Aktuelles Archiv 14 (IT-Blog von Thomas Murr)

PHP-Script: Tell-a-Friend Release 3.2 (06.02.2008)

Unser PHP-Empfehlungs-Script “Tell-a-Friend” steht in der aktualisierten Version 3.2 in den Sprachen deutsch und englisch zum Download bereit. Es kann nun - neben der BaseUrl (Host) - optional auch die zuletzt besuchte Seite durch den Surfer empfohlen werden. Alle Funktionen sind über ein Webinterface (Backend) einstellbar. HTML- oder PHP-Kenntnisse sind nicht erforderlich. Die 14-Tage-Testversion kann uneingeschränkt genutzt werden.
Bisherige Lizenznehmer erhalten die neue Version auf Anforderung gratis.

Virtualisierung von Computern (28.01.2008)

In Verbindung mit unserem Tutorial zur Verschlüsselung mit TrueCrypt bzw. dessen Einsatzmöglichkeiten in Bezug auf die mögliche Infiltration durch Bundesbehörden (mittels des “Bundestrojaner”) haben wir einige eMails von interessierten Anwendern mit Fragen zu Virtual Machines erhalten. Deshalb haben wir eine Erklärung hierfür nachgeschoben und die entsprechenden Erwähnungen zu virtuellen Maschinen in den TrueCrypt-Leitfäden verlinkt, siehe: Virtualisierung von Computern

Schwerwiegende Wahlcomputerprobleme bei Hessenwahl (28.01.2008)

Wie der Chaos Computer Club e.V. (CCC) berichtet, kam es bei der gestrigen Hessenwahl zu schwerwiegenden Wahlcomputerproblemen und es gab massive Behinderungen bei der Wahlbeobachtung.
Abgesehen von den viel kritisierten Zuverlässigkeitsproblemen der NEDAP (Nederlandsche Apparatenfabriek)-Wahlcomputersysteme wurden Wahlcomputer über Nacht in Privatwohnungen (!) gelagert (bisher dachten wir, so etwas gibt´s nur in Bananenrepubliken), in zwei Wahllokalen waren Wahlbeobachter des CCC für längere Zeit alleine mit dem Wahlcomputer und hätten so Manipulationen vornehmen können. In mind. einem Wahllokal versagte die Technik und die Bürger konnten über eine Stunde ihr Wahlrecht nicht ausüben. Ältere Bürger waren teilweise so überfordert, dass sie von Wahlhelfern bei der Stimmabgabe “unterstützt” werden mussten. In vielen Gemeinden wurde interessierten Bürgern - u.a. auch Wahlbeobachtern des CCC - das Betreten des Wahllokals, sogar unter Androhung von Festnahmen, verweigert.
Zitat von CCC-Sprecher “Dirk Engling”: Die Wahlbeobachtung in Hessen zeigt, dass es endgültig Zeit wird, die Wahlcomputer auch in Deutschland aus dem Verkehr zu ziehen. Gerade angesichts des knappen Wahlausgangs in Hessen werden die untragbaren Risiken von Computerwahlen überdeutlich."

Eine Computerwahl erscheint uns mangels Transparenz und Überprüfbarkeit auf Korrektheit der Stimmabgabe und deren Zählung sowie unzuverlässiger Wahlcomputersysteme und einfache Manipulierbarkeit derselbigen nicht geeignet eine ordentliche Wahl durchzuführen.

44.000 MySpace Nutzerprofile gehackt und veröffentlicht (26.01.2008)

Ein Hacker mit dem Pseudonym “DMaul” hat (dies meldet Wired) über die File-Sharing-Plattform BitTorrent die Daten von rd. 44.000 Nutzerprofilen des sozialen Netzwerks MySpace in einer Archivdatei von 17 GB veröffentlicht. Das Eindringen und Stehlen der Daten erledigte er über eine bekannte Sicherheitslücke scriptgesteuert in rd. 94 Stunden. DMaul will mit der Veröffentlichung lediglich aufzeigen und beweisen, dass so etwas leicht möglich ist und die Social-Network-Webseiten-Betreiber handeln müssen- denn er sei sich sicher, andere boshafte Zeitgenossen würden die Sicherheitslücke für üble Zwecke ausnutzen.
Das zeigt einmal mehr, mit der Veröffentlichung bzw. Speicherung von sensiblen Daten auf solchen Plattformen sehr vorsichtig zu sein oder lieber ganz davon abzusehen. Besser Hirn 2.0 als Web 2.0.

Sehen Sie auch unseren Beitrag Gefahren sozialer Netzwerke.

Anleitung: Verschlüsselung mit TrueCrypt (20.01.2008)

Wir haben für Sie neue Seiten eingerichtet: Ein
Tutorial: Ver- und Entschlüsselung von Daten mittels dem Open-Source-Programm TrueCrypt.
Innerhalb kurzer Zeit sind Sie kryptisch...:-)

Nokia: in eigener Sache (18.01.2008)

Unsere Firma ist mit Nokia-Mobilfunkgeräten ausgestattet. Aufgrund der aktuellen, nicht fairen Unternehmenspolitik von Nokia (Schliessung des Bochumer Werks), werden wir uns mit den Menschen, die nun ihre Arbeit verlieren, solidarisch erklären (ohne Betroffene persönlich zu kennen) und in der Folge keine Nokia-Produkte mehr erwerben sowie von diesbzgl. Empfehlungen an unsere Kunden absehen.
Globalisierung und Notwendigkeit von Auslagerungen hin oder her, das Abtreten in Bochum hätte man sehr viel anständiger machen können. Das kratzt jetzt am (deutschen) Nokia-Image.

BKA-Gesetz soll nun auch das Abhören von Berufsgeheimnisträgern zulassen (16.01.2008)

Bundesinnenminister Schäuble möchte nun in seinem pathologisch anmutenden (paranoiden) Schnüffelwahn die Novelle zum BKA-Gesetz weiter verschärfen und den bisher avisierten Abhörschutz von Berufsgeheimnisträgern wie Journalisten, Geistlichen, Abgeordneten, Strafverteidigern u.s.w. abschaffen und hält dies auch noch für verfassungsgemäss (offensichtlich muss ihm ein gefälschtes Grundgesetz vorliegen).
kaum ist das Gesetz zur Vorratsdatenspeicherung in Kraft getreten (seit 01.01.2008), schon wird einen halben Monat später versucht das Gesetz weiter zu verschärfen. Schäubles Gesetze haben somit ein Haltbarkeitsdatum, das unter dem eines Joghurts liegt.
Schäuble gefährdet mit seinen irrwitzigen Plänen die innere Sicherheit unseres Staates im höchsten Masse anstatt diese zu schützen (siehe auch Hintergründe zum Bundestrojaner). Man muss sich ernsthaft fragen, ob ein solcher Bundesinnenminister noch tragbar ist und nicht eine strenge Überwachung seiner selbst angeraten wäre.

Laut einer Sicherheitsmeldung vom Microsoft wird aktuell eine bisher ungepatche Sicherheitslücke in Excel (Versionen 2003 SP2, 2002, 2000, 2004 für Mac sowie Excel Viewer 2003) ausgenutzt, durch die Angreifer beliebigen Schadcode über präparierte Office-Dokumente auf das verwundbare System einschleusen können. Dies geschieht hauptsächlich über gezielte Angriffe auf Führungskräfte von Unternehmen. Öffnen Sie deshalb, bis zur Veröffentlichung eines Updates, welches die Lücke schliesst, keine Office-Dokumente, die Sie nicht erwartet haben.

BKA-Website unsicher (15.01.2008)

Offenbar wies die Suchseite des Bundeskriminalamts (Subdomain infodok.bka.de) eine Schwachstelle auf, über die per SQL-Injection ein Zugriff auf die dahinter liegende Datenbank möglich gewesen wäre. Ein Sicherheitsspezialist mit dem Alias “Karl Koch” (er möchte verständlicherweise unerkannt bleiben) hat dies aufgedeckt, indem er die Drop-Down-Liste in einem Formularfeld über einen selbst definierten POST-Request umgehen und somit beliebige Parameter an die SQL-Query übergeben konnte. Die BKA-Suchseite ist, seit der Zuspielung der Infos an Heise-Security und Weitergabe an das BKA vor rd. einer Woche, nicht mehr erreichbar. Eine Stellungnahme seitens des BKA steht bisher aus. Peinlich, peinlich...in jeglicher Hinsicht.

Es stellt sich doch nun die berechtigte Frage, wie das BKA den sicheren “Betrieb” des höchst umstrittenen Bundestrojaners gewährleisten will, wenn es die zuständigen “Fachleute” nicht einmal schaffen, einen Parameter in einem Eingabefeld auf ihrer eigenen Website zu filtern (hierbei handelt es sich um EINFACHSTE Grundlagen der PHP-Programmierung). In diesem Zusammenhang wird einmal mehr die Behauptung des Bundesministerium des Inneren (BMI), die Sicherheitsbehörden verfügten grundsätzlich über genügend Sachverstand, ad absurdum geführt (siehe auch unsere Seite kommentierte Politiker-Zitate zur heimlichen Onlinedurchsuchung).

Vom unmaskierten Besuch der BKA-Seite (Domain bka.de) raten wir dringend ab, da das Bundeskriminalamt bekanntermassen alle möglichen Daten (IP-Adresse etc.) jedes Besuchers speichert und ggf. den Anschlussinhaber ermittelt! Erstens stehen Sie so gleich unter Generalverdacht, ein Angreifer oder Krimineller zu sein, und zweitens sieht man ja, anhand der obig beschriebenen Sicherheitslücke, wie leicht Trittbrettfahrer an die gespeicherten Daten ´rankommen können :-)
Wir haben übrigens vor, den Spiess umzudrehen und die Besuche/Verdachtsmomente von staatlichen Behörden auf unsere Website on the fly (in Echtzeit) zu veröffentlichen (und das sind nicht wenige), da unsere kritischen Beiträge offensichtlich nicht gerne gesehen werden. Ein entsprechendes Script ist in Arbeit (noch in der Testphase).

Gefahren sozialer Netzwerke, sog. Social Networking Sites (11.01.2008)

Von vielen Eltern wurden wir auf das eine oder andere Portal wie SchülerVZ, StudiVZ oder YouTube u.s.w. angesprochen, was wir denn davon halten würden. Um Ihnen und/oder Ihren Kinder ein Rüstzeug im Umgang mit sozialen Netzwerken mitzugeben bzw. dafür zu sensibilisieren, haben wir eine neue Seite zu diesem Thema eingerichtet, siehe Gefahren des Web 2.0 bzw. von Social Networking Sites (SNS).

Erneut gross angelegter Angriff auf Webnutzer gestartet (09.01.2008)

Ähnlich wie schon im Juni letzten Jahres, als über das Web-Attack-Toolkit MPack über 10.000 Webserver attackiert wurden (wir berichteten), ist derzeit ein gross angelegter Angriff im Gange. Neben vielen kommerziellen Webseiten grosser Portale sollen auch einige Behördenseiten betroffen sein. Die gehackten Seiten laden via iFrame Exploits von offenbar zwei chinesischen Servern nach (unter den Domains: uc8010.com und ucmal.com), die dann ältere Lücken im Internet Explorer sowie die bisher ungepatchte Lücke im RealPlayer ausnutzen, um verwundbare Systeme von Webnutzern mit einem Trojan-Downloader zu infizieren, der dann weiteren Schadcode nachladen kann.
Offenbar wurde in die gehackten Webseiten, die so gut wie alle über MS-IIS mit MS-SQL-Datenbank laufen, über eine SQL-Injection-Schwachstelle eingedrungen, um den iFrame im HTML-Code zu plazieren. Es sind aber auch andere Szenarien denkbar.

Webanwender sollten nur mit einem vollständig gepatchten Internet Explorer surfen oder einen anderen Webbrowser verwenden (z.B. Firefox) und den RealPlayer unbedingt deinstallieren (ohnehin zu empfehlen, weil der RealPlayer sicherheitstechnisch immer wieder im Gerede und jede Alternative hierzu besser ist).
Webseitenbetreiber sollten den HTML-Code ihrer Seiten dringend auf den besagten iFrame hin untersuchen und Verbindungen zu o.g. Domains unbedingt unterbinden, um ihre Besucher zu schützen.

MS-Jan.-Patchday: Zwei Sicherheitsupdates zu kritischen Schwachstellen (09.01.2008)

Es werden heute mit den beiden Patches eine äusserst kritische Schwachstelle im TCP/IP-Netzwerkstack von Windows (alle Versionen) sowie eine Lücke  im lokalen Windows-Sicherheitsdienst (LSASS) behoben (betrifft nicht Vista). Aufgrund der äusserst kritischen Schwachstellen sollten die Updates von Windows-Anwendern bzw.
-Administratoren umgehend eingespielt werden. Nach Installation, ist ein Reboot des Systems fällig.
Ungepatchte Systeme (zur TCP/IP-Schwachstelle) sollten nur hinter einer Firewall oder einem NAT-Router betrieben werden, da es einem Angreifer sonst über das Internet, mit manipulierten IGMPv3- oder MLDv2-Paketen bzw. fragmentierten RDP-Routing-Paketen, möglich ist die komplette Kontrolle über das verwundbare System zu übernehmen. Die LSASS-Lücke lässt sich dagegen nur über lokale Prozeduraufrufe (LPC) zum Einschleusen von beliebigem Schadcode ausnutzen, wenn sie deshalb auch nicht als weniger gefährlich einzustufen ist.

Gefährliche Schwachstelle in Flash-Applets (04.01.2008)
...und ein paar Gedanken dazu

Einmal mehr ist es ein Fehler in Flash-Applets, der es einem Angreifer ermöglicht, Anwendern präparierten JavaScript-Code über Cross-Site-Scripting unterzujubeln, um damit beispielsweise Passwörter auszulesen oder (Session-)Cookies zu klauen. Dies geschieht über fehlerhafte Einbettung von Action-Script-Codes in SWF-Dateien (Flash).
Seit Jahren warnen wir Internetnutzer davor Browser-Plugins wie JavaScript und ActiveX bzw. Flash vorsichtig oder am besten gar nicht zu aktivieren (siehe dazu unsere Seiten Browser und Browser-Plugins), da immer wieder gravierende Sicherheitslücken dazu bekannt und ausgenutzt werden. Auch Webseitenbetreiber sollten auf Flash & Co. gänzlich verzichten (wie das jetzt vorliegende XSS-Sicherheitsleck wieder beweist), denn sie gefährden damit ihre Besucher, ohne es gar selbst zu wissen. Entwicklern von Flash-Anwendungen von Kunden-Websites sei dringend geraten, die verwundbaren Flash-Applets von den betroffenen Seiten zu entfernen und künftige Flash-Anwendungen bzgl. ihrer Sicherheit penibel zu testen.

Anmerkung: Auf Webseiten, die lediglich aus ein paar Bildern und Text bestehen, ist es absolut NICHT notwendig JavaScript oder Flash einzusetzen (leider sieht das in der Praxis anders aus); hier genügt schlichter HTML-Code! Selbst bei interaktiven Webseiten sollte man darauf verzichten und wenn möglich PHP (Professional Hypertext Preprocessor) zum Einsatz bringen. Wir haben jedoch den Verdacht, dass aufgrund der Verbreitung von Authoring-Tools (z.B. Adobe Dreamweaver) und Code-Generatoren (z.B. Adobe GoLive) die nötigen Programmierkenntnisse in den Hintergrund getreten bzw. erst gar nicht mehr vorhanden sind. Dies ist vor allem vielen kommerziellen “Webseitenentwicklern” vorzuwerfen, die ihre Kunden aufgrund von Unkenntnis falsch beraten, weil sie eben nur einen Generator bedienen können aber von HTML & Co. keinen blassen Schimmer haben geschweige denn wissen, was ihr verwendetes Authoring-Tool eigentlich macht/generiert. Anders sind die vielen unsinnig eingesetzten JavaScript- und Flashseiten nicht zu erklären, die zudem eine Vielzahl sicherheitsbewusster Surfer unnötigerweise aussperren.
Private Webmaster, die ihre Website selbst stricken, kommen leider auch nicht umhin, sich mit der Materie intensiv auseinanderzusetzen, ansonsten droht massives Ungemach.

Über 30.000 Bürger werden gegen Vorratsdatenspeicherung klagen (21.12.2007)

Unterschreibt Bundespräsident Horst Köhler das, vom Bundestag am 09.11.2007 verabschiedete, Gesetz zur Vorratsdatenspeicherung (wir berichteten), werden mittlerweile über 25.000 Bürger (auch wir sind dabei) den Gang vor das Bundesverfassungsgericht nach Karlsruhe beschreiten. Bis zur Entscheidung von Herrn Köhler kann man sich der Sammelklage noch anschliessen.

Update 27.12.2007:
Bundespräsident Horst Köhler hat (wie zu erwarten) das umstrittene Gesetz zur Vorratsdatenspeicherung unterzeichnet. Diverse Verfassungsbeschwerden werden nun eingereicht.

Mac OS X: 31 Lücken gepatcht (18.12.2007)

Für Mac OS X 10.4.11 sowie 10.5.1 einschl. Server-Versionen wurde das Update 2007-009 ausgeliefert. Apple schliesst damit 31 Schwachstellen, von denen 16 das Einschleusen und Ausführen von beliebigem Schadcode ermöglichen. Anwender sollten die Patches deshalb zügig installieren!

Zitat Sebastian Edathy (SPD) zur Wohnraumüberwachung (16.12.2007)

Sebastian Edathy (SPD): “Wenn der Beamte feststellt, im Gespräch geht es nicht um die Vorbereitung einer Straftat, sondern zum Beispiel um den Zustand der Ehe, lässt der Ermittler zwar das Band weiterlaufen, hört aber selbst nicht weiter zu.”

Wozu noch ins Kabarett gehen, wenn der Vorsitzende des Bundestags-Innenausschusses solch Realsatire zum Besten gibt?
Weitere Politiker-Sprüche, die den “Sachverstand” unserer Volksvertreter untermauern, finden Sie in unserer kommentierten Zitatensammlung zur heimlichen Online-Durchsuchung. Wäre die Sachlage nicht so ernst, könnte man herzlich darüber lachen.

MS-Patchday: 11 Lücken geschlossen (12.12.2007)

Am heutigen Patchday lieferte Microsoft sieben sicherheitsrelevante Updates aus, die insgesamt elf Lecks stopfen. Allein das kumulative Update für den Internet Explorer schliesst vier kritische Lücken. Die Aktualisierungen sollten zügig installiert werden.

OpenOffice schliesst Sicherheitslücke mit Version 2.3.1 (06.12.2007)

Über manipulierte Datenbank-Dokumente war es einem Angreifer möglich, das Modul HSQLDB dahingehend zu missbrauchen, um willkürlichen Java-Code auszuführen und somit Schadcode in das System einzuschleusen.
Die Version 2.3.1 beinhaltet keine neuen Features zur Vorversion, sondern behebt u.a. dieses Leck; in den Release-Notes können alle weiteren korrigierten Fehler nachgelesen werden.

Für Webmaster: Empfehlungs- und Formmailer-PHP-Scripts überarbeitet (20.11.2007)

Unsere beliebten Scripts zum Empfehlungs-Formular für Webseiten (English Tell-A-Friend) sowie Kontaktformular (English Formmailer) wurden um einige Features erweitert.
Grossen Wert haben wir auf die Sicherheit und eine bequeme, schnelle Installation bzw. übersichtliche Konfiguration gelegt. Beide PHP-Scripts sind über ein passwortgeschütztes Online-Webinterface installier- und steuerbar.

Die Einrichtung und Einstellbarkeit ist über das Webinterface deshalb - ohne jegliche Vorkenntnisse in Script-Sprachen wie PHP, HTML, CSS... - kinderleicht möglich (das Editieren von config-und css-files entfällt somit gänzlich), obwohl auf umfangreiche Konfigurationsmöglichkeiten nicht verzichtet wurde. So sind wir auf ALLE an uns herangetragenen Wünsche eingegangen und haben diese realisiert (z.B. Layout-Anpassungsmöglichkeiten aller Art). Beide Online-Formulare sind sowohl für Firmen und Vereine als auch für private Websites geeignet.

Über die vorstehenden Links gelangen Sie zu einer detaillierten Beschreibung aller jeweiligen Script-Highlights mit Screenshots und Download-Link zu einer 14-Tage-Testversion. Bisherige Lizenznehmer erhalten die jeweils neue Version gratis (!), sofern sie dies anfordern.

Glucoboy für kleine Diabetiker: Wenn Blut zum Spieleinsatz wird (16.11.2007)

Es handelt sich um einen Steckaufsatz für den Gameboy (als Blutzucker-Messgerät) - um den Blutzucker spielend zu messen - sowie Spielesoftware, die das Blut und die Messergebnisse zum Spieleinsatz erhebt. Nähere Informationen gibt es auf der (von uns betriebenen) Seite http://www.sweet-kids.de.

Zitatensammlung zur heimlichen Online-Durchsuchung erweitert (15.11.2007)

Die Sammlung von Äusserungen der Politiker und Verantwortlichen zum Thema ist beträchtlich angewachsen. Siehe unsere Seite “Kommentierte Zitate zur heimlichen Online-Durchsuchung”.

Verwandte Seite: Details und Hintergründe zum Bundestrojaner

Linux: Fehler in CIFS-Implementierung des Kernels (15.11.2007)

Die Lücke steckt in einem Buffer Overflow in der Funktion SendReceive des Kernels 2.6.23.1 (möglicherweise sind auch Vorgängerversionen betroffen). Über das Common Internet File System (CIFS) kann die Lücke dahingehend ausgenutzt werden, dass sich ein Angreifer Zugriff auf z.B. Netzwerkfreigaben verschafft. Das Risiko ist dennoch gering, weil CIFS i.d.R. nur in einem lokalen Netzwerk im Zusammenhang mit SMB-Servern (z.B. Samba), welche hoffentlich gut administriert werden, eingesetzt wird. Trotzdem sollte der Fehler natürlich behoben werden (siehe dazu Beitrag [CIFS] Fix buffer overflow if server sends corrupt response to small request auf git.kernel.org).

Mac OS X: 39 Fehler behoben (15.11.2007)

Gibt es nun künftig einen Apple-Patchday? Denn nach dem gestrigen MS-Patchday zog heute Apple mit einem kumulativen Update für Mac OS X 10.3.9 und 10.4. nach. Es wurden insgesamt 39 Bugs in Systemkomponenten sowie Software von Drittanbietern gepatcht, von denen die meisten sich zum Ausspionieren von sensiblen Daten eignen. Acht der 39 Fehler können sogar dazu führen, dass ein Angreifer - über präparierten Websites, manipulierte Dateien oder Netzwerkpakete - Schadcode ins System einschleust und ausführt. Das Update sollte deshalb zeitnah installiert werden (entweder per automatischem Update oder direktem Download von Apple).

Update (16.11.2007):
Einige der bekannten Sicherheitslücken in Mac OS X 10.5 (Leopard) werden mit dem (heutig von Apple ausgelieferten) Sicherheitsupdate auf Version 10.5.1 behoben bzw. die Angriffsfläche für Angreifer wesentlich reduziert. So wurden zum einen die zwangsläufig von der Firewall zugelassenen Dienste beträchtlich eingeschränkt (wenn auch nicht gänzlich “dicht” gemacht), zum anderen das Problem mit dem möglichen Datenverlust beim Verschieben von Dateien zwischen Partitionen im Finder beseitigt u.v.m..Nähere Details auf dieser Seite bei apple.com.

Microsoft: URI-Lücke gepatcht (14.11.2007)

Am heutigen Microsoft-Patchday wurden mit zwei Security-Bulletins zum einen die kritische URI-Lücke behoben (wir berichteten) sowie zum anderen das gefährlich eingestufte Sicherheitsleck in den Windows DNS-Servern gestopft. Nach Installation der Patches, ist ein Reboot des Sytems fällig. Nähere Informationen zum URI-Leck bzw. dessen Beseitigung siehe Security-Bulletin MS07-061 von Microsoft.

Vorratsdatenspeicherung und TK-Überwachung wurden verabschiedet (09.11.2007)

Ein schwarzer Tag für die Demokratie und Freiheit. Der Bundestag hat heute das Gesetz zur Vorratsdaten-
speicherung und Telekommunikationsüberwachung verabschiedet, d.h. verdachtsunabhängige Protokollierung des Telekommunikationsverhaltens im ganzen Land über 6 Monate.

“Wer Freiheit aufgibt, um Sicherheit zu gewinnen, der wird am Ende beides verlieren.” (Zitat Benjamin Franklin).

Wir haben uns deshalb dazu entschlossen, der Sammel-Verfassungsbeschwerde (über 30.000 Bürger haben sich formiert) gegen die Vorratsdatenspeicherung anzuschliessen. Diese wird dann vom Arbeitskreis Vorratsdatenspeicherung eingereicht, wenn der Bundespräsident das Gesetz unterschreibt.

Was bedeutet eigentlich Vorratsdatenspeicherung? (05.11.2007)

Eine kleine Erläuterung an dieser Stelle:
Die Vorratsdatenspeicherung, über welche der Bundestag am kommenden Freitag (09.11.) abstimmen soll, umfasst die Speicherung sämtlicher Spuren der elektronischen Kommunikation des ganzen Landes über einen Zeitraum von sechs Monaten. Dies betrifft die Teilnehmer von Telefongesprächen und eMails sowie deren Standorte, die Dauer von Telefonaten und sämtliche Surfspuren inkl. IP-Adressen im Internet. D.h. die Einsichtnahme dieser Daten durch Behörden lässt die Erstellung eines detailgenaues Profils der Persönlichkeit des Betreffenden zu. Die Überprüfung von Inhalten von Telefonaten und eMails lässt die TK-Überwachungsverordnung bereits jetzt schon zu. Big Brother par excellence oder George Orwell hatte recht!
Zur Veranschaulichung des Datenaufkommens: Der Veband der IT-Wirtschat Bitkom hat ermittelt, dass die Verkehrsdaten eines grösseren Internetproviders (d.h. Surfspuren und eMail-Verkehr) pro Jahr ca. 40.000 Terabytes umfasst. Dies entspricht einer Länge von rd. 40 Kilometer gefüllter Aktenordner.

Sehen Sie auch verwandte Themen:
--> Bundestrojaner: Festplatteninhalte verschlüsseln (Details, Hintergründe und Schutzmassnahmen zum Thema)
--> Heimliche Online-Durchsuchung: Kommentierte Politiker-Zitate
--> eMail-Verschlüsselung (Wie und Warum)
--> Steganographie (so “arbeiten” Terroristen)

Mac OS-X Leopard: Virus erschleicht Root-Zugriffsrechte (03.11.2007)

Kaum eine Woche ist das neue Apple-Betriebssystem Leopard auf dem Markt und schon kursiert (seit 01.11.07) ein wirklich gefährlicher Trojaner namens OSX.RSPlug.A (siehe Details bei Sophos). Dieser verbreitet sich derzeit über manipulierte Pornoseiten und erschleicht sich auf einem ungeschützten Leopard-OS volle Root-Rechte (vergleichbar der Administratorrechte unter Windows), durch das Angebot der Installation eines vermeintlich fehlenden Videocodecs, was in Wirklichkeit jedoch zur Manipulation von DNS-Einträgen führt.
Kritik musste sich Apple bereits bzgl. der Firewall ihres neuen Betriebssystems gefallen lassen, denn diese hat in Sicherheitstests kläglich versagt. Ferner weist die Benutzerverwaltung kritische Lücken auf. IT-Experten von eWeek behaupten sogar etwas überzogen, Leopard hätte mehr Löcher als das namengebende Tier Flecken.

Die Apple-Gemeinde wollte es nie wahr haben aber mit zunehmender Popularität eines Betriebssystems steigt die Wahrscheinlichkeit lohnendes Ziel für Viren-Angriffe Krimineller zu sein. Das Apple-OS war auch noch nie immun, wie immer gerne behauptet wird (das erste Computervirus überhaupt heisst “Elk Cloner” und zielte im Jahre 1982 auf Apple-Rechner), sondern aufgrund seiner mässigen Verbreitung weniger interessant für Angriffe im grossen Stil.
Fazit: Der Apple-User kommt um ein aktives Security-Management nicht mehr herum, d.h. Flicken für das System einzuspielen, einen immer aktuellen Virenscanner an Bord zu haben, penibles Customizing einer Firewall (möglichst von einem professionellen Drittanbieter, denn wie bereits erwähnt, ist die mit dem System gelieferte Firewall ihren Namen nicht wert)...etc.
Keinesfalls sollte ein Leopard-Rechner (auch andere Computer) direkt mit dem Internet verbunden sein, sondern ein Router mit integrierter Firewall und aktiviertem NAT (Network Address Translation) vorgeschaltet sein, was ohnehin grundsätzlich unsere Empfehlung ist (siehe nähere Erläuterung).

Update (16.11.2007): siehe Beitrag zum heute ausgelieferten Sicherheitsupdate auf Version 10.5.1

Gefahren der biometrischen Funkchips in Ausweisdokumenten (03.11.2007)

Biometrische Daten auf dem Funkchip von Ausweisdokumenten seien sicher, so behaupten die “Experten” des Bundesministerium des Inneren (BMI). Wir fragen uns, warum dann - trotz dieser Beteuerungen - BKA-Chef Ziercke höchstpersönlich seinen eigenen Reisepass in einer funkdichten Abschirmhülle trägt. Und warum werden Diplomatenpässe des Auswärtigen Amtes, “wegen der besonderen Gefährdungslage”, keine Funkchips enthalten, während der normale Bürger trotz bekannter Sicherheitsrisiken eine erkennungsdienstliche Behandlung über sich ergehen lassen muss, die bisher nur Kriminellen vorbehalten war? Sozusagen ein Risikoexperiment an der Bevölkerung...? Bilden Sie sich aufgrund dieser Informationen bitte Ihre eigene Meinung.
Und lassen Sie sich bitte bzgl. der Behauptung, es gäbe keine zentrale Speicherung der Fingerabdrücke des neuen Reisepasses, nicht vorsätzlich täuschen. Dies wird lediglich ein weiterer Baustein - neben der abstrusen heimlichen Onlinedurchsuchung sowie Vorratsdatenspeicherung - der sicherheitshysterischen Massnahmen des BMI sein. Sprich ein weiterer Schritt in Richtung Überwachungsstaat.

P.S.: Das Hauptargument, der ePass sei bei der Terroristenjagd unverzichtbar, musste die Bundesregierung selbst entkräften, indem sie zugeben musste, dass ihr nicht ein einziger Fall bekannt sei, in dem ein gefälschter deutscher Reisepass bei der Planung oder Durchführung terroristischer Anschläge im Spiel gewesen war. Ferner wurden in den Jahren 2001 bis 2006 gerade einmal sechs Fälschungen von deutschen Reisepässen festgestellt. Somit entbehrt das ganze biometrische Grossprojekt jeglicher Grundlage und die Abgabe des Fingerabdrucks ist mehr als fragwürdig, um nicht zu sagen ad absurdum geführt. Von den entstandenen immensen Kosten zu Lasten des Steuerzahlers ganz zu schweigen...

zum Archiv13 (11.07.2007-02.11.2007)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |