Das Positive an #0zapftis

Schockierende Nachrichten

Die beiden Lenker von RSA, Art Coviello (Chairman) und Tom Heiser (President), nutzten ihre jeweiligen Eröffnungsansprachen zur RSA Conference in London, um Einzelheiten der Angriffe im März zu erläutern. Coviello sagte, dass es sich beim Angreifer um einen Staat handeln müsse. Der Angriff sei zu ausgefuchst, als dass andere Angreifer in Frage kämen.

Das Positive: Deutschland gehört nicht zu den verdächtigen.

iphone-Apps: Don’t update

Das iPhone und der iPod Touch haben etwas, was ich unter Linux sehr schätze und unter Windows immer noch schmerzlich vermisse: Einen Paketmanager. So kann man immer sicher stellen, dass man die aktuelle Software parat hat, hat immer die neusten Features und die wenigsten Sicherheitslücken.

Doch leider vermasseln sie es grade Mal wieder. Nicht nur die Beschränkung auf die gnädigerweise von Apple genehmigten Anwendungen ist ein Makel, der komplette Sinn des Paketmanagers wird ins Gegenteil verkehrt. Statt immer bessere Funktionen und Software zu haben, hat man plötzlich immer weniger Funktionen.

Hier ist ein aktueller Fall – bei weitem nicht der einzige. Bei anderen Apps werden irgendwelche Pseudo-Funktionen nachgeschoben, um ganz nebenbei Werbung in die zu integrieren – dabei ist auf kleinen Bildschirmen jedes Pixel kostbar. Oder es werden wesentliche Funktionen entfernt und in eine Bezahl-Applikation transferiert.

Mein Rat daher: wenn kein wirklich guter Grund für ein Update besteht, sollte man es derzeit vermeiden.

Die Kinderporno-Bots

Netzpolitik.org über die Bundestagsanhörungen zum Thema Kinderporno-Sperren:

Laut Maurer wird Kinderpornografie im Netz per Botnet-Spam beworben, die Links zu entsprechenden Seiten beinhalten. Eine Sperrung der Seiten mittels Stopp-Seite könne User in einer solchen Situation auf die Unrechtsmäßigkeit hinweisen und Access-Versuche gleich noch protokollieren.

Das klingt logisch. Die pauschale Sperrung für Kinderporno wird durch massenhaften Spam bedingt. Ich hab zwar nie solchen Spam gesehen, aber es klingt logisch. Dann gehen die BKA-Erläuterungen aber weiter:

Nach seinen Vorschlägen schickt schickt das BKA dann täglich 10 Uhr eine Liste mit Domains auf sicherem Weg an ISPs, welche diese dann innerhalb von 6 Stunden in ihr Filter-System pflügen, damit die Seiten spätestens 24 Stunden später für Endnutzer gesperrt sind.

Nach den Informationen die ich bekommen habe, sind die allermeisten Kinderporno-Seiten – von denen übrigens 80 Prozent in den USA gehostet werden – nur wenige Stunden erreichbar. Ein täglich aktualisierte Liste kann hier keinen Blumentopf gewinnen. Das BKA bekäme dann nur noch eine Statistik, wie viele Leute vermeintlich einen Tag zu spät auf Porno-Spam klicken.

Aber das ist vielleicht nicht schlecht. Denn würden die Mechanismen wirken und den Kinderporno-Verkäufern das Wasser abgraben, wären die Kriminellen technisch schon längst drei Schritte weiter. Zum Beispiel hat Microsoft grade eine Belohnung von 250.000 Dollar auf den Autoren des Conficker-Wurms ausgesetzt. Der generiert immer neue Domainnamen, auf denen er Anweisungen sucht. Im Prinzip kann diese Technik auch zum bulletproof hosting eingesetzt werden. Steigt auch nur ein Kinderporno-Verbreiter auf diese Technik um, wird die Filtertliste nicht 5000 bis 10000, sondern Millionen Einträge haben müssen. Die Kosten für die Kriminellen sind relativ gering.

The day the routers died

heise online am 13. Juni:

Trojaner, die Router manipulieren, gab es bislang nur in Gedankengemälden von Sicherheitsspezialisten. Nun ist eine besondere Variante des Schädlings Zlob der Leinwand entstiegen und verbiegt von infizierten Windows-PCs aus die DNS-Einstellungen handelsüblicher Router

Golem.de am 13. Juni:

Ein Novum dürfte die Remote-Control-Software darstellen, mit der Linksys-Kundendienstmitarbeiter zur Not die Konfiguration aus der Ferne einstellen können.

Nur einmal verwenden.

Aus dem Polizeibericht:

Er sagte aus, dass er zunächst kleinere Internetforen auf Schwachstellen hinsichtlich gespeicherter Daten überprüft habe. Sobald er dort fündig wurde, las er die gespeicherten Mitgliederdaten (email-Adressen und dazugehörigen Passwörter) aus und testete mit Hilfe illegaler Software, ob die so erlangten Daten von ihren Inhabern auch als Zugangsdaten für andere Internetdienste benutzt werden. Tatsächlich wurde der „Hobbyhacker“ in bisher noch unbekannter Größenordnung fündig. Viele seiner Opfer benutzten in den unterschiedlichsten Internetportalen ein und dasselbe Passwort.

Warte, warte nur ein Weilchen

Burkhard Strassmann zweifelt bei Zeit Online an der Notwendigkeit der IT-Sicherheit und sieht besonders beim Datenschutz ein Vermittlungsproblem.

Dass die Sicherheitsbranche wenigstens einen Mann präsentieren kann, der ihre Existenzberechtigung belegt, ist einiges wert. Ansonsten geraten die meisten befragten Aussteller ins Stocken oder ins Geschwafel, wenn man sie konkret nach „dem Bösen“ fragt, das bekämpft werden muss. Das gilt besonders für Datenschützer. Regelmäßig fällt ihnen auf die Frage nach einem Beispiel für Datenmissbrauch nur eine Antwort ein: Es gebe doch das Datenschutzgesetz. Und deshalb den Datenschutz!

Nun – die behördlichen Datenschützer mögen noch nicht ganz im Zeitalter von sozialen Netzwerken angekommen zu sein und sicher sind viele Produkte eher kreativ als nützlich – dennoch sollte man Realist bleiben. Glaubt man den Zahlen in der Wikipedia hat es über 10 Jahre gedauert, bis Spammer die Vorteile des Mailversands erkannten und nutzten. StudiVZ gibt es gut zwei Jahre und schon hat die Bild den Nutzen entdeckt.

Computer sind einfach nicht sicher

Joerg Heidrich beschreibt in einer Meldung bei Heise, warum ein Opfer eines Online-Banking-Betrugs nicht mit haftbar gemacht wurde:

Ein Mitverschulden bei der Entstehung des Schadens treffe den Kläger im vorliegenden Fall dagegen nicht. Ein solches Mitverschulden sei zwar grundsätzlich anzunehmen, wenn der Kontoinhaber PIN und TAN aufgrund von Phishing oder Vishing herausgibt. Andererseits könnten Täter andere Angriffsmethoden wie Malware und Pharming auch dann mit Erfolg einsetzen, wenn der Kontoinhaber seine IT hinreichend schützt und hinreichend aufmerksam ist. Als Mindestvoraussetzungen für einen solchen Schutz nennt das Gericht die Verwendung einer aktuellen Virenschutzsoftware und einer Firewall sowie das regelmäßige Einspielen von Sicherheitsupdates für das Betriebssystem sowie die verwendete Software.

Ob das Prinzip auf meine elektronische Steuererklärung auch anwendbar ist?