Preisgünstige Beschleunigungssensoren und Magnetometer erfreuen sich offenbar größerer Beliebtheit. Nicht nur Quadrocopter werden damit stabil gehalten, Andrew Magill hat damit auch einer kleinen Kamera einen völlig neuen Nutzen abgerungen. Sein Project Orientation Aware Camera wurde gerade bei hack a day vorgestellt. Andrew verwendet die Lage- und Richtungsinformationen, um das Kamerabild in einer OpenGL-Anwendung an die richtige Stelle im Raum zu projezieren. Das Ergebnis ist verblüffend:
Würden die kleinen Fehler ganz eliminiert, was vielleicht technisch (noch) nicht möglich ist, so könnte man mit einer einfachen Kamera in "Pinseltechnik" sein gesamtes Umfeld hochaufgelöst aufzeichnen. Das ist nicht nur technisch interessant, sondern auch künstlerisch.
Friday, 24. October 2008
Kamera mit Orientierungsinformationen
Thursday, 23. October 2008
transparentes Aluminium
Erstaunlich: Aluminiumoxynitrid.
Leider kostet das Zeug 12.000 bis 23.000 €/m².
Aluminumoxynitrid (AlON) ist ein transparenter keramischer Werkstoff, bestehend aus Aluminium, Sauerstoff und Stickstoff. (...) Es ist derzeit die entscheidende Außenschicht von experimenteller, transparenter Panzerung, die von der US Air Force als Fenstermaterial für gepanzerte Fahrzeuge in Betracht gezogen wird. (...) Transparentes Aluminium wurde im Science-Fiction-Film Star Trek IV: Zurück in die Gegenwart erstmals durch den Chefingenieur Montgomery Scott erwähnt und wird in Schiffen der Sternenflotte als Fenstermaterial eingesetzt. Im Jahre 1985 (ein Jahr vor dem Film) wurde das Patent für den keramischen Werkstoff eingereicht.
Leider kostet das Zeug 12.000 bis 23.000 €/m².
Wednesday, 22. October 2008
feucht-fröhliche Kameraüberwachung
Überwachungspub? (Klick für Großansicht.)
Sicherheit ist gut und schön, und Kameraüberwachung in einzelnen Fällen auch mal eine gute Idee. Meist bringt sie allerdings überhaupt nichts, außer länger anhaltenden Illusionen und falschen Vorstellungen. Derart dreist einfach jeden zu filmen, der den Bürgersteig entlangschlendert, ist jedoch in jedem Fall inakzeptabel.
Sekundenkleber
datenritter's law:
Mit zunehmender Länge einer technischen Online-Diskussion nähert sich die Wahrscheinlichkeit, dass Sekundenkleber als einfache Lösung eines Problems vorgeschlagen wird, dem Wert Eins an.
Tuesday, 21. October 2008
Tastaturen trotz Kabel abhörbar
Erst in den letzten Tagen hatte ich eine kleine Diskussion über Funk-Tastaturen. Diese sind meiner Meinung nach ein großes Sicherheitsrisiko. Was nützt die schönste Festplattenverschlüsselung, wenn Passwörter per Funk durch den Raum wabern, wahrscheinlich eher schlecht verschlüsselt?
Vor einiger Zeit behauptete mal jemand, er glaube, dass Blinde hören können, welche Tasten man tippt. Das halte ich für übertrieben, doch mittels einer computergestützten Auswertung der Tastengeräusche ist sicher einiges möglich. Jedenfalls kann man anhand der zeitlichen Verzögerung zwischen den Anschlägen schon recht gut Anwender identifizieren und vielleicht auch ermitteln, welche Tasten betätigt wurden. Schließlich brauchen die Finger je nach Entfernung unterschiedlich viel Zeit von einer Taste bis zur nächsten.
Klar ist: Wer beim Tippen gefilmt wird, hat ein Problem, und auch schnelle Augen könnten mitlesen.
Doch auch, wenn man es schafft, seinen Schreibrhythmus zu verzerren, keine Funktastatur benutzt, Blinde meidet und niemals unter menschlichen oder Kameraugen tippt: Ein mulmiges Gefühl bleibt. War da nicht etwas mit dem Kondensatorenpfeiffen, welches einem Lauscher verrät, was der Prozessor oder ein anderes Bauteil gerade macht? Und was ist mit der elektromagnetischen Abstrahlung des Geräts über Schnittstellen, Kabel und Öffnungen im Gehäuse? TEMPEST bzw. Van-Eck-Phreaking nennt man das, und Banken, Botschaften und Versicherungen schirmen deshalb Wände und Fenster mit elektrisch leitfähigen Materialien und Gitternetzgeweben ab. Es gibt sogar abschirmende Wandfarben.
Nun, das Van-Eck-Phreaking ist zurückgekehrt und hat einen der schlimmsten Albträume Wahrheit werden lassen: COMPROMISING ELECTROMAGNETIC EMANATIONS OF WIRED KEYBOARDS.
Laut der Zusammenfassung bei hack a day haben Martin Vuagnoux and Sylvain Pasini vom Ecole Polytechnique Fédérale de Lausanne elf verschiedene Tastaturen gefunden, die bei jedem Tastendruck elektromagnetische Impulse aussenden, die sich empfangen und dekodieren lassen. Achja, und das funktioniert auch noch aus etwa zwanzig Metern Entfernung.
Da das Paper noch nicht veröffentlicht ist, müssen wir mit Demonstrationsvideos vorlieb nehmen und einfach mal glauben, dass es kein Scherz ist.
Die Vorstellung, nur noch Bildschirmtastaturen einzusetzen, wie es bereits jetzt einige Banken ermöglichen, um Keyloggern ein Schnippchen zu schlagen, behagt mir gar nicht. Ich werde stattdessen meine Tastatur in geerdete Alufolie einwickeln.
Vor einiger Zeit behauptete mal jemand, er glaube, dass Blinde hören können, welche Tasten man tippt. Das halte ich für übertrieben, doch mittels einer computergestützten Auswertung der Tastengeräusche ist sicher einiges möglich. Jedenfalls kann man anhand der zeitlichen Verzögerung zwischen den Anschlägen schon recht gut Anwender identifizieren und vielleicht auch ermitteln, welche Tasten betätigt wurden. Schließlich brauchen die Finger je nach Entfernung unterschiedlich viel Zeit von einer Taste bis zur nächsten.
Klar ist: Wer beim Tippen gefilmt wird, hat ein Problem, und auch schnelle Augen könnten mitlesen.
Doch auch, wenn man es schafft, seinen Schreibrhythmus zu verzerren, keine Funktastatur benutzt, Blinde meidet und niemals unter menschlichen oder Kameraugen tippt: Ein mulmiges Gefühl bleibt. War da nicht etwas mit dem Kondensatorenpfeiffen, welches einem Lauscher verrät, was der Prozessor oder ein anderes Bauteil gerade macht? Und was ist mit der elektromagnetischen Abstrahlung des Geräts über Schnittstellen, Kabel und Öffnungen im Gehäuse? TEMPEST bzw. Van-Eck-Phreaking nennt man das, und Banken, Botschaften und Versicherungen schirmen deshalb Wände und Fenster mit elektrisch leitfähigen Materialien und Gitternetzgeweben ab. Es gibt sogar abschirmende Wandfarben.
Nun, das Van-Eck-Phreaking ist zurückgekehrt und hat einen der schlimmsten Albträume Wahrheit werden lassen: COMPROMISING ELECTROMAGNETIC EMANATIONS OF WIRED KEYBOARDS.
Laut der Zusammenfassung bei hack a day haben Martin Vuagnoux and Sylvain Pasini vom Ecole Polytechnique Fédérale de Lausanne elf verschiedene Tastaturen gefunden, die bei jedem Tastendruck elektromagnetische Impulse aussenden, die sich empfangen und dekodieren lassen. Achja, und das funktioniert auch noch aus etwa zwanzig Metern Entfernung.
Da das Paper noch nicht veröffentlicht ist, müssen wir mit Demonstrationsvideos vorlieb nehmen und einfach mal glauben, dass es kein Scherz ist.
Die Vorstellung, nur noch Bildschirmtastaturen einzusetzen, wie es bereits jetzt einige Banken ermöglichen, um Keyloggern ein Schnippchen zu schlagen, behagt mir gar nicht. Ich werde stattdessen meine Tastatur in geerdete Alufolie einwickeln.
Monday, 20. October 2008
die Festplattenuhr
Ein Freak namens Ian Matthew Smith hat eine Festplatte so umgebaut, dass er sie zum Beispiel als Uhr verwenden kann. Die Scheibe der Platte wurde geschlitzt, ein Hall-Sensor registriert , wenn die Platte in einem bestimmten Winkel steht, und ein PIC-Mikrocontroller schaltet zum richtigen Zeitpunkt LEDs an, aus bzw. auf die richtige Farbe.
Das Ergebnis sieht dann so aus:
Hier die Projektseite mit Details: HD-Clock. Gefunden bei fefe.
Die Konstruktion ist zu laut für eine Uhr und verbraucht zu viel Energie. Trotzdem cool.
Das Ergebnis sieht dann so aus:
Hier die Projektseite mit Details: HD-Clock. Gefunden bei fefe.
Die Konstruktion ist zu laut für eine Uhr und verbraucht zu viel Energie. Trotzdem cool.
Sunday, 19. October 2008
das Überall-Netz
Ein schon etwas älterer Chat-Mitschnitt:
Randall Munroe erleuchtet uns mit der korrespondierenden Erkenntnis über morgendliche Rituale:
(23:19:13) vercingetorix: so ich verschieb mich mal ins bett.
(23:19:44) vercingetorix hat den Raum verlassen.
(23:23:50) vercingetorix [~vercingetorix@somehost.com] hat den Raum betreten.
(23:27:52) datenritter: .oO( klar - dass vercingetorix im bett ist, heißt nicht, dass er offline sein muss. )
(23:30:01) vercingetorix: haha
(23:30:09) vercingetorix: laptop
(23:31:24) datenritter: ich entdecke immer noch so gewisse geek-eigenschaften an meinen mitmenschen...
(23:32:38) vercingetorix: ich nicht.
Randall Munroe erleuchtet uns mit der korrespondierenden Erkenntnis über morgendliche Rituale:
Saturday, 18. October 2008
Juristen können Logfiles nicht vermeiden
Nach momentanem deutschen Recht ist es Server- bzw. Websitebetreibern verboten, pesonenbezogene (bzw. "personenbeziehbare") Daten zu speichern, wenn dies nicht zu Abrechnungszwecken erforderlich ist. (Bei Hackerangriffen und ähnlichem gibt es sicher Ausnahmen.)
Ob IP-Adressen solche personenbezogenen Daten sind, ist noch ein Streitpunkt, bisher sieht aber alles danach aus. Die Vorratsdatenspeicherung verbessert die Lage hier sicher nicht zugunsten derer, die das Gegenteil behaupten. Andererseits wird der Betreiber der Webseite selbst eher nicht die Möglichkeit haben, den Personenbezug herzustellen.
Dem BMJ wurde allerdings schon durch richterlichen Beschluss inklusive Androhung von Erzwingungshaft gegen Bundesjustizministerin Zypries untersagt, die IP-Adressen der Besucher zu speichern, viele andere Betreiber folgten ohne weitere Aufforderung. Auch der Webhoster Strato anonymisiert die Logfiles, die sich Kunden herunterladen können — wenn auch auf eine etwas unpraktische Art. (Die IP-Adressen werden dort durch Hostnamen ersetzt, welche einen Teil der echten IP enthalten. Der Rest ist ein 24 Stunden gültiger Hashwert.)
Es gibt einige Werkzeuge, die das Speichern von IP-Adressen verhindern oder diese ersetzen. Für diverse Anwendungen nennt die Aktion "Wir speichern nicht" Beispiele.
Werfen wir einen Blick auf eine Website von Juristen, dem Law-Blog. In der dortigen Datenschutzerklärung lesen wir:
Das klingt gut. Doch offenbar sieht die technische Realität bei den Juristen — fast möchte man anmerken: erwartungsgemäß — ganz anders aus:
(Hervorhebung von mir.)
Nein, liebe Law-Blogger, diese Statistiken sind keineswegs "unvermeidlich", und meinen Informationen zufolge wisst Ihr das auch schon länger. Aber netter Versuch.
Ob IP-Adressen solche personenbezogenen Daten sind, ist noch ein Streitpunkt, bisher sieht aber alles danach aus. Die Vorratsdatenspeicherung verbessert die Lage hier sicher nicht zugunsten derer, die das Gegenteil behaupten. Andererseits wird der Betreiber der Webseite selbst eher nicht die Möglichkeit haben, den Personenbezug herzustellen.
Dem BMJ wurde allerdings schon durch richterlichen Beschluss inklusive Androhung von Erzwingungshaft gegen Bundesjustizministerin Zypries untersagt, die IP-Adressen der Besucher zu speichern, viele andere Betreiber folgten ohne weitere Aufforderung. Auch der Webhoster Strato anonymisiert die Logfiles, die sich Kunden herunterladen können — wenn auch auf eine etwas unpraktische Art. (Die IP-Adressen werden dort durch Hostnamen ersetzt, welche einen Teil der echten IP enthalten. Der Rest ist ein 24 Stunden gültiger Hashwert.)
Es gibt einige Werkzeuge, die das Speichern von IP-Adressen verhindern oder diese ersetzen. Für diverse Anwendungen nennt die Aktion "Wir speichern nicht" Beispiele.
Werfen wir einen Blick auf eine Website von Juristen, dem Law-Blog. In der dortigen Datenschutzerklärung lesen wir:
Im Law-Blog nehmen wir - fast möchten wir anmerken: naturgemäß - den Schutz Ihrer persönlichen Daten sehr ernst und halten uns an die Regeln der Datenschutzgesetze.
Das klingt gut. Doch offenbar sieht die technische Realität bei den Juristen — fast möchte man anmerken: erwartungsgemäß — ganz anders aus:
In den unvermeidlichen Serverstatistiken werden automatisch solche Daten gespeichert, die Ihr Browser an uns übermittelt.
(Hervorhebung von mir.)
Nein, liebe Law-Blogger, diese Statistiken sind keineswegs "unvermeidlich", und meinen Informationen zufolge wisst Ihr das auch schon länger. Aber netter Versuch.
Thursday, 16. October 2008
WPA trotz nVidia-Chips immer noch sicher
Am 10. Oktober konnte man im SC Magazine lesen, dass WPA angeblich nicht mehr sicher sei. Eine russische Firma würde die enorme Rechenleistung von nVidia-Grafikkarten-Prozessoren nutzen, um das Knacken von Passwörtern um 10.000% zu beschleunigen.
Es handelt sich übrigens um die Firma Elcomsoft, spezialisiert auf "Passwort-Rettung".
Das hat wiederum eine andere Firma, GSS, dazu veranlasst, WiFi generell für unsicher zu erklären und VPNs anzupreisen. Kristian Köhntopp fragte sich indes, wie denn die VPNs mit den gleichen Verfahren wie bei WPA sicherer sein sollen.
Bei Slashdot hat man am 12. Oktober richtig gerechnet: Eine Beschleunigung um 10.000% bedeutet ungefähr* Faktor 100. Nicht mehr. Und das bei einer Brute-Force-Attacke. Die ist bei schwachen Passwörtern schon immer erfolgversprechend gewesen, sonst eher nicht.
Das ganze ist also nichts, was man durch mehr konventionelle Rechenleistung, z.B. einen kleinen Cluster nicht auch erreichen könnte. Bruce Schneier schreibt dazu dann auch gewohnt deutlich:
Thema durch.
(* Da bin ich pingelig: Beschleunigung um 10.000%, also um die 100fache Leistung, bedeutet auf das 101fache. Beschleunigung auf 10.000% wäre hingegen auf das 100fache. Ich gehe davon aus, dass auch im Englischen so unterschieden wird.)
Es handelt sich übrigens um die Firma Elcomsoft, spezialisiert auf "Passwort-Rettung".
Das hat wiederum eine andere Firma, GSS, dazu veranlasst, WiFi generell für unsicher zu erklären und VPNs anzupreisen. Kristian Köhntopp fragte sich indes, wie denn die VPNs mit den gleichen Verfahren wie bei WPA sicherer sein sollen.
Bei Slashdot hat man am 12. Oktober richtig gerechnet: Eine Beschleunigung um 10.000% bedeutet ungefähr* Faktor 100. Nicht mehr. Und das bei einer Brute-Force-Attacke. Die ist bei schwachen Passwörtern schon immer erfolgversprechend gewesen, sonst eher nicht.
Das ganze ist also nichts, was man durch mehr konventionelle Rechenleistung, z.B. einen kleinen Cluster nicht auch erreichen könnte. Bruce Schneier schreibt dazu dann auch gewohnt deutlich:
Yes, weak passwords are weak -- we already know that. And strong WPA passwords are still strong. This seems like yet another blatant attempt to grab some press attention with a half-baked cryptanalytic result.
Thema durch.
(* Da bin ich pingelig: Beschleunigung um 10.000%, also um die 100fache Leistung, bedeutet auf das 101fache. Beschleunigung auf 10.000% wäre hingegen auf das 100fache. Ich gehe davon aus, dass auch im Englischen so unterschieden wird.)
Tuesday, 14. October 2008
englische Richter zwingen zur Herausgabe von Cryptoschlüsseln
Laut einem Bericht des SC Magazine hat der England and Wales Court of Appeal offenbar entschieden, dass Angeklagte Schlüssel, die sie zur Verschlüsselung beschlagnahmten Materials verwendet haben, preisgeben müssen.
Dabei ist nicht klar, ob es sich um die Schlüssel, die zugehörigen Passwörter oder beides handelt. In Deutschland besteht jedenfalls keine Mitwirkungspflicht eines Verdächtigen — hier muss man weder (den Standort von) Material noch Wissen preisgeben, wenn man sich selbst damit belasten könnte. Beides fällt unter das Zeugnisverweigerungsrecht.
Doch die erstaunliche Begründung der englischen Richter lautet:
Hat die Existenz einer Sache in Großbritannien besondere rechtliche Implikationen?
Der folgende Abschnitt deutet darauf hin, dass es nicht um einen Schlüssel, sondern sogar um ein Passwort ging:
Den Beschuldigten drohen nun bis zu zwei Jahren Gefängnis, in Fällen der "nationalen Sicherheit" bis zu fünf Jahre. Unabhängig davon, ob die Richter nun ein Passwort oder einen Schlüssel meinten, oder beides, oder ob sie beides nicht unterscheiden konnten (was durchaus vorstellbar wäre) oder wollten, ist diese Entscheidung unsinnig. Ein Verdächtiger muss nur behaupten, er habe den Schlüssel gelöscht oder das Passwort vergessen — beides ist nicht widerlegbar, kann also eigentlich auch nicht bestraft werden.
Hinzu kommt, dass eine Strafe für das "Vergessen" des Schlüssels in einem Rechtsstaat niemals so hoch sein kann, wie die für ein wirkliches Verbrechen. Im Zweifel kommt man also immer noch gut davon.
Dabei ist nicht klar, ob es sich um die Schlüssel, die zugehörigen Passwörter oder beides handelt. In Deutschland besteht jedenfalls keine Mitwirkungspflicht eines Verdächtigen — hier muss man weder (den Standort von) Material noch Wissen preisgeben, wenn man sich selbst damit belasten könnte. Beides fällt unter das Zeugnisverweigerungsrecht.
Doch die erstaunliche Begründung der englischen Richter lautet:
an encryption key is no different than a physical key and exists separately from a person's will.
Hat die Existenz einer Sache in Großbritannien besondere rechtliche Implikationen?
Der folgende Abschnitt deutet darauf hin, dass es nicht um einen Schlüssel, sondern sogar um ein Passwort ging:
when the second man was arrested police saw he had partially entered an encryption key into a computer. In its ruling, the appeals court said an encryption key is no different than a physical key and exists separately from a person's will.
Den Beschuldigten drohen nun bis zu zwei Jahren Gefängnis, in Fällen der "nationalen Sicherheit" bis zu fünf Jahre. Unabhängig davon, ob die Richter nun ein Passwort oder einen Schlüssel meinten, oder beides, oder ob sie beides nicht unterscheiden konnten (was durchaus vorstellbar wäre) oder wollten, ist diese Entscheidung unsinnig. Ein Verdächtiger muss nur behaupten, er habe den Schlüssel gelöscht oder das Passwort vergessen — beides ist nicht widerlegbar, kann also eigentlich auch nicht bestraft werden.
Hinzu kommt, dass eine Strafe für das "Vergessen" des Schlüssels in einem Rechtsstaat niemals so hoch sein kann, wie die für ein wirkliches Verbrechen. Im Zweifel kommt man also immer noch gut davon.
« vorherige Seite
(Seite 16 von 28, insgesamt 276 Einträge)
nächste Seite »
