31. Januar 2010

Ab 18 von Kristian Köhntopp

Category: Politik — Christian @ 19:39

Wie in Deutschland die Zensur auf dem Umweg über den Jugendschutz eingeführt wird. Unbedingt lesen, auch die verlinkten Artikel im 1&1 Blog und bei Thomas Stadler.

30. Januar 2010

Safer Internet Day

Category: Datenschutz — Christian @ 19:23

Der Safer Internet Day 2010 steht vor der Tür. Am 9. Februar soll er stattfinden. Auf klicksafe.de (Vorsicht beim klicken, siehe weiter unten!) steht das. Lustige Nasen sind das übrigens, die das veranstalten.

Im Newsticker steht vom 25.01.2010 die Meldung über ein neues Modul Datenschutz und Persönlichkeitsrechte mit dem Text:

    „Das Thema „Datenschutz“ scheint gewissermaßen über Nacht populär geworden zu sein […] Mit dem neuen Zusatzmodul können Lehrerinnen und Lehrer mit ihren Schulklassen gemeinsam zu Fragen des Datenschutzes und der Persönlichkeitsrechte arbeiten.“

Stimmt. Man könnte beispielsweise die Datenschutzpolicy von klicksafe.de anschauen. Da findet man dann so Petitessen wie:

    „Alle Zugriffe auf diesen Server werden protokolliert. Es werden Datum, Uhrzeit, anfragend IP-Adresse/Hostname, Browser/Betriebssystem-Version, Sprache, Proxy, aufgerufenes Dokument, übertragene Datenmenge, zuvor aufgerufenes Dokument, Art der Anforderung und Rückgabecode gespeichert. Diese Daten werden für statistische Zwecke ausgewertet und gegebenenfalls anonymisiert veröffentlicht.“

Ok, protokolliert wird viel. Ob das (a) nötig und (b) rechtens ist, darüber scheinen auch diverse Datenschutzbehörden unterschiedlicher Meinung zu sein. Aber sich dann auch gleich noch das Recht heraus nehmen, die Daten auszuwerten und ggf. (anonymisiert) zu veröffentlichen ist schon recht frech. Da wundert es mich allerdings gar nicht, dass die Klicksafe-Nasen feststellen, dass „über Nacht“ der Datenschutz populär geworden ist. Wenn man so den Kopf in den Sand steckt.

Im Impressum steht übrigens  „Landeszentrale für Medien und Kommunikation (LMK) Rheinland-Pfalz“, also quasi eine staatliche Behörde. Und dann wundern sich die vermutlich noch, dass niemand Vertrauen zur staatlichen Datenkrake hat. Unglaublich.

29. Januar 2010

iPod, iPhone, iPad? iPfusch!

Category: Hacking,Produkte — Christian @ 14:54

Aus Hackersicht sind die ganzen iPx von Apple alle zu nichts zu gebrauchen. Ok, man kann mit dem iPod Musik hören, mit dem iPhone telefonieren und mit dem iPad augenscheinlich eBooks lesen.

Aber was ist mit den wirklich relevanten Anwendungen? Wenn ich schon ein Gerät habe, das IP versteht, dann will ich da einen Portscanner drauf haben. Bevorzugt Nmap, notfalls auch was anderes. Wireshark könnte auch nützlich sein. Wenn das Gerät WLAN versteht, dann will ich da zumindest den Network Stumbler drauf haben. Kismet oder die komplette Aircrack Suite wäre natürlich besser. Einen einfachen Portscanner hatte ich vor 10 Jahren schon auf meinem HP iPaq mit Windows CE. Den Network Stumbler (MiniStumbler) gibt es auch für Windows CE. Technisch kann das also kein Problem sein.

Statt dessen haben wir hier es mit einer maximal verschlossenen Plattform zu tun. (Ok, es gibt Jailbreaks aber will ich mir bei einem so teuren Teil das selbst antun und das Risiko einzugehen mit dem nächsten Release einen teuren Ziegelstein zuhause zu haben?) Damit wird das Gerät für mich genauso nützlich wie ein Nintendo DS. Man kann ein bissi damit rumspielen aber ernsthafte Anwendungen fallen mir praktisch schon nicht mehr ein. Erstaunlich eigentlich, welche Rückschritte die letzten 10 Jahre hier passiert sind.

Also liebe Apple-Nasen: Es freut mich, dass ihr so viele IQ90-Träger findet, die sich zwar über DRM bei Musik aufregen aber trotzdem vergnügt ihr DRM-verseuchtes iPhone durch die Gegend schleppen. Mich jedenfalls kriegt ihr für das iPod/iPhone/iPad erst als Kunde, wenn Nmap im AppStore auftaucht.

28. Januar 2010

Die Wahrsager sind auch wieder da

Category: Produkte,Work — Christian @ 20:34

Diesmal spamt mich M86 voll. Ich fürchte die haben meine Mailadresse durch die Übernahme von Finjan. Aber so schnell können die gar nicht gucken, wie sie bei mir auf der Sperrliste stehen.

Jedenfalls habe ich eine nette Mail bekommen auf der sich M86 berufen fühlt, Vorhersagen für das Jahr 2010 zu machen:

  • Botnets Grow in Sophistication
  • Continued Rise of Scareware
  • Poisoning Search Engine Results
  • Evolution of Web Site Infections
  • Setting Sights on SaaS and Cloud Services
  • Exploiting Third Party Applications
  • International Domain Name Abuse
  • Attacking Application Programming Interfaces
  • URL Shortening Services Hide Nefarious Means

Das meiste davon ist 2009 schon da gewesen. Beispielsweise, dass Botnets immer cleverer werden. Einige nutzen bereits Social Websites oder Cloud Services um darüber das Botnet zu steuern. Scareware wird natürlich mehr, die Leute fallen schließlich auf jeden Blödsinn rein. Da gab es letztes Jahr auch genug Beispiele. Und so weiter, ich will das gar nicht alles kommentieren.

Im Grunde scheint es doch so zu sein: die Firmen die so Vorhersagen machen, gucken was wird den aktuell auf Security Konferenzen diskutiert und kann eventuell von eigenen Produkten eingedämmt werden und so macht man dann seine Vorhersagen. Ich würde z.B. auch vorhersagen können, dass Daten- und Identitätsdiebstahl in Social Networks zunehmen wird. Oder, dass die Britischen Behörden weiterhin Unmengen von Daten verlieren. Oder, dass Cloud-Serviceanbieter zukünftig vermehrt in den Fokus von DDoS-Schutzgelderpressern geraten. Aber für keine dieser drei Vorhersagen kann ich ein Produkt anbieten. Und schlechter als die Vorhersagen von Frank Rieger auf dem 26C3 sind die auch nicht.

Toaster SNMP

Category: Offtopic — Christian @ 15:32

Wir haben einen neuen Toaster in der Firma bekommen. Und was schreibt die Kollegin:

Bitte aktiviere SNMP, damit ich den Toaster remote managen kann.
Community string = verkohlt

http://msdn.microsoft.com/en-us/library/aa914975.aspx

🙂

27. Januar 2010

PHP SSL-VPN?

Category: Produkte — Christian @ 19:52

Ich suche ein Stück Software, das folgende Anforderungen erfüllen sollte:

Required:

  • SSL-Portforwarding, d.h. eine TCP-Verbindung (mind. SSHv2) über HTTPS
  • muss mit Web-Proxys und Proxy-Authentisierung zurechtkommen
  • muss im Kontext eines vorhandenen Apache Webservers laufen, weil nur eine IP-Adresse zur Verfügung steht und dort bereits ein Webserver läuft
  • Darf Geld kosten, muss aber nicht 😉

Nice to have:

  • SSL-VPN, d.h. eine echte IP-Verbindung über HTTPS
  • Open Source

Die Software soll auf einem meiner Webserver installiert werden und das Problem lösen, dass ich ab und an in fremden Firmen sitze, eine SSH-Verbindung nach Hause brauche aber nur HTTP und HTTPS über den Proxy bekomme. Es gibt nur eine (dynamische) IP-Adresse und ich kann auch nicht einfach einen SSH-Dienst an 443 binden, weil da weiterhin ein normaler Webserver laufen muss.

Insbesondere die Anforderung, dass das im Kontext einen vorhandenen Webservers laufen muss, scheint ein Problem zu sein. Die diversen SSL-VPN Appliances wollen alle den Port 443 alleine haben. Das ließe sich bei nur einer IP-Adresse zwar mittels Port-Forwarding auf dem DSL-Router lösen, nur brauche ich an Port 443 trotzdem noch einen normalen HTTPS-Webserver. Eine zweite IP-Adresse geht leider auch nicht.

Ich habe jetzt mit Webtunnel rumgespielt, das macht aber nicht so ganz das was ich gern hätte. Außerdem habe ich HTTPTunnel gefunden, das eine Version enthält die das in PHP implementiert. Nur kriege ich über die PHP-Version kein SSHv2 zum Laufen. Da bricht mein SSH-Server immer mit einer Fehlermeldung ab. Außerdem können beide nur TCP-Forwarding, kein echtes IP-VPN. Die üblichen Verdächtigen wie OpenVPN oder GNU HTTPTunnel scheiden aus, weil sie nicht im Kontext meines Webservers laufen. Und PHP kann ich nicht so gut programmieren, dass ich den HTTPTunnel-Fehler beheben könnte.

Alternativ wäre auch ein PHP-SSH, also ein SSH-Server im Kontext des Webservers ok. Ich finde nur gar nix, das mein Problem lösen würde. Open Source Lösungen werden bevorzugt, was nicht heißt, dass es nichts kosten darf.

Ach ja, und welchen PHP-Proxy (mit ähnlichen Anforderungen wie oben, d.h. muss über HTTPS im Kontext eines Apache Webservers laufen) würdet Ihr mir empfehlen?

Security Economics

Category: Hacking,Produkte,Recht — Christian @ 19:06

Wie sagt Fefe: Captain Obvious war auch schon da:

    Secondary credit card security systems for online transactions such as Verified by Visa are all about shifting blame rather then curtailing fraud, Cambridge University security researchers argue.

schreibt The Register. Also wenn man mit so einer Aussage schon Wissenschaftler an der Cambridge University werden kann, dann wundert mich nicht mehr, dass da keine Nobelpreise mehr gewonnen werden. Bei der ganzen vorgeblichen Sicherheit von Kredit- und EC-Karten geht es nicht um Sicherheit sondern darum, wer am Ende der Dumme ist der für den Schaden aufkommen muss.

In Deutschland ist der Dumme fast immer der Kunde, weil die Richter am BGH nicht rechnen können. In Großbritannien haben sie intelligentere Richter (also nicht den typischen Alois Eschenberger, der bei uns in den meisten Gerichten Recht spricht). Deshalb gibt’s bei den Briten eben Chip&PIN, bei uns Magnetstreifen und Skimming.

Ich kenne viele Sicherheitssysteme deren Aufgabe nicht die höhere Sicherheit sondern lediglich das Verschieben des Schuldigen ist. Aber mal ehrlich, wundert das jemanden?

26. Januar 2010

Bill, geht’s noch?

Category: Internet,Politik — Christian @ 18:26

Bill Gates findet, die chinesische Zensur ist doch ganz ok. Microsoft löscht aus Bing natürlich alles, was die Chinesen da nicht drin haben wollen. Immerhin sei die Zensur ja umgehbar. Hauptsache das Internet floriert (und Microsoft kann ganz viel Geld verdienen). Ok, das in Klammern hat er jetzt im Interview nicht gesagt aber ich ich konnte den Gedanken in seinem Hirn förmlich hören.

Man muss sich eben entscheiden, ob man in einem Land wie China Geschäfte machen will oder lieber seinen Grundsätzen und seiner Moral treu bleibt. Aber ok, es macht keinen Sinn das einem Herrn Gates erklären zu wollen. Gier frisst meistens das Hirn.

Viel spannender finde ich ja die Frage, warum Google so einen Aufstand veranstaltet. Der Grundsatz „do no evil“ kann es jedenfalls nicht sein. Eher dürfte die Ursache sein, dass Google in China kein Geld verdient aber einen eleganteren Grund sucht, das Verlustgeschäft dort aufzugeben. Und da kommt die Zensur natürlich ganz recht. Wenn die Chinesen das Büro von Google in China zumachen, sind die Chinesen die bösen, nicht Google. Und im günstigsten Fall braucht Google nicht mal eine Abfindung zu zahlen. Sie waren es ja schließlich nicht.

Ich bin mal gespannt, was da noch heraus kommt.

16. Januar 2010

BSI warnt vor dem Internet Explorer

Category: Hacking,Internet,Politik — Christian @ 19:07

Ach ja, das BSI. Warnt, man solle den Internet Explorer vorerst nicht verwenden. Sondern? Ich habe da eben noch eine uralte Opera Version auf meiner Festplatte gefunden. Bestimmt zwei Jahre nicht aktualisiert. Und irgendein Firefox 1.5 liegt auch noch drauf. Egal. Das BSI hat nur gesagt, man solle den Internet Explorer nicht verwenden. Nehme ich halt das Opera und Firefox.

Also ich persönlich halte die Warnung für ausgesprochenen Blödsinn. Ein alter Opera oder Firefox ist nicht wirklich besser als ein fehlerhafter Internet Explorer. Ganz im Gegenteil, wenn in einer Woche die Lücke im Internet Explorer behoben ist, dann surfen viele Leute immer noch mit ihrem alten Opera oder Firefox durch die Gegend. Und wundern sich, warum sie Schadprogramme auf dem Rechner haben obwohl sie doch gemacht haben was das BSI empfiehlt. Viel sinnvoller wäre, das BSI würde mal über die Notwendigkeit informieren, Programme aktuell zu halten. Meinetwegen mit dem Secunia PSI oder dem Heise Update Check. Statt dessen spielt das BSI beim „Safer Internet Day“ mit. Manchmal frage ich mich echt, ob wir das BSI überhaupt noch brauchen.

11. Januar 2010

Die wunderbare Welt des kreuz-und-quer-Fliegens

Category: Offtopic,Reisen — Christian @ 11:57

So, ich muss also demnächst mal Morgens von München nach Amsterdam, Abends weiter nach Zürich und darauf von Zürich zurück nach München. Auf 2000 km in drei Tagen mit dem Auto habe ich natürlich keine Lust. Also geschaut, was die Flüge so kosten.

Einfacher Flug von München nach Amsterdam: 450,- Euro. Einfacher Flug von Amsterdam nach Zürich: 450,- Euro. Einfach Flug von Zürich nach München: 450,- Euro. Plusminus ein bisschen was und natürlich abhängig wie weit im Voraus man buchen kann.

Hin- und Rückflug München – Amsterdam (den Hinflug am gewünschten Termin, den Rückflug an irgendeinem beliebigen obskuren anderen Tag): 150,- Euro. Hin- und Rückflug Amsterdam – Zürich (den Hinflug wieder am gewünschten Termin, den Rückflug ebenfalls an irgendeinem beliebigen obskuren anderen Tag): 150,- Euro. Hin- und Rückflug Zürich – München (wie gehabt): 150,- Euro. Kann mir das mal bitte jemand erklären?

Wenn der beliebige obskure Tag an einem Donnerstag liegt scheinen die Flugpreise generell am günstigsten zu sein. Und dann wundert sich noch jemand über no-show Passagiere?