5. Juli 2012

Home-Router-Konfiguration aus der Cloud

Category: Datenschutz,Internet,Produkte — Christian @ 08:36

Äh ja. Danke für die Warnung, Heise:

    Für Ciscos Router-Modelle Linksys EA 2700, 3500 und 4500 steht jetzt ein Firmware-Update bereit, das die Fernsteuerung des heimischen Netzwerks über die Connect Cloud ermöglicht. […] Nachdem wir einen EA4500 mit der Cloud-fähigen Firmware 2.1.38 ausstatteten, ließ sich das Gerät nur noch nach Erstellen eines Connect-Cloud-Kontos in allen Funktionen konfigurieren.

Ich kann verstehen was aus Unternehmenssicht dahintersteckt. Zum einen kann man über die Cloud eine Menge Daten sammeln, beispielsweise wie die Kunden das Interface benutzen, welche Parameter und Optionen eingestellt werden, wo es Probleme gibt usw. Das bietet natürlich die Möglichkeit, einerseits den Kunden bessere Lösungen anzubieten, andererseits kann man den Support verbessern weil sich möglicherweise auch Support-Mitarbeiter auf das Cloud-Interface aufschalten können. Und natürlich kann man die Daten ggf. weiterverkaufen, im Cloud-Interface Werbung einblenden usw. und hat nette Nebeneinnahmen.

Nur, aus Kundensicht geht das gar nicht. Und zwangsweise wie Cisco das macht sowieso nicht. Ok, Cisco hatte 2011 ein schlechtes Jahr und die diversen Umstrukturierungen schlagen auch zu. Aber für das zweite Quartal 2012 gab es schon wieder Rekordzahlen, also hätte Cisco so verzweifelte „wir grabschen uns noch schnell jeden Cent bevor wir Pleite sind und scheiß auf den Ruf“-Aktionen eigentlich nicht nötig. Entweder ist bei Cisco jemand weit oben extrem dumm oder das Management hat jeden Bezug zur Realität verloren. Ich habe ja keine Cisco-Aktion aber wenn, hätte ich John Chambers schon länger mal ausgetauscht. Und mit der Meinung bin ich nicht alleine.


Tags: , , ,
1. Juli 2011

Sind die Daten erstmal in der Cloud …

Category: Datenschutz,Internet,Recht — Christian @ 12:38

… sind sie auch schon – geklaut. Ok, der hat auch schon einen Bart bis Meppen.

Aber man kann das leider gar nicht oft genug wiederholen. Oder wie Heise schreibt: US-Behörden können auf die Daten in den europäischen Rechenzentren US-amerikanischer Unternehmen zugreifen. Weil US-Recht das erlaubt. Unternehmen die mit diesem Wissen trotzdem personenbezogene Daten in so eine Cloud hochladen verstoßen damit gegen europäische Datenschutzgesetze, meint Thilo Weichert.

Also: Finger weg von amerikanischen Cloud-Anbietern.


Tags: ,
20. August 2010

Apple Rechner sind ungesichert im Sinne des Gesetzes

Category: Datenschutz,Hacking,Recht — Christian @ 11:29

Sehr schön. Apple Rechner sind ungesichert im Sinne des § 202a StGB (Ausspähen von Daten), stellt Udo Vetter fest.

Dort heißt es wörtlich:

    „Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“

Wenn man einen Apple Rechner aber von CD startet ohne das Passwort einzugeben, wurde die Zugangssicherung nicht überwunden (was strafbar wäre) sondern elegant umgangen, was bekanntlich nicht strafbar ist.

Sobald allerdings Festplattenverschlüsselung dazukommt, sieht es schon wieder ganz anders aus.


Tags: , ,
16. August 2010

I Can Stalk You

Category: Datenschutz,Internet — Christian @ 12:00

Nach Please Rob Me, die Daten aus Twitter und Facebook verknüpft um festzustellen welche Leute gerade im Urlaub sind und wo diese wohnen gibt es nun auch noch ICanStalkU.com, eine Webseite die Metadaten wie GPS-Positionen aus Bildern ausliest die irgendwelche Nutzer im Internet hochgeladen haben. Technisch nicht besonders anspruchsvoll aber durchaus interessant.

Nur, wie bei Please Rob Me geht das drei Tage durch die Medien und verschwindet dann wieder. Leider.

(via Basic Thinking)

 


Tags: , ,
8. August 2010

Die gelbe Gefahr

Category: Datenschutz,Produkte — Christian @ 10:53

Bisher war ich ja immer der Meinung, nein, nicht die Chinesen, Symantec sei die gelbe Gefahr. Ich zitiere da immer gerne unsere Systemadministratoren die meine geschenkte Symantec Norton AV-Lizenz mit den Worten „Geh weg mit dem Zeug!“ kommentierte.

Aber, wir haben jetzt eine neue gelbe Gefahr: Den E-Postbrief.

Richard Gutjahr hat sich zusammen mit den Anwälten Thomas Stadler und Udo Vetter die AGB angekuckt und ist entsetzt. Da stehen so Gemeinheiten drin wie: man muss täglich seinen Posteingang prüfen (sonst kann man Fristen versäumen), die Post hebt gelöschte Briefe eventuell noch eine Weile auf (was vermutlich hauptsächlich technisch bedingt ist) und verkauft die Adressen munter weiter (weil sich das Angebot sonst wohl nicht rechnen würde). Und dann ist die Post auch noch so arrogant und beantwortet die Fragen des Bloggers nicht.

Ich verstehe zwar das Problem aber die dahinterliegende Aufregung nicht. Niemand verwendet den Postbrief. Außer ein paar Doofen und den Mitarbeitern der Post selbst, die sicher dazu „verpflichtet“ werden. Insofern finde ich auch die „gelbe Gefahr“ völlig übertrieben. Ich rede doch auch nicht von der „blauen Gefahr“, weil mir mal ein blauer Audi die Vorfahrt genommen hat. Übrigens fällt mir auf, dass die Rowdies die vor 10 Jahren im BMW unterwegs waren heute alle Audi fahren. „Ingolstädter Gefahr“ also.

Also kein Problem. Einfach Finger weg vom E-Postbrief und vom Audi und schon kann nichts mehr passieren.


Tags: ,
11. Juli 2010

Skype Verschlüsselung Reverse Engineered

Category: Datenschutz,Hacking,Internet — Christian @ 20:32

Die Verschlüsselung von Skype wurde mittels Reverse Engineering aufgedeckt. Auf Details müssen wir noch etwas warten. Die gibt es erst auf dem 27C3 im Dezember in Berlin. Als Basis dient ein recht gewöhnlicher RC4, den Skype ein wenig angepasst hat.

Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.

Und ich sage weiterhin: Finger weg von Skype!


Tags: , ,
30. Juni 2010

Festplatten verschlüsseln schützt vor der Polizei

Category: Datenschutz,Hacking,Recht — Christian @ 19:57

So alt und kann doch nicht oft genug wiederholt werden. Verschlüsselte Daten auch auf privaten Festplatten und Datenträgern schützen! Nicht nur bei Verlust der Datenträger sondern auch und vor allem vor Behörden. Und gerade da kann man gar nicht vorsichtig genug sein. Ich hatte neulich erst wieder mit drei Gestalten vom Verfassungsschutz zu tun, mit denen war nichtmal eine normale Diskussion zu diesem Thema möglich, soweit hatten die die Realität ausgeblendet.

Ich persönlich habe meine Rechnerfestplatten normalerweise komplett mit Utimaco verschlüsselt. Das ist ein kommerzielles Produkt, weil ich eventuell dafür Support haben möchte und hauptsächlich deshalb im Einsatz, weil es das erste war, das gut mit Dual-Boot Platten mit Windows/Linux zurecht kam. Wichtige Daten sind auf der verschlüsselten Windows-Partition zusätzlich in einem Truecrypt-Container gespeichert (nur für den Fall, dass Utimaco irgendwann eine Sicherheitslücke oder Hintertür haben sollte) und Passwörter befinden sich in diesem Truecrypt-Container nochmal in einem KeePass-Safe. Wenn das nicht reicht, weiß ich auch nicht.

Ach ja, die Truecrypt-verschlüsselte Festplatte hat aktuell einen brasilianischen Bankier vor dem FBI gerettet. Nach einem Jahr hat das FBI aufgegeben, die Platte noch entschlüsseln zu können. Meine Empfehlung sind Passphrases mit mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen gemischt. Bei meinen Platten halte ich das (mit zwei Ausnahmen) genauso. Ausnahme eins ist ein unverschlüsselter USB-Stick zum Datenaustausch mit Leuten die nicht verschlüsseln können und Ausnahme zwei ist eine Festplatte mit Daten die lediglich für Schulungen und Seminare benötigt werden und eigentlich nicht vertraulich sind. Da ist nur routinemäßig Verschlüsselung drauf und das Passwort kennen ein paar Kollegen. Und so läßt sich auch prima arbeiten.


Tags: , ,
25. Juni 2010

Google hat auch Passwörter aufgezeichnet

Category: Datenschutz — Christian @ 19:49

War doch klar … wenn man schnell genug die Kanäle wechselt oder (was ich eigentlich eher glaube, bei dem Budget das Google hat) auf allen Kanälen gleichzeitig Daten aufzeichnet, dann erwischt man zwangsläufig irgendwann unverschlüsselt übertragene Passwörter beispielsweise von Webseiten oder POP3-Accounts.

Aber nett, dass die französischen Datenschützer das auch bemerkt haben.

Interessant ist, dass die Aktion bisher keine praktischen Konsequenzen für Google hatte. Ok, Frau Aigner, unsere Bundesverbraucherschutzministerin ist ein wenig beleidigt (wen interessierts, wer kennt die überhaupt?), Herr Schaar, unser Bundesdatenschutzbeauftragter ist ein wenig empört (wayne … jeder zahnlose Rentner im Rollstuhl ist gefährlicher)  und irgendeine Staatsanwaltschaft ermittelt sogar (wird eh eingestellt weil das Thema so komplex ist, dass der typisch deutsche Jurist spätestens beim dritten oder vierten Fachbegriff nichts mehr versteht). Insofern … ist das eigentlich doch nicht interessant.

Auf jeden Fall hat Google laut Golem ein Bauernopfer gefunden: „Dem Programmierer, der die Software entwickelt hat, die die Daten mitgeschnitten hat, drohen disziplinarische Maßnahmen, so Schmidt. Eine solche Software zu schreiben, sei „ein klarer Verstoß“ gegen die Datenschutzregeln des Unternehmens.“ Mich wundert nur immer wieder, wie der Schmidt lügen kann, ohne dabei rot zu werden.


Tags: , ,
10. Juni 2010

Random Stuff – 11

Category: Datenschutz,Hacking,Offtopic,Produkte — Christian @ 16:54

Eigentlich weiß ich gar nicht, was ich heute so schreiben will. Naja, dann halt irgendwas buntes durcheinander:

Apple macht sich weiter unbeliebt

Apple zensiert munter weiter im App-Store. Der Bewertungsmaßstab scheint der durchschnittlichte Hillbilly-Farmer im religiösen Mittleren Westen zu sein. Was der nicht gut findet, wird von Apple auch gesperrt. Inzwischen scheint sich sogar Fanboy und Springer-Chef Döpfner unsicher zu werden. Jedenfalls wird auf allen Kanälen um Hilfe gerufen. Apple schert das gar nicht, jetzt wird mittels iAd-Zensur gegen Google und Microsoft geschossen. Langsam hat man das gesamte IT-Lager (Adobe, Microsoft, Google, …) gegen sich. Und zu aller Freude verliert Partner AT&T auch noch jede Menge Daten.

Adobe macht sich weiter unbeliebt

Zumindest gibt es schon wieder einen Zero-Day Exploit für Flash. Ich verstehe ja manchmal Steve Jobs wenn er Flash nicht auf dem iPfusch haben will. Zusätzlich zu den Fantastilliarden (Enzyklopädie, my ass) an Safari-Lücken auch noch die Flash-Lücken auf seinen Geräten? Dabei gibt’s einen simplen Workaround. Einfach die ganze Adobe-Software deinstallieren. Schon ist Ruhe. Lustig ist nur, dass laut Advisory die Lücke gleichzeitig Flash, Reader und Acrobat betrifft. Da wird anscheinend heftig Code wiederverwendet.

Facebook macht sich weiter unbeliebt

Und zwar durch fleißig aus dem iPhone abgegriffenen Telefonkontaktdaten. Löschen der Daten ist nicht vorgesehen. Auskunft was mit den Daten passiert: keine. Auskunft, wie die Daten geschützt werden: keine. Reaktion vom Bundesdatenschutzbeauftragten Peter Schaar: keine (der wird sich notfalls einfach für „nicht zuständig“ erklären). Da kann man nur hoffen, dass man keine „Freunde“ hat, die gleichzeitig iPhone- und Facebookaccount-Besitzer sind.

Offtopic: Grätzel gewinnt Millenium-Preis (und macht sich nicht unbeliebt)

Da geht es um organische Solarzellen. Allerdings scheint die Versiegelung des Elektrolyt noch ein Problem zu sein (falls man Wikipedia trauen kann). Das Genie unserer Familie arbeitet in Dresden ebenfalls an organischen Solarzellen und kommentiert das mit: „Das Gute daran ist, dass der optische Anregungszustand durch das TiO2  schnell in Ladungen getrennt wird. Aber das Problem ist der Elektrolyt  und das andere reine organische Solarzellen wie unsere und Polymer-basierte in der Effizienz aufholen und jetzt bei 8% sind (Anmerkung: Grätzel-Zellen sind bei 11%). Ich denke das sich unsere Technologie oder Polymersolarzellen durchsetzen werden.“

Nachtrag:

Fefe hat die wichtigsten aktuellen Lücken in Flash aufbereitet. Langsam machen CVE-Nummern für Adobe gar keinen Sinn mehr. Die brauchen eine eigene Datenbank nur für Adobe-Lücken.


Tags: , , , , , , , ,

Warum Passwörter auf Webseiten Schrott sind

Category: Datenschutz,Hacking,Internet — Christian @ 08:26

Auf Golem.de gibt es gerade einen sehr schönen Artikel über eine Studie, die die Passwortsicherheit auf Webseiten untersucht hat:

    „Das Ergebnis ihrer Untersuchungen zeigt, dass Webseiten im Umgang mit Passwörtern große Schwachstellen haben. So unterlassen es beispielsweise 57 Prozent der untersuchten Websites, Passwörter per TLS verschlüsselt zu übertragen. Knapp ein Drittel der Websites verschickte Passwörter im Klartext per E-Mail und über 80 Prozent der Websites setzten einem Brute-Force-Angriff praktisch keinen Widerstand entgegen.“

Dabei scheinen größere Webseiten prinzipiell besser zu sein als kleine und Webseiten mit Zahlungsfunktion besser als sonstige.

Ich persönlich sehe das größte Risiko ja immer noch darin, dass die Nutzer auf allen Webseiten das gleiche Passwort verwenden. Wenn dann eine Webseite kompromittiert wird und die Kombination aus Login/Passwort/E-Mail einem Angreifer bekanntgeworden ist, kann sich der Angreifer oft direkt auf vielen verschiedenen anderen Seiten anmelden.

Aber das ist nichts neues. Ich empfehle mal wieder die OSCON 2005 Keynote von Dick Hardt. Schade, daß es immer noch keine vertrauenswürde und verläßliche Identity 2.0 gibt.


Tags: ,