In Oldenburg ist das Auto einer laut Polizeibericht „für das Internet tätigen Gesellschaft zur bildlichen Dokumentierung von Straßenzügen“ beschädigt worden. Die Täter haben das Kabel zur auf dem Dach montierten Kamera durchgeschnitten, ein Loch in einen Reifen gestochen und einen Warnhinweis zum Platten hinter die Scheibenwischer der Windschutzscheibe gesteckt.
Vielleicht waren das die Bürger bei denen „Google Home View“ vorbeigeschaut hat:
(Danke Sören)
Nachtrag:
Ja ich weiß, die Google Home View Satire gibt’s schon bissi länger. Aber die passt gerade so schön.
Mit Ping.fm gibt es eine tolle neue Spam-Plattform. Golem schreibt dazu „mit 100 Eingabemöglichkeiten 45 Plattformen ansteuern“. Da kann es nicht mehr lange dauern bis die alle vollgespamt werden. Was für ein Glück, dass ich mich aus diesen asozialen Netzwerken bisher weitgehend fernhalten konnte.
Wer klaut schon Viren?
Anscheinend gar nicht so wenige, wenn man dem Artikel auf The Register glauben darf. Das Trojaner-Bastelkit Zeus kommt inzwischen mit einer hardware-basierten Lizenzverwaltung die ähnlich wie Windows auf einem Activation Key basiert. Damit sollen die teuren Funktionen wie Botnet-Fernsteuerung ($ 4000), Echtzeit-Plünderung mittels Jabber ($ 500), Formulareingaben auslesen in Firefox ($ 2000) und Komplettfernsteuerung des fremden Rechners ($ 10000) geschützt werden. Nice.
Schadsoftware direkt vom Hersteller
Weil wir gerade beim Thema sind: in Spanien hat Vodafone Mobiltelefone mit einer Speicherkarte verkauft, auf dem der Conficker-Wurm schon vorinstalliert war. Zum Glück hat das Telefon eine Mitarbeiterin von Panda Security gekauft. Und zum ganz großen Glück hat der Panda-Scanner das Schadprogramm erkannt und ist nicht in den Wolken steckengeblieben.
Audio Captchas für Schwerhörige
Microsoft hat auch gerade ein Problem mit einem Botnetz, in diesem Fall ist es das Pushdo Spam-Botnetz. Das hat nämlich eine recht effiziente Methode gefunden, die Audio Captchas der Microsoft Live Dienste zu zerlegen. Eine Antwortzeit von nur 10 Sekunden bei 50% Erfolgsquote ist schon krass gut für einen automatischen Dienst, der Postfächer nur anlegt um darüber Spam zu verschicken. Ich finde ja, man sollte das Internet für Blinde verbieten. Dann braucht es auch keine Audio Captchas mehr.
„Ich werd‘ noch bekloppt“, wird sich der eine oder andere denken. Das Bundesamt für Sicherheit in der Informationstechnik verfällt jedenfalls langsam aber sicher in den Wa[h|r]nsinn. Heute darf mal das Bürger-CERT ran. Mit einer Technischen Warnung for Mozilla Firefox. Bis 30. März ist deshalb wieder der Internet Explorer Lieblingsbrowser im BSI.
„Was für ein Glück“ wird sich der oben erwähnte eine oder andere da denken. Schließlich ist er doch mit der letzten Warnung erst auf Firefox umgestiegen (in der Version 3.0.7, die war schon auf dem PC drauf) und das BSI Bürger-CERT warnt vor der Version 3.6. Und dieses neumodische Glump kommt natürlich nicht auf den Rechner vom einen oder anderen. Aber der liest auch nicht The Register.
Heute nicht ganz so zufällig, die Themen haben das gemeinsame Leitmotiv des Urheberrechts und geistigen Eigentums und wie man sich eine gewisse Unabhängigkeit schaffen kann.
„If Apple’s mobile devices are the future of computing, you can expect that future to be one with more limits on innovation and competition than the PC era that came before. It’s frustrating to see Apple, the original pioneer in generative computing, putting shackles on the market it (for now) leads.“
Erstaunlich, dass bei diesen Lizenzbedingungen überhaupt jemand für Apple Software schreibt. Aber Gier frisst bekanntlich Hirn.
Dein Twitter gehört dir nicht!
„Viele, die munter Fotos hochladen, anderen Applikationen Zugriff auf ihre Social Media gewähren oder sonstwo etwas posten, haben noch nie wirklich nachgelesen, welche umfassenden Rechte sich viele Betreiber auf das geistige Eigentum der Teilnehmer vorbehalten.“
„Micro blogging wird immer poulärer. Doch Dienste wie Twitter haben ein 140-Zeichen-Limit für die Nachrichten. In der Kürze liegt die Würze, ja, doch wenn manchmal die halbe Nachricht für lange URLs draufgeht, macht es keinen Spaß mehr. […] Aber wer weiß, wann so ein kostenloser URL-Kürzer seinen Laden dicht macht – und dann sind alle Short-URLs futsch! Nicht so, wenn ich meinen eigenen Dienst nutze.“
Das ist fast schon so krass wie die Blackberry-Geschichte in den Vereinigten Arabischen Emiraten: Forscher von TippingPoint haben eine scheinbar nützliche Anwendung mit dem Namen „WeatherFist“ auf einem Portal zum Download und zur Installation auf Mobiltelefonen angeboten. Innerhalb von wenigen Stunden haben über 700 User die Anwendung heruntergeladen und installiert. Innerhalb einiger Tage waren es bereits 8000 infizierte Telefone. Neben der harmlosen Wetteranzeige hat die Anwendung nur den Standort des Telefons gemeldet, genauso einfach hätte man jedoch auch echten Schaden anrichten können. Erstaunlich, dass es bisher nicht mehr Schadanwendungen für Mobiltelefone gibt. Oder hat die nur noch niemand entdeckt?
Das Problem ist … was will man dagegen tun? Nur Anwendungen aus vertrauenswürdigen Quellen herunterladen? Aus dem iTunes Store für das iPfusch, aus dem Google Store für das Android und aus dem Ovi Store für Nokia? Und was, wenn es das benötigte da nicht gibt? Beispielsweise war Putty für das TouchUI eine der ersten Anwendungen die es auf mein neues Telefon geschafft haben. Inzwischen laufen da mehrere Tools, die nicht aus dem Ovi Store sind.
Das Problem wird sein, dass Virenscanner keine echte Chance haben, solche Anwendungen zu finden. Ja, es gibt für mein Mobiltelefon beispielsweise einen Schadcode-Scanner von Trend Micro und einen weiteren von F-Secure. Der von F-Secure ist sogar vorinstalliert. Ich wette, das hätte TippingPoint-Trojaner auch nicht erkannt. Dafür kostet der Adobe Reader 10,- Euro. Das ruft doch nur so nach infizierten Raubkopien. Und mit etwas Geschick kann man einen Trojaner immer so programmieren, dass der Virenscanner ihn nicht findet.
Lösungen? Tja, eine echte habe ich nicht. Nur signierte Anwendungen zuzulassen ist jedenfalls keine. Dann bekommt man ein Lock-in-Gerät wie mit dem iPfusch von Apple. Was ich mir für mein Telefon wünschen würde, wäre beispielsweise eine einfache Übersichtsseite, welche Anwendung auf welche Funktionen(GPS, Datenübertragung eingehend/ausgehend, welche IP-Adressen/Server, etc.) zugreift und eine Möglichkeit das (a) zu Beschränken und (b) zu Widerrufen. Das AccuWeather auf meinem Mobiltelefon fragt mich bei jedem Aufruf ob ich eine Netzverbindung erlauben will. Das ist zwar nett aber nervig. Ich würde das dieser Anwendung beispielsweise pauschal erlauben. Google Maps fragt mich nicht sondern greift einfach auf GPS und Datenverbindung zu. Ich wüsste nicht wie ich das verbieten kann. Andere Anwendungen haben mich bei der Installation einmal gefragt und fertig. Widerrufen ist nicht vorgesehen nur Deinstallation. Ich denke, da müssen die Mobiltelefonhersteller noch von den Desktopfirewallherstellern lernen.
Ach ja, weiß jemand zufällig ob es Truecrypt für das N97 mini gibt?
Stell Dir vor es ist CeBIT und niemand geht hin. Oder, ich zumindest nicht. Schon seit drei oder vier Jahren nicht mehr. Die CeBIT ist zwar vielleicht noch die zentrale IT-Messe aber Spezialmessen wie die IFA oder IT-SA ziehen das Fachpublikum oft besser und gezielter an. Egal.
Eines der amüsanteren Themen auf der CeBIT ist De-Mail, weil es ja da unten in Friedrichshafen am Bodensee so ein lustiges Pilotprojekt gibt. Amüsant vor allem, weil jeder seinen Senf dazugeben muss.
„Ohnehin ist noch nicht ganz klar, warum sich die Bürger einen De-Mail-Account zulegen sollen. Schließlich profitieren davon vor allem Behörden, Banken und Versicherungen, die ihre Bescheide künftig elektronisch zustellen und so Porto sparen können. Die Kunden dagegen werden für den Versand von De-Mails voraussichtlich extra zahlen müssen […]“
„Internet-Provider, Behörden, Unternehmen und schließlich die Anwender haben auf der CeBIT ein positives Fazit zum sechsmonatigen Feldtest von DE-Mail in Friedrichshafen gezogen. […] Die größten Wünsche haben dabei die Behörden.“
Tja, ist mir schon klar, dass Behörden das toll finden. Bescheide nicht mehr per Post sondern per E-Mail. Und wenn der Bürger nicht rechtzeitig in seine Mailbox schaut dann hat der Bürger eben Pech gehabt. Den Harz4-Bescheid gibt es trotzdem nicht pünktlicher und um gegen den E-Mail Bescheid Widerspruch einzulegen muss dieser dann (rechtssicher) ausgedruckt werden.
Die Webseite Please Rob Me zeigt mir Hilfe einfacher Suchanfragen an Twitter und Foursquare die Nachrichten der Nutzer analysiert. Dabei wird nach Lokations- und Abwesenheitsmeldungen gesucht, die z.B. einem Einbrecher Hinweise geben könnten, wo ein Benutzer wohnt und wann er unterwegs ist. Damit soll u.a. auf die Gefahr von Social Networks aufmerksam gemacht werden, in denen Benutzer zu viele Informationen über sich preis geben. Und wir haben uns vor 15 Jahren über die Abwesenheitsnotizen in E-Mails aufgeregt …
Panopticlick
Panopticlick der Electronic Frontier Foundation (EFF) führt vor, wie eindeutig sich ein Browser durch Javascript und diverse Plugin-Kombinationen identifizieren lässt. Mit abgeschaltetem Javascript (NoScript sei Dank) komme ich auf 1 von ca. 32.000 Usern, mit eingeschaltetem Javascript bin ich mit meiner Plugin-Kombination eindeutig identifizierbar. Wobei ich mich frage, warum Javascript z.B. die installierten Systemfonts an den Server übermitteln muss.
Amazon EC2 Passwort-Cracker
Cloud-Dienste lassen sich nicht zur für Virenscanner oder Datenspeicherung nutzen sondern können (wenn viel Rechenleistung für wenig Geld angeboten wird) auch für Passwortcracker nutzen. Da Amazon der Rechenleistung Kosten verpasst, ergibt sich eine einfach nutzbare Metrik, um Passwort-Cracking mit echten Kosten zu versehen. David Campbell hat das tabellarisch aufbereitet. Interessant ist, dass die Passwortlänge wichtiger ist als die Passwortkomplexität. Ein 12-Zeichen Passwort nur aus Kleinbuchstaben kostet nach seiner Rechnung über 1,5 Millionen USD, ein komplexes Passwort mit Sonderzeichen aber nur 8-Zeichen Länge kostet günstige 106.000 USD. Erst mit 10-Zeichen Länge ist ein komplexes Passwort besser als ein simples 12-Zeichen Passwort.
So ist das in Berlin … erst macht man das schlechteste aller möglichen Gesetze zur Internet-Zensur, dann sind praktisch alle Parteien dafür, das nicht anzuwenden und schließlich wird das Gesetz doch vom Bundespräsidenten unterzeichnet und kann jetzt in Kraft treten.
Verloren haben im Grunde alle. Zuallererst der Bürger in Deutschland, dem mal wieder deutlich klargemacht wurde, dass Petitionen für den Arsch sind. Die interessieren doch eh keinen Bundestagsabgeordneten. Am wenigsten die, die sich hinterher aufregen über mangelnde Beteiligung an Wahlen, den Zulauf der Rechts- und Linksextremen sowie das generelle Misstrauen gegenüber Politikern.
Verloren haben die Parteien im Bundestag, die alle (inklusive der ehemals treibenden CDU) davon reden, wie schlecht dieses Gesetz doch ist aber nichts dagegen tun. Im besonderen die angebliche Bürgerrechts- und tatsächliche Klientelpartei FDP mit ihrer blassen Justizministerin, die genau gar nichts von dem erreicht hat, was sie vorher großspurig angekündigt hat. Das letzte mal (Großer Lauschangriff) ist die Justizministerin Leutheusser-Schnarrenberger noch zurückgetreten. Jetzt (Große Internetzensur) geht die Justizministerin Leutheusser-Schnarrenberger langsam auf die Rente zu und da ist ihr die Ministerpension natürlich näher als das Grundgesetz.
Verloren hat auch der Bundespräsident, der angeblich monatelang prüfen musste, ob sich das Gesetz mit dem Grundgesetz vereinbaren lässt in Wirklichkeit jedoch nur warten wollte, bis sich nach der Bundestagswahl die Wogen geglättet haben. Ein typischer Präsident nach Merkel Gnaden. Im Grunde können wir auf diesen rückgratlosen Köhler genauso gut verzichten. Bei von Weizsäcker oder dem ehemaligen Verfassungsrichter Herzog hätte es dieses Gesetz nicht gegeben.
Verlieren wird auch der Kinderschutz. Spätestens wenn die Sperrliste wie alle anderen Listen auch bei Wikileaks oder woanders auftaucht und die echten Pädophilen freien Zugriff darauf bekommen. Und verlieren wird das BKA, wenn sich herausstellt, dass nicht nur Kinderpornoseiten gesperrt wurden sondern (natürlich nur versehentlich) die Webseite der Piratenpartei und von Wikileaks gleich mit.