The Happening

Die Live-Notizen jetzt von mir so gut es geht.

Security Nightmares 2009

Ein prophetischer Blick in auf – noch – hypothetische Sicherheitsalbträume der kommenden Zeit -

Hoffentlich werden ihre Ausblicke nicht zu deprimierend, noch mehr Horror-Vorstellungen und dunkle Wolken am IT-Horizont kann ich nicht mehr ertragen.

 

 

The Beginning

 

Nach ner ganzen Weile technischer Problemlösungs versuche und den Bemühungen die Rettungswege freizukriegen gehts jetzt los…
Übergabe an Frank und Ron -
OK, das Ganze wird doch eher spaßig gemeint sein – gut so Jungs

 

Security Nightmares als Motivation die Dinge besser zu machen…
Jaaa / jetzt war ich kurz raus, weil Jemand hier wild Stecker rausgezogen hat und ich erstmal wieder meine Transfers starten musste -

 

OK, Rückblick 208 -

Beginn der Endlosserie “Große Firmen verlieren sensible Kundendaten” schlimmer gehts kaum…
IT-Grundrecht auf Integrität von IT-Systemen
Aha, die Promis passen jetzt alle wie die Schießhunde auf ihre Gläser auf vonwegen Fingerprints… – lolig lolig.
Cyber-Security in Amiland
Die Angst vor China-Schadsoftware erwacht
Digitale Bilderrahmen als Angriffsziele, stimmt eigentlich, noch gar nicht dran gedacht -
Ist zwar Quatsch, und hab ich auch nicht… aber verdammt gut verkaufen tun sie sich ja… unerklärlicherweise
Oh…. aua aua aua, die EC-Zahlungsterminals z.B. in Supermärkten kamen z.t. mit GSM-Modem, und haben immer wieder mal einzelne Kartendatensätze an Gangster in Nahost verschickt… das ist bitter, kann man echt Albträume kriegen…
find ich auch überhaupt nicht lustig gerade…

 

Produkt-Ppiraterie
Jede Menge gefälschte Cisco-Netzwerkhardware mit Backdoors aus und für China –

 

Wahlcomputer-Update

 

Bilddaten-Verbrechen bei MySpace, denen sind offenbar Bilder abhanden gekommen in unglaublicher Zahl, weiß ich gar nichts mehr von – gleich mal meine MySpace-Pics löschen
Social Networks als Quellen für Targeted Attacks oder so ähnlich… klingt ganz einleuchtend, zu einleuchtend vielleicht, naja gut ist ja bekannt, wenn man zu viel privaten Stuff preis gibt… then there will be trouble ahead.

2007 5x mehr Viren als im Vorjahr, letztes Jahr dann entsprechend… naja – paar Potenzen mehr fürcht ich.
127 US-Bürger Opfer von Datenverbrechen in 2008… okay…
Häufigste Ursache für den Verlust persönlicher Daten sind – Überraschung – verlorene bzw. unzureichend gelöschte Festplatten und USB-Sticks.
Oh aua aua – WOW-Items und Account-Infos waren im letzten Jahr mehr wert als Kreditkartendaten – auf dem Schwarzmarkt natürlich.
In diesem Jahr warens dann Email-Passwörter -
Notiz an mich: Neue PWs setzen

BOT-Netze dieses Jahr doppelt so groß wie im Vorjahr
2% aller Windows-PCs sind voll gepatscht und dementsprechend…. . . ja.
Spam-Mails werden nicht nur immer mehr, sondern auch immer kreativer, bringen also immer mehr Fun beim Vorlesen – stimmt leider, manchmal weiß ich auch nicht ob ich lachen oder weinen sollte.
Und jetzt halt paar besonders… spezielle Beispiele – da fällt man echt vom Glauben ab.
Und Einige fallen immer wieder drauf rein und verschulden sich für den Rest ihres Lebens… Schmerz -
Und dazu ein Zitat von ihr: “I’m not a person who’s easy to trick”…well Babe, seems as if, doesn’t it -
Loool loool – immer mehr Spam-Beispiele – Einige sind fast schon … so schlecht, dass sie schon fast wieder gut sind.

 

Jetzt kommt “Dark Site” – sagt mir jetzt nichts, Datenhändler etc…
E-Gov…ok, ja.

OK, die IX-Geschichte – Lob für die Selbstanzeige des Chefredakteurs, der hat sich ja angezeigt, um ein Urteil zum Hacker-Paragraph zu erwirken – den loben sie, obwohl sie die Sinnhaftigkeit anzweifeln… gut naja – ich finds auch etwas skuril, aber interessant.

 

Jetzt kommt WLAN-Verschlüsselung, man sollte ja schon geraume Zeit auf WPA2 einsetzen – passt – hab ich.

 

Legacy-Hacking? *denk denk*
Was is… per Infrarot-Sender den Nahverkehr zum Zusammenbruch bringen und Züge entgleisen lassen… – nicht nett, nein nein…
Jetzt ist da ein Crack am Start, der irgendwas extrem freakiges zu “Legacy Hacking” sagt – Bios-Rootkits – keinen Schimmer von.

 

Blick nach vorn
Vorausschau auf 2009

 

OK, der elektronische Perso kommt…näher -
Oh je, Internetausweis, der qualitativste Cookie der Welt… hoffentlich nicht.
Von Haltbarkeit und Sicherheit des ePerso –

vgl. Der elektronische Personalausweis kommt – mit Risiken und Nebenwirkungen

 

GSM-Hacking

nette Formulierung: Unser Land wird ja derzeit per SMS regiert… meinen sie wohl das Angelchen?
Aussicht: Eigenes GSM-Netz auf dem 26C3… das wär cool

Jetzt… die ganzen Regierungsmaßnahmen zum Filtern des Netzverkehrs, in China und co. aber auch westlichen Ländern wie  Australien.
Sie prognostizieren da eine dramatische Steigerung dieser Aktivitäten – düstere Aussichten.

 

Jetzt ist Flash… also Adobe Flash 10 und die Schwachstellen des Vorgängers, etc etc…

 

Böse Netze
Oha! “Seinem Netz zu vertrauen ist inzwischen eine doofe Idee…” -
Netze sind jetzt aktiv böse statt nur passiv -
Geht halt um mangelhaft geschützte  Email-Übertragungen usw.
Ajo stimmt und die Filterung von TLS im O2-Netz, die zu Klartextübertragungen des Mailverkehrs geführt hat, weil das die meisten Clients so handhaben – davon hatt. ich mal gelesen, und auch von der Spekulation, dass das vll Absicht war.

Äh ja  – SSL offenbar doch ganz schön kaputt… hm hm… bin ich mit meiner Kompetenz überfragt.
Unübersichtliche Lage bei Zertifizierungsstellen

Intelligente Stromzähler kommen jetzt -
Verfügbar bei Yellow, zumindest dort am Besten und am flächendeckendsten…
Überlegung: Intelligente zentralisierte Verbrauchssteuerung für Haushalte.

 

Deep-Packet-Inspection, also halt Zensur durch URLFilterung etc. direkt im Netz – böse Sache.
Erste Angriffe gegen kleine NGOs -
Aha, gezieltes Vorgehen gegen bestimmte Personengruppen, bzgl. Überwachung etc.
Beispiel: Vergünstigter Telefontarif für Journalisten… der dann eine Überwachung freihaus liefert? meinen sie das? – bitter wärs.

 

Antivirus
Immer schlechtere Leistungen von Antiviren-Software, bzw. kaum nennenswerte Verbesserungen der Defensive, sodass die Offensive, die neuen Viren also, ungleich mehr und öfter durchschlagen…

Bin gerade etwas abgelenkt,

 

Öhm jap – und dannw ars das, bin etwas überhastet aufgebrochen, der Rest war wohl noch gut, jedenfalls hab ich im Vorbeigehen  Viele heitere Menschen registriert, aber ich bin zu hinüber um darauf noch einzugehen

 

So far for now

Demnächst werden die neuen elektronischen Persos ausgegeben, und natürlich haben die Dinger jede Menge Eigenschaften, die sich wohl die Wenigsten bei ihren

Ausweisdokumenten wünschen.

Der Vortrag Der elektronische Personalausweis – Endlich wird jeder zum “Trusted Citizen” -

Von Constanze Kurz und starbug – (ich gebe nur ein was hier steht…

Live mit-stenografiert von mir für euch

 

Interessant

Der bisherige Ausweis ist bombensicher, so sicher wie in wenigen anderen Ländern, wird kaum gefälscht…. waaaarum also die Neuen einführen…

Das BMI sagt, um dem um sich greifenden Identitätsdibstahl einzudämmen – naja. . .

 

 

 

Jetzt spielen sie gerade eine Videopräsentation über diesen Ausweis ein. . .

Ganz lustig, sie betont die … angebliche … Sicherheit des Bürgers beim Bezahlen im Netz. . . alle Daten sind sicher und bleiben gestzt und so – naja nun…

 

OK ja, das neue Format, das EC-Kartenformat ist halt nicht wirklich sinnig, weil eben kein Magnetstreifen, sondern eine kontaktlose Übertragung genutzt wird, dafür muss das Bild noch kleiner werden…

 

Dann meinen sie, im Gegensatz zu dem, was immer erzählt wird, sei Biometrie nicht optional beim E-Perso, weil ja das Bild digital gespeichert wird, kann ich nicht beurteilen das Argument so auf die Schnelle.

 

Dann die “Internetausweis” genannte ID-Funktion für den Einsatz im Netz mit der qualifizierten digitalen Signatur, die dann alle Ausweis-Inhaber nutzen können, um sich eindeutig im Netz auszuweisen, beim Einkaufen oder Beziehen von altersbeschränkten Diensten or whatever.

Ausgabe beginnt 11.2010 nach Plan, wobei auch üpberlegt wurde schon nächstes Jahr anzufangen…

Die weibliche Vortragende meint jetzt, dass sich die Behörden nicht an die Resultate und Feedbacks der Feldtests halten werden, …. ja, wahrscheinlich werden sie das nicht.

Oh Gott, sie werden den PIN des Ausweises auf die Karte drucken…. damit der Bürger sie bei der Polizeikontrolle nicht  verweigern kann? – das ist verdreht… wirklich.

Und dann wirft man natürlich nicht um sonst die Frage auf, was passiert, wenn man die übermahlt…

Jetzt sind gerade technische Details in der Diskussion…ok die kann ich gerad nicht ganz nachvollziehen.

Ah ja, die Feldtest/Ergebnisse scheinen auch dieses Mal geheim zu bleiben…?

Oh je, sie meint gerade, als sie mal zum Meldeamt gegangen sind um einen ePass? auszulesen, da war das Equipment gar nicht greifbar… und funktionierte dann nicht richtig, das Behördenpersonal wirkte wohl völlig überfordert…..

Und die Bundestags-Abgeordneten haben allesamt Gesichter, die nicht in die Vorgabe für den ePerso passen, . . .

Aha, ältere Menschen sind angeblich zu… unfähig, dement, keine Ahnung, um sich mit dem neuen Ausweis mit Fingerabdruck und dem PIN-Verfahren und dem Online-Aspekt etc. zu beschäftigen, sodass an Diese kein neuer Perso ausgegeben bzw. ihnen die Nutzung nicht mehr erklärt werden soll – sagen die Vorträger, dass das BMI das sagt – klingt jedenfalls heftig.

OK, sie sind mit einer Versuchsperson ins Meldeamt gegangen, die Sekundenkleber auf den Fingern hatte… oh liebe Güte, riesen Aufstand, weils natürlich nicht klappte, neues Gerät geholt, Sensor ausgetauscht, es klappte nicht… und schließlich soll sich die Testperson die Hände waschen… nein nein nein….. -

Am Ende hat sie dann einen Pass ohne Fingerabdruck gekriegt – ok, so geht es also auch.

Ausrede: Chemielaborant bzw. schick anziehen –

Jetzt gehts drum ob es .ne Straftat ist falsche Fingerabdrücke auf Ausweisen zu verwenden….

UND……….. naja – es gibt dann ein Strafgeld vergleichbar dem, was man für falsch angegebene Körpermerkmale kriegen würde – na passt

Alternatives Vorgehen für Anti-ePerso-Leute ist nochimmer das Deaktivieren des RFID-Tags mittels… naja Misshandeln des Ausweises halt.

Jetzt gehts noch um die Beschreibbarkeit des Chips:

Tja… Die ist gegeben, und zwar auch für Auslandsvertretungen, insgesamt tausende Stellen, die das Ausführen können, wirds weltweit geben.

Völlig fragwürdig ist das natürlich

Außerdem wirds mobile Lesegeräte in Polizeiwagen geben wie – in England? wusst ich gar nicht

Und man wird so ein Ding, also einen kartenleser, fürs Verwenden als Internetausweis anschaffen müssen, einen Vertrauenswürdigen… erstmal einen auftreiben

Die Auth-PIN wird 6-stellig sein, na ok ich werd mir auch noch eine Weitere merken können, blöd trotzdem.

Und der Kartenleser wird teuer teuer, trotz, evtl, eintretender Subventionierung, derzeit ca 100 Eur.

Gut, die Webshops, die das Kaufen per ePerso anbieten wollen, müssen sich zertifizieren lassen… naja das wissen wir schon.

Ja… qualifizierte Signatur nochmal, wird bislang halt kaum benutzt, trotz Verfügbarkeit, das wollen sie mit dem ePerso ändern… um der Wirtschaft einen Gefallen zu tun hm…

Aha, auch Ausländer werden biometrisch erfasst werden? – interessant.

Jetzt zeigen sie ein Werbeposter für den ePerso -

 

Stichpunkte

Goldraus der Biometrie-Industrie weltweit

 

Unklare Kostenverteilung beim ePerso

 

Akzeptanz-Umfrage: 50% freiwillige Fingerabdruck-Spender, 10% Unentschlossene

 

Und… Anti-ePerso-Agreement auf www.ccc.de in Vorbereitung…

 

soh – das wars shut off

*halof*

Ich habe eben einen sehr spannenden Vortrag über NFC, die neue Handy-Kurzstreckenfunktechnik, die u.A. Nokia mitentwickelt, angesehen.

Da das Thema doch recht abgefahren ist und nur Mobility-Freaks wirklich interessieren dürfte, hab ich die Zusammenfassung und die Links zum Beitrag und dem Vorträger bei TechnoTrend reingestellt.

Ich persönlich fand ihn super-cool!

Wir müssen Terroristen auf Augenhöhe begegnen
Potenzielle Gefährder unserer freiheitlichen Ordnung müssen überwacht und Aggressoren ggf. liquidiert werden.
Mit der Online-Durchsuchung und dem Bundestrojaner müssen WIR – jeder Einzelne -unseren Rechtsstaat verteidigen.

Der Begriff Gefährder hat es inzwischen sogar schon in die Wikipedia gebracht, so gerne benutzen ihn unsere Politiker -

Eine wie auch immer geartete Grundlage in einem Gesetz besitzt er nicht.

 

Die von vielen Politikern oder Personen des öffentlichen Lebens gebrauchte Sprechweise verändert sich schleichend und man ist bald geneigt sich die z.t. skurilen Formulierungen und Definitionen zu eigen zu machen, ohne zu bemerken, wie kritisch die Konsequenzen dieser langsamen Umdeutung elementarer Zusammenhänge sein kann.

 

In seinem Vortrag Neusprech im Überwachungsstaat – Politikersprache zwischen Orwell und Online zeigt Martin Haase einige verstörende Beispiele von Politiker-Statements, an denen mir z.B. schon nichts mehr aufgefallen wäre.

Tatsächlich aber ist genau das etwas, das eigentlich nicht sein dürfte.

Wenn ich als Politikwissenschaftsstudent auf bestimmte Reizworte schon nicht mehr anspreche, weil ich sie nicht mehr als solche wahrnehme, wie umfassend muss diese unauffällige Manipulation bei völlig unreflektierten Menschen greifen. . .

Siehe auch:

1. PodCast zum Thema

Halbzeit auf dem Hackercongress 25C3, den der Chaos Computer Club jedes Jahr nach Weihnachten und vor Silvester in Berlin abhält.

“]
Gestern Abend gabs nochmal zwei echt gute Veranstaltungen – nach dem Pornovortrag -
nämlich ein mal die Fnord News Show in der sie einen sehr lustigen Querschnitt durch die Newsmeldungen der letzten Zeit ziehen, und sich dabei … halt sehr interessante Zusammenhänge andeuten…
Das letzte Ding des Abends war auch ganz lustig, hieß Soviet Unterzoegersdorf – A Nation In Transit so eine Russen-Comedyshow – klang gut, muss ich mir gleich mal im Archiv ansehen…

---

Facts & Links

2008 wird ein Rekordjahr für den C3-Congress, das zeigt sich auch wenn man im Internet nach Resonanzen sucht.
Hier nun eine Zwischenzusammenfassung der wichtigsten Meldungen, die meisten aus dem heise.de Ticker.

1. 25C3: Hacker haben großen Zulauf
2. 25C3: Brüche in der Sicherheitsarchitektur des iPhone
3. 25C3: “Denial of Service”-Schwachstellen in TCP näher beleuchtet
4. 25C3: Pauschale

Entschädigung für Datenpannen gefordert

5. 25C3: Hackerparagraphen sorgen weiter für Verunsicherung

Das BCC ist auch mit 1500 Teilnehmern über seiner zugelassenen Auslastungsgrenze wirklich äußerst gut besucht. . .
….

Das Congress-Motto 2008 heißt ja “nothing to hide” – aber so ganz verwirklichen lässt es sich scheinbar dann doch nicht.

Zumindest gilt das bei einem Vortrag der zeigt, wie man seine eigene GSM-Funkzelle einrichtet.

Der Livestream von Running your own GSM network wurde jedenfalls gekappt.

Über den Congress-IRC-Channel konnte ich dem Vortrag zum Schluss etwas folgen –

noch ist offen, ob Teile der Aufzeichnung ins Netz gestellt werden oder nicht…

ich wäre zu gern drin gewesen – das könnt ihr mir glauben.

Je später der Tag, desto spannender die Themen -

Zuerst dachte ich an einen Schreibfehler.

 

Da stieß ich nämlich beim Durchblättern des Congress-Fahrplans auf einen Vortrag mit der zunächst ganz unverfänglichen Überschrift “The infinite Library” -

mit dem höchst erstaunlichen Untertitel Storage and Access of Pornographic Information

Da kam ich doch ins Staunen… meinen die vielleicht phonografisch oder… fotografisch… – mit nichten…

Sie meinten genau das, was da stand –

Ich gucke den Vortrag gerade und kann Jedem nur empfehlen es auch zu tun

Erstes Highlight für mich

 

Ich gucke gerade die bislang für mich interessanteste Veranstaltung in Saal 3, nämlich ExploiExploiting Symbian.

Und ich habe versucht die wesentlichen Facts in einem Artikel auf TechnoTrend zusammen zu fassen.

 

Viel Vergnügen

Zweiter Tag im BCC

 

Ich habe einen traumhaften Platz an der Sonne und betrachte über einen – heute einwandfrei funktionierenden – Livestream den Jahresrückblick des CCC, wo sie nochmal alle relevanten Ereignisse des vergangenen Jahres eingehen bzw. kritische oder sonst wie bemerkenswerte Entwicklungen in der IT-Welt reflektieren.

Sehr interessant, allerdings kriege ich die Zusammenfassung grade nicht mehr hin, zu viel, daher würd ich euch bitten dem Link oben zu folgen.

u.A. die Sache mit dem Fingerabdruck unseres Innenministers wurde erwähnt, RFID war ein Thema, die Gesundheitskarte… und noch ne ganze Menge anderer Dinge.

Tag 1 des diesjährigen Chaos-Communication-Congress im Berliner BCC -

Auch dieses Jahr ist das BCC knall voll, die Kaffeepreise unverändert astronomisch und die Leute… unverändert vielfältig und interessant.

Als ersten Vortrag
haben wir die Veranstaltung zum Hackerparagraph, dem Paragraph 202c des STGB gehört.
Grob gesagt verbietet er Sicherheitsspezialisten, sowohl privaten, als auch Firmen aus der IT-Sicherheit, Angehörigen von Forschungs- oder Bildungseinrichtungen, und überhaupt Jedem den Besitz von Softwaretools, die den Eindruck erwecken primär dazu geschaffen worden zu sein, um irgendwelche Straftaten zu begehen.
Wir waren schon ein paar Minuten früher da und kriegten noch den Schluss vom letzten Vortrag mit, der sich auch irgendwie mit der Privatsphäreim Internet beschäftigte. Das Fazit des Vortragenden lautete ungefähr so:
“Whatever we are trying to do to protect your privacy…. if it is done by discussing or complaining or argueing or whatever… in fact, you have no privacy, so get over it…”
Dieser Art ermuntert haben wir voll finsterer Vorahnungen auf die Ausführungen des Vortrags-Trios, eines Sicherheitsspezialisten, eines Redakteurs von Heise Security und eines Hochschul-Angehörigen gewartet.
Sie kamen zum Konsenz, dass die Qualität der in Deutschland zu leistenden Sicherheitsberatung bzw. Ausbildung nicht mehr auf einem hohem Stand gehalten werden kann, wenn es den Sicherheitsfirmen nicht mehr erlaubt wird auch die Methoden, d.h. auch Software der Gegenseite einzusetzen. Das wirft Deutschland dann im internationalen IT-Wettbewerb zurück, schränkt die Möglichkeiten von Verlagen stark ein, was die offene Berichterstattung über Sicherheitsprobleme in der IT angeht.
- Eine Überlegung, die nicht zu bestreiten ist. -
Die Beobachtung der FUD [Fear, Uncertainty and Doubt] fand ich da besonders interessant.
Jürgen Schmidt von Heise Security meinte da, wirklich bedroht im Sinne einer strafrechtlichen Verurteilung wären vermutlich die Wenigsten, die allgemeine Verunsicherung von Privatleuten und Jorunalisten führe aber dazu, dass bestimmte Tools bei der Recherche gar nicht mehr berücksichtigt würden, weil sie evtl problematisch sein könnten.
Die Verlage hätten Angst aufgrund einstweiliger Verfügungen gegen die Ausliferung von Zeitschriftenausgaben mit Heft-CD.s, auf denen bestimmte, umstrittene Tools zu finden seien, dass man lieber alle Risiken vermeide, da sonst ein ganz erheblicher Schaden entstehen könnte, gerade für eine Zeitschrift, die sich durch eine offene und …. nicht immer zurückhaltende – man könnte auch sagen rückhaltlos Verbraucherfreundliche Berichterstattung – schon einige Feinde gemacht hätte, sei hier besondere Vorsicht zwingend nötig.

Fazit

Die allgemeine Verunsicherung bzw. Verängstigung der Menschen bzgl. des Extra-Paragraphen zum Verbot von potenziellen Hackertools wirkt sich negativ auf die Qualität des IT-Journalismus- und Sicherheitsgewerbes aus, ohne das Politiker aller Fraktionen bislang trotz eindeutiger Argumente die Problematik verstanden zu haben scheinen.
Die Vortragenden empfahlen daher mehr oder weniger direkt sich nicht durch die unklare Rechtslage einschüchtern zu lassen.