datenritter blog

Windows-Lücke nach 17 Jahren gefunden

nospam@example.com (datenritter) — Wed, 20 Jan 2010 17:14:21 +0100

Eine Lücke, mit der normale User an Administrator-Rechte gelangen konnten, existiert seit 17 Jahren. Schreibt heise. Ich sag nichts mehr.

schlimmer als fatal

nospam@example.com (datenritter) — Mon, 18 Jan 2010 06:06:00 +0100

Die Steigerung eines fatalen Fehlers ist:

Catastrophe!

Die Katastrophe! ZOMG!

Ursache war übrigens ein vollgelaufenes Verzeichnis /var, also kein Grund, an Linux oder Apple (zur Zeit verantwortlich für CUPS) herumzunörgeln.

Firefox AddOn FlagFox leakt DNS

nospam@example.com (datenritter) — Mon, 18 Jan 2010 01:10:00 +0100

Ich muss vor dem Firefox-AddOn Flagfox (zur Zeit Version 3.3.20) warnen. Es löst lokale DNS-Anfragen aus, auch wenn ein SOCKS5-Proxy eingestellt ist (und network.proxy.socks_remote_dns = true in about:config gesetzt).

Das heißt: Auch wenn man über einen Anonymisierungsdienst wie Tor surft, wird durch die DNS-Anfragen verraten, welche Seiten man ansteuert!

(Wer deswegen schon recherchiert hat, ist vielleicht auf den Beitrag bei edge.i-hacked.com gestoßen, der von einem Bug in Firefox 3.5 berichtet. Das war aber wohl ein Problem mit dem AddOn FoxyProxy.)

Der Autor von Flagfox schreibt dazu seltsames in seinen FAQ:

Remote DNS is enabled, but Flagfox is still doing lookups.

You must be using only a SOCKS proxy, and no HTTP proxy, for Firefox to correctly tell everything to not do local DNS lookups. (this is not my problem; I follow Firefox's settings via the ProxyInfo object it gives me)

Das klingt für mich irgendwie verdächtig nach einem Missverständnis. Zwar deaktiviert sich Flagfox, wenn man Proxy-Einstellungen ohne HTTP-Proxy, aber mit SOCKS-Proxy verwendet, aber so eine Einstellung bewirkt bei mir, dass keine Seiten geladen werden.

X.509 ist kaputt. Ende.

nospam@example.com (datenritter) — Sat, 16 Jan 2010 07:09:00 +0100

Ich sag nix mehr zu SSL bzw X.509. Es ist einfach schlimm. Fefe fasst es prima zusammen:

(...) die Israelis (...) bieten einen SSL-Zertifikat-Dienst an, der auch den privaten Schlüssel für dich generiert. How convenient! Und sie haben plausible deniability, weil es auch einen Button zum Hochladen seines eigenen CSR gibt. (...)

Das ist noch besser, als ein schnöder Man-in-the-middle-Angriff, den sowieso jede von den gängigen Browsern anerkannte Zertifikatsautorität spielen kann. So hat man nicht nur gültigen Ersatz, sondern gleich das Original. Ich bin mit den Details des TLS-Verbindungsaufbaus nicht so vertraut, vermute aber mal, dass man damit sogar nachträglich noch den halben aufgezeichneten Datenstrom entschlüsseln kann. Wer das Angebot annimmt, ist selbst schuld.

Wer das technische Verständnis hat, kann sich ja auch die Aufzeichnung von Dan Kaminskys Vortrag auf dem 26C3 ansehen. Er beschäftigt sich mit ein paar Problemchen der X.509-PKI. Und da bleibt kein Stein auf dem anderen.

Ironie: Beim Aufruf von https://events.ccc.de/congress/2009/Fahrplan/events/3658.en.html bekomme ich eine Warnung, weil das Zertifikat des Servers eine MD5-Signatur hat. Arrg!

coole Reaktion der pidder-Betreiber

nospam@example.com (datenritter) — Fri, 15 Jan 2010 14:25:00 +0100

Ich bin angenehm überrascht. Die pidder-Macher sind auf meine Kritik eingegangen, und das mit geradezu historischer Offenheit und, hey, sogar humorvoll. Zu lesen unter https://www.pidder.com/blog/2010/01/eine-stellungnahme/

Ein paar Zitate und Anmerkungen...
"coole Reaktion der pidder-Betreiber" vollständig lesen

Zweifel an pidder

nospam@example.com (datenritter) — Sat, 09 Jan 2010 23:59:00 +0100

pidder ist ein neuer Datenaustausch- und Single-Sign-On-Service, der sich als Gewinn für die Sicherheit anpreist. Es kommt sicher nicht überraschend, dass ich das etwas anders sehe...
"Zweifel an pidder" vollständig lesen

PS/2-Keyboards über Masseleitung abhörbar (alt)

nospam@example.com (datenritter) — Sat, 09 Jan 2010 23:10:34 +0100

Leider völlig an mir vorbeigegangen und deshalb nur der Vollständigkeit halber erwähnt ist diese Meldung vom Juli 2009:

Eingaben auf PS/2-Keyboards können offenbar über Steckdosen ausspioniert werden. Auf der Black Hat-Sicherheitskonferenz haben zwei italienische Sicherheitsexperten nun einen PS/2 Protocol Keyboard Sniffer vorgestellt, wie heise berichtet. Demnach kann anhand der Masseleitung im Stromnetz nachvollzogen werden, welche Tasten angeschlagen wurden.

Autsch.

tagesschau: nicht repräsentativ aber aussagekräftig

nospam@example.com (datenritter) — Sat, 02 Jan 2010 17:02:00 +0100

Die "Zuschauerpost"-Abteilung der tagesschau hat auf ~~meinen Leserbrief~~ ~~meinen Rant~~ meine Anfrage (siehe massenhafte Teilnahme) geantwortet. Zitat:

Zwangsläufig kann eine offene Online-Umfrage nicht repräsentativ sein (daher der entsprechende Hinweis). Dennoch ist es das Ziel dieses Angebots, ein aussagekräftiges Stimmungsbild widerzuspiegeln.

Mir erschließt sich die Logik irgendwie nicht.

[Obwohl Mehrheiten etwas mit Mobilisierung und Interesse zu tun haben] zeigt die Erfahrung der Vergangenheit, dass in Einzelfällen der massive Einsatz einzelner Interessengruppen Ergebnisse unserer Online-Abstimmungen massiv verzerrt hat. Dies zeigt sich beispielsweise dann, wenn über Nacht (auch bei einer vorher bereits relativ hohen Nutzerbeteiligung von z.B. 8000 Abstimmungsteilnehmern) das Ergebnis von 70:30 in kurzer Zeit etwa auf 35:65 dreht.

Ich fasse also zusammen: Die Umfrage ist nicht repräsentativ, aber aussagekräftig. Mobilisierung und Interesse sind aber verzerrend.

Klingt ein wenig willkürlich, oder?

massenhafte Teilnahme

nospam@example.com (datenritter) — Thu, 31 Dec 2009 14:35:00 +0100

Die tagesschau beklagt sich auf ihren Webseiten über "manipulierte" Online-Umfragen:

Liebe User,

wir freuen uns über Ihre rege Beteiligung an unseren Umfragen!

Weniger erfreut nehmen wir zur Kenntnis, dass viele unserer Umfragen von Interessengruppen zum Anlass genommen wurden und werden, ihre jeweiligen Mitglieder zur massenhaften Teilnahme aufzurufen.

Wenn Ihnen derlei bekannt wird, schicken Sie uns doch einfach eine E-Mail an redaktion[ätt]tagesschau.de. Das hilft uns dabei, unsere Umfrageergebnisse besser einzuordnen.

Herzlichst
tagesschau.de

Als ich auf den Text (der, wie ich gerade sehe, schon von 2007 ist) hingewiesen wurde, entglitten mir spontan die Finger:

Sehr geehrte Damen und Herren, liebe User,

bezugnehmend auf diesen Beitrag http://www.tagesschau.de/meldung212042.html In eigener Sache möchte ich gerne die Frage an Sie richten, in wiefern ein Aufruf zur "massenhaften Teilnahme" an einer Internetumfrage das Ergebnis wirklich verfälschen könnte.

Welchen Zweck hat eine schon von Ihnen selbst als "nicht repräsentativ" gekennzeichnete Internetumfrage überhaupt, und wie könnte man diesem schaden? Macht eine große Zahl an Teilnehmern das Ergebnis nicht belastbarer?

Das vermeintliche Problem besteht doch nur dann, wenn nur die Interessensgruppen, die einer Abstimmungsoption mehr zugetan sind, aufrufen, die der anderen aber nicht.

Aber denen, die nicht teilgenommen haben kann man ja problemlos mangelndes Interesse vorwerfen.

Und ist es nicht immer so, dass der, der am lautesten schreit, am meisten wahrgenommen wird? Wenn ich den Fernseher einschalte, habe ich zumindest den Eindruck.

Und gerade flüstert mir jemand zu: "Es scheint eine feste Regel zu sein: Institute dürfen manipulative Fragen stellen, aber manipulierte Antworten sind in der Branche verpönt."

(MfG usw)

Mal ehrlich, was bilden die sich ein? Dass ihre nicht repräsentativen, kostenlosen Umfragen mehr als nur Unterhaltungswert haben?

die neue Schlichtheit

nospam@example.com (datenritter) — Sat, 26 Dec 2009 16:52:00 +0100

Letztes Jahr noch war das geekoide Weihnachtskartenbasteln mit LEDs angesagt. Dieses Jahr nun ist das Lichtbaumfest eher bescheiden. Der Baum mit seiner Doppelspitze sei so schön, dass ein paar Lichter genügen, so wurde es beschlossen und umgesetzt. Sattes Grün statt seelenlos bedampfter Glaskugeln, jawohl:

Bei der Entstehung dieses Fotos wurden keinerlei Photonen gequält.

Richtig, das Foto entstand ohne Blitzlicht, wie es sich gehört.

Andere feiern übrigens "Newtonmas", schmücken einen Apfelbaum und singen Oh Gravity:

Gravity, gravity,
Keeps us on the ground.
An apple fell on Newton's head,
What goes up comes down.

(Zur Melodie von "Jingle Bells".)