Monatsarchiv für September 2007

Um die neue Version 2.3 der Blog-Software WordPress, die auch ich verwende, wird viel gestritten. So wird bei der deutschen Version von WordPress Deutschland als eins der wenigen mitgelieferten Plugins das Plugin LinkLift mitgeliefert, was ein möglichst einfaches einbinden von Werbelinks des gleichnamigen Anbieters ermöglicht. Schon diese Werbung ist bei einem Open-Source-Projekt kritisch. Aber auch stört, dass der Update-Monitor der neuen Version Daten an Server überträgt, darunter Versionsnummer, installierte Plugins und die Webseiten-URL. Jeder bei WordPress, der auf die Daten Zugriff hat, kann also einen Blog gezielt angreifen, z.B. wenn ein Plugin eine Lücke hat.

Wenn das so weiter geht, werde ich die Blog-Software wechseln müssen, obwohl mir eigentlich WordPress immer gut anpassbar und modern vorkam.

In dem von Sony-Ericsson seit Jahren ausgelieferte Programm Code-Memo hat eine Schwachstelle, das fanden zwei Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie heraus.

Das Programm wurde schon bei den alten Ericsson Handys mitgeliefert und an der Funktion des Programmes hat sich nicht viel getan: Mit dem Programm kann man seine Passwörter und PINs speichern. Code-Memo schützt diese dann mit einem vom Benutzer gewählten Master-Passwort. Sollte ein falsches Master-Passwort eingegeben werden, gibt das Telefon keine Fehlermeldung aus, sondern errechnet falsche Passwörter, die das selbe Muster haben wie das richtige (d.h. reine Nummern-Passwörter bekommen keine Buchstaben usw.). Für den Angreifern ist es nicht ersichtlich, ob die Passwörter richtig oder nicht sind.

Sollte man aber ein Passwort mit Buchstaben und Sonderzeichen (*, #, Ω, Θ, …) speichern, werden bei falschen Master-Passwort Passwörter kreiirt, die teilweise Sonderzeichen enthalten, die über die Handytastatur bei der Passworteingabe durch den Benutzer gar nicht eingegeben werden können. Dies sind unter anderem ©, < und >. So lässt sich durch einen Brute-Force-Angriff (alle Möglichen 10000 Kombinationen werden ausprobiert) leicht erkennen, ob das Master-Passwort richtig eingegeben wurde und somit die Passwörter stimmen. Für ein gutes Ergebnis sollten mindestens 6 solche Passwörter in der Datenbank vorhanden sein.

Ausführen kann man diese Brute-Force-Angriffe, indem man die Eingaben ins Handy per Computer-Software (z.B. floAt’s Mobile Agent) steuert und das Display per Webcam und OCR-Software ausliest.

Das verwenden von Passwörtern ohne Buchstaben und/oder Sonderzeichen um sich gegen solche Attacken schützen zu können ist nicht sinnvoll, weil solche einfachen Passwörter grundsätzlich leicht geknackt werden können. Sinnvoll kann es aber sein, dass das Schlüsselwort, das zum Kontrollieren der Master-Passwort-Eingabe angezeigt werden kann) nicht verwendet wird oder kein Wort ist, da man sonst dadurch mit Hilfe eines Wörterbuchs das Handy angreifen kann.

Sollte diese gefundene Softwarelücke für einen ein großes Problem darstellen, kann man auf alternative Passwort-Manager für’s Mobiltelefon umsteigen, wie z.B. die KeePass-Ports für PDAs und Handys.

Es mag an den höheren Hardwareanforderungen, dem verstärkten Rechtemanagement oder auch an den hohen Preisen liegen: Das Windows Vista setzt sich nicht durch und immer noch wird XP verkauft.

Schon letzte Woche wurde bekannt, dass Microsoft den Herstellern von bereits ausgelieferten Vista-PCs erlaubt, den Kunden ein Downgrade auf XP anzubieten. Seite August legt Fujitsu zusätzlich eine XP-Version ihren Rechnern bei, aber auch andere Hersteller wie Hewlett-Packard, Lenovo (IBM) oder Dell bieten meist ohne Aufpreis ein Downgrade an. Informationen dazu finden sich teilweise auf der Internetseite des jeweiligen Herstellers.

Die Möglichkeiten, einen PC ohne Betriebssystem zu kaufen, stärkte sich, nachdem in einem französischen Prozess Acer den Kaufpreis von ungenutzte mitgelieferte Software (Windows, Virenscanner, Brennprogramm, …) im Gesamtwert von 310 Euro erstatten musste. Das heißt, dass man so ein 600-Euro-Laptop für den halben Preis kaufen kann. Auch wenn man verständlicherweise nicht ganz auf Windows verzichten kann, spart man immerhin 170 Euro für Softwareprogramme, deren Alternativen es umsonst zum Herunterladen gibt.

Nun verlängert Microsoft die Verfügbarkeit von XP, zumindest für Hersteller. HP und Dell können so XP noch bis zum 30. Juni 2008 ausliefern. Denn ein Grund für die bestehende Nachfrage ist, dass vor allem kleinere Unternehmen nicht so schnell mit ihren Programmen auf Vista umsteigen können.

Durch das neue iPhone-Firmware-Update (1.1.1) werden entsperrte Geräte behaupten, es wäre keine gültige SIM-Karte eingelegt, auch nach einem Wechseln der SIM-Karte auf die originale AT&T-Karte. Diese Probleme berichten schon mehrere iPhone-Benutzer.

Grund dafür könnte ein technischer Teufelskreis sein, der von Apple nicht absichtlich verursacht wurde. Da durch die Installation alle Fremdsoftware entfernt wurde ist auch das Telefon wieder gelockt und erkennt die Karte als ungültig. So könnte sich die Anzahl der falschen Freischaltversuche, die z.B. der Benutzer nach dem Update verursacht, erhöhen und daraufhin wird das iPhone an die in diesem Moment eingelegte SIM-Karte fest gebunden und das Telefon kann nicht mehr verwendet werden, nicht mal mehr mit der Original-Karte. Unlock-Software funktioniert nicht mehr da Apple die bekannten Softwarelücken geschlossen hat.

Manche Benutzer sehen aber in der Turbo-SIM-Karte für das iPhone noch eine letzte Möglichkeit. Die hardwarebasierende Lösung verändert aber die normale SIM-Karte, was eigentlich illegal ist. Sollte diese sich als dauerhafte Lösung herausstellen (da sie noch immer funktioniert) könnten diese in die Massenproduktion gehen und bald im Elektro-Fachhandel verfügbar sein. Meiner Meinung nach ist dies nicht wahrscheinlich, da in dieser Anleitung für die Turbo-SIM-Karte auch die mittlerweile geschlossene Sicherheitslücke verwendet wird.

EDIT: Die Softwarelücke wird nur zum Zugreifen auf das iPhone-Dateisystem verwendet, um Programme zu installieren. Da die Turbo-SIM von Bladox allerdings einfach eine Telefonkarte als z.B. AT&T-Karte ausgibt, ist es für das iPhone nicht erkennbar, ob die Karte echt ist, oder nicht. Es könnte allerdings Konflikte bei der iPhone-Aktivierung geben. Wie diese aber genau abläuft, weiß ich nicht.

Das “Session Riding”-Sicherheitsloch in Google Mail wurde inzwischen geschlossen, wie Google mitteilte. Wie des öfteren schweigt Google über genauere Infos zur Lücke und warnt auch seine Benutzer nicht, wenn Google über eine Lücke informiert ist und diese erst noch reparieren muss.

Google Mail zur Zeit unsicher

26. September 2007

Wenn man surft während man bei Google Mail eingeloggt ist, können E-Mails ausgespäht werden. Denn mittels „Session Riding“ können die Google Mail-Einstellungen verändert werden. So kann man eine Kopie des gesamten Internetverkehrs an die E-Mail des Angreifer weiterleiten.

iPhone-Hacker vs. Apple

26. September 2007

Apple will nicht, dass der Anwender zu viel Kontrolle über sein iPhone hat. Das mag daran liegen, dass sie durch ihr SIM-Locking bei den Netzbetreibern mitverdienen, aber es ist schon komisch, dass das man für das iPhone (außer Webseiten) keine Programme schrieben kann. Nun gibt es aber schon mehrere Wege, den SIM-Lock zu umgehen und Fremdsoftware auf dem iPhone zu installieren.

Apple findet das nicht gut, gar nicht gut. Deswegen haben sie gedroht, dass wenn man ein solchen Hack an seinem Telefon installiert, die Hardware zerstört werden könnte. Vor allem wenn durch Apple ein Firmware-Update eingespielt wird und es Komplikationen mit dem Hack gibt. Auch sollen Angebote von Apple wie das mobile iTunes Store diesen untreuen Kunden vorenthalten werden. Nicht zu vergessen, dass bei einem solchen Eingriff die Garantie erlischt.

Die Hacker regierten auf diese Warnung indem sie ankündigen, einen Deinstallationprogramm für den Hack zu entwickeln, so dass es für Apple nicht erkennbar ist, das das Gerät einmal gehackt wurde, da der Originalzustand wieder hergestellt wird. Nachdem man das iPhone-Update von Apple durchgeführt hat, kann man das iPhone dann wieder hacken. Auch werde die Community bei Firmeware-Updates mit einer angepassten Version des Hacks reagieren.

Die Apple Updates sollen sich aber nicht gegen die manipulierte Handys richten.

Statt das Apple mit diesem „Katz-und-Maus-Spiel“ aufhört, wie es Steve Jobs nannte, wird es vermutlich weiter das „Spiel“ spielen müssen. Das liegt vermutlich auch daran, dass Apple die Verträge mit den Mobilfunkanbietern T-Mobile (Deutschland), O2 (Großbritannien) und AT&T (USA) sonst brechen würde und schließlich verdient Apple ja nicht wenig daran. Schade eigentlich, es wäre toll gewesen, wenn Apple einsehen würde, dass der exklusive iPhone-Verkauf nicht wirklich Sinn hat. Aber eigentlich kennt man es schon vom iPod, dass Apple nicht gerne seine Produkte mit fremder Software sieht. Mit den neuen iPods wurde ja auch wieder eine kleine Hürde gegen iTunes-Alternativen gesetzt.

CD-Hülle ohne Kleber falten

26. September 2007

Im Internet finden sich mehrere verschiedene schöne Lösungen, wie man ein DIN A4-Papier zu einer CD-Hülle falten kann, ohne dabei Kleber zu verwenden. Das ganze funktioniert relativ gut, wobei man nicht voraussetzen kann, dass dabei die CD vor Zerbrechen oder ähnliches leichter geschützt ist. Um eine CD vor Kratzer zu schützen oder um der CD eine Cover geben zu können funktioniert diese Methode sehr gut. So lassen sich mit Papierhülle CDs besser in Ordnern abheften.

Ich finde die Lösung von cdcase.de.vu sehr gelungen, aber auch papercdcase.com hat eine praktische Hülle. Hier gibt es sogar eine Hülle für 2 CDs.

Das US-amerikanische Unternehmen ThePudding bietet unbegrenzt kostenlose VoIP-Telefonate über den Webbrowser in die USA an. Finanziert wird der Dienst über kontextrelevante Werbung, die während dem Telefonat angezeigt wird. Den der Service analysiert die gesprochenen (bis jetzt englischen) Worte der Teilnehmer nach Schlüsselwörter und zeigt dann die passende Werbung an. Der Anbieter plant sein Angebot auf weitere Sprachen auszubauen und weitere Funktionen sollen folgen.

Also ich würde den Dienst nicht nutzen, wenn man da „abgehört“ wird. Wer weiß was für Daten die noch alle Sammeln. Und wenn das System durch viele Benutzer immer besser wird und 90 % funktioniert, kauft Mr. Bundestrojaner den Dienst auf und Telefonüberwachung war noch nie so einfach. Man kann ja auch viel mehr speichern und nach Stichwörtern suchen, was bei Audio-Dateien (Audio-Mitschnitte) nicht ging.

iPhone in Deutschland

19. September 2007

Apple iPhone (Stand: 19.09.2007, Deutsch)Ab dem 9. November kann man das Apple iPhone über T-Mobile für 399 Euro in Deutschland kaufen. Es wird nur die größere 8-GB-Variante geben und der Kauf findet in Kombination mit einem T-Mobile-Zweijahresvertrag statt, Tarife werden erst zum Verkaufsstart genannt. Kaufen kann man das Gerät nur über Telekom-Shops, nicht wie in anderen Ländern über Apple-Läden. Das iPhone wird auch noch kein UMTS-Netz unterstützen, nur die langsamere Datenübertragung EDGE, es kann aber jetzt schon Bluetooth und WLAN. Eine Version mit UMTS und GPS soll aber nächstes Jahr kommen. Dies wurde auf der Apple-Pressekonferenz in Berlin heute (Mittwoch) bekanntgegeben.

Weitere Informationen bekommt man bei heise online, Golem.de und in der Presse-Information von Apple und T-Mobile. Eine Produktseite findet man bei Apple und T-Mobile. Auch interessant sind die Informationen von Xonio.de.

Spannend wird sein, ob Apple die vorgeworfenen „Bugs“ bis zum Start in Deutschland beseitigen wird.

PS: Hat jemand 400 Euro für mich? Dann würde ich das deutsche iPhone kaufen und gehackt mit O2 benützen, auch wenn 10% der Jugendlichen kein Handy haben. (50 Euro im Monat kann ich mir nicht leisten ;-) )

Archiv

Kategorien