7. September 2008
Ein interessantes Angebot, der CSI-Stick mit dem man in Sekunden alle Daten aus einem Mobiltelefon auslesen kann. Leider bisher nur für Samsung und Motorola, eine Lösung für Nokia fehlt noch.
Ich sag ja immer, das Mobiltelefon nur Sekunden aus der Hand geben ist heute schon ein gewaltiges Risiko. Man kann unerwünscht ins Handy Tracking aufgenommen werden und sämtliche SMS und Kontaktdaten können aus dem Telefon geklaut werden. Von anderen Schweinereien wie dem Abhören mittels FlexiSpy und Co. will ich gar nicht reden. Mein altes Motorola hatte dafür eine Funktion, die Tastensperre mit einer PIN zu sichern. Dem aktuellen Nokia fehlt die Funktion leider. Zum Glück hat der GröIaZ Schäuble noch nicht kapiert, wie wichtig Mobiltelefone sind sonst wäre er nicht so auf den Bundestrojaner fixiert. Aber der ist eh von Vor-Vorgestern, so 1942 rum würde ich schätzen. Vor einem Handytrojaner hätte ich mehr Angst also vor dem Schäubletrojaner.
(via BloggingTom)
6. September 2008
Matthias Gärtner (Bundesamt für Sicherheit in der Informationstechnik): „Google Chrome sollte nicht für den allgemeinen Gebrauch eingesetzt werden“
Daniel Bachfeld (heise.de und ct): „Ich rate davon ab, mit Google Chrome außer zu Testzwecken zu surfen“
Christian Gresser (Autor bei Mitternachtshacking 🙂 ): „Google ist eine bösartige Datenkrake. Freiwillig sollte man Google so wenig Daten wie möglich geben“
Ach ja, die Quelle der ersten beiden Zitate ist die Berliner Zeitung.
5. September 2008
Auf der Cedia Expo in Denver gibt es Neuigkeiten: Der Schlosshersteller Schlage hat mit Brightblue ein System entwickelt, bei dem die Schlösser mit einem vierstelligen Zifferncode ver- und entriegelt werden können. Das besondere daran? Man kann den Code auch über ein Webinterface eingeben, wenn man beispielsweise in den Urlaub gefahren ist und plötzlich merkt, dass man vergessen hat die Tür abzuschließen. Oder wenn die Schwiegermutter vor der Tür steht und rein will.
Über 4-stellige Codes will ich gar nicht mehr lästern. Über Webinterfaces eigentlich auch nicht. Aber die Vorstellung, tausende Haustüren über einen Webserver zu öffnen, das wäre schon lässig. Ich frage mich, wer sich so einen Schwachsinn installiert.
Ach ja, es gibt übrigens ein Fallback-System, wenn z.B. die Batterie des Systems leer ist: Schlüssel 🙂
Gefragt ist eine sichere Authentisierung für VPN und/oder Web über das Internet. Statische Passwörter sind dafür offensichtlich unbefriedigend, gewünscht ist eine sogenannte „Zwei-Faktor Authentisierung“, d.h. zusätzlich zum normalen statischen Passwort soll eine zweite Authentisierung hinzukommen. Mit fallen da spontan mehrere Lösungen ein: Token (so kleine Schlüsselanhänger mit Display die Einmalpasswörter generieren), USB-Token (so ähnlich nur statt Display einen USB-Anschluss), Grid-Karten und Handys.
Im deutschen Markt gibt es scheinbar nicht so viel Auswahl an Authentisierungstoken. Ich wüsste bei den klassischen Token nur drei Hersteller: RSA SecurID, Vasco DigiPass und Kobil SecOVID (Nachtrag: außerdem hat Aladdin SafeWord von SecureComputing gekauft und Entrust hat ebenfalls neue IdentityGuard-Token). RSA funktioniert super, ist aber sehr teuer seit es die Starter Bundles nicht mehr gibt. Vasco kenne ich nicht, die Token waren vor ein paar Jahren aber etwas wacklig und wenig überzeugend. Kobil habe ich mir zum Testen mal bestellt, da gibt es gerade Server + 5 Token + 5 User Lizenz für bissi über 180 Euro netto in der Distribution.
Dann gibt es die USB-basierten Lösungen, die jedoch den Nachteil haben, nicht im Internet-Café nutzbar zu sein. Dafür kann man aber z.B. den Festplattenverschlüsselungskey einer Utimaco SafeGuard Easy darauf speichern. Da weiß ich zwei Hersteller: Aladdin eToken und SafeNet iKey (Nachtrag: man könnte auch die RSA SD800 Token noch erwähnen). Aladdin setze ich zusammen mit Utimaco ein, für die Authentisierung sind mir die USB-Token aber nicht flexibel genug. Mein HP iPaq hat z.B. gar kein USB.
Schließlich gibt es die „wir wollen alles noch billiger“-Variante mit statischen Gridkarten. Das sind meist scheckkartengroße Plastikkarten mit in einer Tabelle angeordneten Zahlen und Buchstaben. Zur Authentisierung muss man dann z.B. wie bei Schiffe versenken A5, C3 und D7 angeben. Da fallen mir ebenfalls zwei Hersteller ein: Entrust IdentityGuard und die Schweizer Savernova. Ich persönlich halte das zwar für SnakeOil aber es gibt tatsächlich Banken die das einsetzen.
Und zu guter Letzt gibt es auch die „ich programmiere mir das selber“-Variante, die meistens daraus besteht, dass man über ein Webinterface seinen Loginnamen und ein statisches Passwort eingibt, dann ein zufällig generiertes Einmalpasswort per SMS auf’s Handy geschickt bekommt, das auch noch eingibt und dann Zugang erhält. Da man so eine Funktion in einer PHP-Anwendung leicht implementieren kann und es diverse E-Mail-to-SMS-Gateways gibt (oder man schließt ein altes Handy seriell an einen Rechner an) kenne ich mehrere Unternehmen, die sich so eine Lösung selbst gebaut haben. Die mTAN (Mobile TAN) einiger Banken ist im Grunde nichts anderes.
Mehr fällt mir zur Authentisierung dann auch schon nicht mehr ein.
Habe ich einen wichtigen Hersteller oder noch schlimmer eine clevere Variante vergessen?
Nachtrag:
Joelle hat mich in den Kommentaren freundlicherweise darauf hingewiesen, dass ich die SafeWord-Token von Aladdin (ehemals SecureComputing) komplett unterschlagen habe. Eine SecureComputing-Tokenbox hab ich sogar noch irgendwo im Schrank stehen, die Teile sind aber tatsächlich nie zum Einsatz gekommen.
Nachtrag 2:
Ok ok, ich schreibe einen neuen Artikel mit einer neuen Herstellerübersicht 🙂
anzusehen bei der ARD: Der erfasste Bürger von Eric Beres, SWR.
Aus dem Nachtmagazin (05.09.2008, 01:05) und den Tagesthemen (05.09.2008, 22:45). Für das Hauptprogramm scheint der ARD das Thema zu sensibel zu sein. Vielleicht hat man Angst, man könnte damit die Politiker in den Verwaltungsräten der Sender zu sehr verärgern.
4. September 2008
Google hat gegenüber Ars Technica angekündigt, die Chrome AGB angeblich überarbeiten zu wollen:
„Es sei nicht Googles Absicht, sich ein solches Nutzungsrecht an den Inhalten der Chrome-Nutzer einräumen zu lassen.“
Ja sagt mal, glaubt denen eigentlich irgendwer noch irgendwas? Ein Riesenkonzern wie Google, der Milliardengewinne einfährt, einen Bösenwert größer als die Deutsche Bank, die Deutsche Post und die Deutsche Telekom zusammen haben (ok, schlechtes Beispiel, das sind ausgerechnet die größten deutschen Pannenfirmen, aber ihr wisst was ich meine) und hunderte Rechtsberater in allen Ländern der Erde beschäftigt soll nicht in der Lage sein, vernünftige AGB zu formulieren? Ha ha. Ich wette, da hat jemand vorsätzlich entschieden, genaue diese Formulierung in die AGB zu schreiben um zu sehen ob es jemand merkt. Hinterher entschuldigen kann man sich ja immer noch.
Das erinnert mich an die AGB von Googles Text & Tabellen. Ich zitiere daraus einen Satz der Stand heute, 04.09.2008 so darin vorkommt:
„Wenn Sie Inhalte in die Dienste einstellen, räumen Sie dadurch Google (und den zur Google Gruppe gehörenden Unternehmen sowie den Vertragspartnern von Google) das nichtausschließliche, weltweite und zeitlich unbeschränkte Recht ein, diese Inhalte für die Dienste zu nutzen, insbesondere die Inhalte zu vervielfältigen und anderen Nutzern öffentlich zugänglich zu machen.“
Eine ähnliche Formulierung mit identischer Bedeutung war bereits vor einem Jahr in der Diskussion. Google hat sich dann gegenüber Golem angeblich davon distanziert und die AGB so umformuliert, dass es etwas harmloser klingt, sich Google aber weiterhin gewaltige Rechte einfach so klaut. Die gegenüber Golem gemachte angebliche Aussage von Google Deutschland: „Google beansprucht keinerlei Eigentumsrechte oder Kontrolle an den mit Google Text & Tabellen erstellten Inhalten.“ widerspricht jedoch klar den AGB und im Zweifelsfall wird sich Google sicher die größeren Rechte wie in den AGB formuliert einräumen.
Wollen wir wetten, dass die Chrome AGB nur ein klein wenig umformuliert werden, die Bedeutung aber identisch erhalten bleibt?
Liebe Google Jungs und Mädels, ich kann mir keinen Konzern vorstellen, der „more Evil“ ist als Google. Auf meiner persönlichen Skala habt ihr inzwischen sogar Microsoft überholt. Schämt Euch.
Heise schreibt, die Stanford University bastelt an einem autonomen Hubschraubersystem, das das Fliegen von einem menschlichen Piloten lernen soll. Ich wäre ja mal interessiert, wen sie da als Fluglehrer engagieren. Ich stelle mir grad so einen Quax, der Bruchpilot vor von dem der Computer das Fliegen lernen soll. Das gibt sicher spannende Schlagzeilen:
„Computergesteuerter Hubschrauber mit noch spektakuläreren Abstürzen in noch kürzerer Zeit.“
Andererseits … dann braucht man dem System das Fliegen gar nicht beibringen. Da genügt es, einfach Windows zu installieren 🙂
Aber im Ernst, ist es wirklich effizienter, dem Computer das Fliegen durch einen Fluglehrer beizubringen und ihn nicht einfach mit voller Rechenleistung im Simulator loslegen zu lassen? Wenn das System lediglich die Flugmanöver lernt, die ein realer Pilot vorfliegt, dann wird es auf Dauer einfach zu beschränkt bleiben, um auf kritische Situationen wie beispielsweise in Krisengebieten flexibel reagieren zu können.
3. September 2008
wie man sieht, aus dem Failblog geliehen.
Laut Bitkom sind letztes Jahr (2007) in mehr als 4100 Fällen insgesamt rund 19 Millionen Euro gemopst worden. Ein Anstieg von 25% gegenüber dem Vorjahr (2006). Die meisten Zugangsdaten werden inzwischen wohl nicht mehr mit billigen Spam-Mails und Phishing-Seiten sondern durch Trojaner, DNS-Redirection, etc. geklaut. Ich habe jedenfalls kaum noch Banken-Spam im Posteingangsfach.
Erstaunlich finde ich in diesem Zusammenhang die Untätigkeit der meisten Banken. Ok, meine Bank hat es jetzt endlich auch mal geschafft, auf iTAN umzustellen. Aber Sensibilisierung der Kunden, vielleicht mal ein Brief wenn wieder aktuell was passiert … komplett Fehlanzeige. Ist aber klar, das kostet Geld und laut AGB sind ja die Kunden schuld wenn was passiert.
Das ist wie mit den Geldautomaten. Anti-Skimming-Module, die effizient verhindern, dass Aufsätze oder Kameras montiert werden können kosten lediglich ein paar hundert Euro pro Geldautomat. Trotzdem haben nur etwa 20% aller Automaten solche Module. Die Skimming-Angriffe sind inzwischen jedoch so gut, dass nicht einmal Fachleute des BKA alle Aufsätze zuverlässig erkennen.
2008 sollen die Zahlen übrigens wieder sinken. Angeblich durch bessere Sicherheitsmaßnahmen der Wirtschaft, ich nehme aber an, hauptsächlich wegen besserer Sensibilisierung der Bankkunden. Inzwischen sollte es sich rumgesprochen haben, dass man für Überweisungen nach Estland per Western Union wegen Geldwäsche verurteilt werden kann. Aber das ist ja unseren BGH-Richtern egal. Hauptsache die Banken kommen gut weg.
Weitere Informationen findet der geneigte Leser bei der Arbeitsgruppe Identität im Internet (A-I3) der Ruhr-Universität Bochum.
Nochmal was lustiges trauriges vom Google Browser:
11. Content licence from you
11.1 You retain copyright and any other rights that you already hold in Content that you submit, post or display on or through the Services. By submitting, posting or displaying the content, you give Google a perpetual, irrevocable, worldwide, royalty-free and non-exclusive licence to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content that you submit, post or display on or through the Services. This licence is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.
Faktisch, zumindest im amerikanischen Recht bedeutet das, Google eignet sich das Urheberrecht für alles an, was mittels Chrome erzeugt, geschrieben und irgendwo gepostet wird. Das kenne wir ja schon von Googles Text & Tabellen.
Geht es eigentlich noch mehr Evil?
Bei uns in der Firma ist die Installation und Nutzung von Google Chrome deshalb verboten.
(via The Register)
