datenklause.de » Security

DDL stirbt langsam: Die nächste Runde beginnt.

sirko — Tue, 24 Jan 2012 12:51:36 +0000

Die Sharehoster geraten in Panik, machen Ihre Afiliate-Programme dicht, sperren US-Nutzer aus und löschen massenweise Dateien. Wir erleben gerade den langsamen Tod von DDL.
Meine Prognose: Beim nächsten Schritt geht es zurück zu P2P, aber mit Millionen von mehr oder weniger verschränkten Darknets. Das wird verschlüsselt ablaufen und auf Vertrauen basieren, sprich die Nutzer werden nur noch mit Freunden tauschen. Vorratsdaten helfen da nicht weiter, Abmahn-Kanzleien haben keine Chance mehr die Nutzer zu ermitteln, höchstens einzelne Nutzer eines einzelnen Darknets und nur wenn ein verdeckter Ermittler irrtümlich als Freund akzeptiert wird.
Wenn das so kommt, werden wir uns mehr denn je dagegen wehren müssen, dass die Provider zum Filtern und Überwachen gezwungen werden.

Datenmüll auf dem Kontoauszug von der Deutschen Bank

sirko — Tue, 20 Dec 2011 15:16:44 +0000

Heute haben wir eine Buchung auf dem Konto-Auszug, die sieht doch sehr interessant aus.

16.12.2011 SEPA-Gutschrift siehe Anlage SCORXXX XXXX

Na, wer findet den Fehler? Ja, ganz sicher das Freizeichen. Solche bekloppten Token können sich nur Java-Programmierer ausdenken.

Siri ist mein Albtraum.

sirko — Sat, 29 Oct 2011 15:12:02 +0000

Erst hat mich diese Spracherkennung begeistert. Aber seitdem ich weiss, dass sie auf Apples Servern läuft, kriege ich davon nur noch eine Gänsehaut. Irgendwie scheint sich allerdings niemand daran zu stören…

Mäh!

Was man von DigiNotar lernen kann

sirko — Tue, 06 Sep 2011 00:21:46 +0000

Vor ein paar Wochen habe ich schon über das zum Himmel stinkende Vergabe-System geschrieben, der GAU von DigiNotar kam nun hinterher. Zum Glück werden jetzt deren SSL-Zertifikate bei den meisten Browsern als ungültig erklärt.
Aber wartet mal ab, bis die Ermittler aus den Niederlanden mitkriegen, dass dadurch deren Lawful Interception beeinträchtigt wird.
Und ganz sicher wird nicht nur DigiNotar Zertifikate für Geheimdienste ausgestellt haben, die vom TOR-Projekt genutzt werden.
Hallo, wieviele Länder betreiben nochmal CAs?
Ein zentrales Vergabe-System ist sicherheitstechnisch einfach Quatsch. Genau wie einfach alle zentralen Machtverteilungs-Mechanismen.

Warum das ULD mit Facebook Recht hat

sirko — Fri, 19 Aug 2011 20:31:58 +0000

Klar, auch bei Werbebannern auf Webseiten kommen die Banner von fremden Servern. Die Werbefirmen, die diese ausliefern, sind technisch natürlich in der Lage, Profile der Web-Nutzung von Surfern anzulegen. Mit Ausnahme von Google haben sie aber einfach nicht genug Reichweite, um das gefährlich werden zu lassen. Der entscheidende Unterschied aber ist: Diese Profile sind anonym.
Bei Facebook sieht das anders aus. Die haben Deinen Klarnamen, Deine Anschrift, kennen Deine Freunde und wissen von jeder Website mit Facebook-Buttons drauf, die Du jemals in Deinem Leben besucht hast. Und da diese Buttons sich ausgebreitet haben wie die Pest, hat Facebook eine wahrlich immense Reichweite. Die eigene IP, der Referer und weitere Header werden bei diesen Buttons übrigens immer d.h. auch ohne Klick übertragen, es sei denn, man schützt sich durch Plugins, Tipps, wie z.B. nur den Like-Button nicht zu klicken, sind nutzlos. Facebook weiss also, wann Du morgens üblicherweise Deinen Rechner anschaltest, welche Nachrichten Du liest, auf welchen Dating- und Porno-Seiten Du Dich jemals herumgetrieben hast, auf welchem Rechner Du privat und auf welchem Du beruflich surfst.
Richard Stallman hat es neulich schön formuliert: “Wer Freiheit und Privatsphäre will, muss gegen den Strom schwimmen.”
Das bedeutet manchmal leider auch Verzicht auf Komfort.
Die Strategie des ULG ist auch die richtige. Jeder Webmaster ist für seine Website selbst verantwortlich. Jetzt zu fordern, dass das ULG doch bitte gegen Facebook vorgehen soll, ist unsinnig, denn Facebook hat sich ja seine Buttons nicht auf die Webseiten gehackt, sondern der Webmaster hat sie eingebaut. Was das ULG macht, ist richtig: Mit drastischen Worten unter Androhung von Bußgeldern klarmachen, dass hier im grossen Stil gegen das Gesetz verstoßen wird. Wer reagiert schon auf eine “Beanstandung”? Und nicht Facebook verstößt gegen das Gesetz, sondern jeder Webmaster, der – weil es alle machen – wie ein Lemming die Buttons bei sich eingebaut hat. Es gibt gerade einen Kult um die Neophilie, leider ist heute vielen Early Adoptern egal, was wie funktioniert, so lange sie selbst keine negativen Folgen zu spüren bekommen.

Es gibt tatsächlich Spinner, die von einer Post-Privacy-Ära faseln. Privatsphäre und Anonymität sind essentiell, um nicht der Willkür von Leuten ausgesetzt zu sein, die andere, z.B. überholte Moralvorstellungen vertreten. Wir alle lernen schon als Kind, was wir wem erzählen können, wir schaffen Teilöffentlichkeiten und betreiben Informationspolitik: “Aber erzähl das nicht Mammi/Papa!”
Stell Dir vor, Du bist mit Deinen Ansichten in der Minderheit, z.B. als schwuler Jugendlicher in einem türkischem Bergdorf. Da kann Dir fehlende Privatshäre und/oder Anonymität das Leben kosten. Oder in Unrechts-Regimen. Wir verlassen uns so gern auf den Staat, ist ja auch bequem, aber wer weiss schon, was kommt? Was wäre, wenn multinationale Konzerne oder Oligarchen Stück für Stück unsere Demokratie aushöhlen, unsere Grundgesetze außer Kraft setzen, das Eigentum unserer Kommunen verscherbeln, das Alter der Bevölkerung mit Disease-Management steuern, alle Medien die Menschen durch das Kontrast-Prinzip unglücklich und konsumsüchtig machen würden, in den Nachrichten nur noch Propaganda käme, Anschläge vorgetäuscht würden, um Kriege zu rechtfertigen und wir uns plötzlich in einem Unrechtsregime wiederfinden? Würden…
Mit den Daten von Facebook und bald auch Google+ ließen sich ganz schnell ALLE Mitglieder von Widerstands-Netzwerken identifizieren. Ihr wisst, wie das läuft. Die werden nicht abgeknallt oder weggesperrt wie früher. Minimal invasiv: Die werden einfach erpresst. Man kennt doch all ihre Freunde. So züchtet man die nötigen Hamster fürs Laufrad.

Ich übertreibe bestimmt.
Aber da fällt mir noch etwas ein: Was wäre, wenn Facebook einfach nur gehackt, oder einer von deren Admins mal eben einen Datenbank-Dump ziehen und verkaufen würde?

Ob wohl jemand Interesse daran hätte?

Eine Empfehlung für Firefox-User: Die Erweiterung ShareMeNot schützt Dich vor dieser Datensammelei. Aber nicht Deine Freunde. Hilf ihnen!

Warum Facebook gefährlich ist.

sirko — Tue, 12 Jul 2011 22:48:41 +0000

Ein einziger Tag macht es mit zwei Meldungen deutlich, warum Facebook extrem gefährlich ist: Hier ist Meldung Nummer 1 und hier ist Meldung Nummer 2.

Sag mir was Deine Freunde tun und ich sage Dir, was Du morgen tust.

Warum beglaubigte SSL-Zertifikate Quatsch sind

sirko — Mon, 27 Jun 2011 14:02:19 +0000

Wir überlegen, zu einem anderen Anbieter für SSL-Zertifikate zu wechseln. Das sehe ich als sicherheitstechnisch völlig unbedeutend an. Ich hätte sowieso ein Problem, einem Kunden glaubwürdig zu erklären, warum das Zertifikat von A besser als das von B sein soll. Das ganze Vergabe-System stinkt zum Himmel. Egal, ob für 20,-€ als “Domain-Validated” oder mit “Extended Validation” für 350,-€.
Jede CA, die ein Zertifikat ausstellen kann, kann das für jede Domain tun. Auch für die Domain *. Ja, solche Zertifikate gibt es. Mehrere CAs teilen sich einen Signing-Key.
Also entweder traut man allen CAs auf der ganzen Welt vollumfänglich oder man misst unterschiedlichen Zertifikaten nicht mehr Bedeutung zu als “Hey, die grüne URL-Leiste ist aber schick”.
Leute, die beglaubligten Zertifikaten vertrauen, sollten die erstmal mit ihrer Wünschelrute überprüfen. Oder das Vertrauen auspendeln. Dann passt das schon.

Warum Twitter böse ist

sirko — Fri, 08 Apr 2011 12:30:07 +0000

Twitter verkauft den Zugriff auf seine Datenbank. Und daraus kann man weitaus mehr Informationen über die Benutzer ableiten, als mancher denkt. Ich habe noch nie verstanden, warum Leute wie die Schafe diesen zentralen Twitter-Quatsch mitmachen.

Klimawasser, DDOS, Strom weg. An einem Tag.

sirko — Tue, 28 Sep 2010 10:57:51 +0000

Gestern war einer dieser Tage. Zwei Kollegen waren im Urlaub, einer war krank, wir saßen hier zu zweit. Kurz vor Feierabend bemerken wir, dass eine Klimaanlage Kondensat in den Serverraum spuckt. Abends, eigentlich nach Feierabend, wir spielten hier die Putzfrauen, kam dann der Klimatechniker. Als der Stunden später endlich fertig war, ich mir auf der Couch gerade ein Glas Wein einschenken wollte, schickte mir das Monitoring eine SMS, dass HTTP auf dem Lastverteiler weggebrochen sei. Nach einer rasanten Autofahrt beruhigte mich mein Kollege, der bereits vor Ort war, dass die Klimaanlagen ganz normal laufen und nirgendwo Wasser sei, das Problem sei etwas anderes. Also fuhr ich wieder nach Hause, und dachte mir, mein Kollege wird es schon richten.
Wieder zu Hause, ich wollte gerade die Weinflasche in die Hand nehmen, da kam ein Anruf, das Problem sei eine kleine DDOS-Attacke. Also stieg ich wieder ins Auto. An dieser Stelle sei vielleicht erwähnt, dass Forensik richtig Spass macht. Als wir das Ziel identifiziert hatten, mussten wir schon wieder breit grinsen, es war eine Berufsschule. Ein Bengel hatte sich für zwei Stunden ein kleines Botnet gemietet, um vor seinen Kumpels zu protzen. Mehr muss man dazu gar nicht sagen. Egal, ein Tool zum Identifizieren der Störenfriede war schnell geschrieben und dieselben in einer Tabelle auf der Firewall gesperrt.
Zu Hause angekommen, unternahm ich den dritten Versuch, mir ein Glas Rotwein einzuschenken. In diesem Moment ging plötzlich das Licht und die Musik aus. Der Strom war weg, der ganze Strassenzug war dunkel. Also rief ich beim Kollegen an, ob er doch bitte mal aufs Monitoring gucken könne, da kam eine SMS, dass HTTP schon wieder weggebrochen war. Der Strom war noch da, aber der Berufsschul-Bengel hatte vor lauter Frust über seine gescheiterte Attacke mehr Bots dazugemietet. Die zu sperren war kein Problem, aber meine Freundin längst im Bett und der Abend in absoluter Stille…
Mannmannmann.

Grütze zippen

sirko — Fri, 23 Jul 2010 14:03:26 +0000

Ein Kollege hat das hier umgesetzt, wir haben jetzt ein viel, viel genaueres Accounting auf dem Cluster. Die Intervalle zur Auswertung sind frei wählbar.
Und einige Kunden kriegen jetzt Anrufe.
Man kann sich gar nicht vorstellen, was der ambitionierte Webmaster so alles bastelt. Zum Beispiel “Grütze zippen”: Eine WordPress-Installation, die bei jedem Seitenaufruf ein 250MB-Backup erstellt. Was mit dem neuen Storage-System natürlich in Sekunden erledigt ist. Oder ein “Cache”, der zig-tausend mehrere Byte große Dateien anlegt, die dann zu Hunderten bei jedem Seitenaufruf nachgeladen werden.
Ich will bloss wieder zurück in der Urlaub. Machts gut.