Android

Alles rund um das Betriebssystem mit dem kleinen Roboter als Maskottchen

Eine massive Bestrafung fehlt, ohne Bewährung

von

Neue Datenpanne bei der Deutschen Telekom
Bei der Deutschen Telekom ist es erneut zu einer Datenpanne gekommen. Daten von Neukunden waren im Internet für jedermann abrufbar. Der Konzern bedauert den „höchst ärgerlichen Betriebsfehler“.
Nach Informationen des „Stern“ (Online-Ausgabe) waren mehrere hundert Daten von Neukunden über einen einfachen Internet-Link tagelang für jedermann abrufbar. Ein Sprecher der Deustchen Telekom (DT) bestätigte das Datenleck am Dienstag der Nachrichtenagentur AP. Der „höchst ärgerliche Betriebsfehler“ sei inzwischen jedoch behoben…. Das Unternehmen kündigte laut Bericht an, sich bei allen Betroffenen zu entschuldigen.
Golem.de erinnert uns daran, dass dies schon einmal vorgekommen ist und zwar in einem größeren Rahmen:
Im November 2008 wurde bereits berichtet, dass sich zwielichtige Adresshändler und Callcenter-Betreiber Zugriff auf Namen, Adressen, Geburtsdaten, Vertragsdaten und Bankverbindungen von mehreren tausend Menschen verschafften, die zugleich Festnetz- und Internetkunden der Telekom waren. Die Kundenprofile wurden auf dem Schwarzmarkt angeboten. Einige Opfer beschwerten sich bereits über illegale Abbuchungen von ihrem Bankkonto.

Wäre ich noch Telekomkunde ich glaube ich würde der Telekom den Hintern aufreissen eine Klage unterbreiten. Für meine Fälle ist das mehr als eine Frechheit was sich manche Unternehmen mit den Daten seiner Kunden erlaubt. Das den Verantwortlichen nicht massive Strafen zu befürchten haben, lässt jene mehr als locker auf diese Situation reagieren ( Eine Entschuldigung muss man nicht annehmen, btw). Es müsste ganz schnöde der Mammon verlangt werden, es muss richtig bluten, die Firma fast Zugrunde bringen, der Verantwortliche sollte eine Haftstrafe bekommen, welche nicht zu einer Bewährung ausgesetzt wird. Einfach drakonische Strafen sind in diesem Punkt gefordert. Solange dies nicht geschieht, sehe ich mehr als Schwarz für unsere Daten.
Wenn ich dies auf die Vorratsdatenspeicherung beziehe, wird mir ganz schwarz vor Augen, na dann warten wir mal ab, ob wir nicht demnächst $NACHBARS tägliche Sufgewohnheiten im Netz sehen werden
Manchmal wünscht man sich den Punisher in die Realität, aber dies wäre Gewaltverherrlichung, oder?

Javascript CAPTCHA decoder

von

Shaun Friedle created an impressive piece of Javascript which can automatically defeat CAPTCHAs used by the Megaupload file hosting service. While their CAPTCHAs are particularly weak, it’s an impressive Javascript feat that breaks into some new territory, namely Javascript-based optical character recognition. John Resig posted a breakdown of how the software works.

Sehr interessante Sache, sollte man sich unbedingt mal anschauen, denn irgendwann sitzt man auf der anderen Seite und muss genau jenes abwehren.
Javascript CAPTCHA decoder

CeWL – Custom Word List Generator Tool for Password Cracking

von

Nützlich für jeden Administrator um Passwortlisten zu generieren. Daran hängt es ja meistens und ich sage es mal so, jene welche Gute haben, rücken sie nicht so schnell raus, wie man es gerne hätte.

This application is more towards creating custom word lists from a specific domain by crawling it for unique words. Basically you give the application a spidering target website and it will collect unique words. The application is written in Ruby and is called CeWL, the Custom Word List generator. The app can spider a given url to a specified depth, optionally following external links, and returns a list of words which can then be used for password crackers such as John the Ripper.

Weitere Infos gibt es im Dunklen Netz aus England

Twitter zur Informationssammlung nutzen

von

Den Beitrag von Lenny Zeltser How to Use Twitter for Information Mining sollte man sich zu Gemüte führen und auch ein wenig darüber nachdenken, was die meisten in Twitter/identi.ca denn so alles zwitschern. Verdammen würde ich den Dienst nicht, aber man sollte mit Sorgsam beachten, welche Informationen man Preis gibt.
Oder wie sagte greenone einst: “Das Internet vergisst nie”.

OWASP Testing Guide v3 herausgegeben

von

Der OWASP (Open Web Application Security Project) Testing Guide v3 wurde herausgegeben.
Bei dem Guide handelt es sich um ein 349 Seiten Buch, welches eine Zusammenfassung für die Penetrationstests von Webanwendungen bietet und somit auch Anhaltspunkte wie was getestet werden kann und sollte. Als Kategorien gibt es z.B. Information Gathering, Configuration Management Testing ( z.B. SSL/TLS), Authentication Testing ( Capturetests, Dictionary, bruteForce), Session Management Authorization Testing …

This project’s goal is to create a „best practices“ web application penetration testing framework which users can implement in their own organizations and a „low level“ web application penetration testing guide that describes how to find certain issues.

OWASP Testing Guide v3: OWASP_Testing_Guide_v3.pdf
Download der Presentation
Testing Guide v3 wiki
OWASP NYC AppSec 2008 Conference Videso und Photos
Mehr darüber erfahren

Schneier on Charcoal, Sulphur, Saltpetre

von

Und ich lache immer noch:

Gunpowder Is Okay to Bring on an Airplane

Putting it in a clear plastic baggie magically makes it safe:
Mind you, I had packed the stuff safely. It was in three separate jars: one of charcoal, one of sulphur, and one of saltpetre (potassium nitrate). Each jar was labeled: Charcoal, Sulphur, Saltpetre. I had also thoroughly wet down each powder with tap water. No ignition was possible. As a good citizen, I had packed the resulting…

Mehr auf Bruce Schneiers Blog

Es wiederholt sich immer wieder

von

Ich finde es Schade, mitunter sogar traurig, aber es nervt auch irgendwo.
PGP/GnuPG-Anfänger, oder eher PowerUser können mir sehr gut auf den Keks gehen, so auch der Tierarzt von meinem Hund. Ich frage an, welche Impfungen sie hatte und bekomme als Antwort eine signierte Mail. Ja, da freut sich der Nerd und holt sich den Key von dem Keyserver und verschlüsselt die nächste Mail an den Tierarzt mit dem Ersuch doch bitte einen Termin in den Abendstunden zu nennen. Nachtigall ich hör Dir trapsen…
Ich bekomme natürlich als Antwort eine Mail, welche mit seinem eigenen Schlüssel verschlüsselt ist, ergo unlesbar für mich. Somit, ich kenne ja das Spiel schon, sende ich eine Mail zurück mit dem freundlichen Bitte doch meinen Schlüssel zu nehmen und die Mail nochmals zu senden, damit auch ich sie lesen kann. Die Antwort lies nicht lange auf sich warten, der Götterbote aller Poweruser erklärte mir breit und lang, dass ich doch keine Ahnung habe und diese Mail nur zweimal entschlüsseln muss, da er die Mail ja mit seinem Schlüssel nochmals verschlüsselt hat um sie selber wieder lesen zu können (?!?!?!?!).
Den Glauben an eine wirklich verschlüsselte Maillandschaft gebe ich nicht auf, mache ich seit Jahren nicht, aber langsam wird mir das zu dumm. Ich denke aus Dummheit wird sich GnuPG und Konsorten nicht durchsetzen können, wobei ich das Thema nicht als massiv schwer erachte, und einen privaten und öffentlichen …. Ich lasse das lieber, ich steigere mich da schon wieder in was rein.
Ich werde einfach mal anrufen und einen Termin erbitten.

5 lustige Bedingungen die scheinbar keinen interessieren

von

„According to these five terms of service and EULA, Google owns any content you create using its Chrome browser and can filter your Gmail messages if it likes. Facebook says it can sell its users‘ uploaded images as stock photography. YouTube can keep footage of your kids forever, even after you’ve deleted it from the site. And AOL can ban you for using vulgar language on AIM. Funny, right?

Mehr auf valleywag.com
Nett ist der Absatz am Schluss: “Both Mozilla’s terms of service for Firefox and Microsoft’s EULA for Internet Explorer 7 don’t have these weird clauses.” ;)

IP-Adressen, Google und die Wirklichkeit

von

Dies ist eine überarbeitete Version. Dank dem Leser kjuh habe ich den Text noch einmal überarbeitet. Das Original findet sich in dem erweiterten Eintrag, denn meine Stilblüte möchte ich nicht verheimlichen.
Auch werde ich nun etwas mehr Ruhe und Stil in meine Artikel einfließen lassen. Danke nochmal an kjuh für das „Nörgeln“ und ich hoffe diese Version lässt mich in einem besseren Licht erscheinen, als es Jener zuvor tat. Falls doch etwas grammatikalisch Falsch ist, mich einfach mal in den Kommentaren treten…

Golem.de:

Google wendet sich gegen Vorschläge der EU-Datenschützer, IP-Adressen als personenbezogene Daten einzustufen. Google befürchtet Nachteile für seine Geschäftstätigkeit.

Für mich sind dies definitiv personenbezogene Daten. Die Gründe sind einfach erklärt.
Nehmen wir doch erst einmal das Beispiel einer festen Adresse.
Über eine feste Adresse lassen sich relativ einfach personenbezogene Daten generieren indem mein Netzwerkverkehr beobachtet und ein Profil aus der Datensammlung generiert wird. Ich denke die Meisten sollten dies schon Wissen. Überprüfen lässt es sich relativ einfach mit einem Sniffer in dem eigenen Netzwerksegment. Ist kein TLS bei der Kommunikation vorhanden werden Benutzername, sowie die Passwörter im Klartext übertragen und wir können jene mitlesen.
Dürfte den meisten auch bekannt sein.
Wenn nun eine dynamische Adresse vorhanden ist, gilt im Grunde genau der gleiche Fall wie bei einer festen Adresse. Auch, wenn mir der momentane Eigentümer der Adresse namentlich unbekannt ist. Hierzu möchte ich nun ein Beispiel aus der Realität anwenden, welches ich als sehr Gut empfinde.
Wir suchen uns eine unbekannte Person innerhalb eines Einkaufszentrums aus und beobachten jene die ganze Zeit. Wir sehen wie die Person sich verschiedene Sachen anschaut, vielleicht ein paar Dinge kauft. Irgendwann, davon gehe ich aus, wird uns diese Person bemerken und uns zurechtweisen, dass Sie dies nicht möchte. Ich denke,jeder kann das nachvollziehen und soweit ich weiß ist es in Deutschland auch verboten (Stalking-Gesetz ?). Also diesen Vorgang nicht wirklich ausführen ;) Würden wir nun Antworten , dass wir nur die Gewohnheiten beobachten um Ihr noch andere Güter schmackhaft zu machen, oder um Ihr Profil gewinnbringend zu verkaufen, dann könnte ich mir eine Eskalation vorstellen. Wer nicht ?
Wenn ich das nun auf Google, oder andere Datenjäger beziehe, dann scheint bei vielen die Realität an dem Computer nicht vorhanden zu sein. Ich möchte doch ganz ehrlich selbst Entscheiden, ob meine IP-Adresse personenbezogen ist, oder auch nicht. Wie ich selbst in der Realität entscheide, wer genau was über mich erfahren darf. Ich verstehe, dass ein Server, welcher Homepages ausliefert, damit nicht gemeint ist. Ich stimme mit Alma Whitten in dem Punkt überein. Aber, wenn ein Vergleich mit Amerika wieder einmal herhalten muss ( Harbour sagt, dass es aus US-Perspektive dazu keinen Konsens gäbe), gerät mein Blut in Wallung, denn wir sind Hier in Europa und nicht in Amerika.

Weiterlesen

6 Jahre Rst-B und dazu ein Geburtstagsgeschenk

von

Sophos sagt es sind 70% der infizierten Systeme, welche mit diesem 6 Jahre alten Virus infiziert sind. Sie schaffen Abhilfe. Das Werkzeug gibt es Hier zum herunterladen.
Nach dem Herunterladen wird ein:

seraphyn@takeshi:~/Download/AntiVir$ md5sum detection_tool.tar.gz
49b454e66b5c2a247c52cfe95c6813e6  detection_tool.tar.gz

ausgeführt um die md5sum zu überprüfen. Die korrekte lautet laut Sophos-Webseite 49b454e66b5c2a247c52cfe95c6813e6, somit ist sie richtig. Danach entpackt man das ganze und wechselt in das verpackte Verzeichniss. Dort findet man eine vorkompilierte Version in dem Ordner [color=#FFCC33]pre-compiled[/color] und den Sourcecode in dem entpackten Wurzelverzeichniss, welcher sich mit einem einfachen make installieren lässt. Wer noch gerne den EICAR-Testvirus nutzen möchte muss dazu den Sourcecode bearbeiten. Siehe dazu auch das README.
Ein Scan lässt sich ziemlich simpel starten, in das Verzeichniss der ausführbaren Datei gehen und :

./detection_tool -v /home/seraphyn/Download/

Was mir nicht gefällt ?
Mit einer Ausgabe wie dieser kann ich nichts anfangen:

Scanned 17137 files, found 0 infections of Linux/Rst-B. 1 files could not be scanned.
End of scan.

Welche Datei, wo was wie ? Wäre nett gewesen, wenn jemand mal eine kleine Routine einschreibt die dies als Ausgabe gibt. Das ist ein Minimum an Code mit einem Maximum an Information, oder die Möglichkeit das ganze bei der Option -v zusätzlich in eine Datei zu schreiben zu können. Ja, man kann es selbst machen, muss man dies aber ?
Weiter Infos zu Linux/Rst-B