Ansichten eines Informatikers

Lächerliche Einstufung als Hacker

Was ich da nun gerade auf dem Heise Newsticker gelesen habe, spottet mal wieder jeder Beschreibung: Ein Anti-Spam-Aktivist sei von einem US-Gericht zu einer Strafe von 60.000 US-Dollar verurteilt worden. (Wobei ich in gewissen Kreisen auch als Anti-Spam-Aktivist zähle, insofern ist es durchaus bedrohlich.) Wofür er verurteilt wurde, ist einfach lächerlich und zeigt den Zustand der Justiz: Weiterlesen »

Bundestrojaner auch gegen Kinderpornographie

Der Bundestrojaner läuft noch nicht richtig, da wird schon die Haltung, daß der nur zur Terrorabwehr da sei, von der CSU aufgeweicht (siehe Heise Online). Jetzt soll er auch zur Suche nach Kinderpornos dienen. Weiterlesen »

Sicherheitskontrollen an Flughäfen weitgehend wirkungslos

Hadmut
23.12.2007 16:23

Interessanter Artikel auf Heise Online über Sicherheitskontrollen an Flughäfen. Ich habe da ja auch so meine Erfahrungen…

Werbung

Flughafen-Sicherheit

Und hier die Folge 734 der heiten Dauer-Serie “Ich und die Flughafen-Sicherheit”. Wieder einmal Frankfurt Rhein-Main. Weiterlesen »

Von der Post verarscht…

Manchmal komme ich mir verarscht vor. So als deutscher Kunde und überhaupt. Gerade ist es wieder akut und ganz schlimm. Weiterlesen »

Berlin-Direkt um den Bundestrojaner

Eigentlich kann ich Jürgen Trittin ja nicht leiden, aber eben hatte er mal richtig recht. Weiterlesen »

Kanzleramt und Bundestrojaner

Manchmal muß man sich schon wundern. Vor ein paar Tagen war eine Riesenaufregung darüber, daß irgendwer, wohl chinesische Hacker, über schräge E-Mails Trojaner im Bundeskanzleramt eingepflanzt haben. Heute morgen kam in SWR3 eine Meldung zum Bundestrojaner, wonach man plane, den über gefälschte Behördenmails zu implantieren.

Einerseits leidet man darunter, daß Rechner per E-Mail angreifbar sind, andererseits macht man es sich zunutze. Dürfte schwierig werden, sich mal wirklich für eine Richtung zu entscheiden, insofern sind die Chancen beschränkt, daß sich da mal auf gesetzlicher Ebene was tut, um solche Software-Fehler einzuschränken.

Werbung

Wieder mal Probleme mit Security

Hadmut
28.8.2007 11:09

Auf Golem.de gibt es gleich zwei Meldungen, bei denen man sich eigentlich nur an den Kopf packen kann: Weiterlesen »

Warum wir beim E-Mail-/Spam-Schutz versagt haben

Hadmut
18.7.2007 20:10

Mit Vorbereitung seit 1994 und mit RMX im Zeitraum 2002-2004 war ich einer der Vorreiter der Spam-Schutzmechanismen und der Light-Weight-Authentifikation bei einem der Standard-Internet-Protokolle. Das hat mir damals viel Arbeit, Tausende von Mail-Wechseln in und außerhalb der IETF und anderen Foren eingebracht, IETF-Besuche in San Francisco, San Diego und Washington, einen Vortrag vor der US-Regierung, thematische Diskussion bei zwei OECD-Konferenzen, diverse Vorträge usw. eingebracht. Das Verfahren wurde als SPF plagiiert und sollte von Microsoft groß rausgebracht werden. Bill Gates hatte damals angekündigt, das Spam-Problem in zwei Jahren zu lösen. Es ging also damals heiß her. Mehr als heiß. Rund zwei Jahre lang war ich sehr intensiv mit der Sache beschäftigt und habe viele Leute in den USA kennengelernt. Doch was ist daraus geworden? Weiterlesen »

Vorhängeschloß mit staatlicher Hintertür

Sicherlich keine Neuigkeit, aber ich hab sie vorhin erst entdeckt: Vorhängeschlösser mit staatlicher Hintertür. Krypto-Hintertüren in Reinkultur. Weiterlesen »

Eine sehr fragwürdige Tele-Banking-Sicherheitsstudie

Im Juli 2006 erschien in der Zeitschrift Capital ein Artikel über die Sicherheit von Telebanking-Webseiten deutscher Banken. Und weil ausgerechnet das Fraunhofer Institut für Sichere Informationstechnologie (SIT) aus Darmstadt daran beteiligt war, habe ich den natürlich gelesen. An der Seriosität des Artikels müssen einige Zweifel aufkommen. Weiterlesen »

Werbung

Da haben wir schon den Mist: WordPress angreifbar

Hadmut
7.1.2007 2:40

Und schon sind die nächste Sicherheitslücken in WordPress da. Weiterlesen »

Die Post, ihre Einschreiben und die Einliefernummern…

Ich hatte ja schön öfters das Problem, daß die Post für ihre Einschreiben ne Menge Geld nimmt, aber das Einschreiben nicht “funktioniert”. Nun schon wieder. Weiterlesen »

“Mit CD-Entwertungsfunktion”

Hadmut
28.12.2006 19:59

Nächste Woche gibt es bei LIDL einen Aktenvernichter “mit CD-Entwertungsfunktion”. Weiterlesen »

Teredo – oder wie man Firewalls außer Funktion setzt

Hadmut
30.11.2006 1:01

Microsoft führt mit Vista ein neues Tunnelprotokoll für IPv6 über IPv4 ein. Mit Sicherheitsproblemen. Weiterlesen »

Fingerabdrucksynthesizer?

Fingerabdruckscanner sind als “Sicherheitstechnik” gerade in Mode. Weiterlesen »

Mummenschanz in der Sicherheitswissenschaft

Ich hatte einen Mitarbeiter eines bekannten und “renommierten” deutschen, dem BSI nahestehenden Instituts für IT-Sicherheit um einen Kommentar zu groben Fehlern einer Veröffentlichung des Instituts gebeten. Ein Auszug aus seiner Antwort: Weiterlesen »

Einkauf bei Metro

Ich geb ja zu, ich kaufe Klamotten bei Metro. Der Markt mit den besonderen Sicherheitsmaßnahmen. Weiterlesen »

Warum man auf US-Flügen eine Pistole dabeihaben sollte

Heute habe ich diesen Artikel auf Telepolis gelesen. Man muß jetzt als Passagier auf US-Flügen eine Knarre mit an Bord nehmen, damit einem die Kamera nicht geklaut wird. Und das wegen der Anti-Terror-Maßnahmen. Ich werde wahrscheinlich 3-4 Wochen brauchen, um mit dem Kopfschütteln fertig zu sein…

RSA SID800 Token

Hadmut
25.9.2006 20:31

Kürzlich hatte ich einen RSA SID800 SecurID-Token zum Test. Weiterlesen »

Linux-Kernel-Sourcen: Und es geht doch…

Hadmut
20.9.2006 21:33

Nu hat ich schon zwei Blog-Einträge zu den world writable-Rechten der Linux-Sourcen geschrieben. Heute kam der 2.6.18-Kernel raus. Weiterlesen »

Noch mehr Linux-Kernel-Sourcen-Security

Hadmut
14.9.2006 0:08

Vor ein paar Tagen hatte ich mal die Frage aufgeworfen, warum die Linux-Kernel-Sourcen eigentlich mit den Zugriffsrechten World-Writable verteilt werden. Mir war daraufhin vorgeworfen worden, daß ich von Security keine Ahnung hätte, weil ich mich an allgemein schreibbaren Dateien störte. Obwohl ich dazu gar nichts mehr schreibe, geht der Spuk weiter, ich bekomme direkt oder als Cc: ständig weitere Mails mit absurden Standpunkten: Weiterlesen »

Linux und seine Sicherheitsideologen…

Hadmut
10.9.2006 19:59

Linux-Kernel kompiliere ich seit fast dem Anfang von Linux an. Damals, als die Kompilation noch den ganzen Mann erforderte und die erste Linux-Distribution noch auf ein paar Disketten paßte. Ich kompiliere Linux-Kernel bis heute.

Weiterlesen »

Jetzt hab ich auch ein (unsicheres) Blog…

Hadmut
10.9.2006 15:18

So, nun hab ich auch mal ein Blog eingerichtet. Gibt ja erst 70 Millionen Blogs, da fehlt ganz sicher noch meines.

Ich hab mir dazu WordPress ausgesucht, weil es mir zunächst ausgereift und gut zu bedienen vorkam. Pustekuchen. Mit der Sicherheit ist es nicht weit her.

Sämtliche Passworte und Cookies werden im Klartext übertragen. (Vorsicht also für registrierte Benutzer.) Das ist natürlich nicht schön, ein Blog auch über Sicherheit zu machen und dann das Administrationspasswort im Klartext rüberzuschicken. Die Lösung wäre, das Blog nochmal im HTTPS-Server einzublenden, wie auch schon im WordPress-Forum verschiedentlich diskutiert und experimentiert wurde.

Nur: WordPress sträubt sich beharrlich dagegen, die Zugangsdaten verschlüsselt zu übertragen. Sämtliche Links werden absolut herausgegeben, womit man die Spiegelung wieder auf die unverschlüsselte Seite zurücklinkt. Mit einigen Tricks und Rewrites hab ich es hinbekommen, laufe dann aber in das nächste Problem: Manche der WordPress-Seiten verwenden doch relative URLs, d.h. berechnen sie aus dem Request. Ein gespieltes Blog taucht daher unter zwei verschiedenen Unterpfaden auf. Die Cookies, die es setzt, gelten aber nur für jeweils einen davon. So kann es passieren, daß sich der Browser in einer Endlosschleife verfängt: Die Admin-Seite sieht das Cookie nicht und redirected einen erst einmal zur Anmeldeseite. Die aber sieht das Cookie, erkennt, daß man schon angemeldet ist, und redirected einen sofort wieder zurück. Und so weiter. Nach dem dritten Mal wird’s dem Browser zu blöd und er gibt beleidigt ne Fehlermeldung aus. Da haben offenbar verschiedene Autoren dran geschrieben und sich nicht abgestimmt. Gar nicht schön.
Im WordPress-Forum wird eine Methode vorgeschlagen, die an sich schon bemerkenswert ist: Im normalen Blog (unverschlüsselt, virtueller Webserver) wird einfach für die Admin-Seiten ein redirect auf die verschlüsselten Seiten eingerichtet. Das führt zu dem absurden Verfahren, daß der Browser zunächst einen Request (mit Passwort, Cookie usw.) an die unverschlüsselte Seite schickt, und auf die verschlüsselte redirected. Das geht so schnell, daß der Admin davon nichts sieht und subjektiv glaubt, immer auf verschlüsselten Seiten zu arbeiten. Zwischendrin gibt’s dann immer einen unverschlüsselten Zugriff, damit der Angreifer auch was davon hat. Bitte, damit ist beiden Seiten gedient. Security kann ja so einfach sein…

Ich bin mal gespannt, was zuerst passiert: Ein Einbruch in die Webseite oder für den Inhalt verklagt zu werden…

Hadmut Danisch