Digitales Restriktionsmanagement, d.h. die Software die gerne mal zur Gängelung der Kunden eingesetzt wird schlägt mal wieder zu. Die Bösen sind Apple und Adobe.
Mit dem Update auf QuickTime 7.4 hat Apple eine neue DRM-Version eingeführt, die an Quicktime-Filme etwas andere Anforderungen stellt. Videos, die mit Adobes Premier und After Effects erstellt wurden, können plötzlich nicht mehr geöffnet werden. Sogar die eigenen Filme nicht mehr:
„After Effects error: opening movie – you do not have permission to open this file (-54).“
Und Apple Quicktime erlaubt es leider nicht, auf eine ältere Version zurückzugehen. Ohne Time Machine hat man plötzlich ganz schlechte Karten. Am besten packt man einfach kein Quicktime auf den Rechner. VLC tut es für mich auch.
Bei den eigenen zahlenden Kunden ist Apple aber auch nicht zimperlich. Wer dumm genug war, sich in den letzten Jahren mittels iTunes eine nette Sammlung DRM-geschützter Lieder zu kaufen kuckt heute verdientermaßen blöd aus der Wäsche. Inzwischen bieten nämlich fast alle Musicshops im Internet auch ungeschützte MP3s an. Nur leider lässt Apple die Kunden die bereits gekaufte Musik nicht einfach als MP3 herunterladen. Die Konvertierung eines Liedes vom DRM-verseuchten AAC-Format in MP3 kostet pro Lied extra. Und … man kann nur alle Lieder zusammen konvertieren, bei ein paar hundert Liedern im iTunes Store ein richtig teurer Spaß. Mit Tools aus dem Internet kann der Kopierschutz natürlich entfernt werden aber legal ist das nicht. Man kann nur hoffen, dass jetzt auch der dümmste kapiert, dass er mit DRM nur beschissen wird.
Adobe profitiert gerade davon, dass YouTube und Co. ihre Filme per FlashMovie vertauschen und Flash plötzlich das dominierende Format im Internet ist. Allerdings kann man die ganzen FlashMovies auch runterladen, lokal anschauen, Ausschnitte bearbeiten, kurz das ganze „rip, mix and burn“ Programm. Und was tut Adobe folglich? DRM in Flash integrieren. Jetzt ist das Format weit genug verbreitet, jetzt kann man die Schrauben anziehen. Demnächst wird man Flash-Filme nicht mehr herunterladen oder nur noch einmal oder zweimal anschauen können. Oder gleich zahlen müssen. Was Adobe meiner Ansicht nach vergisst ist, dass es genug Alternativen gibt. Man kann nur hoffen, dass die Nutzer klug genug sind, ein DRM-verseuchtes Flash schnell fallen zu lassen.
Ansonsten ist leider weiterhin der Ehrliche auch der Dumme.
Die Süddeutsche Zeitung hat gerade ein Internet-Quiz, mit lustigen Fragen und einfachen Antworten. Dadurch wird zwar keine Personal Firewall installiert und der Rechner auch nicht auto-magisch gepatcht aber man fühlt sich doch gleich viel besser. Und die Antworten sind wirklich so einfach, da muss man einfach alles richtig haben.
Was sind Trojaner?
Was sind Script Kiddies?
Hacker greifen missliebige Gegner gerne mal mit DoS-Attacken an. Was steckt dahinter?
Klauen Cyberkriminelle über gefälschte WWW-Adressen Kontodaten, nennt man das?
Was ist eine Salami-Attacke?
Welche einprägsame E-Mail-Betreffzeile hatte der Computerwurm, der 2000 weltweit Schäden in Milliardenhöhe anrichtete?
Die drei beliebtesten Passwörter der Deutschen sind?
Was ist ein Betatest?
Woran erkennt man eine nach dem Sicherheitsstandard SSL („Secure Socket Layer“) verschlüsselte Website?
Was Spam-Mails sind, wissen inzwischen alle. Aber was sind Junk-Mails?
Ok, wenn es keine drei Antworten zur Auswahl gäbe, müsste man gelegentlich ein wenig darüber nachdenken. Aber so … eigentlich sollte man eher sowas fragen:
Wie sieht ein sicheres Passwort aus?
Wie stellt man als Anwender sicher, dass man immer die neusten Patches und Updates auf seinen Rechner bekommt?
Wie installiert und konfiguriert man einen Virenscanner um sich vor Schadprogrammen zu schützen?
Wie richtet man seine Personal Firewall so ein, dass Angriffe aus dem Internet zuverlässig abgewehrt werde?
Wie identifiziert und entfernt man Adware und Spionagesoftware vom Rechner?
Wie installiert man Firefox und wichtige Add-ons wie NoScript und Adblock Plus?
Wie konfiguriert man den Webbrowser so, dass man gefahrlos im Internet surfen kann?
Woran erkennt man Phishing-Webseiten im Internet?
Wie schützt man sich vor Spam und anderen unerwünschten Mails?
Wie schützt man seine persönlichen Daten und seine Privatsphäre bei der Nutzung des Internets?
Das würde dann auch die Überschrift rechtfertigen. Aber so viel wie man für das Quiz klicken muss, da geht es nur noch darum, die Klickzahlen hochzutreiben und nicht darum, wertvolle Informationen zu liefern. Eigentlich traurig bei einem Qualitätsmedium wie die Süddeutsche Zeitung.
Eigentlich interessant. Ich krieg vielleicht im Monat eine Spam-SMS auf mein Handy und gelegentlich faxe ich die dann auch an die Bundesnetzagentur. Mehr SMS-Spam scheint sich nicht zu lohnen, eine SMS kostet Geld und die Antwortquote ist garantiert bescheiden.
Hier steht, in China kriegt der durchschnittliche Nutzer 10 Spam-SMS pro Tag. Ich glaube, ich würde den Telefonanbieter verklagen. Vielleicht ist die Idee, ein paar Cent pro Mail zu bezahlen gar nicht so blöd. Oder man lässt sich für das Spam-lesen bezahlen.
Falls ihr hier zufällig The Register lest, dann kennt ihr den Artikel über die Laptop-Auktion schon. Falls nicht, hier der Text:
„DIFFERENT WAYS YOU CAN STEAL THIS LAPTOP OFF ME:
PAYPAL: Paypal is currently ebays preferred method of stealing high value electrical items off sellers. There are a number of various ways you can use to steal this laptop using paypal.
1: A Fake “Item Not Received” (I.N.R) Claim – All you simply have to do here is purchase my item using an unverified paypal account. Then when you receive the laptop, simply claim that you didn’t receive it at your registered (credit card) and paypal will give you all your money back !
2: A Fake “Item Significantly Not As Described” (S.N.A.D) This is a great way to steal items off sellers. Simply start a dispute after you get the laptop making up some lie about the item being damaged etc – You could use Photoshop to make up fake pictures of damage. Paypal will ask you to send the item back to me, but don’t bother – they never enforce that on buyers and after a short wait you will get all your money back and you will still have the laptop.
3: A fake “Unauthorised Use” Claim – This is a super way of stealing items on ebay and is widely used. Simply claim that someone hijacked your account (paypal & ebay) and that you didn’t order the laptop. Then in conjunction with a fake I.N.R claim you can simply steal the laptop and of course, get your money back.
4: A Stolen Credit card – Of course, ebay make no real attempt to vet any of its buyers, so hey, just register a new ebay account using fake ID information and link it to a paypal account set up with a stolen credit card – and hey presto – A free laptop.
WESTERN UNION
Although officially banned on ebay, fake western union payments are the preferred way for Nigerian Scammers to steal high value electrical items. Simply email me (using pigeon English) telling me that you would like to buy this item using Western Union – Tell me that you would be happy to pay over the odds for the laptop and that it is a present for your mother in law. Then send me a fake western union payment notification and I send you the laptop – Perfect. This method of stealing items off sellers is very widely used on ebay and of course, as ebay do not properly verify buyers its easy to do. Make sure you use Pigeon English as I am really really stupid and it’s bound to fool me.
MUGGING
If you are a traditionalist like me you may prefer a good old mugging. Simply offer to meet me on some dodgy housing estate somewhere and have a load of you mates hiding behind a hedge with a few iron bars. Again, offer to pay me over the odds as there is nothing better than using a sellers greed to bait them into a scam. I would be grateful if you could avoid killing me as this will cause bad publicity for ebay which would be terrible.
GENUINE BUYERS
In the unlikely event that you are actually a genuine buyer then you really should be shopping in a real shop and not this scammers paradise. However this laptop does really exist and is really for sale. You can email me or skype me with suggestions on how we may actually transact this item to both our satisfaction – with both our safety in mind. Don’t even think of buying it using paypal. I’ve only listed it as accepted because ebay run a protection racket that means I have to accept it. If you do pay by paypal I will simply refund your payment and give you a nice new shiny NEG.
FEEDBACK BLACKMAIL
Of course you will no doubt be aware that from May onwards you will be able to blackmail sellers into giving you free P&P / discounts etc. You will be able to give them neg feedback and they will not be able to give you any.. I regret to advise you that because this rule does not come in until May this option of scamming me is not open to you yet.
AUCTION WRECKING
I would grateful if some sad failed traffic warden could report this auction for two reasons
1: Ebay will see this listing and will hopefully close my account, saving me a 180 days wait to do it myself.
2: You will save me listing fees, making this a free advert.
Die Webseite des indischen SmartCOP Antiviren-Herstellers AVsoft Technologies wurde kompromittiert um Schadprogramme zu verteilen. Sehr schön. Ich warte ja immer noch auf kompromittierte Microsoft-Updates.
Das Anmelden hier und da und dort auf diversen Portalen im Internet ist manchmal eine mühsame Angelegenheit. Da gibt es die einen, z.B. Hotmail, Yahoo Mail aber auch diverse Kommentarfunktionen von Blogs, die mit Captchas arbeiten. Captcha ist die Abkürzung für „Completely Automated Public Turing test to tell Computers and Humans Apart“, auf Deutsch etwa „Vollautomatischer, öffentlicher Turingtest um Computer und Menschen unterscheiden zu können“. Ein Turingtest ist wiederum ein Test der der von Alan Turing aufgeworfenen Frage nachgeht, ob Computer intelligent sein können. Vereinfacht unterhält sich dabei ein Mensch mit einem Computer und wenn die Maschine nicht als Maschine identifiziert werden kann, dann ist der Computer intelligent genug. Die Idee eines Captchas ist also, anhand irgendeines Rätsels automatisiert unterscheiden zu können, ob sich am anderen Ende eines Webinterfaces tatsächlich ein Mensch oder eine Programmroutine befindet. In der Praxis ist der Turingtest eigentlich nicht aussagekräftig aber egal.[*] Und Alan Turing kennen wir, denn das war der geniale Mathematiker, der viele Grundlagen der Computertechnik geschaffen sowie im 2. Weltkrieg die deutsche Enigma geknackt hat.
Zurück zu den Captchas. Hotmail, Yahoo Mail und Co. erlauben es echten Menschen, sich dort anzumelden und eine beliebige Mailadresse zu generieren. Außerdem werden solche Mails von vielen Mailservern angenommen und nicht pauschal verworfen, da sehr viele Leute solche Adressen haben. Für Spammer ist das sehr sehr interessant. Über so große Mailer kann man in kurzer Zeit eine Vielzahl von Spam verschicken wenn man einen Mailaccount hat. Der wird zwar relativ schnell wieder geschlossen, aber dann macht man eben den nächsten auf. Nur dumm, dass die Captchas das verhindern sollen.
Dafür werden die Spammer immer kreativer. Es gib inzwischen eine Vielzahl von Programmen, die Captchas automatisch mittels OCR und diversen Algorithmen erkennen können. Die Seite PWNtcha gibt einen guten Überblick des aktuellen Stands. Die meisten auch für Menschen relativ leicht lesbaren Captchas sind längst berechenbar und die, die nicht berechenbar sind, kriegen die meisten Menschen auch nicht auf die Reihe. Von Barrierefreiheit will ich gar nicht erst reden.
The Register berichtet zur Zeit von einem Trojaner, der sich auf Windows-Systemen einnistet und versucht, einen Windows Live Account anzulegen. Das Captcha wird an einen von den Spammern kontrollierten Server geschickt, dort berechnet und der nötige Eingabetext zurückgeschickt. So werden die Live Accounts unauffällig von vielen verschiedenen IP-Adressen angelegt. Klug ist auch, den Algorithmus zum Captcha-Dekodieren nicht in den Trojaner einzubauen, die Captchas könnten sonst zu leicht angepasst werden.
Eine andere Variante ist bei Golem zu finden. Dort haben die Spammer ein Strip-Programm geschrieben, das die Captchas lädt, den gierig lechzenden Spanner an der Tastatur das Captcha dekodieren lässt und anschließend damit einen Spamaccount erzeugt. Sehr cool, so etwas.
Alles in allem bieten Captchas daher längst nicht mehr den benötigten Schutz und nerven statt dessen immer mehr die Anwender, die Captchas oft erst nach dem dritten oder vierten Versuch richtig entziffern können.
[*] In der Praxis fallen Menschen sogar auf die dümmsten automatisierten Programme wie Eliza herein. Ich erinnere mich dunkel an ein automatisches Chatprogramm, dass Leute sogar dazu gebracht hat, persönliche Daten bis hin zu Kreditkartennummern und Kontodaten herauszurücken. Es gibt zwar keinen Computer der intelligenter als alle Menschen sind, aber es gibt immer einen Menschen der noch dümmer als ein Computer ist.
Ich geh jetzt Blade Runner kucken, da kommt auch so eine Art Turingtest zur Identifizierung der Replikanten vor 🙂
Inzwischen trifft es vermehrt seriöse Webseiten, die von irgendeiner dritten Seite Inhalte, beispielsweise Werbebanner einblenden. Eigentlich ist das Thema nicht neu, die erste große Runde machte das Problem 2004 durch die Firma Falk eSolutions. Inzwischen werden gezielt bösartige Werbebanner eingeblendet. Entweder, um nur Nagware auf die Rechner der Nutzer zu bringen wie Heise berichtet oder, was eher wahrscheinlich ist, um die aktuellen Sicherheitslücken in diversen Webbrowsern, in Quicktime oder Java auszunutzen und Schadprogramme direkt auf dem Rechner zu installieren. Selbst Microsoft Expedia war davon betroffen.
Interessant ist die Reaktion der diversen Computerzeitungen. Mit konkreten Hilfestellungen hält sich beispielsweise Heise sehr sehr vornehm zurück. Die britische The Register empfiehlt den Lesern immerhin, Firefox zusammen mit NoScript einzusetzen. Der Grund ist klar. Idealen Schutz bringt erst die Kombination aus Firefox, NoScript und Adblock/Adblock Plus, am besten noch kombiniert mit einer restriktiven Hosts-Datei. Werbebanner die gar nicht erst geladen werden, können nämlich keinen Schaden anrichten und außerdem lädt die Seite deutlich schneller, wenn nicht von diversen anderen Servern irgendwas dazugeladen werden muss. Das Problem dabei, solche Hinweise würden das werbefinanzierte Geschäftsmodell vieler Webseiten zerstören.
Ich persönlich halte solche Drive-by-Schadprogramme für viel gefährlicher als Sicherheitslücken im Internet Explorer oder Klickbetrug bei Google-Ads. Wenn erstmal dem normale Internetsurfer bewusst wird, welche Gefahr durch Werbebanner auf eigentlich harmlosen und seriösen Seiten entstehen kann, dann ist das Geschäftsmodell „werbefinanzierte Webseite“ tot. Und das wäre meines Erachtens schade.
Lösungsansätze?
Nun ja, eigentlich sehe ich nur wenige. Am besten wäre es, zurück zu (relativ) statischer Werbung zu kommen. JPGs und GIFs kann man relativ einfach kontrollieren und richten nur wenig Schaden an. Inzwischen dominieren aber Javascript-aufgemotzte Layer-Ads und Flash-Movies den Werbemarkt und diese Entwicklung lässt sich kaum zurückdrehen. Den Anbietern von werbefinanzierten Seiten bleibt nur, sich den Werbeanbieter genau anzusehen und jede veröffentlichte Werbung bei der Freischaltung und regelmäßig zu kontrollieren. Da jedoch auch das keine 100%ige Garantie gibt rate ich persönlich ja dazu, sich selbst zu schützen. Und das geht anscheinend nur in der Kombination Firefox + NoScript + Adblock/Adblock Plus.
Das steht als große Überschrift auf dem Trend Micro ProtectLetter, Ausgabe Nr. 53 vom November 2007, den ich leider erst heute beim Distributor meines Vertrauens in der Cafeteria gefunden habe.
Ganz großes Kino … habe ich mir gedacht. Jetzt gibt es Viren und Schadprogramme schon für die Playstation 3. Wie gut, dass Trend Micro für uns die Welt rettet. Und ich fühlte mich doch gleich wieder an Password Swordfish erinnert, der Film, der von F5 gesponsort wurde, damit 1,7 Sekunden lang ein leuchtender roter Ball im Bild zu sehen ist. Andererseits … habe ich gestutzt, mir ist von Playstation-Viren doch noch gar nichts bekannt. Handyviren wie Cabir gingen durch alle Zeitungen, da müsste ich über die Playstation was gehört haben. Also Google gefragt.
Es gibt tatsächlich mehrere Viren für die Playstation: „Virus, Die Seuche der Aliens“ beispielsweise. Ein düsteres Endzeit-Szenario mit intelligenten Aliens und schönen Hintergründen, angeblich sogar abwechslungsreich und spannend. Und „Zombie Virus„, in dem man als Spieler mit einem Krankenwagen Überlebende einsammeln und ins Krankenhaus bringen soll. Ich fürchte nur, vor schlechten Spielen schützt uns Trend Micro nicht wirklich.
Im Kleingedruckten des ProtectLetters steht noch: „Gefährliche Webseiten werden blockiert“. Beim Aufruf einer Webseite über die Playstation 3 werden die Adressen offensichtlich an Trend Micro weitergeleitet und mit einer Filter-Datenbank abgeglichen. Dort stehen dann URLs mit „für Kinder ungeeigneten Inhalten“ die blockiert werden können. Vermarktet wird das als „Schützt Ihre Kinder und Ihre Familie vor schädlichen und betrügerischen Webseiten“.
Trend Micro visualisiert das wie folgt:
Also handelt es sich eigentlich um etwas ganz anderes. Geschützt wird gar nicht die Playstation (die schützt sich nämlich sehr gut selber, ist ja kein Windows drauf 🙂 ) sondern der Anwender am Bildschirm. Im Grunde also ein popeliger URL-Blocker. Australien hat für so etwas 51 Millionen Euro bezahlt und ein 16-jähriger den Filter in einer halben Stunde umgangen. Die Computerwoche sieht das offensichtlich ganz ähnlich, dieser Artikel schreibt zum Trend Micro Filter: „Die Freigabe geschieht per Passwort oder über einen geeigneten Workaround, von dem die Eltern vermutlich nie etwas erfahren werden.“ Ich bin begeistert.
Sehr schön auch die FAQ. Die Antwort auf Frage 3 enttäuscht mich allerdings. Wie sollen denn die Kinder Medienkompetenz bekommen, wenn man nicht ab 14 Sexseiten, ab 16 Alkoholseiten und ab 18 Raucherseiten freigeben kann. Und auch die Antwort auf Frage 4: „Um diese Einstellungen zu ändern, müssen Sie Ihr Kennwort eingeben.“ dürfte einige viele Eltern überfordern. Leider ist über die ab April 2008 dafür anfallenden Kosten noch nichts zu erfahren. Interessant wäre der Trend Micro Dienst meiner Ansicht nach sowieso nur, um Seiten wie Marions Kochbuch zu sperren.
Aber es gibt tatsächlich auch Leute im Internet, die nicht so recht verstanden haben, was Trend Micro da anbietet. Vielleicht sollte Aleks M ja weniger Videospiele spielen und mehr lesen? Trend Micro hat den ProtectLetter leider nur bis September 2007 online, die PDFs sogar nur bis 2006. Schade eigentlich.
Der rumänische Künstler Alex Dragulescu hat Schadprogramme grafisch dargestellt:
„Malwarez is a series of visualization of worms, viruses, trojans and spyware code. For each piece of disassembled code, API calls, memory addresses and subroutines are tracked and analyzed. Their frequency, density and grouping are mapped to the inputs of an algorithm that grows a virtual 3D entity. Therefore the patterns and rhythms found in the data drive the configuration of the artificial organism.“
Sehr schön … ich erinnere mich an etwas ähnliches von Zynamics (früher Sabre Security) die 2006 einen Forschungspreis für die graphentheoretische Auswertung von Schadprogrammen mit Bindiff bekommen haben und so unbekannte aber ähnliche Trojaner erkennen können.
