Mitternachtshacking

Das ist ja mal witzig. Eine Postkarte die auf beiden Seiten identisch aussieht und an unterschiedliche Empfänger adressiert ist. 🙂

Österreich benimmt sich mal wieder deutlich zivilisierter als die Inkompetenzgemeinschaft Schäuble-Zypries. Das österreichische Parlament hat einen Untersuchungsbericht zur Online-Durchsuchung angefordert um sich selbst ein Bild von den Möglichkeiten und Risiken zu machen und vertraut nicht blind auf die wirren Ansichten eines Rollstuhlfahrers mit gestörtem Sozialverhalten.

Festzustellen sei, dass es auf der technischen Seite keine einheitliche Auffassung gebe, welche Risiken wie zu bewerten sind. Von der juristischen Seite her betonte Funk, dass der Staat „sehr wohl“ eine „Gewährleistungspflicht“ habe, für Sicherheit im Internet zu sorgen. In Deutschland habe das Bundesverfassungsgericht ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme angenommen und beachtenswerte Perspektiven zu Limitation solcher Eingriffe, effektivem Rechtsschutz, Kontrolle und Schadenersatz entwickelt.

Der Bericht hat 98 Seiten und im Anhang einen netten Vergleich der Rechtslage in verschiedenen EU-Ländern, u.a. Deutschland, Schweiz und die Niederlande.

Nein, kein Keylogger, ein kleines leicht zu versteckendes USB-Teilchen, dass in unregelmäßigen Abständen den Scancode für CapsLock an den Rechner schickt, um den Benutzer zu verwirren. Ich muss mich doch endlich mal mit den Atmel-Chips beschäftigen.

Ich warte ja, dass es dazu ein Produkt bei Pearl zu kaufen gibt. Das ist ganz in der Tradition von

• USB-Raketenwerfer
• USB-Tasse

und diversem anderen USB-Unsinn.

(via Fefe)

Bei der Süddeutschen Zeitung gefunden:

Ein 44jähriger in Bayern hat Unterlagen über hochentwickelte technische Produkte (also vermutlich Militärtechnik) an den russischen Geheimdienst weitergegeben.

Zur strafrechtlichen Verfolgung gibt es beim Generalbundesanwalt eine schöne Erklärung. Relevante Strafrechtsparagraphen sind hier § 94 StGB (Landesverrat) das hier aber nicht zutreffen dürfte, da es sich bei Industrieprodukten normalerweise nicht um Staatsgeheimnisse handelt sowie der § 99 StGB (Geheimdienstliche Agententätigkeit), der praktisch jede Art der fremden Agententätigkeit unter Strafe stellt.

„So kann Wirtschaftsspionage nach § 99 StGB strafbar sein, wenn sie staatliche Interessen verletzt und über bloße Konkurrenzspionage hinausgeht, die nach den Vorschriften des Wettbewerbsrechts zu beurteilen ist.“

Was mich wundert ist, wie der Mann erwischt werden konnte. Schließlich ist die Genrealbundesanwältin Frau Harms ja damit beschäftigt, harmlose Sozialwissenschaftler wie Andrej Holm und seine Familie aufgrund des unsäglichen § 129a StGB zu verfolgen. Demnächst werden wir hier noch britische Verhältnisse bekommen.

Die Süddeutsche Zeitung hat sogar Erkenntnisse zur Kommunikation:

„Die Absprachen liefen meist über anonyme E-Mail-Konten, wie dies geheimdienstlichen Gepflogenheiten entspreche.“

Aha … gut zu wissen. Wer anonyme E-Mail-Konten verwendet (also z.B. ich auch) könnte mit ausländischen Geheimdiensten … 🙂

Nachtrag:

Im Zweifel gilt natürlich das 11. Hackergebot („Laß Dich nicht erwischen“), oder wie der Generalbundesanwalt schreibt:

„Geheimdienstliche Agententätigkeit verjährt regelmäßig in fünf, spätestens in zehn Jahren; Landesverrat verjährt nach 20 Jahren.“

Gartner erzählt uns, was Microsoft gerade alles falsch macht, mit Vista und allgemein:

• Durch die große Komplexität von Windows, auch bedingt durch die Abwärtskompatibilität lassen sich Neuerungen nur schwer implementieren (z.B. Datenbankfilesystem)
• Windows (Vista) benötigt einfach zu viele Ressourcen und ist ineffizient, z.B. auf kleinen Surfstationen wie dem Asus EEE
• Der Trend zu Webanwendungen lässt weniger Nutzer tatsächlich komplette Office-Suiten benötigen

dafür berichtet IDC, was Linux alles richtig macht:

• Linux hat bisher alte Unix-Systeme verdrängt und sich als stabil erwiesen
• In der Folge hat sich Linux als geeignet für Geschäftsanwendungen erwiesen
• Die Linux-Entwickler denken inzwischen auch mehr über die Nutzung von Linux außerhalb ihres Elfenbeinturms nach

Oder wie der Inquirer schreibt: sie müssen nur noch auf die wirren Namen wie Gutsy Gibbon und Loquacious Lemur verzichten.

Ich bin ja gespannt, wie lange es noch dauert bis die großen kriminellen Hackergruppen sich intensiv um Betriebssysteme wie Linux oder diverse xBSD kümmern.

Jonathan Zittrain, ein Oxford-Professor der anscheinend auch mal in die Zeitung kommen wollte, vertritt in der Computerwoche die These, dass iPhone, Xbox, Tivo und Co. das Internet kaputt machen würden. Das halte ich für Quatsch. Vielleicht machen diese spezialisierten Geräte den offenen PC kaputt, aber nicht das Internet.

Warum nicht? Vor ein vielen Jahren hat AOL bereits versucht, das Internet auf die eigenen Inhalte zu reduzieren. Wenn man sich bei AOL einwählte, war man erstmal nicht im Internet sondern im AOL-Netzwerk. Was ist passiert? Das Internet gibt es immer noch, AOL geht es schlecht. Vor einiger Zeit hat Vodafone das gleiche versucht. Wenn man sich bei Vodafone Live einwählte, war man an Vodafone Inhalte gebunden. Was ist passiert? Die Kunden haben sich massiv zu anderen Anbietern gewendet.

Der „Kunde“ will das komplette Internet. Das heißt, alle im Internet verfügbaren Angebote auch nutzen. Dazu gehören nicht nur statische HTML-Seiten sondern auch Javascript, Flash, Java etc. Sobald genug Alternativen vorhanden sind, wird sich kein Nutzer mit einem „eingeschränkten“ Internet mehr zufrieden geben.

Das Surfen auf der Xbox oder Playstation hat sich hauptsächlich deshalb gegen PCs nicht durchgesetzt, weil es mit Einschränkungen verbunden ist die es auf dem PC nicht gibt. Das Surfen auf Geräten wie dem iPhone hat sich bisher nur deshalb durchsetzen können, weil es keine passenden alternativen Geräte gibt. Sobald die vorhanden (und günstiger) sind, wird sich zeigen, dass Apple entweder Flash und Java auf dem iPhone nachrüsten muss oder die Kunden verlieren wird.

Und mir als Anwender ist es in letzter Konsequenz egal ob ich zur Nutzung des Internets einen PC verwende (an dem ich rumschrauben könnte aber gar nicht will) oder ein iPhone (an dem ich nicht mehr rumschrauben kann). Aber nur, solange alle meine Anwendungen funktionieren.

(danke tw)

Das SANS Institute hat unter dem Stichwort SANS Software Security Institute eine Reihe von Ressourcen zur sicheren Programmentwicklung zusammengestellt. Dazu gehören einerseits allgemeine Daten wie die häufigsten Programmierfehler (PDF):

• Error 1. Accepting input from users without validating and sanitizing the input
  • remote file include,
  • remote command execution, and
  • SQL injection
  • cross site scripting (XSS)
• Error 2. Allowing data placed in buffers to exceed the length of the buffer
• Error 3. Handling Integers Incorrectly

Das scheint mir jetzt nichts neues zu sein. Andererseits gibt es darüber auch die Möglichkeit, kostenlose Tests zur sicheren Programmierung der GIAC durchzuführen. Aktuell sind C und Java Tests online.

Es lohnt sich meiner Meinung nach, da kurz reinzuschauen.

Ein kurzer Link zum Beitrag auf The Register. WarmTouch ist eine Software zur Analyse von E-Mails, die in den USA sehr oft zur Analyse von E-Mails bei Verbrechen eingesetzt wird. Die Software erzeugt ein Profil des Autors vergleichbar der Profiler bei normalen Verbrechen anhand von Worthäufigkeit, Fremdwörtern, etc.

Man lernt daraus, wenn man schon Mails zur Erpressung verwenden will dann sollte man sie durch den Google-Übersetzer jagen. Von Deutsch in Französisch, weiter in Englisch und zurück in Deutsch. Das sollte jegliche durch Bildung oder Region übliche Worthäufigkeit aussschalten.

Original: Ich erwarte die Zahlung von 100.000 Euro innerhalb der nächsten 24 Stunden.

Französisch: J’attends le paiement de 100.000 euros dans les prochaines 24 heures.

Englisch: I expect the payment of 100,000 euros in the next 24 hours.

Deutsch: Ich erwarte von der Zahlung von 100000 Euro in den nächsten 24 Stunden.

geht doch 🙂

Die Schweizer Forscher Stefan Frei, Bernard Tellenbach und Bernhard Plattner der ETH Zürich haben auf der Black Hat Europe in Amsterdam eine neue Metrik zur Bewertung der Sicherheit von Betriebssystemen vorgestellt, bei der sie insbesondere auf die 0-Day Problematik eingehen.

Fairerweise werden nur proprietäre geschlossene Betriebssysteme von Microsoft und Apple verglichen und dabei zeigt sich wenig überraschend, dass Microsoft deutlich besser abschneidet. Interessant finde ich jedoch auch die Begrifflichkeiten, die gefunden werden.

Grundsätzlich werden mehrere Meilensteine im Lebenszyklus definiert:

• Discovery, die Entdeckung einer Sicherheitslücke
• Exploit, die Entwicklung und Verfügbarkeit eines nicht-öffentlichen Exploits
• Disclosure, die Veröffentlichung der Sicherheitslücke (mit oder ohne Exploit ist grundsätzlich egal)
• Patch available, die Veröffentlichung bzw. Verfügbarkeit eines Patches vom Hersteller
• Patch installed, der Patch wurde vom Anwender installiert und das System ist bzgl. dieser Lücke wieder sicher.

Die Zeitspanne zwischen Discovery und Disclosure wird als Black Risk bezeichnet, da nur im Untergrund bei Black Hat Hackern die Lücke bekannt ist. Die Zeit von der Veröffentlichung (Disclosure) bis zur Patchverfügbarkeit wird als Gray Risk bezeichnet. Das ist das sogenannte Windows of Exposure, d.h. die Lücke ist allgemein bekannt aber der Anwender kann nichts dagegen tun, da er keinen Patch hat. Hier wird von einem sogenannten 0-Day gesprochen. Sobald der Patch verfügbar aber noch nicht installiert ist, beginnt das White Risk. Sämtliche Gefährdungen sind bekannt, es liegt in der Verantwortung der Anwender zu entscheiden, welche Patches sie installieren oder nicht.

Die Begriffsdefinitionen erscheinen mir alle sehr sinnvoll, man sollte sie allgemein übernehmen.

In Großbritannien, dem Mutterland der Überwachung bildet sich jetzt auch eine starke Opposition gegen Fingerabdrücke. Primär geht es natürlich gegen die dort geplante Einführung einer ID-Karte, vergleichbar unseres Personalausweises. Allerdings sammelt kein Land der Welt so viele Fingerabdrücke wie Großbritannien. Es gibt sogar Forderungen, dass alle Fingerabdrücke von Schulkindern in eine zentrale Datenbank aufgenommen werden sollen. Eigentlich Zeichen eines totalitären Staates. Aktivisten fordern daher vergleichbar der Aktion des CCC die Fingerabdrücke von Gordon Brown:

Man kann nur hoffen, dass die Fingerabdrücke bald veröffentlicht werden. Anscheinend bringt nur das die Überwachungsfaschisten Politiker zum Nachdenken.