Mitternachtshacking

Danke Golem für die schöne Zusammenfassung:
Warum aus #NieMehrCDU #NichtMehrEU werden könnte

Ach ja, bei uns in Bayern geht auch #NieMehrCSU

C:\Users\cgresser>nslookup 194.78.15.256
Server:  resolver1.opendns.com
Address:  208.67.222.222

Nicht autorisierende Antwort:
Name:    194.78.15.256
Address:  67.215.65.132

Klar, 194.78.15.256 ist keine gültige IP-Adresse wird also als Rechnername interpretiert. Aber wie kann man so einen Hostnamen im DNS registrieren?

Lesenswerter und kompetenter Artikel in der TAZ zum Datenschutz und Datenklau in der Cloud.

Äh ja. Danke für die Warnung, Heise:

Für Ciscos Router-Modelle Linksys EA 2700, 3500 und 4500 steht jetzt ein Firmware-Update bereit, das die Fernsteuerung des heimischen Netzwerks über die Connect Cloud ermöglicht. […] Nachdem wir einen EA4500 mit der Cloud-fähigen Firmware 2.1.38 ausstatteten, ließ sich das Gerät nur noch nach Erstellen eines Connect-Cloud-Kontos in allen Funktionen konfigurieren.

Ich kann verstehen was aus Unternehmenssicht dahintersteckt. Zum einen kann man über die Cloud eine Menge Daten sammeln, beispielsweise wie die Kunden das Interface benutzen, welche Parameter und Optionen eingestellt werden, wo es Probleme gibt usw. Das bietet natürlich die Möglichkeit, einerseits den Kunden bessere Lösungen anzubieten, andererseits kann man den Support verbessern weil sich möglicherweise auch Support-Mitarbeiter auf das Cloud-Interface aufschalten können. Und natürlich kann man die Daten ggf. weiterverkaufen, im Cloud-Interface Werbung einblenden usw. und hat nette Nebeneinnahmen.

Nur, aus Kundensicht geht das gar nicht. Und zwangsweise wie Cisco das macht sowieso nicht. Ok, Cisco hatte 2011 ein schlechtes Jahr und die diversen Umstrukturierungen schlagen auch zu. Aber für das zweite Quartal 2012 gab es schon wieder Rekordzahlen, also hätte Cisco so verzweifelte „wir grabschen uns noch schnell jeden Cent bevor wir Pleite sind und scheiß auf den Ruf“-Aktionen eigentlich nicht nötig. Entweder ist bei Cisco jemand weit oben extrem dumm oder das Management hat jeden Bezug zur Realität verloren. Ich habe ja keine Cisco-Aktion aber wenn, hätte ich John Chambers schon länger mal ausgetauscht. Und mit der Meinung bin ich nicht alleine.

Das Problem ist seit Jahren bekannt: Egal von welcher der vielen Download-Seiten man ein kostenloses Programm runterlädt, bei der Installation wird man bei jedem zweiten Programm gefragt ob man eine dieser vielen ekeligen Toolbars für den Browser mitinstallieren möchte, die keinerlei nützliche Funktionen für den Anwender haben aber die Startseite und die Suchmaschine verändern, das Surfverhalten des Benutzers ausspionieren und ansonsten bei jeder Gelegenheit mit Werbung nerven. Der erfahrene Computernutzer weiß das inzwischen aber ich habe mindestens schon zehn mal bei meinen Eltern die Google-Toolbar, dioe Yahoo-Toolbar, die Ask-Toolbar und ich weiß nicht was noch alles für Dreck deinstallieren müssen. In der Regel bekommen die Softwareentwickler Geld von den Toolbar-Herstellern aber manchmal steckt das Geld auch der Downloadseiten-Betreiber ein und der Softwareentwickler weiß gar nichts davon.

Fyodor, dem Entwickler von Nmap ging es jetzt so. Er hat Beschwerden von Nutzern bekommen die Nmap von C|Net heruntergeladen haben anstatt direkt von nmap.org und sich dabei eine StartNow-Toolbar eingefangen haben die ihre Startseite austauscht und Microsoft Bing als Suchmaschine einstellt. Fyodor ist entsprechend sauer:

„We’ve long known that malicious parties might try to distribute a trojan Nmap installer, but we never thought it would be C|Net’s Download.com, which is owned by CBS! And we never thought Microsoft would be sponsoring this activity!“

Um echte „Malware“ im Sinne der meisten Virenscanner handelt es sich bei der Toolbar natürlich nicht auch wenn Panda, McAfee und F-Secure Alarm schlagen. (Ich vermute wegen einer Heuristik die einen Binary-Wrapper erkennt). Aber unfreundlich ist das eben schon. Nicht umsonst verbietet beispielsweise Microsoft, Patches auf anderen Webseiten zum Download anzubieten. Und wie Fyodor meint ist das auch ein Verstoß gegen seine Markenrechte an Nmap.

Ich rate sowieso jedem, Dateien immer möglichst vom Originalanbieter herunterzuladen. Und auf keinen Fall irgendwelche Toolbars zu installieren. Nmap good. Toolbar bad.

Jetzt ist es öffentlich: Diginotar, eine niederländische Tochter von Vasco, die als Zertifizierungsstelle u.a. Zertifikate für den niederländischen Staat ausstellt ist gehackt worden. Und nicht nur ein bisschen. Bereits am 19. Juli hat Diginotar nach eigenen Angaben einen Einbruch festgestellt und die ausgestellten Zertifikate zurückgezogen. Dabei ist dann vermutlich eines übersehen worden. Dummerweise ein Wildcard-Zertifikat von Google.

Die Angreifer werden in Iranischen Staatskreisen vermutet, weil das falsche Zertifikat zuerst von einem Iraner entdeckt wurde. Wer tatsächlich dahinter steckt wird sich wie üblich nie völlig aufklären und wenn, dann höchstens aufgrund von Indizien aus denen man Rückschlüsse ziehen kann. Für Diginotar sehe ich schwere Zeiten aufziehen. Wenn wie angekündigt wichtige Browser die Zertifikate von Diginotar sperren sind sie für Webseitenbetreiber völlig wertlos. Und da das Zertifikatsgeschäft stark auf Vertrauen basiert ist ein Vertrauensverlust schnell fatal.

Unabhängig davon und egal wie das Diginotar-Problem gelöst wird bleibt das grundsätzliche Problem von SSL jedoch bestehen: Es gibt ein paar hundert mehr oder weniger vertrauenswürdige Zertifizierungsstellen, davon diverse die verschiedenen Staaten gehören. Was in den ganzen CAs passiert, wie die abgesichert sind und welche Leichen noch in den diversen Kellern versteckt sind lässt sich für den normalen Anwender gar nicht feststellen. Im Grunde kann man nur allen SSL-Anbietern gleich wenig vertrauen. Und damit sind die Zertifikate nur noch Snake Oil. Es „sieht“ soll aus, mit dem farbigen Sicherheitsbalken im Browser aber ob das was taugt … keine Ahnung.

Es wird höchste Zeit einen Ersatz für die völlig kaputte SSL-Infrastruktur zu finden.

… sind sie auch schon – geklaut. Ok, der hat auch schon einen Bart bis Meppen.

Aber man kann das leider gar nicht oft genug wiederholen. Oder wie Heise schreibt: US-Behörden können auf die Daten in den europäischen Rechenzentren US-amerikanischer Unternehmen zugreifen. Weil US-Recht das erlaubt. Unternehmen die mit diesem Wissen trotzdem personenbezogene Daten in so eine Cloud hochladen verstoßen damit gegen europäische Datenschutzgesetze, meint Thilo Weichert.

Also: Finger weg von amerikanischen Cloud-Anbietern.

Der Postillon erklärt: Was kann das Nationale Cyber-Abwehrzentrum?

Wenn’s nicht so traurig wäre …

Ok, alt aber schön. Nur leider ist das Grün inzwischen auch verschwunden …

via TDWTF.

Voice-over-IP-Komprimierung mit variabler Bitrate stellt ein Sicherheitsproblem dar, schreibt der NewScientist. VoIP ist generell komprimiert aber normalerweise mit fester Bitrate (ist einfacher zu programmieren und zu berechnen) und wenn man das dann verschlüsselt hat man eine recht sichere Kommunikation. Wenn VoIP in Zukunft mit variabler Bitrate komprimiert kann man anhand der übertragenen Datenmenge auf die Art des Geräusches schließen. Mit einer ausreichen großen Sprachdatenbank hat man dann gute Möglichkeiten zumindest Teile der Sprachübertragung zu erraten, wenn keine obskuren Hintergrundgeräusche stören.

Bisher ist das erstmal ein Forschungsprojekt an der John Hopkins Universität. Ich fürchte aber, NSA & Co. interessieren sich sofort für das Thema. Das PDF der Arbeit hat den Titel: Spot me if you can: Uncovering spoken phrases in encrypted VoIP conversations. Die gleichen Leute haben früher auch schon ähnliche Arbeiten veröffentlicht, beispielsweise 2007 das PDF Language Identification of Encrypted VoIP Traffic: Alejandra y Roberto or Alice and Bob? Wir wird eigentlich nochmal genau in GSM-Netzen verschlüsselt?

via Fefe