Neben den diversen Viren und Schadprogrammen gibt es Überwachungssoftware und Spyware inzwischen auch kommerziell zum Kaufen, auch wenn der Einsatz in Deutschland in der Regel nicht mehr legal ist.
Auf die Überwachungssoftware FlexiSpy für Handys hatte ich ja bereits aufmerksam gemacht, vergleichbares gibt es im KGB Employee Monitoring auch für PCs. Für 150,- Euro kann man seine Mitarbeiter, Ehepartner oder Kinder vollkommen illegal ausspionieren und überwachen. Ich weiß jetzt nicht genau, was das Strafmaß dafür ist aber ein guter Strafverteidiger ist dann unverzichtbar. Produkte andere Anbieter wie Blazingtools‘ Perfect Keylogger standen vor gar nicht langer Zeit sogar unter den Top 10 der entdeckten Schadprogramme.
Von den weniger weit verbreiteten Hardware Keyloggern wie KeyKatcher oder KeyGhost will ich gar nicht reden.
Die interessante Frage ist eigentlich: Setzt tatsächlich eine Firma sowas wie das KGB Employee Monitoring ein? Wenn ja, wissen die Mitarbeiter davon? Und welchen Nutzen soll das bringen?
In Großbritannien ist Anfang Oktober ein neues Gesetz in Kraft getreten, dass es alle Verdächtige verpflichtet, ihre Verschlüsselungskeys den Strafverfolgungsbehörden auszuhändigen.
Oder, wie The Inquirer schreibt: „Under part three, Section 49 of the Regulation of Investigatory Powers Act (RIPA) if Inspector Knacker of the Yard knocks on your door and wants to have a snuffle on your hard drive and finds a blob of encrypted code he can make you decode it.“
Für das Verweigern droht bis zu 5 Jahren Haft. Userfriendly.org stellt die möglichen Konsequenzen in einem Comic dar.
Google Analytics wird immer beliebter, da damit von Google eine einfache und mächtige Möglichkeit angeboten wird, die Besucherstruktur einer Webseite zu analysieren. Ich habe auch schon mit dem Gedanken gespielt, hier auf dieser Seite Google Analytics einzubinden.
Andererseits gehöre ich auch gerne mal zu den paranoiden Spinnern, die alles blockieren, was ihnen auch nur am Rande etwas zu suspekt erscheint. So blockiere ich zum Beispiel alles was zu ivwbox.de geht oder auch was lokale ivwbox.domain.de Server sind. Ich finde, die Firma Infonline muss nicht wissen, wann ich wie und wo auf welcher Webseite bin.
Man kann aber noch viel mehr anstellen … das JavaScript-File von Google Analytics, urchin.js kann man bis Version 5 kostenlos und ab Version 6 kostenpflichtig in eigene Angebote direkt einbinden und selbst auswerten, ohne auf Google zurückzugreifen.
Spannend wird, wenn man in einzelne vom Skript gesetzte Cookies weitere Daten einbindet, die beispielsweise zur Identifizierung des Users geeignet sind … die Möglichkeiten sind fast unendlich. ts/sci security hat da einen sehr interessanten Beitrag.
Ich muss mir demnächst vermutlich doch mal das Buch zur Serie anschauen … irgendeine nützliche Missbrauchsmöglichkeit fällt mir bestimmt auch noch ein!
Manchmal sollte man besser nicht weiter nachbohren, sonst findet man lauter Kuriositäten.
Die Chicago Sun-Times verbietet ihren Lesern in den „Terms of Use“ die Nutzung von Ad-Blockern:
5. Your Use Of The Web Site
As a user of the Web Site, you agree that you will not:
cover or obscure any banner or other advertisement on the Web Site;
Der Blogger Danny Carlton hat sogar ein Skript implementiert, das gezielt Firefox-Nutzer mit AdBlock bzw. AdBlockPlus aussperrt. CNet hat einen netten Artikel zu dieser Problematik.
Ich warte ja auf die ersten Prozesse in den USA. Da wurde 1979 schon Betamax verklagt, da die Nutzer Werbung durch Vorspulen überspringen können (übrigens erfolglos).
Ich schrieb bereits darüber, warum ich mein Blog lieber selbst hoste und es niemand anderem anvertraue. Das was ich schreibe gehört so erstmal mir, zumindest was das deutsche Urheberrecht dazu sagt und jede anderweitige Nutzung (ausgenommen Zitate) ist daher erstmal unzulässig. Klar, in der Praxis interessiert nicht groß, was ich hier schreibe aber ein gewisser abstrakter Schutz vor Missbrauch ist zumindest gegeben.
Besonders krass ist der Fall jetzt bei unseren „Don’t be evil“ Freunden von Google.
Google bietet Nutzern die kostenfreie Möglichkeit, mittels Google Text & Tabellen Dokumente und Kalkulationen auf den Servern von Google zu erstellen. Die dort von vielen Nutzern erstellten Informationen sind vielleicht sogar teilweise vertraulich, auf jeden Fall aber nicht für jeden gedacht. Selbst wenn es im Prinzip unwichtig ist, geht das andere Leute gleich gar nichts an.
Auch hier hilft wieder ein Blick in die von Google verfassten AGB, die jeder Nutzer akzeptieren muss. In der Fassung vom 18.12.2006, noch gültig am 16.09.2007 steht darin unter Punkt 11.1 folgender Abschnitt:
„Durch Übermittlung, Einstellung oder Darstellung der Inhalte gewähren Sie Google eine dauerhafte, unwiderrufliche, weltweite, kostenlose und nicht exklusive Lizenz zur Reproduktion, Anpassung, Modifikation, Übersetzung, Veröffentlichung, öffentlichen Wiedergabe oder öffentlichen Zugänglichmachung und Verbreitung der von Ihnen in oder durch die Services übermittelten, eingestellten oder dargestellten Inhalte.“
Faktisch bedeutet das, alle bei Google Text & Tabellen eingestellten Daten und Informationen kann Google beliebig weiterverwenden, veröffentlichen, damit werben und da die Lizenz unwiderruflich ist, kann Google die Daten sogar noch nutzen, wenn sie aus Google Text & Tabellen vom Nutzer längst wieder gelöscht wurden.
Laut Golem behauptet Google zwar, das sei so nicht gemeint aber wenn es halt doch zum Streit kommt, gelten die schriftlich fixierten AGB und der Nutzer ist der Dumme.
Disclaimer: Achtung, enthält möglicherweise jugendgefährdende Fotos und Dateien 🙂
Ich finde das ja durchaus interessant. Da bekomme ich also (mühsam aus dem Spamordner gefischt) folgende E-Mail:
Die liebe (mir unbekannte) Maria Webber hat also eine Webseite aufgesetzt, und lädt mich ein ihre Bilder zu betrachten. Die Webseite selbst sieht so aus (Unkenntlichmachung von mir, ich weiß nämlich nicht, ob die Dame mit der Veröffentlichung des Bildes einverstanden ist oder ob das Bild irgendwo einfach geklaut wurde):
Beim Anklicken von „Andere Fotos finden Sie im Archiv“ bekommt man eine Datei „photos.exe“ (ZIP-File, Achtung Download auf eigene Gefahr) angeboten. Ich habe die Datei an Virus Total geschickt, um sie testen zu lassen, nachdem mein lokaler Virenscanner nichts gefunden hat. Das Ergebnis ist relativ eindeutig:
Zumindest 10 der vorgeschalteten Virenscanner kommt die Datei suspekt vor, im Allgemeinen wird ein Trojan Dropper (d.h. ein Programm, das weiteren Schadcode nachlädt) mit dem Namen PolyCrypt erkannt.
Mich beeindruckt ja der Aufwand, mit dem das Verbreiten von Schadcode inzwischen erfolgt. Früher wäre die Datei einfach als Attachment in der Mail enthalten gewesen. Heute setzen die Angreifer eigene Webseiten auf (ok, enthält nur ein Photo, aber die URL muss zumindest registriert werden), verbreiten passenden Spam und warten darauf, dass die nichtsahnenden Nutzer sich den Schadcode selbst auf den Rechner laden.
Ich bin mir sicher, das Verfahren lässt sich auch hervorragend für gezielte Social Engineering Angriffe gegen Unternehmen missbrauchen. Einfach eine ähnlich klingende Domain registrieren, eine passende Mail gezielt an einzelne Mitarbeiter verschicken und abwarten, was passiert …
Anmerkung: AntiVir 7.06.00.05 vom 06.09.2007 erkennt den Schadcode noch nicht, AntiVir 7.06.00.10 vom 15.09.2007 erkennt den Schadcode. Da sieht man mal wieder, wie wichtig aktuelle Virenscanner-Updates sind. Auch interessant, AntiVir sucht inzwischen nach 1071077 Virenstämmen, über 1 Million, schon krass. Vielleicht doch langsam Whitelists einführen?
