5. September 2008
Auf der Cedia Expo in Denver gibt es Neuigkeiten: Der Schlosshersteller Schlage hat mit Brightblue ein System entwickelt, bei dem die Schlösser mit einem vierstelligen Zifferncode ver- und entriegelt werden können. Das besondere daran? Man kann den Code auch über ein Webinterface eingeben, wenn man beispielsweise in den Urlaub gefahren ist und plötzlich merkt, dass man vergessen hat die Tür abzuschließen. Oder wenn die Schwiegermutter vor der Tür steht und rein will.
Über 4-stellige Codes will ich gar nicht mehr lästern. Über Webinterfaces eigentlich auch nicht. Aber die Vorstellung, tausende Haustüren über einen Webserver zu öffnen, das wäre schon lässig. Ich frage mich, wer sich so einen Schwachsinn installiert.
Ach ja, es gibt übrigens ein Fallback-System, wenn z.B. die Batterie des Systems leer ist: Schlüssel 🙂
Gefragt ist eine sichere Authentisierung für VPN und/oder Web über das Internet. Statische Passwörter sind dafür offensichtlich unbefriedigend, gewünscht ist eine sogenannte „Zwei-Faktor Authentisierung“, d.h. zusätzlich zum normalen statischen Passwort soll eine zweite Authentisierung hinzukommen. Mit fallen da spontan mehrere Lösungen ein: Token (so kleine Schlüsselanhänger mit Display die Einmalpasswörter generieren), USB-Token (so ähnlich nur statt Display einen USB-Anschluss), Grid-Karten und Handys.
Im deutschen Markt gibt es scheinbar nicht so viel Auswahl an Authentisierungstoken. Ich wüsste bei den klassischen Token nur drei Hersteller: RSA SecurID, Vasco DigiPass und Kobil SecOVID (Nachtrag: außerdem hat Aladdin SafeWord von SecureComputing gekauft und Entrust hat ebenfalls neue IdentityGuard-Token). RSA funktioniert super, ist aber sehr teuer seit es die Starter Bundles nicht mehr gibt. Vasco kenne ich nicht, die Token waren vor ein paar Jahren aber etwas wacklig und wenig überzeugend. Kobil habe ich mir zum Testen mal bestellt, da gibt es gerade Server + 5 Token + 5 User Lizenz für bissi über 180 Euro netto in der Distribution.
Dann gibt es die USB-basierten Lösungen, die jedoch den Nachteil haben, nicht im Internet-Café nutzbar zu sein. Dafür kann man aber z.B. den Festplattenverschlüsselungskey einer Utimaco SafeGuard Easy darauf speichern. Da weiß ich zwei Hersteller: Aladdin eToken und SafeNet iKey (Nachtrag: man könnte auch die RSA SD800 Token noch erwähnen). Aladdin setze ich zusammen mit Utimaco ein, für die Authentisierung sind mir die USB-Token aber nicht flexibel genug. Mein HP iPaq hat z.B. gar kein USB.
Schließlich gibt es die „wir wollen alles noch billiger“-Variante mit statischen Gridkarten. Das sind meist scheckkartengroße Plastikkarten mit in einer Tabelle angeordneten Zahlen und Buchstaben. Zur Authentisierung muss man dann z.B. wie bei Schiffe versenken A5, C3 und D7 angeben. Da fallen mir ebenfalls zwei Hersteller ein: Entrust IdentityGuard und die Schweizer Savernova. Ich persönlich halte das zwar für SnakeOil aber es gibt tatsächlich Banken die das einsetzen.
Und zu guter Letzt gibt es auch die „ich programmiere mir das selber“-Variante, die meistens daraus besteht, dass man über ein Webinterface seinen Loginnamen und ein statisches Passwort eingibt, dann ein zufällig generiertes Einmalpasswort per SMS auf’s Handy geschickt bekommt, das auch noch eingibt und dann Zugang erhält. Da man so eine Funktion in einer PHP-Anwendung leicht implementieren kann und es diverse E-Mail-to-SMS-Gateways gibt (oder man schließt ein altes Handy seriell an einen Rechner an) kenne ich mehrere Unternehmen, die sich so eine Lösung selbst gebaut haben. Die mTAN (Mobile TAN) einiger Banken ist im Grunde nichts anderes.
Mehr fällt mir zur Authentisierung dann auch schon nicht mehr ein.
Habe ich einen wichtigen Hersteller oder noch schlimmer eine clevere Variante vergessen?
Nachtrag:
Joelle hat mich in den Kommentaren freundlicherweise darauf hingewiesen, dass ich die SafeWord-Token von Aladdin (ehemals SecureComputing) komplett unterschlagen habe. Eine SecureComputing-Tokenbox hab ich sogar noch irgendwo im Schrank stehen, die Teile sind aber tatsächlich nie zum Einsatz gekommen.
Nachtrag 2:
Ok ok, ich schreibe einen neuen Artikel mit einer neuen Herstellerübersicht 🙂
anzusehen bei der ARD: Der erfasste Bürger von Eric Beres, SWR.
Aus dem Nachtmagazin (05.09.2008, 01:05) und den Tagesthemen (05.09.2008, 22:45). Für das Hauptprogramm scheint der ARD das Thema zu sensibel zu sein. Vielleicht hat man Angst, man könnte damit die Politiker in den Verwaltungsräten der Sender zu sehr verärgern.
4. September 2008
Google hat gegenüber Ars Technica angekündigt, die Chrome AGB angeblich überarbeiten zu wollen:
„Es sei nicht Googles Absicht, sich ein solches Nutzungsrecht an den Inhalten der Chrome-Nutzer einräumen zu lassen.“
Ja sagt mal, glaubt denen eigentlich irgendwer noch irgendwas? Ein Riesenkonzern wie Google, der Milliardengewinne einfährt, einen Bösenwert größer als die Deutsche Bank, die Deutsche Post und die Deutsche Telekom zusammen haben (ok, schlechtes Beispiel, das sind ausgerechnet die größten deutschen Pannenfirmen, aber ihr wisst was ich meine) und hunderte Rechtsberater in allen Ländern der Erde beschäftigt soll nicht in der Lage sein, vernünftige AGB zu formulieren? Ha ha. Ich wette, da hat jemand vorsätzlich entschieden, genaue diese Formulierung in die AGB zu schreiben um zu sehen ob es jemand merkt. Hinterher entschuldigen kann man sich ja immer noch.
Das erinnert mich an die AGB von Googles Text & Tabellen. Ich zitiere daraus einen Satz der Stand heute, 04.09.2008 so darin vorkommt:
„Wenn Sie Inhalte in die Dienste einstellen, räumen Sie dadurch Google (und den zur Google Gruppe gehörenden Unternehmen sowie den Vertragspartnern von Google) das nichtausschließliche, weltweite und zeitlich unbeschränkte Recht ein, diese Inhalte für die Dienste zu nutzen, insbesondere die Inhalte zu vervielfältigen und anderen Nutzern öffentlich zugänglich zu machen.“
Eine ähnliche Formulierung mit identischer Bedeutung war bereits vor einem Jahr in der Diskussion. Google hat sich dann gegenüber Golem angeblich davon distanziert und die AGB so umformuliert, dass es etwas harmloser klingt, sich Google aber weiterhin gewaltige Rechte einfach so klaut. Die gegenüber Golem gemachte angebliche Aussage von Google Deutschland: „Google beansprucht keinerlei Eigentumsrechte oder Kontrolle an den mit Google Text & Tabellen erstellten Inhalten.“ widerspricht jedoch klar den AGB und im Zweifelsfall wird sich Google sicher die größeren Rechte wie in den AGB formuliert einräumen.
Wollen wir wetten, dass die Chrome AGB nur ein klein wenig umformuliert werden, die Bedeutung aber identisch erhalten bleibt?
Liebe Google Jungs und Mädels, ich kann mir keinen Konzern vorstellen, der „more Evil“ ist als Google. Auf meiner persönlichen Skala habt ihr inzwischen sogar Microsoft überholt. Schämt Euch.
Heise schreibt, die Stanford University bastelt an einem autonomen Hubschraubersystem, das das Fliegen von einem menschlichen Piloten lernen soll. Ich wäre ja mal interessiert, wen sie da als Fluglehrer engagieren. Ich stelle mir grad so einen Quax, der Bruchpilot vor von dem der Computer das Fliegen lernen soll. Das gibt sicher spannende Schlagzeilen:
„Computergesteuerter Hubschrauber mit noch spektakuläreren Abstürzen in noch kürzerer Zeit.“
Andererseits … dann braucht man dem System das Fliegen gar nicht beibringen. Da genügt es, einfach Windows zu installieren 🙂
Aber im Ernst, ist es wirklich effizienter, dem Computer das Fliegen durch einen Fluglehrer beizubringen und ihn nicht einfach mit voller Rechenleistung im Simulator loslegen zu lassen? Wenn das System lediglich die Flugmanöver lernt, die ein realer Pilot vorfliegt, dann wird es auf Dauer einfach zu beschränkt bleiben, um auf kritische Situationen wie beispielsweise in Krisengebieten flexibel reagieren zu können.
3. September 2008
wie man sieht, aus dem Failblog geliehen.
Laut Bitkom sind letztes Jahr (2007) in mehr als 4100 Fällen insgesamt rund 19 Millionen Euro gemopst worden. Ein Anstieg von 25% gegenüber dem Vorjahr (2006). Die meisten Zugangsdaten werden inzwischen wohl nicht mehr mit billigen Spam-Mails und Phishing-Seiten sondern durch Trojaner, DNS-Redirection, etc. geklaut. Ich habe jedenfalls kaum noch Banken-Spam im Posteingangsfach.
Erstaunlich finde ich in diesem Zusammenhang die Untätigkeit der meisten Banken. Ok, meine Bank hat es jetzt endlich auch mal geschafft, auf iTAN umzustellen. Aber Sensibilisierung der Kunden, vielleicht mal ein Brief wenn wieder aktuell was passiert … komplett Fehlanzeige. Ist aber klar, das kostet Geld und laut AGB sind ja die Kunden schuld wenn was passiert.
Das ist wie mit den Geldautomaten. Anti-Skimming-Module, die effizient verhindern, dass Aufsätze oder Kameras montiert werden können kosten lediglich ein paar hundert Euro pro Geldautomat. Trotzdem haben nur etwa 20% aller Automaten solche Module. Die Skimming-Angriffe sind inzwischen jedoch so gut, dass nicht einmal Fachleute des BKA alle Aufsätze zuverlässig erkennen.
2008 sollen die Zahlen übrigens wieder sinken. Angeblich durch bessere Sicherheitsmaßnahmen der Wirtschaft, ich nehme aber an, hauptsächlich wegen besserer Sensibilisierung der Bankkunden. Inzwischen sollte es sich rumgesprochen haben, dass man für Überweisungen nach Estland per Western Union wegen Geldwäsche verurteilt werden kann. Aber das ist ja unseren BGH-Richtern egal. Hauptsache die Banken kommen gut weg.
Weitere Informationen findet der geneigte Leser bei der Arbeitsgruppe Identität im Internet (A-I3) der Ruhr-Universität Bochum.
Nochmal was lustiges trauriges vom Google Browser:
11. Content licence from you
11.1 You retain copyright and any other rights that you already hold in Content that you submit, post or display on or through the Services. By submitting, posting or displaying the content, you give Google a perpetual, irrevocable, worldwide, royalty-free and non-exclusive licence to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content that you submit, post or display on or through the Services. This licence is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.
Faktisch, zumindest im amerikanischen Recht bedeutet das, Google eignet sich das Urheberrecht für alles an, was mittels Chrome erzeugt, geschrieben und irgendwo gepostet wird. Das kenne wir ja schon von Googles Text & Tabellen.
Geht es eigentlich noch mehr Evil?
Bei uns in der Firma ist die Installation und Nutzung von Google Chrome deshalb verboten.
(via The Register)
Der Google Chrome Browser hat ein paar interessante Eigentümlichkeiten, die uns die wahre Intention von Google deutlich zeigen:
- Klar ist natürlich, dass alle Suchanfragen immer automatisch bei Google landen. Irgendwoher müssen die Suchresultate ja kommen.
- Das gleiche gilt vermutlich auch für alle anderen aufgerufenen URLs, da ja sowas wie die Google Toolbar integriert ist.
Ok, das unterscheidet sich jetzt nicht von anderen Browsern, wenn ich so blöd bin, eine Toolbar zu installieren. Egal ob Google, Yahoo oder Ask.com. Aber jetzt kommt der spannende Teil.
Jede Google Chrome Installation hat lt. Datenschutzbeauftragter Online eine eindeutige ID, die bei jeder Anfrage an Google mitgeschickt wird. Dann genügt es einmalig, sich bei irgendeinem Google Dienst (iGoogle, Google Mail, …) anzumelden und Google hat eine eindeutige Zuordnung der Chrome ID zum User. Selbst wenn man nicht angemeldet ist, kann das gesamte Surfverhalten anhand der Chrome ID nachvollzogen werden und die Zuordnung zum realen Nutzer bleibt ja erhalten.
Oder anders ausgedrückt: Mit Google Chrome hat Google bessere Möglichkeiten zur individuellen Profilierung aller Nutzer als je zuvor. Und das ist 100% Evil.Ich weiß schon mal was definitiv nicht auf irgendeinen meiner Rechner kommt!
(via lawblog)
Nachtrag:
Das gilt sogar für jedes einzelne Zeichen(!) das man in die Chrome-Adresszeile eingibt. Jeder Tippfehler landet also auch bei Google. Andreas Krennmair von synflood.at hat das entdeckt und dokumentiert.
Software:
Google Chrome Browser 0.2.149.27
Tested:
Windows XP Professional SP3
Result:
Google Chrome Crashes with All Tabs
Problem:
An issue exists in how chrome behaves with undefined-handlers in chrome.dll version
0.2.149.27. A crash can result without user interaction. When a user is made to visit
a malicious link, which has an undefined handler followed by a ’special‘ character,
the chrome crashes with a Google Chrome message window „Whoa! Google Chrome has crashed. Restart now?“. It lies in dealing with the POP EBP instruction when pointed out by the EIP register at 0x01002FF4.
Proof of Concept:
http://evilfingers.com/advisory/google_chrome_poc.php
Credit:
Rishi Narang (psy.echo)
www.greyhat.in
www.evilfingers.com
(via Milw0rm)