17. Februar 2008
Offensichtlich ist dem BKA die Miete des Bayern-Trojaners zu teuer. Immerhin will der Anbieter, die Firma DigiTask GmbH vom Freistaat für die Miete der Skype-Abhörsoftware 3500,- Euro pro Monat und Abhörmaßnahme sowie 2500,- Euro pro Monat für die SSL-Verschlüsselung (Preise hier im PDF). Das kann ich gut verstehen. Im aktuellen Liechtensteiner Steuerskandal sind alleine in Nordrhein-Westfalen angeblich inzwischen 150 Ermittlungsverfahren eingeleitet worden. Wenn man die alle mit so einem Trojaner überwachen wollte, würde sich kaum noch ein Steuergewinn ergeben. Außer Bayern (und vielleicht noch Baden-Württemberg) kann sich den DigiTask-Trojaner kein Bundesland leisten.
Konsequenterweise will das BKA seinen Trojaner nun selbst entwickeln und wenn man das nötige Wissen nicht hat, dann muss man das kaufen. Diesmal können jedoch wohl weder T-Systems (die mit der LKW-Maut) noch Accenture (die mit dem Arbeitsamt-Webportal) und auch nicht McKinsey (die das renommierte Goethe-Institut beinahe ruiniert hätten) weiterhelfen. Ich fürchte, in einschlägigen Kreisen in Russland will das BKA auch nicht auf Einkaufstour gehen. Also bleibt nur selber basteln.
Auf der Job-Seite der FAZ hat das BKA eine Stellenausschreibung für eine/n Entwickler/in Programmierer/in geschaltet. Eigentlich klingt das ganz spannend:
- Ein vielfältiges Aufgabenspektrum, das Kreativität, Vision und ein hohes Maß an Eigeninitiative erfordert
- Die Möglichkeit, einen neuen Arbeitsbereich aktiv mitzugestalten
- Die Mitarbeit in einem hoch motivierten Team
- Aufgabenbezogene Aus- und Fortbildung
Na gut, das ist Blabla, das in jeder Stellenanzeige steht. Kucken wir mal weiter was gefordert wird:
- Sehr gute Kenntnisse im Bereich der Sicherheit von Computernetzwerken
- Fundierte Betriebssystemkenntnisse Unix/Linux und Windows
- Sehr gute Kenntnisse und mehrjährige Erfahrung in Programmierung (C, C++)
Die Kombination fällt für mich in den Bereich „knappes Gut“. Da kennen sich hier nicht mehr viele Leute aus, seit das Wissen um die Sicherheit von Computernetzwerken durch das Justizministerium in Person von Frau „ich habe keine Ahnung und keine Daten auf meinem geklauten Laptop“ Zypries durch Gesetze wie den § 202c in Deutschland massiv kriminalisiert wird. Ich denke mal, da wird das BKA zumindest ordentlich zahlen?
- Eine Bezahlung nach Entgeltgruppe 11 TVöD des Tarifvertrages für den öffentlichen Dienst (TVöD) für die/den Entwickler/in bzw. Programmierer/in
Hmm, mal hier kucken. Entgeltgruppe 11 TVöD sind brutto 2.430 Euro in der Stufe 1. Für so wenig Geld habe ich jedenfalls nicht Informatik studiert. Ok, das steigt nach einem Jahr auf 2.700 Euro und nach 10 Jahren sogar auf 3.635 Euro. Aber halt, die Stelle ist auf zwei Jahre befristet.
Zum Vergleich, wir bezahlen unserem gesuchten Firewall-Trainer anfangs brutto 2.200 Euro/Monat plus Bonus für gehaltene Schulungstage was im Schnitt pro Monat nochmal etwa 500 Euro ausmacht (natürlich saisonal bedingt schwankend). Also von Anfang an bereits 2.700 Euro, ein Hochschulstudium ist nicht erforderlich und die Stelle ist unbefristet.
Zwei Jahre, das scheint übrigens so die Zeit zu sein die das BKA dem Bundesverfassungsgericht gibt um festzustellen, dass der Einsatz eines Bundestrojaners gegen die Verfassung verstößt. Und dann will man den nicht mehr benötigten Entwickler natürlich elegant wieder los werden.
Naja … falls doch jemand Interesse hat, hier der Link zum Bewerben oder dieses PDF herunterladen. (Aber Vorsicht beim Klicken. Wenn das BKA nach Auswertung der Webserver-Logfiles eine Hausdurchsuchung startet, bin ich nicht schuld dran!)
(via Fefe)
14. Februar 2008
Vorgestern, am 12.02. fand unter der Schirmherrschaft der EU-Kommissarin Viviane Reding der Safer Internet Day statt. Die Ziele lesen sich auch schon ausreichend schwammig um alles oder nichts zu sagen:
- die Sensibilität für das Thema „Sicheres lnternet“ zu fördern und damit die Menschen dazu zu bewegen, der Sicherheit im Internet mehr Aufmerksamkeit zu widmen
In der Praxis handelt es sich beim Safe Internet Day nur noch im eine Rahmenveranstaltung in der sich diverse Lobbygruppen tummeln und unwidersprochen ihre (meist falschen) Ansichten verbreiten dürfen. Zum Thema Urheberrecht hat beispielsweise die GVU einen Flyer beigesteuert, der falsche (und natürlich im Interesse der Content-Industrie liegende) Angaben z.B. zur Privatkopie macht.
Klicksafe gibt sich zwar Mühe und ab und an findet man sogar nicht durch Lobbyarbeit beeinflusste Informationen, z.B. zum Webbrowser. Da kommt der IE sogar schlechter weg als er es verdient hat. Aber letztendlich wird dann doch wieder auf Werbung von Microsoft verlinkt.
Den Vogel abgeschossen hat aber das ZDF, das zum Thema Sicherheit im Internet und Datenschutz ein Interview ausgerechnet mit StudiVZ geführt hat, dem Unternehmen, das für seine hohen Datenschutzstandards bekannt ist. So bastelt das ZDF an der Legende, denn eigentlich hat StudiVZ nichts neues erfunden sondern lediglich zufällig zum richtigen Zeitpunkt Facebook kopiert.
Nachtrag:
Ich hätte dieses Youtube-Video vom ZDF-StudiVZ-Interview ja gerne direkt eingebunden aber vermutlich ist dem ZDF der Beitrag inzwischen so peinlich, dass sie das direkte Einbinden nicht mehr erlauben.
5. Februar 2008
Manchmal fragt man sich ja schon, haben die Leiter der deutschen Finanzunternehmen noch den geringsten Funken Anstand im Leib? Man erinnert sich ja gerne an das Victory-Zeichen von Herrn Ackermann oder seine Bekanntgabe eines Rekordergebnisses bei gleichzeitiger Entlassung mehrerer Tausend Mitarbeiter.
Im kleinen findet man so ein Verhalten beispielsweise in der Stuttgarter Volksbank wieder. Die Bank hatte Videoaufzeichnungen ihrer Geldautomaten sowie die Daten wer dort Geld abgehoben hatte verwendet, um einer Mutter und ihrer Tochter eine Rechnung über 52,96 Euro Reinigungskosten für die Verschmutzung des Vorraums durch die kleine Tochter zu schicken.
Nun heißt es recht eindeutig im Bundesdatenschutzgesetz, die Überwachung (und natürlich auch die Auswertung) ist nur zur Wahrnehmung berechtigter Interessen und für konkrete Zwecke zulässig. Dazu gehört sicher die Abwehr von Vandalen und Betrügern am Geldautomat. Ob es aber um Hundedreck geht wage ich zu bezweifeln. Besonders kritisch ist dabei der Abgleich der Aufnahme mit den Abhebungen am Geldautomaten zu sehen. Nicht umsonst hat der zuständige Datenschutzbeauftragte des Landes Baden-Württemberg ein paar kritische Fragen an die Bank.
Naive Menschen hätten jetzt eine Entschuldigung und einen Strauß Blumen erwartet. Die Volksbank hingegen sieht laut Heise „grundsätzlich kein Problem“. Gut zu wissen, nun befindet sich wieder ein Unternehmen auf meiner privaten schwarzen Liste der Unternehmen von denen man lieber die Finger lässt. Für mich persönlich wäre dieses Verhalten Grund genug, eine andere Bank zu suchen.
Nachtrag:
Die Stuttgarter Volksbank sieht jetzt plötzlich alles ganz anders und behauptet das Gegenteil. Naja, eigentlich bedauert sie in dieser Pressemitteilung (PDF) nicht das eigene Fehlverhalten sondern nur die daraus folgende Eskalation. Offensichtlich ist die Volksbank immer noch der Meinung, alles richtig gemacht zu haben.
4. Februar 2008
… oder seriös sieht anders aus!
Ich finde es immer wieder lustig, wenn Computerzeitschriften entweder mit schlecht recherchierten Artikeln oder reißerischer Aufmachung sämtliches Vertrauen in die Zeitschrift verspielen. Anscheinend kommt das aber in den besten Familien vor.
Aktueller Anlass: Linux Intern
Die Zeitschrift schreibt in der Ausgabe 01/08: „Das geht nur mit Linux. Die sicherste Firewall der Welt: Bundes-Trojaner, Viren und Spammer ohne Chance“. Ferner wird die Firewall als „Gebirgsfestung“ und „das sicherste Linux der Welt“ bezeichnet. Ok, der Hersteller freut sich, aber als Leser frage ich mich natürlich erst einmal ist der Artikel gekauft oder der Autor bestochen oder warum schreibt er so euphorisch kritikfrei.
Das erinnert mich an einen uralten Artikel in der Chip. Das muss so 1994 herum gewesen sein. Ich habe da gerade an der Uni München Informatik studiert. In der Chip erschien damals ein grottenschlecht recherchierter Artikel über Archie und Veronica, zwei Indexdienste für FTP und Gopher. In gewisser Weise sind das Vorläufer der heutigen Suchmaschinen. Ich war damals Mit-Maintainer des Linux-Distributionsmirrors der TU München und damit Mitbetreiber eines Archie-Servers. Chip bezeichnete die Programme als „konspirative Spionageprogramme“ und zitierte einen nicht genannten Hacker, der darüber Zugriff auf sensible Informationen weltweit erlangt haben wollte.
Ich habe mir danach nie wieder eine Chip gekauft.
Ich glaube, ich werde mir auch nie wieder eine Linux Intern kaufen. Erst recht nicht, da die zu Data Becker gehört.
3. Februar 2008
Ich habe heute angefangen, in der IT-Security relevante Kongresse aufzuführen, um so einen Orientierungskalender für das Jahr 2008 zu schaffen. Aufgeführt werden alle Kongresse, deren Schwerpunkt auf IT-Security liegt, also keine reinen Herstellerveranstaltungen, Hausmessen oder allgemeine Konferenzen auf denen IT-Security nur Nebensache ist (z.B. bei diversen Open Source Konferenzen).
Die Tabelle ist sicher nicht vollständig, darum würde ich mich über jede Ergänzung hier in den Kommentaren freuen. Ein Anspruch auf Aufnahme besteht nicht, die Tabelle ist rein subjektiv nach meinen persönlichen Interessen zusammengestellt.
2. Februar 2008
Aus einer Mail an die Full-Disclosure Mailing-Liste:
„Southwest Airlines has a class of ticket called ‚Business Select‘. This
ticket typically allows you to board the plane first, and because SWA
doesn’t have assigned seating means you have your pick of the seats on
the plane. But there is quite an additional benefit.
You also get a free drink ticket. But they seem to have forgotten
something in the implementation of this: Being your drink coupon is
issued to you when you print your boarding pass. It’s also printed
whenever you *reprint* your boarding pass!
So if you feel like getting drunk on your flight, just print seven or
eight boarding passes, and you’ll have a good flight. I tried this a
couple of weeks ago on a flight from San Diego to Kansas City, and I had
myself 4 free drinks no problem.“
Nice 🙂
27. Januar 2008
Was macht man nun aber, wenn man überall seine peinlichen privaten Fotos in diversen sozialen Netzwerken wie StudiVZ, Facebook, Xing und Co. verteilt hat und sich dann doch auf einen seriösen Job bewerben will? Die Amerikaner haben da einen ganz tollen neuen Dienst erfunden: Reputation Defender, auf deutsch der Reputationsverteidiger.
Thomas Knüwer vom Handesblatt hat schon seine Erfahrungen gemacht, allerdings noch in einer relativ positiven und seriösen Art. Der Reputation Defender hat ihn höflich angeschrieben, einen Verweis auf einen Kunden zu entfernen. Thomas Knüwer hat das nicht gemacht sondern die Mail veröffentlicht. Aus meiner Sicht vielleicht nicht ganz fair aber naja.
Wenn man als Reputation Defender jedoch die Bitte, eine Mail aus einem Mailarchiv zu löschen, an die komplette Mailingliste schickt … dann hat man es nicht anders verdient, verspottet zu werden:
Dear Full Disclosure,
We are writing to you in behalf of Bart Cilfone. He has asked us to contact you and see if you will consider removing the content about him at:
http://seclists.org/fulldisclosure/2008/Jan/0497.html
Please allow us to introduce ourselves. We are ReputationDefender, Inc., a company dedicated to helping our clients preserve their good name on the Internet. Our founders and employees are all regular Internet users. Like our clients, and perhaps like you, we think the Internet is sometimes unnecessarily hurtful to the privacy and reputations of everyday people. Even content that is meant to be informative can sometimes have a significant and negative impact on someone's job prospects, student applications, and personal life. We invite you to learn more about who we are, at www.reputationdefender.com.
Tja, da haben ein paar Leute noch nicht verstanden wie das Internet funktioniert. Aber gut zu wissen, dass da irgendwo anscheinend was negatives über Bart Cilfone steht. Und gut, dass es jetzt auch ein paar tausend Leute wissen.
Manchmal kann man echt nur noch den Kopf schütteln.
7. Januar 2008
Ich habe ja früher selbst mal (mehr oder weniger erfolgreich) ein wenig C++ programmiert aber so richtig anfreunden konnte ich mich mit der Programmiersprache nie. Ein besonderer C++ Basher ist bekanntlich Fefe, der dazu schon einen fiesen Vortrag (PDF) gehalten hat.
Und nun finde ich passend dazu die C++ Frequently Questioned Answers (FQA). Ei paar Auszüge:
- Operator overloading provides strong source code encryption (the time needed to figure out what a+b actually means is an exponential function of the number of types, implicit conversions, template specializations and overloaded operator version involved).
- One thing is always true: where you can use C++, you can use C. In particular, if someone gave you C++ interfaces, a thin layer of wrappers will hide them. Using C instead of C++ has several practical benefits: faster development cycle, reduced complexity, better support by tools such as debuggers, higher portability and interoperability. When C++ is an option, C is probably a better option.
- Empirical studies indicate that 20% of the people drink 80% of the beer. With C++ developers, the rule is that 80% of the developers understand at most 20% of the language. It is not the same 20% for different people, so don’t count on them to understand each other’s code.
Wunderbar 🙂
Nachtrag:
Ein paar schöne Irrtümer gibt es auch bei Cay Horstmann.
15. Dezember 2007
Das F-Secure Forum gestern wurde ja hauptsächlich deshalb kompromittiert, weil der Administrator übersehen hat, dass ein sicherheitsrelevantes Update vorhanden war. Das kommt öfter vor, besonders wenn der Hersteller der Software versucht, seine Fehler möglichst zu vertuschen. Normalerweise sind wir das ja z.B. von Microsoft gewohnt.
Seit Apple den Bereich des Nischenherstellers verlassen und ebenfalls in den Massenmarkt eingestiegen ist, sieht es bei Apple leider nicht besser aus.
Ich frage mich ja, was hoffen die Hersteller dadurch zu gewinnen? Schlechte Presse vermeiden? Die ist ihnen eher sicher, wenn sie Lücken verstecken wollen. Siehe Firefox und Internet Explorer. Schlechte Blogeinträge von diesem Komiker Jeff Jones vermeiden? Dem ist es doch egal, was der Wahrheit entspricht und wie ein Hersteller mit Sicherheitslücken umgeht, der ist vollständig merkbefreit.
Wie man proaktiv mit Lücken umgehen kann machen uns Hersteller wie F-Secure vor.
9. Dezember 2007
Ich habe inzwischen alle Beiträge auf diesem Blog mit Tags versehen. Die Tags werden unterhalb jedes Artikels eingeblendet und sind einfach nur Schlagwörter zu den Artikeln. Sie können praktisch wie Kategorien verwendet werden. Vielleicht findet so der eine oder andere leichter zu den Themen die ihn interessieren. Die Kategorien sind dafür nicht umfangreich und detailliert genug.
Aber keine Sorge, ich möchte so schnell keine Tag Cloud einblenden. Das ist ja sowas von 2006 😉
