Einträge für datenritter

(19:54:23) datenritter: Kennst du Kalman-Filter?
(19:54:34) mathematiker: Ne
(19:54:37) datenritter: Ok
(19:54:39) mathematiker: Sind das Zigaretten?
(19:54:45) datenritter: ...

Dass man mittels eines Seifenabdruckes Schlüssel nachmachen kann, ist aus gewissen Filmen hinlänglich bekannt. Logisch eigentlich, dass das auch mit einem Foto geht — und für einige auch nichts neues.

Forscher der UC San Diego Jacobs School of Engineering haben das ganze jetzt in ein automatisiertes Verfahren gegossen. Ein Digitalfoto, gerne auch klammheimlich mit dem Teleobjektiv gemacht, wird vom Computer per Bilderkennung in die Vorlage für einen Nachschlüssel umgewandelt.

Die Studie zeigt einmal mehr, dass Schlüssel — auch die zu sogenannten Sicherhetsschlössern — keineswegs besonders sicher sind. Allerdings waren sie das auch vorher schon nicht.

Die Hersteller gehen dort, wo Stromversorgung und Batteriepuffer zur Verfügung stehen, mittlerweile dazu über, die Schlüssel magnetisch zu kodieren oder gar RFID-Chips einzubauen. Doch dürfte das noch für lange Zeit nur bei Autos üblich sein.

Für den Ottonormal-Netzbürger zeigt dieses Beispiel einmal mehr, wie vorsichtig man mit der Preisgabe von Informationen sein muss:

“If you go onto a photo-sharing site such as Flickr, you will find many photos of people’s keys that can be used to easily make duplicates. While people generally blur out the numbers on their credit cards and driver's licenses before putting those photos on-line, they don’t realize that they should take the same precautions with their keys,” said Savage.

Es würde mich interessieren, was Versicherungen dazu sagen, dass Menschen Fotos von ihren Auto- oder Haustürschlüsseln in frei zugängliche Fotoalben im Netz einstellen.

Die Förde-Sparkasse verteilt nicht nur Server-Fingerprints auf Papier, sie zeigt auch rechtzeitig die neuen Fingerprints auf der Webseite an:

Der Ihnen bekannte Fingerabdruck (Fingerprint) verliert demnächst seine Gültigkeit. Damit Sie auch weiterhin die Zertifikatsprüfung durchführen können, teilen wir Ihnen nachfolgend den zukünftig gültigen Fingerabdruck mit. Bitte drucken Sie sich diesen aus.

Das ist wirklich vorbildlich.

Die Anleitung zum Sichern der eigenen Beiträge aus dem heise-Forum ließ in der Eile keine Zeit für große Erklärungen. Deswegen hier nun einige Informationen zu Cookies und ihrem Gebrauch mit wget... "wget und Cookies" vollständig lesen »

Bei hack a day freut man sich über ein besonderes Halloween-Kostüm: Jemand hat einen "Powerloader" aus "Aliens - die Rückkehr", (Alien 2), nachgebaut. Bei instructables gibt es mehr Bilder.

Der Powerloader aus Alien 2 dient der Unterstützung beim Bewegen schwerer Lasten. Es handelt sich genaugenommen um ein fiktives künstliches Exoskelett, also einen Anzug, der die Kraft menschlicher Bewegungen verstärkt.

Andere fiktive Exoskelette sind aus Computerspielen und Filmen bekannt, man lese hierzu im englischen Wikipedia-Artikel powered exoskeletons in fiction.

Ok, soviel zu den Spielzeugen.

An den wirklich coolen echten Exoskeletten wird leider noch geforscht. Und das keineswegs nur, um Behinderten auf die Beine zu helfen. Das folgende Video verrät nur im Ansatz, was die Entwickler — das Sprichwort passt: im Schilde führen:



In der Zukunft sollen Exoskelett-Träger sicher nicht nur Boxen.

Ähm, ja...



(Erstaunlich, was man alles machen kann, wenn man nur genügend Aktuatoren hat.)

Michael Wilde teilt heute mit, dass die Foren, die heise online eigentlich löschen wollte, erhalten bleiben:

Ich darf Ihnen im Auftrag des Forenbetreibers folgendes zur Kenntnis
geben:

1. Ihm war nicht bewusst, wie sehr einzelne User an alten Beiträgen
hängen.

2. Die bisher dafür vorgesehen Foren werden nicht gelöscht, sondern
nur auf read-only gesetzt.

(...)

Die Foren werden allerdings nicht mittels der Forensuchmaschine durchsuchbar sein. Außerdem wird es eine Möglichkeit geben, die eigenen Beiträge zu löschen.

Bleibt die Frage, ob man sich bei heise wirklich nicht darüber im klaren war, oder etwas anderes bezweckte. Z.B. konnte man in den letzten Tagen sicher ob zahlreicher Versuche, die Foren zu spiegeln, die Belastbarkeit des Servers testen. Auch wurde heise online durch die Ankündigung in den Fokus der Aufmerksamkeit gerückt. Nicht ungeschickt. Andererseits hat es heise wohl wieder mal ein paar Abonnenten gekostet.

Nett anzusehen ist ein ganz anderes Ergebnis: Das "Ausfallforum" mit dem "heise offline"-Logo: debain.org/ausfallforum/

Will man die eigenen Beiträge bei heise online vor der Löschung retten, so bedient man sich eines Scripts, das der User cassiel dort veröffentlicht hat. Es benutzt wget mit Cookies:

#!/bin/bash

# Datei mit den beiden Heise-Cookies (notwendig für login)
COOKIEFILE=cookies.txt

# Nummer des ersten runterzuladenden Beitrags (0=der aktuellste)
POST=0

# Nummer des ältesten noch runterzuladenden Beitrags
MAXPOST=122

# eure Usernummer. Findet ihr in der URL der Liste der eigenen Beiträge im Forenprofil.
USERNR=12345

echo
echo "Schritt 1: Laden der Beitragslisten"
echo
while [ $POST -lt $MAXPOST ]; do
printf -v HTML "postlist-%04d.html" $POST
wget --load-cookies $COOKIEFILE -O $HTML http://www.heise.de/extras/foren/user_postings/user-${USERNR}/hs-${POST}/
sed -n '\/foren\/S-.*\/read\// s#.*href="\([^"]*\).*#\1#p' $HTML >> postlist.txt
POST=$(( POST + 16 ))
done

echo
echo "Schritt 2: Laden der einzelnen Beiträge"
echo
sort postlist.txt | uniq | while read line; do
wget --load-cookies $COOKIEFILE -x -N http://www.heise.de$line;
done

Das Vorgehen ist wie folgt:
1. Betreten des heise-Forums und Einloggen.
2. Klick auf Forenprofil.
3. Rechts im Menü Klick auf "Meine Beiträge".
4. Das erste Posting ist immer Nummer 0. Deshalb bleibt POST=0 gesetzt.
5. Die letzte Postingseite ansteuern. Die URL hat die Form http://www.heise.de/extras/foren/user_postings/user-123456/hs-123/. Die letzte Zahl solange erhöhen, bis nur noch das letzte Posting aufgelistet wird.
6. Die letzte Zahl aus der URL minus Eins für MAXPOST und die vorletzte Zahl (12345) für USERNR im Script eintragen.
7. Im Browser nach den Cookies schauen. Das folgende Cookie-File mit dem Wert für ssoheisede anpassen und als cookies.txt speichern:

# HTTP cookie file.
# Generated by Wget on 2008-10-30 05:20:54.
# Edit at your own risk.

www.heise.de FALSE / FALSE 122836265 ssoheisede %34%22dirid%22%35%2341...(cryptischer Code, ersetzen!)...
www.heise.de FALSE / FALSE 122836265 ssoinit userdb

Achtung: Zwischen den Feldern stehen Tabs, keine Spaces! Alle Daten außer dem Wert für ssoheisede, also "%34...", bleiben unverändert.

Dann startet man das Script, und wget saugt alle eigenen Beiträge auf die Platte. Wenn es nicht klappt, konnten die Cookies von wget nicht richtig eingelesen werden, und daher wurden die Benutzerbeiträge nicht erkannt. Das Script tut dann nach der Meldung "Schritt 2: Laden der einzelnen Beiträge" nichts mehr.

Michael Wilde, der Chef vom Dienst bei heise online hat am Montag angekündigt, dass alle Beiträge, die älter als zwei Jahre sind, aus den legendären Newsticker-Foren gelöscht werden sollen:

wir werden in den nächsten Tagen damit beginnen, Newsticker-Foren
sowie Foren aus dem Extra-Bereich der user2User-Foren zu löschen, die
älter als zwei Jahre sind. Bisher haben wir zwar so gut wie nie Foren
geschlossen, doch uns ist vor einiger Zeit aufgefallen, dass viele
Diskussionen, die vor Jahren in den Foren stattgefunden haben, heute
keine Bedeutung mehr haben.

Die Ankündigung hat zu erheblichem Protest geführt, der keineswegs in das leider für heise typische wilde Trollen auswuchs, sondern überwiegend wohlbegründet ist. Viele halten die heise-Foren für ein Stück Kulturgut. Unter anderem wurden die Einträge rund um den 11. September 2001 als erhaltenswert genannt, aber auch die Gründung der Bürgerrechtsinitiative Stop 1984, die tatsächlich im heise-Forum initiiert wurde.

Am Mittwoch schrieb Wilde dann konkret, dass die Löschung am Donnerstag beginnen werde. Heise online wolle jedoch ein Backup zurückbehalten und überlegen, ob die archivierten Beiträge der Allgemeinheit zur Verfügung gestellt werden.

Wilde betont, dass lediglich "redaktionelle Gründe" für die Löschaktion vorlägen:

Die
Maßnahme hat keine technischen Gründe, sondern ausschließlich
redaktionelle. Es sind weder Spendenaktionen, noch technische
Ratschläge erforderlich.

Welche diese Gründe im Einzelnen sind, blieb bislang unerwähnt. Und ausgerechnet dem technophilen Publikum zu sagen, dass technische Ratschläge nicht erwünscht seien, ist heikel. Viele fühlen sich hierdurch offenbar brüskiert.

Für die Forenteilnehmer typische Protestaktionen wurden angekündigt. Neben den übliche Abo-Kündigungen vor allem das Löschen von Links auf das Angebot von heise online aus Weblogs, Foren und anderen Online-Angeboten. "Backups? - heise löscht alte Forenbeiträge" ... »

Nun steht auch in Bruce Schneiers Blog etwas über die Abhörbarkeit von kabelgebundenen Tastaturen.

In den Kommentaren hält jemand das ganze für einen Hoax:

Given that the first test's test phrase is "Trust no one", and that in both tests curiously the detection apparatus seemed to know precisely how many characters were pressed in the test (i.e. it knew when to stop), I'm inclined to believe this is a hoax.

Bisher sind die technischen Details auch noch nicht veröffentlicht worden.

Doch auch die anderen Kommentare des aufgeweckten Publikums sind wie immer lesenswert. Dort findet sich ein Hinweis auf ein 2005 veröffentlichtes Paper. Laut dem sind Tastaturen, wie schon vermutet, auch abhörbar im eigentlichen Sinne des Wortes. Im Abstract heißt es:

We present a novel attack taking as input a 10-minute sound recording of a user typing English text using a keyboard, and then recovering up to 96% of typed characters. There is no need for a labeled training recording. Moreover the recognizer bootstrapped this way can even recognize random text such as passwords: In our experiments, 90% of 5-character random passwords using only letters can be generated in fewer than 20 attempts by an adversary; 80% of 10-character passwords can be generated in fewer than 75 attempts.

Quelle: “Keyboard Acoustic Emanations Revisited.” L. Zhuang, F. Zhou, and J. D. Tygar. In Proceedings of the 12th ACM Conference on Computer and Communications Security, November 2005, pp. 373-382. Zu finden hier bzw. direkt hier.

Der Angriff macht sich auch statistische Eigenschaften zunutze. Mit einem ungewöhnlichen Keyboard-Layout und wirklich komplizierten Passwörtern ist man also noch einigermaßen auf der sicheren Seite.