15. Oktober 2008

Sie haben (k)ein Recht zu schweigen

Category: Politik,Reisen — Christian @ 01:23

Zumindest in Großbritannien ist das Recht zu schweigen um sich z.B. nicht selbst zu belasten weiter eingeschränkt worden.

Der unsägliche RIPA (Regulation of Investigatory Powers Act 2000) verlangt schon seit einiger Zeit, dass Verschlüsselungskeys an die Behörden herausgegeben werden müssen. Andernfalls kann man zwei bis fünf Jahre ins Gefängnis gehen. Bisher hatten sich die Behördenopfer meistens damit herauszureden versucht, dass sie sich durch die Preisgabe der Schlüssel selbst belasten könnten. Das oberste Gericht, der britische Court of Appeal hat letzte Woche jedoch entschieden, Verschlüsselungskeys müssen auch preisgegeben werden, wenn man sich damit belastet.

Begründet wird das wie folgt: Der Europäische Gerichtshof hat zwar entschieden, dass man sich nicht selbst belasten muss, das gilt jedoch nur für „Dinge die keine eigene Existenz“ haben. So muss ein Beschuldigter beispielsweise eine Hausdurchsuchung dulden, wenn dadurch Beweise für eine Straftat, z.B. eine Waffe, gefunden werden können. So eine Waffe hat eine eigene Existenz, da es sie unabhängig vom Beschuldigten gibt.

Das britische Gericht kam deshalb auf die clevere Idee zu behaupten, der Verschlüsselungskey hätte ebenfalls eine „eigenständige Existenz“, schließlich sind damit ja die Daten auf der Platte verschlüsselt. Ob der Key nur im Kopf des Beschuldigten gespeichert ist oder auf einem Papier spielt für diese eigenständige Existenz keine Rolle und muss deshalb den Behörden mitgeteilt werden.

Mich erstaunt ja, dass der Stasi 2.0-Minister Schäuble noch nicht auf diese Idee gekommen ist. Man könnte ja schließlich behaupten, dass auch Gedanken eine eigenständige Existenz haben und sich nur zufällig im Kopf eines Verdächtigen manifestiert haben. Quasi so ähnlich wie mit dem Glauben und der Existenz Gottes. Und wenn man diese Vorstellung weiterspinnt, dann ist natürlich klar, dass ein Verdächtiger alles in seinem Kopf sagen muss, es handelt sich schließlich nicht um einen geschützten Bereich sondern lediglich die Preisgabe von „Dingen mit eigener Existenz“.

Da fällt mir ein, hatten die Koffer des Herrn Schäuble mit dem CDU-Schwarzgeld eigentlich eine eigenständige Existenz oder würde man damit die CDU belasten, die bei den schwindenden Mitglieder- und Wählerzahlen vermutlich bald keine eigene Existenz mehr hat. Und das rechtfertigt ganz sicher, ein Mäntelchen des Schweigens darüber auszubreiten.

(Link zur TAZ von Fefe)

14. Oktober 2008

Die gelbe Gefahr gewinnt!

Category: Hacking,Internet,Produkte — Christian @ 23:23

Nein, nicht die Chinesen bei Olympia sondern Symantec. Und nicht den Guinness-Rekord für den langsamsten Virenscanner der Welt 🙂 sondern den Secunia-Ehrenpreis für die meisten erkannten Exploits durch die Norton Internet Security Suite. Immerhin 20% der Secunia-Exploits werden erkannt, im Gegensatz zu so etwa 2-3% bei den Mitbewerbern. Details zum Test hat Secunia hier im PDF aufgeführt.

Man kann jetzt darüber streiten wie die Ergebnisse zustande gekommen sind. Beispielsweise, ob Symantec die Exploits bereits kannte und die Suite darauf optimiert hat. Das finde ich aber eigentlich uninteressant.

Die Kernfrage ist eigentlich: Ist so eine Endkundensuite die richtige Stelle um Exploits zu erkennen und zu verhindern?

Natürlich ist es für die Anwender hilfreich, wenn bestimmte Angriffe auf das ungepatchte System so verhindert werden. Andererseits wird es niemals eine Suite geben, die eine große Anzahl an Exploits zuverlässig erkennen kann, da die Exploits immer wieder variiert oder neu entwickelt und verändert werden. Die Gefahr die ich sehe ist, dass sich Anwender auf den scheinbar so tollen Schutz dieser Software verlassen und dabei das Patchen und Aktualisieren der Software vernachlässigen. Der beste Schutz vor Exploits ist jedoch immer noch eine aktuelle, gepatchte Software ohne Lücke.

Aus dieser Überlegung heraus wäre mir z.B. eine Internet Security Suite die mich auf veraltete und nicht gepatchte Software hinweist wertvoller. Ein Virenscanner der sowieso alle gelesenen Dateien prüft sollte leicht in der Lage sein, so einen Check mal eben mitdurchzuführen. Mich erstaunt immer wieder, wie viele alte und nicht mehr benötigte Softwarepakete wie z.B. uralte Java-Installationen auf meinen Rechnern sind. Der Secunia Personal Software Inspector gehört beispielsweise in die Kategorie von Software auf die ich auf meinen Rechnern nicht mehr verzichten möchte. Gleichzeitig werden die Anwender sensibilisiert und passen vielleicht besser auf, dass die auf ihren Systemen installierte Software halbwegs aktuell gehalten wird.

(via Heise)

MIB-Suche

Category: Hacking — Christian @ 00:40

Ich suche eine MIB-Definition für folgende OIDs:

  • .1.3.6.1.4.1.11.2.14.4.5.1.2.1
  • .1.3.6.1.4.1.11.2.14.4.5.1.2.2
  • .1.3.6.1.4.1.11.2.14.4.5.1.2.3

Auf jeden Fall von einem HP J4813A ProCurve Switch 2524. Möglicherweise die icfSecurityMib aber in den MIBs die ich habe finde ich nichts (HP-ICF-SECURITY und HP-ICF-OID). Ich habe so den Verdacht, dass da bei einem HP ProCurve Switch ein paar Passwörter drinstehen könnten. Die erste OID hat bei mir den Wert „public“, das sieht aus wie der SNMP Community String. Die zweite OID enthält „cru3sl1“, die dritte „b@mbix“. Sieht verdächtig aus nach Passwörtern.

Gefunden habe ich die Werte bei einem Security-Scan. Die Geräte haben sich am Foundstone SNMP-Scanner wie folgt identifiziert:

    10.xx.xx.xx,161,“public“,“HP J4813A ProCurve Switch 2524, revision F.05.17, ROM F.02.01  (/sw/code/build/info(s02))“

Die OIDs habe ich mit einem SNMP-Walk mit dem iReasoning MIB-Browser gefunden aber leider keine Beschreibung dafür. Für Hilfe gebe ich auf dem nächsten Chaos Computer Congress ein Bier aus 🙂

13. Oktober 2008

Hotelempfehlung in Lippstadt

Category: Reisen — Christian @ 18:54

Lange nicht mehr, aber heute habe ich wieder mal eine Empfehlung:

    Parkhotel Ortkemper
    Liesborner Straße 30
    59556 Lippstadt / Bad Waldliesborn
    Telefon 02941/882-0

Bad Waldliesborn liegt ein paar Kilometer nördlich von Lippstadt gehört aber praktisch noch zur Stadt. Das Hotel hat eine gute, schnelle und vor allem kostenlose WLAN-Internetanbindung, ein angegliedertes Restaurant in dem der Chef selbst kocht und eine Bar nebenan. Und die Zimmerpreise sind auch völlig in Ordnung. Genau, wie ich das mag.

Nachtrag:

Das Essen im Hotel kann man auch guten Gewissens empfehlen und es steht sogar Single Malt auf der Speisekarte 🙂

6. Oktober 2008

Industriespionage viel zu leicht gemacht

Category: Work — Christian @ 22:38

Ein Bild von heute im Hotel. An einer Glasscheibe die den Besprechungsraum von einem schmalen Gang trennte hingen eine Vielzahl von Flipchart-Blättern mit Strategieplanungen eines bekannten Spielzeugherstellers. Das Foto habe ich von hinten durch die Glasscheibe mit einer ganz billigen Digitalkamera gemacht und dann gespiegelt.

Lego Next Steps

Die Qualität ist natürlich unter aller Sau, das Originalfoto lässt sich aber recht gut nachbearbeiten. Viele der Texte kann man so entziffern. Ein wenig Sensibilisierung bei geschäftskritischen Themen wäre schon manchmal wünschenswert.

5. Oktober 2008

Kloß und Spinne – Computer kaputt

Category: Internet,Offtopic — Christian @ 19:05

4. Oktober 2008

Schwanzvergleich bei Datensammlern

Category: Offtopic — Christian @ 21:22

Heise schreibt, das CERN sammelt in seinem „WLCG“ jährlich 15 Petabyte (PB) an Daten. Für die Verarbeitung werden 140 Rechenzentren eingespannt. Dafür hat das CERN ein dediziertes Glasfasernetz und kriegt jede Menge Geld zur Verfügung gestellt.

The Register wiederum stellt das Large Synoptic Survey Telescope (LSST) vor, das Bilder des Weltalls macht und täglich (genau genommen jede Nacht) über 30 Terabyte (TB) Daten ansammelt. In der geplanten Laufzeit von 10 Jahren sollen dabei 150 Petabyte (PB) Daten zusammen kommen, also rund 15 Petabyte (PB) pro Jahr.

Ach ja, das LSST verwendet MySQL als Datenbank und verfügt über einen Bruchteil der Finanzierung des CERN. Das finde ich schon mal lässig.

3. Oktober 2008

Skype China protokolliert fleißig mit

Category: Internet,Produkte — Christian @ 23:10

Genaugenommen die Firma TOM, die den Skype-Dienst in China anbietet. Und was mich ehrlich überrascht: der Skype-Chef Josh Silverman hat nichts davon gewusst. Wie hätte er auch ahnen sollen, dass TOM nicht nur ein paar Übersetzungen und bunte Icons bastelt, als sie den Source Code für die gesamten Kommunikationsprotokolle verlangt haben.

Naja, für mich nicht überraschend, daher immer Finger weg von Skype.