Der Kryptograph Matt Blaze hat mit seinen Mitarbeitern öffentlich erhältliche Informationen zu Telefonüberwachungsgeräten auf Schwachstellen untersucht. Dabei fand er heraus, dass es für eine abgehörte Person möglich ist, die Überwachung auszuschalten, in dem sie eben die Schwachstellen ausnutzt. Eine Möglichkeite wäre, einen Ton mit niedriger Amplitude kontinuierlich einzublenden. Dies wird von vielen Geräten als ein bestimmtes Signal misinterpretiert und führt zum Abbruch der Aufzeichnung. Leider betrifft das nicht alle Systeme. Jedoch haben die Forscher dies auch bei neueren Systemen probiert, die angeblich damit umgehen können. Auch da trat der oben beschriebene Effekt auf.
Die genaue Beschreibung findet sich auf wiretap.pdf. Des weiteren schireb auch die NYTimes einen Artikel zum Thema.
... kaum einer einen erhält. Wie das Hamburger Abendblatt schreibt, wurden zuerst 80% der Anträge abgelehnt (siehe auch Problemzone Gesicht). Dies geschah wohl, weil die Fotos nicht den Standards der ICAO entsprachen. Die neuen Passinhaber wird es sicher freuen, permanent im Fotostudio zu sitzen. Wenn diese dann auch noch auf dem Bild lächeln, sich schminken oder Haare im Gesicht hängen haben, dann werden sie bei den Grenzkontrollen sicher “individuelle Behandlung” erfahren. Noch besser habens da die Österreicher. Sie erhalten ab dem nächsten Jahr den ePass. Wenn sie die Hürden mit den Fotos überstanden haben, könnte es trotzdem sein, dass sie nie einen ePass erhalten. Weil dieser vielleicht auf dem Postweg verloren ging.
Gute Informationen zum neuen Reisepass finden sich auch in der Ausgabe 87 der Datenschleuder.
via Netzpolitik
In den letzten Einträgen hatte ich schon einige Worte zum Keysigning verloren. Nunmehr habe ich mich entschlossen, beim 22C3 wieder ein Keysigning zu organisieren. Um dabei keine Missverständnisse aufkommen zu lassen: Dies ist keine offizielle Kongressveranstaltung. Sie wird also nicht im Fahrplan zu finden sein. Vielmehr kann man es als mein “Privatvergnügen” betrachten und es ist derzeit auch noch offen, ob überhaupt ein Raum zur Verfügung steht. Wenn ihr also teilnehmen wollt, könnte es sein, dass ihr wieder dicke Handschuhe und Jacken braucht.
Im Wiki gibt es eine Seite mit Erklärungen zur KSP und Terminen. Ort und Zeit werden zu gegebener Zeit (spätestens in der Kongresswoche).
Wenn du teilnehmen willst, schicke ein E-Mail mit dem Fingerprint deines Schlüssels an die Adresse jens@kubieziel.de. Die Ausgabe des Fingerprints gibt dir GnuPG mittels gpg --fingerprint $KEYID
(bei meinem Schlüssel ist das: gpg --fingerprint 0xEE0977E8
) und sieht folgendermaßen aus:
pub 1024D/EE0977E8 2002-08-23
Schl.-Fingerabdruck = AA13 F67A 4847 D5EB 12A8 7017 566D 362C EE09 77E8
uid Jens Kubieziel
uid Jens Kubieziel
uid Jens Kubieziel
sub 2048g/49D77ABE 2002-08-23
Ist dein Schlüssel bei mir angekommen, nehme ich diesen mit in die Liste der Teilnehmer auf. Schaue also ein paar Tage nach deiner Einsendung nach, ob er dort mit gelistet ist. Wie es dann weitergeht, kannst du den obigen Hinweisen entnehmen.
Zuletzt schienen einige Leute das Prinzip des Web of Trust nicht verinnerlicht zu haben. Solltest auch du nicht so recht wissen, was das ist, worauf es ankommt und was man so beachten soll, versuche dich im Vorfeld zu informieren. Ich werde versuchen, hier und/oder im 22C3-Wiki einige Worte zum Thema zu schreiben, im Handbuch von GnuPG kannst du auch etwas nachlesen und schliesslich wird auch Seth Hardy einen Vortrag zu dem Thema halten.
Die EFF hat eine Liste mit Konsequenzen aus der EULA zusammengestellt. Kurz zusammengefasst:
- Wenn in dein Haus eingebrochen wird, musst du alle Musikstücke löschen. Denn nach der EULA endet, dein Recht auf Zweitkopien, wenn du das Original nicht mehr besitzt.
- Auf deinem Arbeitsrechner darfst du keine Kopien aufbewahren, denn diese dürfen sich nur auf einem Home-PC befinden, der dir gehört.
- Wenn du in ein anderes Land ziehst, musst du alle Kopien löschen. Die EULA verbietet den Export ins Ausland.
- Du musst jegliche Updates oder Patches installieren. Die EULA verfällt sofort, wenn du es nicht tust.
- Sony kann nach Belieben Backdoors auf deinem Rechner installieren und diese nutzen. Natürlich haften sie nicht für Systemabstürze, dadurch entstehende Schwachstellen oder andere Schäden
- Für Schäden ist Sony nur bis zur Höhe des Kaufpreises der CD haftbar.
- Wenn du Insolvenz anmeldest, musst du alle Kopien löschen.
- Du hast kein Recht, die Musik auf deinen Rechner zu übertragen. Auch nicht mit der Original-CD
- Die Musikstücke dürfen nicht verändert werden.
Das Rootkit
von Sony hat in den letzten Tagen für einige Aufregung
gesorgt. Und mit zunehmender Zeit werden die Nachrichten hierzu auch
immer krasser:
- Die Geschichte begann gegen Ende Oktober. Da fanden die Experten
von Systinernals
das
Rootkit. F-Secure bestätigte
dies. Seit ungefähr März 2005 wurden die CDs mit der Software
ausgestattet. Wenn diese CDs in die Schublade gelegt werden, sieht
man zunächst die übliche Lizenzklausel (dazu später mehr). Nachdem
die bestätigt ist, wird eine Abspielsoftware installiert. Zumindest
sieht das nach außen so aus, innen steckt das Rootkit. Was alles
am System verändert, sieht man in
der Beschreibung
von F-Secure. Wer
allerdings grundlegende
Sicherheitshinweise berücksichtigt, scheint auch hier erstmal
geschützt.
- Kurze Zeit vor dem Bekanntwerden des Rootkits sorgte schon die
Spyware bei WoW
für Beunruhigung. Ein paar Hacker kamen dann gleich auf die Idee,
die Fähigkeiten
des Sony-Rootkits zu nutzen und bauten Werkzeuge, die dadurch
nicht mehr zu entdecken sind.
- Sony scheint langsam auf die Meldungen zu reagieren und bietet
einen Deinstaller
an. Fragwürdig ist hier für mich, warum man
sich dafür
registrieren muss.
- Unter bestimmten Umständen bringt das Rootkit den kompletten
Computer zu Absturz.
- Weitere Nachforschungen bringen zu Tage, dass das Rootkit auch
noch heimlich
Daten an Sony sendet. So werden IP-Adresse, Uhrzeit und Album
verschickt. So können prima Nutzerprofile erstellt werden.
- Janko
Röttgers meldet, dass die Software zufällig Lärm in Aufnahmen
einfügt, wenn man versucht MP3s zu machen. Dies passiert dann nicht
nur bei Sony-CDs, sondern bei allen
CDs. (via Medienrauschen)
- Kaspersky entdeckt den ersten Trojaner, der das Rootkit
“nutzt”. Die Backdoor mit dem Namen “Backdoor.Win32.Breplibot.b”
wird per E-Mail verschickt und kopiert sich
als $SYS$DRV.EXE in das Windows-Systemverzeichnis. Falls
das Rootkit auf dem Rechner ist, bleibt die Backdoor somit
unerkannt. (via Futurezone).
- Außerdem enthält das Rootkit eine statisch gelinkte Version der
liblame. Damit macht sich Sony einer Verletzung der LGPL
schuldig. Copyright scheint Sony also im Grunde genommen egal zu
sein. (via Harald Welte)
Nach diesem PR-Desaster sollte man eigentlich annehmen, dass sich
Sony reumütig den Kunden zuwendet und Besserung verspricht. Aber das
Gegenteil ist der Fall. Laut
der Tagesschau
will Sony ihr Produkt nun auch nach Europa bringen. Man sieht also,
Sony achtet wirklich ihre Kundschaft.
Glücklicherweise gibt es in den USA
die EFF. Sie strengen
derzeit ein
Gerichtsverfahren gegen Sony an. Wenn du also einen
Windowsrechner,
die entsprechenden
CDs besitzt und in NY oder Kalifornien wohnst, solltest du dich
an die Organisation wenden.
Das ironische Ende dieser Geschichte ist aus meiner Sicht, dass
gerade diejenigen, die die Musikkonzerne so gern bekämpfen, die
Gewinner sind. Wer sich nämlich die Lieder über eine Tauschbörse
heruntergeladen hat, dem blieb all dieser Ärger erspart und der kann
sich jetzt freuen. Erfolgreicher kann man seine Kunden doch gar
nicht mehr zu Tauschbörsen treiben, oder?
Stellt euch vor, ihr seid das Produkt einer künstlichen Befruchtung und wollt
wissen, wer euer wirklicher Vater ist. Wie stellt ihr das an?
Ein 15jähriger hatte eine recht einfache Idee. Er sammelte eine DNA-Probe von
sich (Die Fans von CSI wissen, dass man dazu nur ein Wattestäbchen an der
Innenseite der Wange zu reiben muss.). Diese Probe schickte er zusammen mit
knapp 300 Dollar an eine DNA-Datenbank. Später wurde er dann von
zwei Männer kontaktiert. Diese trugen ähnliche Familiennamen und es bestand eine
Chance, dass alle miteinander verwandt waren. Nachdem er nun Familiennamen
(zumindest ungefähr) kannte und auch noch Geburtsort und -datum erfuhr, war der
Rest ganz einfach. Bei Omnitrace suchte
er die an dem Ort und der Zeit Geborenen und schon wurde er fündig.
Das Ganze passierte, obwohl sein biologischer Vater nie irgendwo DNA-Proben
abgegeben hat (außer halt bei seinem Sohn ) und zeigt die Gefährlichkeit der
Zusammenführung von Daten. Leute, die eigentlich irgendwo anonym eine
Samenspende abgegeben haben, können recht leicht aufgespürt werden. Aus meiner
Sicht machen das viele Studenten, um sich ein paar Euro hinzuzuverdienen. Nun
stelle man sich mal vor, 20 Jahre später steht ein junger Mann vor der Tür, der
Ex-Student hat Frau und (eigene) Kinder und seine Spende längst
vergessen ...
Gefunden bei New Scientist, via Concurring opinions und Emergent Chaos