Crypto-Wars 3.0

Crypto-Wars 3.0? Mehrteiler sind selten richtig gut, viel zu oft haben die Macher einfach den richtigen Zeitpunkt verpasst aufzuhören. Und wieder gibt es Diskussionen darüber, wie viel Verschlüsslung erlaubt sein soll und welche Hintertüren man für Strafverfolger und Geheimdienste offen lassen soll. Ich persönlich habe auf die Frage ja eine einfache Antwort: Keine.

Weiterlesen

How-To: Den Mac sichern

Während wir Unternehmen wie Google, Apple, Facebook und anderen unsere Daten im Austausch für ein paar Dienste freiwillig überlassen, müssen sich Geheimdienste und Kriminelle andere Wege suchen. Zu diesen Wegen gehört es zum Beispiel Sicherheitslücken auszunutzen. Neben Fehlern in der Software selbst gehören dazu aber auch Lücken und Fehler bei der Konfiguration des eigenen Rechners, auch wenn es ein Mac ist.

Weiterlesen

Manniac erklärt, was ein Überwachungsstaat ist – dieses Video kann man nicht oft genug teilen und verbreiten…

eBay und der Identitätsdieb, der letzte Akt?

Gestern hatte ich noch mal ein Telefonat mit eBay zu der Geschichte um den Identitätsdieb (Teil 1 und Teil 2). Wenig überraschend war es, dass man das bei eBay ein wenig anders sieht mit dem Schutz vor solchen Betrügern und der Meinung ist, einen sinnvollen Weg gefunden zu haben, der ein ausreichendes Maß an Sicherheit garantiert, ohne die Nutzung des Marktplatzes zu weit einzuschränken. Natürlich – hier stimme ich eBay zu – kann es niemals 100%ige Sicherheit geben, aber ich denke immer noch, dass hier eBay als Betreiber der Plattform noch das eine oder andere Prozent Sicherheit mehr auflegen könnte.

Ganz konkret wurde auch auf meine Idee der Benachrichtigung eines Nutzers eingegangen, falls eine weitere Anmeldung mit den eigenen Daten statt findet. Dies würde bei Kontoverbindungen bereits statt finden, wäre bei Adressen aber nicht möglich, da hier schon minimale Abweichungen reichen würden, um so einen Mechanismus auszuhebeln. Konkret wurden mir hier zusätzliche Leerzeichen als Beispiel genannt. Eine Diskussion über die Suche nach Ähnlichkeiten, der Möglichkeit Leerzeichen zu filtern oder die Frage, wie das denn dann mit der Schufa-Adressprüfung aussieht (die haben ja offenbar keine Probleme mit den zusätzlichen Leerzeichen) habe ich mir gespart. Diese Diskussion könnte mal jemand mit den Entwicklern führen, aber die Mitarbeiter der Pressestelle sind da wohl nicht die richtigen Ansprechpartner 🙂

Weiterlesen

Ein Hoch auf die Sicherheit!

Wahrscheinlich haben alle das mit dem Sicherheitsalarm heute auf dem Münchner Flughafen mitbekommen. Bei einem Laptop schlug der Sprengstoffscanner an, der Flughafen wurden teilweise gesperrt, Chaos und alles und überhaupt. Aber es ist ja nichts passiert. Aber das war scheinbar nicht den Sicherheitskräften zu verdanken, sondern wohl einzig der Tatsache, dass es eben ein Fehlalarm war:

Zu dem Zwischenfall war es gegen 15.30 Uhr gekommen. Vermutlich habe es sich bei dem Passagier mit dem Laptop um einen Geschäftsmann gehandelt, der wohl auf den letzten Drücker sein Flugzeug erreichen wollte, sagte der Sprecher der Bundespolizei am Münchner Flughafen, Albert Poerschke. Der Mann habe nach dem Anschlagen der Sicherheitskontrolle wahrscheinlich nicht mitbekommen, dass er zum Bleiben und einer näheren Kontrolle aufgefordert wurde.

So weit, so schlecht: da schleppt also jemand einen womöglich mit Sprengstoff gefüllten Computer Richtung Flugzeug, die Scanner schlagen Alarm (das ist ja mal gut), aber die lassen den Typen dann zum Flugzeug laufen. Bitte? Und als wäre das nicht genug:

Entgegen erster Angaben nahm er den Computer mit, so dass dieser auch nicht weiter kontrolliert werden konnte.

Wäre also wirklich Sprengstoff in dem Computer gewesen, dann hätten die Sicherheitskräfte zwar das Flughafengebäude abgesperrt, aber den Typ mit der Bombe hätten sie zu seinem Flugzeug laufen lassen? Echt jetzt? Aber Nacktscanner hätten das verhindert?

Links vom 26. Dezember 2009 bis 31. Dezember 2009

Zwischen 26. Dezember 2009 und 31. Dezember 2009 bei delicious gespeicherte Links:

Das reale Leben darf kein rechtsfreier Raum sein!

Jaja, das Internet darf kein rechtsfreier Raum sein und auch nicht werden, ist klar, haben wir inzwischen viel zu oft gehört und gelesen und obwohl es einfach nicht stimmt, es wird ständig wiederholt. Jetzt wird angeblich schon über einen „Internet-Ausweis“ nachgedacht, mit dem nicht nur die Nutzer identifiziert werden sollen, sondern auch ihre Wege im Netz nachverfolgt werden können. Beleidigung in einem Forum? Ein Blick ins „Deutsche Internetnutzungsverzeichnis“ und schon hat man den Übeltäter. Download eines Songs aus einer Tauschbörse? Einmal die IP-Adresse des Übeltäters abgleichen und schon sitzt der böse Bursche im Knast. Anonymer Blogger, die sich womöglich für böse Sachen interessieren? Kein Problem mehr. Auch der Joint, der da am Rande eines Fotos bei $beliebiges_soziales_Netzwerk zu sehen ist – überhaupt kein Problem, dank dem „Deutschen Internet-Ausweis“ hat man sofort den Uploader und der wird schon damit raus rücken, wer da auf der Party gekifft hat – womöglich hat der Uploader ja selber ein bisschen was daheim für seine Feierabend-Tüte. Ha, erwischt.

Weiterlesen

Arghl…

Warum wohl nennt man Zufallszahlen Zufallszahlen? Na ganz sicher nicht, weil man sie vorher sagen kann. Seit September 2006 schleppen die jetzt schon diesen Bug in ihrer OpenSSL-Version durch Debian… Das liest sich nach einer Menge Arbeit:

Luciano Bello discovered that the random number generator in Debian’s
openssl package is predictable.  This is caused by an incorrect
Debian-specific change to the openssl package (CVE-2008-0166).  As a
result, cryptographic key material may be guessable.

This is a Debian-specific vulnerability which does not affect other
operating systems which are not based on Debian.  However, other systems
can be indirectly affected if weak keys are imported into them.

It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch.  Furthermore, all DSA keys ever used
on affected Debian systems for signing or authentication purposes should
be considered compromised; the Digital Signature Algorithm relies on a
secret random value used during signature generation.

The first vulnerable version, 0.9.8c-1, was uploaded to the unstable
distribution on 2006-09-17, and has since propagated to the testing and
current stable (etch) distributions.  The old stable distribution
(sarge) is not affected.

Affected keys include SSH keys, OpenVPN keys, DNSSEC keys, and key
material for use in X.509 certificates and session keys used in SSL/TLS
connections.  Keys generated with GnuPG or GNUTLS are not affected,
though.

Sicheres Web: Keine PHP-Exploits mehr dank Hackerparagraph

Das Internet ist jetzt viel sicherer und das nur wegen dem gerade in Kraft getretenen neuen Hackerparagraphen. Es gibt jetzt nämlich keine PHP-Exploits mehr. Ein eindrucksvoller Erfolg unserer Politik – woran Sicherheitsexperten und Programmierer seit Jahren scheitern, nämlich absolut fehlerfreie und sichere Software bauen, unsere deutschen Politiker erreichen das mit einem einzigen Gesetz. Ist das nicht toll?
Ein kleiner Wermutstropfen bleibt aber: die Exploits sind leider nicht wirklich weg, sondern nur die Beispiel-Exploits. Natürlich kann man Fehler und Lücken auch ohne Beispiel-Codes dokumentieren, aber solche Beispiele sollen ja vor allem Admins helfen schnell prüfen zu können, ob ihre eigenen Systeme angreifbar sind.

(via Heise)