19. November 2007
Privacy ist ja sowas von old school, wen interessiert denn das noch? Ein paar Beispiele:
- Apple fällt gerne mal unangenehm auf, wenn es um das iPhone geht. Bei einige Anwendungen wie beispielsweise der Abfrage der Börsenkurse oder des Wetters wird eine IMEI-Nummer an Apple übertragen. Das scheint zwar nicht die IMEI des Telefons zu sein, notwendig ist die Übertragung aber trotzdem nicht und sollte daher mit Blick auf die im Bundesdatenschutz geforderte Datenvermeidung unterbleiben.
- Facebook wiederum observiert gerne mal, wo die User so im Web surfen. Von dritten Plattformen wird das Surfverhalten automatisch an Facebook gemeldet. Die Meldung erfolgt sogar, wenn der Facebook-Nutzer die Ausgabe dieser Daten in seinen Optionen abgeschaltet hat.
- World of Warcraft wiederum kommt mit einer Software („Warden“) zum Schutz der Spielintegrität, die verschlüsselt und für jeden Anwender unterschiedlich ist (und regelmäßig verändert wird), so dass kein Nutzer mehr sicher sein kann, was Warden tatsächlich macht. Vermutlich werden keine Daten ausspioniert aber leider kann das auch niemand verifizieren um sicher zu gehen.
Ich versuche ja konsequent (auch wenn das nicht immer geht) solche Produkte zu meiden. Insofern kein Apple iPhone kaufen (ist eh nur Hype), nicht World of Warcraft spielen (interessiert mich nicht) und von Facebook, StudiVZ und Co. lasse ich weitgehend die Finger weg (ausgenommen Xing, aber ich pass auf was da steht).
Andererseits frage ich mich (z.B. auch bei HD-DVD und Blu-ray) langsam schon, ob die großen Konzerne den Bürger nur noch für Cashvieh halten und sich nicht mehr um grundlegende Rechte scheren müssen? Aber naja, der Bundesdatenschutzbeauftragte Schaar hat ja auch (unter Verkennung bzw. großzügigen Ignorierens der Rechtslage) den Providern erlaubt, Verbindungsdaten zu speichern selbst wenn sie nicht zu Abrechnungszwecken benötigt werden. Was will man da noch erwarten.
17. November 2007
von Bruce Schneier auf Wired.com
NIST-Standards haben die Tendenz, für Firmen die Software an US-Behörden verkaufen zu wollen, leider verpflichtend zu sein … unabhängig davon wie gut der Standard ist oder nicht. Insbesondere um FIPS (Federal Information Processing Standard) Standards der NIST kommt man in der Praxis nicht herum.
Die NSA steht jetzt unter Verdacht, in den NIST Standard SP800-90 (PDF), genauer in einen der dort beschriebenen Zufallszahlengeneratoren eine Hintertür eingebaut zu haben. Ein Vortrag auf der Crypto 2007 deutet darauf hin:
„What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.“
Ich muss zugeben … wenn das stimmt ist es sehr sehr clever gemacht. Das erinnert mich ein wenig an die Geschichte der Schweizer Crypto AG oder den Clipper Chip.
Heise berichtet auch.
9. November 2007
Die Schnarchnasen beim Bund kapieren es auch nach dem Ärger mit der Elster-Software immer noch nicht, dass es auch andere Betriebssysteme außer Windows gibt. Die Online-Vergabeplattform des Bundes (lustige Webadresse evergabe-online.info, ist das vielleicht in Wirklichkeit eine Phishing-Seite?) funktioniert leider nur mit Windows, berichtet Heise.
Der Berliner Fachanwalt Michael Schinagl geht daher davon aus, „dass sämtliche Ausschreibungen des Bundes zur Zeit angreifbar sind“.
Da kann man nur hoffen, dass möglichst viele Ausschreibungen auch wirklich angegriffen werden, damit die Bundesidioten endlich kapieren, dass es außer Windows auch noch was anderes gibt.
7. November 2007
Das US-Verteidigungsministerium wurde von einem Advisory Board gewarnt, dass zukünftige automatische Waffenkontrollsysteme von Schadcode durchsetzt sein könnten, da die gesamte Software inzwischen in Indien und China entwickelt wird.
Der Artikel ist von The Register und dort nennt das sonst „Rise of the Machine„. Diesmal komischerweise nicht. Ich rieche einen Hauch von Skynet.
27. Oktober 2007
Die European Expert Group for IT Security (EICAR) hat eine Stellungnahme zum StGB § 202c (PDF) veröffentlicht, nach der Sicherheitsexperten weiterhin Hacking-Tools und Exploits einsetzen dürfen. Voraussetzung sei, dass die Tätigkeit ausreichend dokumentiert wird.
„Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben.“
Klingt doch super. Stellt sich nur die Frage … wer oder was sind Sicherheitsexperten? Bin ich einer? Ist mein Azubi einer? Noch nicht? Darf er die Tools dann (noch) nicht verwenden? Wie will er dann damit umgehen lernen?
Ich zitiere dazu Ludwig Thoma (aus der Kurzgeschichte „Der Vertrag“ über den königlichen Landgerichtsrat Alois Eschenberger):
„Er war ein guter Jurist und auch sonst von mäßigem Verstand“
und das zugehörige Urteil vom LAG Baden-Württemberg, AZ 9 Ta 2/07. Dann vielleicht doch lieber frei nach Obelix:
„Die spinnen, die Juristen“
🙂
8. Oktober 2007
Heise hat auch schon mit einer Woche Verspätung gemerkt, dass Reisen in die UK keine gute Idee mehr sind. Immerhin liefern sie den Link zum Gesetz sowie die Empfehlung TrueCrypt mit.
2. Oktober 2007
In Großbritannien ist Anfang Oktober ein neues Gesetz in Kraft getreten, dass es alle Verdächtige verpflichtet, ihre Verschlüsselungskeys den Strafverfolgungsbehörden auszuhändigen.
Oder, wie The Inquirer schreibt: „Under part three, Section 49 of the Regulation of Investigatory Powers Act (RIPA) if Inspector Knacker of the Yard knocks on your door and wants to have a snuffle on your hard drive and finds a blob of encrypted code he can make you decode it.“
Für das Verweigern droht bis zu 5 Jahren Haft. Userfriendly.org stellt die möglichen Konsequenzen in einem Comic dar.
Wir brauchen dringend wirksame Deniable Encryption.
21. September 2007
14. September 2007
Spitblog berichtet, dass sich der Informatiker Michael Kubert selbst angezeigt hat, wegen Verbreitung von Hacker-Tools. Damit könnte die längst fällige Klärung der Rechtslage angestoßen werden.
13. September 2007
Zufällig entdeckt:
Im United States Department of Justice gibt es eine eigene Abteilung „Computer Crime & Intellectual Property Section„. Der Schwerpunkt scheint wie in den USA zur Zeit üblich auf der Intellectual Property zu liegen. So wurde das auf der Homepage verlinkte Manual „Prosecuting Intellectual Property Crimes“ im Oktober 2006 auf den neuesten Stand gebracht, das Manual „Prosecuting Computer Crimes“ aber erst im März 2007. Interessant finde ich am ehesten noch den Abschnitt „Manual on Electronic Search and Seizure„, leider von Juli 2002.
Ich frage mich ja nur, was die mit der tollen Seite Rules in Cyberspace für Kinder wollen? You can get in real trouble for hacking? Da lachen die doch drüber. Und das Layout ist sowas von annodazumal.
