21. Februar 2010

Random Stuff – 2

Category: Datenschutz,Hacking,Internet — Christian @ 17:32

Please Rob Me

Die Webseite Please Rob Me zeigt mir Hilfe einfacher Suchanfragen an Twitter und Foursquare die Nachrichten der Nutzer analysiert. Dabei wird nach Lokations- und Abwesenheitsmeldungen gesucht, die z.B. einem Einbrecher Hinweise geben könnten, wo ein Benutzer wohnt und wann er unterwegs ist. Damit soll u.a. auf die Gefahr von Social Networks aufmerksam gemacht werden, in denen Benutzer zu viele Informationen über sich preis geben. Und wir haben uns vor 15 Jahren über die Abwesenheitsnotizen in E-Mails aufgeregt …

Panopticlick

Panopticlick der Electronic Frontier Foundation (EFF) führt vor, wie eindeutig sich ein Browser durch Javascript und diverse Plugin-Kombinationen identifizieren lässt. Mit abgeschaltetem Javascript (NoScript sei Dank) komme ich auf 1 von ca. 32.000 Usern, mit eingeschaltetem Javascript bin ich mit meiner Plugin-Kombination eindeutig identifizierbar. Wobei ich mich frage, warum Javascript z.B. die installierten Systemfonts an den Server übermitteln muss.

Amazon EC2 Passwort-Cracker

Cloud-Dienste lassen sich nicht zur für Virenscanner oder Datenspeicherung nutzen sondern können (wenn viel Rechenleistung für wenig Geld angeboten wird) auch für Passwortcracker nutzen. Da Amazon der Rechenleistung Kosten verpasst, ergibt sich eine einfach nutzbare Metrik, um Passwort-Cracking mit echten Kosten zu versehen. David Campbell hat das tabellarisch aufbereitet. Interessant ist, dass die Passwortlänge wichtiger ist als die Passwortkomplexität. Ein 12-Zeichen Passwort nur aus Kleinbuchstaben kostet nach seiner Rechnung über 1,5 Millionen USD, ein komplexes Passwort mit Sonderzeichen aber nur 8-Zeichen Länge kostet günstige 106.000 USD. Erst mit 10-Zeichen Länge ist ein komplexes Passwort besser als ein simples 12-Zeichen Passwort.

30. Januar 2010

Safer Internet Day

Category: Datenschutz — Christian @ 19:23

Der Safer Internet Day 2010 steht vor der Tür. Am 9. Februar soll er stattfinden. Auf klicksafe.de (Vorsicht beim klicken, siehe weiter unten!) steht das. Lustige Nasen sind das übrigens, die das veranstalten.

Im Newsticker steht vom 25.01.2010 die Meldung über ein neues Modul Datenschutz und Persönlichkeitsrechte mit dem Text:

    „Das Thema „Datenschutz“ scheint gewissermaßen über Nacht populär geworden zu sein […] Mit dem neuen Zusatzmodul können Lehrerinnen und Lehrer mit ihren Schulklassen gemeinsam zu Fragen des Datenschutzes und der Persönlichkeitsrechte arbeiten.“

Stimmt. Man könnte beispielsweise die Datenschutzpolicy von klicksafe.de anschauen. Da findet man dann so Petitessen wie:

    „Alle Zugriffe auf diesen Server werden protokolliert. Es werden Datum, Uhrzeit, anfragend IP-Adresse/Hostname, Browser/Betriebssystem-Version, Sprache, Proxy, aufgerufenes Dokument, übertragene Datenmenge, zuvor aufgerufenes Dokument, Art der Anforderung und Rückgabecode gespeichert. Diese Daten werden für statistische Zwecke ausgewertet und gegebenenfalls anonymisiert veröffentlicht.“

Ok, protokolliert wird viel. Ob das (a) nötig und (b) rechtens ist, darüber scheinen auch diverse Datenschutzbehörden unterschiedlicher Meinung zu sein. Aber sich dann auch gleich noch das Recht heraus nehmen, die Daten auszuwerten und ggf. (anonymisiert) zu veröffentlichen ist schon recht frech. Da wundert es mich allerdings gar nicht, dass die Klicksafe-Nasen feststellen, dass „über Nacht“ der Datenschutz populär geworden ist. Wenn man so den Kopf in den Sand steckt.

Im Impressum steht übrigens  „Landeszentrale für Medien und Kommunikation (LMK) Rheinland-Pfalz“, also quasi eine staatliche Behörde. Und dann wundern sich die vermutlich noch, dass niemand Vertrauen zur staatlichen Datenkrake hat. Unglaublich.

25. Juni 2009

Die wissen, wann und wo du surfst

Category: Datenschutz,Internet — Christian @ 23:55

Spannender Artikel bei Zscaler Research (ja, das sind die mit dem komischen Cloud Scanning). Jeff Forristal liefert einen Überblick, welche Möglichkeiten es inzwischen gibt das Surfverhalten der Nutzer auszuspähen. Da kommen Ideen zum Vorschein, auf die ich bisher gar nicht gekommen bin aber die durchaus nicht völlig aus der Luft gegriffen sind, wenn man die Historie beteiligter Unternehmen wie Verisign berücksichtigt:

  • Toolbars (Alexa, Google, Yahoo und Co), aber das ist Opt-In, die installiert sich jeder selbst
  • Phorm und andere Sachen die beim Provider laufen, lassen wir aber auch außer acht
  • Interne Firmenproxys die alles auswerten sind anscheinend bei Post und Bahn und den meisten anderen Großkonzernen sowieso üblich

Nun aber zu den spannenden Sachen:

Startseite: Die meisten Startseiten werden nur beim Starten des Browsers oder öffnen eines Fensters aufgerufen weil kaum jemand auf „Home“ klickt. Zusammen mit den dort vergebenen Cookies lässt sich recht genau tracken, wann eine Person üblicherweise beginnt, im Internet zu surfen. Zusammen mit der IP-Adresse (Geolocation und Firmenzuordnung) kann man recht zuverlässig sagen, ob die Person von Zuhause oder aus der Firma surft. Apple leitet auch noch zu einer Omniture-Seite weiter (gehört zu Google), die Privatspäre geht damit komplett flöten.

HTTPS: Die meisten Browser unterstützen irgendeine Art von Zertifikatsverifizierung, entweder mit CRLs oder OCSP. Insbesondere bei OCSP wird die Seriennummer des Zertifikats einer Webseite (z.B. der Commerzbank) an die Zertifizierungsstelle (z.B. Verisign) geschickt (ja, die Commerzbank hat ein TC Trustcenter-Zertifikat, mir geht’s aber um das Prinzip und Verisign ist böse!). Folglich weiß Verisign, wann auf bestimmte Webseiten mit HTTPS zugegriffen wurde. Und Verisign und ihre Tochterfirmen habe etwa 57% aller Zertifikate ausgestellt.

Anti-Phishing: Praktisch jeder Browser bietet die Möglichkeit, eine Webseite vor dem Zugriff darauf prüfen zu lassen, ob es sich um eine Phishing-Seite handelt. Einige Implementierungen verwenden eine lokal heruntergeladene Datenbank, vergleichbar Antivirus-Signaturen, andere schicken einen Hash der Seite an eine zentrale Datenbank. Opera mit SiteCheck lässt sich jeden kompletten Rechnernamen schicken, der angesurft wird. Ganz toll!

Eigentlich kann man nur noch zwischen zwei unerwünschten Situationen wählen. Verzichtet man auf Privatspäre  und bekommt mehr Sicherheit oder will man mehr Privacy auf kosten der Sicherheit.

Hier der komplette Artikel: Those who know where and when you surf

10. Juni 2009

Webbugs und Google Analytics mal wieder!

Category: Datenschutz,Internet — Christian @ 23:30

Webbugs

Ich spiele seit einiger Zeit mit dem Firefox-Addon Ghostery herum und es ist echt erschreckend, wie viele Bugs manche Webseiten implementieren. Bisher habe ich da mit meinen eigenen Filtern herumgebastelt aber das nimmt langsam echt überhand. Hier meine aktuelle Sperrliste im Adblock Plus:

Kennt jemand einen Trick, wie man mit Adblock Plus zuverlässig Webbugs, d.h. die 1×1-Pixel Grafiken die gerne in Seiten eingebettet werden, blockieren kann? Leider gibt es halt neben den Webbugs auch 1×1-Pixel Grafiken, die als Platzhalter für das Layout eingesetzt werden. Deshalb dürfen nur 1×1-Pixel von fremden Domains blockiert werden, nicht aber von der Domain (oder von Subdomains) von der die eigentliche Seite geladen wird.

Urchin

Noch schlimmer sind die diversen Varianten von JavaScript, die ständig irgendwo eingebettet werden. Selbst Mozilla.org lässt einen damit nicht mehr in Ruhe. Ich habe inzwischen gesperrt:

  • */__utm.js (das Original Urchin Tracker Modul, Urchin 5)
  • */__utm.gif?* (Urchin Tracker Modul ??)
  • */urchin.js (das um Google Analytics erweiterte Modul, Urchin 6)
  • */ga.js (das neue Google Analytics Javascript)
  • */__ga.js (das neue Google Analytics Javascript)

Es gibt sogar Google Autorisierte Urchin Consultants. Was sollte man denn effizienterweise noch alles blockieren? Kann man Javascript blockieren, das die Zeichenfolge „Urchin“ enthält?

Ach ja, so global gesehen sind die Adblock Plus Filter richtig gut. Ich habe bisher erst eine einzige Ausnahmeregel benötigt:

  •  @@*/imagedb/*

weil der Adblock Plus Ares ABP + Easylist zu viel blockiert hat.

20. Mai 2009

Phorm-Provider sperren oder nicht?

Category: Datenschutz,Internet — Christian @ 19:45

Ja, Phorm ist böse. Und in der EU illegal. Nur, der eine oder andere Provider bei den Inselaffen lässt sich davon nicht abhalten.

Eines der Probleme, die gerade die Inhaltsanbieter mit Phorm haben ist, dass Phorm die geschaltete Werbung mit der die Inhalte bezahlt werden, ganz frech durch andere Inhalte austauschen will. Ich würde dagegen ja urheberrechtlich vorgehen aber mir persönlich ist das mangels Werbung auf meinen Seiten recht egal. Und wenn sich die Kunden dieser Provider ausspähen lassen wollen, dann soll mir das auch recht sein.

Andere sehen das etwas … nunja fundamentalistischer.

Dephormation hat inzwischen sogar eine Liste der ganzen IP-Adressen von Providern zusammengestellt, die Phorm einsetzen. Man sperrt sozusagen direkt die Kunden aus. Das ist wie mit den Youtube-Ländersperren, wenn für einzelne Länder die Rechte an Musik und Video nicht erworben werden konnten, weil die Verwertungsgesellschaften zu gierig oder Google zu geizig ist.

Nur … gleichzeitig Kunden anderer Provider sperren und gegen Internet-Zensur sein, das kommt mir ein klein wenig schizophren vor. Aber vielleicht liegt das ja auch an mir.

14. März 2009

Familientracking

Category: Datenschutz — Christian @ 20:37

Inanny erlaubt es, in Zukunft die ganze Familie mit einem GPS-Empfänger zu versehen und jede Bewegung über das Mobilfunknetz zu tracken. Für nur 129,- € pro Gerät und 9,99 Euro pro Monat für die Abfrage über das Internet.

Interessante Frage, wie die Persönlichkeitsrechte von Kindern dabei gewahrt werden sollen.

1. März 2009

Honeywell setzt EnCase zur Mitarbeiterüberwachung ein

Category: Datenschutz,Recht — Christian @ 19:46

Auf so einen Fall habe ich ja schon länger gewartet, eher mit Verwunderung, dass bisher nichts bekannt geworden ist …

Honeywell, ein US-Amerikanischer Konzern, der u.a. in der Wehrtechnik aber auch Prozessautomatisierung tätig ist, hat auf allen Rechnern der Mitarbeiter auch in Deutschland die forensische Software von EnCase installiert, die im Hintergrund die Rechner überwachen, Passwörter aufzeichnen und Festplatten-Images erstellen kann. Das funktioniert sogar, wenn beispielsweise EFS zur Verschlüsselung eingesetzt wird. EnCase ist in diesem Zusammenhang nicht irgendwer sondern die führende Forensik-Software, die von den meisten Polizeidienstellen weltweit eingesetzt wird. Das Bayerische LKA hat meines Wissens auch ein paar Lizenzen.

Im Grunde ist das die perfekte und komplette Überwachung aller Tätigkeiten am Rechner. Ich zeige bei meine eigenen Hacking-Vorträgen ja gerne die Angebote von Refog, u.a. den Employee Monitor. Jedem Teilnehmer ist auf den ersten Blick klar, dass so etwas völlig illegal ist.

Nur große Konzerne denken da offensichtlich anders. Der Mitarbeiter gilt nicht mehr als Mensch sondern als „Human Resource“, die wie jede andere Ressource beliebig genutzt oder wenn nicht mehr gebraucht halt entsorgt wird. Einen wichtigen Komplizen haben die Datenverbrecher dabei im Bundesinnenministerium gefunden. Staatsfeind-Nr.-1 und Verfassungsfeind Schäuble ist der erste, der damit einverstanden ist, alles und jeden immer weiter zu überwachen. Datenschutz für Arbeitnehmer, wie auf dem letzten „Bürgerverarschungs“datenschutzgipfel gefordert wird weit hinten angestellt.

Und das traurige ist, weder für Honeywell noch für Schäuble haben diese Skandale (siehe Lidl, Telekom, Bahn und jetzt Honeywell) irgendwelche größeren Folgen. Der dumme ist nur der Bürger. Welcher geistig minderbemittelte Idiot wählt eigentlich die Schwachmaten von der CDU noch?

21. Februar 2009

Google Analytics blockieren

Category: Datenschutz,Internet — Christian @ 19:42

Das Blockieren von Google Analytics wird schwieriger. Früher konnte man im Adblock einfach google-analytics.com sperren und schon war Ruhe.

Inzwischen fangen die ersten Seiten an, das googelsche „Schmuddelkind“ urchin.js auf ihren eigenen Seiten zu hosten. Beispielsweise die Welt online, bei der das Script jetzt unter hxxp://www.welt.de/scripts/urchin.js zu finden ist.

Na gut, dann passe ich halt meine Filter an:

  • */urchin.js
  • *.ivwbox.de/*
  • ivw.*

Dann ist weitgehend Ruhe mit dem Ausspionieren. Und die entsetzlichen Klickstrecken lohnen sich für die Anbieter auch nicht mehr.

16. Februar 2009

War Driving neu definiert … RFID-Pässe im Vorbeifahren klonen

Category: Datenschutz,Hacking — Christian @ 22:36

Chris Paget just did you a service by hacking your passport and stealing your identity. Using a $250 Motorola RFID reader and antenna connected to his laptop, Chris recently drove around San Francisco reading RFID tags from passports, driver licenses, and other identity documents. In just 20 minutes, he found and cloned the passports of two very unaware US citizens.

(via engadget)

5. Februar 2009

Quer sammelt Genproben

Category: Datenschutz,Offtopic — Christian @ 23:54

Ich schau ja selten beim Bayrischen Rundfunk in das Fernsehprogramm, das ist mir meistens ein wenig zu spießig, zu bemüht bayrisch provinziell und oft einfach langweilig. Eine Ausnahme ist Quer, vermutlich die einzige Sendung im BR, die ab und an wenigstens ein wenig gegen die „staatstragende“ CSU schießt.

Heute habe ich eher zufällig hinein gesehen und dabei hat es mich fast aus dem Sessel gerissen. Ein Typ im weißen Arztkittel rennt durch die Straßen und sammelt von verschiedenen Leuten Genproben ein, mit einem Wattestäbchen, Kaugummis, Zigarettenstummel, alles unter fadenscheinigen dummen Argumenten. Und die Leute rücken freudestrahlend alles raus. Sogar eine Urinprobe haben sie bekommen.

Ich muss mal schauen, ob das irgendwann wiederholt wird. Sehr skurril.