blog.bebl.eu

My Mum died suddenly on September 4th, 2006.
After she died, I realized how much she‘d been shielding me from my father’s mental state.
He doesn’t have alzheimers, but he has no short-term memory, an is often lost.

So beginnt der bebilderte Bericht „Days with my father“ von Phillip Toledano. Er erzählt von den letzten Erlebnissen mit seinem Vaters, nachdem seine Mutter verstarb. Er wirkt verlohren aufgrund seines Verlustes des Kurzzeitgedächtnisses und doch sind es prägende Momente mit ihm. Eine traurige Geschichte. Wirklich lesenswert!

(via Bloodys Blog, vielen Dank)

Als Kunde von T-Online darf man seit wenigen Tagen die „T-Online Navigationshilfe“ nutzen. Ruft man im Browser eine nicht vergebene Adresse ein, erscheint nicht mehr eine Fehlermeldung im Browser. Stattdessen wird man auf eine Suchseite der Telekom weitergeleitet und passende Treffer zur Falscheingabe in einem Frame angezeigt.

Die gesamte Seite für die Domain „beispielfehler.de“ kann man sich hier ansehen. Interessant ist übrigens der Parameter „depp“. Auf der Seite werden übrigens auch Anzeigen eingeblendet, also kann sich da die Telekom noch ein bisschen Geld dazuverdienen …

Vorreiter war wohl VeriSign, ein Internetdiensleister zuständig für die Top-Level-Domains .com und .net sowie Zertifizierungsstelle für digitale Zertifikate. 2003 wurde ein „Site Finder“ bei nicht registrierten Domains dieser Endungen angezeigt, allerdings wurde nach einiger Kritik der Dienst nach einem Monat wieder eingestellt. Nun probierten es die Provider, wie z.B. Alice und nun die Telekom.

Ich will das nicht! Ich will nicht, das fehlerhafte Anfragen gleich bei der ach so sicheren Telekom landen und außerdem finde ich jede Manipulation der Nameserver der Telekom falsch, weil sie meiner Meinung nach gegen das Domain Name System (DNS) verstößt. Übrigens ist das ganze auch die diskutierte Praxis, mit der Filter für kinderpornographische Seiten eingerichtet werden sollen. Vielleicht übt die Telekom ja schon mal. Umgangen kann das ganze allerdings sehr einfach, in dem man einen anderen Server, z.B. einen des OpenDNS-Projektes, zur Namensauflösung einstellt. Also ein toller Schutz.

Immerhin kann man den Telekom-Dienst jederzeit im Kundencenter deaktivieren. Dannach muss man nur noch den Router neustarten, damit er einen neuen DNS-Server zugewiesen bekommt.

Es ist unglaublich, aber eigentlich traurig, wie viele große Newsportale diesem neuen „Skandal“ hinterherrennen: „Datenleck bei T-Com – Bis zu 14 Millionen Kunden betroffen“, „E-Mail-Dienstleister: Adressverzeichnisse nicht ausreichend geschützt“, „Schwachstelle auf Webseiten erlaubt Diebstahl von Kundendaten – E-Mail-Dienste: IT-Firma deckt Sicherheitslücke auf“ Doch was ist wirklich los?

Der in der Erotik- und Musikbranche tätige Mainzer Unternehmer Tobias Huch, bekannt durch seinen Hinweis auf ein Datenleck bei der Telekom letzten Herbst, hat wieder einmal eine Fährte gewittert. Huchs IT-Unternehmen hätten angeblich ein neues Datenleck gefunden, welch Telekom-Datenskandal. Aber auch andere Anbieter sollen davon betroffen sein. Dem Sicherheitsteam sei es nämlich gelungen eine Liste der Haupt-E-Mail-Adressen der Telekomkunden auszulesen und auch Spammer könnten im Besitz einer vollständigen Liste sein.

Wie haben sie das gemacht? Nun ganz einfach, man probiert schlichtweg alle möglichen Zeichenkombinationen (Brute-Force-Methode) vor dem Domainnamen (@t-online.de, @gmx.de/.net/.com/.org …) aus. Bei der Telekom sei das ganze besonders einfach, weil dort die Haupt-E-Mail durch die Zugangsnummer, einer neunstelligen Kennung besteht und man lediglich die Nummern hochzählen muss. Alle nicht alphanumerische Adressen seinen nur Aliase, die letztendlich wieder auf die Hauptadressen zeigen würden. So ließen sich dann in kürzester Zeit vergebene E-Mail-Adressen herausfinden und könnte so Werbung oder Phishing-Attacken direkt an gültige Adressen senden. Zur Verifizierung soll hierbei die typischen Hilfeseiten zum Zusenden eines neuen Passwortes („Passwort vergessen“) dienen.

Die ganze Meldung ist einfach nur lächerlich. Diese Möglichkeit gab es schon immer. Es ist ja auch gewünscht, dass man beispielsweise beim Registrierungsvorgang über die Verfügbarkeit der gewünschten Adresse informiert wird, oder? Genauso dass man beim Versenden an eine nicht existierenden E-Mail-Adresse eine Nachricht in Form einer „failure notice“ bekommt. Ist das eine Sicherheitslücke? Nein. Nur beim fehlerhaften Anmelden wird man nicht darauf hingewiesen, worin nun der Fehler in der Kombination Benutzer und Passwort liegt.

Nicht nur hier darf man sich von der unglaublichen Intelligenz Huchs überzeugen. Auch wenn man die Pressemitteilung liest, merkt man schnell, was für ein Schwachsinn das ganze ist:

„Bei GMX und Web.de bräuchten wir mit Sicherheit ein paar Tage oder Wochen länger, um einen großen und wertvollen Datenbestand zusammen zu haben, aber wir haben genügend Rechnerpower und eine 1000 MBit/s-Anbindung im Unternehmen, was für eine solche Unternehmung ausreichen dürfte. Professionelle Datendiebe und Spam-Versender haben nach unserem Stand der Erkenntnis sogar noch weit größere Ressourcen, um solch eine Lücke auszunutzen“, so Huch.

Es fällt natürlich kein bisschen auf, wenn man einfach mal mehrere Millionen E-Mail-Adressen innerhalb kürzester Zeit (mit 1000 MBit/s) abfragt. Da mag vielleicht noch so ein großes, dezentral Botnetz benützen, die anfallenden Datenmengen sind einfach nicht zu verschleiern. GMX beispielsweise verfolgt schon seit langem größere Anfragen, die durch Scripte verursacht werden.

Mal abgesehen davon, dass es bei den heutigen Ausmaßen den Spammern fast schon egal ist, ob sie erst eine Liste mit gültigen Adressen anlegen bzw. kaufen oder gleich an alle möglichen Adressen senden. Letztendlich zählt ja, wer auf die unerwünschten reagiert und dafür gibt es bestimmt schon seit Jahren entsprechende Listen.

Insgesamt wirkt Herr Huch wie ein Schuljunge, der gerade herausgefunden hat, dass man einfach jede erdenkliche Telefonnummer ausprobieren kann um herauszufinden, ob diese bereits vergeben ist und für Anrufe taugt. Heureka!

Ergänzung: Natürlich ist es durch das AJAX-Backend für Spammer unglaublich einfach zu überprüfen, ob eine E-mail-Adresse bereits vergeben ist. Doch kann man auch auf andere Wege, z.B. einfach durch gefälschte Registrierungen die Verfügbarkeit überprüfen. Dies ist doch elementar für jede Registrierung. Es ist eine Sache, die man vielleicht besser vor Scripten schützen soll, doch als kritische Lücke mit einer solchen Medienwirksamkeit würde ich es nicht einstufen.

Es ist eigentlich unglaublich, aber bei der Telekom leider war: Lasst bloß die Finger von neuen Firmware-Versionen, es sei denn sie ist schon länger Verfügbar und es sind wirklich keinerlei Probleme bekannt. Und stellt bloß die „Automatische Konfiguration“ ab, hinter dieser Funktion versteckt sich nämlich unter anderem ein automatisches Aktualisieren der Betriebssoftware. Mal abgesehen davon, dass es schlichtweg eine Sicherheitslücke ist, wenn man seinen Router fernsteuern lässt.

Nachdem lange nur die bereits vorinstallierte Firmware-Version 65.04.58 verfügbar war, veröffentlichte die Telekom irgendwann 65.04.71. Schon die 65.04.70 verspricht eine bessere DECT-Basis, DSL-Optimierung, UMTS-Sticks und eine korrigierte Weboberfläche, bringt aber anscheinend Probleme mit der Updategeschwindigkeit mit sich. Könnte ja in der 71er behoben sein, also gleich installiert. Zuerst gab es keine Probleme, allerdings wird schnell das WLAN instabil und bricht mehrmals am Tag zusammen.

Deswegen habe ich mich jetzt im Netz kundig gemacht. Ein Downgrade ist ja nicht gerade einfach, das Einspielen über die Weboberfläche wird abgelehnt. Es gibt nun zwei Wege. Entweder macht man es umständlich, muss sich im richtigen Moment beim Starten des Routers per FTP anmelden und eine Telnet-Verbindung aufbauen, Dateien aus dem Image der alten Firmware, die man zuerst auftreiben muss, kopieren und Befehle ausführen. Oder aber man findet die Datei Speedport_W_920V.AnnexB.04.58.recover-image.exe. Diese muss man lediglich unter Windows ausführen und den Anweisungen folgen. Einstellungen gehen natürlich beim Downgrade verloren und können auch nicht aus Sicherungsdateien der vorherigen höheren Version übernommen werden.

Es ist auch nicht das erste mal, dass ich besser bei einer älteren Version geblieben wäre. Schon bei dem alten Router T-Sinus 154 DSL hatte ich Probleme mit der letzten Firmware. Alternativ könnte man beim Speedport auch eine angepasste Fritzbox-Firmware installieren, doch scheint mir dass ein wenig fehleranfälliger und zu aufwändig, schließlich bestehen bei uns keine großen Anforderungen an das Gerät. Aber auf ein Ausbessern seitens der Telekom, darauf kann man noch lange warten …

Wer wirklich sicher gehen will, dass Daten nicht wieder herzustellen sind, darf sie nicht einfach löschen. In diesem Fall werden die Datenblöcke auf der Festplatte zwar als gelöscht markiert, aber vorhanden sind sie immer noch. Deswegen müssen die Daten nicht nur gelöscht, sondern auch überschrieben werden, um ein mögliche Rekonstruktion der Daten auszuschließen.

Seit langem hält sich der Mythos, dass man nur durch mehrmaligen Überschreiben mit zufälligen Zeichenketten sicher gehen kann. Am besten 35 mal, sieben mal sind auch in Ordnung, mindestens aber drei mal überschreiben, so lauten die Angaben. Doch eigentlich würde ein einziges mal Überschreiben mit Nullen auch ausreichen, zumindest bei neueren Festplatten. Hintergrund ist wohl, dass sehr alte Geräte noch zu unpräzise waren, so dass beim Beschreiben die Bits nicht nur dort landeten, wo sie hin sollten. Bei allen moderneren Festplatten sollte dies aber kein Problem mehr sein.

Forensikexperte Craig Wright wollte endlich mit dieser Legende aufräumen. In einer wissenschaftlichen Untersuchung überschrieb er Festplatten und versuchte die Daten anschließend mit dem Elektronenmikroskop wieder herzustellen. Doch egal ob uralte oder neue Modelle, die Wahrscheinlichkeit geht gegen Null bei nur einmaliger Überschreibung. Ein Bit kann noch zu 56 % korrekt rekonstruiert werden, doch schon bei einem Byte (bestehend aus acht Bit) sind es nur noch 0,97 %.

Trotzdem halten sich die aus Disketten-Zeiten stammenden Standards bei Anbietern von Datenlöschprogrammen und bei den Anleitungen im Internet. 35-faches Überschreiben bedeutet aber einfach mehr Aufwand, also mehr Kosten für etwaige Dienstleistungen, aber auch einfach ein höheres Sicherheitsgefühl. Wer die Zeit hat, kann ruhig mehrfach überschreiben, vor allem bei größeren Festplattenkapazitäten wird diese Erkenntnis aber interessant. Viel wichtiger jedoch ist, dass man wirklich alle Versionen der Datei erwischt, welche sich in temporären Speicherorten und Datensicherungen so tummeln.

Wir erinnern uns, letztes Jahr sagte BR-Hörfunkdirektor Grotzky: „Unter dem Dachnamen on3 werden unsere Jugendangebote in Radio, Fernsehen und im Internet nun sukzessive gebündelt und noch intensiver vernetzt.“ Jetzt kommt dazu ein wichtiger Schritt. Alles ist neu im Frühling.

So wandert der Dachname on3 für das trimediale Angebot (Radio, Fernsehen und Internet) langsam in erste Logos anderer Angebote des BRs, wie Südwild. Außerdem hat das Jugendteam jetzt „das modernste Sendestudio Deutschlands“. Die multimediale Studioumgebung wurde eigens konzipiert. Kernstück ist der Bühnenbereich, der sowohl für Liveacts als auch Radio- und Fernsehaufnahmen geeignet ist. „Hier erproben wir ein Stück Zukunft für das ganze Haus, in dem immer mehr über die bisherigen Grenzen von linearem Radio und Fernsehen hinaus in eine multimediale Welt gedacht werden muss.“, so Intendant Dr. Thomas Gruber.

Wozu ein Fernsehstudio? Der BR sendet ab dem 19. April wöchentlich die Musiksendung on3-startrampe auf BR-alpha. Drei Bands aus der bayerischen Musikszene werden zehn Wochen lang von drei Moderatoren begleitet und bietet so die Möglichkeit jungen Bands bekannter zu machen. Die Künstler performen dann im Sendestudio, beim Südwild-Sendebus und werden bei ihren Auftritten begleitet. Zudem sorgen Künstlerportraits, aktuelle Nachrichten aus der Szene, Videotagebüchern, Musikperformances und Talks mit prominenten Gästen für ein bunt gefächertes Programm.

Doch auch das dritte Medium, das Internet, wurde nicht vergessen. Seit Anfang der Woche ist eine komplett neu Version des Webauftritts von on3-radio online. Sie rückt das Medienangebot in den Vordergrund. So besteht der obere Teil der Webseite aus einem Mediaplayer, der sowohl Zugriff auf den Live-Stream wie auch auf eine persönliche Wiedergabeliste bietet. Die Playlist lässt sich dabei aus dem zuvor schon verfügbaren MP3-Angebot von Künstlern zusammenstellen, die ein paar ihrer Titel zum Download gespendet haben. Entweder durchforstet man einfach das Archiv oder wählt, sofern möglich, Titel aus der Playlist des Streams aus. Aber auch Videobeiträge lassen sich nutzen. Im unteren Bereich wiederum kann man durch die Inhalte der Webseite navigieren, ohne dass dabei die Seite komplett neu geladen und der Player unterbrochen wird, zumindest sofern JavaScript aktiviert ist. Musikmagazine werden jetzt auch teilweise in einer Dauerschleife zum Nachhören angeboten, ein Podcast wäre vermutlich bei Musik zu teuer.

Ich bin gespannt auf die erste on3-startrampe-Sendung, aber auch darauf, was in Zukunft in den neuen Räumen so produziert wird. Auch die Webseite bringt einiges an Neuerungen und auch Komfort, allerdings scheinen mir die Textinhalte etwas mehr in den Hintergrund gerückt.