Mitternachtshacking

Skype fällt bei Heise mal wieder komisch auf:

Angeblich öffnet Skype auf Linux ein paar merkwürdige Dateien wie /etc/passwd (vermutlich nicht merkwürdig) und durchsucht das Firefox-Homeverzeichnis. Naja, das Password-File muss jedes Programm lesen, das für eine User-ID einen Loginnamen und ein Homeverzeichnis benötigt (wenn es sich nicht auf Environment-Variablen verlassen will) und im Firefox-Verzeichnis finden sich halt auch so sinnvolle Sachen wie Proxy-Einstellungen, die Skype braucht um ins Internet zu kommen. Erstmal harmlos soweit. Im Skype-Forum wird das auch relativ sachlich diskutiert.

Nur leider ist Skype nicht zum ersten Mal auffällig geworden. Ein Serientäter sozusagen. Bei Pagetable zum Beispiel mit einer Routine zum Auslesen des BIOS. Der Inquirer hat das dann verbreitet. Genutzt wurde so etwas zum Beispiel, damit nur Intel- und nicht AMD-Anwender in den Genuss der 10er-Konferenz kommen. Sogar Kaspersky hat zu Skype ein paar nette bunte Bildchen gemalt. Zwar nach dem Motto: haben wir keine Fakten, machen wir halt eine Umfrage. Aber sieht immerhin cool aus.

Ein Forum-Teilnehmer bringt die Skype-Misere zum Abschluss noch schön auf den Punkt:

What is so bad about Skype:

• Skype has been taken over by eBay for an ludicrous amount
• eBay has a history of cooperating with federal agencies far beyond the law
• Skype is using far more protection against reverse engineering than any software I am aware of
• Kazaa claimed not to be spyware but was found to be later. Skype has been developed by the very same people.

Dem kann man außer meiner Analyse von früher kaum was hinzufügen.

Ein spannendes neues Social Engineering Tool hat Petko D. Petkov (auf Security-Mailinglisten als pdp (architect) bekannt) veröffentlicht, das PKI Book.

Nach Eingabe einer Domain kann man alle in der PGP Datenbank des MIT (pgp.mit.edu) registrierte Benutzer mit einer E-Mail Adresse aus dieser Domain finden. Diese Daten werden anschließend mittels Yahoo! Pipes gegen das MySpace Social Network abgeglichen. Interessant dabei ist, wenn ein PGP-Key mit einer Firmen E-Mail Adresse und einer privaten Mailadresse verbunden ist. PKI Book findet dann nämlich auch das MySpace-Profil das mit der privaten Adresse erstellt wurde.

Der nächste Schritt ist dann, den Nutzer zu unserer Freundesliste hinzuzufügen und schon kann das Social Engineering beginnen … 🙂

(via The Register)

… einfach zu Linux, FreeBSD oder Mac OS X wechseln.

Zumindest in den USA scheint das zu funktionieren. Da muss ein verurteilter Urheberrechtsverletzer zu Windows wechseln, weil das FBI nur für Windows eine geeignete Überwachungssoftware hat.

Da hat sich also jemand die Arbeit gemacht, wenige Tage vor der neue Harry Potter Roman in die Buchläden kommt, alle Seiten einzeln mit einer Digitalkamera abzufotografieren und die Bilder ins Internet zu stellen. Krasse Arbeitsleistung, Respekt.

Nur, mal wieder einen dummen Anfängerfehler gemacht: Metadaten. Man kann das gar nicht oft genug erwähnen: praktisch jedes verdammte Datenformat hat inzwischen Metadaten. Da stehen z.B. in Word so tolle Zusatzinformationen drin, welche MAC-Adresse der Rechner hat, auf dem die Datei erstellt wurde. Oder wer zuletzt welche Änderungen geschrieben hat. Und für JPEG gibt es Exif (Exchangeable Image File Format), in dem neben Informationen zur Belichtung und dem Datum auch der Kameratyp und die Seriennummer der Kamera gespeichert ist.

In den Bildern des Harry Potter Romans sind die Exif-Daten intakt und weisen offensichtlich auf einen Canon Rebel 350 (in Europa Canon EOS 350D)  hin, sogar die Seriennummer der Kamera ist bekannt.  Wenn diese Kamera nun mit einer Kreditkarte gekauft wurde oder sich in Reparatur befand (was Canon bei einer drei Jahre alten Kamera laut Heise als „wahrscheinlich“ bezeichnet,  gehen die so oft kaputt oder gibt es wie in den Druckern ein elektronisches Verfallsdatum?) lässt sich neben dem Händler, der die Kamera verkauft hat vermutlich auch der Kunde ermitteln.

Ich ziehe daraus drei Lehren:

1. Bargeld lacht. Nach meiner bisherigen Erfahrung nehmen MediaMarkt, Saturn oder der nette Fachhändler um die Ecke gerne Cash zur Bezahlung der Kamera, man behält seine Privatsphäre.

2. Finger weg von Canon. Das mit den Druckern ist ein ständiges Ärgernis, egal ob Verfallsdatum oder Patentklage. Bei den Kameras scheint es ähnlich zu sein. Wenn es gegen den Konsumenten geht ist Canon meiner Meinung nach immer vorne mit dabei. Und wenn die auch noch (ohne rechtskräftiges Urteil) ihre Kundendaten für die Content Industrie rausrücken, dann ist das ein (in den USA leider nicht) krasser Verstoß gegen alles, was ich unter Datenschutz verstehe.

3. Wenn man schon digital illegal unterwegs ist, sollte man wenigstens die virtuellen Einweghandschuhe anziehen und die Metadaten vernichten. Einmal nach BMP konvertiert und zurück genügt meistens.

Tja, man lernt halt nie aus.

Eine gute Nachricht für die Demokratie, eine schlechte Nachricht für den Bundesinnenterroristen:

Die automatische Gesichtserkennung einzelner Personen anhand von Bildaufnahmen in einer großen Menge von Leuten funktioniert nicht zuverlässig. Oder mit den Worten des BKA-Präsidenten Jörg Ziercke:

„Biometrische Gesichtserkennungssysteme im öffentlichen Raum sind derzeit nicht einsatzfähig, ihre Erkennungsleistung ist nicht ausreichend genug. Außerdem ist das Potenzial einer Falscherkennung zu hoch.“

Ich fürchte nur, das wird nicht dazu führen, dass weniger Kameras aufgestellt werden. Statt dessen gibt es jetzt neue Forschungsgelder.

158.048.276, in Worten 158 Millionen 48 Tausend 276 Datensätze mit sensiblen privaten Daten wurden laut Privacyrights.org seit Januar 2005 gestohlen.  Und das sind nur die bekanntgewordenen und offiziell bestätigteten Fälle. Die anderen werden nicht gezählt.

Der Inquirer hat mich drauf gestoßen: Softpedia hat eine Liste der Programme zusammengestellt, bei denen Microsoft Vista die Nutzer in irgendeiner Art ausforscht (und sei es nur, um anonym Daten zur Qualitätsverbesserung zu sammeln) und diese Daten an Microsoft schickt. Ich persönlich (aber ich mag jetzt auch naiv sein) finde die Liste beeindrucken:

• Windows Update
• Web Content
• Digital Certificates
• Auto Root Update
• Windows Media Digital Rights Management
• Windows Media Player
• Malicious Software Removal/Clean On Upgrade
• Network Connectivity Status Icon
• Windows Time Service
• IPv6 Network Address Translation (NAT) Traversal service (Teredo)

Nicht schlecht. Natürlich ist alles durch die EULA abgedeckt:

„By using these features, you consent to the transmission of this information. Microsoft does not use the information to identify or contact you.“

Das klingt doch schon mal gar nicht so erfreulich, zumindest wenn man ein paranoider Datenschutzfreak ist. Es kommt aber noch besser. Es gibt nach Softpedia weitere 47 Teilfunktionen von Windows, die zumindest Daten sammeln auch wenn von diesen Programmen Daten nicht unbedingt oder nur nach Rückfrage und ebenfalls anonym zu Microsoft geschickt werden:

• Activation
• Customer Experience Improvement Program (CEIP)
• Device Manager
• Driver Protection
• Dynamic Update
• Event Viewer
• File Association Web Service
• Games Folder
• Error Reporting for Handwriting Recognition
• Input Method Editor (IME)
• Installation Improvement Program
• Internet Printing
• Internet Protocol version 6 Network Address Translation Traversal
• Network Awareness (somewhat)
• Parental Controls
• Peer Name Resolution Service
• Plug and Play
• Plug and Play Extensions
• Program Compatibility Assistant
• Program Properties—Compatibility Tab
• Program Compatibility Wizard
• Properties
• Registration
• Rights Management Services (RMS) Client
• Update Root Certificates
• Windows Control Panel
• Windows Help
• Windows Mail (only with Windows Live Mail, Hotmail, or MSN Mail)
• Windows Problem Reporting

Was im Detail von wem übertragen wird hier. Ach ja, Microsoft schreibt in die EULA außerdem, dass diese Liste nicht vollständig sein muss und bei der Nutzung weiterer Programme oder Dienste von Microsoft weitere Daten übertragen werden können.

Wie werden die Daten genutzt? Keine Ahnung, oder wie Softpedia schreibt:

Only God and Microsoft know the answer to that. And I have a feeling that God is going right now „Hey, don’t get me involved in this! I have enough trouble as it is trying to find out the release date for Windows Vista Service Pack 1 and Windows Seven!“

Und Microsoft hält sich zumindest in der US-Fassung der EULA die weitere Nutzung der Daten vor:

„Microsoft may disclose personal information about you if required to do so by law or in the good faith belief that such action is necessary to: (a) comply with the law or legal process served on Microsoft; (b) protect and defend the rights of Microsoft (including enforcement of our agreements); or (c) act in urgent circumstances to protect the personal safety of Microsoft employees, users of Microsoft software or services, or members of the public,“

Ich glaube, Vista kommt mir nicht auf die Rechner.

Firefox ist schon ein cooler Browser. Lästig ist nur ab und zu, wichtige Add-ons nachinstallieren zu müssen. Zwei Stück sind bei mir immer gleich dabei: NoScript und Adblock. (Ja ich weiß, es gibt Adblock Plus und fertige Filtersets, aber Adblock tut für mich und ich habe gern selbst die Kontrolle, was ich blockiere und was nicht).

Im Ergebnis ist das Internet für mich praktisch werbefrei. Ab und zu sind sogar richtige Klimmzüge notwendig, wenn ich mir doch mal Werbung ankucken möchte.

Was aber tut man gegen Werbung wenn man den Internet Explorer verwenden will?

Ich habe da eine historisch gewachsene Hosts-Datei, die viele typische Werbehosts einfach auf 127.0.0.1 umleitet. Sieht zwar manchmal nicht so schön aus, aber die Werbung ist trotzdem weg. Meine Originaldatei hat zu jeder Zeile noch ein Stichwort, warum der Eintrag drin ist (sowas wie Ads, Spyware, Dialer, …). In dieser hier ist das nicht, weil es sich da um meine persönliche Einschätzung handelt und nicht um eine Tatsachenbehauptung (Wen ich persönlich kenne und die Originaldatei will, soll mir eine Mail schreiben).

Das schöne dabei ist, die Seiten laden viel schneller, das Layout ist ansprechender, ohne die nervtötenden Blink-,Flash- und Layer-Ads und die meisten lustigen Cookies tauchen auch nicht mehr auf. Gut, man kann trefflich drüber streiten, ob man z.B. die IVW nun blockieren muss oder nicht aber ich finde, mein Surfverhalten geht die gar nichts an. Die TV- und Fernsehbranche kann ihre Quote ja auch ermitteln, ohne mich mit Cookies zu belästigen.

Ach ja, der Disclaimer: Die Veröffentlichung der Hosts-Datei erfolgt ohne Gewähr und ohne Übernahme eventueller Schäden. Sie sind selbst verantwortlich, welche Konfigurationsänderungen Sie auf Ihrem System durchführen. Die Nutzung der Datei kann Ihre Daten vernichten, Ihr Sexleben gefährden und zu Pickel führen.

Der Datenschutz im Internet wird uns in den nächsten Jahren noch sehr viel Kopfzerbrechen bereiten. Traurigerweise scheint das in der Masse der Nutzer noch niemand so richtig verstanden zu haben. Das mag damit zusammenhängen, dass die Warnzeichen schleichend kommen und viel erst aufwachen, wenn der persönliche große Knall kommt. Dieser Beitrag hier wird daher ebenfalls keine Wirkung haben, aber wenigstens erlaubt er es mir, in 5 Jahren oder vielleicht in 10 Jahren oder auch schon in 2 Jahren dann behaupten zu können: „Ich hab’s Euch ja gesagt!“. Ein paar willkürliche aber relativ bekannte Beispiele aus den großen Web 2.0 Social Communities:

StudiVZ

Eigentlich braucht man über StudiVZ nicht mehr viel schreiben. Don Alphonso hat schon alles berichtet, über die Sicherheitsprobleme, über das beliebte Stalking (bei StudiVZ verharmlosend „gruscheln“ genannt), über die lustigen (für Außenstehende) Hacks, für die interessanten abgezogenen Daten, über den Völkischen Beobachter, eigentlich über alles. Primär scheint es sich hier um ein Problem für StudiVZ bzw. den Eigentümer Holtzbrinck zu handeln. Tatsächlich ist es ein Problem der Nutzer.

Als Student sieht man vieles im Leben vielleicht etwas lockerer. Da schreibt man dann gerne mal auf seiner Profilseite (ein wenig übertrieben kommt cool) was man so alles tut oder nicht und nicht alles davon dürfte so 100% legal sein. Folglich gibt es bei StudiVZ die Marihuanaraucher, die Schwulen und Lesben, die Gang Bang Ficker und was sich sonst noch alles herumtreibt. Das ist eine willkürliche Aufzählung ohne jegliche Wertung und ich maße mir nicht an, das zu werten. Aber vielleicht der zukünftige Arbeitnehmer! Bei vielen Unternehmen ist es inzwischen üblich, die Bewerber kurz im Internet zu checken. Die FTD bezeichnet das zutreffend als Web 2.0 Karrierekiller.

Das Problem ist: Diese Daten verschwinden nicht mehr aus dem Netz.

Facebook

Facebook ist das Original, die amerikanische Studentencommunity und Facebook kämpft mit ähnlichen Problemen. Das fing schon mit der Stalkingfunktion an und betrifft das Abziehen von Daten (PDF) natürlich ganz genauso. Lustig ist offensichtlich die Suchfunktion, die Einstellungen wer welche Daten sehen darf einfach ignoriert. Man kann wohl irgendwo anders Einstellungen für die Suchfunktion konfigurieren aber das wissen die meisten Benutzer nicht. The Register warnt eindringlich: Digital data can bite you in the ass.

Das Problem bleibt: Diese Daten verschwinden nicht mehr aus dem Netz!

Google

Auch zu Google muss man nicht mehr viel schreiben. Google ist bekanntlich die große Datenkrake, wurde 2003 auch schon mal für den Big Brother Award nominiert und die letzte Studie von Privacy International hat das drastisch aufgezeigt. Google Watch führt noch ein paar weitere Punkte zusammen. Und mit Google Street Watch hat sich das Thema gerade erst potenziert. Inzwischen werden sogar die drögen Amis wach.

Europäischer und amerikanischer Datenschutz

Europäischer und amerikanischer Datenschutz unterscheiden sich hier grundlegend. Daten, die einer europäischen Firma zur Verarbeitung gegeben werden, gehören weiterhin mir. Ich habe das Recht, zu Fragen was über mich gespeichert ist und kann fehlerhafte Daten korrigieren lassen. Daten die eine amerikanische Firma über mich gespeichert hat, gehören der amerikanischen Firma. Wer sich mal die Pricacy Policy einer amerikanischen Firma durchgelesen hat (z.B. Paypal) versteht, was ich meine. DoubleClick hat bereits einmal versucht, Daten aus dem Surfverhalten der Nutzer zu personalisieren. (DoubleClick wurde jetzt übrigens für 3,1 Milliarden USD von Google gekauft. Da soll noch jemand behaupten, Google sein nicht evil.

Vorratsdatenspeicherung

Komplett den Bach runter geht der Datenschutz spätestens, wenn die von den Herren Schäuble („ich habe von einem Bundestrojaner nichts zu befürchten, ich habe ja keine schwarzen CDU-Geldkoffer von Herrn Schreiber angenommen“) und Beckstein („ich dachte der Virus mit dem BKA-Titel sei eine dienstliche Mail an mich“) geforderte Vorratsdatenspeicherung kommt. Das ist jedem vernünftig denkenden Menschen aber eigentlich auch klar.

Dafür gibt es jetzt aber eine tolle Initiative der EU: Privacy and Identity Management in Europe, kurz PRIME. Leitmotiv von PRIME ist es laut Heise angeblich:

„die personenbezogenen Informationen beim Identitätsmanagement unter der Kontrolle des Nutzers zu belassen. Ziel ist es, auch bei der Herausgabe persönlicher Daten für die Inanspruchnahme von Online-Services den jeweils maximal möglichen Datenschutz zu gewährleisten.“

Der zweite Absatz erklärt jedoch, wo es wirklich hingeht:

„Mit Systemen zum ID-Management soll das Problem der sicheren Identifikation von Surfern im Internet gelöst werden. Der Druck auf die Entwicklung eines entsprechenden „sicheren Kommunikationsraums“ im Netz geht […] von der Politik aus.“

Oder, wenn wir Neusprech mal weglassen: Anonym im Internet ist nicht mehr.

Da fühlt man sich in der Europäischen Union mal wieder richtig gut aufgehoben. Oder?

Eine wichtige Information in Communities ist ja, wer kennt wen, wer kommuniziert mit wem und wer macht was und wie beeinflußt das alle anderen. Dabei spielt es keine große Rolle ob das für Studenten (z.B. StudiVZ, der Link musste sein, also Finger weg davon) oder für große Kinder (z.B. Xing) ist.

Was bei Communities funktioniert, scheint per E-Mail in Unternehmen genauso zu funktionieren. Bei ZDnet gibt es einen schon älteren Artikel von 2003 zum Thema Email flow can show company power structure. Eigentlich eine interessante Idee. Man kuckt, wer wie wann an wen E-Mails schickt und kann daraus schließen wer in der Firma wirklich das Sagen hat. Beispielsweise die Chefsekretärin.

Vielleicht sollte man sich damit mehr beschäftigen. Wenn irgendwann vielleicht mal ein größerer Teil der Mails verschlüsselt ist, wird das Abhören, neudeutsch „Lawful Interception“ relativ wertlos. Dafür wird die Information wer mit wem kommuniziert um so interessanter und erlaubt oft sogar nachträglich Rückschlüsse auf den Inhalt der Kommunikation.

Und wenn nun jemand fragt, warum ich dieses alte Thema rauskrame … weil ich gerade eben über diese Seite gestoßen bin, auf der die E-Mail Kommunikation der Pleite gegangenen Enron zum Download angeboten wird.