Auflistung aller Beiträge aus der Kategorie

Kommentar

ψ² = Ps(i)²

Kein Ende in Sicht: Facebook hat sich verselbstständigt

Man kann es kaum glauben. Facebook scheint völlig losgelöst zu sein. Facebook mausert sich zum unrühmlichen Branchenprimus in Sachen Nutzer über den Tisch ziehen. Das Netzwerk scheint keine Möglichkeit auszulassen Daten abzusaugen.

Erst konnten Nutzer die Chats ihrer Kontakte live mitverfolgen und Kontaktanfragen oder den Benachrichtigungsstatus einsehen. Davor waren im März aus versehen 400 Millionen E-Mail-Adressen sichtbar gewesen und auch im April war Facebook in die Schlagzeilen geraten. Dann berichtete Heise, man habe bei E-Mail-Benachrichtigungen von Facebook in den Headerzeilen Rückschlüsse auf die IP-Adressen anderer Mitglieder schließen können und es folgte ein Bericht des “Wall Street Journal” und des Spiegels, dass Facebook Nutzerdaten an Werbekunden verraten habe. Dann berichtete die taz, dass Facebook Suchmaschinen erlaube, private Daten von Nutzern zu durchsuchen – ohne deren Wissen. Facebook-Gründer Zuckerberg wird in dem taz-Bericht zitiert:

“Sie vertrauen mir. Blöde Arschlöcher.”

Da es immer noch genügend A… zu geben scheint kann der Spiegel nun berichten, dass Facebook über die neue iPhone-Anwendung reichlich Daten einsammele. Einmal auf “Synchronisieren” geklickt, und schon lädt Facebook das komplette Adressbuch hoch. Das Unternehmen speichere diese Daten, um Kontakt-Netzwerke zu analysieren. Löschen können Nutzer (A…) diese Daten natürlich nicht.

Auf meinem Blog verschwinden jetzt erst mal alle Facebook-Links!

Lesen Sie mehr →
ψ² = Ps(i)²

Microsofts DISP, GSP, SCP und CIPP

Vorgestern der Artikel über Homograph Spoofing und gestern der Artikel über Kernel Hook Bypassing Engine (KHOBE). Mit diesen Begriffen gewinnt man jedes verbale Kräftemessen. Auch mit Abkürzungen kann man immer gut angeben:  DISP, GSP, SCP und CIPP?  Kennen Sie nicht? Aber von KRITIS haben Sie schon gehört? Mit dem folgenden Satz, können Sie ihr Verständnis für globale Themen demonstrieren:

“Microsoft möchte ja jetzt die KRITIS-Herausforderungen mit den Programmen DISP und CIPP angehen. Dadurch werden die SCP- und GSP-Pläne etwas konkreter.”

Das Kaspersky-Blog Threatpost hatte berichtet, dass Microsoft Neuigkeiten zu seinem Defensive Information Sharing Program (DISP) herausgegeben habe, auch unter dem Codenamen Omega bekannt. Die Details kamen von Microsofts MSRC Ecosystem Strategy Team Blog, wo der Senior Security Program Manager Lead Steve Adegbite einige Eckpunkte seiner Rede auf der AusCERT 2010 wiedergegeben hatte.

Demnach will Microsoft zwei Programme anbieten, bei denen es darum geht, mit bestimmten Einrichtungen technische Informationen zu Microsoft-Schwachstellen zu teilen, um den Schutz kritischer Infrastrukturen (KRITIS) zu erleichtern. Eines davon ist das Defensive Information Sharing Program (DISP) als Teil des Government Security Program (GSP) und des Security Cooperation Program (SCP). Kurz gesprochen: Die Teilnehmer – vor allem Regierungen – erhalten von Microsoft Informationen zu Schwachstellen und Updates, bevor sie der Rest der Welt erhält. Das Critical Infrastructure Partner Program (CIPP) wendet sich mit ähnlichen Informationen an die KRITIS-Betreiber.

Fragt sich, welche Informationen zu Schwachstellen man zwar an KRITIS-Betreiber und Regierungen weitergeben kann, jedoch nicht an die Öffentlichkeit. Vielleicht soll vor Bekanntgabe an die Öffentlichkeit eine extra Qualitätssicherung durchgeführt werden? Wohl kaum. Die wäre ja gerade bei kritischen Infrastrukturen interessant. Vielleicht soll so aber auch nur ein Update von Bundestrojaner und Co. ermöglicht werden. Wäre ja wirklich ärgerlich, wenn ein automatisches Microsoft-Update eine polizeiliche Ermittlung behindern und so die nationale Sicherheit gefährden würde.

Lesen Sie mehr →
ψ² = Ps(i)²

Wahlkampf der Hacker in NRW

Am 12. März hatte das Wahlkampf-Blog Wir in NRW vermeldet: “Erst kriminalisiert die Politik unser Blog, jetzt schickt sie uns Hacker, Trojaner und vergiftete Emails”. Das Blog mehrerer aufmüpfiger Journalisten hatte berichtet:

“Seit gut einer Woche müssen wir uns gegen versuchte Zugriffe von außen wehren, wir werden geradezu terrorisiert. Zwei Hacker-Angriffe hat der Blog bisher überstanden, vor zwei Tagen wurden uns Emails mit so genannten Trojanern unter dem Betreff „Krautscheid-Brief“ geschickt, allein in der vergangenen Nacht kamen mehr als 100 Kommentar-Mails bei uns an, die nichts anderes zum Ziel hatten, als sich bei uns einzunisten – die Zeit der IMs ist doch vorbei, denke ich!”

Jetzt hat es wohl offensichtlich die Parteizentrale der nordrhein-westfälischen CDU erwischt, wie Welt Online berichtet. Die Staatsanwaltschaft ermittelt wegen angeblich gestohlener Daten. Ministerpräsident Jürgen Rüttgers fürchtet schon länger, dass Informationen durchsickern. Die IMs sitzen also überall?

„Wir haben Anzeige gegen Unbekannt erstattet, weil wir mit Hilfe der Staatsanwaltschaft herausfinden möchten, wer unsere persönlichen Daten ausgespäht hat oder weitergegeben gegeben könnte“, erklärte der Generalsekretär der NRW-CDU, Andreas Krautscheid.

Krautscheid, immer wieder Karautscheid, der Generalsekrtär der CDU, am Ball, er hat den Ball … Sie wissen, wie das damals ausging ;-)

Lesen Sie mehr →
ψ² = Ps(i)²

£100,000 bei Cracker Wettkampf

The Register berichtet von einem Wettbewerb, bei dem versucht werden soll, ein Victorinox-Taschenmesser mit Security-USB-Stick zu cracken. Wer es schafft bekommt £100,000. Man muss dazu in den Londoner Shop von Victorinox gehen und bekommt zwei Stunden Zeit. Ich glaube, das schafft keiner. Ich glaube aber, dass es ziemlich viele Leute danach versuchen werden. Also sozusagen außer Konkurrenz. Außerdem finde ich, dass Schweizer Produkte und Datensicherheit im Moment keine so gute Kombination sind. Also wirklich: Wer denkt sich bloß solche Werbekampagnen aus? Hoffentlich hat die Werbeagentur nicht kurz davor den ultimativen, gehärteten, Hochsicherheits-USB-Stick entworfen, von dem ich berichtet hatte…

Lesen Sie mehr →
ψ² = Ps(i)²

Mitmach-Verfassungsbeschwerde gegen ELENA

Der FoeBuD e. V. hat auf seinen Webseiten eine Mitmach-Verfassungsbeschwerde gestartet, die sich gegen den “Elektronischen Entgeltnachweis” ELENA richtet:

“Mit dieser Verfassungsbeschwerde wollen wir (Anm d. R.: der FoeBuD e. V.) ELENA, den “Elektronischen Entgeltnachweis” kippen. Wir wollen erreichen, dass die zentrale Datenbank mit sensiblen Arbeitnehmerdaten gelöscht wird. Zeigen Sie der Politik und dem Verfassungsgericht, dass auch Sie eine Vorratsdatenspeicherung Ihrer Arbeitsstunden, Krankheitstage, Urlaubstage, etc. ablehnen!”

Und so funktioniert’s: Registrieren, E-Mail-Bestätigung anklicken, Vollmacht herunterladen, Vollmacht unterschreiben und versenden. Letzter Versendetermin ist der 25.3.2010. Auf der Webseite gibt es auch einen eigenen Datenschutzhinweis für die Verfassungsbeschwerde.

Auch weitergehende Informationen werden angeboten: “Hier finden Sie weitere Informationen zu ELENA. Sie können auch den ELENA-Flyer des AK Vorratsdatenspeicherung herunterladen oder über den Shop des FoeBuD e.V. bestellen. Geben Sie den Flyer an Verwandte, Freunde und Bekannte weiter”, heißt es auf der Webseite.

Lesen Sie mehr →
ψ² = Ps(i)²

Die Bahn und das Handy-Ticket

Die Bahn bietet seit einiger Zeit einen Service an, der sich Handy-Ticket nennt. Man bekommt nach der Buchung also keinen Papierfahrschein und auch kein PDF zum selbst ausdrucken, sondern eine MMS aufs Handy. Der Inhalt ist eher übersichtlich, besteht aus einem Text und einem Bar-Code und sieht in etwa so aus:

Zertifikat: 109U 5P3J KJ4
Herr  Sebastian Klipper
Ausweis: BahnCard 0123

ICE Fahrkarte, Normalpreis (Einfache Fahrt)
Gültigkeit: 11.03.2010-12.03.2010
Klasse: 1, Erw.: 1, mit 1 BC50
Von: Pontius Hbf
Nach: Pilatus Hbf
Über: VIA: Spießruten
Auftrags-Nr: HZTRFD
Gesamtpreis: 190,00 EUR
Gebucht am 11.03.2010 um 09:32

Mehr braucht man nicht, um sich im 1. Klasse Bereich der DB-Lounges kostenfrei mit Speis’ und Trank (sogar alkoholische Getränke) versorgen zu lassen (auch wenn das natürlich verboten ist). Das liegt daran, dass dem Personal dort keine Barcode-Scanner zur Verfügung stehen. Alles was man dort kontrollieren kann, ist der Text der MMS!

Erst letzte Woche wurde jedoch die Fälschungssicherheit von MMS-Nachrichten durch die chinesische Hackergruppe J3d3R_hAn5WUr5t gebrochen. Seit dem steht fest, dass J3d3R_hAn5WUr5t MSS-Nachrichten weiterleiten, kopieren oder abändern kann. Belohnt wird Di353R_hAn5WUr5t dann allerdings mit Lachsschnittchen und einem Gläschen Wein. ;-)

Lesen Sie mehr →
ψ² = Ps(i)²

Bald hat jeder ne Finanzdaten-CD

Die Webseite Libertäre Plattform hatte gestern berichtet, dass sie im Besitz einer CD mit brisanten Finanzinformationen ist. Diese seien namentlich genannten deutschen Politikern und Behördenmitarbeitern zuzuordnen. Es seien auch Namen von Politikern enthalten, die sich in der Diskussion um den Ankauf  der Schweizer Daten-CDs für einen Ankauf der gestohlenen Daten ausgesprochen hätten.

“Rechtlich geprüft werden die Optionen, die erhaltenen Daten zu vernichten, im In- oder Ausland weiterzugeben oder zu veröffentlichen. Erörtert wird auch die Frage eines Austausches der CD gegen widerrechtlich erlangte Kontodaten deutscher Bürger, die durch deutsche Behörden angekauft worden sind.
Da der weitere Umgang mit den Daten der Klärung bedarf, wird betroffenen Politikern und Beamten geraten, in der Zwischenzeit die Möglichkeit zur Selbstanzeige zu nutzen, um einem möglichen Strafverfahren zuvorzukommen”, heißt es auf der Webseite.

Es scheint, das jetzt bald jeder eine CD mit lustigen Informationen aus dem Hut zaubert. Vor dem Hintergrund, dass die Libertäre Plattform eine politische Webseite ist, bleibt abzuwarten, ob sich die Meldung nicht als politische Aktion entpuppt.

Lesen Sie mehr →
ψ² = Ps(i)²

Secunia 2009 Report – Internet Explorer belegt erste Plätze?!

Secunia hat seinen Jahresbericht 2009 zum Download bereitgestellt. Er enthält Berichte und Informationen zu 0-Day-Schwachstellen, Ergebnisse zu Softwaretests, die Sicherheit von Webapplikationen und einen Überblick über die Schwachstellen des letzten Jahres. Wer den Bericht haben möchte, muss die Seite http://secunia.com/company/annual_report besuchen. Dort bekommt er die folgende Eingabemaske angezeigt:

(Screenshot: secunia.com)

Wenn man alle Felder ausgefüllt hat, öffnet sich die Seite http://secunia.com/company/annual_report/sent mit dem Downloadlink:

(Screenshot: secunia.com)

Raten Sie mal, ob der zweite Link auch funktioniert, wenn man ihn als erstes anklickt, also bevor man seine Daten eingegeben hat. ;-)

Mit 16 Seiten ist der in englisch geschriebene Bericht schnell gelesen. Er enthält einige schöne Grafiken und Informationen. Sehr interessant ist die Liste der 10 “sichersten Produkte 2009″. Sieben davon sind nämlich Microsoft Produkte! Darunter auch der Microsoft Internet Explorer. Die Grafiken basieren auf den Zahlen von Secunia’s Online Software Inspector (OSI) aus dem Jahr 2009. Weiter geht das Microsoft Lob in einer Grafik, die zeigen soll, welche Browser im Schnitt am seltensten ungepatcht sind. Auf den Positionen 1 und 2 erscheinen der Internet Explorer 8 und 7. Der OSI prüft dabei nur auf Schwachstellen, für die es bereits ein Patch gibt.

Secunia zeichnet damit ein Bild von Microsoft-Produkten, das mir so bisher nicht bekannt war: Microsoft ist Security-Sieger in allen Klassen! Stellt sich mir die Frage, warum ein so erfahrener Security-Anbieter gegen den Strom schwimmt? Warum sehen die Grafiken auf der Mozilla-Homepage so vollkommen anders aus (siehe Beitrag vom 09.08.2009 Zertifikate – nichts ist wie es scheint). Hier ging es um die Zeit, die Patches auf sich warten lassen:

Tage

(Screenshot: mozilla-europe.org)

Lesen Sie mehr →
ψ² = Ps(i)²

Zugangserschwerungsgesetz tritt morgen in Kraft

Am 23.02.2010 tritt das Zugangserschwerungsgesetz in Kraft, das das BKA anweist, ab morgen täglich eine Liste der zu sperrenden kinderpornografischen Seiten erstellt und die Internetprovider die Sperrung für ihre Kunden binnen sechs Stunden umsetzen. Wie ich aber bereits in meinem Beitrag ZensUrsula passé geschrieben hatte wird das Gesetz nicht umgesetzt. Die taz berichtet, das Innenministerium habe diesbezüglich eine Anweisung erlassen, die das Gesetzt aussetzt. Rechtsstaatlich auch nicht gerade das Gelbe vom Ei!

Lesen Sie mehr →
ψ² = Ps(i)²

BKK-Fall: Endgültig kriminalisiert

Der aktuelle Fall der Erpressung der BKK Gesundheitskasse zeigt es überdeutlich: Die Szene hat sich endgültig kriminalisiert.

“Nach Recherchen des TV-Magazins (Kontraste) hatte die Krankenkasse eine externe Firma mit der Betreuung ihrer Telefon-Hotline betraut. Diese habe einen Subunternehmer angeheuert, der ungelernte Hilfskräfte beauftragte. Die Hilfskräfte hätten mit privaten Computern oder Laptops Daten wie medizinische Diagnosen abrufen und speichern können. Der Datenschutzbeauftragte Schaar sagte dem Magazin, bei der Krankenkasse sei offensichtlich beim Schutz personenbezogener Daten vieles versäumt worden. Ein so leichtfertiger Umgang mit Sozialdaten sei ihm noch nicht untergekommen. Schaar bezeichnete den Vorgang als skandalös”, berichtet Spiegel-Online.

“Haufenweise sensible medizinische Daten von Versicherten sollen entwendet worden sein”, berichtet die heute-Redaktion.

Die Pressemitteilung der BKK hat jedenfalls kein Profi geschrieben. Die schönste Passage:

“Unsere Kunden können sich also darauf verlassen, dass ein verantwortungsvoller Umgang mit den Kundendaten für die BKK Gesundheit oberste Priorität hat und wir selbst bei den kleinsten Verdachtsmomenten tätig werden.”

Dann ist ja alles gut… In meinem Buch heißt es im Kapitel über Krisen-PR: “Was in der ersten Meldung zu einem Sicherheitsvorfall wirklich nichts verloren hat, ist die Aussage, man hätte alles im Griff und das Ausmaß des Schadens sei bekannt!.”

;-) Wie sollen sie’s wissen? Das Buch erscheint ja erst im März ;-)

Was mich wundert: Herr Schaar meint, die Verantwortlichen müssten erst gefunden werden. Die Verantwortlichen stehen glücklicherweise namentlich im Impressum der BKK-Website: Es ist der BKK-Vorstand. So wie ich das sehe, lässt sich die Verantwortung für den Datenschutz nicht delegieren. Aber – ach so – der Schutz der Kundendaten ist ja laut Pressemitteilung der BKK gar nicht gefährdet.

Freilich sollen nicht die Opfer einer Erpressung zu Tätern gemacht werden. Für die Erpressung ist der Vorstand sicher nicht verantwortlich! Wohl aber für den Datenschutz. Erpressung und Datenschutzvorfall müssen also getrennt betrachtet werden. Und ja: Was den Datenschutz angeht, wäre es jetzt der Vorstand, der sich erklären müsste. Wenn man die Pressemitteilung gelesen hat, fragt man sich jedoch, ob der die richtigen Berater hat.

Lesen Sie mehr →