17. Juli 2010
Soso, in der DNS-Rootzone gibt es also jetzt DNSSEC.
Ich muss mal darüber nachdenken ob das schon direkte Auswirkungen auf die von-der-Laienschen-Stoppschilder hat. Digital signierte DNS-Antworten sollten sich ja nicht mehr fälschen lassen. Oder kann/darf der DNS-Server meines Providers on-the-fly Signaturen fälschen, wenn er die Antwort manipuliert?
15. Juli 2010
Die ersten großen Provider haben den Run auf handliche De-Mail-Adressen eröffnet. Wobei ich ehrlich gesagt glaube, dass es (außer für manche Firmen) primär eine gemütliche Volkswanderung einzelner unverzagter wird.
Und man sieht auch direkt wieder, warum das mit De-Mail so problematisch wird:
1. Kosten – Teil I
1&1 (GMX, Web.de) plant nach verschiedenen Quellen mit De-Mail Preisen von etwa 15 Cent pro verschickter E-Mail. Gegenüber normaler Post immerhin eine Ersparnis von ca. 40 Cent, wobei mir noch nicht klar ist ob die Sonderleistungen wie Zustellbestätigung extra kosten. Aber wann rechnet sich das? Wir verschicken im Jahr vielleicht ein paar Hundert Rechnungen im Unternehmen. Die Kostenersparnis ist da nicht so gigantisch. Ein vereinfachtes e-Rechnungsverfahren würde vielleicht helfen aber selbst dann stellt sich die Frage, ab wann sich das denn wirklich lohnt. Wir kommunizieren vielleicht 3-4 mal im Jahr mit Behörden. Da kann ich gerade noch ein paar Euro für das Porto aufbringen. Kurz für ein kleines Unternehmen ist da kein echter finanzieller Mehrwert. Für Privatpersonen sowieso nicht.
2. Kosten – Teil II
Die Deutsche Post plant sogar, für De-Mail die gleichen Preise anzusetzen wie für normale Post, nämlich fette 55 Cent. Und nach meinen Informationen sind da die Mehrwertleistungen noch gar nicht enthalten, eine Zustellbestätigung kostet also extra. Da kann ich genausogut bei der normalen Briefpost bleiben. Ich persönliche glaube ja, bei denen hackt es.
3. Rechtsfolgen
Die Rechtsfolgen sind mir noch nicht so ganz klar. Wie löse ich das denn, wenn ich drei Wochen im Urlaub bin? Kann ich da meine Nachbarn den De-Mail Briefkasten leeren lassen wie bei normaler Post auch? Das Reizzentrum hat in die allgemeinen Geschäftsbedingungen der Post bezüglich De-Mail reingeschaut und hanebüchene Forderungen entdeckt. Auch hier kann man nur empfehlen, die Finger von De-Mail wegzulassen. Ich geh doch auch nicht 8x am Tag an meinen Briefkasten.
Eigentlich kann man nur hoffen, das folgende Aussage: „Die Teilnahme an De-Mail ist freiwillig und kostenpflichtig. Bürger wie Behörden dürfen durch keine Verordnungen gezwungen werden, dem De-Mail-System beizutreten.“ aus dem Referentenentwurf es später auch in das De-Mail-Gesetz schafft.
Nachtrag/Korrektur:
Wie Martin in den Kommentaren korrekterweise bemerkt hat: Ich habe im obigen Beitrag leider schlampig geschrieben und nicht zwischen dem De-Mail-Angebot von 1&1, der Dt. Telekom, etc. und dem e-Post-Angebot der Dt. Post unterschieden, das genaugenommen mit De-Mail (erstmal) überhaupt nichts zu tun hat. Ich gehe zwar davon aus, dass e-Post irgendwann die De-Mail-Anforderungen erfüllen wird, das ist heute jedoch nicht der Fall. Unabhängig davon sehe ich jedoch die oben beschriebenen Nachteile weiterhin sowohl für De-Mail als auch e-Post zutreffen, also unnötig hoher Preis für nicht benötigte Leistungen und einseitige Abwälzung möglicher nachteiliger Rechtsfolgen auf den Nutzer.
14. Juli 2010
Die Black Hat Asia findet dieses Jahr Anfang November in Abu Dhabi statt. Wer da schon immer mal hinwollte, der Call for Paper ist bis 1. September offen.
11. Juli 2010
Die Verschlüsselung von Skype wurde mittels Reverse Engineering aufgedeckt. Auf Details müssen wir noch etwas warten. Die gibt es erst auf dem 27C3 im Dezember in Berlin. Als Basis dient ein recht gewöhnlicher RC4, den Skype ein wenig angepasst hat.
Und jetzt gehen direkt die gegenseitigen Vorwürfe los. Skype wirft O’Neil vor, durch seine Veröffentlichung sei das Spam-Aufkommen massiv angestiegen. O’Neil wiederum behauptet, erst das gestiegene Spam-Aufkommen habe ihn zur Veröffentlichung veranlasst, damit Sicherheitsforscher sich mit der Thematik beschäftigen können.
Und ich sage weiterhin: Finger weg von Skype!
Die Bezeichnung „Perfect Citizen“ der NSA für ein Bürgerüberwachungs- und -bespitzelungsprogramm (die NSA bezeichnet es als „Forschungsprogramm“) ist behördlicher Neusprech allererster Güte. Der „Perfekte Bürger“ ist aus Sicht der Behörden schließlich der obrigkeitshörige, verdummte, kritiklos alles mit sich machen lassende Bürger. George Orwell wäre stolz auf diese Verwendung.
Anscheinend bastelt die NSA zusammen mit Raytheon an einem Programm, das potentielle Cyberkriminelle erkennen kann. Der Nachteil: offensichtlich muss man dafür viele Bürger und deren gesamte Kommunikation überwachen, um die Bösen zu finden. Oder wie Raytheon das in einer internen E-Mail bezeichnet: „Perfect Citizen ist Big Brother“. Basic Thinking hat einen ganz netten Artikel zum Thema.
Ich versuche mal ein paar Links zum Thema zusammenzustellen:
Ich kann die Bedenken der Leute gut verstehen. Die NSA möchte zur Erkennung und Abwendung von Cyberangriffen Sensoren in den privaten Netzwerken der Unternehmen installieren. Die befinden sich normalerweise hinter Firewalls und sind daher für die NSA nicht direkt zugänglich. Im Gegensatz zum restlichen Internet, das bei den Providern gut überwacht werden kann. Im ersten Schritt ist die Teilnahme freiwillig und vermutlich werden tatsächlich nur Angriffe wie mit einem IDS analysiert. Aber was ist im zweiten Schritt? Ich kann mit gut vorstellen, dass für alle Anbieter von „kritischer Infrastruktur“ die Teilnahme irgendwann verpflichtend wird und dass spätestens nach dem nächsten Terrorangriff nicht mehr nur Cyberangriffe sondern alle möglichen Daten abgehört und ausgewertet werden.
Und irgendwie erinnert mich das ganze an die Überwachung der Behördenkommunikation durch das BSI.
10. Juli 2010
Symantec ist irgendwie auch eine lustige Firma.
Auf der einen Seite weiß ich nie, wie man den Laden eigentlich aussprechen soll. „Sümantek“ oder „Simantek“ oder „Seimantek“ oder wie sonst? Auf der anderen Seite weiß ich nicht, womit die eigentlich ihr Geld verdienen. Security kann es jedenfalls nicht sein. Ok, Symantec hat da einen sogenannten Virenscanner im Angebot. Der bei uns intern „die gelbe Gefahr“ heißt. Und angeblich soll der so viele Ressourcen benötigen, dass man alleine deshalb vor Viren und Schadprogrammen geschützt ist, weil man mit dem Rechner eh nicht mehr arbeiten kann. Aus dem Firewall-Markt (SGS, kennt die noch jemand?) hat sich Symantec auch verabschiedet, vermutlich weil die Software-Firma keine Hardware-Logistik stemmen wollte oder konnte. Statt dessen wird halt zugekauft, erst SecurityFocus (platt), dann PGP (mal sehen), jetzt Verisign (oh Gott). Der aktuelle tolle Marketingslogan von Symantec: „The last word in online trust“ würde ich jetzt ganz spontan mit „die letzten, denen ich online vertraue“ übersetzen.
Gründe dafür gibt es jedenfalls genug. Beispielsweise das von Symantec zur WM 2010 gestartete Portal 2010NetThreats, in dem Besucher kommentieren konnten und praktisch jeder Link in den Kommentaren zu Spam und anderen potentiellen Malware-Seiten zeigt.
Aber vielleicht haben wir das auch einfach nur falsch verstanden und 2010NetThreats ist eine Seite bei der die Bösen im Internet ihre Malware-Seiten registrieren können, damit die nächste Version des Norton 360% CPU-Auslastung Virenscanners sie auch zuverlässig erkennt.Wer weiß das schon.
9. Juli 2010
Link für mich zur Erinnerung:
Public Proxy Servers
Ich habe keine Ahnung, ob die Server dort vertrauenswürdig sind, die Daten unverändert weiterleiten, von irgendwelchen 3-Buchstaben-Agencies abgehört werden oder was auch immer. Der Link stellt keine irgendwie geartete Empfehlung dar!
Und natürlich würde niemand über einen unverschlüsselten Web- oder Tor-Proxy ein Passwort eingeben, hoffe ich.
7. Juli 2010
Microsoft beispielsweise. Erst mault der Softwarehersteller ständig über Full Disclosure, d.h. wenn Sicherheitslücken komplett für jeden zugänglich veröffentlicht werden (weil die bösen Hacker die Informationen ja auch lesen können), jetzt mault der Softwarehersteller über „Null Disclosure“, d.h. über Firmen die auf gefundenen Sicherheitslücken sitzenbleiben und Details nur gegen bares heraus rücken.
Tja liebes Microsoft. Wer auf soviel Cash sitzt wie ihr muss vielleicht selbst mal ein vernünftiges Bounty-Programm („Prämien für gefundene Sicherheitslücken“) aufsetzen. Dann klappt es auch wieder mit dem „Responsible Disclosure“, d.h. außer dem Hersteller erfährt sonst niemand von der Lücke. Denn ganz ehrlich, Fehlersuche ist harte Arbeit geworden. Die Zeiten als man mit einem billigen selbstgebastelten Fuzzer noch wahre Exploitorgien finden konnte sind lange vorbei. Viele dieser Tests machen die Softwarehersteller inzwischen selbst.
Ob der Weg von VUPEN allerdings richtig ist, erst nach Lücken zu suchen und dann den Softwareanbieter unter Druck zu setzen entweder er zahlt oder die Lücken werden anderweitig veröffentlicht, muss ich allerdings bezweifeln. Und da kann ich wiederum Microsoft gut verstehen, die sich in diesem Fall vermutlich direkt erpresst vorkommen und fürchten für umfangreiche weitere Erpressungen die Tür zu öffnen.
Auf jeden Fall bleibt es spannend.
Ich werde eine neue Kategorie einführen mit für mich lustigen Wikipedia-Artikel die im weitesten Sinne einen IT- oder naturwissenschaftlichen Bezug haben. Die meisten Artikel werden vermutlich aus der englischen Wikipedia kommen, weil die deutsche einfach keinen Humor hat und in der Regel schneller löscht als man Artikel verlinken kann. Aber egal. Mal sehen, was daraus wird.
Heute: ID-10-T Error
ID-Ten-T Error (also seen as ID10T and ID107) is a term often used by tech support operators and computer experts to describe a user error, a problem that is attributed to the user’s ignorance instead of a software or hardware malfunction. It is a masked jab at the user: when ID-Ten-T is spelled out it becomes ID10T („idiot“). It is also known as a „Ten-T error“ or „ID:10T error“.
Bei Userfriendly gibt es einen im Wikipedia-Artikel verlinkten Comic dazu.
Nice.
6. Juli 2010
Eine Studie des Antivirensoftware-Herstellers Avast hat ergeben, dass die meisten Webseiten die versuchen, Benutzer mit Schadprogrammen zu infizieren ganz normale Webseiten und keine obskuren Adult- oder Hacker-Seiten sind. Angeblich kommen 99% der Angriffe von eigentlich legitimen aber infizierten Webseiten:
„HTML files from sub-domain blackberry.vodafone.co.uk still contain malicious code at the time of writing but point to a site containing the attack payload site that has been pulled offline.“
Ich kann mir das gut vorstellen. Immerhin gibt es in vielen Unternehmen URL-Filter die bestimmte Seiten generell blockieren. Dazu gehören eben viele Adult- und Hacker-Seiten. Die Zielgruppe wäre deshalb recht gering wenn sich die Angreifer nur auf solche Seiten stürzen würden. Viel lukrativer sind doch infizierte Werbeserver wie erst vor einigen Monaten wieder bei Holtzbrinck passiert. Damit erwischt man auf einen Schlag tausende nichtsahnender Anwender und hat (weil u.a. genug Firmen noch den Internet Explorer 6 einsetzen) auch eine gute Ergebnisquote.