7. Juni 2010
Früher gab es ja immer die Diskussion, ob und wie Sicherheitslücken veröffentlicht werden sollen. Da gab es im großen und ganzen drei Schulen:
1. No Disclosure
No Disclosure bedeutet, man hält die Lücke einfach für sich selbst geheim. Kann man immer mal brauchen. Mit dem Risiko, dass natürlich jemand anderes die Lücke auch findet. No Disclosure war früher typisch bei Schadprogrammautoren. Wenn die mal eine Lücke hatten, wurden damit Schadprogramme verbreitet und irgendwann über Projekte wie das Honeynet wurde dadurch die Lücke irgendwann bekannt und gestopft.
2. Responsible Disclosure
Das war der Begriff den Firmen wie Microsoft geprägt haben, die Sicherheitslücken am liebsten vertuscht haben. Mit Responsible Disclosure sollte eine Sicherheitslücke nur dem Hersteller bekanntgegeben werden damit dieser dann beliebig lange Zeit hat die Lücke zu beheben. Ein paar Firmen wollten daraus sogar einen Standard (RFC) machen, der aber glücklicherweise dann nicht in den Standard aufgenommen wurde. Firmen wie eEye konnten zeigen, dass sich Microsoft bei „responsible“ bekanntgegebenen Lücken sehr viel länger Zeit lässt, diese zu beheben. In der Praxis hat sich eine Art Responsible Disclosure durchgesetzt, weil die Sicherheitsfirmen halt auf Aufträge der großen Softwarehersteller angewiesen sind.
3. Full Disclosure
Sicherheitslücken, möglicherweise inkl. Exploit werden auf einer öffentlichen Webseite oder Mailingliste bekanntgegeben und stehen damit Softwarefirmen genauso wie Angreifern direkt und gleichzeitig zur Verfügung. Ein Softwarehersteller muss dann natürlich schnell reagieren und einen Patch bereitstellen der möglichst keine Nebeneffekte haben darf d.h. unter Zeitdruck sorgfältig entwickelt und getestet werden muss.
Heute muss man meiner Ansicht nach andere Kriterien anwenden:
1. Free Disclosure
Sicherheitslücken bzw. Exploits werden (egal wann) auf einer kostenfreien Webseite oder Mailingliste bereitgestellt. Namentlich kann man SecurityFocus oder Metasploit nennen.
2. Disclosure über einen Exploit Broker
Eine Reihe von Agenturen kaufen Sicherheitslücken von Entwicklern auf und geben diese dann an den Herstellern weiter. ZDI (TippingPoint/3Com/HP), iDefense (Verisign) und Co. sind hier zu nennen. Ein Exploit Broker hat den Vorteil, dass man mit einem Exploit Geld verdienen kann, jedoch praktisch kein Risiko eingeht, wegen dieses Exploits auch verklagt zu werden. Gerade für einzelne Programmierer ist das eine brauchbare Alternative.
3. Kommerzielle Exploit-Software
Neben ZDI/iDefense gibt es auch Firmen wie Core oder Immunity, die Sicherheitslücken z.B. von freiberuflichen Exploitentwicklern kaufen und in ihre kommerziellen Frameworks mit aufnehmen. Dazu gibt es sogar eine „No more free bugs“ Initiative.
Mein Eindruck ist, dass sich der Trend zu kommerziell vermarkteten Sicherheitslücken in den nächsten Jahren verstärken wird. Das wird dazu führen, dass nur noch große finanzkräftige Firmen sich alle notwendigen Sicherheitslücken z.B. für Penetrationstests zusammenkaufen können. Ob das eine wünschenswerte Entwicklung ist, will ich mal offen lassen.
Literatur zum Nachlesen:
Ich bin gespannt, wie sich das weiterentwickelt.
24. Mai 2010
Heute mit Links von den Inseln …
Komplettausschluss aller Haftungsregeln in Software-Lizenzen ist unfair
In Großbritannien hat der High Court (also keine kleine Amtsgerichtsklitsche) entschieden, dass bestimmte Klauseln in Software Lizenzen unfair und damit unwirksam sind. Im speziellen Fall ging es um eine Hotelsoftware, die wohl nicht ganz den Vorgaben entsprochen hat. In den Lizenzbedingungen stand jedoch, der Kunde könne bei Problemen nur auf den Supportvertrag zurückgreifen und keine Rückerstattung verlangen, egal wie schlecht die Software ist. Diese Klausel hat das Gericht als unwirksam verworfen. Ich hoffe ja, dass wir in Deutschland auch irgendwann stärker entweder Produkthaftungsregeln für Software anwenden oder, wenn das nicht möglich oder praktikabel ist, Lizenzbedingungen zumindest wie AGB einer Inhaltskontrolle unterliegen. Naja, abwarten.
Large-Scale Cyber-Attacks
Ebenfalls in Großbritannien wurde vom House of Lords der 5. Bericht zum Schutz der EU vor Large-Scale Cyber-Attacks veröffentlicht. Dabei wurden insbesondere die (vermutlich aus Russland durchgeführten) Angriffe gegen Estland im April/Mai 2007 und die chinesischen Angriffe gegen Systeme des Dalai Lama vor den olympischen Spielen im August 2008 als Beispiele herausgegriffen. Und die ENISA bei der sich Udo Helmbrecht auf seine Pension vorbereitet hat auch einen Seitenhieb bekommen, da sie in Kreta in der Sonne weit ab vom Schuss ist.
UK will Big Brother (ein wenig) zurückfahren
Schreibt Heise. Also, eigentlich ja nicht, aber es ist einfach nicht mehr genug Geld für alles da. Vorratsdatenspeicherung kostet den Staat erst mal Geld und ob es was bringt, weiß eigentlich keiner. Ein paar Überwachungskameras (CCTV) werden vielleicht abgeschaltet. Ein klein wenig weniger DNA- und Fingerabdruckdatenbanken (an Stellen an denen der EUGH schon hinschauen wollte). Und das Auskunftsrecht bei Behörden „wie in Deutschland“ klingt eher wie eine Drohung als eine Verheißung. Auf Deutsch, ich bin extrem pessimistisch. Das hört sich an wie das Dialogangebot von Herrn de Maiziere und in Folge wird dann eben auch getrickst, getäuscht und verarscht.
Three Strikes in Irland
Die irren Iren sind da schon einen Schritt weiter. Der (noch) größte irische Provider Eircom hat inzwischen auf Druck der Contentmafia ein System der „abgestuften Erwiderung“ eingerichtet. Die IRMA droht schon mal, Eircom „jede Woche mit tausenden IP-Adressen von Copyright-Sündern versorgen zu können“. Wenn das stimmt, hat Eircom in einem Jahr nicht mehr 750.000 Kunden sondern nur noch die Hälfte. Und zu wünschen ist es dem Laden ja auch.
16. Mai 2010
Inzwischen kann die Gleichsetzung von Google mit Datenschutzverbrechern gar nicht mehr strafbar sein. Nach allem was man liest und was Google so zugibt handelt es sich um eine wahre Tatsachenbehauptung.
Wenn Google also (wie inzwischen zugegeben) mit Autos durch die Gegend fährt und Datenpakete aus unverschlüsselten WLANs mitsnifft, dann ist das meiner Ansicht nach ein Verstoß gegen § 202b StGB. Auch wenn die Datenübertragung unverschlüsselt ist, waren die Daten garantiert nicht für Google bestimmt. Ich kenne auch niemanden der Google dazu befugen würde. Komplizierter ist es nur mit der Öffentlichkeit. Nur weil die Daten unverschlüsselte Funkdaten sind, kann man jedoch noch nicht von Öffentlichkeit ausgehen. Eine unverschlüsselte Übertragung von E-Mails von mir zu einem anderen mittels SMTP abzuhören fällt explizit nämlich auch unter den § 202b StGB. Inzwischen gibt es für solche Fälle sogar Sekunderliteratur und ein wenig Rechtsprechung. Allerdings braucht es für eine Anzeige einen Betroffenen und der wird nicht zu ermitteln sein. Ich persönlich habe (leider) kein offenes Funknetz und müsste dann auch noch wissen, wann Google bei mir vorbeigefahren ist.
Die Frage ist: glaubt irgendjemand, dass der Vorfall „versehentlich“ erfolgt ist? Merkt Google nicht, wenn mehrere hundert Gigabyte Daten (laut Süddeutsche Zeitung 600 GB) gesammelt werden, weil statt nur der Positionsdaten auch Paketdaten mitgesnifft werden? Oder werden wir einfach nur belogen und betrogen?
Und zuletzt: Wo belügt uns Google eigentlich noch überall?
Nachtrag:
Der Clou ist jetzt, dass Google behauptet die Daten nicht mehr einfach löschen zu dürfen, weil sie ja Beweismittel in einem Kriminalfall sein könnten. Ich denke, Google hebt die Daten einfach mal auf bis Gras drüber gewachsen ist. Das wäre zumindest typisch für das bisherige Verhalten der Datenkrake.
Nachtrag 2:
Kris Köhntopp schreibt, dass das ein normales Verhalten einer Bibliothek wäre, dass im Monitor Mode einer Netzwerkkarte halt Pakete mitgeschrieben werden. Deshalb wäre das ein lässlicher Fehler und Spiegel und Co. übertreiben da alle (und ich natürlich auch). Naja, wenn man wie Kris grundsätzlich alles in eine MySQL-Datenbank schreibt und dann erst analysiert muss man wohl zu diesem Ergebniss kommen. Ich habe allerdings selbst schon WLAN-Sniffing Software programmiert. Und ja, natürlich liest die Bibliothek im Monitor Mode alle Pakete mit, aber nein, die landen nicht alle auf der Festplatte. Die werden in Echtzeit von der Software analysiert und die interessanten Pakete schreibe ich mit. Das darf Kris gerne mal mit seiner Aircrack Suite probieren. Die kann nämlich auch z.B. nur IVs mitschreiben und den Rest nicht. Und zwar OHNE, dass alle Daten auf einer Festplatte gespeichert werden müssen.
Ich glaube immer noch, jeder der von Anfang an so ein Projekt entwirft, überlegt sich welche Daten er braucht und schreibt genau diese Daten mit. Und wenn Google mehr Daten mitgeschrieben hat, dann nicht, weil das ein versehen war sondern weil von Anfang an geplant war, alle Daten mitzuschreiben. Warum, ist mir dann eigentlich auch völlig egal.
6. Mai 2010
Der US-Bundesstaat Massachusetts hat ein neues Datenschutzgesetz erlassen. Das kann interessante Folgen haben, wenn es wirklich konsequent angewandt wird. Im Gesetzestext (PDF) stehen nämlich ein paar spannende Formulierungen:
„The provisions of this regulation apply to all persons that own or license personal information about a resident of the Commonwealth.“
Das bedeutet wie im amerikanischen Recht üblich, der Schutz gilt nur für Amerikaner und in diesem Fall auch Kanadier, Briten, Australier etc., also alle Commonwealth-Staaten. Nicht jedoch für Franzosen, Deutsche, Italiener, etc. Irgendwie haben es die Amerikaner generell nicht so mit universellen Rechten. Die meisten Schutzrechte gelten nicht für alle Menschen sondern nur für US-Bürger.
„Every person that owns or licenses personal information about a resident of the Commonwealth …“
Im BDSG gibt es die Beschränkung, dass z.B. ein Datenschutzbeauftragter erst notwendig ist, wenn eine Mindestzahl von Mitarbeitern mit der Datenverarbeitung betraut sind. Die Amis ziehen das glatt für jede Person durch. Notfalls also auch für Kinder und Jugendliche. Auch wenn es da Einschränkungen nach Wert der Daten und individuellen Möglichkeiten zum Schutz gibt.
„Encryption of all transmitted records and files containing personal information that will travel across public networks, and encryption of all data containing personal information to be transmitted wirelessly.“
Ok, soweit so gut. Was ist mit z.B. Telefonnummern oder Kontakten (persönliche Daten!) die ich per SMS verschicke? Zukünftig verboten? Gut, die Amis nutzen kein SMS, aber im Prinzip?
„Encryption of all personal information stored on laptops or other portable devices;“
Mein Telefon kann gar keine solche Verschlüsselung. Sind diese Geräte zukünftig verboten? Oder wird es demnächst viele neue leicht zu bedienende Verschlüsselungsgadgets geben? Oder passiert gar nichts?
Ich werde das mal bissi beobachten.
(via Netzpolitik)
7. April 2010
Die Süddeutsche Zeitung hat einen schönen Artikel über das Profiling, das Google bei den eigenen Mitarbeitern durchführt. Ich empfehle, den zu lesen. Google mag sicher extrem sein, viele andere große Unternehmen setzen in Teilbereichen aber ähnliche Verfahren sein. Das ist einer der Gründe, warum ich mich von großen Konzernen bisher weitgehend ferngehalten habe. Sehr schön ist der letzte Satz:
„Fürsorglicher kann ein Unternehmen zu seinen Mitarbeitern kaum sein.“
Wie wahr. Und welch feine Ironie 🙂
1. April 2010
Bei Online-Bestellungen hat man ja ein 30-Tage Rückgaberecht, wenn einem die Waren nicht gefallen. Interessant wird das bei Bestellungen, die zum Download angeboten werden. Beispielsweise hatte ich neulich in einem Online-Shop eine Software bestellt, die per Download ausgeliefert wird. Nur der Schlüssel zur Installation wird per E-Mail zugestellt. In der E-Mail fand sich dabei folgender bezeichnender Satz:
„Sollten Sie sich entschließen, Ihre komplette Bestellung zurückzusenden, bitten wir Sie, einen Ausdruck dieser EMail beizulegen, damit Ihnen keine Unanehmlichkeiten entstehen.“
So ganz klar ist mir das jetzt nicht. Ich gebe den Installationsschlüssel zurück, wenn ich die E-Mail ausdrucke und zurückschicke? Und was sind diese ominösen „Unanehmlichkeiten“[sic]? Kommt dann Russia Inkasso bei mir zu Besuch? Oder kann ich den Shop mit einer 7-beinigen Spinne besänftigen? Immerhin wurde die letzte für viel Geld bei Ebay verkauft.
Nachtrag:
Die Software gab es als Promo übrigens umsonst im Shop 🙂
15. März 2010
Heute nicht ganz so zufällig, die Themen haben das gemeinsame Leitmotiv des Urheberrechts und geistigen Eigentums und wie man sich eine gewisse Unabhängigkeit schaffen kann.
All Your Apps Are Belong to Apple
Die Electronic Frontier Foundation (EFF) hat sich von der NASA den Lizenzvertrag der Software-Entwickler mit Apple erklagt und erschreckendes zu Tage gefördert:
„If Apple’s mobile devices are the future of computing, you can expect that future to be one with more limits on innovation and competition than the PC era that came before. It’s frustrating to see Apple, the original pioneer in generative computing, putting shackles on the market it (for now) leads.“
Erstaunlich, dass bei diesen Lizenzbedingungen überhaupt jemand für Apple Software schreibt. Aber Gier frisst bekanntlich Hirn.
Dein Twitter gehört dir nicht!
„Viele, die munter Fotos hochladen, anderen Applikationen Zugriff auf ihre Social Media gewähren oder sonstwo etwas posten, haben noch nie wirklich nachgelesen, welche umfassenden Rechte sich viele Betreiber auf das geistige Eigentum der Teilnehmer vorbehalten.“
Wovon schreib ich eigentlich die ganze Zeit?
Jetzt backe ich sie mir selbst
„Micro blogging wird immer poulärer. Doch Dienste wie Twitter haben ein 140-Zeichen-Limit für die Nachrichten. In der Kürze liegt die Würze, ja, doch wenn manchmal die halbe Nachricht für lange URLs draufgeht, macht es keinen Spaß mehr. […] Aber wer weiß, wann so ein kostenloser URL-Kürzer seinen Laden dicht macht – und dann sind alle Short-URLs futsch! Nicht so, wenn ich meinen eigenen Dienst nutze.“
Sehr schöne Anleitung 😉
9. Februar 2010
Paypal zahlt in Indien kein Geld mehr aus. Nicht etwa nur bei einzelnen Accounts sondern bei allen!
Begründung: „to respond to enquiries from the Indian regulators“. Meine Interpretation auf Deutsch: Paypal hat gegen diverse indische Gesetze verstoßen und die Inder haben den Laden erstmal zugemacht.
Wie lange das dauert: „Personal payments to and from India will be suspended for at least a few months until we fully resolve the questions from the Indian regulators“. Auf Deutsch: Wir wissen nicht, ob wir die Geschäftstätigkeit in Indien überhaupt wieder aufnehmen dürfen.
Klingt sehr vertrauenswürdig. Aber in Deutschland will Ebay die Händler zwingen, dieses Paypal zu verwenden. Ein wenig mehr im Paypal-Blog hier und hier. Und viel mehr hier.
27. Januar 2010
Wie sagt Fefe: Captain Obvious war auch schon da:
Secondary credit card security systems for online transactions such as Verified by Visa are all about shifting blame rather then curtailing fraud, Cambridge University security researchers argue.
schreibt The Register. Also wenn man mit so einer Aussage schon Wissenschaftler an der Cambridge University werden kann, dann wundert mich nicht mehr, dass da keine Nobelpreise mehr gewonnen werden. Bei der ganzen vorgeblichen Sicherheit von Kredit- und EC-Karten geht es nicht um Sicherheit sondern darum, wer am Ende der Dumme ist der für den Schaden aufkommen muss.
In Deutschland ist der Dumme fast immer der Kunde, weil die Richter am BGH nicht rechnen können. In Großbritannien haben sie intelligentere Richter (also nicht den typischen Alois Eschenberger, der bei uns in den meisten Gerichten Recht spricht). Deshalb gibt’s bei den Briten eben Chip&PIN, bei uns Magnetstreifen und Skimming.
Ich kenne viele Sicherheitssysteme deren Aufgabe nicht die höhere Sicherheit sondern lediglich das Verschieben des Schuldigen ist. Aber mal ehrlich, wundert das jemanden?
27. Dezember 2009
Das Fotografieren und Filmen im öffentlichen Raum ist (sofern man Persönlichkeitsrechte beachtet) in Deutschland nicht verboten. Es sei denn, die Policy ist bar jeder Rechtsgrundlage anderer Meinung und erfindet eine theoretische Gefahr durch einen potentiellen Angriff durch das Fotografieren.
Christoph Faulhaber hat das ausprobiert und wurde prompt aus den USA ausgewiesen.
Denn wenn der Behördenapparat die Sicherheit gefährdet sieht, sind die Grundrechte in der Praxis nichts mehr wert. Grundlegende Bildung wie das Zitat von Benjamin Franklin gehört in Deutschland nunmal nicht zur Staatsbürgerkunde.