12. September 2008
Lustiges aus der Forensik-Küche:
Das iPhone macht regelmäßig Screenshots vom Bildschirm, wenn der Anwender auf die Home-Taste drückt. Die Screenshots sind wohl technisch notwendig, um die Zoom-Out-Funktion zu realisieren bei der verkleinerte Bilder des aktuellen Screens berechnet werden müssen. Das Problem dabei: dieses schimmlige Smartphone hat wohl zu wenig RAM um das komplett im Memory zu berechnen und speichert daher den jeweils aktuellen Screenshot in einer temporären Datei im Flash. Alleine das Speichern in einer temporären Datei ist ja schon peinlich genug, darüberhinaus scheint es aber forensischen Experten gelungen zu sein, diese Screenshots in Kriminalfällen wieder herzustellen.
Tja, das iPhone ist eben immer für eine Überraschung gut.
11. September 2008
Das ist doch mal eine sehr schöne Aktion der PC Games zur bayrischen Landtagswahl:
Die Fotos von Joachim Herrmann (Bay. Innenminister, CSU), Christine Haderthauer (Generalsekretärin der CSU), Markus Söder (Bay. Europaminister, CSU) und Günther Beckstein (Bay. Ministerpräsident, CSU) aufgereiht wie auf einem Wahlplakat und darunter der Slogan: „Ich wähle keine Spielekiller“.
Ausgerechnet die CSU-Landtagsfraktion, also genau die, die sonst gerne Computerspieler pauschal verunglimpfen und diffamieren, hat sich bereits gegen diese Diffamierung gewehrt. Tja schon seltsam, dass der CSU die eigene Medizin nicht schmeckt.
Persönlich halte ich die CSU zur Zeit ja auch für nicht wählbar. Beckstein hat den Schritt vom populistischen Innenminister zum Landesvater nicht geschafft und wird das auch nicht mehr. Die Law-and-Order Mentalität hängt ihm viel zu sehr nach. Beckstein ist beispielsweise für den Einsatz der Bundeswehr im Inneren und hat durchgesetzt, dass in Bayern bereits seit August 2008 der „Bayerntrojaner“ zum Ausspionieren der Bevölkerung eingesetzt werden kann. Dazu gehört auch, dass die Ermittler in Bayern nicht nur Computer verwanzen, sondern sogar die Wohnungen Betroffener heimlich betreten dürfen um Spionagesoftware („Trojaner“) auf Computern zu installieren. Wie das mit dem Grundgesetz vereinbar sein soll, weiß ich allerdings nicht. Einen Mielke 2.0 will ich jedenfalls nicht als Ministerpräsidenten.
10. September 2008
So, weil das im letzten Artikel mit den diversen Nachträgen etwas unübersichtlich wurde, hier eine kleine Herstellerübersicht. Für Ergänzungen bin ich jederzeit dankbar.
Authentisierungstoken mit Display:
USB-Token:
Grid-Karten:
Falls jemand weitere Anbieter von Produkten kennt, die in DACH käuflich zu erwerben sind, bitte in die Kommentare oder eine kurze Mail an mich.
9. September 2008
Das Digitale Restriktionsmanagement (DRM) das angeblich dazu dienen soll, Raubkopien von Software und Medien zu verhindern, tatsächlich aber nur den ehrlichen Kunden bestraft, hat wieder einmal zugeschlagen.
Bei Musikhörern und Online-Musikshops ist inzwischen weitgehend angekommen, dass dieses Restriktionsmanagement für den Kunden nur Nachteile und keinen einzigen Vorteil hat. Das ärgerliche ist insbesondere, dass alle diese digitalen Versiegelungen wertlos werden, wenn der Anbieter seinen Dienst einstellt. Genau das ist aber nicht die Ausnahme sondern die Regel, da sich kaum ein mündiger Nutzer so gängeln lassen will wie sich die Musikindustrie (die Industrie, wir reden hier nicht von den Kulturschaffenden) das vorstellt. Erst im Juli hat es den Yahoo Shop erwischt, vorher Microsoft MSN und dazwischen viele andere. Ich hoffe, außer den Apple-Jüngern ist niemand mehr so blöd und kauft DRM-verseuchte Musik.
So langsam spricht sich das Problem anscheinend auch zu den Computerspielern rum. Die werden schon seit Jahren regelmäßig mit immer neuen Beschränkungen bei der Nutzung ihrer gekauften Spiele gegängelt. Der bisherige Höhepunkt war das Ärgernis um Bioshock, das viele Interessierte vom Kauf abgehalten hat. Mit Spore scheint es der Spielepublisher EA jetzt jedoch überzogen zu haben.
Das Spiel Spore ist ebenso wie Bioshock mit dem SecuROM Kopierschutz ausgestattet, der permanent, auch wenn das Spiel nicht gestartet wurde im Hintergrund mitläuft und Ressourcen verbraucht. SecuROM verwendet typische Rootkit-Methoden um sich im System festzusetzen (was die Entwickler naturgemäß anders sehen) und ist mit Betriebssystemmitteln nicht mehr zu entfernen. Es gibt Nutzer die davon berichten, dass nach der Installation von SecuROM das Brennen von CDs nicht mehr möglich sei. Auf jeden Fall hat es EA mit den Beschränkungen weit überzogen. Das Spiel lässt sich lediglich dreimal installieren (es muss online aktiviert werden), eine Rücknahme der Aktivierung bei Deinstallation ist nicht vorgesehen. Wenn diese drei Aktivierungen verbraucht sind, liegt es im Ermessen von EA, weitere Aktivierungen zu genehmigen. Oder auch einfach in ein paar Jahren den Aktivierungsserver abzuschalten wie von dem Musikhändlern bekannt. Man hat dann nur noch einen teuren und nutzlosen Datenträger.
Der Unmut schlägt gerade bei Amazon.com deutliche Wellen, der Online-Händler kommt mit dem Löschen der negativen Kritiken gar nicht mehr nach. Man beachte die hohe Zahl an 1-Stern Bewertungen:
Der Tenor ist recht klar, ein Nutzer mit dem Pseudonym Erich Maria Remarque bringt das deutlich auf den Punkt:
„The game incorporates a draconian DRM system that requires you to activate over the internet, and limits you to a grand total of 3 activations. If you reach that limit, then you’ll have to call EA in order to add one extra activation. That’s not as simple as it sounds, since when you reach that point EA will assume that you, the paying customer, are a filthy pirating thief. […] In a couple of years they might very well even shut down the general activation servers, because „it’s not financially feasible“ to keep them running. This basically means that you are actually RENTING the game, instead of owning it. The game WILL stop to function in the future.“
Ich persönlich tendiere ja dazu, auch Jahrzehnte später noch Spiele zu spielen, die mich irgendwann als Kind begeistert haben. Ich spiele heute noch mit Freuden Commander Keen, das sogar auf Windows XP noch völlig ordentlich läuft. Leider kann heute niemand mehr etwas mit dem Dopefish anfangen 🙂 Das Spielen wäre jedoch mit einem durch DRM verschlossenen Spiel wie Spore gar nicht möglich. Ich kann mir nicht vorstellen, dass Aktivierungsserver 20 Jahre am Leben erhalten werden.
Ach ja, das Spiel selbst scheint sich auch nicht zu lohnen:
„The game was dumbed down to oblivion. Evolution doesn’t even matter anymore. For example, you can add as many legs to a creature as you want, but the multilegged creature won’t be any faster than a single legged one with higher leg stats. „
Na dann … gehen sie bitte weiter, es gibt nichts zu sehen.
(via Ars Technica)
Im gedruckten Focus (Ausgabe Nr. 37 vom 8. September 2008) steht ein interessanter Artikel zu Googles Chrome. Überschrift: „Angriff der Datenkrake„. Leider gibt es den Artikel bisher nicht online aber einen anderen mit ähnlichem Tenor.
Interessant finde ich den Artikel aus zwei Gründen: zum einen, weil der Artikel des Focus von allen Medien die mir so untergekommen sind noch am differenziertesten berichtet und auch die Datenschutzproblematik thematisiert. Vermutlich ist das ein Vorteil des Print, man kann sich etwas mehr Zeit lassen und daher ausgewogener berichten (Hr. Niggemeier würde das vermutlich abstreiten).
Zum anderen stellt Focus jedoch eine bemerkenswerte Theorie auf, die meiner Ansicht nach völliger Blödsinn ist. Auf der ersten Seite wird Chip-Redakteur Henschel mit der Aussage „die Marktmacht des Internet Explorers sei zumindest derzeit weniger gefährdet“ zitiert. Und auch wenn ich von Chip nicht besonders viel halte, möchte ich Herrn Henschel hier uneingeschränkt recht geben. Auf der nächsten Seite kommt dann jedoch der Informationswissenschaftler Dirk Lewandowski von der Hochschule für angewandte Wissenschaften in Hamburg zu Wort, der eine haarsträubende Theorie aufstellt:
„Chrome ist somit mehr als nur ein neuer Browser – das Programm könnte sich zu einem Web-Betriebssystem entwickeln und stellt somit einen Angriff auf Microsoft dar.“
Begründet wird diese Aussage mit vagen Verweisen auf Cloud-Computing. Bei Cloud-Computing werden Programme, Daten und Rechenkapazität sozusagen ins Internet verlagert. Man spricht dann von einer diffusen Wolke, der Cloud. Angeblicher Vorteil: die Daten sollen sicher in einem Rechenzentrum lagern und können jederzeit und von überall wieder abgerufen werden. Nachteil: die persönlichen Daten liegen bei einem fremden Unternehmen, das sich diese gerne auch mal per AGB aneignet.
Ein Web-Betriebssystem! Was für ein Quatsch.
Zu einem Betriebssystem gehört mehr als nur ein GUI zur Anzeige von etwas Text und Grafik. In erster Linie zeichnet sich das Betriebssystem für mich durch die Steuerung der Hardware aus. Dazu gehören Treiber für Festplatte und Wireless LAN genauso wie Anpassungen an eine deutsche Tastatur und den angeschlossenen Monitor. Microsoft Windows XP ist ein Betriebssystem. Microsoft Vista mit vielleicht etwas zähneknirschen auch. GNU/Linux ist sogar ein Open Source Betriebssystem, genau wie FreeBSD. Debian, SuSE und Ubuntu sind Varianten (Distributionen) von Linux. Chrome ist ein Browser.
Ein Browser mit etwas schnellerer Javascript-Engine und einem simplen „Prozesse statt Threads“-Konzept wie man das vor 10 Jahren schon hatte ist kein Betriebssystem. Auch Gears macht Chrome nicht zum Betriebssystem und Chrome wird das Betriebssystem niemals ersetzen. Ich stelle mir das auch gerade spannend vor, einen modernen DirectX-10 Ego-Shooter wie Crysis in Chrome laufen zu lassen. Es muss echt schwierig sein, die 3D-Grafikberechnungen in Javascript sauber hinzubekommen. Ich vermute so 0,01 Frames/sek müsste man vielleicht schaffen.
Zum zweiten, wer vertraut denn ernsthaft sensible Daten anonym in einer Cloud einem fremden Unternehmen an. Und dann auch noch speziell Google und deren AGB? Die Daten sind weder besonders zuverlässig in so einer Cloud gespeichert, wie beispielsweise Twitter feststellen musste, als Amazons S3 Service (den ich im Grunde für recht gut halte) leider ausgefallen ist. Noch wird vom Anbieter sichergestellt, dass kein Fremder Zugriff auf die Daten erhält. Dazu aber bei gegebenem Anlass einen eigenen Artikel.
Auf keinen Fall kann (und will) Google mit Chrome einen Angriff auf das Microsoft Windows Betriebssystem starten. Vielleicht, aber nur ganz ganz vielleicht kann Google damit ein paar winzige Prozent Marktanteile von Office abknabbern. Ich denke, das ist noch nicht einmal direkt geplant. Das einzige was Google will ist, dass die eigenen AJAX-Programme weiterhin vernünftig in verschiedenen Browsern funktionieren. Und das geht am besten mit einem Referenzbrowser, dessen Funktionalität andere nachbilden müssen. Die „Balkanisierung“ des Browsermarkts, in dem sich inzwischen neben dem Internet Explorer und Mozilla Firefox auch Opera, Safari und Chrome tummeln sorgt wahrscheinlich auch dafür, dass sich die Entwickler von Webseiten gezwungen sehen, sich mehr an Standards zu halten. Webseiten nur noch für den Internet Explorer zu entwickeln kann sich heute niemand mehr leisten.
Auf anderen Märkten ist Google übrigens durchaus mit einem eigenen Betriebssystem vertreten. T-Mobile USA möchte sogar noch 2008 erste Mobiltelefone mit dem Google Handybetriebssystem Android ausliefern. Android ist Linux-basiert und steht in direkter Konkurrenz zu Symbian, iPhone und Windows Mobile.
Aber Google Chrome als Web-Betriebssystem zu bezeichnen … my ass!
8. September 2008
Harhar, Heise schreibt, CNN schreibt, die US-Geheimdienste wollen sich ein Social Network à la Facebook unter dem Namen A-Space aufbauen. Dort sollen sich Geheimdienstmitarbeiter dann treffen, unbürokratisch Informationen austauschen und Freundschaften pflegen können. Für die Öffentlichkeit soll das nicht zugänglich sein, weil da hochsensible Daten rumliegen können.
Ich persönlich glaube ja nicht, dass das was bringt. Die Hauptprobleme der US-Geheimdienste liegen vor allem in den Rivalitäten untereinander. Wer mehr Erkenntnisse hat kriegt mehr Budget und ist damit wichtiger und mächtiger. Da gibt doch keiner freiwillig Informationen raus. In einigen Blogs und Foren wird angeblich eh schon gemunkelt, das sei lediglich ein gewaltiger Honeypot der Cracker anziehen soll, damit die schlecht geschützten sonstigen Seiten der Geheimdienste endlich in Ruhe gelassen werden. Zum Unglück müssen die Amerikaner wenigstens nicht über so komische Sachen wie Verfassungsfragen nachdenken, die in Deutschland beispielsweise aus gutem Grund die Verquickung von Polizei und Geheimdiensten verbietet. Außer für Anti-Demokraten und Verfassungsfeinde eigentlich für jeden verständlich.
Andererseits wäre das in Deutschland sicher ein Space äh Spaß: So ein B-Space für den BND, ein P-Space für die Polizei, ein V-Space für V-Leute des V-Schutzes, ein Z-Space für den Zoll und vielleicht findet sich irgendwo sogar ein L-Space in den wir den GröIaZ rollen können, der dann hoffentlich in einer Raum-Zeit-Krümmung verschwindet …
Zumindest behauptet das Cyber-Ark in einer Studie. Leider gibt es die nur nach Eingabe einer Unmenge persönlicher Daten, deshalb hier der direkte Link (PDF). Was für ein glücklicher Zufall, dass ausgerechnet Cyber-Ark auch Produkte zur Verwaltung sensibler Zugangsdaten wie Administratorpasswörtern anbietet. Wir wären sonst ja verloren.
Ich denke, die Zahlen muss man mit großer Vorsicht genießen. Cyber-Ark hat Unternehmen gefragt, ob sie befürchten, dass Systemadministratoren unberechtigt auf Daten zugreifen könnten. Das hat mit tatsächlichen Zugriffen erstmal wenig zu tun. Klar, es gibt spektakuläre Fälle wie den des ehemaligen UBS-Administrators Roger Duronio, aber die sehe ich als krasse Ausnahme. Wenn es so schlimm wäre, liebe Systemadministratoren, gäbe es nämlich ab nächstes Jahr keinen Kuchen mehr.
Unabhängig davon … die meisten Unternehmen haben tatsächlich keine Strategie was nach dem Ausscheiden eines Systemadministrators zu tun ist. Passwörter ändern ist ja nur ein Baustein. Was muss denn noch alles geändert (z.B. Remote-Zugänge) und kontrolliert (z.B. Dokumentation) werden? Nur mal so als kleiner Denkanstoß.
Golem hat eine haarsträubende Anleitung veröffentlicht, wie man der Datenschutzseuche Chrome die eindeutige Browser-ID abgewöhnen kann. Vermutlich nicht ganz sondern Chrome verwendet dann bei jedem Start eine neue eindeutige Browser-ID, aber besser als gar nichts.
Im Grunde funktioniert das so, dass man in der Datei C:\Dokumente und Einstellungen\Login\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data/Local State (bei einem deutschen Windows XP) den Wert bei client_id löscht. Anschließend muss man den Schreibschutz für diese Datei setzen, damit Chrome keine neue ID einträgt. Und weil Chrome in diesem Fall mit einer Backup-Datei arbeitet, gilt das gleiche für die Datei „Local State.tmp“ im gleichen Verzeichnis.
Verdammt, für das Teil gibt es doch den Source Code, oder? Das nächste was ich mache ist, einen PrivacyChrome daraus zu machen, der bei jeder Google-Anfrage (d.h. jedem einzelnen HTTP-Request) eine andere Client-ID mitschickt. Eat this, Google.
Andererseits … ich könnte ja Wetten, dass zufällig und ganz versehentlich natürlich in die Lizenz von Chrome eine Klausel reingerutscht ist, die genau das entfernen der eindeutigen Identifizierungsmöglichkeiten verbietet. Google is Evil.
Cnet hingegen gibt dem Bösen ein Gesicht. Nein, damit ist nicht Stephen King gemeint, Cnet hat im Beitrag „Photos: The brains behind Google Chrome“ Fotos der Entwickler veröffentlicht. Und wie zu erwarten, die sehen eigentlich ganz normal aus. Ein bisschen wie Al Pacino in „Im Auftrag des Teufels“ :-;
7. September 2008
Ein interessantes Angebot, der CSI-Stick mit dem man in Sekunden alle Daten aus einem Mobiltelefon auslesen kann. Leider bisher nur für Samsung und Motorola, eine Lösung für Nokia fehlt noch.
Ich sag ja immer, das Mobiltelefon nur Sekunden aus der Hand geben ist heute schon ein gewaltiges Risiko. Man kann unerwünscht ins Handy Tracking aufgenommen werden und sämtliche SMS und Kontaktdaten können aus dem Telefon geklaut werden. Von anderen Schweinereien wie dem Abhören mittels FlexiSpy und Co. will ich gar nicht reden. Mein altes Motorola hatte dafür eine Funktion, die Tastensperre mit einer PIN zu sichern. Dem aktuellen Nokia fehlt die Funktion leider. Zum Glück hat der GröIaZ Schäuble noch nicht kapiert, wie wichtig Mobiltelefone sind sonst wäre er nicht so auf den Bundestrojaner fixiert. Aber der ist eh von Vor-Vorgestern, so 1942 rum würde ich schätzen. Vor einem Handytrojaner hätte ich mehr Angst also vor dem Schäubletrojaner.
(via BloggingTom)
6. September 2008
Matthias Gärtner (Bundesamt für Sicherheit in der Informationstechnik): „Google Chrome sollte nicht für den allgemeinen Gebrauch eingesetzt werden“
Daniel Bachfeld (heise.de und ct): „Ich rate davon ab, mit Google Chrome außer zu Testzwecken zu surfen“
Christian Gresser (Autor bei Mitternachtshacking 🙂 ): „Google ist eine bösartige Datenkrake. Freiwillig sollte man Google so wenig Daten wie möglich geben“
Ach ja, die Quelle der ersten beiden Zitate ist die Berliner Zeitung.
