Qbi's Weblog

Der Kryptograph Matt Blaze hat mit seinen Mitarbeitern öffentlich erhältliche Informationen zu Telefonüberwachungsgeräten auf Schwachstellen untersucht. Dabei fand er heraus, dass es für eine abgehörte Person möglich ist, die Überwachung auszuschalten, in dem sie eben die Schwachstellen ausnutzt. Eine Möglichkeite wäre, einen Ton mit niedriger Amplitude kontinuierlich einzublenden. Dies wird von vielen Geräten als ein bestimmtes Signal misinterpretiert und führt zum Abbruch der Aufzeichnung. Leider betrifft das nicht alle Systeme. Jedoch haben die Forscher dies auch bei neueren Systemen probiert, die angeblich damit umgehen können. Auch da trat der oben beschriebene Effekt auf.

Die genaue Beschreibung findet sich auf wiretap.pdf. Des weiteren schireb auch die NYTimes einen Artikel zum Thema.

... kaum einer einen erhält. Wie das Hamburger Abendblatt schreibt, wurden zuerst 80% der Anträge abgelehnt (siehe auch Problemzone Gesicht). Dies geschah wohl, weil die Fotos nicht den Standards der ICAO entsprachen. Die neuen Passinhaber wird es sicher freuen, permanent im Fotostudio zu sitzen. Wenn diese dann auch noch auf dem Bild lächeln, sich schminken oder Haare im Gesicht hängen haben, dann werden sie bei den Grenzkontrollen sicher “individuelle Behandlung” erfahren. Noch besser habens da die Österreicher. Sie erhalten ab dem nächsten Jahr den ePass. Wenn sie die Hürden mit den Fotos überstanden haben, könnte es trotzdem sein, dass sie nie einen ePass erhalten. Weil dieser vielleicht auf dem Postweg verloren ging.

Gute Informationen zum neuen Reisepass finden sich auch in der Ausgabe 87 der Datenschleuder.

via Netzpolitik

In den letzten Einträgen hatte ich schon einige Worte zum Keysigning verloren. Nunmehr habe ich mich entschlossen, beim 22C3 wieder ein Keysigning zu organisieren. Um dabei keine Missverständnisse aufkommen zu lassen: Dies ist keine offizielle Kongressveranstaltung. Sie wird also nicht im Fahrplan zu finden sein. Vielmehr kann man es als mein “Privatvergnügen” betrachten und es ist derzeit auch noch offen, ob überhaupt ein Raum zur Verfügung steht. Wenn ihr also teilnehmen wollt, könnte es sein, dass ihr wieder dicke Handschuhe und Jacken braucht.

Im Wiki gibt es eine Seite mit Erklärungen zur KSP und Terminen. Ort und Zeit werden zu gegebener Zeit (spätestens in der Kongresswoche).

Wenn du teilnehmen willst, schicke ein E-Mail mit dem Fingerprint deines Schlüssels an die Adresse jens@kubieziel.de. Die Ausgabe des Fingerprints gibt dir GnuPG mittels gpg --fingerprint $KEYID (bei meinem Schlüssel ist das: gpg --fingerprint 0xEE0977E8) und sieht folgendermaßen aus:

pub   1024D/EE0977E8 2002-08-23
  Schl.-Fingerabdruck = AA13 F67A 4847 D5EB 12A8  7017 566D 362C EE09 77E8
uid                  Jens Kubieziel 
uid                  Jens Kubieziel 
uid                  Jens Kubieziel 
sub   2048g/49D77ABE 2002-08-23

Ist dein Schlüssel bei mir angekommen, nehme ich diesen mit in die Liste der Teilnehmer auf. Schaue also ein paar Tage nach deiner Einsendung nach, ob er dort mit gelistet ist. Wie es dann weitergeht, kannst du den obigen Hinweisen entnehmen.

Zuletzt schienen einige Leute das Prinzip des Web of Trust nicht verinnerlicht zu haben. Solltest auch du nicht so recht wissen, was das ist, worauf es ankommt und was man so beachten soll, versuche dich im Vorfeld zu informieren. Ich werde versuchen, hier und/oder im 22C3-Wiki einige Worte zum Thema zu schreiben, im Handbuch von GnuPG kannst du auch etwas nachlesen und schliesslich wird auch Seth Hardy einen Vortrag zu dem Thema halten.

Die EFF hat eine Liste mit Konsequenzen aus der EULA zusammengestellt. Kurz zusammengefasst:

1. Wenn in dein Haus eingebrochen wird, musst du alle Musikstücke löschen. Denn nach der EULA endet, dein Recht auf Zweitkopien, wenn du das Original nicht mehr besitzt.
2. Auf deinem Arbeitsrechner darfst du keine Kopien aufbewahren, denn diese dürfen sich nur auf einem Home-PC befinden, der dir gehört.
3. Wenn du in ein anderes Land ziehst, musst du alle Kopien löschen. Die EULA verbietet den Export ins Ausland.
4. Du musst jegliche Updates oder Patches installieren. Die EULA verfällt sofort, wenn du es nicht tust.
5. Sony kann nach Belieben Backdoors auf deinem Rechner installieren und diese nutzen. Natürlich haften sie nicht für Systemabstürze, dadurch entstehende Schwachstellen oder andere Schäden
6. Für Schäden ist Sony nur bis zur Höhe des Kaufpreises der CD haftbar.
7. Wenn du Insolvenz anmeldest, musst du alle Kopien löschen.
8. Du hast kein Recht, die Musik auf deinen Rechner zu übertragen. Auch nicht mit der Original-CD
9. Die Musikstücke dürfen nicht verändert werden.

Das Rootkit von Sony hat in den letzten Tagen für einige Aufregung gesorgt. Und mit zunehmender Zeit werden die Nachrichten hierzu auch immer krasser:

• Die Geschichte begann gegen Ende Oktober. Da fanden die Experten von Systinernals das Rootkit. F-Secure bestätigte dies. Seit ungefähr März 2005 wurden die CDs mit der Software ausgestattet. Wenn diese CDs in die Schublade gelegt werden, sieht man zunächst die übliche Lizenzklausel (dazu später mehr). Nachdem die bestätigt ist, wird eine Abspielsoftware installiert. Zumindest sieht das nach außen so aus, innen steckt das Rootkit. Was alles am System verändert, sieht man in der Beschreibung von F-Secure. Wer allerdings grundlegende Sicherheitshinweise berücksichtigt, scheint auch hier erstmal geschützt.
• Kurze Zeit vor dem Bekanntwerden des Rootkits sorgte schon die Spyware bei WoW für Beunruhigung. Ein paar Hacker kamen dann gleich auf die Idee, die Fähigkeiten des Sony-Rootkits zu nutzen und bauten Werkzeuge, die dadurch nicht mehr zu entdecken sind.
• Sony scheint langsam auf die Meldungen zu reagieren und bietet einen Deinstaller an. Fragwürdig ist hier für mich, warum man sich dafür registrieren muss.
• Unter bestimmten Umständen bringt das Rootkit den kompletten Computer zu Absturz.
• Weitere Nachforschungen bringen zu Tage, dass das Rootkit auch noch heimlich Daten an Sony sendet. So werden IP-Adresse, Uhrzeit und Album verschickt. So können prima Nutzerprofile erstellt werden.
• Janko Röttgers meldet, dass die Software zufällig Lärm in Aufnahmen einfügt, wenn man versucht MP3s zu machen. Dies passiert dann nicht nur bei Sony-CDs, sondern bei allen CDs. (via Medienrauschen)
• Kaspersky entdeckt den ersten Trojaner, der das Rootkit “nutzt”. Die Backdoor mit dem Namen “Backdoor.Win32.Breplibot.b” wird per E-Mail verschickt und kopiert sich als $SYS$DRV.EXE in das Windows-Systemverzeichnis. Falls das Rootkit auf dem Rechner ist, bleibt die Backdoor somit unerkannt. (via Futurezone).
• Außerdem enthält das Rootkit eine statisch gelinkte Version der liblame. Damit macht sich Sony einer Verletzung der LGPL schuldig. Copyright scheint Sony also im Grunde genommen egal zu sein. (via Harald Welte)

Nach diesem PR-Desaster sollte man eigentlich annehmen, dass sich Sony reumütig den Kunden zuwendet und Besserung verspricht. Aber das Gegenteil ist der Fall. Laut der Tagesschau will Sony ihr Produkt nun auch nach Europa bringen. Man sieht also, Sony achtet wirklich ihre Kundschaft.

Glücklicherweise gibt es in den USA die EFF. Sie strengen derzeit ein Gerichtsverfahren gegen Sony an. Wenn du also einen Windowsrechner, die entsprechenden CDs besitzt und in NY oder Kalifornien wohnst, solltest du dich an die Organisation wenden.

Das ironische Ende dieser Geschichte ist aus meiner Sicht, dass gerade diejenigen, die die Musikkonzerne so gern bekämpfen, die Gewinner sind. Wer sich nämlich die Lieder über eine Tauschbörse heruntergeladen hat, dem blieb all dieser Ärger erspart und der kann sich jetzt freuen. Erfolgreicher kann man seine Kunden doch gar nicht mehr zu Tauschbörsen treiben, oder?

Stellt euch vor, ihr seid das Produkt einer künstlichen Befruchtung und wollt wissen, wer euer wirklicher Vater ist. Wie stellt ihr das an?

Ein 15jähriger hatte eine recht einfache Idee. Er sammelte eine DNA-Probe von sich (Die Fans von CSI wissen, dass man dazu nur ein Wattestäbchen an der Innenseite der Wange zu reiben muss.). Diese Probe schickte er zusammen mit knapp 300 Dollar an eine DNA-Datenbank. Später wurde er dann von zwei Männer kontaktiert. Diese trugen ähnliche Familiennamen und es bestand eine Chance, dass alle miteinander verwandt waren. Nachdem er nun Familiennamen (zumindest ungefähr) kannte und auch noch Geburtsort und -datum erfuhr, war der Rest ganz einfach. Bei Omnitrace suchte er die an dem Ort und der Zeit Geborenen und schon wurde er fündig.

Das Ganze passierte, obwohl sein biologischer Vater nie irgendwo DNA-Proben abgegeben hat (außer halt bei seinem Sohn ) und zeigt die Gefährlichkeit der Zusammenführung von Daten. Leute, die eigentlich irgendwo anonym eine Samenspende abgegeben haben, können recht leicht aufgespürt werden. Aus meiner Sicht machen das viele Studenten, um sich ein paar Euro hinzuzuverdienen. Nun stelle man sich mal vor, 20 Jahre später steht ein junger Mann vor der Tür, der Ex-Student hat Frau und (eigene) Kinder und seine Spende längst vergessen ...

Gefunden bei New Scientist, via Concurring opinions und Emergent Chaos