9. Februar 2008
Bei McDonalds gibt es auf dem Tablett ja immer diesen buntbedruckten Zettel. Interessant finde ich vor allem die Rückseite davon. Dort stehen nämlich die Kalorien und vor allem die allergieauslösenden Stoffe schön verteilt auf die diversen Produkte.
Besonders fies scheint der McChicken zu sein. Da ist laut Auszeichnung fast alles drin: glutenhaltiges Getreide, Eier, Erdnüsse, Soja, Milch, Schalenfrüchte, Sellerie, Senf, Sesamsamen sowie Schwefeldioxid und Sulfite. Na gut, bei den Ernährungsinformationen auf der Webseite sieht es nicht ganz so krass aus (u.a. steht bei Erdnüsse, Sellerie und Sulfit jetzt nein) aber die gedruckte Fassung ist von September 2007, kann also auch nicht ganz veraltet sein.
Sehr zu empfehlen ist übrigens der Tee. Keine Kalorien und keine Allergene. Und warum ist im Kakaogetränk Classico eigentlich Soja drin? Naja, wer trotzdem (oder deshalb) noch gerne hingehen möchte, findet hier ab und an Gutscheine zum Download.
Ach ja, der Hintergrund ist, dass jeder bei McDonalds jetzt täglich eine Stunde im Internet surfen kann. Das reicht bequem um kurz Mails abzurufen oder einen Blogeintrag zu schreiben. Und das wiederum ist ein McCooler Service.
8. Februar 2008
Das Anmelden hier und da und dort auf diversen Portalen im Internet ist manchmal eine mühsame Angelegenheit. Da gibt es die einen, z.B. Hotmail, Yahoo Mail aber auch diverse Kommentarfunktionen von Blogs, die mit Captchas arbeiten. Captcha ist die Abkürzung für „Completely Automated Public Turing test to tell Computers and Humans Apart“, auf Deutsch etwa „Vollautomatischer, öffentlicher Turingtest um Computer und Menschen unterscheiden zu können“. Ein Turingtest ist wiederum ein Test der der von Alan Turing aufgeworfenen Frage nachgeht, ob Computer intelligent sein können. Vereinfacht unterhält sich dabei ein Mensch mit einem Computer und wenn die Maschine nicht als Maschine identifiziert werden kann, dann ist der Computer intelligent genug. Die Idee eines Captchas ist also, anhand irgendeines Rätsels automatisiert unterscheiden zu können, ob sich am anderen Ende eines Webinterfaces tatsächlich ein Mensch oder eine Programmroutine befindet. In der Praxis ist der Turingtest eigentlich nicht aussagekräftig aber egal.[*] Und Alan Turing kennen wir, denn das war der geniale Mathematiker, der viele Grundlagen der Computertechnik geschaffen sowie im 2. Weltkrieg die deutsche Enigma geknackt hat.
Zurück zu den Captchas. Hotmail, Yahoo Mail und Co. erlauben es echten Menschen, sich dort anzumelden und eine beliebige Mailadresse zu generieren. Außerdem werden solche Mails von vielen Mailservern angenommen und nicht pauschal verworfen, da sehr viele Leute solche Adressen haben. Für Spammer ist das sehr sehr interessant. Über so große Mailer kann man in kurzer Zeit eine Vielzahl von Spam verschicken wenn man einen Mailaccount hat. Der wird zwar relativ schnell wieder geschlossen, aber dann macht man eben den nächsten auf. Nur dumm, dass die Captchas das verhindern sollen.
Dafür werden die Spammer immer kreativer. Es gib inzwischen eine Vielzahl von Programmen, die Captchas automatisch mittels OCR und diversen Algorithmen erkennen können. Die Seite PWNtcha gibt einen guten Überblick des aktuellen Stands. Die meisten auch für Menschen relativ leicht lesbaren Captchas sind längst berechenbar und die, die nicht berechenbar sind, kriegen die meisten Menschen auch nicht auf die Reihe. Von Barrierefreiheit will ich gar nicht erst reden.
The Register berichtet zur Zeit von einem Trojaner, der sich auf Windows-Systemen einnistet und versucht, einen Windows Live Account anzulegen. Das Captcha wird an einen von den Spammern kontrollierten Server geschickt, dort berechnet und der nötige Eingabetext zurückgeschickt. So werden die Live Accounts unauffällig von vielen verschiedenen IP-Adressen angelegt. Klug ist auch, den Algorithmus zum Captcha-Dekodieren nicht in den Trojaner einzubauen, die Captchas könnten sonst zu leicht angepasst werden.
Eine andere Variante ist bei Golem zu finden. Dort haben die Spammer ein Strip-Programm geschrieben, das die Captchas lädt, den gierig lechzenden Spanner an der Tastatur das Captcha dekodieren lässt und anschließend damit einen Spamaccount erzeugt. Sehr cool, so etwas.
Alles in allem bieten Captchas daher längst nicht mehr den benötigten Schutz und nerven statt dessen immer mehr die Anwender, die Captchas oft erst nach dem dritten oder vierten Versuch richtig entziffern können.
Über den Unsinn von Rechenaufgaben schreibe ich nicht schon wieder.
[*] In der Praxis fallen Menschen sogar auf die dümmsten automatisierten Programme wie Eliza herein. Ich erinnere mich dunkel an ein automatisches Chatprogramm, dass Leute sogar dazu gebracht hat, persönliche Daten bis hin zu Kreditkartennummern und Kontodaten herauszurücken. Es gibt zwar keinen Computer der intelligenter als alle Menschen sind, aber es gibt immer einen Menschen der noch dümmer als ein Computer ist.
Ich geh jetzt Blade Runner kucken, da kommt auch so eine Art Turingtest zur Identifizierung der Replikanten vor 🙂
Wo Rauch ist, ist auch Feuer, heißt es im Volksmund. Manchmal dient viel Rauch aber möglicherweise auch dazu, vom eigentlichen Feuer abzulenken. Bei den zerstörten Seekabel im Nahen Osten wäre das zumindest theoretisch denkbar.
Inzwischen sind anscheinend schon sechs Kabel beschädigt:
- Das SeaMeWe-4 South East Asia-Middle East-Western Europe-4 nahe Penang Malaysia
- Das FLAG Europe-Asia bei Alexandria
- Das FLAG ab der Küste von Dubai
- Das FALCON bei Bandar Abbas Iran
- Das SeaMeWe-4 ebenfalls Alexandria
- Das Kabel zwischen Qatar und United Arab Emirates von Qtel
Die Ägyptische Regierung hat zumindest in einem Fall behauptet, das könnte nicht durch ein Schiff passiert sein, in einem anderen Fall wurde ein tonnenschwerer Anker geborgen, der direkt auf dem Kabel lag und es durchtrennt hat. Nur, wie leicht und oft verliert ein Schiff so einen Anker?
Nehmen wir einmal an, ich wäre daran interessiert, den kompletten Datenverkehr abzuhören, der über diese Kabel übertragen wird. Und nehmen wir einmal an, ich würde auch über geeignete Technologien (wie z.B. ein U-Boot) verfügen, um an die Kabel heranzukommen. Dann wäre es doch sicher interessant, in so ein Glasfaserkabel eine Abhöreinrichtung einzubauen.
Leider werden solche wichtigen Datenleitungen gut überwacht. Das Auftrennen einer solchen Faser mit Einbringen eines Spleiß und anschließendem wieder Verkleben führt naturgemäß zu einer Unterbrechung die sofort vom Betreiber bemerkt wird. Mit verschiedenen Techniken kann man die Entfernung zum Kabelbruch bestimmen und weiß, wo man nachsehen muss.
Was aber, wenn das Kabel sowieso schon defekt ist und man auch weiß, wo die defekte Stelle ist? Niemand überwacht dann noch das Kabel. Nichts einfacher also, als an einer Stelle das Unterseekabel bewusst mit einem Anker den man „zufällig“ verliert zu zerstören und dann an einer ganz anderen Stelle mit einem U-Boot geschickt die Abhöreinrichtungen einzubringen. Das wäre nichts neues, die Engländer haben vergleichbares bereits im 1. Weltkrieg gebracht. Die USA verfügen mit der Jimmy Carter, einem Spezial-U-Boot, sogar über die benötigten Schiffe, eine Trockenkammer auf dem Meeresgrund abzusetzen um an einem Unterseekabel zu arbeiten.
Wenn die USA also demnächst mit ganz neuen Erkenntnissen über den Iran oder Saudi Arabien oder Bin Laden auftrumpfen und sich niemand erklären kann, wie sie an diese Informationen gekommen sind … dann denkt an diesen Artikel 🙂
Quellen und Ideen:
Bildnachweis: Wikipedia
Nachtrag:
Ich vergaß zu erwähnen: Bielefeld gibt es nicht.
Von der Ersten Allgemeinen Verunsicherung gibt es das schöne Lied „Banküberfall“ (köstlich: die englische Fassung mit Ba-Ba-Bankrobbery) mit der ach so treffenden Zeile:
Das Böse ist immer und überall!
Inzwischen trifft es vermehrt seriöse Webseiten, die von irgendeiner dritten Seite Inhalte, beispielsweise Werbebanner einblenden. Eigentlich ist das Thema nicht neu, die erste große Runde machte das Problem 2004 durch die Firma Falk eSolutions. Inzwischen werden gezielt bösartige Werbebanner eingeblendet. Entweder, um nur Nagware auf die Rechner der Nutzer zu bringen wie Heise berichtet oder, was eher wahrscheinlich ist, um die aktuellen Sicherheitslücken in diversen Webbrowsern, in Quicktime oder Java auszunutzen und Schadprogramme direkt auf dem Rechner zu installieren. Selbst Microsoft Expedia war davon betroffen.
Interessant ist die Reaktion der diversen Computerzeitungen. Mit konkreten Hilfestellungen hält sich beispielsweise Heise sehr sehr vornehm zurück. Die britische The Register empfiehlt den Lesern immerhin, Firefox zusammen mit NoScript einzusetzen. Der Grund ist klar. Idealen Schutz bringt erst die Kombination aus Firefox, NoScript und Adblock/Adblock Plus, am besten noch kombiniert mit einer restriktiven Hosts-Datei. Werbebanner die gar nicht erst geladen werden, können nämlich keinen Schaden anrichten und außerdem lädt die Seite deutlich schneller, wenn nicht von diversen anderen Servern irgendwas dazugeladen werden muss. Das Problem dabei, solche Hinweise würden das werbefinanzierte Geschäftsmodell vieler Webseiten zerstören.
Ich persönlich halte solche Drive-by-Schadprogramme für viel gefährlicher als Sicherheitslücken im Internet Explorer oder Klickbetrug bei Google-Ads. Wenn erstmal dem normale Internetsurfer bewusst wird, welche Gefahr durch Werbebanner auf eigentlich harmlosen und seriösen Seiten entstehen kann, dann ist das Geschäftsmodell „werbefinanzierte Webseite“ tot. Und das wäre meines Erachtens schade.
Lösungsansätze?
Nun ja, eigentlich sehe ich nur wenige. Am besten wäre es, zurück zu (relativ) statischer Werbung zu kommen. JPGs und GIFs kann man relativ einfach kontrollieren und richten nur wenig Schaden an. Inzwischen dominieren aber Javascript-aufgemotzte Layer-Ads und Flash-Movies den Werbemarkt und diese Entwicklung lässt sich kaum zurückdrehen. Den Anbietern von werbefinanzierten Seiten bleibt nur, sich den Werbeanbieter genau anzusehen und jede veröffentlichte Werbung bei der Freischaltung und regelmäßig zu kontrollieren. Da jedoch auch das keine 100%ige Garantie gibt rate ich persönlich ja dazu, sich selbst zu schützen. Und das geht anscheinend nur in der Kombination Firefox + NoScript + Adblock/Adblock Plus.
7. Februar 2008
gute Beschreibung bei Heise, damit ich den wiederfinde.
6. Februar 2008
Das steht als große Überschrift auf dem Trend Micro ProtectLetter, Ausgabe Nr. 53 vom November 2007, den ich leider erst heute beim Distributor meines Vertrauens in der Cafeteria gefunden habe.
Ganz großes Kino … habe ich mir gedacht. Jetzt gibt es Viren und Schadprogramme schon für die Playstation 3. Wie gut, dass Trend Micro für uns die Welt rettet. Und ich fühlte mich doch gleich wieder an Password Swordfish erinnert, der Film, der von F5 gesponsort wurde, damit 1,7 Sekunden lang ein leuchtender roter Ball im Bild zu sehen ist. Andererseits … habe ich gestutzt, mir ist von Playstation-Viren doch noch gar nichts bekannt. Handyviren wie Cabir gingen durch alle Zeitungen, da müsste ich über die Playstation was gehört haben. Also Google gefragt.
Es gibt tatsächlich mehrere Viren für die Playstation: „Virus, Die Seuche der Aliens“ beispielsweise. Ein düsteres Endzeit-Szenario mit intelligenten Aliens und schönen Hintergründen, angeblich sogar abwechslungsreich und spannend. Und „Zombie Virus„, in dem man als Spieler mit einem Krankenwagen Überlebende einsammeln und ins Krankenhaus bringen soll. Ich fürchte nur, vor schlechten Spielen schützt uns Trend Micro nicht wirklich.
Im Kleingedruckten des ProtectLetters steht noch: „Gefährliche Webseiten werden blockiert“. Beim Aufruf einer Webseite über die Playstation 3 werden die Adressen offensichtlich an Trend Micro weitergeleitet und mit einer Filter-Datenbank abgeglichen. Dort stehen dann URLs mit „für Kinder ungeeigneten Inhalten“ die blockiert werden können. Vermarktet wird das als „Schützt Ihre Kinder und Ihre Familie vor schädlichen und betrügerischen Webseiten“.
Trend Micro visualisiert das wie folgt:
Also handelt es sich eigentlich um etwas ganz anderes. Geschützt wird gar nicht die Playstation (die schützt sich nämlich sehr gut selber, ist ja kein Windows drauf 🙂 ) sondern der Anwender am Bildschirm. Im Grunde also ein popeliger URL-Blocker. Australien hat für so etwas 51 Millionen Euro bezahlt und ein 16-jähriger den Filter in einer halben Stunde umgangen. Die Computerwoche sieht das offensichtlich ganz ähnlich, dieser Artikel schreibt zum Trend Micro Filter: „Die Freigabe geschieht per Passwort oder über einen geeigneten Workaround, von dem die Eltern vermutlich nie etwas erfahren werden.“ Ich bin begeistert.
Sehr schön auch die FAQ. Die Antwort auf Frage 3 enttäuscht mich allerdings. Wie sollen denn die Kinder Medienkompetenz bekommen, wenn man nicht ab 14 Sexseiten, ab 16 Alkoholseiten und ab 18 Raucherseiten freigeben kann. Und auch die Antwort auf Frage 4: „Um diese Einstellungen zu ändern, müssen Sie Ihr Kennwort eingeben.“ dürfte einige viele Eltern überfordern. Leider ist über die ab April 2008 dafür anfallenden Kosten noch nichts zu erfahren. Interessant wäre der Trend Micro Dienst meiner Ansicht nach sowieso nur, um Seiten wie Marions Kochbuch zu sperren.
Aber es gibt tatsächlich auch Leute im Internet, die nicht so recht verstanden haben, was Trend Micro da anbietet. Vielleicht sollte Aleks M ja weniger Videospiele spielen und mehr lesen? Trend Micro hat den ProtectLetter leider nur bis September 2007 online, die PDFs sogar nur bis 2006. Schade eigentlich.
5. Februar 2008
Manchmal fragt man sich ja schon, haben die Leiter der deutschen Finanzunternehmen noch den geringsten Funken Anstand im Leib? Man erinnert sich ja gerne an das Victory-Zeichen von Herrn Ackermann oder seine Bekanntgabe eines Rekordergebnisses bei gleichzeitiger Entlassung mehrerer Tausend Mitarbeiter.
Im kleinen findet man so ein Verhalten beispielsweise in der Stuttgarter Volksbank wieder. Die Bank hatte Videoaufzeichnungen ihrer Geldautomaten sowie die Daten wer dort Geld abgehoben hatte verwendet, um einer Mutter und ihrer Tochter eine Rechnung über 52,96 Euro Reinigungskosten für die Verschmutzung des Vorraums durch die kleine Tochter zu schicken.
Nun heißt es recht eindeutig im Bundesdatenschutzgesetz, die Überwachung (und natürlich auch die Auswertung) ist nur zur Wahrnehmung berechtigter Interessen und für konkrete Zwecke zulässig. Dazu gehört sicher die Abwehr von Vandalen und Betrügern am Geldautomat. Ob es aber um Hundedreck geht wage ich zu bezweifeln. Besonders kritisch ist dabei der Abgleich der Aufnahme mit den Abhebungen am Geldautomaten zu sehen. Nicht umsonst hat der zuständige Datenschutzbeauftragte des Landes Baden-Württemberg ein paar kritische Fragen an die Bank.
Naive Menschen hätten jetzt eine Entschuldigung und einen Strauß Blumen erwartet. Die Volksbank hingegen sieht laut Heise „grundsätzlich kein Problem“. Gut zu wissen, nun befindet sich wieder ein Unternehmen auf meiner privaten schwarzen Liste der Unternehmen von denen man lieber die Finger lässt. Für mich persönlich wäre dieses Verhalten Grund genug, eine andere Bank zu suchen.
Nachtrag:
Die Stuttgarter Volksbank sieht jetzt plötzlich alles ganz anders und behauptet das Gegenteil. Naja, eigentlich bedauert sie in dieser Pressemitteilung (PDF) nicht das eigene Fehlverhalten sondern nur die daraus folgende Eskalation. Offensichtlich ist die Volksbank immer noch der Meinung, alles richtig gemacht zu haben.
4. Februar 2008
… oder seriös sieht anders aus!
Ich finde es immer wieder lustig, wenn Computerzeitschriften entweder mit schlecht recherchierten Artikeln oder reißerischer Aufmachung sämtliches Vertrauen in die Zeitschrift verspielen. Anscheinend kommt das aber in den besten Familien vor.
Aktueller Anlass: Linux Intern
Die Zeitschrift schreibt in der Ausgabe 01/08: „Das geht nur mit Linux. Die sicherste Firewall der Welt: Bundes-Trojaner, Viren und Spammer ohne Chance“. Ferner wird die Firewall als „Gebirgsfestung“ und „das sicherste Linux der Welt“ bezeichnet. Ok, der Hersteller freut sich, aber als Leser frage ich mich natürlich erst einmal ist der Artikel gekauft oder der Autor bestochen oder warum schreibt er so euphorisch kritikfrei.
Das erinnert mich an einen uralten Artikel in der Chip. Das muss so 1994 herum gewesen sein. Ich habe da gerade an der Uni München Informatik studiert. In der Chip erschien damals ein grottenschlecht recherchierter Artikel über Archie und Veronica, zwei Indexdienste für FTP und Gopher. In gewisser Weise sind das Vorläufer der heutigen Suchmaschinen. Ich war damals Mit-Maintainer des Linux-Distributionsmirrors der TU München und damit Mitbetreiber eines Archie-Servers. Chip bezeichnete die Programme als „konspirative Spionageprogramme“ und zitierte einen nicht genannten Hacker, der darüber Zugriff auf sensible Informationen weltweit erlangt haben wollte.
Ich habe mir danach nie wieder eine Chip gekauft.
Ich glaube, ich werde mir auch nie wieder eine Linux Intern kaufen. Erst recht nicht, da die zu Data Becker gehört.
3. Februar 2008
Ich habe heute angefangen, in der IT-Security relevante Kongresse aufzuführen, um so einen Orientierungskalender für das Jahr 2008 zu schaffen. Aufgeführt werden alle Kongresse, deren Schwerpunkt auf IT-Security liegt, also keine reinen Herstellerveranstaltungen, Hausmessen oder allgemeine Konferenzen auf denen IT-Security nur Nebensache ist (z.B. bei diversen Open Source Konferenzen).
Die Tabelle ist sicher nicht vollständig, darum würde ich mich über jede Ergänzung hier in den Kommentaren freuen. Ein Anspruch auf Aufnahme besteht nicht, die Tabelle ist rein subjektiv nach meinen persönlichen Interessen zusammengestellt.
2. Februar 2008
Aus einer Mail an die Full-Disclosure Mailing-Liste:
„Southwest Airlines has a class of ticket called ‚Business Select‘. This
ticket typically allows you to board the plane first, and because SWA
doesn’t have assigned seating means you have your pick of the seats on
the plane. But there is quite an additional benefit.
You also get a free drink ticket. But they seem to have forgotten
something in the implementation of this: Being your drink coupon is
issued to you when you print your boarding pass. It’s also printed
whenever you *reprint* your boarding pass!
So if you feel like getting drunk on your flight, just print seven or
eight boarding passes, and you’ll have a good flight. I tried this a
couple of weeks ago on a flight from San Diego to Kansas City, and I had
myself 4 free drinks no problem.“
Nice 🙂