29. Februar 2008

DRM strikes back

Category: Internet,Produkte — Christian @ 14:59

Digitales Restriktionsmanagement, d.h. die Software die gerne mal zur Gängelung der Kunden eingesetzt wird schlägt mal wieder zu. Die Bösen sind Apple und Adobe.

Mit dem Update auf QuickTime 7.4 hat Apple eine neue DRM-Version eingeführt, die an Quicktime-Filme etwas andere Anforderungen stellt. Videos, die mit Adobes Premier und After Effects erstellt wurden, können plötzlich nicht mehr geöffnet werden. Sogar die eigenen Filme nicht mehr:

    „After Effects error: opening movie – you do not have permission to open this file (-54).“

Und Apple Quicktime erlaubt es leider nicht, auf eine ältere Version zurückzugehen. Ohne Time Machine hat man plötzlich ganz schlechte Karten. Am besten packt man einfach kein Quicktime auf den Rechner. VLC tut es für mich auch.

Bei den eigenen zahlenden Kunden ist Apple aber auch nicht zimperlich. Wer dumm genug war, sich in den letzten Jahren mittels iTunes eine nette Sammlung DRM-geschützter Lieder zu kaufen kuckt heute verdientermaßen blöd aus der Wäsche. Inzwischen bieten nämlich fast alle Musicshops im Internet auch ungeschützte MP3s an. Nur leider lässt Apple die Kunden die bereits gekaufte Musik nicht einfach als MP3 herunterladen. Die Konvertierung eines Liedes vom DRM-verseuchten AAC-Format in MP3 kostet pro Lied extra. Und … man kann nur alle Lieder zusammen konvertieren, bei ein paar hundert Liedern im iTunes Store ein richtig teurer Spaß. Mit Tools aus dem Internet kann der Kopierschutz natürlich entfernt werden aber legal ist das nicht. Man kann nur hoffen, dass jetzt auch der dümmste kapiert, dass er mit DRM nur beschissen wird.

Adobe profitiert gerade davon, dass YouTube und Co. ihre Filme per FlashMovie vertauschen und Flash plötzlich das dominierende Format im Internet ist. Allerdings kann man die ganzen FlashMovies auch runterladen, lokal anschauen, Ausschnitte bearbeiten, kurz das ganze „rip, mix and burn“ Programm. Und was tut Adobe folglich? DRM in Flash integrieren. Jetzt ist das Format weit genug verbreitet, jetzt kann man die Schrauben anziehen. Demnächst wird man Flash-Filme nicht mehr herunterladen oder nur noch einmal oder zweimal anschauen können. Oder gleich zahlen müssen. Was Adobe meiner Ansicht nach vergisst ist, dass es genug Alternativen gibt. Man kann nur hoffen, dass die Nutzer klug genug sind, ein DRM-verseuchtes Flash schnell fallen zu lassen.

Ansonsten ist leider weiterhin der Ehrliche auch der Dumme.

28. Februar 2008

Verquickung von Amt und Partei?

Category: Politik — Christian @ 02:53

Anmerkung: Der folgende Beitrag hat mit IT-Sicherheit eigentlich nicht mehr viel zu tun. Er zeigt jedoch, dass einfaches Footprinting d.h. ein paar Informationen von Denic und aus dem Telefonbuch zusammengesucht bereits genügen, potentielle Skandälchen aufzudecken. Falls Euch das nicht interessiert, einfach überlesen.

Hier in Bayern sind wir ja viel gewohnt, auch wenn es nach Franz-Josef schon ein wenig besser geworden ist. Aber ab und an verwechseln einzelne Mitglieder der CSU anscheinend immer noch, dass der Freistaat und die Partei nicht ganz identisch sind.

Aktueller Fall: der Regensburger Oberbürgermeister Hans Schaidinger.

Wir werfen einen Blick auf die Domain schaidinger.de, Denic hilft uns hier bestens weiter:

    Domaininhaber: Hans Schaidinger, [gekürzt], Regensburg

Ich vermute, das ist die Privatadresse des Herrn Schaidinger. Dagegen ist natürlich nichts einzuwenden, wenn er eine Domain auf seinen Namen reserviert. Schauen wir jedoch mal, wer die Domain verwaltet.

    Administrativer Ansprechpartner: Oberbürgermeister Hans Schaidinger, Minoritenweg 8-10, 93047 Regensburg

Sehr interessant. Im Minoritenweg 8-10 befindet sich nach meinen Informationen das neue Rathaus der Stadt Regensburg. Der Amtssitz des Bürgermeisters ist jedoch im alten Rathaus. Im Minoritenweg sitzt statt dessen das Amt 17 IuK, das u.a. für die IT der Stadt Regensburg zuständig ist. Anscheinend lässt der feine Herr Oberbürgermeister seine private Domain von der Stadt Regensburg betreiben.

Man könnte jetzt vielleicht noch einwenden, dass der Oberbürgermeister ein Amtsträger ist und auf seiner Seite nur Informationen über seine Amtsführung zu finden ist. Dem ist nur leider nicht so. Statt dessen leitet die Seite schaidinger.de direkt auf die Seite der CSU Regensburg um. Eine persönliche Wahlwerbung des Herrn Schaidinger und der CSU.

Aus meiner Sicht riecht das verdächtig nach einer möglichen Veruntreuung von Mitteln der Stadt Regensburg für private Zwecke des Herrn Schaidinger. Der Schwabe würde sagen, das hat ein „Gschmäckle“. Interessant wäre jetzt eigentlich noch herauszufinden, ob das Amt 17 auch die Denic-Gebühren für die Domain bezahlt. Dann ist das eindeutig. Als Provider und Zonenverwalter fungiert zufällig R-Kom, der städtische Internetprovider, da schließt sich dann auch der Kreis.

Andere Politiker sind mit solchen Sachen etwas vorsichtiger. Die persönliche Webseite unserer Bundeskanzlerin angela-merkel.de beispielsweise gehört der CDU und wird auch von der Partei bezahlt. Schließlich wird sie ja auch für Parteiwerbung eingesetzt. Aber aus der Regensburger CSU sind wir in letzter Zeit ja einiges gewohnt. Wirklich Schaden wird es der CSU jedoch nicht. Alles unter 50% für Schaidinger wäre im tiefschwarzen Regensburg schon eine besondere Überraschung.

Mir persönlich ist es ja egal, wer in Regensburg Oberbürgermeister wird aber vielleicht sollte man ein paar Politikern nochmal erklären wie das so ist mit dem Internet, dem Denic, den IP-Adressen und dem Ausdrucken von Webseiten.

Nachtrag:

Wie von Hans Dampf im Kommentar als erstes bemerkt, ist inzwischen (Stand: 10.03.2008) Herr Schaidinger persönlich und nicht mehr das Amt 17 als Administrativer Ansprechpartner bei Denic eingetragen.

Hotmail-Postfächer hacken

Category: Hacking,Internet — Christian @ 00:53

Passend zum letzten Beitrag habe ich auch noch ein Video gefunden:

Hmm. Windows Live Password Stealer 2007. Hat schon mal jemand das Tool ausprobiert?

27. Februar 2008

Überwachung von Zugriffen auf das eigene Webmail-Postfach

Category: Hacking,Tipps & Tricks — Christian @ 23:57

Ein Webmail-Postfach bei Web.de, GMX, Google-Mail etc. ist oft ganz praktisch und insbesondere bei Google kann man Mails recht lange dort gespeichert lassen. Allerdings besteht die Gefahr, dass andere Benutzer an den Mails interessiert sein könnten und irgendwie Zugriff auf das Webmail-Passwort erlangen. Ich erinnere hier nur an den Hushmail-Fall. Wie erkennt man nun so einen unberechtigten Zugriff mit dem eigenen Passwort?

Im Makeuseof-Blog hat Mark O’Neill eine clevere Methode beschrieben, mit Hilfe von Webbugs, kleinen in Mails eingebetteten Bildern, festzustellen wenn unberechtigt auf das eigene Webmail-Postfach zugegriffen wird:

  1. Man melde sich bei einem Webcounter an, z.B. www.onestatfree.com, bevorzugt mit einem unverdächtigen Namen
  2. Die Welcome-Mail löscht man und merkt sich nur die Account-ID die man später für den Zähler braucht
  3. Dann legt man eine interessante Datei, z.B. Passwortliste.html an. In diese HTML-Datei bettet man den Zähler ein
  4. Diese Datei schickt man per E-Mail an sich selbst. Am besten mit einem Subject, das einen Angreifer neugierig macht. „Wichtige Passwörter“ ist beispielsweise ein guter Betreff.
  5. Damit ist die Falle eingerichtet. Sobald jemand die Mail öffnet, erfasst der Zähler den Zugriff. Über die Auswertungsstatistik des Zählers kann man erkennen, wenn unberechtigte Zugriffe erfolgten.
  6. Der Onestatfree-Zähler speichert auch die IP-Adresse und damit weitere Informationen über den Angreifer. Unter Umständen genügt das bereits, den Täter einzugrenzen.

Sehr cool.

Geistige Notiz für mich: Beim Zugriff auf fremde Webpostfächer Javascript abschalten und keine Bilder von fremden Servern nachladen.

Das Verfassungsgerichtsurteil zur Online-Durchsuchung

Category: Politik — Christian @ 23:12

Das Bundesverfassungsgericht hat heute das Urteil zur Online-Durchsuchung verkündet und anscheinend sind alle begeistert und zufrieden.

Der GröIaZ Wolfgang Schäuble ist zufrieden, weil das BVG die Online-Durchsuchung nicht komplett verboten hat. Alle rechtschaffenden Demokraten in der BRD wie z.B. der CCC sind zufrieden, weil das BVG (relativ) hohe Schranken eingebaut hat. So braucht es einen konkreten Verdacht, nicht nur eine abstrakte Gefährdung und natürlich gibt es den Richtervorbehalt. Die Süddeutsche Zeitung geht sogar soweit, das Urteil des BVG mit dem „Volkszählungsurteil“ gleichzusetzen. Damals wurde die „Informationelle Selbstbestimmung“ als Grundrecht eingeführt, heute ein „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Die Hürde für eine Online-Durchsuchung ist faktisch damit sogar höher als für eine Hausdurchsuchung.

Ist also alles in Ordnung?

Meiner Meinung nach nein. Das Bundesverfassungsgericht bricht ohne Not mit diesem Urteil mit einem wichtigen nach 1945 eingeführten Grundsatz: Durchsuchungen dürfen nicht heimlich sein. Bei einer Hausdurchsuchung kann der Betroffene einen Zeugen hinzuziehen, in Abwesenheit ist die Durchsuchung nur in Beisein eines Zeugen zulässig. Gut, die Rechtspraxis sieht geringfügig anders aus aber immerhin. Mit dem heutigen Urteil ist zum ersten Mal in der Nachkriegsgeschichte in Westdeutschland wieder eine heimliche Durchsuchung wenn auch vorläufig nur Online zulässig. Vor der Heimlichkeit schützt auch der Richtervorbehalt nicht. Das ist ganz in der Tradition der Gestapo und der Stasi.

Natürlich werden wir erst in einigen Jahren sehen, wie sich die Online-Durchsuchung weiterentwickelt. Ich erwarte aber, da heimliche Durchsuchungen prinzipiell ja verfassungsgemäß sind, dass es zukünftig auch heimliche Hausdurchsuchungen gibt. Und für den Richtervorbehalt lässt sich bestimmt notfalls ein Geheimgericht einrichten. Die USA haben uns das mit dem „National Security Letter“ und dem „FISA Geheimgericht“ bereits vorgemacht.

Meine Vorhersage lautet: dieses Urteil wird im Rückblick trotz aller Freude, den Überwachungsirrsinn des Bundesinnenministers heute ein wenig eingedämmt zu haben als Dammbruch zur heimlichen Durchsuchung gewertet werden. Und ich fürchte, der Antidemokrat Schäuble freut sich auch deshalb weil er das sofort erkannt hat.

26. Februar 2008

Blackberry Helm

Category: Offtopic — Christian @ 23:45

Den Link zu diesem Filmchen habe ich heute von einem Kunden bekommen:

Köstlich.

25. Februar 2008

Verdeckte Überwachung?

Category: Hacking,Produkte — Christian @ 23:05

Eine Überwachung kann ja bekanntlich vielfältiger Natur sein. Besonders interessant finde ich jedoch die Möglichkeit, moderne Heizungsverbrauchsmessgeräte dazu zu verwenden. Natürlich steckt da ein wenig Verschwörungstheorie dahinter, eine Überwachung mit Belauschen oder Filmen der Bewohner dürfte noch nicht möglich sein. Trotzdem, wenn das stimmt was der Installateur behauptet hat:

    „Das sind digitale Messgeräte, die ihre Informationen mit Funk übertragen. Die werden einmal am Tag aktiv und senden ihre Daten zur Zentralstation.“

Da hat man als Angreifer vielfältige Möglichkeiten. Anhand des Heizungsverhaltens und Wasserverbrauchs kann man leicht feststellen, wie viele Leute in einem Haushalt wohnen, ob die Bewohner im Urlaub sind. Für Einbrecher interessante Informationen. Auf der Webseite des Herstellers des Kalorimeta erfährt man immerhin, dass die Geräte auf 868 MHz senden. Außerdem ist die Rede von codierter Übertragung, was nicht bedeutet, dass die Daten verschlüsselt sind.

Irgendwie kommt mir das wie eine spannende Herausforderung für ein Hacking-Projekt mit Vortrag auf dem 25C3 vor. Titel: „Ich weiß, was Du letzten Winter verheizt hast“ oder so ähnlich. Ich werde mal gucken, was die Teile kosten.

Nachtrag:

Ok, der Hersteller behauptet, die Übertragung wäre verschlüsselt.

24. Februar 2008

Hotelsafes knacken

Category: Allgemein,Hacking — Christian @ 22:59

Ist das echt? Geht das mit anderen Safes auch?

Ok, dass Hotelsafes nicht gerade überzeugend sicher sind ist bekannt, aber soooo krass?

Der Bundesdatenschützer hält sich auch mal an das Gesetz

Category: Datenschutz — Christian @ 21:50

Unglaublich, der oberste Datenschützer in Deutschland, der Bundesbeauftragte für den Datenschutz Peter Schaar hält sich endlich auch mal an das Bundesdatenschutzgesetz, das er bekanntlich illegal großzügig auslegt und das ist in Deutschland sogar eine Heisemeldung wert.

Worum geht es? Um die Speicherung von IP-Adressen auf Webservern von Bundesbehörden. Bekanntlich wurde unserer Justizministerin Frau Zypries unter Androhung eines Ordnungsgeldes, ersatzweise Gefängnis verboten, IP-Adressen auf ihren Webservern (genauer denen des Bundesjustizministeriums) zu speichern.

Und jetzt endlich, vermutlich auch erst nach der Drohung, ebenfalls verklagt zu werden erklärt Herr Schaar auf seiner Webseite, Netzkennungen nur noch anonymisiert zu speichern.

Halloooo, Herr Schaar? Sie hätten die IP-Adresse niemals speichern dürfen. Noch nie. Wegen des Bundesdatenschutzgesetzes. Für das Sie zuständig sind. Aber Gesetze sind anscheinend auch nur für andere da, Sie haben da bekanntlich Ihre eigene Interpretation. Eigentlich sollte man Ihnen in den Arsch treten, wenn Sie schon nicht den Anstand haben, zurückzutreten. Setzen, 6.

23. Februar 2008

Festplattenverschlüsselung wirkungslos

Category: Hacking — Christian @ 21:01

Ein Team um Professor Felten hat im Blog „Freedom to Tinker“ beschrieben, wie sich gängige Festplattenverschlüsselung brechen lässt. Und Felten ist nicht irgendwer sondern jemand, der sich bezüglich DRM schon mit der Musikindustrie angelegt hat und diverse Schutzmechanismen geknackt hat. Der Mann hat Ahnung.

Das neu entdeckte Problem betrifft praktisch alle gängigen Programme, egal ob Bitlocker, Utimaco oder Truecrypt. Alle Programme müssen nämlich irgendwo die Entschlüsselungskeys vorrätig haben und üblicherweise liegen die im RAM vor. Die gängige Annahme ist, sobald der Strom weg ist, verlieren die RAM-Bausteine auch alle Informationen. Wenn man den Rechner ausschaltet, hat man daher keine Chance an die Schlüssel ranzukommen. Leider ist diese Annahme falsch. Felten und Co. können zeigen, dass die RAM-Bausteine ihre Informationen viel länger als gedacht behalten. Wenn man die Bausteine sogar noch mit Stickstoff oder so kühlt, bis zu mehreren Minuten. Das ist eindrucksvoll. Eine mögliche Lösung wäre natürlich, die Schlüssel in einem speziellen Hardware Security Module zu speichern, aber gängige PC-Hardware selbst mit TPM gibt das nicht her. Man sollte daher sein Notebook niemals eingeschaltet oder im Standby mit in die USA nehmen!

Der folgende Film mit dem Titel „Cold Boot Attacks on Encryption Keys“ zeigt in eindrucksvoller Weise die Möglichkeiten:

Argl, wie schütze ich jetzt meine wichtigen Daten? Ach ja, der wissenschaftliche Bericht dazu findet sich auf der Princeton Webseite.