17. Februar 2009

Das „very classified“ Sectera Edge

Category: Offtopic,Produkte — Christian @ 19:02

Wie die informierten Zeitungsleser (also nicht die Bildleser) seit Mitte Januar wissen, darf US-Präsident Obama seinen Blackberry nicht weiter verwenden, weil das RIM-Zeugs dem Secret Service ein wenig zu unsicher ist. Statt dessen kommt ein Sectera Edge des Rüstungskonzerns General Dynamics zum Einsatz. Technische Details hat Intomobile veröffentlicht. Auf den „virensicheren Internet Explorer“ oder den „unhackbaren Windows Mediaplayer“ will ich jetzt gar nicht im Detail eingehen. Das hat Kevin Mitnick schon getan.

Viel lustiger finde ich die Details der Sectera Edge Preisliste (PDF):

  • EDGUUSBC01 – Unclassified USB Cable for file transfer with Unclass PC & required for installing Unclassified Enclave Certificates – 75 USD
  • EDGCUSBC01 – Classified USB Cable for file transfer with Classified PC & required for installing Classified Enclave Certificates – 75 USD

Der Unterschied zwischen einem Unclassified USB-Kabel und einem Classified USB-Kabel ist mir jetzt nicht so ganz klar. Stellt das Classified Kabel sicher, dass keine Daten zwischen den Drähten hängen bleiben oder was? Naja, vermutlich ist das Classified USB Cable für die gleichen Pappnasen, die Ethernet-Kabel mit vergoldeten RJ45-Steckern kaufen, weil dann die MP3-Files besser klingen.

16. Februar 2009

War Driving neu definiert … RFID-Pässe im Vorbeifahren klonen

Category: Datenschutz,Hacking — Christian @ 22:36

Chris Paget just did you a service by hacking your passport and stealing your identity. Using a $250 Motorola RFID reader and antenna connected to his laptop, Chris recently drove around San Francisco reading RFID tags from passports, driver licenses, and other identity documents. In just 20 minutes, he found and cloned the passports of two very unaware US citizens.

(via engadget)

Information spreads at the speed of light

Category: Offtopic — Christian @ 19:23

Meine Zitate des Tages:

    „Information spreads at the speed of light, while ignorance is instantaneous at all points in the known universe.“ (Quelle)
    „The latest innovation [of the two US Capitalist parties] is the photo finish election, where each party buys 50% of the vote, and the result is pulled out of statistical noise, like a rabbit out of a hat.“ (Quelle)

Dmitry Orlov

(via Fefe)

15. Februar 2009

Die Probleme im Online-Banking

Category: Allgemein,Recht — Christian @ 20:21

Weil ich’s gerade sehe und von dort verlinkt werde:

Das Hauptproblem beim Online-Banking sehen die Bundesbürger in der Sicherheit. 64% der Bürger sind der Meinung, beim Online-Banking bestünde ein zu hohes Risiko. Und immer noch 41% sehen ein Problem darin, dass die Banken keine Haftung bei Schäden übernehmen.

Der letzte Punkt ist der, in dem ich die größten Probleme bei der Akzeptanz von Online-Banking sehe. Natürlich übernehmen einige Banken zur Zeit Schäden, die Kunden bei der Nutzung von Online-Banking entstehen. Aber nicht etwa, weil es für den Kunden einen vertraglichen Anspruch gäbe. Das geschieht allein aus dem Grund, Negativschlagzeilen über das Online-Banking zu vermeiden und ist reine Kulanz der Bank. Darauf verlassen kann sich leider niemand.

Ich habe vor einiger Zeit die AGB meiner Bank zum Online-Banking studiert. Frei übersetzt für Nichtjuristen steht da drin: „Online-Banking ist absolut sicher und wenn doch was passiert ist natürlich der Kunde schuld und trägt den Schaden. Der Kunde könne aber der Bank gerne ein Fehlverhalten nachweisen.“ Ich habe meine Hausbank dann freundlich nach einer Kopie ihres Sicherheitskonzepts zum Online-Banking gefragt, denn um das Fehlverhalten nachweisen zu können brauche ich natürlich die relevanten Unterlagen. Fehlanzeige. Ich vermute ja, das Sicherheitskonzept ist so schlecht, dass sich die Bank nicht traut es herauszugeben (und ja, ich habe etwa zwei Jahre in der IT-Sicherheit einer Bank gearbeitet, ich weiß wie da gepfuscht wird).

Praktisch stellt sich das Online-Banking daher für den Kunden als nicht zu durchschauender Komplex dar, der den Banken Kostenvorteile bringt bei gleichzeitiger Risikoabwälzung auf den Kunden. Wenn man gleichzeitig in der Zeitung lesen kann, dass sich viele Banken aus Kostengründen scheuen, Anti-Skimming-Module an ihren Geldautomaten anzubringen (weil das Risiko da trägt ja auch der Kunde), dann ist das Misstrauen gegenüber den Banken völlig gerechtfertigt.

Im Endeffekt brauchen wir deshalb einen verbindlichen, einklagbaren Rechtsanspruch der Kunden, dass Banken die ja auch den Kostenvorteil haben, die durch das Online-Banking entstehenden Risiken ebenfalls übernehmen müssen. Bei Kreditkarten funktioniert das ja auch. Aber das wird nicht ohne Gesetzesänderung über die Bühne gehen, die Rechtsprechung des BGH ist in Deutschland für eine Selbstregulierung viel zu bankenfreundlich.

Die Post will E-Mails ein Drittel billiger anbieten

Category: Offtopic — Christian @ 19:17

Zumindest laut Focus:

    „Neben einer Briefzustellung in Standard- und Premiumqualität gebe es ein weiteres Projekt. Dabei würden Briefe von Unternehmen zunächst an die Post gemailt und dann per Papierausdruck an den Empfänger weitergeschickt.“

Das soll dann gegenüber dem normalen Porto ein Drittel weniger kosten. Komisch, das machen viele Leute die ich kenne mit den E-Mails. Ausdrucken und Abheften. Aber dafür braucht es bestimmt nicht die Deutsche Post.

14. Februar 2009

Kernaussagen des Filter-Gutachtens

Category: Politik,Recht — Christian @ 14:47

Der Wissenschaftliche Dienst des Bundestags hat ein recht ordentlich gemachtes Gutachten (PDF) zu den von der Leyen’schen Internetsperren erstellt. Die Geschichte und Struktur des Internets wird darin kurz zusammengefasst. Außerdem wird im Detail auf die unterschiedlichen Aspekte von Content-Provider (Inhaltsanbieter), Host-Provider (Hostinganbieter) und Access-Provider (Zugangsanbieter) eingegangen. Für mich wirkt das zwar etwas knapp aber korrekt und ordentlich. Von einem „unterirdischen“ Gutachten wie die beratungsresistente Blindgängerin von der Leyen behauptet, kann jedenfalls nicht die Rede sein.

Der zweite Teil des Gutachtens beschäftigt sich mit den rechtlichen Aspekten. Und weil nicht jeder Lust hat, die 27 Seiten zu lesen, hier ein paar Kernaussagen:

  • Eine Sperrungsverfügung ist nur dann rechtmäßig, wenn sie auch verhältnismäßig ist. Die Verhältnismäßigkeit ist dann gegeben, wenn die Maßnahme zur Erreichung des Zieles geeignet, erforderlich und angemessen ist.
  • Es gibt drei Möglichkeiten zur Sperrung:
    • Manipulation der DNS-Einträge am DNS-Server des Access-Providers
    • die Benutzung eines Proxy-Servers (wie in Großbritannien)
    • die Sperrung der IP-Adresse am Router (wie von Arcor probiert)
  • Sperren von IP-Adressen ist trotz Kollateralschaden prinzipiell zulässig.
    • Das VG Düsseldorf stellte dazu fest: „Dass mit der Sperrung einer IP-Adresse wegen Rechtswidrigkeit eines Angebots auch andere legale Angebote mit betroffen sein können, macht diese Methode nicht im Rechtssinne zur Gefahrenabwehr ungeeignet. […]“
  • Jede der drei aufgeführten Sperrtechniken kann mit einem vergleichsweise geringen Aufwand vom Nutzer oder den Anbietern der Inhalte umgangen werden.
  • Um im Internet Sperrverfügungen sinnvoll und effektiv umsetzen zu können, müsste die Struktur des Internets komplett neu gestaltet werden.
  • Hält man sich das große Missbrauchspotenzial, das gerade bei zentralen technischen Filtersystemen besteht, und die Bedeutung der Kommunikationsfreiheit für eine freiheitliche Demokratie vor Augen, so muss diese Gefahr als besonders schwerwiegend angesehen werden.

Was mir in dem Gutachten fehlt, ist eine kurze Analyse anderer Sperrsysteme. Die chinesische Internetsperre „Great Wall of China“ und das dahinter liegende technische Verfahren wird zwar kurz erwähnt, das umfangreiche Jugendschutz-Filtersystem in Großbritannien, das Proxy-basiert ist und erst kürzlich zu erheblichen Problemen bei britischen Zugriffen auf Wikipedia geführt hat, ist leider außen vor geblieben. Ist aber eigentlich auch egal, hätte Frau von der Leyen eh nicht verstanden.

Sehr schön finde ich auch den folgenden, wörtlich übernommenen Satz: „Bei der Betrachtung der Umgehbarkeit einer Maßnahme ist außerdem der Kenntnisstand der jeweiligen Zielgruppe nicht außer Acht zu lassen.“ Übersetzung: Nur weil Frau von der Leyen zu dumm ist, eine solche Sperre zu umgehen, gilt das nicht für den Rest der Bevölkerung! 🙂

13. Februar 2009

Dokumentation des Hacks bei phpbb.com

Category: Hacking — Christian @ 20:52

Nachtrag, weil ich das eben erst gesehen habe … der Hacker von phpbb.com hat exakt dokumentiert, wie er die Webseite zerlegt hat. Die Dateien bei Rapidshare sind natürlich inzwischen blockiert.

PHPBB Password Analysis

Category: Hacking,Work — Christian @ 20:33

Wie durch die Medien bekannt, wurde die Webseite phpbb.com neulich gehackt. Die Angreifer haben Zugriff auf alle Passworthashes bekommen und diese analysiert:

Die Top 20 Liste der verwendete Passwörter:

  • 3.03% „123456“
  • 2.13% „password“
  • 1.45% „phpbb“
  • 0.91% „qwerty“
  • 0.82% „12345“
  • 0.59% „12345678“
  • 0.58% „letmein“
  • 0.53% „1234“
  • 0.50% „test“
  • 0.43% „123“
  • 0.36% „trustno1“
  • 0.33% „dragon“
  • 0.31% „abc123“
  • 0.31% „123456789“
  • 0.31% „111111“
  • 0.30% „hello“
  • 0.30% „monkey“
  • 0.28% „master“
  • 0.22% „killer“
  • 0.22% „123123“

Die Länge der Passwörter verteilt sich wie folgt:

  • 1 character 0.34%
  • 2 characters 0.54%
  • 3 characters 2.92%
  • 4 characters 12.29%
  • 5 characters 13.29%
  • 6 characters 35.16%
  • 7 characters 14.60%
  • 8 characters 15.50%
  • 9 characters 3.81%
  • 10 characters 1.14%
  • 11 characters 0.22%

Und weiter in der Statistik:

  • 16% of passwords matched a person’s first name
  • 14% of passwords were patterns on the keyboard
  • 5% of passwords are pop-culture references
  • 4% are variations of the word „password“
  • 4% of passwords appear to reference things nearby
  • 3% of passwords are „emo“ words
  • 3% are „don’t care“ words
  • 1.3% are passwords people saw in movies/TV
  • 1% are sports related

Psychologe müsste man sein. Oder nee, lieber doch nicht. 🙂

Mehr dazu bei DarkReading.

Internetzensur und Oligopole

Category: Internet — Christian @ 20:13

Randbemerkung:

    „Die inzwischen an den Gesprächen beteiligten acht Zugangsanbieter würden zwar 95 Prozent des Marktes abdecken, aber eben nicht 100 Prozent.“

steht hier bei Heise.

Interessant. Mir war nicht bewusst, dass es lediglich noch acht relevante Zugangsanbieter gibt und der Rest völlig marginalisiert ist. Das ist ja schlimmer als bei den Mineralölgesellschaften. Erstaunlich eigentlich, dass es da noch Wettbewerb gibt.

12. Februar 2009

BackTrack 4 Beta

Category: Hacking,Work — Christian @ 16:39

Die BackTrack 4 Beta wird von Max und Co. zum Download angeboten. Diesmal als DVD-Image, auf eine CD passen die diversen Tools schon lange nicht mehr drauf. 854 MB hat das ISO-Image, sogar 1 GB das VMware-Image. Na dann Happy Downloading 🙂