Mitternachtshacking

Ich war mal wieder beruflich im Ausland, hab mir die Stadt Luxemburg angeschaut und wie üblich nebenbei Sticker fotografiert. Leider hatte ich das Ladegerät für meine Kamera vergessen, deshalb musste das Fotohandy herhalten. Und die Qualität ist leider nicht so gut. Egal. Die Bilder gibt es nach dem Klick, weil sie die meisten vermutlich nicht interessieren werden. Auf Wunsch gebe ich gerne auch die höher aufgelösten Originalaufnahmen heraus. Die Bilder sind nicht sortiert sondern in der Reihenfolge in der ich sie fotografiert habe.

(more…)

<Guyman> Alter, ich hab das System überwunden!
<Dudistisch> Wie?
<Guyman> Naja das Post-System! Wenn du ein Brief nicht ausreichen frankierst, kommt er ja zurück an den Absender.
<Dudistisch> Ja und weiter?
<Guyman> Na was ist wenn du Absender und Empfänger vertauschst. Also du deinen Namen als Empfänger angibst und den Namen von dem an den der Brief wirklich gehen soll als Absender? Und dann nicht ausreichen frankierst? Richtig! Dann bekommt der der den Brief wirklich kriegen soll gratis zugestellt mit der Begrüngung: Nicht ausreichend frankiert, und zurück gesendet an den Empfänger.
<Dudistisch> Alter, auf was für Ideen kommstn du?
<Guyman> Krass oder? 😀

Quelle: iBash.de

Eigentlich weiß ich gar nicht, was ich heute so schreiben will. Naja, dann halt irgendwas buntes durcheinander:

Apple macht sich weiter unbeliebt

Apple zensiert munter weiter im App-Store. Der Bewertungsmaßstab scheint der durchschnittliche Hillbilly-Farmer im religiösen Mittleren Westen zu sein. Was der nicht gut findet, wird von Apple auch gesperrt. Inzwischen scheint sich sogar Fanboy und Springer-Chef Döpfner unsicher zu werden. Jedenfalls wird auf allen Kanälen um Hilfe gerufen. Apple schert das gar nicht, jetzt wird mittels iAd-Zensur gegen Google und Microsoft geschossen. Langsam hat man das gesamte IT-Lager (Adobe, Microsoft, Google, …) gegen sich. Und zu aller Freude verliert Partner AT&T auch noch jede Menge Daten.

Adobe macht sich weiter unbeliebt

Zumindest gibt es schon wieder einen Zero-Day Exploit für Flash. Ich verstehe ja manchmal Steve Jobs wenn er Flash nicht auf dem iPfusch haben will. Zusätzlich zu den Fantastilliarden (Enzyklopädie, my ass) an Safari-Lücken auch noch die Flash-Lücken auf seinen Geräten? Dabei gibt’s einen simplen Workaround. Einfach die ganze Adobe-Software deinstallieren. Schon ist Ruhe. Lustig ist nur, dass laut Advisory die Lücke gleichzeitig Flash, Reader und Acrobat betrifft. Da wird anscheinend heftig Code wiederverwendet.

Facebook macht sich weiter unbeliebt

Und zwar durch fleißig aus dem iPhone abgegriffenen Telefonkontaktdaten. Löschen der Daten ist nicht vorgesehen. Auskunft was mit den Daten passiert: keine. Auskunft, wie die Daten geschützt werden: keine. Reaktion vom Bundesdatenschutzbeauftragten Peter Schaar: keine (der wird sich notfalls einfach für „nicht zuständig“ erklären). Da kann man nur hoffen, dass man keine „Freunde“ hat, die gleichzeitig iPhone- und Facebookaccount-Besitzer sind.

Offtopic: Grätzel gewinnt Millenium-Preis (und macht sich nicht unbeliebt)

Da geht es um organische Solarzellen. Allerdings scheint die Versiegelung des Elektrolyt noch ein Problem zu sein (falls man Wikipedia trauen kann). Das Genie unserer Familie arbeitet in Dresden ebenfalls an organischen Solarzellen und kommentiert das mit: „Das Gute daran ist, dass der optische Anregungszustand durch das TiO2  schnell in Ladungen getrennt wird. Aber das Problem ist der Elektrolyt  und das andere reine organische Solarzellen wie unsere und Polymer-basierte in der Effizienz aufholen und jetzt bei 8% sind (Anmerkung: Grätzel-Zellen sind bei 11%). Ich denke das sich unsere Technologie oder Polymersolarzellen durchsetzen werden.“

Nachtrag:

Fefe hat die wichtigsten aktuellen Lücken in Flash aufbereitet. Langsam machen CVE-Nummern für Adobe gar keinen Sinn mehr. Die brauchen eine eigene Datenbank nur für Adobe-Lücken.

Problem exists between Keyboard and Chair. Auch in Deutschland, stellt völlig überraschend Bitkom fest, wie Heise notiert. 37 Prozent der Deutschen geben angeblich Passwörter weiter, häufig um sie nicht zu vergessen. Ich stelle mir das mal so vor:

Frau Maier: Grüß Gott, Frau Huber.

Frau Huber: Grüß Gott, wie geht’s ihnen denn so?

Frau Maier: Ja gut. Aber ich hab eine große Bitte an sie.

Frau Huber: Was kann ich denn tun?

Frau Maier: Sie passen ja schon auf unseren Haustürschlüssel auf und gießen Blumen wenn wir im Urlaub sind.

Frau Huber: Ja, schon. Und?

Frau Maier: Können sie bitte auch auf mein Facebook-Passwort aufpassen und für mich Status-Updates machen?

Frau Huber: Klar geht das.

Frau Maier: Und bei GMX die Post reinholen. Und bei Twitter die Tweet aktualisieren. Und bei MeinVZ den Rasen mähen. Aber nur einmal die Woche!

Frau Huber: Ja Herrgott, wie viele Passwörter soll ich mir den merken?

Frau Maier: Na nur eines natürlich. Josef, wie mein Mann heißt.

Frau Huber: Ach so, na dann kann ich das natürlich machen.

Und weil wir grad beim Google Bashing sind …

Mobile Bank Dispenser … nur das Bild und das Original bei Flicker (leider keine CC-Lizenz, deshalb nur verlinkt)

Gute Frage.

Die Umbrella Corporation Fraunhofer Gesellschaft (genauer Fraunhofer SIT) hat bekanntlich vor einiger Zeit eine bezahlte Studie im Auftrag von Microsoft durchgeführt und gezählt, wie viel Spam bei diversen Freemail-Anbietern aufschlägt (Link zum PDF).

Gewonnen hat Yahoo vor Hotmail und Googlemail. Die beiden 1&1-Firmen Web.de und GMX schnitten deutlich schlechter ab. Über die zu erwartenden Mängel bei einer bezahlten Studie im allgemeinen und einer Fraunhofer Studie im besonderen hat Basic Thinking einen ganz netten Bericht geschrieben. Probleme sind insbesondere, was ist alles Spam (z.B. die Hauspost von GMX die ja zur Finanzierung des Dienstes dient), was ist mit Spam der zugestellt aber als Spam markiert ist (z.B. wenn die Zustellung gesetzlich vorgeschrieben ist) und wie man mit False Positive umgeht (was mit persönlich wichtig ist, lieber ein Spam zu viel als eine wichtige Nachricht verloren). Egal, ist ja eine Fraunhofer Studie (also Werbung) und außer Spiegel Online fällt da keiner mehr drauf rein.

Da ich bei all denen kein echter Nutzer bin interessiert mich eigentlich nicht, wie viel Spam man bei GMX oder Hotmail bekommt. Statt dessen interessiert mich als Nutzer einer anderen Mailadresse, wie viel Spam ich von diesen kostenlosen Diensten bekomme, d.h. was mich dieser Dienst kostet, obwohl ich gar nicht Nutzer bin.

Ich habe letzten Monat deshalb mal andersrum gezählt, nämlich von welchen Adressen ich den meisten Spam auf meine privaten und Firmenadressen bekomme (ist der gleiche Mailserver, darum einfach zu zählen). Genauso stichprobenartig und systematisch wie Fraunhofer. Einfach gezählt, was für mich Spam ist. Die meisten Mails werden mittels Real-Time Blacklist geblockt, insbesondere auch, wenn die Absenderdomain mit dem Absenderserver nicht zusammengeht. Die gezählten Mails sind deshalb nur die Spam-Mails die direkt über die Server der jeweiligen Anbieter verschickt wurden.

Und hier das Ergebnis:

1. Gmail: 14 Spam-Mails
2. Hotmail: 9 Spam-Mails
3. Web.de: 1 Spam-Mail
4. GMX: 1 Spam Mail

Mein Fazit: Den größten Schaden durch Spam-Versand an andere richten Google (Gmail) und Microsoft (Hotmail) an. Schade, dass man die nicht verbieten kann.

LUCiD hat auf seiner Webseite ein paar lustige Filter eingebaut. Wenn man beispielsweise von einer harmlosen O2-Adresse drauf zugreifen will bekommt man gerne mal eine Fehlermeldung, dass man nicht erwünscht ist weil Bot-Trap die IP-Adresse auf einer Blacklist führt. Chrome ist komplett unerwünscht. Die meisten Suchmaschinen auch. Ist mir ja egal, jeder darf auf seiner Seite entscheiden wen er drauf lassen will. Wenn ich hier niemanden haben wollte, würde ich einfach ein Passwort davorpacken und Ruhe ist. Die Texte die ich schreibe sind unter eine Creative Commons Lizenz nutzbar und das mit der „nicht-kommerziellen Nutzung“ sehe ich persönlich nicht so eng. Zumindest sind ein paar Google-Banner nach meinen Kriterien noch keine kommerzielle Nutzung (auch wenn es Leute gibt die davon leben können). Egal.

Viel lustiger finde ich den Knopf „keine Zielgruppe“ und den dahinter liegenden Text. Ich klaue zitiere jetzt mal ein paar Auszüge:

5. Werbegeschenke wie Kugelschreiber, Rabattmarken, Taschenrechner, Gratis-Downloads, Promotion-Codes, CD-Roms, Gratis Probeexemplare, Aufkleber, Anstecker o.Ä. führen nicht zu einer Änderung meines Konsumverhaltens.

Das ist schon mal eine mutige Aussage. Eine Menge von Werbung ist inzwischen so subtil angelegt, dass sie auf den ersten Blick gar nicht als Werbung wahrnehmbar ist. Dazu kommt, dass durch Probeexemplare, Aufkleber etc. mir vielleicht erst Produkte bekannt werden die meiner ethischen Überzeugung oder meinen finanziellen Rahmenbedingungen entsprechen und deshalb gekauft werden. Ich bin mir sehr sicher und bewusst, dass Werbegeschenke mein Konsumverhalten verändern können.

7. Aus meinen persönlichen Konsumgewohnheiten lassen sich keine Rückschlüsse auf meine politischen, ethischen oder moralischen Grundüberzeugungen schließen.

Ich bin mir sehr sicher, dass sich aus meinen persönlichen Konsumgewohnheiten ein paar Rückschlüsse auf meine Grundüberzeugungen schließen lassen. Ich kaufe Fleisch, also bin ich kein Vegetarier. Ich kaufe nichts der Dalli-Werke weil die der Familie Wirtz (Grünenthal) gehören (und weil es gleichwertige verfügbare Alternativen gibt). Und ich nehme Einfluss auf meine Mitmenschen, das genauso zu halten.

Warum schreibe ich das eigentlich? Ach ja, zwei Gründe.

1. Ich halte es für nutzlos, mit Sperren, Filtern, Zwangsmaßnahmen etc. auf Missstände hinweisen zu wollen. Ich würde beispielsweise niemals Chrome-Nutzer aussperren. Es ist das gute Recht jedes Benutzers einen beliebigen Browser zu verwenden. Ich würde Chrome nicht verwenden, aber meinetwegen. Ich halte mich nicht für besser oder klüger, anderen da Vorschriften machen zu müssen.

2. Ich bin Zielgruppe. Ganz bestimmt. Meine Anschrift für Werbegeschenke steht im Impressum. Gerne auch große Pakete 🙂 Ich blogge nur nicht darüber, wenn ich was bekomme.

Nachtrag:

Link zu LUCiD auf besonderen Wunsch auf dereferer.org geändert 😉

Ich hab da noch eine lange Liste von Links die ich mir mal aufgehoben habe um hier im Blog darüber was zu schreiben. Die werde ich jetzt langsam abarbeiten.

Gesichtserkennung überlisten

Auf der Defcon 17, im August letzten Jahres gab es einen Wettbewerb wie man automatische Gesichtserkennungssysteme austricksen kann. Gewonnen hat ein Cap, das mit LEDs ausgestattet ist die so pulsieren, dass Gesichtserkennungssysteme nicht mehr richtig funktionieren. Sieht lustig aus, das Teil.

Fooling Face Recognition Systems with Makeup

Zu diesem Thema gibt es übrigens schon ein wenig Sekundärliteratur: „Most faces have a dark region just above the eyes, while the cheek bones and nose bridge will appear lighter. When the algorithm detects enough such attributes, it guesses the object is a face.“ Durch geschickte Verwendung von Makeup kann man nun erreichen, dass diese Hell-Dunkel-Flächen nicht mehr korrekt erkannt werden. Cnet und The Register haben mehr dazu. Und Lady Gaga.

Äh … ja

Rémi Gaillard ist ein französischer Aktionskünstler der immer wieder Aktionen bringt bei denen einem echt nichts mehr einfällt. Der Rocky-Verschnitt im Supermarkt beispielsweise oder im Mario Kart durch Paris fahren. Hat weder was mit Gesichtserkennung noch mit IT-Security zu tun, ist aber trotzdem lustig.

Der Wert von Security-Zertifizierungen

Die meisten Zertifizierungen fragen einfach nur gelerntes Wissen ab. CISSP ist so ein Beispiel. Im Grunde kann man sich ne Woche hinsetzen und Fragen und Antworten auswendig lernen und kann dann kaum noch durchfallen. Entsprechend umstritten sind manche dieser Zertifizierungen, wie der Aufruf zum Capture The Flag Wettbewerb der diesjährigen Defcon beweist: „Those with SANS certs need not apply. CISSPs are right out. CEH holders…well, we sorta feel a little bit sorry for those that admit to holding this cert and abstain from mocking.“ Sehr schön. Ach ja, Meldeschluß ist am 20. Mai.