Auflistung aller Beiträge aus der Kategorie

Szene

ψ² = Ps(i)²

Windows-LNK-Lücke hat das Zeug zum Spionagekrimi

Vor einigen Tagen bestätigte Microsoft eine Sicherheitslücke bei der Anzeige von LNK-Dateien: Schon beim Öffnen eines USB-Sticks wird ein betroffener Rechner infiziert. Bereits vor einigen Tagen habe ein Wurm diese Lücke bereits für Spionage-Aktivitäten ausgenutzt. In diesem Zusammenhang war sogar von bestochenen Mitarbeitern bei Realtek-Subunternehmern und professioneller Industriespionage die Rede.

Während die Meldungen zu den Angriffen den Stoff für einen Krimi liefern, gibt es aber auch einiges, was man gegen die Lücke tun kann. Microsoft selbst schlägt hierzu Änderungen in der Registry vor. Didier Stevens bietet in seinem Blog zwei Möglichkeiten an: Die erste ist die Nutzung seines Tools Ariad, dass die Nutzung von USB-Sticks reglementiert. Die zweite funktioniert mittels Software Restriction Policies (SRP) über Group Policys.

Lesen Sie mehr →
ψ² = Ps(i)²

Bund Deutscher Kriminalbeamter zitiert “lächerliche Schnapsideen” aus “Sciencefiction-Romanen”

So zumindest sieht es die Sprecherin des Chaos Computer Clubs Constanze Kurz:

“Der kann mal seine Science-Fiction-Romane wieder einpacken.”

Was hat er denn gesagt? Nach Angaben von Heise-Online hatte der BDK-Vorsitzende Klaus Jansen in einem Interview der Neuen Osnabrücker Zeitung unter Anderem Verkehrsregeln und einen Notausschalter fürs Internet gefordert. Die Forderungen sind Teil eines 15-Punkte-Sofortprogramms. Er sagte weiter: Wer zukünftig im Internet einkaufe, Geld überweise, Behördengänge erledige oder andere Geschäft abwickele, der solle sich nach dem Willen des Bundes Deutscher Kriminalbeamter zuvor bei einer staatlichen Stelle registrieren lassen. Er kritisierte in diesem Zusammenhang:

“Kompetenzgerangel, Unvermögen und Blauäugigkeit führen zu unfassbarem Politik-Versagen.”

Ach du liebe Güte. Unvermögen und Blauäugigkeit! Ja genau: Wer mit dem ausgestreckten Zeigefinger auf andere zeigt, zeigt mit drei Fingern auf sich selbst! Das Echo im Netz stimmt mit seinen drei Fingern überein. So zum Beispiel in Fefes Blog:

“Hihihi, wenn die immer gleichen Internetausdrucker die immer gleichen sinnlosen Dinge fordern, dann verliert auch CCC-Sprecherin Constanze Kurz irgendwann die Contenance.”

Der Blogger Peter Piksa hat bei der Pressestelle des BDK nachgehakt und z.B. festgestellt, dass das 15-Punkte-Programm nur 14. Punkte hat. Er bemerkt an einer Stelle:

“Grandioser Schenkelklopfer”

Fefes Idee, wie es zu solchen Vorschlägen kommt:

Lesen Sie mehr →
ψ² = Ps(i)²

2010 CWE/SANS Top 25 der gefährlichsten Softwarefehler

Bereits vor zwei Wochen  ist die neue Liste der 25 gefährlichstes Softwarefehler aktualisiert worden. So leicht wie die Fehler von einem Programmierer gemacht sind, so leicht sind sie für einen Angreifer zu finden und auszunutzen. Gefährlich sind sie deshalb, weil man durch sie potentiell jedes betroffene System kapern kann.

Lesen Sie mehr →
ψ² = Ps(i)²

Abmahnung bekommen – was tun?

Regelmäßig berichtet die Presse über Fälle, in denen Webseitenanbieter, Forumsbetreiber oder Nachrichtendienste kostenpflichtige Post vom Anwalt bekommen. Aber nicht nur das: Wahrscheinlich am häufigsten sind von diesen so genannten Abmahnungen Privatpersonen betroffen, weil sie selbst oder Angehörige des Haushalts (oft die eigenen Kinder) in Tauschbörsen gegen geltendes Recht verstoßen haben sollen. Die Forderungen sind häufig drastisch, die Fristen, in denen reagiert werden muss, kurz. Wie sollte man sich in einem solchen Fall verhalten?

Abmahnungen sind Schreiben von jemandem, der eine Rechtsverletzung beklagt. Sie dienen eigentlich einem sinnvollen und legitimen Zweck: dazu, eine gerichtliche Auseinandersetzung zu verhindern. Statt sofort zu Gericht zu gehen, soll derjenige, dessen Rechte verletzt wurden, den Verletzer zunächst anschreiben und ihm Gelegenheit geben, die Sache außergerichtlich aus der Welt zu schaffen. Das Prinzip der Abmahnung ist ein vorwiegend deutsches Phänomen, dass es in den meisten anderen Ländern so nicht gibt.

Heutzutage werden Abmahnungen häufig missbraucht, um Menschen einzuschüchtern und sie dazu zu bringen, Erklärungen abzugeben oder Zahlungen zu leisten, auf die eigentlich gar kein Anspruch besteht. Außerdem werden so viele davon verschickt, oft selbst für kleinste Verstöße, dass Abmahnungen sich zu einem großen Ärgernis für die Bürger entwickelt haben, wenn nicht zu einer Bedrohung. Oft wird inzwischen daher von einem „Abmahnunwesen“ gesprochen.

(Till Kreutzer. Lizenziert unter der CC-BY-ND)

Lesen Sie den ganzen (deutlich längeren) Beitrag mit vielen Hintergrundinformationen auf Netzpolitik oder bei iRights. Leider wird dort die eingangs gestellt Frage, was man denn tun solle, auch nicht beantwortet. Man kann aber nach der Lektüre immerhin auf hohem Wissensstand sprachlos sein und sich dann fachkundig mit einem Anwalt unterhalten. Das ist doch auch schon was.

Lesen Sie mehr →
ψ² = Ps(i)²

Neuseeland macht Software unpatentierbar

Das Neuseeländische NZCS Blog berichtet heute unter Berufung auf eine Mitteilung des zuständigen Ministers, dass es in Neuseeland keine Softwarepatente geben wird. Noch ist das Gesetz nicht in Kraft, dem steht aber nichts mehr im Weg. Damit wurden die Bedenken vom Tisch gewischt, die auch in Neuseeland von Seiten der Industrie vorgetragen wurden.

Lesen Sie mehr →
ψ² = Ps(i)²

Facebook sucht nach potentiellen Phishing-Opfern im Freundeskreis

Nachdem ich nach den ganzen Datenschutz-Pannen eine ganze Zeit nicht mehr auf Facebook war, fragt mich Facebook heute:

“Sebastian, wer fehlt?”

Und dann verrät mir Facebook, welche meiner Freunde bereits den automatischen Freundefinder benutzt haben. Wer also bereit ist, einer Webseite ein Passwort für eine andere Webseite zu geben. Ich glaube kaum, dass einer der Betroffenen in die Weitergabe dieser Information einwilligt, nachdem man ihm erklärt welches Risiko dahinter steckt.

Das POC sieht so aus: Webseite aufsetzen die nach Facebook aussieht und Link an einen der genannten Freunde schicken. Die Webseite sagt dann folgendes:

“Hi <Vorname>, Du hast vor kurzem den Facebook Freundefinder genutzt. Facebook hat dabei Dein Passwort vereinbarungsgemäß nicht gespeichert und sofort gelöscht. Datenschutz ist uns sehr wichtig. Wenn Du willst dass Deine neuen Freunde auch zukünftig in Deiner Kontaktliste erhalten bleiben, dann gib bitte erneut Deinen Nutzernamen und Dein Passwort ein. Wenn Du damit nicht einverstanden bist müssen leider alle neuen Kontakte wieder gelöscht werden.”

Geschätzte Trefferquote 95%! Die Antwort auf die Frage, wer den nun fehlt, lautet ganz klar: ein angemessener Schutz der Facebook Nutzer!

Lesen Sie mehr →
ψ² = Ps(i)²

Löschen statt sperren aber vorher sperren

Eine interne BKA-Studie zeigt laut Informationen der Welt: 40 Prozent der betroffenen Seiten sind nach einer Woche noch abrufbar. Die Behörde fordert nun – wer hätte es gedacht: Internetsperren. Bis die Seiten verschwinden gäbe es laut der Untersuchung „immense Zugriffszahlen“, was zu „einer Störung der öffentlichen Sicherheit und Ordnung“ führe. Das BKA schlage als Lösung deshalb das Sperren der Seiten „bis zur Löschung“ vor.

„Wenn man aber nicht löschen kann, muss man wenigstens den Zugang durch Internetsperren erschweren. Dafür plädiert die Union energisch“, sagte Wolfgang Bosbach (CDU) dazu.

Ach Gott. Jetzt geht das von vorne los. Da bekommen die Kriminellen es also hin, sich in abgeschotteten Zirkeln zu organisieren und sich erfolgreich vor der Polizei zu verstecken, sie sollen es aber nicht hinbekommen einen anderen DNS-Server an ihrem PC einzutragen? Was will man da sagen: Herr Bosbach glänzt je gerne mal durch seine Einschätzung von Sicherheitsmaßnahmen (Stichwort: Nacktscanner).

Schön, dass sich die Junge Union gerade jetzt um eine sinnvollere Netzpolitik bemüht. Gestern konnte man auf Heise-online lesen:

“Generell bedauert die JU in dem Beschluss ihres Deutschlandrates vom Wochenende, dass die Union “in der öffentlichen Wahrnehmung momentan nicht mehr für eine moderne Netzpolitik steht”. Zu häufig hätten einzelne Unionspolitiker in der Vergangenheit die Risiken statt der enormen Chancen, die das Netz für die freiheitliche Gesellschaft berge, in den Vordergrund gestellt. Daher sei ein “Paradigmenwechsel” nötig, um CDU und CSU wieder in “deutsche Internetparteien” umzumodeln. Dafür seien netzpolitisch “ganzheitliche” Lösungen” gefragt.

Lesen Sie mehr →
ψ² = Ps(i)²

Was Aale mit Datenschutz zu tun haben

Ein SPD-Minister aus Mecklenburg-Vorpommern wolle nach Auskunft von CDU-Parlamentariern Großkäufer von Aalen und Aalprodukten künftig mit Namen und Adresse erfassen. Damit solle der Fisch vor dem Aussterben bewahrt werden. Das berichtet die Welt heute in ihrer Online-Ausgabe.

Betriebe sollen demnach ein tägliches Protokoll über Kunden führen, die mehr als acht Kilo Aal-Fleisch kaufen. Das entspreche  einem Kaufpreis von 250€. Die Daten sollen ein Jahr lang aufbewahrt werden und auf verlangen von Behörden vorgelegt werden.

Ob das ganze Datenschutzrechtlich überhaupt zulässig ist hat natürlich keiner geprüft, und es ist auch nicht sehr wahrscheinlich, das die Prüfung positiv ausfallen würde.

Lesen Sie mehr →
ψ² = Ps(i)²

Metasploit Framework 3.4.1 veröffentlicht

Das Metasploit-Projekt hat die neueste Version seines Exploit-Frameworks in der Version 3.4.1 veröffentlicht. Mit dabei sind 16 neue Exploits, 22 neue Module und 11 neue Meterpreter-Skripts (siehe auch die Release-Notes). Besonders spannend finde ich das FTP-Brute-Force-Modul, dass sicher einen Blick Wert ist. Viel Spaß beim Testen…

Lesen Sie mehr →
ψ² = Ps(i)²

Symantec hat den eigenen SPAM nicht im Griff

Die eigens zur WM von Symantec gestartete Webseite 2010NetThreats ist voller SPAM. Beinahe unter jedem dort veröffentlichten Sicherheitstipp fänden sich Kommentare von Spammern mit Links zu Handtaschen, T-Shirts, Metallteilen, Hotels, Sportschuhen und anderen dubiosen Angeboten, wie Heise Online berichtet.

Symantec habe bei der Kommentarfunktion auf jegliche bekannten Sicherungsmechanismen verzichtet. Weder sei zum Posten eines Kommentars eine Registrierung nötig, noch verlange die Site die Eingabe eines CAPTCHA. Seit Freitag schließlich wurden sämtliche Kommentare zu Blogeinträgen gelöscht und die Kommentarfunktion deaktiviert.

Vielleicht können sich die Website-Entwickler ja mal mit der Symantec-Abteilung kurzschließen, die sich mit Anti-SPAM-Lösungen befasst.

Lesen Sie mehr →