Gespeichert unter: News | Schlagworte: Biometrisch, eGovernment, Elektronischer Personalausweis, Persönliche Daten, RFID
Zu dem E-Perso habe ich ja bereits einen Artikel geschrieben, jetzt sieht es so aus, als würde er Wirklichkeit werden. Was ich davon halte? Der Artikel von Heise ist zwar schon ein paar Tage alt, stellt aber auch ganz gut meine Meinung dar. Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert warnt, daß über die im E-Perso eingebauten RFID-Komponenten der Träger zu orten, aber auch die auf dem E-Perso gespeicherten persönlichen Informationen wie z.B. Name, Anschrift, Geburtsdatum, Fingerabdrücke oder das digitale Lichtbild leicht zu kopieren sind. Damit steht dem Identitätsdiebstahl nichts mehr im Weg! Datenschützer sehen die Gefahr, daß Staaten, die zum Auslesen der biometrischen Daten berechtigt sind, Datenbanken mit diesen Informationen aufbauen könnten. Die elektronische Signatur, die Geschäfte im Internet sicherer und leichter machen soll, trägt ebenso dazu bei, daß Betrüger leichter an sensible Daten kommen, wenn diese über den E-Perso beim Einkauf im Internet benutzt wird, so Frank Rosengarten vom Chaos Computer Club. So bleibt uns für den E-Perso wohl nur noch die Schutzhülle aus Aluminium
Gespeichert unter: News | Schlagworte: Daten sammeln, Datenschutz, Persönliche Daten, Online Durchsuchung, Polizeiaufgabengesetz, Saarland
Wie bereits berichtet geht Bayern seinen eigenen Weg in Sachen Onlinedurchsuchung, aber auch der saarländische Innenminister Klaus Meiser arbeitet an einer Novelle, die sich an den Änderungen des Polizeiaufgabengesetzes in Bayern orientieren soll, so Heise. So sollen Ermittler auch in Wohnungen eindringen und verdeckt ausforschen können. Ob die Ermittler dies nur zur Terrorabwehr oder aber auch zur Bekämpfung oder Verfolgung schwerwiegender Straftaten dürfen, verriet der Minister nicht. Das Parlament soll nach der Durchführung solcher verdeckten Durchsuchungen über deren Verlauf aufgeklärt werden. Meiser will eine Regelung im Polizeigesetz verankern, die das automtische Erfassen von KFZ-Kennzeichen erlaubt.
Gespeichert unter: News | Schlagworte: Gmail, Google Mail, HTTPS, Verschlüsselung
HTTPS wurde von Google Mail zwar schon von Beginn an unterstützt, dafür mußten die User aber explizit die Internet-Adresse https://mail.google.com anstatt http://mail.google.com öffnen. Das wurde anscheinend von vielen Nutzern vergessen. Jetzt können Deutsche Nutzer unter „Einstellungen“ -> „Browserverbindung“ (ganz unten) den Radio-Button „Immer https verwenden“ aktivieren, um die komplette Kommunikation mit dem Mail-Server per Web-Interface zu verschlüsseln, berichtet Heise. Google rät allerdings aus Performance-Gründen diese Option nur zu aktivieren, wenn man sie auch wirklich benötigt. Die Google Toolbar und die Mobilversion von Google Mail sind allerdings noch nicht kompatibel zu dem https-verschlüsselten Gmail. Man arbeitet daran, die Probleme zu beheben.
Gespeichert unter: News | Schlagworte: DNS, DNSSEC, Kaminsky, Poisoning, Sicherheitslücke, Update
Kaum habe ich über die Sicherheitsprobleme mit DNS berichtet sind die ersten Exploits aufgetaucht und wie Heise berichtet, wohl auch schon die ersten Attacken. Obwohl die Gefahr schon absehbar war, haben wohl viele ISPs ihre Nameserver noch nicht gepatcht. Große US-Provider wie AT&T, BT, Time Warner und Bell Canada z.B. haben ihre Systeme noch nicht abgesichert. Sicherheitsupdates müssen üblicherweise erst getestet werden und das dauert selbst in dringenden Fällen mehrere Wochen. Sicherheitsexperte Dan Kaminsky, der den Exploit entdeckt hat, betont erneut, daß ein Angriff in unter zehn Sekunden machbar ist und es auch nichts bringt, den TTL Wert bei verwundbaren Servern hochzusetzen. Cache-Poisoning-Angriffe lassen sich nur durch DNSSEC abwehren.
Gespeichert unter: News | Schlagworte: Deniable File System, Google Desktop, Hidden Volume, TrueCrypt, Verschlüsselung, Vista, Word
Mit TrueCrypt kann man verschlüsselte Dateien als Hidden Volumes verstecken. Bruce Schneier hat nun in Zusammenarbeit mit einer Forschergruppe herausgefunden, daß sich dieses Prinzip durch Vista, Word und Google Desktop untergraben lässt, berichtet Heise. In der Windows-Registry wird z.B. eine eindeutige Volume-ID hinterlassen, sobald ein Anwender ein verstecktes Volume öffnet. Die bearbeitete Datei kann aber auch in der Liste der zuletzt geöffneten Dokumente erscheinen. Der Forschergruppe war es auch möglich, eine Word-Datei mit einem einfachen Daten-Wiederherstellungstools zu restaurieren, nachdem die Autosave-Funktion von Word aktiviert wurde. Google Desktop indiziert vielerlei Arten von Dateien, sobald ein Volume geöffnet wurde. Einige dieser Probleme wurden durch die Version 6.0 bereits gelöst. In dieser Version kann man das gesamte Betriebssystem in einem inneren Container verstecken lassen. Je nachdem welches Passwort der Anwender beim Booten eingibt, startet das nun verschlüsselte oder das verschlüsselte und versteckte Betriebssystem. Dort ist es dann egal, ob das Betriebssystem oder eine Anwendung Hinweise hinterlässt. Das von Bruce Schneier erstellte siebenseitige PDF Dokument gibt es HIER
Gespeichert unter: News | Schlagworte: Oberlandesgericht, Prüfpflicht, Sicherheit, Wireless Lan, WLAN
Früher ein oft diskutiertes Thema, jetzt hat das Oberlandesgericht beschlossen, daß Inhaber von WLANs nicht zur Verantwortung gezogen werden können, wenn unberechtigte Dritte die Verbindung missbrauchen, berichtet SearchSecurity. Das OLG Frankfurt ist der Meinung, daß der Inhaber nicht im Nachhinein zur Verantwortung gezogen werden kann, weil das Risiko, daß sich Fremde einhacken, hinlänglich bekannt ist. Präventive Sicherheitsmaßnahmen wurden als unverhältnismäßig bezeichnet und somit hob das OLG das Urteil des Landesgerichtes Frankfurt auf. Nur wenn es konkrete Anhaltspunkte für einen Missbrauch der WLAN Verbindung durch Dritte gebe, muß der Betreiber seinen Prüfpflichten nachkommen. Das aktuelle OLG-Urteil (Aktenzeichen 11 U 52/07) ist im Kontext des sonstigen Rechtsprechung zu betrachten. Am Anfang des Jahres hatte nämlich das OLG Düsseldorf die Haftungsgefahr für WLAN-Betreiber untermauert. Das Urteil vom OLG Frankfurt ist außerdem noch nicht rechtskräftig, weil Revision zugelassen wurde. Also doch nicht alles klar?
Gespeichert unter: News | Schlagworte: AMD, CPU, Intel, JavaScript, Sicherheitslücke
Entwickler und Reverse Engineer Kris Kaspersky will auf der kommenden Sicherheitskonferenz „Hack in the Box“ seinen Code vorstellen, mit dem er beweißen möchte, daß er damit Systeme mit Intel-Prozessoren angreifen kann, berichtet Heise. Intel zählt laut seiner Ankündigung z.B. für den Core 2 Prozessor allein 128 Fehler in der Spezifikation auf, für den Itanium sogar mehr als 230. Einige führen zwar „nur“ zum Crash, aber durch andere kann man aus der Ferne oder lokal die Kontrolle über einen Rechner übernehmen. Dabei soll sogar unrelevant sein, welches Betriebssystem installiert ist, welche Patches und welche Anwendungen auf dem Rechner laufen. Auf der Konferenz will Kaspersky einen Angriff mit JavaScript-Code und TCP-Paket-Stürmen auf eine Intel CPU zeigen. Laut Kaspersky gibt es bis jetzt nur wenige Angriffe, die diese Lücken ausnutzen. Über AMD-CPUs wird nichts berichtet.
Gespeichert unter: News | Schlagworte: Chip, Glasfasernetz, Quantencomputer, Quantenkryptographie, Verschlüsselung
Wie Golem berichtet, haben Forscher von Siemens IT Solutions and Services, des Austrian Research Center und der Technischen Uni Graz einen Chip zur Quantenkryptographie entwickelt und gebaut. Zur Zeit wird von den Simens Forschern in Wien ein Glasfasernetz gebaut, über das die verschlüsselten Nachrichten sicher übertragen werden können. Das Netz soll bis Oktober 2008 fertiggestellt, der Chip bis zum Jahr 2010 serienreif sein. Die Bits werden bei dieser Methode durch unterschiedlich polarisierte Photonen dargestellt. Der Absender schickt zunächst eine willkürliche Photonenfolge an den Empfänger. Beide, Absender und Empfänger, messen mit einem Detektor die Polarisation der Photonen und vergleichen die Messwerte. Stimme die Messwerte überein, generiert der Chip daraus einen Schlüssel, mit dem eine Nachricht kodiert wird. Die Photonen werden bei dem Versuch die Verbindung zu belauschen verändert, was der Chip feststellen und so eine neue Photonenfolge generieren kann.
Gespeichert unter: News | Schlagworte: Daten sammeln, Datenschutz, Persönliche Daten
Vor ein paar Tagen hatte ich bereits über die Datenpanne bei dem Marktforschungsinstitut TNS Infratest/Emnid geschrieben, bei der Daten von 41.000 Befragten einsehbar waren. Die Daten waren laut Golem und Spiegel Online nicht nur von anderen Befragten einsehbar, sie konnten auch beliebig manipuliert werden. Laut David Ehlers, Geschäftsleiter der Forschungs-GmbH Infratest im Bereich Datenbeschaffung, soll die Sicherheitslücke allerdings niemand ausgenutzt haben, bevor die Seite vom Netz genommen und die Betroffenen gewarnt wurden. Der Bundesdatenschutzbeauftragte Peter Schaar beklagt, daß es bereits bei vielen Webshops und E-Government-Portalen zu diesen Problemen gekommen sei.
Gespeichert unter: News | Schlagworte: Beiträge, BSI, Elektronische Dienste, Elektronischer Personalausweis, Kryptographie, Sichere Wege in der vernetzten Welt, Sicherheit
Zum 11. Deutschen IT-Sicherheitskongress vom 12. bis 14. Mai 2009 sucht das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter dem Motto „Sichere Wege in der vernetzten Welt“ „kreative und innovative Beiträge“ zu den Themen
Sichere Netze
Mobile Sicherheit
Elektronischer Personalausweis
Bürgerportale
Prüfstandards
Sichere Plattformen
Sichere Anwendungen
Aktuelle Entwicklungen in der Kryptographie
Management von Informationssicherheit
Aktuelle Herausforderungen
Autorinnen und Autoren, die einen Beitrag einreichen wollen, schicken eine Gliederung und Kurzfassung des Vortrages im Umfang von 4-5 DIN A4 Seiten an das BSI. Die Begutachtung der Beiträge erfolgt anonym. Vortragsanmeldung mit Abgabe von Gliederung und Kurzfassung ist der 10.10.2008. Weitere Infos zu den Themengebieten und dem Aufruf findet ihr HIER
