15. Juni 2007
Nach einem Bericht auf SecurityFocus will die NATO sich zukünftig auch darum kümmern, kritische IT-Infrastruktur abzusichern.
Ich habe ja schon ein paar mal angemeckert, dass in Europa zu wenig passiert. Aber ob ausgerechnet die NATO dafür geeignet ist … ich habe meine Zweifel. Das erinnert mich ein wenig an das Überfliegen von Demonstranten mit Kampffliegern.
“Wie Kriminelle werden die Bürger gezwungen, ihre Fingerabdrücke beim Staat abzuliefern, ohne dass die Bundesregierung jemals sinnvoll begründet hat, warum diese biometrische Vollerfassung nötig ist”, sagte der CCC-Sprecher Andy Müller-Maguhn.
Der Chaos Computer Club ruft daher alle Bürger auf, die Abnahme der Fingerabdrücke zu boykottieren. Bereits wenn sich ein kleiner Teil der Bevölkerung der erkennungsdienstlichen Behandlung verweigert, kann die Totalüberwachung noch verhindert werden.
Mehr auf der Webseite des CCC
Ich sterbe gleich vor lachen … das ist die schönste Form, Passwörter zu sammeln, die ich je gesehen habe … aber dazu gleich mehr.
Social Engineering ist bekanntlich die beste und erfolgreichste Hacking Technik die es gibt und jemals geben wird. Und wenn man so zu sensiblen Daten und Passwörtern kommt, umso besser. In der Theorie unterscheidet man drei verschiedene Begriffe:
- Computer-based Social Engineering: Das sind alle Betrugsversuche, die Computertechnik beinhalten. Angefangen von der E-Mail vom BKA mit dem wichtigen Attachment (die unser ach so kompetenter bayrischer Innenminister Beckstein beinahe angeklickt hätte, weil er dachte es handelt sich um eine dienstliche Mail. Seine Frau hat ihn davor bewahrt, die gäbe vermutlich auch einen kompetenteren Innenminister ab) über die gängigen Phishing-Webseiten bis hin zu allen möglichen Tricks im Internet.
- Human-based Social Engineering: Also alle Betrugsversuche, die keinen Computer benötigen. Angefangen von den Cold Call Techniken am Telefon zum Wechsel des Anbieters über die Tricks in die Disko zu kommen bis hin zum genialen Diamantendiebstahl neulich in Antwerpen.
- Reverse Social Engineering: Die beste Technik überhaupt. Da muss ich nicht etwa den Benutzer dazu bringen, mit etwas zu geben sondern der Benutzer kommt mit einem Problem bereits zu mir und benötigt eine Lösung.
Computer-based Social Engineering ist dabei in der Regel das einfachste, man erstellt eine clever gestaltete E-Mail oder Webseite und schon ist man dabei.
So wie diese hier von Mark Burnett auf xato.net. Die Idee ist so trivial wie einfach: Ein Eingabefeld und dazu der Text:
Online Password Checker – How Common is Your Password? Just enter your password in the text box and click on the […] button.
Köstlich. Den muss ich gleich mal ausprobieren. Am besten mit unserem Root-Passwort. Da wollte ich schon lange mal wissen, wie gut das ist. Und kluger Weise schreibt er dann auch sofort dazu: „no this isn’t a way to collect your passwords“. Ich bin echt beeindruckt.
Gut, bei Mark ist das vermutlich kein Phishing-Versuch, die Suche geht wirklich zu Google. Ok, Google speichert das Passwort dann die nächsten 24 Monate. Aber die Datenkrake weiß ja sowieso schon alles, oder?