17. September 2007
Manchmal sollte man besser nicht weiter nachbohren, sonst findet man lauter Kuriositäten.
Die Chicago Sun-Times verbietet ihren Lesern in den „Terms of Use“ die Nutzung von Ad-Blockern:
5. Your Use Of The Web Site
As a user of the Web Site, you agree that you will not:
- cover or obscure any banner or other advertisement on the Web Site;
Der Blogger Danny Carlton hat sogar ein Skript implementiert, das gezielt Firefox-Nutzer mit AdBlock bzw. AdBlockPlus aussperrt. CNet hat einen netten Artikel zu dieser Problematik.
Umgekehrt rüsten auch die Werbefuzzis auf. Buenos Dias Elias beschreibt, wie man Werbung trotz Adblocker anzeigen lassen kann.
Ich warte ja auf die ersten Prozesse in den USA. Da wurde 1979 schon Betamax verklagt, da die Nutzer Werbung durch Vorspulen überspringen können (übrigens erfolglos).
16. September 2007
Ich schrieb bereits darüber, warum ich mein Blog lieber selbst hoste und es niemand anderem anvertraue. Das was ich schreibe gehört so erstmal mir, zumindest was das deutsche Urheberrecht dazu sagt und jede anderweitige Nutzung (ausgenommen Zitate) ist daher erstmal unzulässig. Klar, in der Praxis interessiert nicht groß, was ich hier schreibe aber ein gewisser abstrakter Schutz vor Missbrauch ist zumindest gegeben.
Besonders krass ist der Fall jetzt bei unseren „Don’t be evil“ Freunden von Google.
Google bietet Nutzern die kostenfreie Möglichkeit, mittels Google Text & Tabellen Dokumente und Kalkulationen auf den Servern von Google zu erstellen. Die dort von vielen Nutzern erstellten Informationen sind vielleicht sogar teilweise vertraulich, auf jeden Fall aber nicht für jeden gedacht. Selbst wenn es im Prinzip unwichtig ist, geht das andere Leute gleich gar nichts an.
Auch hier hilft wieder ein Blick in die von Google verfassten AGB, die jeder Nutzer akzeptieren muss. In der Fassung vom 18.12.2006, noch gültig am 16.09.2007 steht darin unter Punkt 11.1 folgender Abschnitt:
„Durch Übermittlung, Einstellung oder Darstellung der Inhalte gewähren Sie Google eine dauerhafte, unwiderrufliche, weltweite, kostenlose und nicht exklusive Lizenz zur Reproduktion, Anpassung, Modifikation, Übersetzung, Veröffentlichung, öffentlichen Wiedergabe oder öffentlichen Zugänglichmachung und Verbreitung der von Ihnen in oder durch die Services übermittelten, eingestellten oder dargestellten Inhalte.“
Faktisch bedeutet das, alle bei Google Text & Tabellen eingestellten Daten und Informationen kann Google beliebig weiterverwenden, veröffentlichen, damit werben und da die Lizenz unwiderruflich ist, kann Google die Daten sogar noch nutzen, wenn sie aus Google Text & Tabellen vom Nutzer längst wieder gelöscht wurden.
Laut Golem behauptet Google zwar, das sei so nicht gemeint aber wenn es halt doch zum Streit kommt, gelten die schriftlich fixierten AGB und der Nutzer ist der Dumme.
Wenn das nicht „evil“ ist, was dann?
15. September 2007
Disclaimer: Achtung, enthält möglicherweise jugendgefährdende Fotos und Dateien 🙂
Ich finde das ja durchaus interessant. Da bekomme ich also (mühsam aus dem Spamordner gefischt) folgende E-Mail:
Die liebe (mir unbekannte) Maria Webber hat also eine Webseite aufgesetzt, und lädt mich ein ihre Bilder zu betrachten. Die Webseite selbst sieht so aus (Unkenntlichmachung von mir, ich weiß nämlich nicht, ob die Dame mit der Veröffentlichung des Bildes einverstanden ist oder ob das Bild irgendwo einfach geklaut wurde):
Beim Anklicken von „Andere Fotos finden Sie im Archiv“ bekommt man eine Datei „photos.exe“ (ZIP-File, Achtung Download auf eigene Gefahr) angeboten. Ich habe die Datei an Virus Total geschickt, um sie testen zu lassen, nachdem mein lokaler Virenscanner nichts gefunden hat. Das Ergebnis ist relativ eindeutig:
Zumindest 10 der vorgeschalteten Virenscanner kommt die Datei suspekt vor, im Allgemeinen wird ein Trojan Dropper (d.h. ein Programm, das weiteren Schadcode nachlädt) mit dem Namen PolyCrypt erkannt.
Mich beeindruckt ja der Aufwand, mit dem das Verbreiten von Schadcode inzwischen erfolgt. Früher wäre die Datei einfach als Attachment in der Mail enthalten gewesen. Heute setzen die Angreifer eigene Webseiten auf (ok, enthält nur ein Photo, aber die URL muss zumindest registriert werden), verbreiten passenden Spam und warten darauf, dass die nichtsahnenden Nutzer sich den Schadcode selbst auf den Rechner laden.
Ich bin mir sicher, das Verfahren lässt sich auch hervorragend für gezielte Social Engineering Angriffe gegen Unternehmen missbrauchen. Einfach eine ähnlich klingende Domain registrieren, eine passende Mail gezielt an einzelne Mitarbeiter verschicken und abwarten, was passiert …
Anmerkung: AntiVir 7.06.00.05 vom 06.09.2007 erkennt den Schadcode noch nicht, AntiVir 7.06.00.10 vom 15.09.2007 erkennt den Schadcode. Da sieht man mal wieder, wie wichtig aktuelle Virenscanner-Updates sind. Auch interessant, AntiVir sucht inzwischen nach 1071077 Virenstämmen, über 1 Million, schon krass. Vielleicht doch langsam Whitelists einführen?
13. September 2007
Zufällig entdeckt:
Im United States Department of Justice gibt es eine eigene Abteilung „Computer Crime & Intellectual Property Section„. Der Schwerpunkt scheint wie in den USA zur Zeit üblich auf der Intellectual Property zu liegen. So wurde das auf der Homepage verlinkte Manual „Prosecuting Intellectual Property Crimes“ im Oktober 2006 auf den neuesten Stand gebracht, das Manual „Prosecuting Computer Crimes“ aber erst im März 2007. Interessant finde ich am ehesten noch den Abschnitt „Manual on Electronic Search and Seizure„, leider von Juli 2002.
Ich frage mich ja nur, was die mit der tollen Seite Rules in Cyberspace für Kinder wollen? You can get in real trouble for hacking? Da lachen die doch drüber. Und das Layout ist sowas von annodazumal.
11. September 2007
… diesmal nur Pornographie und natürlich lässt sich die Zensur trivial umgehen, aber es ist ein interessanter Präzedenzfall, dass ein Provider nicht mehr nur DNS-Einträge sperrt sondern jetzt auch komplette IP-Adressen nullroutet. Lustigerweise diesmal anscheinend auf Wunsch von Juguard, einem Verein der die heimischen Videoverleiher vor der bösen Internet-Pornographie mit dem Argument des Jugendschutzes schützen soll.
Die AGB von Arcor erlauben das, also scheint Arcor sich formal im Recht zu befinden (sofern die AGB wirksam sind, für mich wären die jetzt überraschend). Meine Empfehlung daher: Finger weg von Arcor.
Zum Umgehen nimmt man halt einfach einen beliebigen Anonymisierungsdienst:
oder meinetwegen auch Tor. Aber bitte darauf achten: Das sind alles nur Anonymisierungsdienste, die die Identität schützen, nicht die Datenübertragung. Das kann (und wird) wie Deranged Security gezeigt hat alles abgehört. Also bitte möglichst immer HTTPS, SSL, SSH, PGP, GPG, etc. verwenden.
Oder mit Martin Niemöller:
Als die Nazis die Kommunisten holten, habe ich geschwiegen, ich war ja kein Kommunist.
Als sie die Sozialdemokraten einsperrten, habe ich geschwiegen, ich war ja kein Sozialdemokrat.
Als sie die Gewerkschafter holten, habe ich geschwiegen, ich war ja kein Gewerkschafter.
Als sie mich holten, gab es keinen mehr, der protestieren konnte.
Vor einigen Tagen hat der schwedische Sicherheitsexperte Dan Egerstad in seinem Blog eine Liste von Passwörtern einiger ausländischer Botschaften veröffentlicht. Hier ein kleiner Ausschnitt:
Uzbekistan Foreign Affairs 57.66.151.179 Qohira 5gx7n1e4w9
Iran Embassy in Ghana 217.172.99.19 iranemb_accra@mfa.gov.ir accra
Iran Embassy in Kenya 217.172.99.19 iranemb_kenya@mfa.gov.ir kenya
Iran Embassy in Oman 217.172.99.19 iranemb_muscat@mfa.gov.ir muscat
Iran Embassy in Tunisia 217.172.99.19 iranemb_tunisia@mfa.gov.ir tunisia
Iran Ministry of Foreign Affairs 217.172.99.19 bagheripour@mfa.gov.ir amir1368
Kazakhstan Embassy in Italy 213.21.159.23 kazakstan.emb@agora.it rfywkth
Kazakhstan Embassy in Egypt 213.131.64.229 kazaemb piramid
Die vollständige Liste findet sich in Dans Blog. Ich will jetzt nicht über die Qualität der uzbekischen Passwörter und die tollen iranischen Passwörter reden, das ist dann doch ein wenig langweilig.
Irgendeine wichtige US-Behörde hat die Seite dann ein paar Tage aus dem Netz nehmen lassen, aber natürlich viel zu spät. Die Passwort-Liste hatten ich und viele andere natürlich längst gespeichert. Wenn der Geist erstmal aus der Flasche und im Internet ist, lässt er sich kaum noch wieder einfangen. Das ist wie mit dem geheimen Virtual Earth Bildern.
Interessant ist eigentlich die Art und Weise, wie Dan an die Passwörter gekommen ist. Er hat fünf Exit-Nodes des Anonymisierungsnetzwerks Tor modifiziert und einen Passwort-Sniffer für POP3 und IMAP integriert. Tor bietet halt nur anonymen Zugriff auf einen Client, aber keinen Schutz der übermittelten Daten. Das Problem ist, eigentlich ist das jedem bewusst, aber so richtig Gedanken macht sich keiner darüber.
Egerstad vermutet außerdem, dass einige der Exit-Nodes von staatlichen Behörden, beispielsweise aus den USA, Russland oder China betrieben werden und so gezielt eine große Menge von Daten abgefischt wird. Wichtige Daten sollte man deshalb nur verschlüsselt, per SSL oder HTTPS übertragen.
Der komplette Blog-Eintrag und Heise hat es auch schon gemerkt.
Ach ja, bevor ihr jetzt alle einen Tor Exit-Node aufsetzt: StGB § 202b sagt dazu, wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
Also 1. Hacker-Gebot nicht vergessen: Lass Dich nicht erwischen!
Weil wir gerade bei Live Earth waren … Google Maps ist auch manchmal lustig:
Swim across the Atlantic Ocean, 3462 mi
🙂
10. September 2007
Sehr schön! Ab und zu ist Microsoft sogar zu was gut … Jetzt haben die von Microsoft in Virtual Earth veröffentlichten Satellitenbilder eine geheimen U-Boot Antrieb mit einer interessant geformten Schiffsschraube veröffentlicht. Die USA waren „not amused“.
Der U-Boot Antrieb bei Live Search
Und vorsichtshalber eine lokale Kopie:
Vielleicht stößt das in den USA auch mal eine Privacy-Diskussion an. Die vielen spannenden Bilder in der Google Street Search machen einem langsam Angst. Demnächst muss man wirklich damit rechnen, unversehens im Internet zu stehen und kann sich kaum vernünftig dagegen wehren. Aber gut, wenn es das US-Militär auch mal erwischt.
(via Welt)
6. September 2007
ok, also ich habe eine dynamisch vom Provider vergebene IP-Adresse und möchte prüfen, mit welcher IP-Adresse ich offiziell irgendwo aufschlage. Was tun?
Es gibt natürlich die bekannten Dienste wie http://www.checkip.org/ oder http://checkip.dyndns.org/, die sich auch einfach automatisiert parsen lassen.
Oder man geht eben zu http://www.moanmyip.com/, da wird das ganze noch akustisch untermalt. Sehr nett 🙂
4. September 2007
Das ganze Verfahren der EC-Karten mit PIN ist heute nicht mehr zeitgemäß und eigentlich komplett unsicher. Anscheinend haben das andere inzwischen auch bemerkt.
N-TV berichtet, dass die Verbraucherzentralen jetzt 74 Musterklagen gegen verschiedene Banken führen:
„Wir haben Fälle, bei denen bestohlene Bankkunden den Brief mit der PIN noch ungeöffnet bei sich zu Hause haben“, zitiert der Sender Verbraucherschützer Hartmut Strube. „Diese Fälle zeigen, dass es eine Möglichkeit geben muss, die PIN von Geldkarten zu ermitteln“
Ob da tatsächlich ein Bankmitarbeiter die PIN weitergegeben hat, die PIN aus der Karte errechnet wurde oder sie schlicht erraten werden konnte ist eigentlich irrelevant. Die Sicherheit des Systems ist ist jedenfalls schon lange nicht mehr gewährleistet und die Banken müssen endlich die Verantwortung dafür übernehmen.
Im Internetbanking sieht es nicht besser aus, wie Heise neulich wieder am Beispiel der SEB zeigen konnte. Nicht nur Heise und die Verbraucherschutzvereine fordern die längst fällige Umkehr der Beweislast. Aber bis das zum BGH durchgedrungen ist, werden vermutlich noch viele Kunden durch die mangelhafte Sicherheit einiger Banken geschädigt.
