Computer Security

Autounfall

wishkah — Sat, 15 Nov 2008 17:41:59 +0000

Nein, ich lebe noch und das ist nicht nur eine Redewendung… ihr werdet die nächsten Wochen wohl nichts von mir hören, weil ich nur noch mit einer Hand schreiben kann, was ziemlich anstrengend ist. Mein Kollege und ich, wir hatten einen Autounfall. Frontalzusammenstoß mit 100kmh. Ich wünsche meinem Kollegen gute Besserung und melde mich wieder, wenn mein Gips ab ist!

Big Brother Awards 2008

wishkah — Sun, 26 Oct 2008 17:48:39 +0000

Mit dem Big Brother Award werden jedes Jahr Unternehmen “ausgezeichnet”, die unermüdlich Daten aller Art sammeln, missbrauchen, verkaufen oder schlampig schützen. Letztes Jahr gewannen der Bundestrojaner, Taxi-Überwachung und ein C.S.I-Autor. In der Kategorie “Arbeitswelt und Kommunikation” erhielt die Telekom den Big Brother Award 2008 für die Bespitzelung von Telekom-Aufsichtsräten und Journalisten, so TecChannel. Der Deutsche Bundestag gewann in der Kategorie “Verbraucher” für das Durchwinken mehrerer Gesetze, die eine Erhebung, langfristige Speicherung und Weitergabe von detaillierten Daten über Reisende erzwingen. Der EU-Ministerrat galt aber als der große Gewinner. Für das eigenmächtige und undurchsichtige Erstellen von Terrorlisten heimste der Rat in der Kategorie “Europa/EU” den unbeliebten Preis ein.

Gericht stoppt Vorratsdatenspeicherung

wishkah — Sun, 26 Oct 2008 12:35:43 +0000

In der Firma ging es die letzten Wochen heiß her, deshalb bin ich nicht dazu gekommen, den Blog aktuell zu halten. Ich hoffe, Ihr seid mir nicht böse. Am Mittwoch den 22.10. meldet SearchSecurity, daß BT Germany in einem Eilverfahren beim Verwaltungsgericht Berlin eine einstweilige Verfügung gegen die Vorratsdatenspeicherung erlangen konnte. Seit Anfang des Jahres müssen alle Telekommunikationsanbieter, wie schon oft berichtet, Verbindungsdaten sechs Monate lang speichern. Dabei ging es BT Germany hauptsächlich um die Kosten, die für die nötige Speichertechnik anfallen und von den Unternehmen selbstständig getragen werden müssen. Nach BITKOM-Angaben mußten die Unternehmen bereits bis zu 75 Millionen Euro in die Technik investieren. Hinzu kommen jährliche Betriebskosten in zweistelliger Millionenhöhe. Per einstweiliger Verfügung hat das Verwaltungsgericht Berlin nun die Verpflichtung alle Kosten selbst tragen zu müssen als “unverhältnismäßigen Eingriff in die Berufsfreiheit” eingestuft. Das Urteil ist aber noch nicht rechtskräftig, da gegen den Beschluß noch eine Beschwerde beim Oberverwaltungsgericht möglich ist.

Trends are my best friend

wishkah — Mon, 06 Oct 2008 13:59:37 +0000

Laut Heise machen sich Kriminelle zur Zeit die Google Trends zunutze, um die beliebtesten Suchthemen herauszufinden und z.B. dazugehörige Berichte auf eigenen oder manipulierten Blogs zu posten. Dadurch erhöht sich das Google-Ranking und Opfer lassen sich besser anlocken. Auf den Seiten der Kriminellen können die Besucher dann z.B. angebliche Antispyware-Tools, Freeware oder Videos downloaden, hinter denen sich natürlich Trojaner verstecken.

Vielleicht befindet Ihr euch ja auch gerade auf solch einer Seite… aber bei mir gibts ja keine Downloads. Also, Hirn einschalten!

DoS-Schwachstelle im TCP-Protokoll?

wishkah — Mon, 06 Oct 2008 13:37:22 +0000

Warum hat sich länger nichts mehr getan? Nicht, weil ich kein Interesse mehr an meinem Blog habe, sondern weil ich 2 Wochen Urlaub hatte!

Eine schmalbandige Internet-Verbindung soll laut Robert E. Lee und Jack C. Louis von Outpost24 bereits ausreichen, um einen breitbandig angeschlossenen Server vom Netz zu schießen, berichtet Heise. Details über den möglichen Design-Fehler im TCP-Protokoll, der auch als “TCP Sockstress vulnerability” oder “TCP state table manipulation vulnerability” bezeichnet wird, sollen auf der kommenden T2´08 Information Security Conference veröffentlicht werden. Laut Robert Graham von Errata Security haben Lee und Louis einen Weg gefunden, der es ermöglicht, eine TCP-Verbindung zu öffnen, die niemals geschlossen wird, bis das System gerebootet wird. Robert Lee verrät bis jetzt nur, daß sich der unter fünf Minuten dauernde DoS-Angriff die Ressourcenbelegung nach einem erfolgreichen 3-Wege-Handshake zunutze macht. Berichten zufolge soll es bislang keine TCP/IP-Implementierung geben, die nicht verwundbar wäre.

Bundesregierung für De-Mail-Dienst

wishkah — Thu, 18 Sep 2008 13:30:33 +0000

Die Bundesregierung will ab Mitte 2009 technische und rechtliche Rahmenbedingungen für eine “sichere und verbindliche elektronische Kommunikation” für das E-Government einführen, so Heise. Die Bundesregierung sieht für die Zukunft eine De-Mail-Infrastruktur vor, die für eine rechtssichere digitale Kommunikation zwischen Bürgern, Behörden und Unternehmen sorgen soll und auf gewohnte Internetdienste wie Email und Web basiert. Den De-Mail-Anwendern stehen drei Sicherheitsstufen für die Kommunikation sowie ein Datentresor zur Ablage privater, sensibler Daten zur Verfügung. Auf bestehende Standards aufbauende Erweiterungen sollen Sicherheit und Vertraulichkeit gewährleisten. Die Bürgerportale sollen möglichst ohne zusätzliche Soft- oder Hardware nutzbar sein. In besonders kritischen Bereichen dient der elektronische Personalausweis der Authentifizierung.

Palins Yahoo Konto gehackt

wishkah — Thu, 18 Sep 2008 13:11:29 +0000

TecChannel berichtet, daß das Yahoo-Webmail-Konto der US-Vizepräsidentschaftskandidatin Sarah Palin von einer Gruppe, die sich Anonymous nennt, gehackt und mehrere Mails der Gouverneurin von Alaska auf Wikileaks veröffentlicht wurden. Palin war in der Vergangenheit bereits in die Kritik geraten, ihren Webmail-Account für dienstliche Zwecke zu missbrauchen.

Virenschutz in the Cloud

wishkah — Wed, 17 Sep 2008 13:26:22 +0000

Forscher der University of Michigan glauben eine bessere Methode entdeckt zu haben, um Rechner vor Malware und Viren zu schützen, so Heise. Sie wollen Schutzsoftware direkt in das Internet verlagern, wo man sich die Leistung mehrerer Server bedienen kann. In einem Versuch wurden so bereits mehr neue Viren erkannt und die Gesamtleistung gegenüber Stand-alone-Schutzprogrammen verbessert. Die von den Forschern entwickelte, verteilt arbeitende Software names Cloud AV erwischte 98 Prozent der Testviren. Farnam Jahanian und sein Kollege Jon Oberheide installierten zwölf verschiedene Anti-Viren-Programme auf Servern im Netzwerk der Uni. Freiwillige installierten dann ein kleines Stück Software, welche eintreffende Dateien in einen Hash-Wert umrechnet, der eine Datei zweifelsfrei identifiziert. Der Hash-Wert wurde dann von Cloud AV analysiert. Konnte eine Datei über den Hash-Wert nicht identifiziert werden, wurde sie anschließend komplett hochgeladen, um dann gescannt zu werden. Ist eine Datei einmal identifiziert, wird ihr Hash-Wert gespeichert.

Sicherheit in Mobilfunknetzen

wishkah — Wed, 17 Sep 2008 12:55:21 +0000

Auf der Homepage vom Bundesamt für Sicherheit in der Informationstechnik (BSI) steht eine Veröffentlichung mit dem Titel “Öffentliche Mobilfunknetze und ihre Sicherheitsaspekte” zum Download bereit. Die Broschüre beleuchtet bereits existierende und zukünftige Mobilfunktechnologien in Bezug auf deren Sicherheit. Die Broschüre befasst sich dabei z.B. mit folgenden Technologien:

Global System for Mobile Communications (GSM)
General Packet Radio Service (GPRS)
High Speed Circuit Switched Data (HSCSD) und Enhanced Data Service for GSM Evolution (EDGE)
Universal Mobile Telecommunications System (UMTS)
High Speed Downlink Packet Access (HSDPA) und High Speed Uplink Packet Access (HSUPA)
High Speed Orthogonal Frequency Division Multiplex Packet Access (HSOPA)
Satellitengestützte Mobilfunknetze
Short Message Service (SMS)
Multimedia Message Service (MMS)
M-Commerce Location Based Services

Öffentliche Anhörung zum BKA Gesetz

wishkah — Mon, 15 Sep 2008 12:41:15 +0000

Heute am 15.09. findet im Innenausschuss des Bundestages eine öffentliche Anhörung zum BKA Gesetz statt, berichtet Golem. Bundesdatenschutzbeauftragter Peter Schaar lehnte im Vorfeld die geplanten Erweiterungen für das BKA ab. “Je mehr im Vorfeld eines Verdachts Menschen überprüft werden, umso mehr Kontakt- und Begleitpersonen ins Blickfeld geraten, umso mehr Daten werden registriert”, so Schaar. Durch die heimliche Überwachung, die unter der Überschrift der “Abwehr von Gefahren des internationalen Terrorismus” erfolgen sollen, werde der “Kernbereich der Privatsphäre nicht ausreichend geschützt”, beklagt Schaar, was nicht den Vorgaben des Bundesverfassungsgerichts entspricht. Nach dem Gesetzentwurf kann das Bundeskriminalamt Journalisten zur Herausgabe von Recherchematerial zwingen oder Onlinedurchsuchungen gegen sie vornehmen. Bei der Anhörung wird auch BKA Präsident Jörg Ziercke gehört. Laut Ziercke bietet des Gesetzentwurf die Grundlage für eine “noch effektivere Zusammenarbeit” von Polizei und Geheimdiensten. Der Niedersächsische Innenminister Uwe Schünemann (CDU) will ebenfalls mehr Befugnisse für das BKA. “Es ist eine klare Regelung nötig, damit BKA-Beamte auch heimlich die Wohnung betreten dürfen”, so Schünemann.