In meiner Inbox fand ich heute dieses nette Stück Spam:

<html>                                                                                                             
<head><title>401 Authorization Required</title></head>                                                             
<body bgcolor=“white”>                                                                                             
<center><h1>401 Authorization Required</h1></center>                                                               
<hr><center>nginx/1.2.1</center>                                                                                   
</body>                                                                                                            
</html>
 

Wenn man das HTML interpretiert, kommt dann sowas raus:

Ich verstehe nicht, warum man sowas als Spam in die Welt hinaus schickt. Die Nachricht wurde von einer IP-Adresse aus Südafrika eingeliefert. Neben der From:-Adresse hat der Spammer keine weiteren Header-Zeilen übermittelt. Vielleicht wollte derjenige einfach, dass ich das blogge.

Kürzlich bekam ich eine E-Mail, die mit dem Satz »auf Ihrer Seite kubieziel.de habe ich gelesen, dass Sie über Fußball berichten« begann. Wer meine Seite kennt, wird wissen, dass es hier kaum um Fußball geht. Aber das soll sich ändern.

Das Bild stammt von der WM 2014 in Brasilien. Das Symbolfoto sollte wohl nur den Herrn im Lagezentrum zeigen. Stattdessen erblickt das aufmerksame Auge am rechten Rand die Zugangsdaten für das WLAN. Viel Spaß beim Surfen!

Geek and Poke beschreibt sehr schön, wie sich ein Security-Geek in einem Restaurant beschweren kann:

Da die Rezension etwas länger wurde, gibt es in der Artikelübersicht eine Zusammenfassung und in der erweiterten Ansicht alle Details.

Ich wurde kürzlich auf das Buch „Web-Sicherheit – Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen“ von Sebastian Kübeck aufmerksam. Das Thema Web-Sicherheit spielt im Rahmen meiner Vorlesung zu IT-Sicherheit eine Rolle und daher war ich sehr daran interessiert, das Buch kennen zu lernen.

Der Aufbau des Buches gefiel mir sehr gut. Der Leser kann sich zuerst theoretisches Wissen erarbeiten, steigt dann in praktische Aspekte ein und lernt schließlich, wie er die Probleme umgeht.

Beim Lesen fiel mir dann auf, dass einige Teile meinen Erwartungen nicht gerecht werden. So wäre es bei einem Buch über Webanwendungen wünschenswert, dass es zumindest stichpunktartig auf die Techniken des Internet und des Web eingeht. Dieser Teil fehlt hier fast vollständig. Auch werden relevante Aspekte wie beispielsweise SSL zu kurz behandelt. Demgegenüber halte ich die Erwähnung des BTX-Hacks und anderer im Rahmen des Buches vernachlässigenswert.

Im ersten und zweiten Teil des Buches findet sich ein ausführliches Literaturverzeichnis. Das sollte dem Leser helfen, tiefer in die Thematik einzusteigen. Es wäre besser, dass die Zitierschlüssel geändert werden und mehr auf Fachliteratur statt auf Zeitschriftenartikel verwiesen wird.

Ich kann mich schlecht mit Java als Sprache für das Buch anfreunden. Aus verschiedenen Aspekten halte ich diese für weniger gut geeignet und Sprachen wie PHP, Python oder Ruby wären für mich eine bessere Wahl gewesen.

Im Buch selbst ist nach meiner Meinung zu viel Quellcode zu finden. Mindestens ein Fünftel besteht aus abgedrucktem Quellcode. Dabei ist zu viel Irrelevantes mit gedruckt. Für die Beispiele im Buch reichen oft wenige Zeilen. Code über viele Seiten finde ich zu unübersichtlich. Insbesondere auf Grund der Tatsache, dass sich der Autor auch die Arbeit gemacht hat und eine Demoanwendung mitliefert. Hier wäre es empfehlenswert, einfach die zur Erklärung des Beispiels relevanten Zeilen zu drucken und dann auf die betreffende Datei in der Demoanwendung zu verweisen.

Insgesamt bietet das Buch Licht und Schatten. Es hat viele gute Ansätze, die aber noch ausgearbeitet werden sollten. Wenn der Autor dies in einer nächsten Auflage schafft, so ist das Buch dann zu empfehlen. Derzeit bin ich unsicher, ob das Buch dem Publikum wirklich den erhofften Mehrwert bringt.

Continue reading "Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck"

In Deutschland dreht sich derzeit die Diskussion um den Bundestrojaner, der vom CCC gefunden wurde. Derweil spielt sich in den USA ein anderes Drama ab.

Jacob Appelbaum kann man nur als vielseitigen Zeitgenossen bezeichnen. Er arbeitet beim Tor-Projekt als Entwickler, hat in der Vergangenheit einige spektakuläre Ergebnisse im Bereich der IT-Sicherheit gefunden, engagiert sich bei WikiLeaks, half Hurrikanopfern usw. Die Liste lässt sich beliebig erweitern. Doch eines seiner Hobbys brachte ihm Probleme ein. Auf der Konferenz The Next HOPE hielt er im Juli 2010 einen Vortrag zu WikiLeaks (siehe unten). Seitdem wird Jacob bei jedem Grenzübertritt aus den USA oder in die USA kontrolliert. Das heißt, er wird zum Teil stundenlang festgehalten und befragt. Ihm wurden Geräte weggenommen und anderes mehr. Jetzt werdet ihr euch fragen, auf welcher Basis dies passierte. Dies ist bis heute unklar! Es gibt keine Anklage. 

Nachdem das Justizministerium Informationen von Twitter über Jacob Appelbaum und andere Aktivisten wollte, geht die US Regierung noch einen Schritt weiter. Sie forderte von Google und von dem Provider Sonic alle E-Mail-Adressen mit denen Appelbaum in den letzten zwei Jahren kommunizierte. Ein Artikel im Wall Street Journal hat weitere Details zu der Sache.

Welchen Erkenntnisgewinn soll eine solche Sache bringen? Wenn man die diversen Schritte der Behörden verfolgt, drängt sich der Verdacht auf, dass es nur um Schikane geht. Jacob kann man wohl nichts Böses nachweisen und so scheinen die Behörden einfach ein Exempel zur Abschreckung aufzubauen. Ich kann nur hoffen, dass die Vorgang ein Ende hat und Jacob sich wieder seinen Interessen widmen kann.  

Continue reading "Behördenwillkür bei Jacob Appelbaum"

Update: Die Veranstaltung wurde leider abgesagt.

Die Frage Freiheit oder Sicherheit? wird in der politischen Debatte um Bürgerrechte immer wieder postuliert. Die Evangelische Akademie Thüringen nimmt sich im Rahmen eines Seminars diesem Thema an. Das Seminar Web 2.0 – Stasi 2.0 trägt den Untertitel Perspektiven freiheitlicher Demokratie in der digitalisierten Medienwelt und geht insgesamt über drei Tage.

Am 24.September 2010 finden Vortrag und Diskussion zu Freiheit oder Sicherheit? Nutzen und Gefahren der Vorratsspeicherung von Kommunikationsdaten. mit Dr. Christoph Bergner und Rena Tangens statt. Am folgenden Samstag startet der Tag mit einer Diskussion. Tankred Schipanski, Dr. Jan Schönfelder und Christopher Ramm bearbeiten dabei das eingangs genannte Thema. Am Nachmittag stehen dann Workshops auf dem Plan. Frank Reuschel von der Internetermittlung des LKA Thüringen wird einen Einblick in seine Arbeit geben. Friedrich Doehring erzählt, welche Spuren im Netz er auswertet, um gutes Personal zu finden und ich werde darlegen, wie man seine Spuren möglichst gut versteckt.Der Tag klingt dann mit einem Vortrag des ehemaligen Ministerpräsidenten des Landes Sachsen-Anhalt, Dr. Reinhard Höppner aus.Am Sonntag morgen wird die Frage gestellt, wie sich politische Ziele umsetzen lassen. Auf dem Podium treffen sich Vertreter von SPD, Grünen, Piratenpartei sowie der Aktion Zivilcourage Pirna e.V.

Ich glaube, dass das ein sehr interessante Veranstaltung wird und würde mich über rege Teilnahme freuen. Die Anmeldung erfolgt über die Seiten der EAT.

Gerade eben erhielt ich eine E-Mail, die eine Zeitreise hinter sich hatte. Laut der Received-Zeilen kam sie 16 Sekunden vor dem Absenden an.

Received: from mailgate.example.com (mailgate.example.com [137.81.163.19])
	by speedo.dreamhostps.com (Postfix) with ESMTP id DB3643E580B9
	for <**HIDDEN**@spam.la>; Tue,  6 Jul 2010 09:09:59 -0700 (PDT)
Received: from sclamo (p2A5B7AB9.dip.t-dialin.net [42.91.122.185])
	(authenticated bits=0)
	by mailgate.example.com (8.14.3/8.14.1) with ESMTP id o66G9xbZ006662
	for <**HIDDEN**@spam.la>; Tue, 6 Jul 2010 18:10:04 +0200
Received: by sclamo (Postfix, from userid 1271)
	id 1A5DBC185; Tue,  6 Jul 2010 18:10:15 +0200 (CEST)