Security

Und ich lache immer noch:

Gunpowder Is Okay to Bring on an Airplane

Putting it in a clear plastic baggie magically makes it safe:
Mind you, I had packed the stuff safely. It was in three separate jars: one of charcoal, one of sulphur, and one of saltpetre (potassium nitrate). Each jar was labeled: Charcoal, Sulphur, Saltpetre. I had also thoroughly wet down each powder with tap water. No ignition was possible. As a good citizen, I had packed the resulting...

Mehr auf Bruce Schneiers Blog

Ich finde es Schade, mitunter sogar traurig, aber es nervt auch irgendwo.
PGP/GnuPG-Anfänger, oder eher PowerUser können mir sehr gut auf den Keks gehen, so auch der Tierarzt von meinem Hund. Ich frage an, welche Impfungen sie hatte und bekomme als Antwort eine signierte Mail. Ja, da freut sich der Nerd und holt sich den Key von dem Keyserver und verschlüsselt die nächste Mail an den Tierarzt mit dem Ersuch doch bitte einen Termin in den Abendstunden zu nennen. Nachtigall ich hör Dir trapsen...
Ich bekomme natürlich als Antwort eine Mail, welche mit seinem eigenen Schlüssel verschlüsselt ist, ergo unlesbar für mich. Somit, ich kenne ja das Spiel schon, sende ich eine Mail zurück mit dem freundlichen Bitte doch meinen Schlüssel zu nehmen und die Mail nochmals zu senden, damit auch ich sie lesen kann. Die Antwort lies nicht lange auf sich warten, der Götterbote aller Poweruser erklärte mir breit und lang, dass ich doch keine Ahnung habe und diese Mail nur zweimal entschlüsseln muss, da er die Mail ja mit seinem Schlüssel nochmals verschlüsselt hat um sie selber wieder lesen zu können (?!?!?!?!).
Den Glauben an eine wirklich verschlüsselte Maillandschaft gebe ich nicht auf, mache ich seit Jahren nicht, aber langsam wird mir das zu dumm. Ich denke aus Dummheit wird sich GnuPG und Konsorten nicht durchsetzen können, wobei ich das Thema nicht als massiv schwer erachte, und einen privaten und öffentlichen .... Ich lasse das lieber, ich steigere mich da schon wieder in was rein.
Ich werde einfach mal anrufen und einen Termin erbitten.

"According to these five terms of service and EULA, Google owns any content you create using its Chrome browser and can filter your Gmail messages if it likes. Facebook says it can sell its users' uploaded images as stock photography. YouTube can keep footage of your kids forever, even after you've deleted it from the site. And AOL can ban you for using vulgar language on AIM. Funny, right?

Mehr auf valleywag.com
Nett ist der Absatz am Schluss: “Both Mozilla's terms of service for Firefox and Microsoft's EULA for Internet Explorer 7 don't have these weird clauses.” ;)

Dies ist eine überarbeitete Version. Dank dem Leser kjuh habe ich den Text noch einmal überarbeitet. Das Original findet sich in dem erweiterten Eintrag, denn meine Stilblüte möchte ich nicht verheimlichen.
Auch werde ich nun etwas mehr Ruhe und Stil in meine Artikel einfließen lassen. Danke nochmal an kjuh für das „Nörgeln“ und ich hoffe diese Version lässt mich in einem besseren Licht erscheinen, als es Jener zuvor tat. Falls doch etwas grammatikalisch Falsch ist, mich einfach mal in den Kommentaren treten...

Golem.de:

Google wendet sich gegen Vorschläge der EU-Datenschützer, IP-Adressen als personenbezogene Daten einzustufen. Google befürchtet Nachteile für seine Geschäftstätigkeit.

Für mich sind dies definitiv personenbezogene Daten. Die Gründe sind einfach erklärt.
Nehmen wir doch erst einmal das Beispiel einer festen Adresse.
Über eine feste Adresse lassen sich relativ einfach personenbezogene Daten generieren indem mein Netzwerkverkehr beobachtet und ein Profil aus der Datensammlung generiert wird. Ich denke die Meisten sollten dies schon Wissen. Überprüfen lässt es sich relativ einfach mit einem Sniffer in dem eigenen Netzwerksegment. Ist kein TLS bei der Kommunikation vorhanden werden Benutzername, sowie die Passwörter im Klartext übertragen und wir können jene mitlesen.
Dürfte den meisten auch bekannt sein.
Wenn nun eine dynamische Adresse vorhanden ist, gilt im Grunde genau der gleiche Fall wie bei einer festen Adresse. Auch, wenn mir der momentane Eigentümer der Adresse namentlich unbekannt ist. Hierzu möchte ich nun ein Beispiel aus der Realität anwenden, welches ich als sehr Gut empfinde.
Wir suchen uns eine unbekannte Person innerhalb eines Einkaufszentrums aus und beobachten jene die ganze Zeit. Wir sehen wie die Person sich verschiedene Sachen anschaut, vielleicht ein paar Dinge kauft. Irgendwann, davon gehe ich aus, wird uns diese Person bemerken und uns zurechtweisen, dass Sie dies nicht möchte. Ich denke,jeder kann das nachvollziehen und soweit ich weiß ist es in Deutschland auch verboten (Stalking-Gesetz ?). Also diesen Vorgang nicht wirklich ausführen ;) Würden wir nun Antworten , dass wir nur die Gewohnheiten beobachten um Ihr noch andere Güter schmackhaft zu machen, oder um Ihr Profil gewinnbringend zu verkaufen, dann könnte ich mir eine Eskalation vorstellen. Wer nicht ?
Wenn ich das nun auf Google, oder andere Datenjäger beziehe, dann scheint bei vielen die Realität an dem Computer nicht vorhanden zu sein. Ich möchte doch ganz ehrlich selbst Entscheiden, ob meine IP-Adresse personenbezogen ist, oder auch nicht. Wie ich selbst in der Realität entscheide, wer genau was über mich erfahren darf. Ich verstehe, dass ein Server, welcher Homepages ausliefert, damit nicht gemeint ist. Ich stimme mit Alma Whitten in dem Punkt überein. Aber, wenn ein Vergleich mit Amerika wieder einmal herhalten muss ( Harbour sagt, dass es aus US-Perspektive dazu keinen Konsens gäbe), gerät mein Blut in Wallung, denn wir sind Hier in Europa und nicht in Amerika.

Sophos sagt es sind 70% der infizierten Systeme, welche mit diesem 6 Jahre alten Virus infiziert sind. Sie schaffen Abhilfe. Das Werkzeug gibt es Hier zum herunterladen.
Nach dem Herunterladen wird ein:

ausgeführt um die md5sum zu überprüfen. Die korrekte lautet laut Sophos-Webseite 49b454e66b5c2a247c52cfe95c6813e6, somit ist sie richtig. Danach entpackt man das ganze und wechselt in das verpackte Verzeichniss. Dort findet man eine vorkompilierte Version in dem Ordner pre-compiled und den Sourcecode in dem entpackten Wurzelverzeichniss, welcher sich mit einem einfachen make installieren lässt. Wer noch gerne den EICAR-Testvirus nutzen möchte muss dazu den Sourcecode bearbeiten. Siehe dazu auch das README.
Ein Scan lässt sich ziemlich simpel starten, in das Verzeichniss der ausführbaren Datei gehen und :

Was mir nicht gefällt ?
Mit einer Ausgabe wie dieser kann ich nichts anfangen:

Scanned 17137 files, found 0 infections of Linux/Rst-B. 1 files could not be scanned.
End of scan.

Welche Datei, wo was wie ? Wäre nett gewesen, wenn jemand mal eine kleine Routine einschreibt die dies als Ausgabe gibt. Das ist ein Minimum an Code mit einem Maximum an Information, oder die Möglichkeit das ganze bei der Option -v zusätzlich in eine Datei zu schreiben zu können. Ja, man kann es selbst machen, muss man dies aber ?
Weiter Infos zu Linux/Rst-B

Und die erste im neuen Jahr, Ausgabe 15 ist Heute erschienen. Also Lesestoff mit hohem Garant an Spass, Wissen und ein wenig mehr. In dieser Ausgabe geht es auch mal dem Business to Business in Bezug der Sicherheit an den Kragen und Themen wie die Visualisierung von Sicherheitsanalysen und Netzwerkmonitoring durch freie Visualisierungswerkzeuge.
Auch ein kleines Steckenpferd von mir über das ich immer gerne wieder debattiere/diskutiere wird angesprochen.
Es ist Social Engineering. Als Sicherheitsfaktor leider immer massiv unterschätzt. Es sind noch einige Themen mehr zu nennen, aber ist es nicht schöner Seite für Seite weiterzuklicken und sich überraschen zu lassen ;)
Somit viel Spass beim Lesen.

Ich weiss nicht was ich dazu sagen soll, ich glaube ich lasse einfach mal die Bilder sprechen und den Rest überlasse ich den Gedanken des geneigten Lesers. Mir scheint wirklich zu Lasch mit den Raubkopierern umgegangen zu werden.



Ja aber Hallo, also wenn das nicht mal ein schlechstes Beispiel für einen OpenSourcler ist... und Klug ist Er auch noch nicht einmal
Zu finden auf KDE-Apps.org

Forschungsreport: Google muss zerschlagen werden
Eine Studie der TU Graz warnt mit drastischen Worten vor der "Bedrohung der Menschheit" durch Google. Der Suchmaschinenprimus schicke sich nicht nur an, den Schutz der Privatsphäre auf dem Müllhaufen der Geschichte zu entsorgen, heißt es in dem 187-Seiten umfassenden Bericht "über die Gefahren und Chancen großer Suchmaschinen unter besonderer Berücksichtigung von Google" (PDF-Datei). Das "monopolistische Verhalten" des Marktführers bedrohe vielmehr, "wie wir die Welt sehen und wie wir als Individuen wahrgenommen werden". Damit gerate sogar die gesamte Weltwirtschaft in Gefahr. Google habe in unerhörter Art und Weise Macht angehäuft, sodass ein Gegenangriff überfällig sei.

Damals, ja, da war Google in den Anfängen für mich wie jedes andere Revolutionäre, welches gegen Giganten ging. Ich empfahl es Allen, nutzt es, zeigt es den anderen. Doch wie es immer wieder geschieht, wenn etwas zu Gross wird und auch Situationen hervorruft, welche uns auch Angst und Bange machen ( Seien wir ehrlich, es ist so), dann stellen wir uns auf die Hinterbeine. Das ist auch richtig so, denn niemand sollte ein Monopol besitzen. Doch in Wirklichkeit sind wir, auch ich an diesem Monopol Schuld. Somit kann ich nicht den ersten Stein werfen, aber ich werfe den Zweiten. Jeder geneigte Leser dieses Blogs kennt meine Meinung zu Google mittlerweile und das ist auch Gut so, nur was soll ich machen, welches mich nicht der Lächerlichkeit Preis gibt, wie z.B. den Robot von Google, Yahoo etc zu sperren ? Ganz einfach, aufrufen andere Suchmaschinen zu nehmen. Nur bringt das wirklich etwas ? Ich hoffe ja, es ist ein Anfang den man immer wieder predigen muss. Nun ist es auch noch so beschrieben, sodass es ein BWLer versteht und nicht nur der gemeine verschwörungsneurotische Geek.

Also Sieve hat ja den dritten Platz in den “Virtual Appliances” bei VMware gemacht. Aber soll ich einer Firewall vertrauen die seit Wochen so etwas in dem Wiki, die Haupseite hat ?

Hat doch mein vollstes Vertrauen. Der Text der Applicance sagt doch wirklich, dass damit ein gestandener Administrator sein Windowsnetzwerk schützen solle und vergleicht sich dann noch gleich mit m0n0wall. Nein, Danke. Ich kenne keine Maintainer, beziehungsweise eine ganze Gruppierung um ein Projekt, welche sowas nicht bemerkt. Da empfehle ich doch lieber die m0n0wall. Aber eine Firewall in einer virtuellen Maschine auf dem gleichen Host ? Geschmackssache, meine Fall ist es aus verschiedenen Gründen nicht.

Das SANS Institute hat seine diesjährige Liste der schwerwiegendsten Sicherheitsprobleme in der IT veröffentlicht. Microsoft© steigert natürlich seine Rate ( obwohl Sie bei dem Kinderspielplatz der Initiative “Sicher im Netz” mitspielen mitarbeiten und Mr. G. ein Versprechen für mehr Softwaresicherheit abgab) im Bereich Office-Produkte etc.

Auch Linux bekommt manchen Rüffel ab, sowie der gute alte Firefox, aber man vergleiche mal diese Liste miteinander.

CVE Entries

Internet Explorer
CVE-2006-4697, CVE-2007-0024, CVE-2007-0217, CVE-2007-0218, CVE-2007-0219, CVE-2007-0942, CVE-2007-0944, CVE-2007-0945, CVE-2007-0946, CVE-2007-0947, CVE-2007-1749, CVE-2007-1750, CVE-2007-1751, CVE-2007-2216, CVE-2007-2221, CVE-2007-2222, CVE-2007-3027, CVE-2007-3041, CVE-2007-3826, CVE-2007-3892, CVE-2007-3896

Firefox
CVE-2007-0776, CVE-2007-0777, CVE-2007-0779, CVE-2007-0981, CVE-2007-1092, CVE-2007-2292, CVE-2007-2867, CVE-2007-3734, CVE-2007-3735, CVE-2007-3737, CVE-2007-3738, CVE-2007-3845, CVE-2007-4841, CVE-2007-5338

Ich denke somit sollte langsam immer Stärker klar werden, dass OpenSource doch eine sicherere Sache ist, auch wenn sich mancherlei Software mal einen Patzer erlaubt. Denn warum soll man für unsichere Software € bezahlen, wenn der Support der Bugfixes dort wirklich hängt ?
Das schöne daran ist, dasSANS Institute sagt nicht nur wer Dreck am stecken hat, sondern wie man auch Maßnahmen ergreifen kann. Somit Lesenswert nicht nur für jeden Administrator und Computerbegeisterten.

Wo wir gerade mal dabei sind. Lustig ist auch dieses auf der Seite von “Sicher im Netz”:

Berlin, 19.6.2007. Das Bundesinnenministerium und der Verein „Deutschland sicher im Netz e.V.“ haben eine Kooperation zur IT- und Internetsicherheit vereinbart. Bundesinnenminister Dr. Wolfgang Schäuble und der Vereinsvorsitzende Heinz Paul Bonn unterzeichneten heute ein entsprechendes Abkommen. “Der Verein ‚Deutschland sicher im Netz e.V.’ bündelt wichtige gesellschaftliche Akteure zum Thema IT- und Internet-Sicherheit und wird zukünftig ein bedeutsamer Partner für die Politik und alle gesellschaftlichen Gruppen sein. Deshalb werde ich die Arbeit des Vereins als Schirmherr gerne unterstützen”, sagte Schäuble.

Toll

Dieser Satz klang innerhalb meines Kopfes wieder als ich diese News las.

LOS ANGELES - 23andMe, a Google-funded online company selling a $999 ($NZ1314) DNA test, launched as a kind of genetics-based MySpace or Facebook that also has the more serious aim of allowing medicine someday to target its users' ills more precisely.Users sign up for the DNA saliva test online and receive and return it by mail. Four to six weeks later, the results are online, allowing them to learn about their inherited traits, their ancestry and - likely with the help of a professional to look at the data - some of their personal disease risks. The website, which takes its name from the 23 pairs of chromosomes that make up each person's genome, says it will display more than a half-million data points in users' genomes in a form they can visualise and understand. "Compare your genetic blueprint to your friends and family," the site invites.

Langsam frage ich mich, ob manche Leute nicht wirklich von allen guten Geistern verlassen sind. Solch eine Idiotie ist wirklich nicht mehr fassbar und Klug würde ich das gerade nicht nennen. Mal sehen was unsere Politiker aus dem ganzen bald herausholen werden, denn Fingerabdrücke sind doch Langweilig, wenn man die DNA haben kann und der Schritt zu einer anderen Zukunft ist somit schon fast vorauszusehen.

Wie ich gerade gelesen habe, hat sich Big Blue etwas richtig unschönes erlaubt. Wer den Lotus Notes-Client für Linux von Ibm installiert holt sich ein nettes Sicherheitsloch in sein sicheres System.

Der Befehl "tar" entpackt Archive und ignoriert dabei die Umask der Umgebung, wenn er von Root aufgerufen wird. Das sorgt dafür, dass alle Dateirechte genauso gesetzt werden, wie sie im Archiv enthalten sind.
Beim Start der Installation setzt zudem das Wrapper-Skript "setup.sh" nochmals die Rechte des Installations-Skriptes auf 777, womit etwaige Änderungen sicherheitsbewusster Admins wieder zunichte gemacht werden:

#!/bin/sh
umask 022
chmod 777 "${0%setup.sh}/installdata"
"${0%setup.sh}/installdata" "$@" 

So etwas hatte ich nun von IBM nicht erwartet.

Whilst on a page with any saved password that is masked in asterisks, paste the following code into the Firefox address bar and hit enter. A popup will appear with the password for that login page.

rät aksn1p3. Alt Idee, aber gut Neu aufgelegt. Ich rate dazu noch, nicht nur Masterpasswort benutzen, sondern vor allem den Rechner so zu sichern, dass niemand an Ihn im laufenden Zustand kann, oder einfach gleich keine Passwörter in dem Browser abzuspeichern. Der Browser, unser Eingangstor zu unserem Privaten/Netz.

Hör' auf mich, glaube mir. Augen zu, vertraue mir! Schlafe sanft, süß und fein. Will dein Schutzengel sein! Sink' nur in tiefen Schlummer, schwebe dahin im Traum, langsam umgibt dich Vergessen, doch das spürst du kaum! Hör auf mich, und glaube mir. Augen zu, vertraue mir! Hör auf mich, glaube mir! Augen zu, vertraue mir!

Heise.de Schäuble: “Bundestrojaner gefährdet Datenschutz nicht”
Wie sagte meine Mutter immer zu mir: “Wer einmal lügt dem glaubt am nicht, auch wenn er mal die Wahrheit spricht”.

Eine Webseite, welche ich nicht kenne vertraue ich ungern meine Mailadressen an, ich denke der Grund mag allerseits bekannt sein. Meine Abwehr ist gut eingerichtet mit dem Gespann aus spamassassin, razor2, dcc, pyzor, bayes und FuzzyOCR, aber das ist nicht der Punkt. Es geht mir schon darum, ich denke wie jedem anderen auch, den Spam schon vorher nicht zu bekommen. In diesem Punkt hilft Mailinator weiter. Es wird eine Adresse automatisch generiert, welche man über Webmail nutzen kann. Man muss jene aber nicht nehmen, z.B. gibt man einfach einen Namen@mailinator.com an und schon wird die Mailbox erstellt. Als Domains stehen mailinator.com, mailinator2.com, sogetthis.com, mailin8r.com, mailinator.net, pamherelots.comund thisisnotmyrealemail.com zur Verfügung. Bei meinem Besuch stand der Spam Threat Level bei einer stündlichen Spamrate von 310794, sowie einer täglichen Spamrate von 5,664,972.