13. Februar 2010
Ein interessanter Beitrag, wie YouTube Musik in Videofiles erkennt und mit welchen Tricks man das verwendete Verfahren aushebeln kann bzw. eben nicht.
Prinzipiell ist das verwendete Verfahren recht immun gegen Änderungen der Lautstärke, auch die gespielte Geschwindigkeit muss man um mehr als 5% verändern, bevor der Fingerprinter ein Musikstück nicht mehr erkennt. Auch gegen Rauschen ist das Verfahren recht gut. Wenn man allerdings ein kurzes Liedstück von weiter hinten anstatt vom Anfang verwendet, kommt man offensichtlich recht gut durch den Filter.
(via carta.info)
7. Februar 2010
Angeblich will die Post 20 Cent für jede innerhalb von DE-Mail zugestellte E-Mail.
Es gibt nur noch eine Möglichkeit, wie das kein Flop wird: wenn der Staat diese Form des Mailens verbindlich für Kontakte zum Finanzamt, Arbeitsamt etc. vorschreibt. Ansonsten ist das wie die ePost, die hat auch keine 5 Jahre überlebt.
(via Heise)
6. Februar 2010
Ein paar Sachen die schon seit geraumer Zeit in meiner Inbox vorsichhinschimmeln:
ADS
ADS is where some file metadata is stored. Yes, it’s not viewable in Windows Explorer, but if you want more transparency with ADS, you can add ADS to the Properties tabs of the file system and view ADS for every file in the GUI by using StrmExt.dll. See: http://msdn.microsoft.com/en-us/library/ms810604.aspx
Shellcode
If you are interested in shellcoding then check out www.projectshellcode.com for heaps of shellcode tutorials, whitepapers, tools and resources.
Metasploit Addon
MetaScanner is a script in ruby to scan a host for exploits than are already in metasploit framework. This is not a vulnerability scanner and may report some few false puritives. How many times have you scanned a host using nmap and then tried different exploits from the framework? This tool automates that for you. You can find it on http://kalgecin.110mb.com/index.php?id=codes.
Fuzzer
Krakow Labs maintains a current list of security driven fuzzing technologies: http://www.krakowlabs.com/lof.html
Ich denke ich werde in Zukunft öfter Links mit so einer Kurzbeschreibung für Sachen posten, die bisher unter den Tisch gefallen sind, weil sie eigentlich keinen kompletten Blogeintrag rechtfertigen.
5. Februar 2010
Das kennen wir doch schon: Auf seriösen Webseiten werden nichtsahnende Benutzer durch bösartige Werbung mit Schadprogrammen infiziert. Dieses mal waren u.a. Golem.de, Zeit.de und Handelsblatt.de betroffen. Davor gerne auch mal Heise, die New York Times, The Register und andere.
Die Ursache für dieses wiederkehrende Problem findet sich an zwei Stellen:
- Die Werbung wird nicht von den Servern der Redaktion ausgeliefert. Statt dessen enthalten die Seiten lediglich einen Verweis auf einen Server der typischerweise bei einem Werbevermarkter steht. Dies kann Google sein aber auch kleinere Vermarkter wie Falk eSolutions. Von dort wird die Werbung eingeblendet auf die die Redaktion nur eingeschränkt Einfluss hat. Wenn bei diesen Vermarktern etwas passiert ist immer direkt eine größere Anzahl von Webseiten mit einer Vielzahl von Benutzern betroffen.
- Werbung bedient sich massiv dynamischer Inhalte wie Javascript und Flash, um die Aufmerksamkeit der Nutzer zu erlangen. Würden nur statische Inhalte wie Bilder oder Texte ausgeliefert, wäre die Gefahr generell geringer.
Als Lösung für den Anwender lässt sich meiner Ansicht nach nur empfehlen, Werbung so konsequent wie möglich auszublenden und gar nicht erst zu laden. Adblock Plus im Firefox erledigt das recht zufriedenstellend und ist einfach genug auch für weniger technisch versierte Benutzer bedienbar. Leider können es sich die etablierten werbefinanzierten Online-Medien schlecht leisten, Werbeblocker zu empfehlen. Statt dessen gibt es bei Heise nur eine Anleitung wie man die unerwünschte Scareware wieder los wird. Wenn das Kind also erst einmal in den Brunnen gefallen ist.
4. Februar 2010
Nur ein Link: http://extraexploit.blogspot.com/. Kommt in meine Blogroll.
Hach ja, SSL ist ein lustiger Dienst. Da braucht man so Zertifikate (X.509v3 ist recht beliebt) nur um dann feststellen zu können, die Webseite www.commerzbank.de gehört wirklich der Commerzbank in Frankfurt.
Wobei, wieso wirklich? Im Fall der Commerzbank bestätigt mir das die TC Trustcenter GmbH in Hamburg, seit neuestem eine Tochter der PGP Corp. Mein Mozilla Firefox (3.0.x) zeigt mir das in blauer Farbe vor der URL. Die Frage ist jetzt natürlich, ob ich TC Trustcenter glaube. Also quasi ob ich denen vertraue, dass sie die Prüfung korrekt durchgeführt haben und mich nicht belügen. Ich persönlich halte TC Trustcenter für recht seriös seit sie mal ein Zertifikat von mir nicht signieren wollten, das zugegeben geringfügig phishy aussah.
Wenn ich bei Verisign schaue, dem vermutlich weltweit wichtigsten Zertifikatsanbieter, bekomme ich sogar einen grünen Balken in meinem Firefox. Grün! Viel besser als blau! Weil Verisign hat sogar ein „Extended Validation“-Zertifikat. Übrigens von Verisign selbst ausgestellt. Die bescheinigen sich also selbst, dass sie Verisign sind. Das Extended Validation Zertifikat ist meiner Ansicht nach ja Beutelschneiderei par Excellenz. Da verlangt Verisign doppelt so viel Geld für das Zertifikat nur um den Antragsteller „genauer“ zu prüfen als für weniger Geld. Als ob eine vertrauenswürdige Zertifizierungsstelle nicht sowieso genau prüfen sollte. Aber gut, von Verisign kann man vermutlich nichts anderes erwarten. Die haben auch schon mal ohne Prüfung Zertifikate auf den Namen Microsoft ausgestellt. (Die sind übrigens immer noch im Internet Explorer als „Fraudulent“ zu finden). Außerdem war Verisign bis Oktober 2008 Haupteigentümer von Jamba. Das ist die Firma, die kleine Kinder mit Klingeltonabos über den Tisch zieht. Ob ich die wirklich vertrauenswürdig finde … ich bin mir da gar nicht so sicher. Verisign wäre jedenfalls der letzte Anbieter bei dem ich ein Zertifikat kaufen würde.
Der Chaos Computer Club greift übrigens auf die Dienste von CACert zurück. Die kennt mein Firefox nicht, und der Internet Explorer erst recht nicht. Obwohl ich die für recht vertrauenswürdig halte. Beim IE ist das aber klar. Ich habe mir sagen lassen, dass Microsoft rund 50.000 USD will, damit eine Zertifizierungsstelle in den IE aufgenommen wird. Und da CACert die Zertifikate kostenlos anbietet, vertragen sich die beiden Geschäftsmodelle recht schlecht. Vertrauen hin oder her.
Über die lustigeren Zertifizierungsstellen will ich gar nicht lästern, auch wenn mir ein Zertifikat einer deutschen Onlinebank ausgestellt z.B. vom „Autoridad Certificadora del Colegio Nacional de Correduria Publica Mexicana“ etwas … naja, spanisch … vorkommen würde. Obwohl die laut Internet Explorer sicher sehr vertrauenswürdig sind. Leider ist deren Zertifikat Mitte 2009 abgelaufen. Aber es gibt ja auch noch die „Saunalahden Server CA“ aus … na? … genau, Finnland. Wo soll so ein Saunala(h)den auch sonst herkommen 😉
Warum ich das alles schreibe? Weil es bei SSL-Zertifikaten eben einfach nur um das Vertrauen zum Aussteller geht. Ist die Zertifizierungsstelle (CA) vertrauenswürdig? Stellt sie nur Zertifikate aus wenn die Identität korrekt verifiziert worden ist? Oder kann jeder dahergerollte Schäuble zu so einer CA gehen und ein falsches Zertifikat bekommen um einen staatlichen Man-in-the-Middle Angriff durchzuführen? Dann will ich so eine CA gar nicht im Browser haben.
Die Mozilla Foundation hat sich genau diese Diskussion nämlich jetzt eingefangen, nachdem die staatlich kontrollierte chinesische Domainregistry CNNIC mit ihrer Zertifizierungsstelle in den Firefox-Browser aufgenommen wurde. Dabei wurden die Anforderungen der Mozilla Foundation strikt erfüllt. CNNIC hat eine Zertifikatspolicy (CSP) die formal allen Anforderungen genügt. Meine Freunde von Ernst & Young haben geprüft, dass diese Policy formal ok ist. Webtrust hat gekuckt, dass Ernst & Young formal korrekt geprüft hat. Und die Mozilla Foundation verlässt sich darauf, dass die Anforderungen von Webtrust formal korrekt sind. Formal eben. Nur das mit dem Vertrauen, das ist halt schwierig.
Aber wenn mich jemand fragt … das Sicherheitsmodell von SSL ist sowieso für’n Arsch.
(via Fefe)
Nachtrag:
Die Mozilla Foundation hat die CNNIC-SSL-Zertifikate wieder aus der Standardinstallation entfernt.
2. Februar 2010
Nach einer Studie von McAfee glauben 70% der Befragten, dass die chinesische Regierung hinter Cyberangriffen stecken würde. Für die USA und Russland nehmen das 60% an. Allerdings fürchten sich die befragten mehr vor Cyberangriffe aus den USA, als aus China oder Russland.
Zumindest behauptet das der Inquirer. Auf der Webseite von McAfee konnte ich die Studie leider nicht finden. Da ist nur Werbung, nach der McAfee „Coolest Cloud Security Vendor“ sei. Ich interpretiere das mal so, dass McAfee in der Cloud nix tut und deshalb die Server kühl bleiben.
Die spannende Frage ist natürlich, wie kommt es zu diesen Ergebnissen? Sind die US-Hacker so präsent in den Medien während man von den Chinesen hauptsächlich die Vorfälle im Bundeskanzleramt und bei Google hört? Fühlen sich die Unternehmen deshalb weniger bedroht? Ist die Angst vor US-Hackern wegen Industriespionage oder ganz allgemein wegen Datenklau und Imageschaden?
In meiner persönlichen Wahrnehmung würde ich die Chinesen als gefährlicher einstufen, weil da einfach mehr finanzielle Ressourcen dahinter stehen. Das kann aber auch daran liegen das meine Kunden tatsächlich eher von Chinesen als Amerikanern bedroht werden. Wie nehmen das eigentlich andere Firmen war?
26. Januar 2010
Bill Gates findet, die chinesische Zensur ist doch ganz ok. Microsoft löscht aus Bing natürlich alles, was die Chinesen da nicht drin haben wollen. Immerhin sei die Zensur ja umgehbar. Hauptsache das Internet floriert (und Microsoft kann ganz viel Geld verdienen). Ok, das in Klammern hat er jetzt im Interview nicht gesagt aber ich ich konnte den Gedanken in seinem Hirn förmlich hören.
Man muss sich eben entscheiden, ob man in einem Land wie China Geschäfte machen will oder lieber seinen Grundsätzen und seiner Moral treu bleibt. Aber ok, es macht keinen Sinn das einem Herrn Gates erklären zu wollen. Gier frisst meistens das Hirn.
Viel spannender finde ich ja die Frage, warum Google so einen Aufstand veranstaltet. Der Grundsatz „do no evil“ kann es jedenfalls nicht sein. Eher dürfte die Ursache sein, dass Google in China kein Geld verdient aber einen eleganteren Grund sucht, das Verlustgeschäft dort aufzugeben. Und da kommt die Zensur natürlich ganz recht. Wenn die Chinesen das Büro von Google in China zumachen, sind die Chinesen die bösen, nicht Google. Und im günstigsten Fall braucht Google nicht mal eine Abfindung zu zahlen. Sie waren es ja schließlich nicht.
Ich bin mal gespannt, was da noch heraus kommt.
16. Januar 2010
Ach ja, das BSI. Warnt, man solle den Internet Explorer vorerst nicht verwenden. Sondern? Ich habe da eben noch eine uralte Opera Version auf meiner Festplatte gefunden. Bestimmt zwei Jahre nicht aktualisiert. Und irgendein Firefox 1.5 liegt auch noch drauf. Egal. Das BSI hat nur gesagt, man solle den Internet Explorer nicht verwenden. Nehme ich halt das Opera und Firefox.
Also ich persönlich halte die Warnung für ausgesprochenen Blödsinn. Ein alter Opera oder Firefox ist nicht wirklich besser als ein fehlerhafter Internet Explorer. Ganz im Gegenteil, wenn in einer Woche die Lücke im Internet Explorer behoben ist, dann surfen viele Leute immer noch mit ihrem alten Opera oder Firefox durch die Gegend. Und wundern sich, warum sie Schadprogramme auf dem Rechner haben obwohl sie doch gemacht haben was das BSI empfiehlt. Viel sinnvoller wäre, das BSI würde mal über die Notwendigkeit informieren, Programme aktuell zu halten. Meinetwegen mit dem Secunia PSI oder dem Heise Update Check. Statt dessen spielt das BSI beim „Safer Internet Day“ mit. Manchmal frage ich mich echt, ob wir das BSI überhaupt noch brauchen.
10. Juli 2009
Ich gebe ja zu, Backups von Hardware Security Modulen sind nicht immer trivial. Da braucht man in der Regel verschiedene Karten und muss die Prozedur mit PIN-Eingabe und so weiter genau richtig machen. Und wenn man die Karten falsch bedient, dann ist vielleicht auch mal alles hinüber. Trotzdem sollte irgendjemand in so einem Projekt ein klein wenig Know-how von HSMs haben und vielleicht mal bei einer kurzen Kaffeepause ein Backup ziehen. Nach meiner Erfahrung mit HSMs dauert das höchstens ein paar Minuten und ist außerdem auch recht gut dokumentiert.
Nunja, die Schuldzuweisungen die Heise angibt, finde ich lustig:
„Die Gematik hat entschieden, ‚Wir verzichten auf das Backup‘. Das haben wir als Dienstleister zu akzeptieren,“ erklärte Merx vom Dienstleister D-Trust.
„Wir haben uns nicht gegen einen Backup-Dienst entschieden. Vielmehr ist es so, dass der Dienstleister den Betrieb des Testsystems übernommen und auch den fortlaufenden Betrieb zu gewährleisten hat. Wie er dieser Verpflichtung nachkommt, obliegt seiner Verantwortung.“, so Gematik-Sprecher Daniel Poeschkens.
Auf Deutsch heißt das, niemand der diversen beteiligten Luschen hat an Backup gedacht (vermutlich weil’s in keinem Konzept drin stand) und deshalb hat auch keiner eines gemacht. Ich würde ja nichts sagen, wenn die Daten wenigstens auf einem FTP-Server* liegen würden, aber selbst das scheint schon zu viel verlangt zu sein. Wenn ihr mich fragt, die sind beide nicht qualifiziert und zuverlässig genug, die Infrastruktur für die Gesundheitskarte zu betreiben. Sozusagen der Vattenfall der in der IT.
(via Heise)
* Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it (Linus Torvalds)
