24. August 2008
Googling around Passwords
The Register hat ein uraltes fast verschimmeltes Fass wieder aufgemacht, den Google Cache. Spätestens seit Johnny Long wissen wir, dass Google sensible Daten nicht nur indiziert sondern möglicherweise auch laaaaaange in seinem Cache vorhält. Das ist praktisch für uns, wenn eine Webseite versehentlich veröffentlichte Informationen schnell beseitigen will. Und natürlich doof für den Webseitenbetreiber.
The Register ist nun aufgefallen, dass man damit teilweise auch ohne Zugangsdaten auf das „Dark Web“ zugreifen kann, jeden Teil des Internets der durch Login und Passwort geschützt ist und deshalb von Suchmaschinen kaum erfasst wird. Einige Anbieter haben dieses Problem erkannt und versuchen Interessenten auf ihre Seiten zu locken, indem Suchmaschinen die kompletten Inhalte passwortfrei präsentiert werden, der normale User sich aber weiterhin anmelden muss.
Jedem ist klar, dass das nicht funktioniert. Entweder ändert der geneigte User seinen Browserstring und mimikriert eine Suchmaschine oder er holt sich die Daten direkt aus dem Cache. Dank Oxy weiß das nun auch jedes Skriptkiddie:
- Find a protected forum.
- Type cache:[http://www.protectedsite.com] into Google. There is also a variation of this which involves disguising your browser as a Google Bot. I am aware that there is a plugin for Firefox that can do this for you.
Na dann … Happy Hacking und beachtet das 11. Gebot!
23. August 2008
Security in VMware scheint immer wichtiger zu werden. VMsafe von VMware selbst gibt es ja schon länger (wobei ich mich frage, warum man einen großen Teil dieser Techniken nicht von Anfang an implementiert hat).
Auf den Zug ist jetzt auch Check Point aufgesprungen und bietet VPN-1 VE als „virtualisierte Firewall“ auf VMware an. Das wird langsam witzig, mit virtuellen Switches und Firewalls zwischen den virtuellen Servern kann man sich eine virtuelle Infrastruktur entwerfen die komplett virtualisiert auf nur einem realen Server läuft. Oder man virtualisiert den auch noch mittels Cloud Computing.
Jetzt gibt es nur noch zwei Probleme:
1. Wo kriegen wir den virtualisierten Administrator her, der nur virtuelles Geld will und keine echten Euro.
2. Was tun wenn reale Hacker den Hypervisor übernehmen weil sooo toll und sicher ist VMware ja auch nicht, wenn man sich die Liste der Bugfixes ankuckt.
Naja. vielleicht lassen sich die Hacker ja auch irgendwann virtualisieren … VMhack sozusagen.
22. August 2008
Sophos hat ein Übernahmeangebot für Utimaco abgegeben. Ich weiß nicht ob ich mich darüber freuen soll.
Utimaco SafeGuard Easy ist die von mir bevorzugte Festplattenverschlüsselung. Das war die erste, die mit Dualboot Windows/Linux zurecht kam, auch wenn es leider noch keine Verschlüsselung für Linux gibt. Auch die Integration von USB-Token zur Entschlüsselung der Systemplatte fand ich nett. Nur das ASCII-Oldschool-Bootmenü war ein klein wenig abschreckend. Mit Sophos habe ich so durchwachsene Erfahrungen. Einerseits gut, dass es einen Virenscanner auf Linux gibt, andererseits hatte ich da einige Probleme mit, wie eingefrorene Prozesse etc. Im Ergebnis hat es Sophos bei mir nie wirklich in eine Produktivumgebung geschafft.
Meine Sorge ist jetzt, dass Sophos die Plattenverschlüsselung mit Virenscanner und Personal Firewall in so ein „Total Client Security“ Paket bündelt. Check Point macht das ja gerade mit der Integration von SecureClient (VPN), Integrity (ehemals Zone Alarm, Personal Firewall) und Pointsec (Plattenverschlüsselung) vor.
Wie gut funktioniert eigentlich die komplette Verschlüsselung der Systempartition mit TrueCrypt?
19. August 2008
Hihi, Probleme mit Skype (einer Ebay-Tochter) haben offensichtlich nicht nur Normalsterbliche sondern auch Staranwälte. Meiner Meinung nach lässt sich gerade beim Service eine rote Linie von Ebay über Paypal zu Skype ziehen. Und zu Skype und Ebay/Paypal habe ich mich denke ich ausreichend geäußert.
18. August 2008
Genode ist ein OS-Framework, also ein Entwurf für ein sicheres Betriebssystem. Ich glaube, dass ein sicheres Betriebssystem möglich ist. Ich denke sogar, die Dresdner ein hervorragendes Know-how für so ein Projekt mitbringen. Vermutlich sogar eher als z.B. die Münchner Universitäten an denen ich selbst studiert habe.
Aber … wer soll das einsetzen?
Klar, es gibt viele Umgebungen in denen ein sicheres vertrauenswürdiges Betriebssystem wünschenswert wäre. Kernkraftwerke zum Beispiel, oder Flugzeuge. Nur, da wird das nicht eingesetzt. In Produktionsanlagen kommt inzwischen der gleiche Windows 2003 Server zum Einsatz wie in jedem Rechenzentrum. Die Produktionsanlagensoftware wird inzwischen auch möglichst günstig auf Standardhardware mit Standardbetriebssystem entwickelt. Da ist kein Platz für komplexe neue Systemumgebungen.
Andere verlässliche Systeme sind entweder eingestellt (z.B. EROS), nur einem eingeweihten Benutzerkreis bekannt (z.B. KeyKOS) oder strebt zwar eine formelle Verifizierung an, kommt jedoch praktisch nicht voran (z.B. Coyotos).
Kurz, ein eventuell interessantes Projekt aus dem sich vielleicht ein paar Ideen in Standardsysteme übernehmen lassen aber nichts, dem man eine glorreiche Zukunft bescheinigen könnte.
Das erinnert mich ein wenig an einen meiner Professoren an der Uni, Prof. Fred Kröger. Ein sehr guter Professor aber spezialisiert auf Temporale Logik, ein Thema das eigentlich niemanden so richtig interessiert. Ich fand Teile davon, beispielsweise den Bereich in dem es um Locks ging ganz interessant aber die gesamte Theorie dahinter ist nichts für mich. Ich konnte keine echte praktische Anwendung dafür finden.
12. August 2008
Ich habe da mal eine Frage zur Handyortung … vielleicht kann mir jemand von Euch helfen.
Wenn ich mich bei irgendeinem Dienst zur Handyortung anmelde, dann muss ich eine bestimmte SMS an eine bestimmte Rufnummer schicken. Locate24 hat dazu eine ganz brauchbare FAQ. Dort steht auch, dass ich als Vodafone- oder T-Mobile-Kunde auch eine SMS an den Netzbetreiber schicken muss, damit die Ortungsoption vom Netzbetreiber freigeschaltet wird. Soweit finde ich das ja ok und wenn ich mich selbst anmelde, dann weiß ich das auch.
Jetzt aber folgendes Szenario … eine Bekannte vermutet, dass ihr Ex (der irgendwann garantiert einmal Zugriff auf ihr eingeschaltetes ungeschütztes Handy hatte) sie für die Ortung freigeschaltet hat und bei irgendeinem Dienst jetzt munter trackt, wo sie sich wann so aufhält. Natürlich ist das illegal. Und natürlich ist es blöd, das offene Handy Fremden zu überlassen aber sogar Geschäftspartner vergessen ihr Telefon gelegentlich am Tisch wenn sie auf die Toilette gehen. Und nun finde ich nirgendwo ein zuverlässiges Verfahren, die Ortung generell wieder beim Netzbetreiber abschalten zu lassen. Bei Picosweb steht was von einer Sperr-SMS aber nicht, ob die nur für diesen einen Anbieter oder generell für den Netzbetreiber gilt.
Frage 1:
Gibt es eine Rufnummer, Auskunftsnummer, SMS Kurzwahlnummer, was auch immer mit der ich bei meinem Netzbetreiber feststellen kann, ob mein Mobiltelefon bzw. meine SIM-Karte für die Handyortung freigeschaltet ist?
Frage 2:
Gibt es eine Möglichkeit, generell die Handyortung beim Netzbetreiber wieder abzuschalten, auch wenn man nicht weiß ob und über welchen Dienstleister die Ortung stattfindet?
Ich habe dazu leider trotz längerer Google-Suche nichts finden können.
1. August 2008
Woran erkennt man am deutlichsten, dass der Bundesbeauftragte für den Datenschutz Peter Schaar ein völlig harm- und zahnloser Bettvorleger ist?
Genau:
“Nach der Unionsfraktion haben sich auch führende SPD-Politiker für eine Wiederwahl des Bundesdatenschutzbeauftragten Peter Schaar ausgesprochen, dessen erste Amtsperiode im Dezember endet.”
*seufz*