Aufgrund der schon etwas älteren Einträge zu Mailman-ssls hier und hier wurde ich gefragt, wie der aktuelle Stand des Projekts sei.
Wer auf dem Laufenden bleiben will, sollte sich diese Mailingliste abonnieren: https://ulm.ccc.de/cgi-bin/mailman/listinfo/ssls-dev — da tut sich noch was.
Dienstag, 24. Februar 2015
Mailingliste zu Mailman-ssls
Dienstag, 13. Januar 2015
viele Funk-Tastaturen abhörbar
Laut diesem Blogeintrag lassen sich nahezu alle schnurlosen Tastaturen von Microsoft abhören, weil die Verschlüsselung des proprietären Protokolls geknackt werden kann. Und das ganze mit einem Arduino für 10$.
Und es ist keineswegs sicher, dass das nur die Tastaturen von Microsoft betrifft:
Wie lange das schon bekannt ist, habe ich nicht recherchiert. Grundlage des Beitrags ist eine Bastelei des Hackers Samy Kamkar. Der hat einen Keylogger in das Gehäuse eines Steckernetzteils mit USB-Ladebuchse eingebaut. Noch ein Funk-Modul dazu, und die aufgezeichneten Daten können aus der Ferne abgerufen werden.
Aber es kommt noch besser: Dank eines eingebauten Akkus läuft das Gerät weiter, wenn man es aus der Steckdose zieht.
Hier noch Kamkar's Video zum Projekt:
KeySweeper - covert Microsoft wireless keyboard sniffer using Arduino and nRF24L01+
Das ist pfiffig. Und ein absoluter Security-Alptraum.
Und es ist keineswegs sicher, dass das nur die Tastaturen von Microsoft betrifft:
Kamkar said he picked Microsoft’s keyboards after going into Best Buy and seeing which models seemed to be the most prevalent.
Wie lange das schon bekannt ist, habe ich nicht recherchiert. Grundlage des Beitrags ist eine Bastelei des Hackers Samy Kamkar. Der hat einen Keylogger in das Gehäuse eines Steckernetzteils mit USB-Ladebuchse eingebaut. Noch ein Funk-Modul dazu, und die aufgezeichneten Daten können aus der Ferne abgerufen werden.
Aber es kommt noch besser: Dank eines eingebauten Akkus läuft das Gerät weiter, wenn man es aus der Steckdose zieht.
Hier noch Kamkar's Video zum Projekt:
KeySweeper - covert Microsoft wireless keyboard sniffer using Arduino and nRF24L01+
Das ist pfiffig. Und ein absoluter Security-Alptraum.
Donnerstag, 17. April 2014
"Vielen Dank für Ihren Textbaustein" - Hohlladungen gegen Support-Bollwerke
Es ist wohl eine Besonderheit unserer Zeit, dass man inzwischen erstaunt ist, wenn man mit Support-Anfragen etwas erreicht, anstatt mit ewig gleichen Standardmails abgewimmelt zu werden. Dass letzteres die Regel ist, könnte man zumindest vermuten, wenn man zum Beispiel "Vorsicht Kunde" in der c't liest.
Ein Freund von mir erzählte mir einmal, dass er am Telefon dem Kundenservice eines Unternehmens relativ schnell klarzumachen versucht, dass er vom Fach ist und sein Anliegen ohnehin nicht von demjenigen, der seinen Anruf zuerst entgegennimmt, bearbeitet werden kann. Scherzhaft formulierte er:
Wir haben uns köstlich amüsiert, aber mit einer solchen Plattitüde erreicht man natürlich nichts. Die Mitarbeiter im First-Level-Support größerer Unternehmen hören und lesen täglich irgendwelche mehr oder weniger sinnvollen Phrasen — und sicher auch eine Menge Drohungen.
Dennoch habe ich die Erfahrung gemacht, dass ein klar umschriebenes Problem, eventuell sogar mit Diagnosedaten angereichert, den Support spätestens im zweiten Anlauf anscheinend so verwirren kann, dass das Anliegen an einen qualifizierteren Mitarbeiter weitergegeben wird. Oder dass man sich doch einen Moment mehr Zeit nimmt, statt nur Textbausteine zu kombinieren.
In der Vergangenheit ist mir das bei vier Unternehmen gelungen: Home of Hardware, DHL, dem Hermes-Versand und Garmin... ""Vielen Dank für Ihren ... »
Ein Freund von mir erzählte mir einmal, dass er am Telefon dem Kundenservice eines Unternehmens relativ schnell klarzumachen versucht, dass er vom Fach ist und sein Anliegen ohnehin nicht von demjenigen, der seinen Anruf zuerst entgegennimmt, bearbeitet werden kann. Scherzhaft formulierte er:
Guten Tag, ich möchte gerne gleich mit jemandem sprechen, der sich auskennt.
Wir haben uns köstlich amüsiert, aber mit einer solchen Plattitüde erreicht man natürlich nichts. Die Mitarbeiter im First-Level-Support größerer Unternehmen hören und lesen täglich irgendwelche mehr oder weniger sinnvollen Phrasen — und sicher auch eine Menge Drohungen.
Dennoch habe ich die Erfahrung gemacht, dass ein klar umschriebenes Problem, eventuell sogar mit Diagnosedaten angereichert, den Support spätestens im zweiten Anlauf anscheinend so verwirren kann, dass das Anliegen an einen qualifizierteren Mitarbeiter weitergegeben wird. Oder dass man sich doch einen Moment mehr Zeit nimmt, statt nur Textbausteine zu kombinieren.
In der Vergangenheit ist mir das bei vier Unternehmen gelungen: Home of Hardware, DHL, dem Hermes-Versand und Garmin... ""Vielen Dank für Ihren ... »
Samstag, 27. Juli 2013
HowTo: Daten vom zerflashten Android-Smartphone retten
Wie ich schrieb, habe ich mein Smartphone zerschossen, als ich gerade meine Daten sichern wollte. So richtig. So, dass Daten und Einstellungen verloren schienen. PANIK!
In solchen Momenten hilft es, Ruhe zu bewahren. Die Daten sind nicht weg, man kommt nur nicht ran. Also tut man erst mal nichts, bis man weiß, was zu tun ist. Bei android-hilfe.de habe ich sogar jemanden gefunden, der sein Smartphone deswegen seit einem Jahr im Schrank liegen hat.
Das Problem ist, dass man nicht einfach jede beliebige Firmware neu flashen kann. Der Bootloader des Telefons nimmt nur signierte Dateien mit der Original-Firmware (Stock-Firmware) des Herstellers an. Diese würde einen vielleicht schon an die Daten lassen, zumindest aber die Installation eines Rettungssystems (Recovery) erlauben, startet jedoch nicht, wenn man nicht, wie in den einschlägigen Smartphone-Foren in vielen redundanten Threads und "How-Tos" mit großen bunten Buchstaben nachzulesen, einen "Factory-Reset" oder "Wipe" vornimmt. Was bedeutet, die persönlichen Daten vom internen Speicher zu tilgen.
Ohne ein Rettungssystem saß man bislang in der Zwickmühle. Bislang. "HowTo: Daten vom zerflashten ... »
In solchen Momenten hilft es, Ruhe zu bewahren. Die Daten sind nicht weg, man kommt nur nicht ran. Also tut man erst mal nichts, bis man weiß, was zu tun ist. Bei android-hilfe.de habe ich sogar jemanden gefunden, der sein Smartphone deswegen seit einem Jahr im Schrank liegen hat.
Das Problem ist, dass man nicht einfach jede beliebige Firmware neu flashen kann. Der Bootloader des Telefons nimmt nur signierte Dateien mit der Original-Firmware (Stock-Firmware) des Herstellers an. Diese würde einen vielleicht schon an die Daten lassen, zumindest aber die Installation eines Rettungssystems (Recovery) erlauben, startet jedoch nicht, wenn man nicht, wie in den einschlägigen Smartphone-Foren in vielen redundanten Threads und "How-Tos" mit großen bunten Buchstaben nachzulesen, einen "Factory-Reset" oder "Wipe" vornimmt. Was bedeutet, die persönlichen Daten vom internen Speicher zu tilgen.
Ein Wipe. Bislang unausweichlich, wenn man sein Android zerflasht hatte.
Ohne ein Rettungssystem saß man bislang in der Zwickmühle. Bislang. "HowTo: Daten vom zerflashten ... »
Geschrieben von datenritter
in Howtos
um
19:25
| Noch keine Kommentare
| Keine Trackbacks
Tags für diesen Artikel: android, datenrettung
Backups! 13: Wegen Backup-Software Android abgeschossen
Vor ein paar Tagen wollte ich endlich auch für mein Smartphone eine vernünftige Backup-Prozedur einrichten. Also habe ich ein paar Euro für eine Pro-Version von TitaniumBackup (siehe auch hier) ausgegeben. Die Anwendung sollte vollständige Backups erstellen und diese automatisch auf ein Netzlaufwerk schieben. Ein automatisierter Vorgang ist bequem und könnte vielleicht auch mal bei einem defekten Bildschirm helfen.
TitaniumBackup streikte. Ich ignorierte die Warnungen, dies bei meinem Cynogenmod auf keinen Fall zu versuchen, und probierte ein BusyBox-Update — ein wirklich dummer Fehler. Damit habe ich das BusyBox-Binary durch ein ungeeignetes ersetzt und damit mein Android und das Recovery-System 2ndInit gleich mit zerschossen. An die Daten, die nicht auf der SD-Karte, sondern im internen Speicher abgelegt sind, wie SMS und Kontakte, heranzukommen, erschien zunächst aussichtslos. Ich habe dann aber doch eine Lösung gefunden.
Ein automatisches Backup einzurichten sollte eine der ersten Aufgaben an einem System sein, nicht eine der letzten. Und Smartphones sind schnell weg oder kaputt.
TitaniumBackup streikte. Ich ignorierte die Warnungen, dies bei meinem Cynogenmod auf keinen Fall zu versuchen, und probierte ein BusyBox-Update — ein wirklich dummer Fehler. Damit habe ich das BusyBox-Binary durch ein ungeeignetes ersetzt und damit mein Android und das Recovery-System 2ndInit gleich mit zerschossen. An die Daten, die nicht auf der SD-Karte, sondern im internen Speicher abgelegt sind, wie SMS und Kontakte, heranzukommen, erschien zunächst aussichtslos. Ich habe dann aber doch eine Lösung gefunden.
Ein automatisches Backup einzurichten sollte eine der ersten Aufgaben an einem System sein, nicht eine der letzten. Und Smartphones sind schnell weg oder kaputt.
der richtige Kernel für die TeVii S471 DVB-S2-Karte
Ich habe seit einiger Zeit eine DVB-S2-Tuner-Karte TeVii S471. Angeblich sind die TeVii-Karten energiesparend, weil sie die LNB-Speisespannung abschalten, wenn sie nicht benötigt wird. Das scheint zu stimmen, denn die Karte ist fühlbar kühler als andere TV-Karten, die ich bisher hatte. Im Hinblick auf die thermischen Verhältnisse in meinem wassergekühlten und somit von nur wenig Luft durchströmten PC eine gute Sache. Außerdem funktioniert sie ohne proprietäre Treiber. Man benötigt lediglich ein Firmware-File dvb-fe-ds3000.fw, das in
Die S471 ist relativ neu und läuft unter Debian Linux mit Kerneln ab 3.5. Ein wheezy-Kernel reicht also nicht! Der aktuelle backports-Kernel ist eine 3.9er-Version, welche wegen einer Regression ebenfalls nicht funktioniert.
Mit einem selbstgebauten Kernel 3.8.8 funktioniert es einwandfrei. Natürlich müssen die Module für den Conexant cx23885 und den DS3000 kompiliert werden.
/lib/firmware abgelegt wird. Ich habe auf meinem System außerdem noch alle anderen Firmware-Files (und nur die — nicht die Treiber) aus dem liplianin-Treiberpaket installiert. Nur für den Fall.Die S471 ist relativ neu und läuft unter Debian Linux mit Kerneln ab 3.5. Ein wheezy-Kernel reicht also nicht! Der aktuelle backports-Kernel ist eine 3.9er-Version, welche wegen einer Regression ebenfalls nicht funktioniert.
Mit einem selbstgebauten Kernel 3.8.8 funktioniert es einwandfrei. Natürlich müssen die Module für den Conexant cx23885 und den DS3000 kompiliert werden.
Sonntag, 22. Juli 2012
Pixray, die freundliche Urheberrechtsverletzungssuchmaschine
Pixray, das ist ein Dienst, der im Netz nach bösen Urheberrechtsverletzungen sucht. Sicher wollen die damit ist damit nicht beabsichtigt, das Abmahnwesen zu fördern, kleine Leute wegen Belanglosigkeiten auszunehmen oder gar Jurastudenten vorzutäuschen, sie hätten trotz anhaltend viel zu hoher Absolventenzahlen ernsthaft gute Einkommensaussichten. Die Macher von Pixray wollen bestimmt nur durch ein Stück Hochtechnologie die Welt verbessern, in der wir leben.
Leider haben dieseNervensägen guten Menschen dabei nicht bedacht, dass das massenhafte Herunterladen von Bildern einer Website viel Traffic und damit möglicherweise Kosten verursacht und irgendwann dumm auffallen könnte. Auch ist es unwahrscheinlich, dass CAPTCHAs aus urheberrechtlich geschütztem Material anderer Leute bestehen. Mir schleierhaft, wieso Pixray sie trotzdem herunterlädt. *räusper*
Nach einer rigorosen und gewissenhaften Prüfung meiner Webseite bin ich zu der Überzeugung gelangt, dass sich hier keinerlei fremde unlizensierten Inhalte befinden und habe Pixray durch einige Firewall-Regeln schon mal vorab mitgeteilt, dass von einer weiteren Prüfung meiner Seiten abgesehen werden kann. Nett von mir, oder?
Diese Regeln sehen so aus:
Bis auf die letzten beiden Zeilen stammen die IP-Adressen aus diesem Blogbeitrag.
Leider haben diese
Nach einer rigorosen und gewissenhaften Prüfung meiner Webseite bin ich zu der Überzeugung gelangt, dass sich hier keinerlei fremde unlizensierten Inhalte befinden und habe Pixray durch einige Firewall-Regeln schon mal vorab mitgeteilt, dass von einer weiteren Prüfung meiner Seiten abgesehen werden kann. Nett von mir, oder?
Diese Regeln sehen so aus:
-s 176.9.0.12 -j DROP
-s 176.9.0.13 -j DROP
-s 176.9.19.103 -j DROP
-s 176.9.7.28 -j DROP
-s 188.40.65.130 -j DROP
-s 188.40.85.200 -j DROP
-s 46.4.116.100 -j DROP
-s 46.4.118.74 -j DROP
-s 46.4.118.75 -j DROP
-s 46.4.119.231 -j DROP
-s 46.4.121.154 -j DROP
-s 46.4.92.141 -j DROP
-s 46.4.19.85 -j DROP
-s 46.4.92.140 -j DROP
-s 46.4.92.140 -j DROP
-s 176.9.0.12 -j DROP
-s 176.9.0.13 -j DROP
-s 176.9.19.103 -j DROP
-s 176.9.7.28 -j DROP
-s 188.40.65.130 -j DROP
-s 188.40.85.200 -j DROP
-s 46.4.116.100 -j DROP
-s 46.4.118.74 -j DROP
-s 46.4.118.75 -j DROP
-s 46.4.119.231 -j DROP
-s 46.4.121.154 -j DROP
-s 46.4.92.141 -j DROP
-s 46.4.19.85 -j DROP
-s 46.4.92.140 -j DROP
-s 46.4.92.140 -j DROP
-s 88.198.64.132 -j DROP
-s 88.198.65.99 -j DROP
-s 88.198.67.134 -j DROP
-s 88.198.67.197 -j DROP
-s 188.40.66.214 -j DROP
-s 46.4.125.109 -j DROP
Bis auf die letzten beiden Zeilen stammen die IP-Adressen aus diesem Blogbeitrag.
Freitag, 20. Januar 2012
aktueller Firefox in Debian squeeze und wheezy, empfehlenswerte AddOns
In der momentanen stable-Version von Debian (squeeze) hängt Firefox, bzw. Iceweasel auf einer 3er Version fest. Aus dem testing-Repository (wheezy) einen neueren Iceweasel installieren zu wollen, führt zu unauflösbaren Konflikten bzw. einem Update des halben Systems. Außerdem sind die dortigen Versionen, obwohl wheezy inzwischen recht reif ist, noch immer nicht die aktuellsten.
Stellt sich heraus, dass auf der Download-Seite von Mozilla ein auch unter squeeze lauffähiges Paket der aktuellen Version (bis Ende des Monats wohl 9.0.1) angeboten wird. Das tar.bz2-File entpackt man als root zum Beispiel in /opt. Die neue Version lässt sich problemlos von der Konsole aus starten. Persönliche Einstellungen hat man eh im home-Verzeichnis, die werden also weiter verwendet – auch geöffnete Tabs. AddOns werden vom Firefox automatisch aktualisiert, inkompatible vorerst deaktiviert.
Früher oder später wird sich der Firefox mit nervigen Update-Aufforderungen zu Wort melden. Updates installiert man, in dem man Firefox als root startet und dann über das "Hilfe"-Menü die eingebaute Updatefunktion nutzt. Das geht, sofern root den Screen des gerade angemeldeten Uers nutzen darf, am einfachsten auf der Konsole mit
Danach sind ein oder zwei Maßnahmen notwendig, damit der aktuelle Firefox auch zum Standard-Browser wird. In KDE sollte man die Systemeinstellungen öffnen und dort unter "Standard-Komponenten" den Browser auf /opt/firefox/firefox %u stellen, nicht auf /opt/firefox/firefox-bin.
(Seltsamerweise scheint diese Einstellung bei mir nicht gespeichert zu werden.) Den Link /etc/alternatives/x-www-browser löscht man und ersetzt ihn durch einen neuen:
Einzelne Applikationen muss man ggf. manuell so einstellen, dass sie den neuen Firefox aufrufen, wenn ein Link angeklickt wird.
Zur Installation einer aktuellen Version des Mailers Thunderbird kann man genauso vorgehen.
Ein häufiges Problem scheint außerdem zu sein, dass das Thunderbird-Pendant Icedove keine Links in Mails öffnet. Hier hilft eine Datei user.js im Profil-Verzeichnis ~/.icedove/(irgendwas).profile mit folgendem Inhalt:
Endlich kann man wieder komfortabel Arbeiten und muss Links nicht mehr fummelig in die Zwischenablage kopieren.
Zurück zu Firefox: Die neueren Versionen sparen Platz, in dem sie die Status- bzw. Add-on-Leiste nicht mehr dauerhaft zeigen. Es ist sinnvoll, die Symbole nützlicher AddOns nach oben in die Adressleiste zu schieben, damit es dabei bleiben kann. Ich verwende und empfehle die folgenden:
• CookieMonster zum Blockieren und selektiven Zulassen von (ggf. nur Session-)Cookies.
• NoScript zum Blockieren und selektiven Zulassen von Scripten. Das schützt nicht nur vor Ausforschung durch Scripte von Drittanbietern, es spart nebenbei auch eine Menge Rechenleistung, wenn man viele Tabs offen hat. Und vor bösen Überraschungen durch eingebettete Videos und Musik.
• Adblock Plus, das ich ohne Abonnement verwende und stattdessen mit einer nach und nach aufgebauten eigenen Filterliste betreibe. Sämtliche Zählpixel, lästige Werbeblöcke mit Flash und überflüssige Inhalte von Drittanbietern werden gnadenlos ausgefiltert.
• Tab Mix Plus, weil ich nur damit effizient mit vielen Tabs arbeiten kann und es vor Abstürzen schützt, in dem es offene Tabs mit jeweiliger History und Formularinhalten in kurzen Intervallen speichert.
• Theme Font & Size Changer zum Verkleinern der für Menüs, Buttons und Tabs verwendeten Schriftarten. Sonst hat man mit dem neuen Design einfach zu wenig Platz.
• Certificate Patrol zur Prüfung von SSL/TLS-Zertifikaten. Das wird schnell lästig und ist nur etwas für Leute, die wissen, was die Meldungen bedeuten, und was das Problem mit SSL ist.
• Und mit ScrapBook kann ich Webseiten zum Offline-Lesen speichern, was bei automatisch generierten Seiten – zum Beispiel in Wikis – nützlich ist, da es den Server entlastet und schneller aufzurufen ist. Auch damit sollte man allerdings umgehen können, eine falsche Einstellung kann Schaden anrichten. Grundsätzlich sollte man bei einer Verzeichnistiefe von 0 bleiben!
Außerdem habe ich noch ein paar AddOns, die Suchen deutlich effizienter und umfassender möglich machen. Aber die verrate ich hier nicht. :-p
Update 2012-07-22: Hinweise zum komfortablen Update und zu Thunderbird, kein direkter Aufruf des Binarys.
Stellt sich heraus, dass auf der Download-Seite von Mozilla ein auch unter squeeze lauffähiges Paket der aktuellen Version (bis Ende des Monats wohl 9.0.1) angeboten wird. Das tar.bz2-File entpackt man als root zum Beispiel in /opt. Die neue Version lässt sich problemlos von der Konsole aus starten. Persönliche Einstellungen hat man eh im home-Verzeichnis, die werden also weiter verwendet – auch geöffnete Tabs. AddOns werden vom Firefox automatisch aktualisiert, inkompatible vorerst deaktiviert.
Früher oder später wird sich der Firefox mit nervigen Update-Aufforderungen zu Wort melden. Updates installiert man, in dem man Firefox als root startet und dann über das "Hilfe"-Menü die eingebaute Updatefunktion nutzt. Das geht, sofern root den Screen des gerade angemeldeten Uers nutzen darf, am einfachsten auf der Konsole mit
sux und /opt/firefox/firefox.Danach sind ein oder zwei Maßnahmen notwendig, damit der aktuelle Firefox auch zum Standard-Browser wird. In KDE sollte man die Systemeinstellungen öffnen und dort unter "Standard-Komponenten" den Browser auf /opt/firefox/firefox %u stellen, nicht auf /opt/firefox/firefox-bin.
(Seltsamerweise scheint diese Einstellung bei mir nicht gespeichert zu werden.) Den Link /etc/alternatives/x-www-browser löscht man und ersetzt ihn durch einen neuen:
ln -s /opt/firefox/firefox-bin x-www-browser – ein update-alternatives --config x-www-browser funktioniert hier nicht, weil /opt/firefox/ nicht im PATH ist.Einzelne Applikationen muss man ggf. manuell so einstellen, dass sie den neuen Firefox aufrufen, wenn ein Link angeklickt wird.
Zur Installation einer aktuellen Version des Mailers Thunderbird kann man genauso vorgehen.
Ein häufiges Problem scheint außerdem zu sein, dass das Thunderbird-Pendant Icedove keine Links in Mails öffnet. Hier hilft eine Datei user.js im Profil-Verzeichnis ~/.icedove/(irgendwas).profile mit folgendem Inhalt:
user_pref("network.protocol-handler.app.http", "/opt/firefox/firefox");
user_pref("network.protocol-handler.app.https", "/opt/firefox/firefox");
user_pref("network.protocol-handler.app.ftp", "/opt/firefox/firefox");Endlich kann man wieder komfortabel Arbeiten und muss Links nicht mehr fummelig in die Zwischenablage kopieren.
Zurück zu Firefox: Die neueren Versionen sparen Platz, in dem sie die Status- bzw. Add-on-Leiste nicht mehr dauerhaft zeigen. Es ist sinnvoll, die Symbole nützlicher AddOns nach oben in die Adressleiste zu schieben, damit es dabei bleiben kann. Ich verwende und empfehle die folgenden:
• CookieMonster zum Blockieren und selektiven Zulassen von (ggf. nur Session-)Cookies.
• NoScript zum Blockieren und selektiven Zulassen von Scripten. Das schützt nicht nur vor Ausforschung durch Scripte von Drittanbietern, es spart nebenbei auch eine Menge Rechenleistung, wenn man viele Tabs offen hat. Und vor bösen Überraschungen durch eingebettete Videos und Musik.
• Adblock Plus, das ich ohne Abonnement verwende und stattdessen mit einer nach und nach aufgebauten eigenen Filterliste betreibe. Sämtliche Zählpixel, lästige Werbeblöcke mit Flash und überflüssige Inhalte von Drittanbietern werden gnadenlos ausgefiltert.
• Tab Mix Plus, weil ich nur damit effizient mit vielen Tabs arbeiten kann und es vor Abstürzen schützt, in dem es offene Tabs mit jeweiliger History und Formularinhalten in kurzen Intervallen speichert.
• Theme Font & Size Changer zum Verkleinern der für Menüs, Buttons und Tabs verwendeten Schriftarten. Sonst hat man mit dem neuen Design einfach zu wenig Platz.
• Certificate Patrol zur Prüfung von SSL/TLS-Zertifikaten. Das wird schnell lästig und ist nur etwas für Leute, die wissen, was die Meldungen bedeuten, und was das Problem mit SSL ist.
• Und mit ScrapBook kann ich Webseiten zum Offline-Lesen speichern, was bei automatisch generierten Seiten – zum Beispiel in Wikis – nützlich ist, da es den Server entlastet und schneller aufzurufen ist. Auch damit sollte man allerdings umgehen können, eine falsche Einstellung kann Schaden anrichten. Grundsätzlich sollte man bei einer Verzeichnistiefe von 0 bleiben!
Außerdem habe ich noch ein paar AddOns, die Suchen deutlich effizienter und umfassender möglich machen. Aber die verrate ich hier nicht. :-p
Update 2012-07-22: Hinweise zum komfortablen Update und zu Thunderbird, kein direkter Aufruf des Binarys.
Dienstag, 13. Dezember 2011
2011-12-13 14:15
Es ist 2011-12-13 14:15.
Geschrieben von datenritter
um
14:15
| Noch keine Kommentare
| Keine Trackbacks
Tags für diesen Artikel: zahlenspiele
Dienstag, 13. September 2011
Warum die Eingabe von 100 TANs nicht fahrlässig ist
Netzpolitik.org berichtet über ein Urteil, dass einem Phishing-Opfer Schadenersatz zuspricht, obwohl dieses auf der Phishing-Seite 100 TANs eingegeben hatte.
Bei dem Fall handelt es sich um sauberes social engineering in Kombination mit einem Trojanerangriff. Daraus kann man was lernen – wenn man sich nicht von der hohen Zahl der preisgegebenen TANs zu falschen Schlüssen verleiten lässt. Die Zahl ist genau der Trick.
Im ersten Moment erscheint es absurd. Liest man jedoch die Urteilsbegründung, stellt man fest, dass in diesem konkreten Fall dem Kläger aus nachvollziehbaren Gründen keine grobe Fahrlässigkeit zur Last gelegt wird. Die Bank hatte in ihrem etwas ungenauen Sicherheitshinweis lediglich davor gewarnt, TANs ohne vorangegangene Aktion, wie "z.B.(!) eine Überweisung", einzugeben. Die Aufforderung zur Eingabe der 100 TANs wurde durch einen Trojaner auf dem Rechner des Opfers erzeugt, und zwar erst nach Anmeldung auf der Banking-Webseite durch Eingabe der PIN. Das ist schon mal eine gute Ausgangsposition. Weitere Glaubwürdigkeit errang der Angreifer dadurch, dass er zur Eingabe sämtlicher TANs eines TAN-Blocks aufforderte, weil dieser wegen einer Sicherheitslücke aus dem Verkehr gezogen werden müsse. Dass ein unbedarfter Anwender dies für plausibel hält (und nicht weiß, dass die Bank die TANs bereits kennt und sowieso blockweise deaktivieren kann), ist durchaus nachvollziehbar.
Das Gericht schreibt hierzu auch:
Es lohnt sich, das Urteil ganz zu lesen.
Ich bin ja mal gespannt, wann wir von den ersten Fällen hören, in denen eine Bank wegen Angriffen mit gefälschten SSL-Zertifikaten zahlen muss. Schließlich ist es durchaus zuzumuten, den Fingerprint des verwendeten Server-Zertifikats schriftlich zu verbreiten und zur Überprüfung aufzufordern. Das könnte man zum Beispiel zusammen mit der EC-Karten-PIN machen – oder zusammen mit dem ganzen Werbemüll, der einem regelmäßig ins Haus flattert.
Bei dem Fall handelt es sich um sauberes social engineering in Kombination mit einem Trojanerangriff. Daraus kann man was lernen – wenn man sich nicht von der hohen Zahl der preisgegebenen TANs zu falschen Schlüssen verleiten lässt. Die Zahl ist genau der Trick.
Im ersten Moment erscheint es absurd. Liest man jedoch die Urteilsbegründung, stellt man fest, dass in diesem konkreten Fall dem Kläger aus nachvollziehbaren Gründen keine grobe Fahrlässigkeit zur Last gelegt wird. Die Bank hatte in ihrem etwas ungenauen Sicherheitshinweis lediglich davor gewarnt, TANs ohne vorangegangene Aktion, wie "z.B.(!) eine Überweisung", einzugeben. Die Aufforderung zur Eingabe der 100 TANs wurde durch einen Trojaner auf dem Rechner des Opfers erzeugt, und zwar erst nach Anmeldung auf der Banking-Webseite durch Eingabe der PIN. Das ist schon mal eine gute Ausgangsposition. Weitere Glaubwürdigkeit errang der Angreifer dadurch, dass er zur Eingabe sämtlicher TANs eines TAN-Blocks aufforderte, weil dieser wegen einer Sicherheitslücke aus dem Verkehr gezogen werden müsse. Dass ein unbedarfter Anwender dies für plausibel hält (und nicht weiß, dass die Bank die TANs bereits kennt und sowieso blockweise deaktivieren kann), ist durchaus nachvollziehbar.
Das Gericht schreibt hierzu auch:
Umgekehrt wäre es vielmehr als grob fahrlässig zu bewerten, wenn der Kläger beispielsweise 50 oder 60 TAN-Nummern eingegeben und dann mit der Eingabe weiterer Nummern aufgehört hätte, weil ihm die Sache verdächtig erschienen wäre.
Es lohnt sich, das Urteil ganz zu lesen.
Ich bin ja mal gespannt, wann wir von den ersten Fällen hören, in denen eine Bank wegen Angriffen mit gefälschten SSL-Zertifikaten zahlen muss. Schließlich ist es durchaus zuzumuten, den Fingerprint des verwendeten Server-Zertifikats schriftlich zu verbreiten und zur Überprüfung aufzufordern. Das könnte man zum Beispiel zusammen mit der EC-Karten-PIN machen – oder zusammen mit dem ganzen Werbemüll, der einem regelmäßig ins Haus flattert.
« vorherige Seite
(Seite 2 von 28, insgesamt 279 Einträge)
nächste Seite »
