4. Januar 2008
Ja, ich weiß … diese Webseite hinterlässt Spuren im Internet die sich nie wieder tilgen lassen. Ich bin quasi auf immer und ewig im Netzwerk. Zum Glück meistens eher unauffällig … weder gehört mir diese Website noch diese hier. Allerdings ist dieser Beitrag von mir (und spiegelt immer noch meine aktuelle Meinung wieder) und hier hatte ich tatsächlich 1995 auf eine E-Mail geantwortet.
Nicht nur Personalabteilungen haben das Thema z.B. bei StudiVZ und Xing/OpenBC inzwischen aufgegriffen und nutzen die unbegrenzten Möglichkeiten zur Auswahl ihrer Mitarbeiter. Auch privat gibt es interessante Möglichkeiten wie die Süddeutsche herausgefunden hat. Suchmaschinen wie Stalkerati (der Name scheint Programm zu sein) erlauben es, in kurzer Zeit relevante Informationen über einen möglichen Bewerber herauszufinden.
Leider nutzen die großen Portale die gesammelten Daten hauptsächlich, um daraus maximalen Gewinn zu ziehen. In der Regel auf Kosten der Nutzer die sich der Gefahren nicht bewusst sind. StudiVZ und Facebook durch personalisierte Werbung, Xing durch Advanced Stalking, eigentlich sollte man sich wo nur möglich abmelden. Oder zumindest mit den eigenen Daten vorsichtig umgehen.
26. Dezember 2007
Nehmen wir einmal folgende Webseite:
Sieht aus wie eine Webseite des Springer-Verlags (nein, nicht der Axel-Springer Verlag mit der Bildzeitung sondern der seriöse Fachbuchverlag!) zum dazugehörigen Buch und richtet sich offensichtlich an Ärzte und Krankenhäuser.
Auf diese Seite bin ich durch folgende Google-Suche gestoßen: „inurl:inspectMBean site:de„. Gleich das zweite Suchergebnis führt zu dieser Seite, allerdings mit einer etwas anderen URL:
Und jetzt wird es spannend. Ich glaube nicht, dass diese Seite aus dem Internet heraus aufrufbar sein sollte. Da hat vermutlich jemand mit den Zugriffsrechten geschlampt. Das soll aber nicht mein Problem sein, der § 202a StGB ist da recht trocken. Und eine Zugangssicherung kann ich beim besten Willen nicht erkennen.
Also weiter im Text: Da handelt es sich offensichtlich um einen JBoss-Server und der Port 8080 wird nicht durch eine Firewall blockiert. Darüber lässt sich wunderschön in die Eingeweide des Servers schauen.
Der Tomcat-Status zeigt uns beispielsweise an, was auf dem Server so los ist. Oder man wirft einen Blick in die JMX Console. Aha, da sieht man z.B. wer so die Mails sendet und empfängt. Oder man sieht, dass eine HyperSonic Datenbank mit sa-User verwendet wird.
Da sind übrigens ganz viele lustige Felder bei denen man was eingeben kann und darunter gibt es so einen „Apply Changes“ Knopf. Ich weiß nicht, ob das so eine gute Idee ist. Vielleicht sollte man da die Finger weglassen, wenn man nicht mit dem § 303a StGB in Konflikt kommen will.
Aber unabhängig davon: Keine Firewall (es handelt sich um einen Shared Server bei einem Provider), Zugriffsrechte für das JBoss-Verzeichnis falsch gesetzt und bei Google steht der Server auch schon im Index … für mich scheint das eine schöne krasse Sicherheitslücke zu sein. Kleiner Tipp, ein Penetrationstest von uns würde solche Lücken finden. Garantiert!
Nachtrag:
Ich wollte Springer das Problem ja per Mail schicken:
RCPT To: <secure@springer.com>
550 5.1.1 unknown or illegal alias: secure@springer.com
RCPT To: <security@springer.com>
550 5.1.1 unknown or illegal alias: security@springer.com
Aber wer sich nicht an RFC 2142 hält, verdient es nicht anders.
25. Dezember 2007
Recht interessant (aber manchmal auch teuer) ist es, wenn Online-Shops in die AGB-Falle stolpern. Eben erst wieder bei einem Händler gesehen, der hauptsächlich über Ebay verkauft. Ich persönlich mag Ebay ja nicht besonders und wenn der Händler auch einen normalen Online-Shop mit günstigen Preisen hat, dann bestelle ich lieber da.
Per E-Mail kam dann die Belehrung mit dem einleitenden Satz:
„Die folgenden Allgemeinen Geschäftsbedingungen (AGB) gelten für alle über den eBay-Marktplatz zwischen <Händlername> und dem Kunden abgeschlossenen Verträge.“
Im folgenden Text stand dann eine soweit ich erkennen konnte rechtlich saubere Widerrufsbelehrung. Nur offensichtlich gilt die gar nicht für mich, ich habe nämlich gar nicht über den Ebay-Marktplatz einen Vertrag abgeschlossen. Ich vermute ja deshalb, ich bin folglich gar nicht korrekt belehrt worden. Und dann gilt der Monat für den Widerruf erst ab Zugang der Belehrung.
Sehr praktisch. Wenn die gekauften Sachen in einem Jahr günstiger sind (bzw. mehr Kapazität zum gleichen Preis haben) gebe ich das heute gekaufte einfach unter Hinweis auf die fehlende Belehrung zurück und kauf mir für das Geld was neues.
Nachtrag:
(So unfair bin ich ja gar nicht. Ich hab dem Händler per Mail einen Hinweis geschickt … mal sehen ob er das liest.)
24. Dezember 2007
lustig …
das funktioniert über die WLAN-Funktion des Telefons sogar, wenn gar keine SIM-Karte eingelegt ist. Vielleicht sollte ich bei Gelegenheit eine Mobile-Version des Blogs anlegen? 🙂
23. Dezember 2007
Ein spannendes Kryptorätsel und vermutlich ein einziger großer Fake. Telepolis hat gerade einen ganz netten Artikel dazu.
Angeblich hat Thomas Jefferson Beale den Fundort eines großen Schatzes in drei verschlüsselten Dokumenten versteckt und dem Hotelier Robert Morriss zur Aufbewahrung übergeben. Erst ein Dokument wurde entschlüsselt, die anderen beiden, die angeblich den Fundort des Schatzes verraten sind weiterhin verschlüsselt.
Die Originaltexte sind z.B. bei Wikipedia zu finden.
Neben der Beale-Chiffre gibt es eine Reihe weiterer, bisher unentschlüsselter Dokumente. Dazu gehört beispielsweise auch das Voynich-Manuskript. In diesem Zusammenhang empfehle ich auch gerne nochmal Cryptonomicon von Neal Stephenson.
21. Dezember 2007
Eigentlich kaum überraschend, dass die Erkennungsrate der Virenscanner schlechter wird. Das Computermagazin c’t hat die gängigen weit verbreiteten Virenscanner getestet und viele schneiden deutlich schlechter in der Erkennung ab als vor einem Jahr.
Korrekt ist natürlich, dass die Malware-Szene immer professioneller wird, ich habe das hier ja auch schon angedeutet. Vor der Veröffentlichung werden die Schadprogramme auf Webseiten wie Virustotal oder AvCheck auf ihre Erkennbarkeit getestet und zumindest AvCheck bietet einen kostenpflichtigen Service der garantiert, dass die Schadprogramme nicht an die Virenscannerhersteller weitergegeben werden. Erschreckend ist aber auch, dass die Scanner mit ihren Heuristiken Schadprogramme nicht mehr erkennen, die sie vor einem Jahr noch erkannten.
Beim Behaviour-Blocking konnte nur ein Produkt, F-Secure, überzeugen während die Heuristik von Esets NOD32 mit 68% der unbekannten Schädlinge die beste Erkennungsrate aufwies. Kaspersky und BitDefender gehören laut The Register auch zu den besseren Produkten.
Das einzige was mich erschreckt ist, dass F-Secure auch Computer Bild Testsieger bei den Online-Virenscannern geworden ist. Und das ist normalerweise ein Hinweis, dass ein Produkt für den professionellen Einsatz gar nicht zu gebrauchen ist.
Ach ja … Whitelists irgendwer?
IT-Security per Gesetz? Eine Polemik.
Ok, das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI, nicht zu verwechseln mit BSE) befindet sich gelegentlich in einem Morphischen Feld, das verhindert einen klaren Bezug zur Realität herzustellen. Das es aber mit BSI-Präsident Dr. Udo Helmbrecht so rapide abwärts geht, war nicht abzusehen.
In einem Interview von Technology Review sagte er laut Heise in einem Interview:
„Wenn das im Wettbewerb und auf freiwilliger Basis funktioniert, brauchen wir keine gesetzlichen Regelungen. Wenn man allerdings sieht, dass man Themen wie Phishing oder Trojaner oder Bot-Netze kurzfristig nicht in den Griff bekommt, dann muss man sich andere Schritte überlegen“, sagte Helmbrecht. Ebenso stelle sich die Frage, ob das BSI eine Art Revisionsrecht bekommen sollte, „um nachzuschauen, ob das, was gemacht werden sollte, wirklich gemacht wird“.
Oder anders ausgedrückt, Helmbrecht hätte gerne eine gesetzliche Regelung die es Unternehmen in der freien Wirtschaft vorschreibt, welche IT-Sicherheitsmaßnahmen notwendig und zweckführend sind und das BSI würde dann zu einer Mammutbehörde ausgebaut, die das dann alles kontrollieren sollte.
Ich will mir das gar nicht weiter ausmalen. Alleine die weltfremde Sicht, dass eine „kleine Institution“ (PDF) mit drei Mitarbeitern ihre IT-Sicherheit nach BSI Grundschutz organisieren soll ist so 100% daneben, das kann sich nur ein Beamter einer Behörde ausdenken, die seit Jahren nicht mehr mit realen IT-Abteilungen zu tun hatte. Vermutlich würde die Helmbrecht’sche IT-Sicherheit verlangen, nur noch BSI-zertifizierte Firewalls (z.B. GeNUA, die Kisten sind so sicher, die muss man neu booten wenn man eine Regel oder das Routing ändert, damit niemand im laufenden Betrieb daran herumfummeln kann … ich stelle mir das gerade in einer echten Produktivumgebung vor!), BSI-zertifizierte Virenscanner (gibt es leider nicht, macht aber nichts), BSI-zertifizierte IPS (gibt es auch nicht) und BSI-zertifizierte Hacking-Tools (die dann hoffentlich vor dem § 202c schützen).
Ist das BSI zufällig auch für die IT-Sicherheit im Bundeskanzleramt zuständig? Dann ist mir das mit den chinesischen Trojanern die jetzt unter Verschluss gehalten werden auch klar. Wahrscheinlich plant Herr Dr. Helmbrecht IT-Sicherheit nach dem Monte Carlo Verfahren zu implementieren … naja, damit kennt er sich ja aus.
20. Dezember 2007
From - Wed Dec 19 00:48:45 2007X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <postmaster@swa.army.mil>
X-Spam-Checker-Version: SpamAssassin 3.2.1 (2007-05-02) on XXX.XXX.XXX
X-Spam-Level: ***
X-Spam-Status: No, score=3.6 required=5.0 tests=BAYES_99,RDNS_NONE
autolearn=no version=3.2.1
Delivered-To: XXX@XXX.XXX
Received: (qmail 32945 invoked from network); 18 Dec 2007 18:52:49 -0000
Received: from unknown (HELO XXX.XXX.XXX) (XXX.XXX.XXX.XXX)
by XXX.XXX.XXX with AES256-SHA encrypted SMTP; 18 Dec 2007 18:52:49 -0000
Received: (qmail 22785 invoked by uid 4207); 18 Dec 2007 18:52:48 -0000
Delivered-To: XXX@XXX.XXX
Received: (qmail 22781 invoked from network); 18 Dec 2007 18:52:48 -0000
Received: from unknown (HELO XXX.XXX.XXX) (XXX.XXX.XXX.XXX)
by XXX.XXX.XXX with AES256-SHA encrypted SMTP; 18 Dec 2007 18:52:48 -0000
Received: from bhubb3afgn002 (bhubb3afgn002-2.swa.army.mil [214.13.0.13])
by XXX.XXX.XXX (XXX) with ESMTP id 96C5811F8089
for <XXX@XXX.XXX>; Tue, 18 Dec 2007 19:52:47 +0100 (CET)
MIME-Version: 1.0
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: 7bit
Subject: Rename .zip to .zzz
To: XXX@XXX.XXX
Message-Id: <20071218195944.A1618324019@bhubb3afgn002>
Date: Tue, 18 Dec 2007 19:59:44 +0000 (WET)
From: postmaster@swa.army.mil
You have tried to send a .zip file through the Army
Email Network. Per NETCOM 9TH ASC TECHCON
Implementation Memorandum Number 2004-011a archive
file types are blocked(.zip,.rar,etc), but if this is
a legitimate file please rename it to .zzz and resend
it.
(via hier und hier)
19. Dezember 2007
Amazon S3 (Simple Storage Service) ist eigentlich ein cooler Dienst …
„Amazon hat S3 mit dem erklärten Ziel gestartet, Entwicklern eine günstige Speicher-Infrastruktur zur Verfügung zu stellen. […] Dazu verspricht Amazon Ausfallsicherheit, schnelle Verfügbarkeit, Einbindungsmöglichkeiten in Web-Applikationen und dergleichen mehr. Doch das beste Argument für S3 ist und bleibt der Preis: Nutzer zahlen 15 US-Cent pro Gigabyte Speicherplatz pro Monat und 20 Cent pro Gigabyte verbrauchter Bandbreite – und zwar ganz nach Bedarf. Zusätzliche Fixkosten gibt es nicht.“
Nur, die eigenen Daten liegen halt jetzt Offsite, d.h. bei Amazon oder einem anderen vergleichbaren Anbieter. Und jetzt wird es wieder spannend. Nein, diesmal meine ich gar nicht den Fall der aneignenden AGB, eher, was ist wenn z.B. eine Behörde Zugriff auf die Daten fordert? Das muss gar nicht mal eine deutsche Behörde mit korrekter von einem Richter ausgestellten Durchsuchungserlaubnis sein, das können gerne auch US-Behörden sein, die sich die Erlaubnis zum Zugriff gerne mal selbst ausstellen.
The Register hat unter der Überschrift „don’t be evil“ die wichtigsten Knackpunkte zumindest aus amerikanischer Sicht zusammengestellt.
„So what happens when Google gets a subpoena or court order for my documents and spreadsheets – whether in a civil or a criminal case? As noted, the law generally requires an entity to produce any „evidence“ – including documents and records – within its possession, custody or control. So my records are in the „possession“ of Google in the same way that, if I left a smoking gun in your living room, the cops could either search your house for the gun, or get a subpoena compelling you to give up the gun.“
Für jeden, der erwägt z.B. seine Backups extern zu speichern (und ja, ich gehöre auch dazu) ist der Artikel von Mark Rasch, früher im US Justizministerium Chef der Computer Crime Unit, ein klares „must read“!
Natürlich ist es sinnvoll und notwendig, alle Daten vor der Übertragung zu verschlüsseln. Aber das hilft inzwischen auch nur eingeschränkt weiter, wie spätestens der Hushmail-Fall oder die nächste Reise nach Großbritannien zeigen werden.
18. Dezember 2007
