Archiv für die Kategorie ‘Sicherheit’

lokalisten (Logo)Lokalisten ist eine Online-Community mit 1,6 Millionen Benutzern. Frei nach dem Prinzip „Wer kennt wen und woher kenne ich den?“ versucht die Plattform mit neuen Freunden zu werben. Der Freund deines Freundes könnte ähnliche Interessen haben wie dein Freund, d.h. er könnte ein Freund für dich sein. Kurz: Den eigenen Freunden die Freunde auspannen ;-) Dazu zeigt die Plattform bei jedem User an, über wenn man den Benutzer kennt. Nachdem man immer von irgendjemanden eingeladen werden muss bzw. der erste Kontakt der Einlader ist, ist es auch nicht weiter verwunderlich, dass man jeden über mehrere Ecken kennt.

Die Plattform bietet eigentlich nichts besonderes: Man kann zu seinem Profil Bilder und Videos hochladen und Nachrichten verschicken. Daneben gibt es noch primitive Funktionen um zu Chatten, ein Tagebuch zu führen (Blog will ich das nicht nennen) und Events auszutauschen. Auch kann man Gruppen beitreten.

lokalisten - Übersicht der Freundesaktivitäten (Februar 2008)Der Vorteil ist aber, dass fast jeder, den ich kenne und der Internet hat, auch bei Lokalisten angemeldet ist. So ist das mittlerweile schon der Hauptkontaktweg für Freunde, der auch ICQ und E-Mail in den Schatten stellt. Der Nachteil ist dafür umso größer. Stellen schon immer die Jugendlichen haufenweise mehr oder weniger private Fotos online, kam bald die Funktion, Personen auf Bildern mit den jeweiligen Profilen zu verlinken. Selbst wenn man aus gutem Grund keine Fotos von sich selbst online stellt, schon bald wurde man auf irgendeinem Bilder verlinkt. Verlinken auf den eigenen Benutzer abstellen? Nicht möglicht.

Gestern wurde nun eine neue Version von Lokalisten online gestellt: Neues Design mit besserem Menü und eine individuell konfigurierbare Startseite für die auch bald Widgets programmiert werden können. Und ganz still und leise kommt dann noch das Feature: Ähnlich wie bei Facebook werden die Aktivitäten der Benutzer peinlichst genau protokolliert und den Freunden zugänglich gemacht – sollte man dies nicht auf der neuen Seite „Privatsphäre“ manuell deaktiviert haben. Immerhin geht man noch nicht zu weit und zeigt keine Einkäufe der letzten Woche und personalisierte Werbung an.

Genauer gesagt werden standardmäßig folgende Aktivitäten protokolliert:

  • Änderung im Profil (Daten, Status, Bilder, Videos)
  • Schließen einer Freundschaft
  • Tagebucheintrag oder Kommentar
  • Eintrag auf der Markt-Plattform
  • Erstellen eines Events
  • Gruppe gründen oder beitreten
  • Gästebucheintrag
  • Anwendung (Widget) hinzufügen

Ansonsten haben sich nichts großes geändert. Nachrichten sind immer noch nur in chronologischer Reihenfolge gespeichert, Verlauf und Suche fehlen. Die Profilfelder sind immer noch komisch und man kann keine Instant Messager eintragen. Und Freundschaften liegen immer noch für jeden offen. Abmelden geht übrigens auch nicht. Aber vielleicht wird das irgendwann noch was.

In Polen (Lodz) ist es einem Jungen gelungen, die Signale der örtlichen Stadtbahn mit einer manipulierten TV-Fernbedienung zu steuern. Der 14-jährige Musterschüler, welcher sich für Elektrik interessierte, hat für eine „lange Zeit“ das Signalsystem der Tram studiert und ist auch in die S-Bahn-Depots der Stadt eingebrochen, um sich die notwendigen Informationen und Technik zu beschaffen. In einem Schulheft hatte er sich notiert, welche Weichen und Signale für eine Umleitung der Züge gestellt werden mussten. Anschließend konnte er mit seiner umgebauten TV-Fernbedienung die Schaltungen der Bahn umstellen. Dadurch sind vier Züge entgleist, mehrere mussten Notbremsungen einleiten. Insgesamt wurden 12 Fahrgäste verletzt. Bilder eines der Unfälle gibt es hier. Er selbst wollte mit seinem Hack lediglich einen Streich spielen.

Doch nicht nur die polnische Bahn verwendet solche ungeschützten Infrarotsysteme. In den USA wird ein ähnliches System für Ampeln eingesetzt, welches häufig missbraucht wurde. Auch kleine Infrarot-Fernbedienung, welche durch möglichst viele Signale versucht den Fernseher auszustellen (z.B. TV-B-Gone) oder auch spezielle PDA-Applikationen könnte solche Probleme auslösen.

Über den ersten bekannt gewordenen Fall in Deutschland, bei dem der „Bundestrojaner“ erfolgreich eingesetzt wurde, berichtet die Zeitschrift Focus in der aktuellen Ausgabe (02/2008, Seite 28; Kurzfassung).

Mr. BundestrojanerDabei geht es darum, dass das Bundesamt für Verfassungsschutz einen Trojaner auf dem Computer eines Berliner Islamisten im Frühjahr 2006 installierte. Dazu sendete der Verfassungsschutz mit Unterstützung des Bundesnachrichtendienstes eine präparierte E-Mail mit einem Trojaner im Anhang an das Opfer. Dieses fiel darauf herein und öffnete den Anhang. Auch eine Alarmmeldung einer russischen Antivirensoftware konnte den Verdächtigen nicht beeindrucken. Bei dem anscheinend illegal durchgeführten Spähangriff konnten Anleitungen zum Bombenbau sowie Bilder von verstümmelten US-Soldaten gefunden werden. Diese können aber wegen fehlender Gesetzesgrundlage nicht vor Gericht eingesetzt werden. Allerdings hegte der propagierende Radikale, schon bevor er durch Focus informiert wurde, aufgrund der Virenmeldung den Verdacht, das über das Internet auf seinen damals neu gekauften PC zugegriffen wird. Deswegen führte er immerhin Chats bevorzugt in Internetcafés.

Meiner Meinung nach kann man aufgrund dieser Bestätigung schon davon ausgehen, dass Online-Durchsuchungen bereits durchgeführt wurden. Vermutlich sind allerdings die meisten per E-Mail erfolgen Angriffe gar nicht erfolgreich gewesen, wenn die Trojaner von Virenscanner erkannt werden können. Man merkt an der Meldung aber auch, dass selbst auf den einfachsten und altbekannten Wegen ein Angriff möglich ist. Interessant wäre aber auch zu wissen, woher das Magazin seine Informationen hat, da es ohne Zweifel darüber berichtet.

Omega Place (engl. Buch)Habe ich vor kurzem im englischen Buch „Omega Place“ von Graham Marks gesehen:

Quis custodiet ipsos custodies?
(Who watches the watchmen?)
Decimus Junius Juvenalis (1st century AD)

Ja, man dachte schon im ersten Jahrhundert an Bundestrojaner und Stasi 2.0 … ;-)

Das gläserne Telefon

9. November 2007

Mr. Bundestrojaner„Das Fernmeldegeheimnis ist unverletzlich.“, wurde 1949 gesagt und ist heute gestorben. Heute wurde das Gesetz zur Vorratsdatenspeicherung verabschiedet. Heute wurde das gläseren Telefon, Handy, E-Mail und Internet erfunden. Der Bundestag verabschiedete mit 366 Stimmen für und 156 dagegen das Gesetz. 2 der 524 anwesenden enthielten sich, 90 waren daheim geblieben. Nachzulesen in jeder Zeitung oder auf taggeschau.de. Letzte Chance könnte nur noch das Bundesverfassungsgericht sein.

Laptop Alarm

15. Oktober 2007

Mit dem Programm „Laptop Alarm“, welches es nur für Windows gibt, kann man sein Notebook auch mal alleine lassen. Das Tool verspricht, wenn das Ladekabel oder die Maus entfernt bzw. der Laptop ausgeschaltet wird, eine lautes Sirenen-Geräusch abzuspielen. Natürlich nur wenn es zuvor aktiviert wurde. Deaktiviert kann der Alarm dann nur, wenn der Besitzer sein Passwort eingibt. So kann man seinen Laptop auch kurz mal aus den Augen verlieren – um z.B. Kaffee zu hohlen. Ideal für Schule oder komische Firmen … oder um selbst gemachten Wein trinken zu gehen.

Vorratsdatenspeicherung

13. Oktober 2007

Heute habe ich einen ziemlich guten Film zur Vorratsdatenspeicherung gefunden: „Planet unter Beobachtung“.

Wie dumm sich dagegen alte Damen bei diesem Thema verhalten, hört man im BR Tagesgespräch.

Und welches Wissen über Computer die Politiker haben, die über die Datenspeicherung mit abstimmen, sieht man hier.

Und über den fiktiven Fernsehsender in Island, der Überwachungskamerabilder live bringt, gibt es hier einen Film.

Auf die an WordPress bzw. WordPress Deutschland gestellte Kritik hat das WPD-Team nun in ihrem Blog reagiert. Das gesposorte Plugin, das sie für als Gegenleistung für Geld des Anbeiters LinkLift erhalten haben, wird ab sofort nicht mehr mit herunter geladen. Stattdessen möchte sich das Team auf die grundlegenden Änderungen, nämlich dem Übersetzen der englischen WordPress-Version konzentrieren. Auf ihrer Webseite werden sie dann noch einige (ungesponsorte) Plugins empfehlen. Was anderes hätte ich von WPD auch nicht erwartet. Natürlich gehört zu WPD noch eine deutschsprachige Informationsseite und eine deutsche Community. Diese muss anscheinend so viele Kosten verursachen, dass man noch über das Thema Sponsoring diskutieren werde.

Auch äußerte sich das Team zur umstrittenen Datenübermittlung von (internen) Bloginformationen wie alle installierten Plugins und URL des Blogs. Dabei kann WPD wenig ausrichten, denn der Code wurde schon von WordPress intigriert. Zwar könnte WPD vermutlich den Quelltext der deutschen Version abändern, aber dann ist zum einen das internationale Problem noch nicht gelöst und außerdem will WPD vermutlich (verständlicherweise) nicht gegen WordPress arbeiten. Allerdings wurde die Datenübermittlung als unnötig bezeichnet.

Allerdings weißt WPD auch darauf hin, dass WordPress-Plugins/-Projekte wie über Akismet und Ping-o-Matic schon seit Jahren diese Daten an Automattic (Entwickler von WordPress) weiterleiten.

Um die neue Version 2.3 der Blog-Software WordPress, die auch ich verwende, wird viel gestritten. So wird bei der deutschen Version von WordPress Deutschland als eins der wenigen mitgelieferten Plugins das Plugin LinkLift mitgeliefert, was ein möglichst einfaches einbinden von Werbelinks des gleichnamigen Anbieters ermöglicht. Schon diese Werbung ist bei einem Open-Source-Projekt kritisch. Aber auch stört, dass der Update-Monitor der neuen Version Daten an Server überträgt, darunter Versionsnummer, installierte Plugins und die Webseiten-URL. Jeder bei WordPress, der auf die Daten Zugriff hat, kann also einen Blog gezielt angreifen, z.B. wenn ein Plugin eine Lücke hat.

Wenn das so weiter geht, werde ich die Blog-Software wechseln müssen, obwohl mir eigentlich WordPress immer gut anpassbar und modern vorkam.

In dem von Sony-Ericsson seit Jahren ausgelieferte Programm Code-Memo hat eine Schwachstelle, das fanden zwei Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie heraus.

Das Programm wurde schon bei den alten Ericsson Handys mitgeliefert und an der Funktion des Programmes hat sich nicht viel getan: Mit dem Programm kann man seine Passwörter und PINs speichern. Code-Memo schützt diese dann mit einem vom Benutzer gewählten Master-Passwort. Sollte ein falsches Master-Passwort eingegeben werden, gibt das Telefon keine Fehlermeldung aus, sondern errechnet falsche Passwörter, die das selbe Muster haben wie das richtige (d.h. reine Nummern-Passwörter bekommen keine Buchstaben usw.). Für den Angreifern ist es nicht ersichtlich, ob die Passwörter richtig oder nicht sind.

Sollte man aber ein Passwort mit Buchstaben und Sonderzeichen (*, #, Ω, Θ, …) speichern, werden bei falschen Master-Passwort Passwörter kreiirt, die teilweise Sonderzeichen enthalten, die über die Handytastatur bei der Passworteingabe durch den Benutzer gar nicht eingegeben werden können. Dies sind unter anderem ©, < und >. So lässt sich durch einen Brute-Force-Angriff (alle Möglichen 10000 Kombinationen werden ausprobiert) leicht erkennen, ob das Master-Passwort richtig eingegeben wurde und somit die Passwörter stimmen. Für ein gutes Ergebnis sollten mindestens 6 solche Passwörter in der Datenbank vorhanden sein.

Ausführen kann man diese Brute-Force-Angriffe, indem man die Eingaben ins Handy per Computer-Software (z.B. floAt’s Mobile Agent) steuert und das Display per Webcam und OCR-Software ausliest.

Das verwenden von Passwörtern ohne Buchstaben und/oder Sonderzeichen um sich gegen solche Attacken schützen zu können ist nicht sinnvoll, weil solche einfachen Passwörter grundsätzlich leicht geknackt werden können. Sinnvoll kann es aber sein, dass das Schlüsselwort, das zum Kontrollieren der Master-Passwort-Eingabe angezeigt werden kann) nicht verwendet wird oder kein Wort ist, da man sonst dadurch mit Hilfe eines Wörterbuchs das Handy angreifen kann.

Sollte diese gefundene Softwarelücke für einen ein großes Problem darstellen, kann man auf alternative Passwort-Manager für’s Mobiltelefon umsteigen, wie z.B. die KeePass-Ports für PDAs und Handys.

Archiv

Kategorien