11. September 2007

Arcor zensiert

Category: Internet,Politik — Christian @ 02:25

diesmal nur Pornographie und natürlich lässt sich die Zensur trivial umgehen, aber es ist ein interessanter Präzedenzfall, dass ein Provider nicht mehr nur DNS-Einträge sperrt sondern jetzt auch komplette IP-Adressen nullroutet. Lustigerweise diesmal anscheinend auf Wunsch von Juguard, einem Verein der  die heimischen Videoverleiher vor der bösen Internet-Pornographie mit dem Argument des Jugendschutzes schützen soll.

Die AGB von Arcor erlauben das, also scheint Arcor sich formal im Recht zu befinden (sofern die AGB wirksam sind, für mich wären die jetzt überraschend). Meine Empfehlung daher: Finger weg von Arcor.

Zum Umgehen nimmt man halt einfach einen beliebigen Anonymisierungsdienst:

oder meinetwegen auch Tor. Aber bitte darauf achten: Das sind alles nur Anonymisierungsdienste, die die Identität schützen, nicht die Datenübertragung. Das kann (und wird) wie Deranged Security gezeigt hat alles abgehört. Also bitte möglichst immer HTTPS, SSL, SSH, PGP, GPG, etc. verwenden.

Oder mit Martin Niemöller:

Als die Nazis die Kommunisten holten, habe ich geschwiegen, ich war ja kein Kommunist.
Als sie die Sozialdemokraten einsperrten, habe ich geschwiegen, ich war ja kein Sozialdemokrat.
Als sie die Gewerkschafter holten, habe ich geschwiegen, ich war ja kein Gewerkschafter.
Als sie mich holten, gab es keinen mehr, der protestieren konnte.

Deranged Security veröffentlicht „Phishing“-Anleitung

Category: Hacking,Internet — Christian @ 01:46

Vor einigen Tagen hat der schwedische Sicherheitsexperte Dan Egerstad in seinem Blog eine Liste von Passwörtern einiger ausländischer Botschaften veröffentlicht. Hier ein kleiner Ausschnitt:

Uzbekistan Foreign Affairs 57.66.151.179 Qohira 5gx7n1e4w9
Iran Embassy in Ghana 217.172.99.19 iranemb_accra@mfa.gov.ir accra
Iran Embassy in Kenya 217.172.99.19 iranemb_kenya@mfa.gov.ir kenya
Iran Embassy in Oman 217.172.99.19 iranemb_muscat@mfa.gov.ir muscat
Iran Embassy in Tunisia 217.172.99.19 iranemb_tunisia@mfa.gov.ir tunisia
Iran Ministry of Foreign Affairs 217.172.99.19 bagheripour@mfa.gov.ir amir1368
Kazakhstan Embassy in Italy 213.21.159.23 kazakstan.emb@agora.it rfywkth
Kazakhstan Embassy in Egypt 213.131.64.229 kazaemb piramid

Die vollständige Liste findet sich in Dans Blog. Ich will jetzt nicht über die Qualität der uzbekischen Passwörter und die tollen iranischen Passwörter reden, das ist dann doch ein wenig langweilig.

Irgendeine wichtige US-Behörde hat die Seite dann ein paar Tage aus dem Netz nehmen lassen, aber natürlich viel zu spät. Die Passwort-Liste hatten ich und viele andere natürlich längst gespeichert. Wenn der Geist erstmal aus der Flasche und im Internet ist, lässt er sich kaum noch wieder einfangen. Das ist wie mit dem geheimen Virtual Earth Bildern.

Interessant ist eigentlich die Art und Weise, wie Dan an die Passwörter gekommen ist. Er hat fünf Exit-Nodes des Anonymisierungsnetzwerks Tor modifiziert und einen Passwort-Sniffer für POP3 und IMAP integriert. Tor bietet halt nur anonymen Zugriff auf einen Client, aber keinen Schutz der übermittelten Daten. Das Problem ist, eigentlich ist das jedem bewusst, aber so richtig Gedanken macht sich keiner darüber.

Egerstad vermutet außerdem, dass einige der Exit-Nodes von staatlichen Behörden, beispielsweise aus den USA, Russland oder China betrieben werden und so gezielt eine große Menge von Daten abgefischt wird. Wichtige Daten sollte man deshalb nur verschlüsselt, per SSL oder HTTPS übertragen.

Der komplette Blog-Eintrag und Heise hat es auch schon gemerkt.

Ach ja, bevor ihr jetzt alle einen Tor Exit-Node aufsetzt: StGB § 202b sagt dazu, wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Also 1. Hacker-Gebot nicht vergessen: Lass Dich nicht erwischen!

Google Maps lässt schwimmen

Category: Internet,Offtopic — Christian @ 00:04

Weil wir gerade bei Live Earth waren … Google Maps ist auch manchmal lustig:

Swim across the Atlantic Ocean, 3462 mi

🙂