für den Kunden als nicht zu durchschauender Komplex dar, der den Banken Kostenvorteile bringt bei gleichzeitiger Risikoabwälzung auf den Kunden. Wenn man gleichzeitig in der Zeitung lesen kann, dass sich viele Banken aus Kostengründen scheuen, Anti-Skimming-Module an ihren Geldautomaten anzubringen (weil das Risiko da trägt ja auch der Kunde), dann ist das Misstrauen gegenüber den Banken völlig gerechtfertigt.

Im Endeffekt brauchen wir deshalb einen verbindlichen, einklagbaren Rechtsanspruch der Kunden, dass Banken die ja auch den Kostenvorteil haben, die durch das Online-Banking entstehenden Risiken ebenfalls übernehmen müssen. Bei Kreditkarten funktioniert das ja auch. Aber das wird nicht ohne Gesetzesänderung über die Bühne gehen, die Rechtsprechung des BGH ist in Deutschland für eine Selbstregulierung viel zu bankenfreundlich.

Sehr spannend: Avast schlägt prompt Alarm, wenn man sich meinen letzten Beitrag (den mit dem Javascript-Schadcode) im Feed ankuckt:

Die Malware-Erkennung ist im übrigen korrekt, das ist das Javascript-Programm, das ich im letzten Beitrag beschrieben habe.  Dumm nur, dass ich das Programm lediglich im Text stehen habe, nicht in <script>-Tags. Es sollte daher auch nicht ausgeführt werden. Das Problem für einen Virenscanner ist allerdings, dass diese Unescape-Sequenz nicht nur in HTML-Dateien sondern in CSS-Files versteckt wird. Im Gegensatz dazu ist die Bytefolge sehr charakteristisch.

Ich denke daher, Avast hat lediglich ein Patternmatching auf die Unescape-Sequenz implementiert und schlägt daher immer Alarm wenn diese Folge auftaucht, egal ob ausführbares Skript oder nicht. Mein Antivir schlägt beim Zugriff auf infizierte Webseiten auch Alarm, nicht jedoch beim RSS-Feed.

(Danke Nikola, für die Zusendung des Screenshots)

Heise schreibt, die Stanford University bastelt an einem autonomen Hubschraubersystem, das das Fliegen von einem menschlichen Piloten lernen soll. Ich wäre ja mal interessiert, wen sie da als Fluglehrer engagieren. Ich stelle mir grad so einen Quax, der Bruchpilot vor von dem der Computer das Fliegen lernen soll. Das gibt sicher spannende Schlagzeilen:

„Computergesteuerter Hubschrauber mit noch spektakuläreren Abstürzen in noch kürzerer Zeit.“

Andererseits … dann braucht man dem System das Fliegen gar nicht beibringen. Da genügt es, einfach Windows zu installieren 🙂

Aber im Ernst, ist es wirklich effizienter, dem Computer das Fliegen durch einen Fluglehrer beizubringen und ihn nicht einfach mit voller Rechenleistung im Simulator loslegen zu lassen? Wenn das System lediglich die Flugmanöver lernt, die ein realer Pilot vorfliegt, dann wird es auf Dauer einfach zu beschränkt bleiben, um auf kritische Situationen wie beispielsweise in Krisengebieten flexibel reagieren zu können.

Ok, ich kenne niemanden sehr viele Privatpersonen und Firmen die McAfee freiwillig auf ihrem Rechner installieren würden. Das ist wie mit Symantec, dessen Norton Antivirus auch mal als gelbe Gefahr bester Virenscanner der Welt bezeichnet wird und den unsere Systemadministratorin und Windows-Guru nicht mal geschenkt sehr gerne auf ihren Systemen installieren wollte. Der McAfee Virenscanner hat auch schon mal natürlich noch nie die Produktionsanlagensteuerungssoftware eines unserer Kunden als Virus eingestuft. Und der McAfee SiteAdvisor warnte lautstark vor irrt sich niemals auch nicht wegen dem Heise Browsercheck der Exploits simuliert.

Jedenfalls hat der Anbieter der gefährlichen Spyware nützlichen Browsertoolbar 7search.com McAfee wegen unfairen Geschäftspraktiken und Rufschädigung verklagt und verlangt Schadenersatz.

Ich finde das ein idiotisches prima Geschäftsmodell. Da könnte man ja auch Viren verbreiten, die sich nur nach Zustimmung einer EULA Endkundennutzungsvereinbarung installieren, die das Reverse Engineering verbietet. Und dann verklage ich die ganze Baggage alle Virenscannerhersteller wegen Verstoß gegen die Lizenzbedingungen.

Das habt ihr nun davon Vorsorglich distanziere ich mich von meiner eigenen Meinung. Ich steh eh heute 3 Meter neben mir.

Bei dieser Gelegenheit habe ich gleich mal den Security Kalender 2009 angefangen. Wer ergänzende Termine, Daten, Informationen etc. hat, wird hiermit aufgerufen mit per Mail oder hier in den Kommentaren Bescheid zu geben.

Ich bin mir übrigens nicht ganz schlüssig, ob es Sinn macht Veranstaltungen wie die IT-Security 2008 in den Kalender mit aufzunehmen. Aus meiner Sicht ist das eine reine Werbeveranstaltung die von ein paar Herstellern und Distributoren gesponsert wird, damit sie da ihre Vorträge unterbringen können. Für Systemhäuser mag das ganz interessant sein (ich geh z.B. auch gerne auf die CL University) aber meiner Meinung nach passen so „Hausmessen“ nicht ganz zur Idee meines Security Kalenders.  Andererseits bin ich anderslautenden Meinungen durchaus aufgeschlossen.

Freitickets bitte direkt an meine Mailadresse schicken 🙂
Vielen Dank.

Die IT Underground ist die wichtigste osteuropäische Security-Konferenz und fand im Februar in Prag und findet im Oktober in Warschau statt.

Im Januar wird es erstmalig eine Veranstaltung in Deutschland geben:

• IT Underground, Frankfurt/Main, 27.-29. Januar 2009

Langsam wird der Security Konferenzkalender in Deutschland eng. Neben der IT Underground im Januar drängeln sich noch im Dezember die Chaos Communication Conference, die IT-Defense dann im Februar, die Troopers 2009 (falls sie wieder stattfindet), die Black Hat in Amsterdam und die Infosecurity in London im April um die gleichen Referenten und Interessenten. Mal sehen, wen es davon 2010 nicht mehr gibt.

Die IT Underground in Warschau kostet (nur die Konferenz) 1090 Zloty, umgerechnet gerademal 330 Euro. Mit dem Preisniveau hätte die IT Underground einen echten Wettbewerbsvorteil. Mal sehen.

(Der Hinweis kam per Mail vom Veranstalter, ein werblicher Charakter ist daher nicht auszuschließen)