http://www.c-schell.de/ C-Schell.de ihre Adresse ins World Wide Web (Themen: IT-Security, Linux, Programmierung, WLAN und vieles mehr) de-de Do., 12 Dez 2009 01:00:00 GMT Do, 12 Dez 2003 09:41:01 GMT http://www.c-schell.de/rss tm webmaster@c-schell.de webmaster@c-schell.de http://www.c-schell.de/newskommentar.php?id=98 Gerade eben bin ich auf einen interessanten Artikel der FAZ gestoßen:

"Hauptsache, es macht peng!"

Mit einigen netten Hintergrundinformationen macht die FAZ ihren Standpunkt klar: Schließt den Verfassungsschutz!

"Es gibt für solche Fälle einen Satz, der noch nie widerlegt wurde: „Wenn sich jemand über viele Jahre einer intensiven Fahndung entziehen kann, dann genießt er staatlichen Schutz.“ Das ist das Fazit des Terrorexperten und früheren CIA-Agenten Bruce Riedel nach dem Ende der größten Suchaktion der Geschichte, der Jagd auf Usama Bin Ladin. (...)
Die großen, durch niemanden kontrollierten Apparate schaffen sich den Gegenstand, der ihre Existenz rechtfertigt, irgendwann selbst: als dürften Drogenfahnder auch mit Mohnsamen umgehen. (...)
Heute können wir nur ihr völliges Versagen feststellen, mindestens zehn Menschen könnten noch leben, wenn sie ihre Arbeit gemacht hätten. Die Dienste dienen nur sich selbst. Es ist darum richtig, sie aufzulösen. Eine unabhängige Wahrheitskommission, wie sie etwa die Publizistin Carolin Emcke seit langem fordert, sollte die historischen Zusammenhänge zwischen Terrorismus und Geheimdienst ausleuchten. In ihr müssen die Opfer eine Stimme bekommen, jene, die überlebt haben, und die Angehörigen der Toten, denen man bis zuletzt einreden wollte, die Männer seien an Machenschaften gestorben, in die sie sich selbst verstrickt hätten."

Lesen Sie sich den Artikel mal durch! Neben einigen netten Details, wird das hier zitierte Fazit stichhaltig begründet. (Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: http://www.c-schell.de/newskommentar.php?id=97 Wozu verdienen einige Politiker eigentlich ihr Geld ...


Im Antragsbuch des kommenden ordentlichen Bundesparteitags der SPD am 4. bis 6. Dezember findet man auf den Seiten 774 und 775 die "Hinweise zum elektronischen Wahlsystem der SPD".

Göttlich!

Es wird eine Art "Fernbedienung" vorgestellt, mit der die Delegierten ihre Stimme abgeben können, sofern diese mit einer Chipkarte scharf geschaltet wurde.

Na hatten wir das nicht schon einmal?

Da haben die Herrschaften von der SPD wohl glatt das Urteil vom 3. März 2009 aus ihrem Gedächtnis gestrichen, denn selbst das Bundesverfassungsgericht hat eine eindeutige Meinung zu diesem Thema: Es legt das Grundgesetz Art. 38 und Art. 20 nämlich dahingehend aus, das elektronische Wahlsysteme eine öffentliche Kontrolle ermöglichen müssen und aus diesem Grund dürfen Wahlgeräte eigentlich nicht bei Wahlen verwendet werden.

Kann man doch mal vergessen oder?

Außerdem gibt es da noch den §11 der Wahlordnung der SPD, wo es um Wahlanfechtungen geht. Wahlen können demnach "angefochten werden, wenn die Verletzung von Bestimmungen der Parteisatzung, des Parteiengesetzes, der Wahlgesetze oder des Verfassungsrechts behauptet wird und eine solche Rechtsverletzung zumindest möglich erscheint." d.h., dass schon ein einziger Wahlcomputergegner ausreichen würde, um die Wahlen anzufechten.


...um so einen Unsinn zu verzapfen?
(Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: http://www.c-schell.de/newskommentar.php?id=96 Der Titel "Alle Jahre wieder..." müßte zwar in "Jede Woche wieder..." geändert werden, passt aber grad sooo schön zur Weihnachtszeit 0:)>

Wie kommt man bei Facebook an private Fotos z.B. vom Facebook-Gründer Mr. Zuckerberg persönlich? Eigentlich ganz einfach!

1. Ein Profil als anstößig melden,
2. Pornographie als Grund angeben,
3. Nun der Geheimtipp für freundliche Helfer: "Help us take action by selecting additional photos to include with your report" anklicken und schon kann man alle Bilder des Profils einsehen, auch die als privat markierten.
(Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: http://www.c-schell.de/newskommentar.php?id=95 "Gibt es in vielen Mobiltelefonen serienmäßige Funktionen, die den Netzbetreibern komplette Kontrolle geben?"

Wer hätte das gedacht? JA! Bestätigt wird dies durch eine Recherche von Trevor Eckhart zum Thema CarrierIQ. CarrierIQ ist eine tief im System verankerte Software, die in der Lage ist, alle Daten, die auf Android-Handys anfallen, zu erheben, zu verarbeiten und an den Netzbetreiber zu verschicken.

In den von Verizon ausgelieferten Handys ist die Software bereits aktiv. Inwieweit das auch auf deutsche Netzbetreiber zutrifft, kann momentan noch nicht mit Sicherheit gesagt werden.

Ein Grund speziell für die Ablehnung von Apple-Produkten waren (zumindest für mich) Skandale wie die “Locationgate”-Geschichte, als Apple der Speicherung von Ortsdaten überführt wurde. Der Skandal von "Apple" scheint jedoch eine Lappalie gegenüber den der Android-Telefone zu sein.

CarrierIQ ist tief im System verankert und versteckt. Das Programm kann alle Daten auswerten, die auf dem Mobiltelefon anfallen sprich Standorte, verschickte und empfangene SMS, getätigte Anrufe, abgebrochene Anrufe, und vieles mehr.

Das Programm besteht aus einer Client-Software auf dem Android-Mobiltelefon und einer Serversoftware beim Netzbetreiber:

1) Der Client verwendet Techniken, die aus Rootkits bekannt sind, um sich vor den Augen der User zu verstecken. Dieser Client wird vom Hersteller des Mobiltelefons (bisher nachgewiesen in Geräten von HTC und Samsung) so konfiguriert, wie der Hersteller es nutzen möchte.
2) Die zweite Komponente des Systems ist der Server, der die vom Client übermittelten Informationen auswertet und für den Netzbetreiber darstellt.


Was Apple lernt, lernt Google nimmermehr!

Apple nutzte zwar auch CarrierIQ, hat aber aus den Datenschutzskandalen gelernt und seit dem Betriebssystem iOS 5 diese Software aus den meisten Geräten entfernt (Statement von Apple):

"We stopped supporting CarrierIQ with iOS 5 in most of our products and will remove it completely in a future software update. With any diagnostic data sent to Apple, customers must actively opt-in to share this information, and if they do, the data is sent in an anonymous and encrypted form and does not include any personal information. We never recorded keystrokes, messages or any other personal information for diagnostic data and have no plans to ever do so." (Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: http://www.c-schell.de/newskommentar.php?id=94 Die Kampagne "Gut zu wissen" ist im Grunde genommen ein vorbildlicher Einsatz von "Google" - dafür einen recht herzlichen Dank!

Doch auch hier sollte man die "Blickrichtung wechseln" und die Kampage vor dem marktwirtschaftlichen Hintergrund betrachten!

Es scheint, als würde Google den Datenschutz und speziell die Privatsphäre seiner Nutzer wirklich ernst nehmen - selbstverständlich soll der Konsument das auch denken, damit Googles Produkte auf dem Markt einerseits größeres Ansehen und andererseits mehr Vertrauen erlangen (dafür sorgt Google dann natürlich auch mit entsprechender Werbung). Projekte wie Google-Analytics, Google+, das Mobil-OS Android, u.s.w. welche nicht nur unzählige Daten sammeln, sondern zudem eine pseudonyme Nutzung nicht gestatten (was nach deutschem Recht nicht zulässig ist), verleiten der Datenschutzkampagne einen negativen Beigeschmack!

Google sammelt bereits mehr Informationen über Internetnutzer als jedes andere Unternehmen. Suchergebnisse werden ohne Zustimmung der User "personalisiert" und das Suchverhalten (auch ohne Google-Account) 180 Tage lang gespeichert. Und wenn Sie auch noch eine Google Toolbar installiert haben, speichert Google nicht nur alles, wonach Sie je gesucht haben und alle Suchergebnis-Links, die Sie je angeklickt haben, sondern auch noch alles andere, was Sie mit ihrem Browser anstellen. (Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: http://www.c-schell.de/newskommentar.php?id=93 Wußten Sie, dass man über den Facebook "Nachrichten" Tab eine Datei an jeden User verschicken kann? Ja?!
Wußten Sie auch, dass Facebook es normalerweise verbietet, eine Exe-Datei zu verschicken? Ja ?!
Und wußten Sie auch, dass man diese Sicherheitsabfrage leicht umgehen kann, um beispielsweise das System eines Opfers zu kompromittieren?

Quelle securitypentest:

When attaching an executable file, Facebook will return an error message stating:

"Error Uploading: You cannot attach files of that type."

When uploading a file attachment to Facebook we captured the web browsers POST request being sent[nbsp]to the web server. Inside this POST request reads the line:

Content-Disposition: form-data; name="attachment"; filename="cmd.exe"

It was discovered the variable 'filename' was being parsed to determine if the file type is allowed[nbsp]or not.

To subvert the security mechanisms to allow an .exe file type, we modified the POST request by[nbsp]appending a space to our filename variable like so:

filename="cmd.exe "
(Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: http://www.c-schell.de/newskommentar.php?id=92 Morgen ist es endlich soweit: "hashdays security & risk conference" (26. - 29.10).

Die Tickets beinhalten übrigens:

- free coffee breaks with snacks
- a nice three course lunch with different choices (each day)
- free non-alcoholic drinks
- the mighty hashdays hardware badge free to keep
(Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: http://www.c-schell.de/newskommentar.php?id=91 Als Administrator hat man es nicht leicht: Die Kommunikation läuft vorwiegend über das Internet und wenn da zum Beispiel einmal der Mailserver streikt, ist schnelles Handeln gefragt. Um so interessanter klang für mich der Gedanke, Hard- und Software in externe Hände zu geben. Auf einer Fortbildung im Bereich Cloud-Computing schien mir dies auch bis vor kurzem noch eine gute Lösung zu sein, doch dann lese ich das:

Bis vor kurzem ließ sich eine Schwachstelle unter anderem bei Amazons Cloud-Dienst EC2 für unberechtigte administrative Tätigkeiten ausnutzen. So konnten Angreifer in einer EC2-Instanz virtuelle Maschinen starten und stoppen sowie neue Images und Gateways erzeugen.

Das berichteten zumindest Professor Jörg Schwenk und sein Team von der Ruhr-Universität Bochum auf einem ACM-Workshop zur Cloud-Sicherheit.

In dem Beitrag "All Your Clouds are Belong to us" wurde beschrieben, wie man relativ leicht durch eine XML-Signatur-Attacke SOAP-Nachrichten manipulieren kann, so dass EC2 sie zumindest für authentisch hält.

Der signierte Teilbaum wird verschoben und anstelle dessen manipulierte Elemente eingeschoben. Der Angriff ist erfolgreich, wenn in der Anwendung Signaturprüfung und XML-Interpretation getrennt sind und sie nach der Verifizierung den manipulierten, nicht signierten Code ausführt.

Bei Amazons SOAP-Schnittstelle hat es auf jeden Fall schon einmal funktioniert und auch bei dem freien Eucalyptus, das zum Betrieb privater Cloud-Installationen dient, schien der Angriff erfolgreich zu sein.

Amazon wiederum war anfällig für Angriffe per Cross-Site-Scripting (XSS). Als problematisch stellte sich heraus, dass nach dem erfolgreichen Anmelden im Shop automatisch eine Session für den Cloud-Dienst AWS erstellt wird. Eine XSS-Attacke auf den Shop ermöglicht folglich das Übernehmen einer AWS-Session und hierzu bedarf es lediglich einiger JavaScript Zeilen. (Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: http://www.c-schell.de/newskommentar.php?id=90 Ganz Deutschland ist erschüttert über den Bayerntrojaner Win32.R2D2 bzw. TR/GruenFink (Oktober 2011). Na dachten Sie wirklich, dass in Deutschland keine Spionagesoftware zum Einsatz kommt?

Ganz heimlich öffnet der kleine Schädling eine Hintür in ihrem System und ermöglicht es nicht nur der bayerischen Behörde - dank der schlampigen Programmierung - in Ihre Privatsphäre einzudringen. "O zapft is! Kontrollprogramm V2.3" liest sich nicht nur, sondern ist in diesem Sinne auch eine doppelte Ohrfeige ins Gesicht aller Betroffenen.



Zurück zu dem "Na dachten Sie wirklich, dass (...)": Schon vor 10 Jahren (2001) habe ich in einem meiner Blogs darüber berichtet, dass bereits das FBI einen solchen Trojaner - Magic Lantern (weitere Informationen finden Sie im nachfolgenden Beitrag) - eingesetzt hat. Also warum sollten "wir" besser sein als andere? Die Vermutung liegt Nahe, dass in Deutschland ähnliche Methoden eingesetzt werden und selbstverständlich liegt es dann auch auf der Hand, dass der CCC diese "Methoden" gerade vor den Wahlen und, nachdem die Piratenpartei mit 9% in das Berliner Parlament einzog, entdeckt und publik gemachen würde. (Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: http://www.c-schell.de/newskommentar.php?id=89 Steven Paul Jobs (geboren am 24. Februar 1955 in San Francisco, Kalifornien) ist Mitgründer und vormals langjähriger CEO von Apple Inc. und neben Bill Gates wohl eine der bekanntesten Persönlichkeiten der Computerindustrie. Zusammen mit Steve Wozniak und Ronald Wayne gründete er 1976 Apple und half, das Konzept des Heimcomputers mit dem Apple II populär zu machen.

Heute, am 24. August 2011, trat Steven Jobs als Chief Executive Officer (CEO) von Apple zurück und wurde zum Vorsitzenden des Verwaltungsrates gewählt. Sein Nachfolger ist Tim Cook.

Timothy D. Cook (geboren am 1. November 1960) ist nun das neue Gesicht des Unternehmens Apple. Von Januar bis Ende Juni 2009 und ab dem 17. Januar 2011 vertrat er bereits seinen Vorgänger Steve Jobs, als dieser aus gesundheitlichen Gründen Auszeiten nahm - nun übernimmt Cook Steve Jobs Position wohl dauerhaft. (Autor: c-shell) ]]> http://www.c-schell.de/newsmeetings.php Datum: