1. April 2008
Die Holländer filmen auch gerne alles und jeden, den sie sehen. Das ist zwar insgesamt noch nicht ganz so schlimm wie in Großbritannien aber beispielsweise in Den Haag werden komplette Straßenzüge mit Hilfe von Kameras überwacht. Die Überwachung wird weitgehend mit Hinweisschildern (hier ein Foto aus Amsterdam) angekündigt aber man kann ja leider nicht überall fernbleiben:
Auf den Straßen sieht es dann so aus. Deutsche Qualitätsware, man erkennt (hier eine Straße in Den Haag) das Siemens-Logo an den Kamerasystemen.
Der Nutzen? Naja, ich denke solche pösen Verbrecher die hier ihr Fahrrad an der falschen Stelle abgestellt haben wird man sicher erwischen:
Man beachte den wichtigen Hinweis: „verboden fietsen te plaatsen“. Das verstehe sogar ich als Bayer. Auf die Kriminalität insgesamt scheint das jedoch keinen großen Effekt zu haben. Jedenfalls könnte ich mir anders nicht erklären, dass man reihenweise in den Autos diese Hinweise findet:
„Keine Wertsachen im Auto, es lohnt sich nicht, den Waagen aufzubrechen“. Das P-im-@ ist übrigens das lokale Symbol für Anwohnerparker in Den Haag.
Für mich scheint erstmal kein besonderer Nutzen der Kameraüberwachung sichtbar. Allerdings werden zumindest ein paar Kameras offensichtlich tatsächlich in Echtzeit ausgewertet. Im Den Haager Diplomatenviertel kam bei meiner wilden Knipserei tatsächlich ein Gorilla aus einer Botschaft (Herkunftsland wird nicht veröffentlicht um die Unschuldigen zu schützen) gehüpft und wollte mich anschnauzen, was ich da fotografiere.
Nachtrag:
Falls irgendjemand aus einer Bürgerrechtsgruppe Interesse an oder Nutzen von den Fotos hat bitte kurze Mail an mich, ich schicke dann gerne auch Bilder in hoher Auflösung zu.
27. März 2008
Sehr amüsant bei Heise zu lesen und noch lustiger direkt auf der Seite.
26. März 2008
Deutsche Anonymisierungsdienste wie AN.ON haben sich damit praktisch auch erledigt. Durch das Mix-System ist theoretisch noch ein gewisser Schutz gegeben (wenn zumindest ein Mix im Ausland steht) aber das ist natürlich funktionsbedingt nicht gewährleistet.
Software wie CyberGhost VPN der S.A.D. GmbH aus Ulm ist jedoch völlig nutzlos geworden, da alle Zugriffe verschlüsselt an den Anbieter und von dort ins Internet geleitet werden. Beim Anbieter muss jedoch alles protokolliert werden. Nunja, freuen sich halt ausländische Unternehmen über den zusätzlichen Umsatz. Dort kann von deutschen Behörden noch weniger kontrolliert werden.
(via Heise)
13. März 2008
Untertitel aus der Meldung von Golem:
„Wissenschaftler aus den USA haben herausgefunden, dass Herzschrittmacher mit einer Funkschnittstelle gehackt werden können – mit tödlichen Folgen.“
Inzwischen haben auch implantierte Geräte wie Herzschrittmacher, an die man halt nur schwer herankommt eine Funkschnittstelle und wenn die nicht sauber abgesichert ist, dann rumpelt es eben in der Kiste.
Das untersuchte Gerät (PDF) sendet auf 175 KHz, eine Frequenz die bequem mit einem Oszilloskop analysiert werden kann. Dann noch ein wenig Reverse Engineering und man kann aus dem Gerät sensible Daten auslesen und sogar die Programmierung verändern. In den USA gibt es inzwischen sogar einen eigenen reservierten Frequenzbereich, das 402–405 MHz Medical Implant Communications (MICS) Band auf dem neuere Geräte senden.
In andere Herzschrittmacher ist sogar nur ein einfacher Bluetooth-Chip eingebaut. Die Teile sind extrem günstig und brauchen wenig Energie. Außerdem senden sie nur über geringe Entfernung und sind kompatibel zu normalen Notebooks und Handys. Vermutlich wird als Peering-PIN „0000“ verwendet.
Erschreckend finde ich vor allem, dass das gesamte Equipment, Oszilloskop, Datenkabel, PC, GNU Radio Software (bis auf Mathlab) praktisch komplett bei mir vorhanden ist. Ok, das Oszilloskop müsste ich von meinem Vater ausleihen aber der Rest ist da.
10. März 2008
Ich weiß ja nicht mehr so recht, welcher Behörde man denn in Deutschland überhaupt noch vertrauen kann. Das Bundesamt für Sicherheit in der Informationstechnik hat eigentlich immer einen recht seriösen Eindruck gemacht (auch wenn es Vermutungen und Gerüchte gibt, dass es da auch eine „Schwarze Kammer“ gibt, die z.B. Verschlüsselung bricht und für die BRD spioniert). Inzwischen bin ich mir da aber auch nicht mehr sicher.
Der konkrete Anlass sind die Vorträge des BSI auf der CeBIT zum neuen elektronischen Reisepaß. Die Kernaussage des BSI ist dabei, trotz RFID ist alles gut und sicher und da kann überhaupt nichts passieren. Immerhin habe man ja die Entropie (das ist sowas wie die Schlüssellänge bei der Verschlüsselung) von 35 auf 45 Bit erhöht.
Der Präsident des Bundeskriminalamts Jörg Ziercke, von dem ich ja glaube, dass er sich in der Bundestrojanerdiskussion dümmer stellt als er ist und der bezüglich Reisepass bestimmt sehr gut informiert ist, sieht das jedenfalls anders. Immerhin führt Ziercke seinen Pass nur in einer Schutzhülle mit, die elektromagnetische Abstrahlung z.B. von einem RFID-Chip verhindert.
Ebenfalls sehr seltsam ist, dass Diplomatenpässe, angeblich wegen der besonderen Gefährdungslage (ich frage mich ja, wieso ein Diplomat z.B. in Brüssel besonders gefährdet sein soll … und warum ein Soldat in Afghanistan das nicht sein soll …) ohne RFID-Chip ausgestellt werden. Auch hier gehe ich davon aus, dass das Auswärtige Amt nicht unnötig Panik verbreiten will sondern von einer konkreten Gefährdung weiß.
Entweder … ist BKA-Präsident Ziercke ein paranoider Spinner der sich unnötig Gedanken um Bürgerrechte macht und das Auswärtige Amt beteiligt sich an unsinniger Panikverbreitung … oder das BSI lügt.
Ihr könnt es Euch aussuchen.
8. März 2008
6. März 2008
E-Mail Wegwerfadressen sind inzwischen ein sehr probates Mittel gegen die Spamflut und die Datensammelwut der diversen Webseitenanbieter geworden. Bei vielen Angeboten insbesondere aus dem amerikanischen Raum ist der Zugang nur nach Anmeldung möglich und hier müssen oft umfangreiche Daten wie Vorname, Nachname, E-Mail, Anschrift, etc. angegeben werden. Die Antwort des Gepeinigten ist daher gerne mal die Nutzung einer Wegwerfadresse sowie Angabe falscher Daten. Emaildienst.de ist beispielsweise ein bekannter Anbieter.
Man sollte allerdings mit diesen offenen Mailservern ein wenig aufpassen. Mit der simplen Eingabe eines Benutzernamens, z.B. Michael oder Andreas kommt man in die Mailbox dieses Users … was vom Prinzip ja auch so gedacht ist, aber ab und an interessante Einblicke enthält. Beispielsweise war anhand einer dieser Spam-Mails ersichtlich, dass john@emaildienst.de sich an der Webseite The Code Project angemeldet hat. Freundlicherweise erlaubt es diese Webseite, sich das „vergessene“ Passwort zuschicken zu lassen.
Also lassen wir das Passwort an john@emaildienst.de schicken, in dessen Postfach können wir ja freundlicherweise hineinsehen.
- Login email: john@emaildienst.de
- Password: frosch
Gut, das ist jetzt kein besonders gutes Passwort aber es funktioniert.
Mein Fazit: Wegwerfadressen sind ja ganz nett, aber man sollte bei der Nutzung doch bitte ein klein wenig aufpassen wofür man sie verwendet. Wenn der Account lediglich zum reinkucken oder Download verwendet wird ist es vermutlich egal ob jemand Zugang zum Passwort hat. Bei anderen Seiten die z.B. auch private E-Mail-Kommunikation erlauben kann die Verwendung solcher Adressen jedoch zum Sicherheitsrisiko werden. Man bleibt dann doch länger angemeldet als gedacht, tauscht private vertrauliche Infos aus und ein Fremder erhält jederzeit Zugriff auf die Kommunikation.
Sehr witzig finde ich in diesem Zusammenhang den Schluss der Mail: „If you received this email but did not yourself request the information, then rest assured that the person making the request did not gain access to any of your information“. Leider falsch.
Nachtrag:
Vielleicht bin ich ja paranoid aber ich stelle mir gerade vor, der Rollstuhlfahrer im Innenministerium hätte gerne Zugriff auf so einen Account von mir. Dann könnte er doch ganz einfach die Datenkommunikation zu meinem Mailserver abhören, mir mein Passwort zuschicken lassen und hat damit auch mein Passwort für den Account.
1. März 2008
Das Ausspionieren der Nachbarn wird immer einfacher. Sowohl optisch als auch akustisch.
Spiegel Online berichtet beispielsweise, dass Forscher der Hochschule Saarbrücken mit einer Teleskopausstattung für etwa 1000 Euro aus 10 Meter Entfernung noch Bildschirminhalte anhand der Reflexion auf einer Kaffeetasse erkennen konnten. Zur Not geht das sogar mit den Brillengläsern des Anwenders. Besonders gut sollen Teekannen funktionieren. Ich frage mich, was ist daran neu? Jeder erfahrene eBay-Nutzer weiß, dass man die Artikel die man da einstellt nicht nackt fotografieren darf. Viel spannender finde ich ja die neue Transparenz bei vielen Banken. In Berlin ist mir neulich eine Dresdner Bank aufgefallen mit riesigen Schaufenstern. Da sitzt der Bankmitarbeiter auch mit dem Rücken zum Fenster und von der Straße aus kann man seinen Bildschirm beobachten. Ich hatte leider gerade keinen Fotoapparat dabei.
Für noch billiger, nämlich rund 900 USD haben laut Golem zwei US-Hacker ein Gerät gebaut, mit dem sich angeblich verschlüsselte Mobilfunkgespräche aus dem GSM-Netz abhören lassen. Natürlich ist das verboten, aber bei dem Preis sinkt die Hemmschwelle ganz massiv. Das ist wie bei den Radarwarnern. Bei GSM wird nämlich leider die nicht ganz so tolle A5-Verschlüsselung eingesetzt (meistens mit 64 Bit) und die kann zumindest theoretisch schon länger gebrochen werden. Der Rest ist eigentlich nur eine Frage intelligenter Software und guter Hardware. Insbesondere in Deutschland könnte das interessant sein. Endlich können auch die Bürger mal die Politiker abhören und da die Polizei bis heute keinen Digitalfunk bekommen hat, nutzen die auch oft und gerne noch das Mobiltelefon.
Naja, mal abwarten was wir auf der Black Hat zu hören bekommen.
Ich warte auch immer noch auf eine Bauanleitung so um die 1500 Euro für einen funktionsfähigen van-Eck Receiver. Ach ja, Cryptonomicon will ich Euch mal wieder nahelegen. Der und Snow Crash, beide von Neal Stephenson sind extrem lesenswert!
24. Februar 2008
Unglaublich, der oberste Datenschützer in Deutschland, der Bundesbeauftragte für den Datenschutz Peter Schaar hält sich endlich auch mal an das Bundesdatenschutzgesetz, das er bekanntlich illegal großzügig auslegt und das ist in Deutschland sogar eine Heisemeldung wert.
Worum geht es? Um die Speicherung von IP-Adressen auf Webservern von Bundesbehörden. Bekanntlich wurde unserer Justizministerin Frau Zypries unter Androhung eines Ordnungsgeldes, ersatzweise Gefängnis verboten, IP-Adressen auf ihren Webservern (genauer denen des Bundesjustizministeriums) zu speichern.
Und jetzt endlich, vermutlich auch erst nach der Drohung, ebenfalls verklagt zu werden erklärt Herr Schaar auf seiner Webseite, Netzkennungen nur noch anonymisiert zu speichern.
Halloooo, Herr Schaar? Sie hätten die IP-Adresse niemals speichern dürfen. Noch nie. Wegen des Bundesdatenschutzgesetzes. Für das Sie zuständig sind. Aber Gesetze sind anscheinend auch nur für andere da, Sie haben da bekanntlich Ihre eigene Interpretation. Eigentlich sollte man Ihnen in den Arsch treten, wenn Sie schon nicht den Anstand haben, zurückzutreten. Setzen, 6.
22. Februar 2008
Man hört ja immer wieder davon, dass der US Zoll sich Notebooks von einreisenden Touristen oder Geschäftsleuten unter den Nagel reißt und heimlich die Daten kopiert. Insbesondere für europäische Manager ist das inzwischen ein reales Risiko und Industriespionage weit verbreitet. Das Problem ist inzwischen so weit verbreitet, dass sich die Electronic Frontier Foundation damit beschäftigt:
„The Supreme Court has ruled that customs and border agents may perform „routine“ searches at the border without a warrant or even reasonable suspicion, but EFF and ACTE argue that inspections of computers are far more invasive than flipping through a briefcase.“
Ich hätte ja bis vor wenigen Minuten gesagt, in den USA löst Festplattenverschlüsselung das Problem noch. In Großbritannien jedoch muss man inzwischen die Verschlüsselungskeys rausrücken, wenn man nicht ins Gefängnis will. Heute taugt nicht mal mehr die Festplattenverschlüsselung (außer man macht das in spezieller Hardware, aber dazu im nächsten Beitrag mehr.
Irgendwie bleibt mir da nur noch eine Idee … das relevante System als VMware-Image auf einen schnellen Webserver legen (z.B. auf Amazon S3), mit dem leeren Rechner in die USA einreisen und von dort das Image verschlüsselt nachziehen.
