Erich sieht

Die Wikipedia behauptet:

»The ICE 3 is able to play the German National Anthem with its Frequency changers. This is an unofficial feature and needs modification of the software.«

Weiß jemand, ob das stimmt?

Der Kalender sagt, dass es ab 23 Uhr C-Radar gibt. Hoffentlich hat es keinermindestens einer nicht verpeilt.

Eigentlich ein schöner Text für eine Hackerhymne, jedenfalls der Anfang:

Keep on looking
you keep on searching
you keep on moving
and you get a little further
you keep on trusting
you keep on hoping
you keep on facing your faith just to keep on growing

just try…try..you just try

(…)

(Sidsel Endresen & Bugge Wesseltoft, Try)

Der Heise-Ticker berichtet unter der Überschrift 60.000 Dollar Strafe für DNS-Abruf:

»Das Gericht stellte fest, dass Ritz dabei seine “Identität hinter Proxies verbarg, ein UNIX-Betriebssystem verwendete und neben anderen Methoden Shell Accounts einsetzte. Außerdem gab er sich als Mail-Server aus.” Die auf diese Weise gewonnenen Informationen machte Ritz publik. Diese Information, stellte das Gericht fest, sei nicht öffentlich verfügbar gewesen. Damit habe Ritz die Datensicherheit von Sierra gefährdet, Ritz sei also als Hacker einzustufen, schließlich sei der Befehl “host -l” dem normalen Anwender nicht bekannt.«

Offenbar ist dem Richter alles suspekt, was er nicht kennt. Und das ist erfahrungsgemäß ziemlich viel, wenn es um Informationstechnik geht und man die Gefühlswelt eines Juristen zum Maßstab nimmt.

Tatsächlich aber ist weder am Kommando host noch an einem Shell-Account irgend etwas ungewöhnlich. Sogar mein iBook, Inbegriff des Schickimickiklickiwerkzeugs und damit juristentauglich, verfügt über beides. Ein Maßstab dafür, ob jemand unlauter gehandelt hat, ist die Benutzung nicht. Zumal das Kommando host ausgesprochen harmlos ist: es fragt öffentlich verfügbare Informationen aus den öffentlichen Servern eines öffentlichen Dienstes ab, denn DNS ist nichts weiter als eine Art automatische Telefonauskunft für das Internet. Nur hat das dem Richter offenbar keiner erklärt, wenn der meint, die Information sei nicht öffentlich zugänglich gewesen. Doch, das war sie.

Bullshit ist die Behauptung des Klägers, er habe aufgrund der Abfrage seine interne Kommunikationsstruktur ändern müssen. Erstens wäre nämlich an dieser Kommunikationsstruktur etwas sehr kaputt, wenn sie auf die Vertraulichkeit öffentlicher Informationen angewiesen wäre. Zweitens wäre anderenfalls das Sicherheitsproblem bereits durch die Veröffentlichung auf dem DNS-Server entstanden, und dafür kann man kaum denjenigen verantwortlich machen, der lediglich hinschaut.

Hoffentlich fragen deutsche Richter jemanden, der sich damit auskennt, bevor sie jemanden verknacken, dessen Werkzeuge sie nicht verstehen.

Nachtrag: Und so finden Kommandozeilenganoven ihre KompliziInnen.

Theseus brauchte den Ariadnefaden, um aus dem Labyrinth hinauszufinden; Informatiker versuchen es mit Graphen und Backtracking. Und Mediendesigner? Die nehmen einfach Photoshop.

»So, let’s see if we can figure out the economic process …

1. Find some vulnerability in some widely used product.
2. Create a proof-of-concept and publish it to the world (preferably before sharing it with the vendor).
3. Use FUD (Fear, Uncertainty, and Doubt) to sell the services of a security consultancy startup.
4. Profit!«

(Securology: The Economics of “Security Researchers”)

Wenn ich mich umbringen will, aber nur eine Schreckschusspistole zur Hand habe, was mache ich da? Genau, ich schaue in die Gelben Seiten und suche mir jemanden, der sich damit auskennt. So zum Beispiel:

»Bei einem Schusswechsel mit der Polizei ist am Sonntagabend in Plauen ein junger Mann ums Leben gekommen. Wie die Polizei mitteilte, hatte er zuvor telefonisch seinen Selbstmord angekündigt. Als die beiden alarmierten Beamten ihn in der Nähe seiner Wohnung antrafen, zog er ohne Vorwarnung eine Waffe und schoss auf die Einsatzkräfte. Ein Polizist (40) erwiderte das Feuer und verletzte den 25-Jährigen so schwer, dass er wenige Stunden später im Krankenhaus starb.

(…)

„Nach erster Einschätzung hat der Beamte in Notwehr gehandelt.“ Bei der Waffe des Opfers handele es sich um eine Schreckschusspistole. „Dies war aber für den Beamten im Einsatz nicht zu erkennen, er hat in den Lauf einer Pistole geschaut und dann sofort reagiert“, sagte eine Polizeisprecherin.«

(LVZ-Online: Mann bei Schusswechsel mit Polizei getötet)

Offen bleibt, warum jemand mit so viel Talent seinem Leben ein Ende setztsetzen lässt, statt Hacker zu werden. Wir zum Beispiel suchen ständig Hiwis.

14.-16. September 2007:  metarheinmain chaosdays mrmcd110b - mirroring the truth in Darmstadt. Den Fahrplan gibt es hier.

24th Chaos Communication Congress 2007: Call for Participation

• October 12th, 2007 (Midnight UTC) Submission due
• November 11th, 2007 Final notification of acceptance (or earlier)
• November 18th, 2007 Final papers/presentations due
• December 27th - 30th, 2007 Chaos Communication Congress

Ohne Kommentar:

Dann wollen wir doch mal sehen, ob das Camp morgen umstellt und durchsucht wird: heise online - Verschärfte Hackerparagraphen treten in Kraft. Meine Prognose: nein, es wird nichts passieren.

Wenn Hackertools verboten sind, bekommt man sie nur noch auf dem Schwarzmarkt? Denkste! Hackertools gibt es auch beim BSI.

(gefunden bei Exalead)

Symantec hat einen Film zum MPACK Massen-Hack produziert. Der Film erklärt sehr schön, wie der Angriff funktioniert.

Wohl dem Hacker, der etwas findet und die nötigen Kontakte hat, diese Erkenntnis zu vergolden. Das auch Regierungen gerne mal mehrere tausend Euro für einen Zero-Day-Exploit auf den Tisch legen, enthüllte jetzt ein ehemaliger NSA-Experte, der einen Linux-Exploit an US-Behörden vertickt hat. Mit den Tendenzen hin zum Bundestrojaner könnte das Innenministerium auch an solchen Informationen interessiert sein. Mein Vorschlag: Beim nächsten Fund fragen wir mal an, was die so zahlen für eine Schwachstelle. Oder wir machen gleich eine Online-Auktion, bei dem das an die meistbietende Regierung verkauft wird. Eintritt natürlich nur mit entsprechendem Passwort. Wenn das Legal ist, macht Ebay da sicher gerne mit. Hach, wenn da nicht die Ethik wäre. Das Wissen mag viel Wert sein, aber ein ruhiges Gewissen ist vielleicht unbezahlbar.

The Chaser’s War On Everything: Trojan Horse. Would anybody let a Trojan Horse through their gates today?

YouTube - Trojan Horse - The Chaser

• Schneller Hack: Full-text feed and the <!–more–> tag
• Plugin: CompleteRSS
• Plugin: Full Text Feed

Der Deutsche Bundestag hat erwartungsgemäß die Kriminalisierung unserer Arbeit beschlossen. Ob wir damit auch zu Terroristen werden, die Geruchsproben abgeben dürfen und ihre Post nicht selbst lesen müssen, weil das bereits andere für sie tun, das wissen wir nicht. Wie wir überhaupt vieles nicht wissen, denn statt etwas gesetzlich zu regeln, was einer gewissen Klarheit der Formulierung bedurft hätte, hat man lediglich Spielräume und Möglichkeiten geschaffen. Spielräume für die Strafverfolgung, nicht für uns. Wir, die wir uns mit IT-Sicherheit beschäftigen, verlieren also an Sicherheit, wir müssen fortan mit dem Schlimmsten rechnen.

Read the rest of this entry »

»Security analyst David Kierznowski shocked bloggers yesterday with a survey showing that 49 out of the 50 WordPress blogs he checked seem to be running exploitable versions of the widely used software. He said, ‘The main concern here is the lack of security awareness amongst bloggers with a non-technical background, and even those with a technical background.’ Mr Kierznowski also uncovered recent vulnerabilities in WordPress plugins that ship by default with the software, adding: ‘WordPress users developing plugins must be aware of the security functions that WordPress supports, and ensure that these functions are used in their code.’«

Slashdot | Survey Finds Most WordPress Blogs Vulnerable

Ein Secustick ist ein USB-Stick, der seinen Speicher automatisch löscht, wenn das Passwort mehrmals falsch eingegeben wird. Regierungen benutzten es und viele hielten es für ein geniales Produkt - bis es www.tweakers.net in 30 Minuten knackte. Anscheinend waren die Daten des Sticks noch nicht mal verschlüsselt. Bruce Schneier hat in seinem Newsletter darauf hingewiesen, dass dies ein typisches Beispiel für eine asynchrone Informationssituation sei. In einem solchen Markt besitzt der Verkäufer mehr Informationen als der Käufer. Eine Lösung dieses Problem bietet das so genannte Signalling - also ein neutraler Dritter, der das Informationsdefizit des Kunden ausgleicht. Dies kann der Staat sein oder Fraunhofer SIT, das ein Testat vergibt, oder beides.

Entscheidend dabei ist das Vertrauen, das der Kunde der Signalling-Instanz entgegenbringt. Dafür gibt es sogar eine schöne Formel, die ich in der Wikipedia gefunden habe:

p*G(x)-(1-p)*L(y)>0

Daraus ergibt sich

Vertrauen = p > L(y) / (L(y) + G(x))

Read the rest of this entry »

Tut er oder tut er nicht, der Bundestrojaner? Die Medienwelt ist zerstritten, zumindest die Technikjournalisten. Denn während sich die Politikressorts im Schäuble-Bashing üben und die rechtliche Diskussion vom BGH kurzfristig geklärt wurde, spaltet sich die Multimedia-Berichterstattung in zwei Lager:

Auf der einen Datenschutzspezialistin Christiane Schulzki-Hadouti und alle die glauben, der Bundestrojaner ist machbar, auf der anderen Seite die zahlenmäßig unterlegenen aber vielleicht klügeren Skeptiker um Lutz Herkner, die der Meinung sind es handelt sich um eine theoretische Möglichkeit oder wie Burkhardt Schröder gleich sagen, es sei ein Hoax.

Read the rest of this entry »

Call for Participation - Chaos Communication Camp 2007. Contributions due 2007-05-15.