5. Juli 2007
Das Fraunhofer Institut für Integrierte Schaltungen (IIS) hat laut Heise eine Software entwickelt, die menschliche Stimmungen analysieren soll. Das klingt auf den ersten Blick fast unmöglich, wenn man sich mit der dahinterliegenden Theorie jedoch ein wenig beschäftigt eigentlich gar nicht mehr so absurd. Weil Heise leider nichts dazu schreibt, hier ein paar Hintergundinformationen:
Zur Kodierung von menschlichen Stimmungen anhand des Gesichtsausdrucks gibt es das bereits 1978(!) das von Paul Ekman und Wallace V. Friesen entwickelte und als Loseblattsammlung mit Filmsequenzen publizierte Facial Action Coding System. Das FACS-Manual definiert eine Vielzahl sogenannter Action Units (AUs), das sind sichtbare Bewegungen der mimischen Muskulatur. Eine Action Unit kann entweder ein einzelner Muskel (z.B. Heben der Augenbraue) oder in mehreren Fällen eine Kombination aus mehreren Muskeln (z.B. Kußmund) sein, die zusammen einen bestimmten Gesichtsausdruck ergeben. In seltenen Fällen gibt es zu einem realen Muskel auch mehrere Action Units (z.B. Blinzeln und Senken der Augenlieder), wenn dieser Muskel verschiedene Mimiken erlaubt. Das FACS-Manual dekodiert den beobachteten Gesichtsausdruck in die spezifischen AUs, aus denen sich der Ausdruck zusammensetzt. Zusätzlich fließen in den FACS-Score Werte wie Intensität (auf einer Skala von A-E), Dauer und Asymmetrie des Gesichtsausdrucks ein.
Für jeden Gesichtsausdruck gibt es im Facial Action Coding System Affect Interpretation Dictionary (FACSAID) eine psychologische Interpretation. Die Gesichtsausdrücke in der Datenbank werden anhand ihres FACS-Score beschrieben und bestehen hauptsächlich aus emotionalen Einschätzungen. Eine Art Expertensystem oder Regelsätze kommt nicht zum Einsatz, um die Datenbank einfach benutzbar zu halten.
Da FACS extrem umfangreich ist, da es praktisch alle überhaupt möglichen Gesichtsausdrücke spezifiziert, kommt in der Praxis häufig eine abgespeckte Version zum Einsatz, die nur wichtige emotionale Gesichtsausdrücke kodiert, EMFACS (Emotion FACS). EMFACS wurde in den 80er Jahren hauptsächlich für US Behörden entwickelt, um die Zeit für ein Scoring zu veringern, wenn nur der aktuelle emotionale Gesichtsausdruck gefragt wird. Während eine komplette FACS-Analyse eines Fotos bis zu zwei Stunden dauern kann, ist eine EMFACS-Bewertung oft in weniger als einer Minute, manchmal auf den ersten Blick heraus möglich. Mindestens seit 2006 bildet Ekman auch Beamte des US Department of Homeland Security sowie Sicherheitsbeamte an Flughäfen aus, die möglicherweise nervöse Passagiere als Terroristen entlarven sollen. Beim DHS nennt sich das übrigens Screening Passengers by Observational Techniques, kurz SPOT.
Und jetzt ist es vielleicht an der Zeit, sich langsam Sorgen zu machen. Der Satz: „Als ein mögliches Einsatzszenario nennt das Institut die Messung der Reaktion auf öffentliche Werbung.“ ist natürlich Blödsinn. Die Technik wandert direkt in Schäubles Überwachungsarsenal. Das ist schließlich genau das, was sich Sicherheitsbeamte seit langem wünschen: Echtzeit-Auswertung des Gefühlszustand einer großen Anzahl von Personen.
Ach ja, das Fraunhofer Institut ist nicht das einzige, das daran arbeitet. Mindestens die Sandia National Labs sind auch mit dabei. Nur schreiben die ehrlicherweise: „Sandia is developing technology to help prevent border incidents“. Und in Holland gibt es sogar einen kommerziellen Anbieter.
27. Juni 2007
Heise hat es gestern Abend nochmal zusammengefasst, ich mache das daher auch mal:
1. Lücke: Fehler in PHPMailer mit Remote Code Execution in Verbindung mit Sendmail
2. Lücke: SQL-Injection in xmlrpc.php, benötigte jedoch einen gültigen Account
3. Lücke: File Upload Problem, anscheinend nur teilweise behoben, benötigt jedoch ebenfalls einen gültigen Account
4. Lücke: Cross Site Scripting im Default Theme von WordPress
Also für meine Installation keine Schwachstellen mit hohem Risiko. Es gibt nur ein paar Benutzer mit Accounts, die sind alle persönlich bekannt und Sendmail kommt auch nicht zum Einsatz.
Bisher kann ich mit WordPress gut leben. Bisher. Ich hoffe, das bleibt so.
Ach ja, die Exploits bitte nicht gegen dieses Blog ausprobieren, ich bin längst auf 2.2.1 🙂
Hach ja, für die Faulen wird auch gesorgt:
Jetzt gibt es also auch einen Online WordPress Security Scanner. Dank freundlicher Unterstützung von Blogsecurity.net.
Zum Download gibt es das Tool als Perl-Programm übrigens auch.
Sehr nett 🙂
Matt, der Hauptentwickler von WordPress, der hier in diesem Blog eingesetzten Blog-Software schreibt über die in WordPress in letzter Zeit aufgetretenen Sicherheitsprobleme:
Nun ja. Ich fürchte, jede Software die auf PHP basiert wird zwangsläufig irgendwann Probleme bekommen. Entweder durch ein Sicherheitsproblem in PHP selbst oder durch einen Programmierfehler in der Webanwendung. Wenn man bei Securityfocus in der Vulnerability Datenbank nach PHP sucht bekommt man (Stand heute) 4499 Resultate geliefert.
Im Grunde ist es doch so: wer freiwillig eine PHP-Software auf seinen Servern einsetzt muss sich auch selbst um die Sicherheit kümmern. Bei größeren Lücken erfährt man meistens auch schnell über die typischen Medien wie Heise, SecurityFocus oder TheRegister, was los ist. Und wer sich gar nicht darum kümmern will ist vermutlich bei Blogger.de oder -.com sowieso besser aufgehoben.
Was könnte WordPress selbst besser machen? Mir fallen zwei Sachen ein:
- die Veröffentlichungspolitik von WordPress könnte ein wenig besser sein. Eine Mailingliste nur für Security Announcements wäre z.B. nett
- das Upgrade könnte etwas einfach sein. Jedes mal manuell Dateien löschen, andere Dateien hereinkopieren, das ist etwas fehleranfällig. Das könnte man auch skriptbasiert lösen
Aber wenigstens steckt noch Potential in der Software. Und hey, man bekommt fast immer, wofür man bezahlt … und manchmal auch weniger.
25. Juni 2007
Kann man immer mal brauchen:
The Lazy Man’s Way to Linux Screenshots
Die Kurzzusammenfassung:
The Import Screenshot Method
$ netscape -display servername:0 &
$ import -window root -display servername:0 myfile01.pcx
Resolution and Color Reduction
$ import -window root -geometry 640:480 -display servername:0 myfile01.pcx
$ import -window root -colors 16 +dither -display servername:0 myfile01.pcx
The xwd Screenshot Method
$ netscape -display servername:0 &
$ xwd -display servername:0 -root > myfile.dmp
$ convert myfile.dmp myfile.pcx
Color Reducing the Screenshot
$ convert -depth 24 $1 $1
$ convert -depth 16 $1 $1
$ convert -depth 8 $1 $1
$ convert -colors 16 $1 $1
Das war’s auch schon
24. Juni 2007
Die russische Firma Elcomsoft, bekannt geworden durch diverse Key Recovery Programme und die cleveren Hacks in Adobes eBook hat eine Hintertür in der weit verbreiteten Finanzsoftware Quicken von Intuit gefunden. Laut Mitteilung von Elcomsoft und diversen Berichten (und ich glaube denen, die Leben davon) gibt es die Hintertür seit 2003, als Intuit angefangen hat, Dateien mit starker Verschlüsselung zu sichern um gleichzeitig einen Passwort Recovery Service anzubieten.
Da fallen mir doch gleich mehrere Sachen auf:
1. Sichere Verschlüsselung in Kombination mit Password Recovery Service sollte einen stutzig machen. Entweder die Verschlüsselung ist sicher, dann kann aber keiner mehr herankommen, oder eben nicht. Und nur dann ist Password Recovery Service überhaupt realistisch. Wenn die Verschlüsselung tatsächlich mit einem starken, standardisierten Algorithmus erfolgt, z.B. AES-128, muss eine Hintertür vorhanden sein, anders ist ein Password Recovery innerhalb von 10 Minuten wie von Intuit versprochen gar nicht möglich.
2. Password Recovery wird von Intuit seit 2003 angeboten. Vernünftig denkenden Menschen sollte daher auch seit 2003 klar sein, dass die Quicken Software eine Hintertür haben muss. Aber erst jetzt 2007 kommt Elcomsoft mit der nötigen Software zum Ausnutzen der Hintertür. Entweder haben die Jungs aus Russland so lange gebraucht, um die Hintertür zu finden (was ich nicht glaube) oder auch erst vor ein paar Monaten angefangen zu suchen. Warum hat eigentlich sonst niemand seit 2003 darauf hingewiesen?
3. Die Hintertür ist laut Elcomsoft mit einem 512-Bit RSA Schlüssel geschützt. Also bitte, wer ist den so blöd, 2003 noch einen 512-Bit RSA Schlüssel zu verwenden? 512-Bit RSA Schlüssel wurden schon 1999 erfolgreich faktorisiert (d.h. in ihre Primfaktoren zerlegt, woraus sich dann problemlos der zugehörigen private Schlüssel ermitteln lässt). Das mindeste, was man für eine solche Hintertür hätte erwarten können ist ein sicherer Schutz durch ausreichend lange und starke Schlüssel. 1024 Bit hätte ich noch akzeptiert, lieber aber 2048 Bit.
Ich bin ja mal gespannt, wie Intuit darauf reagiert …
Anmerkung: 2001 wurde Dmitry Sklyarov auf der Def Con Hackerkonferenz nach seinem Vortrag über die Schwächen in Adobes eBook Software verhaftet und mit einer Anklage gegen den DMCA belegt. Sklyarov wurde im Dezember 2001 unter der Voraussetzung wieder freigelassen, gegen seinen Arbeitgeber auszusagen. Im Dezember 2002 wurde Elcomsoft von allen Anklagepunkten freigesprochen.
23. Juni 2007
Äh ja. Läuft eigentlich noch irgendwas normal zur Zeit?
Heise meldet, dass Google drohe seinen Maildienst in Deutschland zu schließen, sollte die Bundesregierung an ihrer Gesetzesinitiative zur Überwachung des Internetverkehrs festhalten. Diese Pläne seien ein „schwerwiegender Schlag gegen die Privatsphäre“, kritisierte Peter Fleischer, weltweit zuständig für den Schutz der Google-Nutzerdaten, in einem Interview mit der Wirtschaftswoche.
Das ist die gleiche Firma Google, die von Privacy International zur schlimmsten Datenkrake überhaupt gekührt wurde. Privacy International hat sechs Abstufungen aufgestellt und 23 sogenannte Web 2.0 Firmen (ich zähle die BBC und Wikipedia da jetzt mal großzügig dazu) auf ihre Sensibilität gegenüber privaten Daten untersucht. In der schlechtesten Kategorie („Comprehensive consumer surveillance & entrenched hostility to privacy“) fand sich nur eine Firma wieder: Google. In der fünftschlechtesten Kategorie („Substantial and comprehensive privacy threats“) fanden sich wenig überraschend die Firmen AOL, Apple, Facebook, Hi5, Reunion.com, Yahoo! und Microsoft mit Windows Live Space wieder (die ich alle mal lieber nicht verlinke).
Ganz realistisch vermute ich ja, dass Google die meisten der geforderten Daten sowieso sammelt. Google hat sich wahrscheinlich ausgerechnet, was die zukünftig von Staats wegen geforderte zuverlässige Identifizierung der Nutzer kostet, was die folglich anzuschaffende Sina-Box zur Übermittlung der Daten kostet, was die Mitarbeiter kosten, die die Daten manuell an die Behörden übermitteln müssen, die mit der Sina-Box nicht zurechtkommen, … und irgendwann wird der Dienst für Google halt nicht mehr lukrativ.
Wenn ich mir die ganzen Pläne von Herrn Schäuble so angucke frage ich mich ja manchmal: Wann greift eigentlich Artikel 20 (4) GG?
- Die Bundesrepublik Deutschland ist ein demokratischer und sozialer Bundesstaat.
- Alle Staatsgewalt geht vom Volke aus. Sie wird vom Volke in Wahlen und Abstimmungen und durch besondere Organe der Gesetzgebung, der vollziehenden Gewalt und der Rechtsprechung ausgeübt.
- Die Gesetzgebung ist an die verfassungsmäßige Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Gesetz und Recht gebunden.
- Gegen jeden, der es unternimmt, diese Ordnung zu beseitigen, haben alle Deutschen das Recht zum Widerstand, wenn andere Abhilfe nicht möglich ist.
Vielleicht nach der nächsten Wahl, wenn Schäuble wieder Innenminister wird?
21. Juni 2007
Spiegel Online hat ein paar Ratschläge zur persönlichen Abhör-Abwehr zusammengestellt:
1. Mobiltelefone meiden
Gut, das ist jetzt nichts neues. Mobiltelefone lassen sich einfach abhören, wir hatten ja in Deutschland die Diskussion um den IMSI-Catcher und es ist inzwischen wohl auch allgemein bekannt, dass die Polizei gerne mal stille SMS verwendet, um daraus die Positionsdaten eines Mobiltelefons zu ermitteln oder Bewegungsprofile zu erzeugen. Moderne Telefone die sich von den Providern stillschweigend mit Softwareupdates bestücken lassen, bieten vermutlich auch die Möglichkeit, selbst bei ausgeschalteten Telefonen Raumgespräche abzuhören. Und die Anzahl der abgehörten Telefongespräche ist in Deutschland sowieso extrem hoch.
2. Satellitentelefone vermeiden
Das ist irgendwie auch nicht überraschend. Bin Laden wird abgehört, der BND wird abgehört und angeblich sind auch schon Al-Qaida-Terroristen über ihre Satellitentelefone lokalisiert worden. Irgendwie verständlich wenn man bedenkt, dass so ein Telefon mit hoher Leistung senden muss um einen Satelliten zu erreichen und da oben sicher nichts herumschwirrt (außer ein paar reinen Fernsehsatelliten), wo nicht irgendein nationaler Geheimdienst die Finger drin hat.
3. Finger weg von Skype
Zu Skype hatte ich hier schon was geschrieben, die Hauptprobleme liegen in der proprietären Verschlüsselung, dass die Kommunikation von Servern in den USA gesteuert wird, in den seltsamen Supernodes und eben der fehlenden Kontrolle, was da eigentlich genau passiert. Noch schlimmer ist die unverschlüsselte Sprachübertragung im Internet, da verweise ich auf die Präsentationen hier auf dem Server, wie man die Kommunikation z.B. mit Cain&Abel bequem mitschneiden und dann abhören kann.
4. Nicht drahtlos surfen
Zumindest nicht unverschlüsselt oder mit WEP und schon gar nicht über einen der tollen Zugänge z.B. in der Flughafen-Lounge. Es überrascht mich immer wieder, welche Daten da im Klartext übertragen werden, von E-Mails (GMX und Web.de sind auch bei Managern sehr beliebt) über diverse Zugangsdaten (Webmail-Passwörter, POP3 etc.) bis hin zu kompletten Firmendaten als Attachment. Und alles sehr einfach zum Mitlesen, die Tools dafür sind frei verfügbar. Solange die Daten nicht verschlüsselt sind, ist das sogar legal, die Strafbarkeit nach § 202a StGB setzt einen Schutz der Daten voraus.
5. E-Mails immer verschlüsseln
E-Mails sind wie Postkarten, sie werden im Klartext (SMTP) im Internet verschickt und jeder der ein wenig Ahnung hat und an den richtigen Knoten sitzt, kann sie bequem mitlesen. Dabei gibt es genug Tools zur E-Mail Verschlüsselung. Es muss ja nicht das teure PGP sein, GNU PG tut es sicher genauso. Es gibt sogar eine schöne Version für Windows: Gpg4Win. Und nicht vergessen, der deutsche Steuerzahler bezahlt sogar dafür. Das Bundesamt für Sicherheit in der Informationstechnik (und damit indirekt wiederum das Bundesministerium des Inneren, das ja so dringend mehr Abhörbefugnisse verlangt) unterstützt Gpg4Win, die Entwicklung von GnuPG wurde vom Bundesministerium für Wirtschaft und Arbeit (BMWA) und Bundesministerium des Innern (BMI) im Rahmen der Aktion „Sicherheit im Internet“ direkt unterstützt.
6. Keine Office Dokumente weitergeben
Spiegel Online kennt jetzt nur Word (klar, Redakteure), das Problem betrifft aber Excel und Powerpoint ganz genauso. In den Office-Dokumenten finden sich einerseits lustige Metadaten, andererseits darf die Änderungshistorie nicht unterschätzt werden.
7. Keine Technik verwenden
Das ist vermutlich direkt an alle Politiker gerichtet: Finger weg von der Technik. Ihr habt keine Ahnung davon und macht es nur kaputt. Knöpsche drücke dürfe nur die Ekschperte. Gell, Herr Beckstein.
20. Juni 2007
Soso, die Franzosen haben es auch schon gemerkt:
„Grund sei die Tatsache, dass alle Blackberry-Daten über Server in den USA und in Großbritannien laufen. Paris fürchte, dass der US-Geheimdienst NSA, der weltweit Kommunikationswege überwacht, damit Zugriff auf geheime Regierungsdaten bekomme.“
schreibt die ARD dazu. Ok, das stimmt zwar nicht ganz, weil die Server in Kanada stehen und nicht in den USA aber so groß ist der Unterschied auch nicht.
Wer erinnert sich eigentlich noch an President Clinton? Der hat 1997 den US-Geheimdiensten ein größeres Engagement bei der Wirtschaftsspionage verordnet. Seither wissen wir im Grunde, dass Echelon nicht gegen Russland sondern gegen die großen europäischen Wirtschaftsunternehmen wie z.B. Airbus Industries und Panavia eingesetzt wird. Aber der Blackberry ist ja so ein schönes Managementspielzeug, da will keiner drauf verzichten. Und die Risiken werden einfach ausgeblendet.
Das Bundesamt für Sicherheit in der Informationstechnik ist 2005 schon zum gleichen Ergebnis gekommen. Die Studie wurde kurz in der Öffentlichkeit gezeigt und ist dann ganz schnell wieder verschwunden. Und FX hat auf dem 2005 CCC ebenfalls ein paar nette Lücken aufgezeigt.
Wie Blackberry funktioniert sieht man in diesem Artikel bei Heise. Ich finde ja, die Exchange-Anbindung gehört zu den größten Risiken. Aber wenn’s scheee macht?
Der neueste Trick der Börsenspammer ist ja nun, einen Disclaimer einzufügen in dem steht, dass der Absender selbst in diesen Aktien involviert ist. Vermutlich versucht sich da jemand auf sehr schwache Weise aus der Strafbarkeit herauszuschreiben. Anwälte irgendwo die das bestätigen können?
Jedenfalls finde ich den neuesten Spam Disclaimer schon lustig:
„Verzicht: Diese Anzeige wurde gesendet, um dich über diese Firma zu informieren. Deine eigene Forschung tun, bevor Sie kaufen. Der Absender wurde $25.000 für diese Sendung ausgeglichen.“
Nicht schlecht: 25.000 USD für ein wenig Spam verschicken! Ich glaube ich bastle mir jetzt auch ein Botnet.
