31. August 2008

Der LHC startet am 10. September

Category: Offtopic — Christian @ 22:38

Nun scheint es mit den Klagen der LHC Kritiker gelaufen zu sein … der Europäische Gerichtshof für Menschenrechte hat die Klage von Otto Rössler und Markus Goritschnig abgewiesen. Der Large Hadron Collider ist bereits auf Betriebstemperatur. Ich bin ja mal gespannt, was die Physiker an Erkenntnissen gewinnen.

Darauf ein Bier … Higgs.

30. August 2008

VMwares lustiges patchen

Category: Produkte — Christian @ 22:38

Von VMware gibt es mal wieder ein Advisoriy:

    Updates to VMware Workstation, VMware Player, VMware ACE, VMware Server, VMware ESX address information disclosure, privilege escalation and other security issues.

Klingt harmlos, ist es aber nicht. Ein Angreifer in einem virtuellen System kann seine Rechte auf den Hypervisor ausdehnen und dadurch beliebigen Programmcode in jedem virtuellen System ausführen.

Je länger ich drüber nachdenke umso weniger sehe ich breite Anwendungszwecke für Virtualisierung. Alles, auf das Nutzer direkt zugreifen oder sich anmelden können scheidet praktisch automatisch aus. Und dann bleiben nur noch ein paar Server übrig. Kann mir mal irgendjemand den Hype um VMware und den aktuellen Börsenwert erklären?

Opt-in und Opt-out aber nicht per AGB

Category: Politik — Christian @ 22:33

Langsam sollte es eigentlich auch der letzte wissen:

In die Allgemeinen Geschäftsbedingungen eine Klausel reinzunehmen, dass Kunden in den Empfang von Werbe-SMS und -E-Mails einwilligen ist unzulässig. Das ist laut BGH eine „unzumutbare Belästigung“ der Verbraucher. Da hilft auch ein Kästchen „hier ankreuzen, falls die Einwilligung nicht erteilt wird“ nicht. Verloren haben übrigens die Datenkraken von Payback, die jedoch weiterhin munter alle Daten sammeln und auch an Werbepartner weitergeben dürfen.

Zusammenfassend:

Für normale Briefpost ist das Opt-out zulässig, notfalls muss man sich auf die Robinsonliste des DDV (Antrag, PDF) setzen lassen. Das ist angemessen, weil der Werbetreibende bereit ist gewisse Kosten für die Briefpost aufzuwenden. Alleine diese Kosten beugen einigem Missbrauch vor.

Für alle neuen Medien (Telefon, E-Mail, SMS) bei denen die Verbreitung von Nachrichten für den Werbetreibenden sehr günstig ist, ist das explizite Opt-in notwendig. Wenn (wie z.B. bei Newslettern) eine Anmeldung auch mit fremden Mailadressen möglich ist, bleibt nur das Double-Opt-in Verfahren.

Ach ja, auf die Frage an der Kasse: „Haben sie eine Payback-Karte?“ antworte ich immer mit „Sind sie völlig wahnsinnig? Dies Datenkraken! Da kann ich ja gleich meine Seele an den Teufel verkaufen!“. Das funktioniert recht gut hier in Bayern.

29. August 2008

Sind McAfee die Bösen?

Category: Allgemein,Produkte — Christian @ 15:56

Ok, ich kenne niemanden sehr viele Privatpersonen und Firmen die McAfee freiwillig auf ihrem Rechner installieren würden. Das ist wie mit Symantec, dessen Norton Antivirus auch mal als gelbe Gefahr bester Virenscanner der Welt bezeichnet wird und den unsere Systemadministratorin und Windows-Guru nicht mal geschenkt sehr gerne auf ihren Systemen installieren wollte. Der McAfee Virenscanner hat auch schon mal natürlich noch nie die Produktionsanlagensteuerungssoftware eines unserer Kunden als Virus eingestuft. Und der McAfee SiteAdvisor warnte lautstark vor irrt sich niemals auch nicht wegen dem Heise Browsercheck der Exploits simuliert.

Jedenfalls hat der Anbieter der gefährlichen Spyware nützlichen Browsertoolbar 7search.com McAfee wegen unfairen Geschäftspraktiken und Rufschädigung verklagt und verlangt Schadenersatz.

Ich finde das ein idiotisches prima Geschäftsmodell. Da könnte man ja auch Viren verbreiten, die sich nur nach Zustimmung einer EULA Endkundennutzungsvereinbarung installieren, die das Reverse Engineering verbietet. Und dann verklage ich die ganze Baggage alle Virenscannerhersteller wegen Verstoß gegen die Lizenzbedingungen.

Das habt ihr nun davon Vorsorglich distanziere ich mich von meiner eigenen Meinung. Ich steh eh heute 3 Meter neben mir.

28. August 2008

mal wieder eine StudiVZ-Lücke

Category: Datenschutz,Hacking — Christian @ 01:30

ich kommentiere das gar nicht mehr. Hier ist der Link zu Heise. Schlimm ist, die lernen gar nix. Das gleiche gab es schon mal 2006.

27. August 2008

Viren auf der ISS

Category: Hacking — Christian @ 22:30

und zwar Computerviren, keine echten!

Einige Laptops auf der ISS sind von einem Wurm befallen worden, der eigentlich Zugangsdaten zu Online-Spielen spielt. Die NASA weiß nicht so genau, wie das passieren konnte.

Ich bin mir jetzt nicht ganz sicher, was das bedeuten soll. Ist die ISS ein gewaltiger Schwindel wie die angeblichen Mondlandungen? Quasi ein Live-Computerspiel für die NASA mit lustigen computergenerierten Bildern für uns ahnungslose Zuschauer? Und wer hat jetzt die Zugangsdaten zu diesem Spiel? David L. Lightman? Dr. Stephen Falken?

Oder sitzen die Astronauten da oben im Weltall und wenn ihnen langweilig ist zocken sie eine Runde World of Warcraft? Muss die NASA jetzt neue WoW-CDs ins All schicken weil die geklauten Zugangsdaten gesperrt wurden? Fragen über Fragen.

Was ich dagegen verstehe ist, wenn auf den Rechnern im All kein Virenscanner läuft. Das ist in Produktionsumgebungen nicht so einfach und gerüchteweise soll ab und an auch nicht die neueste Hardware zum Einsatz kommen.

(via Wired)

Zum aktuellen Datenschutzskandal

Category: Datenschutz,Politik — Christian @ 19:33

Ich habe eine Weile überlegt, ob ich zu den aktuellen Datenschutzskandalen überhaupt viel schreiben soll. Einerseits war so ein Skandal längst überfällig, gerade im Hinblick auf die vielen Identitätsdiebstähle in den USA und in Großbritannien. Auf der anderen Seite war vielleicht noch ein wenig die Hoffnung, im Land der Seeligen zu leben.  Zum aktuellen Stand gibt es unten eine kleine Presseschau. Ich selbst will nur zwei Punkte loswerden, die mir persönlich wichtig sind.

1. die Politik 

Wo sind denn unsere heroischen Kämpfer gegen die Kriminalität, wenn die Bürger tatsächlich real durch echte Verbrecher bedroht werden und nicht nur durch terroristische Phantasiespinnereien im Kopf eines Rollstuhlfahrers? Wo ist der GröIaZ Schäuble? Warum fordert er nicht die Todesstrafe, Guantanamo Bay und 150 Jahre verschärfte Einzelhaft? Statt dessen schafft er es gerade mal, zu einem „Kriesengespräch“ ins Bundesinnenministerium einzuladen. Das klingt ganz nach Kohlscher Aussitzungstradition.

Wo ist der bayrische Scharfmacher Beckstein, der geistig Innenminister geblieben ist und nie zum Landesvater reifen wird? Warum genügt es ihm, im Wahlkampfbus durch die bayrische Provinz zu touren und über einzelne kriminelle Ausländer zu referieren statt die echten Probleme der ständigen Erosion des Datenschutzes anzusprechen? Ganz zu Recht wurde er in Freising während seiner gesamten Rede über zwei Stunden ausgepfiffen (ok, es ging mehr um die dritte Startbahn am Münchner Flughafen aber schön fand ich das trotzdem. Ich bin extra hin um mir das anzukucken).

Immerhin spät aber trotzdem peinlich auch der Bundesbeauftragte für den Datenschutz Herr Schaar. Höhere Bußgelder, ist das alles was ihnen dazu einfällt, Herr Schaar? Wie wäre es, die Banken in die Pflicht zu nehmen und bei widerrechtlicher Abbuchung die Rückforderungsfrist auf 12 Monate zu verlängern?

Wenigstens konnte sich der Leiter des Unabhängigen Landesdatenschutzzentrums Schleswig-Holstein, Dr. Thilo Weichert zu konkreten Aktionen aufraffen. Als (soweit ich weiß) einziger Datenschützer stellte er Strafanzeige gegen einzelne Unternehmen bzw. unbekannt. In einer detaillierten Stellungnahme äußert er sich auch zu möglichen Konsequenzen. Voraussichtlich wird von der Politik keine einzige seiner Forderungen umgesetzt.

2. die Datensammelwut des Staates

Eigentlich sollte inzwischen auch die letzte Oma kapiert haben, dass einmal vorliegende Daten auch missbraucht werden. Dabei ist es völlig egal, ob es sich um die Autobahnmautdaten, die biometrischen Reisepässe, die Gesundheitskarte oder die neue Steuerzahleridentifikationsnummer (TIN, Taxpayer Identification Number, welcher Bundesdepp hat sich eigentlich den Anglizismus ausgedacht?)  geht.

Gerade die Steuerzahleridentifikationsnummer ist auf dem besten Weg zum bundeseinheitlichen Personenkennzeichen zu werden. Aber auch die zukünftig auf der Gesundheitskarte gespeicherten Daten die eventuell vielleicht mit der Arzt-PIN ohne Wissen des Patienten abgefragt werden können, weil der Patient ja zu doof ist, seine PIN einzugeben, werden viele Begehrlichkeiten wecken.

Vielleicht kam der Skandal gerade noch rechtzeitig und der „mündige Bürger“ wacht auf und sieht, in welche Richtung sich unser Staat gerade entwickelt.

Begeben Sie sich direkt nach 1984. Gehen Sie nicht über Los. Ziehen Sie nicht 4000 Euro ein. 

26. August 2008

15-jähriger löscht Homepage der Stadt Ansbach

Category: Hacking — Christian @ 01:12

Harhar. Ein 15-jähriger „Superhacker“ hat die Homepage der Stadt Ansbach gelöscht. Nur leider hat der Junge das 11. Hackergebot vergessen („laß dich nicht erwischen!“). Und nun hängt ihm die Polizei im Nacken, das ist schließlich ein klarer Verstoß gegen StGB 303a (Datenveränderung).

Zum Glück leben wir nicht in den USA, der britische Hacker Gary McKinnon kämpft gerade vor dem Europäischen Menschenrechtsgerichtshof gegen seine Auslieferung in die USA. Dort drohen ihm für ein bisschen Ausspähen von Daten (er war auf der Suche nach UFO-Beweisen) rund 70 Jahre Haft. Die US-Terrorgesetze machen’s möglich.

Aber zurück zu den Ansbachern, ich frage mich ja wie weit die selber dran schuld sind. Richtig kompetent scheint die Webdesign-Firma nicht zu sein. Alleine die Kommentare und Fehler in den HTML-Seiten sind schon sehr aufschlußreich:

  • Installationspfad auf dem Server: „Content-Template /home/ansbaebj/www3.ansbach.eu/tpls/cont61b.php
  • Undefinierte Funktionen: „Fatal error: Call to undefined function: query2pool() in /home/ansbaebj/www3.ansbach.eu/lc/ecards/uebersicht.php3 on line 8
  • Formularversand mittels GET statt POST: „<form action=“showpage.php“ method=get>

Und schließlich gibt es genug Möglichkeiten, PHP-Seiten abzusichern, angefangen von mod_security über PHPIDS gibt es jede Menge Schutzmaßnahmen.

Lustig finde ich auch die Fehlermeldung nach dem Hack, die sich noch in den Kommentaren befindet:

Sehr geehrter Nutzer, es gab ein technisches Problem auf dem Internet-Server der Stadt Ansbach. Daher finden Sie unsere Seiten vorübergehend in einem anderen Layout vor! Momentan sind wir dabei die technischen Probleme zu beheben. Vielen Dank für Ihr Verständnis!

Aha.

25. August 2008

Security Kalender 2009

Category: Allgemein — Christian @ 20:51

Bei dieser Gelegenheit habe ich gleich mal den Security Kalender 2009 angefangen. Wer ergänzende Termine, Daten, Informationen etc. hat, wird hiermit aufgerufen mit per Mail oder hier in den Kommentaren Bescheid zu geben.

Ich bin mir übrigens nicht ganz schlüssig, ob es Sinn macht Veranstaltungen wie die IT-Security 2008 in den Kalender mit aufzunehmen. Aus meiner Sicht ist das eine reine Werbeveranstaltung die von ein paar Herstellern und Distributoren gesponsert wird, damit sie da ihre Vorträge unterbringen können. Für Systemhäuser mag das ganz interessant sein (ich geh z.B. auch gerne auf die CL University) aber meiner Meinung nach passen so „Hausmessen“ nicht ganz zur Idee meines Security Kalenders.  Andererseits bin ich anderslautenden Meinungen durchaus aufgeschlossen.

Freitickets bitte direkt an meine Mailadresse schicken 🙂
Vielen Dank.

Die IT-Underground kommt nach Deutschland

Category: Allgemein,Work — Christian @ 17:40

Die IT Underground ist die wichtigste osteuropäische Security-Konferenz und fand im Februar in Prag und findet im Oktober in Warschau statt.

Im Januar wird es erstmalig eine Veranstaltung in Deutschland geben:

  • IT Underground, Frankfurt/Main, 27.-29. Januar 2009

Langsam wird der Security Konferenzkalender in Deutschland eng. Neben der IT Underground im Januar drängeln sich noch im Dezember die Chaos Communication Conference, die IT-Defense dann im Februar, die Troopers 2009 (falls sie wieder stattfindet), die Black Hat in Amsterdam und die Infosecurity in London im April um die gleichen Referenten und Interessenten. Mal sehen, wen es davon 2010 nicht mehr gibt.

Die IT Underground in Warschau kostet (nur die Konferenz) 1090 Zloty, umgerechnet gerademal 330 Euro. Mit dem Preisniveau hätte die IT Underground einen echten Wettbewerbsvorteil. Mal sehen.

(Der Hinweis kam per Mail vom Veranstalter, ein werblicher Charakter ist daher nicht auszuschließen)