8. Dezember 2008
Juhu, die Inselaffen, also die Briten, sind in den wilden 70ern angekommen. Und was haben sie entdeckt? Ein Plattencover der Scorpions von 1976. Virgin Killer. Zugegeben ein reichlich geschmackloses Cover, das heute so niemand mehr drucken würde. Mit einem nackten Mädchen, das durch einen Sprung im Glas nur leicht verdeckt wird. Aber damals waren die Zeiten halt anders. Heute ist man da konsequenter und die Briten haben beschlossen, dieses Cover darf in Großbritannien nicht mehr gezeigt werden. Die Internet Watch Foundation (IWF), die zentrale britische Zensurbehörde hat deshalb die Provider angewiesen, die URL zum Artikel zu sperren.
Technisch ist so eine URL-Sperrung jedoch gar nicht so einfach. Deshalb wird der gesamte Datenstrom an Wikipedia von den großen Providern jetzt durch ein paar wenige transparente Proxies geroutet, die dann die URLs herausfiltern. Ich denke mal, das ist so implementiert, dass für alle IP-Adressen für die eine Sperrung vorliegt das Routing umgestellt wird. So stellt man sicher, dass der normale Datenverkehr nicht über den Flaschenhals Proxy muss, gleichzeitig aber von den bekannten IP-Adressen nicht alles sondern nur einzelne URLs blockiert werden. Jedenfalls deutlich cleverer als die deutschen Pläne mit DNS- und IP-Sperren.
Nur erscheinen im Logfile von Wikipedia jetzt die IP-Adressen der Proxies anstatt der eigentlichen Nutzer und das macht denen natürlich Probleme bei der Vandalensperrung. Soweit könnte uns das egal sein, das dürfen die British Monkeys gerne unter sich ausmachen. Meinetwegen können die auch ihre ganze Big Brother Insel in die Luft sprengen.
Mehr Sorgen machen mir dagegen die deutschen Politiker. Ich kann förmlich sehen, wie Familien- und Zensurministerin von der Leyen sabbernd in ihrem Ministerium sitzt und sich stündlich über den Fortschritt Bericht erstatten lässt. Die Briten haben schließlich die von ihr geforderte „unbürokratische“ Sperrung von Webseiten schon umgesetzt. Die hessischen Lottobetreiber, die den Zugang zu ausländischen Online-Wettbüros eingeschränkt haben wollen sitzen garantiert genauso notgeil daneben mit Tennisarm und erhöhtem Verschleiß an Taschentüchern.
Der CCC wehrt sich noch gegen als Zensur empfundene Sperren aber ich sehe das als Kampf gegen Windmühlen. Die Deutsche Politik ist entschlossen, gegenüber China in nichts zurückzustehen und wenn eine Kontrolle des Internetverkehrs in China möglich ist, dann muss das in Deutschland doch auch gehen. Meine Wette: spätestens im Sommer 2010 gibt es bei den großen deutschen Providern auch so eine Infrastruktur und dann werden wir ja sehen, wer da alles sperren lassen kann.
Ach ja, Wikipedia empfehle ich, den Zugriff auf die Enzyklopädie auch mittels HTTPS zu erlauben. Mit einem echten gültigen Zertifikat, das Man-in-the-Middle-Angriffe verhindert. Dann klappt’s auch nicht mit dem URL-Filter. Leider ist die Verschlüsselung recht rechenintensiv. Da braucht es dann leider auch ein paar 100 Server mehr. Aber das muss uns das Klima schon Wert sein. Oder war’s umgekehrt?
7. Dezember 2008
„Ich habe nichts zu sagen.“
„Super, dann mach doch ein Blog auf!“
Aber selbst da kann man viel falsch machen.
6. Dezember 2008
Eine E-Mail an alle Kunden, Geschäftspartner und Interessenten zu verschicken und dabei alle Empfänger in der „An:“-Zeile anzugeben ist peinlich und freut natürlich die Mitbewerber.
Diese E-Mail dann aber mit einer zweite Mail ebenfalls mit allen Empfängern in der „An:“-Zeile aus dem Internet zurückrufen zu wollen … das zeugt schon von einem grundlegenden Unverständnis darüber, wie das Internet funktioniert.
Ein paar Namen und Adressen sind unkenntlich gemacht.
5. Dezember 2008
Payback liefert großzügig Daten der Karteninhaber z.B. an Real. Rechtsgrundlage: keine. Es genügt anscheinend, wenn ein Partnerunternehmen behauptet, mit einer bestimmten Kartennummer sei möglicherweise oder auch nicht eine Straftat begangen worden. Payback begründet das mit § 28 BDSG, der eine Weitergabe von Daten zur Aufklärung von Straftaten erlaubt. Geprüft wird das bei Payback offensichtlich nicht.
Dazu der Leiter des Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein, Dr. Thilo Weicher, der einzige ernstzunehmende Datenschützer in Deutschland:
„Payback verstößt bei der Datenweitergabe gegen Datenschutzrecht“, sagt Weichert. Aus seiner Sicht beschränkt sich der Missstand dabei nicht auf die Zusammenarbeit mit Real. „Jeder Payback-Kunde muss theoretisch damit rechnen, dass das Unternehmen persönliche Daten ohne Absprache weitergibt – auch wenn es dafür eigentlich keine ausreichende Gründe gibt“, warnt Weichert.
Also nichts neues. Bitte weitergehen. Nur schade, dass es die Privacy Card nicht mehr gibt.
(Zitat und Quelle: Spiegel.de)
Tja … das ist mein VPN-Client, lieber Virenscanner
Aber macht ja nix … wenigstens ist es kein wichtiges Windows Programm.
(und das sind nur die Meldungen von Oktober und November 2008 🙁 seufz)
Nachtrag:
Der Fehler wurde mit dem nächsten Update behoben … aber täusche ich mich oder häufen sich die Probleme mit Virenscannern tatsächlich die letzten Jahre deutlich?
Ich bin ja der festen Meinung, dass Microsoft Vista und zukünftige Systeme mit der Online-Aktivierung und regelmäßigen Überprüfung eines der zentralen Risiken für den zukünftigen IT-Betrieb darstellen wird. Damit meine ich jetzt gar nicht die speziellen Probleme mit DRM sondern beispielsweise die Pleiten und Pannen mit der WGA-Prüfung in Windows. Aber von Microsoft sind wir ja viel Leid gewöhnt und geschäftskritische Systeme betreibe ich inzwischen nicht mehr auf Windows.
Womit ich allerdings nicht gerechnet hätte ist, dass die Online-Überprüfung von Lizenzen direkt die IT-Sicherheit von Unternehmen gefährden kann. Betroffen waren Kunden von SonicWall. Anscheinend hat SonicWall da was mit den Lizenzservern verbockt woraufhin Geräte mit eigentlich gültiger Lizenz, diese verworfen und wichtige Funktionen abgeschaltet haben. Firmen, die sich auf den Schutz und die Sicherheit von SonicWall verlassen haben, waren plötzlich verlassen. Funktionen wie Content Filter (hauptsächlich URL- und Spam-Filter), Intrusion Prevention und Antivirus der SonicWall ES Appliance waren laut Berichten ohne Vorwarnung nicht mehr verfügbar.
Die Kunden sind wohl auch entsprechend sauer:
„I’ll say it to whoever I need to say it to. This is unacceptable,“ wrote a customer using the handle „rhouseholder.“ „We are a 100 million dollar ‚technology‘ defense contractor with serious security considerations, and I can’t just have SPAM and VIRUSES pouring into my network for half a day because your license server went down.“
Ok, wenn die Mitarbeiter unerlaubt nach Pr0n surfen mag mir das vielleicht noch egal sein, dass sich aber ein gültig lizenzierter und bezahlter Virenscanner einfach so abschaltet ist absolut nicht in Ordnung. Wenn die Mailboxen der Mitarbeiter vor Spam und Schadprogrammen überquellen, weil SonicWall ihre Lizenzserver nicht richtig betreibt, dann kann das für die Unternehmen richtig teuer werden. Warum muss das überhaupt online verifiziert werden, alleine das sehe ich schon als gewaltiges Risiko.
Geschäftskritische Infrastruktur darf meiner Ansicht nach nicht mit Produkten aufgebaut werden, die online ihre Lizenzen verifizieren. Das ging schon mal bei Microsoft schief, das ging jetzt bei SonicWall schief und das wird bei anderen Herstellern auch schief gehen. Schade, damit hat sich SonicWall vermutlich aus der Liste ernsthafter IT-Security-Anbieter verabschiedet. Also wenn ich für einen 100 Millionen Dollar Defense Contractor verantwortlich wäre, die SonicWall-Kisten wären noch am selben Tag rausgeflogen!
Klare Empfehlung von mir: Finger weg von SonicWall!
Frage: Weiß eigentlich jemand, wie das mit den Ironport-Appliances ist? Die kriegen meines Wissens ihre Lizenzen auch recht von alleine von irgendeinem Ironport-Server, potentiell mit dem gleichen Problem. Oder sehe ich das falsch?
4. Dezember 2008
Es hat mal wieder eine SnakeOil-Verschlüsselung erwischt, diesmal die Digittrade Security Festplatte, schreibt Heise. Schuld ist der Controller IM7206 des chinesischen Herstellers Innmax. Wer diese Chips aber noch einsetzt ist selber schuld. Die Sicherheitsdefizite hat Heise schon im Februar aufgedeckt. Übrigens ist der Hintergrundartikel schön zum Lesen und erklärt anschaulich, wie man besonders schlechte Verschlüsselung aufdecken kann.
Lustig finde ich den Kommentar des Herstellers: „Der IM7206 bietet nur einen einfachen Schutz und zielt auf den Durchschnittsanwender“
Wie ist das eigentlich zu verstehen? Der Durchschnittsanwender braucht keine sichere Verschlüsselung? Nur die Topterroristen der Al-Quaida? Dabei ist es inzwischen doch genau umgekehrt. Gerade der Durchschnittsbürger braucht starke Verschlüsselung um sich vor Schnüffel-Schäuble und seinen SPD-Komplizen zu schützen. Naja, ich bleibe bei meiner Komplettverschlüsselung mit Utimaco SafeGuard Easy und packe wichtige Dateien dann nochmal in einen eigenen TrueCrypt-Container. Das soll mir erstmal einer zerlegen.
Secunia hat die erste Statistik zur Aktualität von Software auf Windows-Rechnern veröffentlicht. Ganze 2% aller mit dem Personal Software Inspector untersuchten Systeme sind auf einem aktuellen und sicheren Stand.
Nuja, das sind im Grunde sogar noch 1,5% mehr als ich persönlich erwartet hätte und die Tendenz zeigt vermutlich, dass es zukünftig noch weniger Systeme werden.
Patchmanagement ist meiner Meinung nach ja die zweite Defense-in-Depth Technologie nach Antivirus, die uns in den nächsten Jahren um die Ohren fliegen wird.
3. Dezember 2008
Harhar, Google Chrome, der Browser den niemand in Vollbesitz seiner geistigen Kräfte verwenden würde, hat aufgedeckt, dass Facebook lediglich ein gigantischer Phishing-Scam ist. Von den armen Nutzern werden angeblich sensible private Daten abgefragt und in einer gewaltigen Datenbank zusammengefasst um Profile der Nutzer erstellen zu können.
Nachtrag:
Anscheinend war nicht nur Chrome betroffen sondern alle Browser die sich auf die Google Anti-Phishing Datenbank stützen, u.a. Firefox. Und vermutlich war Facebook selbst schuld, weil irgendein seltsamer Werbelink in die Seite eingebunden war, den Google angemeckert hat. Vielleicht sowas.
Zumindest sieht das Elcomsoft so, die russische Firma, die Passwort Recovery Programme (sprich: Hackingtools) für verschiedene verschlüsselte Dokumente u.a. eben auch Adobes Acrobat 9 anbieten.
Das Problem liegt dabei trivial in der Geschwindigkeit, wie die eingegebenen Passwörter zu Hashes verarbeitet werden, die dann als Verschlüsselungskeys eingesetzt werden. Man kann beispielsweise das Passwort nehmen und einen MD5-Hash daraus machen. Das ist sehr schnell aber man kann automatisiert dann eben auch sehr schnell sehr viele Passwörter ausprobieren. Umgekehrt macht es dem Anwender in der Regel nichts aus, wenn der Computer nach Eingabe des Passworts vielleicht 0,5 Sekunden rechnet. Matasano hatte dazu einen detaillierten Artikel geschrieben, den ich hier verlinkt hatte.
Laut Angabe von Elcomsoft lassen sich die Passwörter etwa um den Faktor 100 schneller ermitteln. Das klingt nicht dramatisch, in Kombination mit anderen Verfahren wie beispielsweise die GPUs der Grafikkarten für die Berechnung mit einzuspannen, was ebenfalls einen Faktor von etwa 100 bringt, wird es langsam etwas beängstigend.
Bei Adobe geht der Fehler einher mit dem Wechsel von MD5 auf SHA1 und von AES-128 auf AES-256. Im Ergebnis ist jedoch der Schutz mit Passwörtern bis etwa 8 Zeichen schlechter als in älteren Adobe Acrobat Versionen. Vermutlich hat der Junior Programmierer, der SHA1 implementiert hat, einfach nur keine Ahnung von sicheren Passwörtern gehabt. Für Adobe hat der dumme Fehler jetzt aber anscheinend auch den Vorteil, das teure Public Key Verschlüsselungsprodukt LiveCycle Rights zu vermarkten.
Naja, jetzt ist der Geist aus der Flasche, aktuell kann man wahrscheinlich am ehesten noch empfehlen, die alte 128-Bit Verschlüsselung zu verwenden. Das ist dann nämlich sicherer und gleichzeitig abwärtskompatibel.