19. November 2007
Privacy ist ja sowas von old school, wen interessiert denn das noch? Ein paar Beispiele:
- Apple fällt gerne mal unangenehm auf, wenn es um das iPhone geht. Bei einige Anwendungen wie beispielsweise der Abfrage der Börsenkurse oder des Wetters wird eine IMEI-Nummer an Apple übertragen. Das scheint zwar nicht die IMEI des Telefons zu sein, notwendig ist die Übertragung aber trotzdem nicht und sollte daher mit Blick auf die im Bundesdatenschutz geforderte Datenvermeidung unterbleiben.
- Facebook wiederum observiert gerne mal, wo die User so im Web surfen. Von dritten Plattformen wird das Surfverhalten automatisch an Facebook gemeldet. Die Meldung erfolgt sogar, wenn der Facebook-Nutzer die Ausgabe dieser Daten in seinen Optionen abgeschaltet hat.
- World of Warcraft wiederum kommt mit einer Software („Warden“) zum Schutz der Spielintegrität, die verschlüsselt und für jeden Anwender unterschiedlich ist (und regelmäßig verändert wird), so dass kein Nutzer mehr sicher sein kann, was Warden tatsächlich macht. Vermutlich werden keine Daten ausspioniert aber leider kann das auch niemand verifizieren um sicher zu gehen.
Ich versuche ja konsequent (auch wenn das nicht immer geht) solche Produkte zu meiden. Insofern kein Apple iPhone kaufen (ist eh nur Hype), nicht World of Warcraft spielen (interessiert mich nicht) und von Facebook, StudiVZ und Co. lasse ich weitgehend die Finger weg (ausgenommen Xing, aber ich pass auf was da steht).
Andererseits frage ich mich (z.B. auch bei HD-DVD und Blu-ray) langsam schon, ob die großen Konzerne den Bürger nur noch für Cashvieh halten und sich nicht mehr um grundlegende Rechte scheren müssen? Aber naja, der Bundesdatenschutzbeauftragte Schaar hat ja auch (unter Verkennung bzw. großzügigen Ignorierens der Rechtslage) den Providern erlaubt, Verbindungsdaten zu speichern selbst wenn sie nicht zu Abrechnungszwecken benötigt werden. Was will man da noch erwarten.
Eigentlich soll dieses Blog ja werbefrei bleiben. Eigentlich, weil ich natürlich auch ein wenig Werbung für meinen Arbeitgeber, die NESEC GmbH mache. <schamloses Anpreisen>Wer einen Penetrationstest qualifizierten durchgeführt haben möchte …</schamloses Anpreisen>
Jetzt gibt es rechts eine Ausnahme für den AK Vorratsdatenspeicherung:
Und das ist auch gut so.
13. November 2007
C:\>nslookup
> set type=NS
> arcor.de
Server: dns1.meinprovider.de
Address: 1xx.7.30.125
Nicht autorisierte Antwort:
arcor.de nameserver = ns2.arcor-ip.de
arcor.de nameserver = ns3.arcor-ip.de
arcor.de nameserver = ns1.arcor-ip.de
ns3.arcor-ip.de internet address = 145.253.3.171
ns2.arcor-ip.de internet address = 145.253.2.80
ns1.arcor-ip.de internet address = 145.253.2.19
> server ns1.arcor-ip.de
Standardserver: ns1.arcor-ip.de
Address: 145.253.2.19
> ls -d arcor.de > arcor-zone.txt
[ns1.arcor-ip.de]
#
Erhalten 388 Eintrags.
>
Sehr schön, man kann sich auf einen Schlag die komplette Arcor-Zone ziehen. Das betrifft übrigens gerade alle Arcor-Kunden, deren Secondary DNS-Server auf einem der drei Arcor-Nameserver gespeichert ist.
12. November 2007
… zumindest wenn man sich an Salesforce wendet. Da hat ein Mitarbeiter doch tatsächlich eine Kundendatenbank rausgegeben.
„Salesforce management said it has been re-educating its staff to the dangers of phishing.“
Das kursive finde ich jetzt nett. Awareness ist halt alles.
Aber meine Rede ist ja schon die ganze Zeit, man gibt keine solchen Daten extern. Egal ob es sich um ein Blog oder sonstige Daten handelt. Ich könnte wetten, auch in den Salesforce-AGB steht drin, dass die Daten eh Salesforce gehört haben und Kunden halt Pech hatten.
4. November 2007
Maskierte und bewaffnete Räuber haben das Rechenzentrum des US-Hosters C I Host gestürmt und diverse Server von C I sowie von Kunden mitgenommen. Laut Medienberichten ist das bereits der vierte Vorfall in nur zwei Jahren. Wenn man sich die Liste der Sicherheitsmaßnahmen anschaut, wundert man sich natürlich schon, wie solche Vorfälle passieren können. Andererseits wurde ein Mitarbeiter mit einer Waffe bedroht, gefesselt und niedergeschlagen, ich denke gegen bewaffnete Räuber würde sich in Deutschland auch kaum ein Hoster zur Wehr setzen können.
Interessant finde ich in diesem Zusammenhang die Reaktion des Hosters. Mehrere Kunden die Hardware und möglicherweise sensible Daten durch den Raub verloren haben, beschwerten sich, nicht informiert worden zu sein. Angeblich habe einem Kunden der Support erzählt, seine (geklauten) Server seien nicht erreichbar, weil ein Router defekt sei. Wenn das stimmt, wäre das ein Grund dieses Unternehmen auf die schwarze Liste der Firmen zu schreiben mit denen man nie wieder in Geschäftsbeziehungen treten möchte.
Andererseits bestätigt das mal wieder das Schichtenmodell aus dem BSI Grundschutz:
- Schicht 1: Übergreifende Aspekte
- Schicht 2: Infrastruktur
- Schicht 3: IT-Systeme
- Schicht 4: Netze
- Schicht 5: IT-Anwendungen
Es macht am Ende des Tages einfach wenig Sinn, Firewalls, Virenscanner und Intrusion Detection Systeme zum Schutz der Daten installiert zu haben, wenn die komplette Hardware mit allen Daten verschwindet. Das Absichern der Infrastruktur ist nun mal Voraussetzung für einen sicheren IT-Betrieb. Und, das betrifft nicht nur die Server selbst sondern natürlich auch Backup-Bänder die ebenfalls wichtige unternehmenskritische Daten enthalten.
Ein paar Beispiele:
Ich denke wir werden weitere Schlagzeilen in den nächsten Wochen und Monaten erleben.
2. November 2007
Ich fand heute folgenden Text in einer SMS:
„INFO vom CHATPROVIDER es wurde eine Nachricht,Foto gespeichert antworte mit JA oder Stop an die 0151 53148843 um diese abzurufen.. diese Nachricht ist kostenlos“
Absender: +4916096973270
Die Lösung ist einfach … die Bundesnetzagentur bietet hier zum Download ein Formular „Mitteilung über Rufnummernspam (PDF, 137 KB) an. Kurz ausgefüllt, hingefaxt, kostet nur ein paar Cent und das ist mir die Belästigung wert und fertig.
1. November 2007
Was für eine Überraschung … ISACA hat festgestellt, dass viele Mitarbeiter in den Unternehmen die Policies und Regelungen zur IT-Sicherheit schlicht ignorieren.
„More than 63 per cent were don’t really care about the security of their information while at work.“
Bin ich jetzt der einzige, den das nicht überrascht? Ich muss vielleicht doch mal einen größeren Abschnitt zu Awareness hier einstellen
(mehr hier oder hier)
31. Oktober 2007
eBay entwickelt sich langsam so in Richtung eines schweizer Käses … wenn irgendjemand Daten braucht, einfach bei eBay reinhacken und fertig. Ich hab mal ein paar Links von Heise zusammengestellt:
Also neee, oder?
Motorola hat angekündigt, SMS scannen zu wollen um passend für den Nutzer Werbung einblenden zu können. Im Grunde scheint das erst einmal nichts anderes zu sein als Google mit Google Mail anstellt. Die Inhalte werden maschinell analysiert und passende Werbung dazu mit angezeigt. Motorola hat angekündigt, ein Opt-In-Verfahren zu implementieren, d.h. der Nutzer muss zustimmen, dass seine SMS ausgewertet werden.
Interessanterweise scheint die Handynutzung anders wahrgenommen zu werden als die E-Mail-Nutzung. Jedenfalls laufen im Gegensatz zu Google Mail die Datenschützer gegen das Vorhaben Sturm. Insbesondere die Verknüpfung von SMS-Inhalten mit den Positionsdaten könnte Bauchschmerzen bereiten. Andererseits wird sich SMS-Werbung nicht auf Dauer vermeiden lassen. Spätestens wenn Google mit einem kostenlosen Handy wirbt, ist die Verlockung groß.
Mich wundert ja eh, warum Schäuble und Co. nicht längst in den Markt eingestiegen sind. Mit kostenlosen werbefinanzierten SMS wäre mindestens die Hälfte der Bevölkerung sofort bereit, die Inhalte auch einer externen Firma zur Verfügung zu stellen. Warum also nicht dem Verfassungsschutz? 🙂
(via Golem)
21. Oktober 2007
Einer Brauerei in Neuseeland ist ein wichtiges Notebook geklaut worden, schreibt The Inquirer. Die Croucher Brewing Company hat zwar Backups aber die sind offensichtlich veraltet. Deshalb wurde den Dieben Freibier versprochen:
„We will supply that person with one dozen Croucher Brewing boutique beer every month for the rest of their life!“
Bisher hat sich jedoch keiner gemeldet, offensichtlich ist die Biermenge zu gering … hicks. Ich bin sicher, die Notebookverlustspezialisten von Ernst & Young könnten helfen.
