31. März 2010

Das BSI warnt … vor dem Umweltbundesamt :-)

Category: Hacking,Internet — Christian @ 19:07

Die Webseite des Umweltbundesamts war mit dem Trojaner Zeus verseucht. Die Deutsche Emissionshandelsstelle (das sind die, die keine starke Authentisierung hinbekommen) warnte ihre Benutzer deshalb per E-Mail, wenn die zwischen 19. und 22. März auf die Seiten zugegriffen haben und behauptet laut Heise:

    „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Trojaner zwar als ungefährlich ein, […]“

Das BSI dementiert jetzt:

    „Das BSI stuft Zeus natürlich nicht als ungefährlich ein. Zeus gehört vielmehr zu den aktuell gefährlichsten und durchdachtesten Bankingtrojanern …“

Auf meinem Rechner hat Microsoft heute übrigens aus der Reihe einen dringenden Patch für den Internet Explorer 8 installiert. Hat das BSI jetzt eigentlich vor der aktuellen IE-Lücke gewarnt? Oder sollte man den IE doch noch verwenden, weil das BSI noch vor Firefox warnt, obwohl der längst gepatcht ist? Bei den Warnungen blicke ich längst nicht mehr durch. Aber Hauptsache, das BSI hat was zum warnen. Beispielsweise vor Sozialen Netzwerken. Irgendwas ist schließlich immer.

iPfusch

Category: Produkte — Christian @ 14:09

Weil’s so schön ist:

Apple Lock-In

Das „Security“ steht offensichtlich nicht nur zufällig in Anführungszeichen, wenn man sich die nette Meldung bei Fefe anschaut. 88 Sicherheitslücken! Code Execution in Rechtschreibprüfung! Wenn man bei AFP den Gastzugang abschaltet, ist er noch an, und man kann auf Dateien außerhalb der Share zugreifen! Nice.

30. März 2010

EFF zweifelt an SSL

Category: Internet — Christian @ 19:28

Genau genommen nicht am SSL-Protokoll sondern an der durch die Zertifikate garantierte Abhörsicherheit. Die EFF vermutet, dass staatliche (insbesondere amerikanische) Stellen die Anbieter von SSL-Zertifikaten zwingen können, falsche Zertifikate auszustellen.

    Soghoian und Stamm beschreiben als möglichen Schutz ein Firefox-Add-on, das Zertifikatsinformationen aller besuchten SSL-Websites speichert.

Das wäre doch mal eine gute Sache. Und Firefox warnt mich immer dann, wenn sich das Zertifikat ändert. Genau genommen der SHA-1 Fingerprint. Am liebsten auch, wenn das Zertifikat nur verlängert wird. Dann kann ich selbst entscheiden ob und wem ich vertrauen will.

Mal nachdenken. Fefe hat vor einiger Zeit einen Bugreport dafür bei Mozilla eingereicht. Carlo von Loesch verweist dort auf das Browser-Addon Certificate Patrol, das diese Funktion angeblich implementiert. Ich habe das jetzt mal installiert und wenn es was taugt, kommt es zur Liste meiner dauerhaften Addons dazu.

Nachtrag:

Freedom to Tinker hat auch drei interessante Beiträge dazu:

Und erwähnte ich eigentlich schon, dass ich das zertifikatsbasierte Sicherheitsmodell von SSL als gescheitert ansehe? Und Karthago muss zerstört werden! 🙂

Google Street View stellt Firma bloß

Category: Internet — Christian @ 19:13

Die Firma AsiaPac Capital Services in der renommierten Luxusmeile Eglinton Avenue in Toronto/Kanada schaut etwas blöd aus der Wäsche. Die Anleger haben nämlich dank Google Street View herausgefunden, dass der erwartete tolle Glastower von AsiaPac in Wirklichkeit ein heruntergekommenes Häuschen mit Imbiss im Erdgeschoss ist. Woraufhin der Aktienkurs prompt von knapp 3 Euro auf souveräne 12 Cent gefallen ist. Und die seriöse Firma mit dem vergilbten Firmenschild und der speckigen Fahne guckt doof aus der Wäsche.

Kann die AsiaPac Google jetzt verklagen?

(von der ARD)

29. März 2010

Googles Remarketing

Category: Datenschutz,Internet — Christian @ 18:28

Weil wir gerade bei Google sind … die taz hat einen Artikel, wie das Remarketing von Google funktioniert. Dabei bekommt ein Nutzer (sofern über den Google-Cookie identifiziert) immer wieder Werbung vom gleichen Anbieter angezeigt, wenn er mal auf eine Webseite eines Anbieters gegangen ist.

    „Die Idee: Der Werbetreibende baut in seiner Website einen Google-Code ein, der den Nutzer erkennt. Surft dieser dann irgendwo anders im Web, werden ihm ab sofort regelmäßig Botschaften von der einmal besuchten Seite gezeigt. „Über eine Million Partnerseiten“ lässt sich der User so gegebenenfalls verfolgen, nur weil er einmal die Website des Werbetreibenden angeklickt hat.“

Spannend. Das funktioniert natürlich nur, weil das riesige Werbenetzwerk von Google so viele Webseiten umfasst, auf denen Google-Werbung eingeblendet wird. Ein Mitbewerber der nur auf wenigen Seiten angezeigt wird, hat dazu gar keine Möglichkeit.

Genau das ist auch der Grund, warum ich so gut es geht versuche, Google Analytics (urchin.js, ga.js, etc.) zu blockieren. Nicht etwa, weil der einzelne Seitenanbieter dann nachvollziehen könnte, woher ich komme und welche Seiten ich in welcher Reihenfolge angeschaut habe. Das darf der gerne wissen und kann das anhand seiner Logfiles eh nachvollziehen. Das Problem ist, dass Google über viele Millionen Webseiten hinweg nachvollziehen kann, was ich angeschaut habe. Und ich finde, das geht Google wirklich nichts an.

Google-Auto beschädigt

Category: Internet,Politik — Christian @ 17:36

In Oldenburg ist das Auto einer laut Polizeibericht „für das Internet tätigen Gesellschaft zur bildlichen Dokumentierung von Straßenzügen“ beschädigt worden. Die Täter haben das Kabel zur auf dem Dach montierten Kamera durchgeschnitten, ein Loch in einen Reifen gestochen und einen Warnhinweis zum Platten hinter die Scheibenwischer der Windschutzscheibe gesteckt.

Vielleicht waren das die Bürger bei denen „Google Home View“ vorbeigeschaut hat:

(Danke Sören)

Nachtrag:

Ja ich weiß, die Google Home View Satire gibt’s schon bissi länger. Aber die passt gerade so schön.

28. März 2010

Random Stuff – 5

Category: Allgemein,Internet — Christian @ 18:34

Spam für das Social Network

Mit Ping.fm gibt es eine tolle neue Spam-Plattform. Golem schreibt dazu „mit 100 Eingabemöglichkeiten 45 Plattformen ansteuern“. Da kann es nicht mehr lange dauern bis die alle vollgespamt werden. Was für ein Glück, dass ich mich aus diesen asozialen Netzwerken bisher weitgehend fernhalten konnte.

Wer klaut schon Viren?

Anscheinend gar nicht so wenige, wenn man dem Artikel auf The Register glauben darf. Das Trojaner-Bastelkit Zeus kommt inzwischen mit einer hardware-basierten Lizenzverwaltung die ähnlich wie Windows auf einem Activation Key basiert. Damit sollen die teuren Funktionen wie Botnet-Fernsteuerung ($ 4000), Echtzeit-Plünderung mittels Jabber ($ 500), Formulareingaben auslesen in Firefox ($ 2000) und Komplettfernsteuerung des fremden Rechners ($ 10000) geschützt werden. Nice.

Schadsoftware direkt vom Hersteller

Weil wir gerade beim Thema sind: in Spanien hat Vodafone Mobiltelefone mit einer Speicherkarte verkauft, auf dem der Conficker-Wurm schon vorinstalliert war. Zum Glück hat das Telefon eine Mitarbeiterin von Panda Security gekauft. Und zum ganz großen Glück hat der Panda-Scanner das Schadprogramm erkannt und ist nicht in den Wolken steckengeblieben.

Audio Captchas für Schwerhörige

Microsoft hat auch gerade ein Problem mit einem Botnetz, in diesem Fall ist es das Pushdo Spam-Botnetz. Das hat nämlich eine recht effiziente Methode gefunden, die Audio Captchas der Microsoft Live Dienste zu zerlegen. Eine Antwortzeit von nur 10 Sekunden bei 50% Erfolgsquote ist schon krass gut für einen automatischen Dienst, der Postfächer nur anlegt um darüber Spam zu verschicken. Ich finde ja, man sollte das Internet für Blinde verbieten. Dann braucht es auch keine Audio Captchas mehr.

27. März 2010

Easterhegg 2010 Fahrplan

Category: CCC — Christian @ 23:21

Meine Agenda:

Karfreitag:

Ostersamstag

Ostersonntag

Ostermontag

Wobei ich am Ostermontag vermutlich nichts mitbekomme, weil meine Freundin darauf besteht, dass ich da für sie Zeit habe. Ich fürchte, das gibt einen Ressourcenkonflikt.

25. März 2010

IT-Begriffe für Journalisten

Category: Hacking,Offtopic — Christian @ 15:06

ich fange dann mal an, IT-Begriffe aus Zeitungsartikeln zu übersetzen:

  • Account geknackt = hat das Passwort erraten (vermutlich der Name des Hundes)
  • Anti-Hacking = Hacking für Firmen, klingt nämlich legaler
  • Chaos Computer Club = Celebrity Name Dropping
  • Computer-Freak = wohnt noch zuhause bei den Eltern
  • Conficker = hat zwar mit dem Thema nichts zu tun, aber wenn „ficker“ drin vorkommt …
  • Cracker = keine Ahnung, klingt aber fies und ist sicher was illegales
  • Empfehlung = von Heise abgeschrieben
  • Ex-Hacker = zu dumm zum Hacken gewesen, darum jetzt „Berater“. Warnt gerne vor der -> Hackergefahr
  • Hacker = kennt sich mit Computern besser aus als der Autor des Artikels
  • Hacker-Angriff = hat was gemacht, was sich der Autor nicht trauen würde oder nicht geschafft hat. Siehe auch -> Hacker-Trick
  • Hacker-Glossar = Erklärung der komischen Wörter mit „z“ (warez) oder fehlenden Selbstlauten (flickr)
  • Hacker-Opfer = hat sein Passwort auf einer -> Phishing-Seite eingegeben
  • Hacker-Skandel = der Autor ist darauf reingefallen
  • Hacker-Trick = so trivial, dass sogar der Autor das geschafft hat
  • Hackergefahr = ein Pseudoexperte und Selbstdarsteller warnt vor irgendwas, das er eigentlich selbst nicht versteht aber cool kling. Siehe auch -> Ex-Hacker
  • Internet-Banking = sehr gefährlich. Nur daran denken genügt schon, um ruiniert zu werden. Sagen zumindest die -> Ex-Hacker
  • Phishing-Seite = die Webseite über die der Autor -> Internet-Banking betreibt
  • Sicherheitsrisiko = Anwender
  • Virenwarnung = Werbung für Virenscanner

Wird bei Gelegenheit ergänzt. Von hier, hier, hier, hier, hier, hier, hier, …

Update

Ok, ich habe die Überschrift falsch geschrieben. Das hätte vermutlich heißen müssen: „IT-Begriffe von Journalisten … was Journalisten schreiben und was sie sich dabei denken“. Beispielsweise steht dann in einem mehr oder weniger seriösen Artikel einer Zeitung die sich mit IT-Sicherheit beschäftigt irgendwo ein völlig zusammenhangloser Satz: „Auch der Conficker kursiert immer noch im Netz“. Da denkt sich der Journalist, „ficker“ zu schreiben ist immer gut. Oder wenn in so einem Artikel steht: „Auch der Chaos Computer Club hat …“ dann denkt sich der Journalist, Chaos Computer Club kennt man und bekannte Namen sind gut für die Suchmaschine. Ob das in den Artikel passt oder nicht ist völlig egal. Und so in Zeitungsartikeln verwendete Begriffe suche ich.

Obama-Hacker, my ass

Category: Hacking,Internet — Christian @ 14:25

Heutzutage wird echt jede Pfeife als „Hacker“ bezeichnet.