Mitternachtshacking

Ich war an der Ostsee, in Hamburg und hab jetzt auch nen Motorbootschein (See und Binnen). Egal. In Hamburg bin ich meiner Lieblingsbeschäftigung nachgegangen (nein, nicht die Reeperbahn!) und habe ein paar Sticker fotografiert.

Mehr nach dem Klick.

(more…)

Sehr schön. Apple Rechner sind ungesichert im Sinne des § 202a StGB (Ausspähen von Daten), stellt Udo Vetter fest.

Dort heißt es wörtlich:

„Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“

Wenn man einen Apple Rechner aber von CD startet ohne das Passwort einzugeben, wurde die Zugangssicherung nicht überwunden (was strafbar wäre) sondern elegant umgangen, was bekanntlich nicht strafbar ist.

Sobald allerdings Festplattenverschlüsselung dazukommt, sieht es schon wieder ganz anders aus.

Nach Please Rob Me, die Daten aus Twitter und Facebook verknüpft um festzustellen welche Leute gerade im Urlaub sind und wo diese wohnen gibt es nun auch noch ICanStalkU.com, eine Webseite die Metadaten wie GPS-Positionen aus Bildern ausliest die irgendwelche Nutzer im Internet hochgeladen haben. Technisch nicht besonders anspruchsvoll aber durchaus interessant.

Nur, wie bei Please Rob Me geht das drei Tage durch die Medien und verschwindet dann wieder. Leider.

(via Basic Thinking)

Was für ein netter Quatsch: der Etel-Tuning Shop.

Bisher war ich ja immer der Meinung, nein, nicht die Chinesen, Symantec sei die gelbe Gefahr. Ich zitiere da immer gerne unsere Systemadministratoren die meine geschenkte Symantec Norton AV-Lizenz mit den Worten „Geh weg mit dem Zeug!“ kommentierte.

Aber, wir haben jetzt eine neue gelbe Gefahr: Den E-Postbrief.

Richard Gutjahr hat sich zusammen mit den Anwälten Thomas Stadler und Udo Vetter die AGB angekuckt und ist entsetzt. Da stehen so Gemeinheiten drin wie: man muss täglich seinen Posteingang prüfen (sonst kann man Fristen versäumen), die Post hebt gelöschte Briefe eventuell noch eine Weile auf (was vermutlich hauptsächlich technisch bedingt ist) und verkauft die Adressen munter weiter (weil sich das Angebot sonst wohl nicht rechnen würde). Und dann ist die Post auch noch so arrogant und beantwortet die Fragen des Bloggers nicht.

Ich verstehe zwar das Problem aber die dahinterliegende Aufregung nicht. Niemand verwendet den Postbrief. Außer ein paar Doofen und den Mitarbeitern der Post selbst, die sicher dazu „verpflichtet“ werden. Insofern finde ich auch die „gelbe Gefahr“ völlig übertrieben. Ich rede doch auch nicht von der „blauen Gefahr“, weil mir mal ein blauer Audi die Vorfahrt genommen hat. Übrigens fällt mir auf, dass die Rowdies die vor 10 Jahren im BMW unterwegs waren heute alle Audi fahren. „Ingolstädter Gefahr“ also.

Also kein Problem. Einfach Finger weg vom E-Postbrief und vom Audi und schon kann nichts mehr passieren.

Äh, ja. Klärt mich mal auf wenn ich was nicht verstehe.

Der Ex-CIA Direktor kommt doch aus den USA. Und die USA sind das Land, das es nicht schafft, Antipersonenminen zu ächten. Das sind diese komischen kleinen Sprengkörper, die beispielsweise im russischen Afghanistankrieg vom Flugzeug aus verstreut wurden, harmlos aussehen und wenn ein Kind oder Ziegenhirte die in die Hand nehmen will, einen Arm und ein Bein wegsprengen. Und die USA wollen den Cyber-Krieg ächten? Oder ist das eine irrelevante Einzelmeinung?

Wenn man jetzt bedenkt, dass US-Firmen führend in der Herstellung sind, kann das eigentlich nur eines bedeuten: Die USA sehen sich selbst nicht in der Lage, einen Cyber-Krieg zu führen, weil sie entweder keine geeigneten Waffen (Hacking-Tools, Exploits, Viren, Würmer, …) haben und/oder der Meinung sind, sich selbst nicht angemessen schützen zu können. Und wenn man bedenkt, dass chinesische Hacker schon in das National Grid, das Höchstspannungsübertragungsnetz der USA eingedrungen sind, trifft das zweite auf jeden Fall zu.

Schon lustig, dass die immer dann internationale Verträge wollen wenn es ihnen nützt aber generell dagegen sind wenn nicht, sogar, wenn es ihnen eigentlich auch nicht schadet.

Soso, in der DNS-Rootzone gibt es also jetzt DNSSEC.

Ich muss mal darüber nachdenken ob das schon direkte Auswirkungen auf die von-der-Laienschen-Stoppschilder hat. Digital signierte DNS-Antworten sollten sich ja nicht mehr fälschen lassen. Oder kann/darf der DNS-Server meines Providers on-the-fly Signaturen fälschen, wenn er die Antwort manipuliert?

Die ersten großen Provider haben den Run auf handliche De-Mail-Adressen eröffnet. Wobei ich ehrlich gesagt glaube, dass es (außer für manche Firmen) primär eine gemütliche Volkswanderung einzelner unverzagter wird.

Und man sieht auch direkt wieder, warum das mit De-Mail so problematisch wird:

1. Kosten – Teil I

1&1 (GMX, Web.de) plant nach verschiedenen Quellen mit De-Mail Preisen von etwa 15 Cent pro verschickter E-Mail. Gegenüber normaler Post immerhin eine Ersparnis von ca. 40 Cent, wobei mir noch nicht klar ist ob die Sonderleistungen wie Zustellbestätigung extra kosten. Aber wann rechnet sich das? Wir verschicken im Jahr vielleicht ein paar Hundert Rechnungen im Unternehmen. Die Kostenersparnis ist da nicht so gigantisch. Ein vereinfachtes e-Rechnungsverfahren würde vielleicht helfen aber selbst dann stellt sich die Frage, ab wann sich das denn wirklich lohnt. Wir kommunizieren vielleicht 3-4 mal im Jahr mit Behörden. Da kann ich gerade noch ein paar Euro für das Porto aufbringen. Kurz für ein kleines Unternehmen ist da kein echter finanzieller Mehrwert. Für Privatpersonen sowieso nicht.

2. Kosten – Teil II

Die Deutsche Post plant sogar, für De-Mail die gleichen Preise anzusetzen wie für normale Post, nämlich fette 55 Cent. Und nach meinen Informationen sind da die Mehrwertleistungen noch gar nicht enthalten, eine Zustellbestätigung kostet also extra. Da kann ich genausogut bei der normalen Briefpost bleiben. Ich persönliche glaube ja, bei denen hackt es.

3. Rechtsfolgen

Die Rechtsfolgen sind mir noch nicht so ganz klar. Wie löse ich das denn, wenn ich drei Wochen im Urlaub bin? Kann ich da meine Nachbarn den De-Mail Briefkasten leeren lassen wie bei normaler Post auch? Das Reizzentrum hat in die allgemeinen Geschäftsbedingungen der Post bezüglich De-Mail reingeschaut und hanebüchene Forderungen entdeckt. Auch hier kann man nur empfehlen, die Finger von De-Mail wegzulassen. Ich geh doch auch nicht 8x am Tag an meinen Briefkasten.

Eigentlich kann man nur hoffen, das folgende Aussage: „Die Teilnahme an De-Mail ist freiwillig und kostenpflichtig. Bürger wie Behörden dürfen durch keine Verordnungen gezwungen werden, dem De-Mail-System beizutreten.“ aus dem Referentenentwurf es später auch in das De-Mail-Gesetz schafft.

Nachtrag/Korrektur:

Wie Martin in den Kommentaren korrekterweise bemerkt hat: Ich habe im obigen Beitrag leider schlampig geschrieben und nicht zwischen dem De-Mail-Angebot von 1&1, der Dt. Telekom, etc. und dem e-Post-Angebot der Dt. Post unterschieden, das genaugenommen mit De-Mail (erstmal) überhaupt nichts zu tun hat. Ich gehe zwar davon aus, dass e-Post irgendwann die De-Mail-Anforderungen erfüllen wird, das ist heute jedoch nicht der Fall. Unabhängig davon sehe ich jedoch die oben beschriebenen Nachteile weiterhin sowohl für De-Mail als auch e-Post zutreffen, also unnötig hoher Preis für nicht benötigte Leistungen und einseitige Abwälzung möglicher nachteiliger Rechtsfolgen auf den Nutzer.

Die Black Hat Asia findet dieses Jahr Anfang November in Abu Dhabi statt. Wer da schon immer mal hinwollte, der Call for Paper ist bis 1. September offen.

Die Verschlüsselung von Skype wurde mittels Reverse Engineering aufgedeckt. Auf Details müssen wir noch etwas warten. Die gibt es erst auf dem 27C3 im Dezember in Berlin. Als Basis dient ein recht gewöhnlicher RC4, den Skype ein wenig angepasst hat.

Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.

Und ich sage weiterhin: Finger weg von Skype!