Eigentlich kann ich Jürgen Trittin ja nicht leiden, aber eben hatte er mal richtig recht. Weiterlesen »
Vom CISSP und anderen Security-Zertifizierungen
Interessante Überlegungen zum CISSP (Certified Information Systems Security Professional) in diesem Blog-Artikel. Weiterlesen »
Kanzleramt und Bundestrojaner
Manchmal muß man sich schon wundern. Vor ein paar Tagen war eine Riesenaufregung darüber, daß irgendwer, wohl chinesische Hacker, über schräge E-Mails Trojaner im Bundeskanzleramt eingepflanzt haben. Heute morgen kam in SWR3 eine Meldung zum Bundestrojaner, wonach man plane, den über gefälschte Behördenmails zu implantieren.
Einerseits leidet man darunter, daß Rechner per E-Mail angreifbar sind, andererseits macht man es sich zunutze. Dürfte schwierig werden, sich mal wirklich für eine Richtung zu entscheiden, insofern sind die Chancen beschränkt, daß sich da mal auf gesetzlicher Ebene was tut, um solche Software-Fehler einzuschränken.
Wieder mal Probleme mit Security
Auf Golem.de gibt es gleich zwei Meldungen, bei denen man sich eigentlich nur an den Kopf packen kann: Weiterlesen »
Fragwürdig: Hackerangriff aufs Kanzleramt
Nun geht es durch alle Medien: Im Bundeskanzeramt wurden “Trojaner” gefunden, angeblich von chinesischen Hackern dort eingeschleust. Wenn ich das richtig mitbekommen habe, hatte der SPIEGEL die Story als erster (hier und hier). Doch an der Sache ist einiges seltsam. Weiterlesen »
Wahlcomputer verbrannt?
Beim Rumstöbern im Netz hab ich gerade ne ulkige Blog-Meldung entdeckt: Angeblich sind die Kölner Wahlcomputer verbrannt, weil die Herstellerfirma Nedap sie bei der Stadt Köln für Wahlen in den Niederlanden ausgeliehen hat. Dabei sind angeblich 364 Wahlcomputer in einer Lagerhalle verbrannt und waren nicht versichert. Angeblich soll jetzt die Herstellerfirma, die sie nicht versichert hatte, von der Stadt Köln erwarten, daß die sich (für 1,5 Millionen) neue kauft.
Was ist denn das für eine krude Story? Ob das so stimmt? Kommt mir ziemlich fragwürdig vor.
Verschwörungstheoretisch könnte man daraus die Vermutung stricken, daß da irgendwer eine Absicht hatte…
324 Tote im ersten Halbjahr 2007
Laut einem Artikel der SZ-Online sind im ersten Halbjahr 324 Leute in deutschen Seen, Flüssen und Bäder ertrunken. Schlimm? Komischerweise nicht. Anlaß zu Überlegungen zur IT-Security. Weiterlesen »
Foto-Rückverfolgung oder Foto-Anonymizer?
Ein interessanter Artikel ist auf dem Heise Newsticker erschienen: Canon will den Fotographen, der den neuen Harry-Potter-Band vorab abfotographiert und im Internet verbreitet hat, anhand von Metadaten lokalisieren. Weiterlesen »
Warum wir beim E-Mail-/Spam-Schutz versagt haben
Mit Vorbereitung seit 1994 und mit RMX im Zeitraum 2002-2004 war ich einer der Vorreiter der Spam-Schutzmechanismen und der Light-Weight-Authentifikation bei einem der Standard-Internet-Protokolle. Das hat mir damals viel Arbeit, Tausende von Mail-Wechseln in und außerhalb der IETF und anderen Foren eingebracht, IETF-Besuche in San Francisco, San Diego und Washington, einen Vortrag vor der US-Regierung, thematische Diskussion bei zwei OECD-Konferenzen, diverse Vorträge usw. eingebracht. Das Verfahren wurde als SPF plagiiert und sollte von Microsoft groß rausgebracht werden. Bill Gates hatte damals angekündigt, das Spam-Problem in zwei Jahren zu lösen. Es ging also damals heiß her. Mehr als heiß. Rund zwei Jahre lang war ich sehr intensiv mit der Sache beschäftigt und habe viele Leute in den USA kennengelernt. Doch was ist daraus geworden? Weiterlesen »
Web-Security
Bis noch vor ca. 3-4 Jahren habe ich – sogar noch in Vorträgen, Workshops und Tutorials zu RMX und zum Spam-Schutz – die Meinung vertreten, daß die Bedrohungssituation bei E-Mail eine ganz andere sei – oder damals war – als etwa bei Web-Servern. In den letzten Jahren habe ich da aber auch umgelernt und meine Meinung geändert: Weiterlesen »
Gesundheitskartenskandal – Professorin Eckert verklagt mich
Im Zusammenhang mit meinem Promotionsstreit hatte das Verwaltungsgericht Karlsruhe die Darmstädter Professorin Claudia Eckert als Sachverständige bestellt und ihr 6 Fragen gestellt. Zwei konnte sie gar nicht beantworten. Ihre anderen vier Antworten halte ich für fachlich grob falsch, schon die formalen Anforderungen an ein Sachverständigengutachten werden nicht erfüllt. Ich habe die Mängel im Manuskript Adele und die Fledermaus detailliert beschrieben. Bei den Nachforschungen stieß ich zufällig darauf, daß die Professorin Eckert über die Fraunhofer Gesellschaft mit der Entwicklung von Sicherheitsfunktionen und -protokollen der Gesundheitskarte beauftragt wurde, die Milliarden kosten und uns alle ereilen wird. Weil mir nicht einleuchten wollte, wie jemand, der schon mit einem so einfachen Sachverständigenauftrag solche Probleme hat, mit themenverwandten Aufgaben in einem so wichtigen Projekt betraut werden konnte, habe ich nachgeforscht und Akteneinsicht beantragt. Und dabei Dinge herausgefunden, die nun offenbar zu Problemen führen und die man mir nun zu sagen verbieten will. Sie hat vor dem Landgericht Berlin eine einstweilige Verfügung gegen mich beantragt – aber noch nicht bekommen.
Irgendetwas scheint da nun im Zusammenhang mit der Gesundheitskarte aus den Fugen zu geraten. Während man mich bisher stets ignorierte, hatte man es nun eilig, mich anzugreifen.
Ubuntu LiveCD individualisieren
Linux LiveCDs sind eine praktische Sache, vor allem für unterwegs, wenn man keinen Notebook mitnehmen kann oder will. Beispielsweise die Ubuntu-LiveCD sind eine gute Sache. Allerdings fehlen einem darauf manche Softwarepakete wie cryptsetup oder individuelle Daten wie ssh- oder ssl-Schlüssel usw. Das kann man ändern. Weiterlesen »
Vorhängeschloß mit staatlicher Hintertür
Sicherlich keine Neuigkeit, aber ich hab sie vorhin erst entdeckt: Vorhängeschlösser mit staatlicher Hintertür. Krypto-Hintertüren in Reinkultur. Weiterlesen »
“Netzsicherheit”: Primzahlen wurden abgeschafft
Wie der ein oder andere vielleicht schon mitbekommen hat, befasse ich mich gelegentlich mit Kryptographie und manchmal auch mit der Frage des fachlichen Niveaus deutscher Universitäten.
Die Jentzsch-Chiffre – gibt’s die noch?
Vor einiger Zeit tauchte auf den Webseiten des CrypTool, die laut Impressum von der Professorin Claudia Eckert am “Fachgebiet Sicherheit in der Informationstechnik” an der TU Darmstadt gehostet werden, ein dubioser Kryptowettbewerb auf, bei dem 10.000 Euro auf das Brechen eines gegebenen Chiffrats ausgesetzt wurden. Weiterlesen »
Eine sehr fragwürdige Tele-Banking-Sicherheitsstudie
Im Juli 2006 erschien in der Zeitschrift Capital ein Artikel über die Sicherheit von Telebanking-Webseiten deutscher Banken. Und weil ausgerechnet das Fraunhofer Institut für Sichere Informationstechnologie (SIT) aus Darmstadt daran beteiligt war, habe ich den natürlich gelesen. An der Seriosität des Artikels müssen einige Zweifel aufkommen. Weiterlesen »
Da haben wir schon den Mist: WordPress angreifbar
Und schon sind die nächste Sicherheitslücken in WordPress da. Weiterlesen »
Originelle Phishing-URL-Schreibweise
Eben mal wieder eine Phishing-Mail bekommen. Diese Schreibweise zur “Verschleierung” einer IP-Adresse ist mal wieder orginell: Weiterlesen »
Die Post, ihre Einschreiben und die Einliefernummern…
Ich hatte ja schön öfters das Problem, daß die Post für ihre Einschreiben ne Menge Geld nimmt, aber das Einschreiben nicht “funktioniert”. Nun schon wieder. Weiterlesen »
“Mit CD-Entwertungsfunktion”
Nächste Woche gibt es bei LIDL einen Aktenvernichter “mit CD-Entwertungsfunktion”. Weiterlesen »
Web-Scanning durch Bots?
Seit mehreren Tagen beobachte ich eine Welle von unmotivierten einzelnen Zugriffen auf verschiedene Webservern, die in zeitlichem Zusammenhang, aber aus völlig unterschiedlichen Ländern (die kaum auf deutsche Webseiten zugreifen) zugreifen und teils auch Schreibzugriffe versuchen. Dabei lassen sich zwei typische Zugriffstypen erkennen: Im einen wird als Browser eine Python-Library angegeben, bei dem anderen werden als Referer gleich eine größere Liste zufälliger URLs von (existierenden) weltweiten Webseiten angegeben. Weiterlesen »
Erfolg mit meiner Bundestagspetition zum Briefgeheimnis
Heute habe ich einen Brief vom Petitionsausschuß des Deutschen Bundestags bekommen. 🙂 Weiterlesen »
Teredo – oder wie man Firewalls außer Funktion setzt
Microsoft führt mit Vista ein neues Tunnelprotokoll für IPv6 über IPv4 ein. Mit Sicherheitsproblemen. Weiterlesen »
Micky Maus
Ich hab mir zum ersten Mal seit etwa 30 Jahren wieder ein Micky-Maus-Heft gekauft. Aus Sicherheitsgründen. Und hab das Heft nicht einmal gelesen… Weiterlesen »
Fingerabdrucksynthesizer?
Fingerabdruckscanner sind als “Sicherheitstechnik” gerade in Mode. Weiterlesen »
Mummenschanz in der Sicherheitswissenschaft
Ich hatte einen Mitarbeiter eines bekannten und “renommierten” deutschen, dem BSI nahestehenden Instituts für IT-Sicherheit um einen Kommentar zu groben Fehlern einer Veröffentlichung des Instituts gebeten. Ein Auszug aus seiner Antwort: Weiterlesen »
Spam aus der Ukraine – Vulnerability Databases?
Und wieder einmal hat sich gezeigt, daß jede Form von Webseiten mit der Möglichkeit zur Benutzereingabe ein potentielles Sicherheitsrisiko ist. Weiterlesen »
Eine indiskrete Telefonanlage…
Diese Woche habe ich mal wieder einen Security-Fall gehabt, der mir so noch nicht untergekommen ist. Weiterlesen »
Heute im E-Mail-Recht-Workshop…
Heute erklärte ein Rechtsanwalt in einem Workshop zum E-Mail-Recht, Weiterlesen »
Hermann – das wirklich “lebende” Kettenbrief-Tamagotchi
Ich habe einen Hermann bekommen. Weiterlesen »