19. November 2007

Privatsphäre

Category: Datenschutz,Politik — Christian @ 23:04

Privacy ist ja sowas von old school, wen interessiert denn das noch? Ein paar Beispiele:

  • Apple fällt gerne mal unangenehm auf, wenn es um das iPhone geht. Bei einige Anwendungen wie beispielsweise der Abfrage der Börsenkurse oder des Wetters wird eine IMEI-Nummer an Apple übertragen. Das scheint zwar nicht die IMEI des Telefons zu sein, notwendig ist die Übertragung aber trotzdem nicht und sollte daher mit Blick auf die im Bundesdatenschutz geforderte Datenvermeidung unterbleiben.
  • Facebook wiederum observiert gerne mal, wo die User so im Web surfen. Von dritten Plattformen wird das Surfverhalten automatisch an Facebook gemeldet. Die Meldung erfolgt sogar, wenn der Facebook-Nutzer die Ausgabe dieser Daten in seinen Optionen abgeschaltet hat.
  • World of Warcraft wiederum kommt mit einer Software („Warden“) zum Schutz der Spielintegrität, die verschlüsselt und für jeden Anwender unterschiedlich ist (und regelmäßig verändert wird), so dass kein Nutzer mehr sicher sein kann, was Warden tatsächlich macht. Vermutlich werden keine Daten ausspioniert aber leider kann das auch niemand verifizieren um sicher zu gehen.

Ich versuche ja konsequent (auch wenn das nicht immer geht) solche Produkte zu meiden. Insofern kein Apple iPhone kaufen (ist eh nur Hype), nicht World of Warcraft spielen (interessiert mich nicht) und von Facebook, StudiVZ und Co. lasse ich weitgehend die Finger weg (ausgenommen Xing, aber ich pass auf was da steht).

Andererseits frage ich mich (z.B. auch bei HD-DVD und Blu-ray) langsam schon, ob die großen Konzerne den Bürger nur noch für Cashvieh halten und sich nicht mehr um grundlegende Rechte scheren müssen? Aber naja, der Bundesdatenschutzbeauftragte Schaar hat ja auch (unter Verkennung bzw. großzügigen Ignorierens der Rechtslage) den Providern erlaubt, Verbindungsdaten zu speichern selbst wenn sie nicht zu Abrechnungszwecken benötigt werden. Was will man da noch erwarten.

SIPvicious

Category: Hacking,Work — Christian @ 18:20

Am Freitag hat Kollege Matthias wieder eine Hacking-Show … Hacking VoIP auf der CBT Security Tagung in Garmisch-Partenkirchen.

Beim Update der Tools und allgemein so beim Herumschauen was es noch so alles gibt, ist mir SIPvicious aufgefallen, das mir bisher nicht auf dem Radar aufgetaucht ist.

SIPvicious besteht aus vier Hauptprogrammen:

  • svmap, der SIP-Scanner. Er findet und identifiziert SIP-Geräte und SIP-Server und kann SIP-Methoden wie REGISTER oder INVITE verwenden, um die Geräte zu aktivieren.
  • svwar, ein SIP-Wardialer. Damit lassen sich interessante und aktive Rufnummern auffinden.
  • svcrack, ein SIP-Cracker. Damit lässt sich die SIP Digest Authentication brechen. svcrack verwendet dazu eine Reihe von Wörterbüchern mit gängigen Passwörtern.
  • svreport, das Reporting-Tool. Mit diesem Programm lassen sich die Aufrufe der anderen Tools verwalten und fast automatisch Berichte als PDF, XML, CVS und TXT erzeugen.

Alle Programme sind in Python geschrieben, d.h. sie kommen auch komplett im Source Code.

Zu den Tools gibt es ein Blog, das über aktuelle Entwicklungen informiert und Aufrufe dokumentiert, mit denen relevante Informationen gefunden werden können. Sehr lesenswert ist das PDF „How to get the job done„, das beschreibt wie mit Hilfe von SIPvicious und der SIP-Telefonanlage erfolgreich in ein Netzwerk eindringt.

Ein echtes „must see“!

Werbung

Category: Allgemein,Datenschutz — Christian @ 03:09

Eigentlich soll dieses Blog ja werbefrei bleiben. Eigentlich, weil ich natürlich auch ein wenig Werbung für meinen Arbeitgeber, die NESEC GmbH mache. <schamloses Anpreisen>Wer einen Penetrationstest qualifizierten durchgeführt haben möchte …</schamloses Anpreisen>

Jetzt gibt es rechts eine Ausnahme für den AK Vorratsdatenspeicherung:

Stoppt die Vorratsdatenspeicherung - www.vorratsdatenspeicherung.de

Und das ist auch gut so.