Seraphyn Blog

"According to these five terms of service and EULA, Google owns any content you create using its Chrome browser and can filter your Gmail messages if it likes. Facebook says it can sell its users' uploaded images as stock photography. YouTube can keep footage of your kids forever, even after you've deleted it from the site. And AOL can ban you for using vulgar language on AIM. Funny, right?

Mehr auf valleywag.com
Nett ist der Absatz am Schluss: “Both Mozilla's terms of service for Firefox and Microsoft's EULA for Internet Explorer 7 don't have these weird clauses.” ;)

kommst Du nicht in mein Zuhause.
Ich hatte schon öfter davon gehört und nun finde ich eine nette Anleitung über genau dieses Phänomen. Jeder User hat eine eigene Tippgeschwindigkeit und diese kann auch dazu genutzt werden damit der User identifiziert wird. Sprich, jeder hat seinen eigenen Rhythmus mit welchem Er/Sie Wörter/Passwörter eintippt. Für mich stellt sich nur die Frage, ob es da wenigstens eine kleine Toleranz gibt, sonst kann man Probleme haben an sein verschlüsseltes Heim zu kommen... Ich würde das ganze vorerst einmal in einer virtualisierten Umgebung testen.
Anleitung und Patch für den GDM: Identify and verify users based on how they type by Nathan Harrington

Dies ist eine überarbeitete Version. Dank dem Leser kjuh habe ich den Text noch einmal überarbeitet. Das Original findet sich in dem erweiterten Eintrag, denn meine Stilblüte möchte ich nicht verheimlichen.
Auch werde ich nun etwas mehr Ruhe und Stil in meine Artikel einfließen lassen. Danke nochmal an kjuh für das „Nörgeln“ und ich hoffe diese Version lässt mich in einem besseren Licht erscheinen, als es Jener zuvor tat. Falls doch etwas grammatikalisch Falsch ist, mich einfach mal in den Kommentaren treten...

Golem.de:

Google wendet sich gegen Vorschläge der EU-Datenschützer, IP-Adressen als personenbezogene Daten einzustufen. Google befürchtet Nachteile für seine Geschäftstätigkeit.

Für mich sind dies definitiv personenbezogene Daten. Die Gründe sind einfach erklärt.
Nehmen wir doch erst einmal das Beispiel einer festen Adresse.
Über eine feste Adresse lassen sich relativ einfach personenbezogene Daten generieren indem mein Netzwerkverkehr beobachtet und ein Profil aus der Datensammlung generiert wird. Ich denke die Meisten sollten dies schon Wissen. Überprüfen lässt es sich relativ einfach mit einem Sniffer in dem eigenen Netzwerksegment. Ist kein TLS bei der Kommunikation vorhanden werden Benutzername, sowie die Passwörter im Klartext übertragen und wir können jene mitlesen.
Dürfte den meisten auch bekannt sein.
Wenn nun eine dynamische Adresse vorhanden ist, gilt im Grunde genau der gleiche Fall wie bei einer festen Adresse. Auch, wenn mir der momentane Eigentümer der Adresse namentlich unbekannt ist. Hierzu möchte ich nun ein Beispiel aus der Realität anwenden, welches ich als sehr Gut empfinde.
Wir suchen uns eine unbekannte Person innerhalb eines Einkaufszentrums aus und beobachten jene die ganze Zeit. Wir sehen wie die Person sich verschiedene Sachen anschaut, vielleicht ein paar Dinge kauft. Irgendwann, davon gehe ich aus, wird uns diese Person bemerken und uns zurechtweisen, dass Sie dies nicht möchte. Ich denke,jeder kann das nachvollziehen und soweit ich weiß ist es in Deutschland auch verboten (Stalking-Gesetz ?). Also diesen Vorgang nicht wirklich ausführen ;) Würden wir nun Antworten , dass wir nur die Gewohnheiten beobachten um Ihr noch andere Güter schmackhaft zu machen, oder um Ihr Profil gewinnbringend zu verkaufen, dann könnte ich mir eine Eskalation vorstellen. Wer nicht ?
Wenn ich das nun auf Google, oder andere Datenjäger beziehe, dann scheint bei vielen die Realität an dem Computer nicht vorhanden zu sein. Ich möchte doch ganz ehrlich selbst Entscheiden, ob meine IP-Adresse personenbezogen ist, oder auch nicht. Wie ich selbst in der Realität entscheide, wer genau was über mich erfahren darf. Ich verstehe, dass ein Server, welcher Homepages ausliefert, damit nicht gemeint ist. Ich stimme mit Alma Whitten in dem Punkt überein. Aber, wenn ein Vergleich mit Amerika wieder einmal herhalten muss ( Harbour sagt, dass es aus US-Perspektive dazu keinen Konsens gäbe), gerät mein Blut in Wallung, denn wir sind Hier in Europa und nicht in Amerika.

Sophos sagt es sind 70% der infizierten Systeme, welche mit diesem 6 Jahre alten Virus infiziert sind. Sie schaffen Abhilfe. Das Werkzeug gibt es Hier zum herunterladen.
Nach dem Herunterladen wird ein:

ausgeführt um die md5sum zu überprüfen. Die korrekte lautet laut Sophos-Webseite 49b454e66b5c2a247c52cfe95c6813e6, somit ist sie richtig. Danach entpackt man das ganze und wechselt in das verpackte Verzeichniss. Dort findet man eine vorkompilierte Version in dem Ordner pre-compiled und den Sourcecode in dem entpackten Wurzelverzeichniss, welcher sich mit einem einfachen make installieren lässt. Wer noch gerne den EICAR-Testvirus nutzen möchte muss dazu den Sourcecode bearbeiten. Siehe dazu auch das README.
Ein Scan lässt sich ziemlich simpel starten, in das Verzeichniss der ausführbaren Datei gehen und :

Was mir nicht gefällt ?
Mit einer Ausgabe wie dieser kann ich nichts anfangen:

Scanned 17137 files, found 0 infections of Linux/Rst-B. 1 files could not be scanned.
End of scan.

Welche Datei, wo was wie ? Wäre nett gewesen, wenn jemand mal eine kleine Routine einschreibt die dies als Ausgabe gibt. Das ist ein Minimum an Code mit einem Maximum an Information, oder die Möglichkeit das ganze bei der Option -v zusätzlich in eine Datei zu schreiben zu können. Ja, man kann es selbst machen, muss man dies aber ?
Weiter Infos zu Linux/Rst-B

Zugriffskontrollen auf Ressourcen können bei Linux schon nicht einfach sein. NSA und RedHat entwickelten hierfür das Security Anhanced Linux, welches aufgrund von MAC ( Mandatory Access Control) arbeitet. Das hört sich nun im ersten Moment schon sehr heftig an, ist es aber in Wirklichkeit nicht. Normalerweise greifen Zugriffsberechtigungen unter X in Form von Benutzer-, oder Gruppenrechte ( Auch ein Prozess hat eine Identität, das darf man nicht vergessen). MAC erweitert dies um weitere Eigenschaften und erlaubt es somit Konzepte zu erstellen, welche Zugriffe auf Ressourcen nur innerhalb dieser Voraussetzungen erlaubt. Wie sagt man Umgangssprachlich, die Claims werden abegsteckt. Ich will aber nicht allzu weit in das Detail gehen, sondern im Grunde auf den Teil 1 einer Reihe von IBM zu dem Thema SELinux aufmerksam machen. Ich kann jedem raten, welcher einen sicheren Server betreiben will sich mit SEL zu befassen, denn in meinen Augen ist es ein Muss und wird schon mit jeder grossen Distribution mitgeliefert. Als Beispiel Debian-Wiki Thema SELinux.
So nun aber den Link zu Larry Loeb, Uncovering the secrets of SE Linux: Part 1 bei IBM-Developerworks.

Heise.de: Heimliche Offline-Durchsuchung bei der Justizministerin
Unbekannte sollen in die Berliner Wohnung von Brigitte Zypries eingedrungen sein, um ihre Laptops zu stehlen. Spuren eines gewaltsamen Eindringens hat die Polizei nicht gefunden.

Irgendwo finde ich die Nachricht ja richtig Lustig, da werden Unsummen für den Schutz des Landes ausgegeben, aber man schafft es nicht einmal eine Wohnung einer wichtigen Politikerin in diesem Land zu sichern. Faszination übt auf mich aus, dass es Laptops waren und nicht einer und der Satz, dass es eine “chirurgischen Tat” sei und es gezielt um die elektronischen Daten der Politikerin ging, aber man solle das nicht als politisch motiviert sehen. Da können wir ja nur hoffen, das man eine sichere Verschlüsselung wählte.

Ich weiss nicht was ich dazu sagen soll, ich glaube ich lasse einfach mal die Bilder sprechen und den Rest überlasse ich den Gedanken des geneigten Lesers. Mir scheint wirklich zu Lasch mit den Raubkopierern umgegangen zu werden.



Ja aber Hallo, also wenn das nicht mal ein schlechstes Beispiel für einen OpenSourcler ist... und Klug ist Er auch noch nicht einmal
Zu finden auf KDE-Apps.org

Forschungsreport: Google muss zerschlagen werden
Eine Studie der TU Graz warnt mit drastischen Worten vor der "Bedrohung der Menschheit" durch Google. Der Suchmaschinenprimus schicke sich nicht nur an, den Schutz der Privatsphäre auf dem Müllhaufen der Geschichte zu entsorgen, heißt es in dem 187-Seiten umfassenden Bericht "über die Gefahren und Chancen großer Suchmaschinen unter besonderer Berücksichtigung von Google" (PDF-Datei). Das "monopolistische Verhalten" des Marktführers bedrohe vielmehr, "wie wir die Welt sehen und wie wir als Individuen wahrgenommen werden". Damit gerate sogar die gesamte Weltwirtschaft in Gefahr. Google habe in unerhörter Art und Weise Macht angehäuft, sodass ein Gegenangriff überfällig sei.

Damals, ja, da war Google in den Anfängen für mich wie jedes andere Revolutionäre, welches gegen Giganten ging. Ich empfahl es Allen, nutzt es, zeigt es den anderen. Doch wie es immer wieder geschieht, wenn etwas zu Gross wird und auch Situationen hervorruft, welche uns auch Angst und Bange machen ( Seien wir ehrlich, es ist so), dann stellen wir uns auf die Hinterbeine. Das ist auch richtig so, denn niemand sollte ein Monopol besitzen. Doch in Wirklichkeit sind wir, auch ich an diesem Monopol Schuld. Somit kann ich nicht den ersten Stein werfen, aber ich werfe den Zweiten. Jeder geneigte Leser dieses Blogs kennt meine Meinung zu Google mittlerweile und das ist auch Gut so, nur was soll ich machen, welches mich nicht der Lächerlichkeit Preis gibt, wie z.B. den Robot von Google, Yahoo etc zu sperren ? Ganz einfach, aufrufen andere Suchmaschinen zu nehmen. Nur bringt das wirklich etwas ? Ich hoffe ja, es ist ein Anfang den man immer wieder predigen muss. Nun ist es auch noch so beschrieben, sodass es ein BWLer versteht und nicht nur der gemeine verschwörungsneurotische Geek.

Also Sieve hat ja den dritten Platz in den “Virtual Appliances” bei VMware gemacht. Aber soll ich einer Firewall vertrauen die seit Wochen so etwas in dem Wiki, die Haupseite hat ?

Hat doch mein vollstes Vertrauen. Der Text der Applicance sagt doch wirklich, dass damit ein gestandener Administrator sein Windowsnetzwerk schützen solle und vergleicht sich dann noch gleich mit m0n0wall. Nein, Danke. Ich kenne keine Maintainer, beziehungsweise eine ganze Gruppierung um ein Projekt, welche sowas nicht bemerkt. Da empfehle ich doch lieber die m0n0wall. Aber eine Firewall in einer virtuellen Maschine auf dem gleichen Host ? Geschmackssache, meine Fall ist es aus verschiedenen Gründen nicht.

Das SANS Institute hat seine diesjährige Liste der schwerwiegendsten Sicherheitsprobleme in der IT veröffentlicht. Microsoft© steigert natürlich seine Rate ( obwohl Sie bei dem Kinderspielplatz der Initiative “Sicher im Netz” mitspielen mitarbeiten und Mr. G. ein Versprechen für mehr Softwaresicherheit abgab) im Bereich Office-Produkte etc.

Auch Linux bekommt manchen Rüffel ab, sowie der gute alte Firefox, aber man vergleiche mal diese Liste miteinander.

CVE Entries

Internet Explorer
CVE-2006-4697, CVE-2007-0024, CVE-2007-0217, CVE-2007-0218, CVE-2007-0219, CVE-2007-0942, CVE-2007-0944, CVE-2007-0945, CVE-2007-0946, CVE-2007-0947, CVE-2007-1749, CVE-2007-1750, CVE-2007-1751, CVE-2007-2216, CVE-2007-2221, CVE-2007-2222, CVE-2007-3027, CVE-2007-3041, CVE-2007-3826, CVE-2007-3892, CVE-2007-3896

Firefox
CVE-2007-0776, CVE-2007-0777, CVE-2007-0779, CVE-2007-0981, CVE-2007-1092, CVE-2007-2292, CVE-2007-2867, CVE-2007-3734, CVE-2007-3735, CVE-2007-3737, CVE-2007-3738, CVE-2007-3845, CVE-2007-4841, CVE-2007-5338

Ich denke somit sollte langsam immer Stärker klar werden, dass OpenSource doch eine sicherere Sache ist, auch wenn sich mancherlei Software mal einen Patzer erlaubt. Denn warum soll man für unsichere Software € bezahlen, wenn der Support der Bugfixes dort wirklich hängt ?
Das schöne daran ist, dasSANS Institute sagt nicht nur wer Dreck am stecken hat, sondern wie man auch Maßnahmen ergreifen kann. Somit Lesenswert nicht nur für jeden Administrator und Computerbegeisterten.

Wo wir gerade mal dabei sind. Lustig ist auch dieses auf der Seite von “Sicher im Netz”:

Berlin, 19.6.2007. Das Bundesinnenministerium und der Verein „Deutschland sicher im Netz e.V.“ haben eine Kooperation zur IT- und Internetsicherheit vereinbart. Bundesinnenminister Dr. Wolfgang Schäuble und der Vereinsvorsitzende Heinz Paul Bonn unterzeichneten heute ein entsprechendes Abkommen. “Der Verein ‚Deutschland sicher im Netz e.V.’ bündelt wichtige gesellschaftliche Akteure zum Thema IT- und Internet-Sicherheit und wird zukünftig ein bedeutsamer Partner für die Politik und alle gesellschaftlichen Gruppen sein. Deshalb werde ich die Arbeit des Vereins als Schirmherr gerne unterstützen”, sagte Schäuble.

Toll

Wie ich gerade gelesen habe, hat sich Big Blue etwas richtig unschönes erlaubt. Wer den Lotus Notes-Client für Linux von Ibm installiert holt sich ein nettes Sicherheitsloch in sein sicheres System.

Der Befehl "tar" entpackt Archive und ignoriert dabei die Umask der Umgebung, wenn er von Root aufgerufen wird. Das sorgt dafür, dass alle Dateirechte genauso gesetzt werden, wie sie im Archiv enthalten sind.
Beim Start der Installation setzt zudem das Wrapper-Skript "setup.sh" nochmals die Rechte des Installations-Skriptes auf 777, womit etwaige Änderungen sicherheitsbewusster Admins wieder zunichte gemacht werden:

#!/bin/sh
umask 022
chmod 777 "${0%setup.sh}/installdata"
"${0%setup.sh}/installdata" "$@" 

So etwas hatte ich nun von IBM nicht erwartet.

Whilst on a page with any saved password that is masked in asterisks, paste the following code into the Firefox address bar and hit enter. A popup will appear with the password for that login page.

rät aksn1p3. Alt Idee, aber gut Neu aufgelegt. Ich rate dazu noch, nicht nur Masterpasswort benutzen, sondern vor allem den Rechner so zu sichern, dass niemand an Ihn im laufenden Zustand kann, oder einfach gleich keine Passwörter in dem Browser abzuspeichern. Der Browser, unser Eingangstor zu unserem Privaten/Netz.

Hör' auf mich, glaube mir. Augen zu, vertraue mir! Schlafe sanft, süß und fein. Will dein Schutzengel sein! Sink' nur in tiefen Schlummer, schwebe dahin im Traum, langsam umgibt dich Vergessen, doch das spürst du kaum! Hör auf mich, und glaube mir. Augen zu, vertraue mir! Hör auf mich, glaube mir! Augen zu, vertraue mir!

Heise.de Schäuble: “Bundestrojaner gefährdet Datenschutz nicht”
Wie sagte meine Mutter immer zu mir: “Wer einmal lügt dem glaubt am nicht, auch wenn er mal die Wahrheit spricht”.

Eine Webseite, welche ich nicht kenne vertraue ich ungern meine Mailadressen an, ich denke der Grund mag allerseits bekannt sein. Meine Abwehr ist gut eingerichtet mit dem Gespann aus spamassassin, razor2, dcc, pyzor, bayes und FuzzyOCR, aber das ist nicht der Punkt. Es geht mir schon darum, ich denke wie jedem anderen auch, den Spam schon vorher nicht zu bekommen. In diesem Punkt hilft Mailinator weiter. Es wird eine Adresse automatisch generiert, welche man über Webmail nutzen kann. Man muss jene aber nicht nehmen, z.B. gibt man einfach einen Namen@mailinator.com an und schon wird die Mailbox erstellt. Als Domains stehen mailinator.com, mailinator2.com, sogetthis.com, mailin8r.com, mailinator.net, pamherelots.comund thisisnotmyrealemail.com zur Verfügung. Bei meinem Besuch stand der Spam Threat Level bei einer stündlichen Spamrate von 310794, sowie einer täglichen Spamrate von 5,664,972.

Gerne würde ich Hier einen Link setzen, wie man das iPhone zu einer Hackmaschine umfunktioniert, aber Danke der Gesetze in Deutschland, sind solche Werkzeuge oder das verlinken verboten.

Installiert wurden auf dem iPhone: Community Sources, BSD Subsystem , Perl, Python, DNS Tools, Stumbler, VNsea, MobileFinder, MobileTextEdit, SysInfo, Term-vt100, OpenSSH, Metasploit, Nikto, Sqlmap, Tcpdump, nmap, ngrep und ettercap. So, nun rennt also jemand mit diesen verbotenen Werkzeugen durch die Gegend und macht damit so einiges Unsicher, welches unsereins nicht mehr Sicher machen darf, da die Werkzeuge dafür verboten sind. /schulterzuck\
Nun, wenn das openmoko neo1973 nicht nur als Developer Preview zu haben ist, dann wird es auch aus dieser Ecke so richtig scheppern.
Ich kann nur dazu sagen, wer suchet der findet und wer ohne Sünde ist, werfe sein iPhone g