Autor Thema: CCC Hackerkongress / Hacking at Random ...  (Gelesen 26191 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Kaum ist der Hackerparagraph in Kraft, zeigen die Hacker im Sommercamp des Chaos Computer Clubs, was sie von dem Gesetz halten, das die Verbeitung und Herstellung von "Hacker-Tools" unter Strafe stellt. Mit Kabelbindern, Netzwerkkabeln, Stricken und echten Handschellen bildeten sie vor den Hangars des Flughafens Finowfurt eine gefesselte Menschenkette.


Mit Netzwerkkabeln gefesselt...                 ...gegen den Hackerparagraphen

So manchem ausländischen Besucher wurde dabei erst bewusst, dass er mit den Programmen auf seinem Laptop nunmehr in Deutschland verhaftet werden könnte. Allerdings sind bislang keine Polizeiaktionen auf dem Sommercamp erfolgt. Nur die Feuerwehr hatte einen Grosseinsatz nach einem heftigen Wolkenbruch, der weite Teile des Geländes unter Wasser setzte, Zelte wegspülte und viele Hacker beim Spaß am Gerät kalt erwischte. Gefährlich waren dabei vor allem die selbst verlegten Stromleitungen im weitläufigen Gelände.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Chaos Communication Camp: Unfallfrei und Spaß dabei
« Antwort #61 am: 13 August, 2007, 19:03 »
Mit einigen Abschiedszeremonien ist das Chaos Computer Camp 2007 am gestrigen Sonntag zu Ende gegangen. Schon in der Nacht davor spendierte die Natur die richtige Abschiedsstimmung. Es gab hauchfeinen Nieselregen, als ob die Hacker in einer Wolke schweben würden und dazu eine wunderbare Lichtshow. Zumindest den Organisatoren des Sommercamps hätte man das mit der Wolke gegönnt, denn die Mischung aus Zelten, Feiern und Lernen verlief ohne größere Zwischenfälle. Weder gab es die befürchteten Massenhacks noch die gefürchteten Verletzungen von Kletterern, die trotz aller Hinweise und Verbote auf den bröckeligen Hangars herumturnten. Andere Veranstaltungen in Finowfurt hatten hier schon Tote zu beklagen. Wo das Chaos ausbrach, war es wetterbedingt oder Folge misslicher Umstände.

Der Netzaktivist Markus Beckedahl von Netzpolitik gehörte zu den Leidtragenden: Die Folien seines Vortrags "23 Dinge, für seine Rechte zu kämpfen" lagen auf einem der drei Laptops, die auf dem Camp offenbar gestohlen wurden. In einem improvisierten Vortrag empfahl Beckedahl den Zuhörern vor allem, selbst zum Medium zu werden, aktiv zu bloggen und podcasten. Themen gebe es genug, die in Form des "Monitoring" verfolgt werden können. Das so angehäufte Fachwissen könne in Aufsätze für die Community fließen oder aber zum Anfüttern der Presse oder zum Abfragen politischer Positionen genutzt werden. Mit Demonstrationen wie der gegen die Vorratsdatenspeicherung und Überwachung könne das Ohnmachtsgefühl bekämpft werden. Der Weg über Eigen- und Bürgerinitiativen ist auch ein Abschied von der klassischen Politik: nur zwei Anwesende des gut besuchten Vortrages waren Mitglieder politischer Parteien.

In einer chaotischen aber gewollten Abweichung vom offiziellen Fahrplan referierte der Kryptologe David Chaum am Samstagabend über sein Wahlsystem Scantegrity. Es soll Wählern die Kontrolle über die Wahlen zurückgeben und damit das genaue Gegenteil unzuverlässiger Wahlcomputer sein. Zu der von Chaum proklamierten "cyber-sovereignty", die in einem White Paper (PDF-Datei) beschrieben ist, gehört auch der Einsatz des Systems in unterentwickelten Ländern: Mit Hilfe von Kameras, Videorekordern und einem Archivsystem hat Chaum eine Wahlkabine für den Einsatz in der dritten Welt entwickelt, wo Analphabeten einen Kandidaten wählen, indem sie mit dem Finger auf ein Foto zeigen. Über das Archivsystem soll ihre Stimmabgabe jederzeit verifizierbar sein, dennoch ist die Aufzeichnung anonymisiert.

Chaums Einlassungen passten vorzüglich zum OLPC, der unlängst in die Massenproduktion gegangen ist und natürlich im "Hackcenter" des Camps herumgereicht wurde. Schließlich ist der OLPC ein technisch geglückter Hack im besten Sinne, was ihn auch bei den Hackern beliebt macht, die standardmäßig Apple-Laptops besitzen. Offenbar denkt man im OLPC-Lager darüber nach, dass auch die erste Welt in den Besitz des Kindercomputers kommen kann. Der Deal soll denkbar einfach sein: einen OLPC kriegt der, der mindestens den doppelten Preis zahlt. Anders ausgedrückt, wer einen OLPC erwirbt, muss einen weiteren der dritten Welt schenken.

Ein Preissystem, das mit den Sponsor-Tickets auch beim CCC Tradition hat, aber nicht sonderlich erfolgreich ist. Während der traditionelle Kongress "zwischen den Jahren" Gewinn abwirft, ist die Freiluftveranstaltung für den Chaos Computer Club bei niedrigsten Eintrittspreisen ein Zuschussgeschäft. Das dürfte sich auch in diesem Jahr nicht geändert haben. Drei oder vier Winter-Kongresse sind nötig, bis man sich wieder daran wagen kann, die Geeks zum Zelten in Dörfern zusammenzurufen. Denn kostenlos im Sinne von Freibier ist vielleicht die Boozenight im Camp Anaconda oder die Aktion "Free Grappa for all" der Italienischen Botschaft, aber nicht die Elektrizität, die Müllabfuhr und vieles mehr. Billiger als ein Camp ist nur die bevorstehende Froscon, doch ohne Duschen und den Spaß am Zelten.

Ob in der Zwischenzeit die Zelte alternierend wieder in den Niederlanden aufgebaut werden können, ist fraglich. Dort waren die Veranstalter zum Schluss des letzten Camps namens What the Hack von zunehmenden Auflagen und Schikanen der Behörden so genervt, dass sie erwogen, auf deutschem Boden zu campieren. Zumindestens in Finowfurt brauchten die Hacker keinen Hubschrauberlandeplatz zu stellen und eine Hundertschaft Polizeibeamte mit zu versorgen, wie in den Niederlanden gefordert. Die einzigen beiden Polizisten, die sich zumindest offiziell während des Sommercamps blicken ließen, war die Besatzung eines Streifenwagens, die täglich ihren Mittagsimbiss in der Museums-Snack-Bar von Finowfurt holt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Das Hackerchaos dräut erneut in Berlin
« Antwort #62 am: 12 Dezember, 2007, 16:14 »
Zwischen Weihnachten und Neujahr lädt der Chaos Computer Club (CCC) Datenreisende mit Spaß am Gerät und politischer Debatte erneut zum größten europäischen Hackertreffen nach Berlin. Der 24. Chaos Communication Congress (24C3), der vom 27. bis zum 30. Dezember im Berliner Congress Center (bcc) am Alexanderplatz über die Bühne gehen soll, steht unter dem Motto "Volldampf voraus!". Damit verordnen sich die Datenreisenden nach skeptischen Einschätzungen über "verlorene Kriege" im Kampf gegen den unverhältnismäßigen Ausbau von Überwachungsstrukturen in den vergangenen Jahren nicht etwa eine rosarote Zukunftsvision. Vielmehr wollten die Veranstalter eine Assoziation finden zu der (literarischen) Bewegung des Steampunk, die vor allem in den USA ausgeprägt ist.

Bei der Gegenbewegung zum Cyberpunk gehe es um den "Spaß, unsere hochmoderne Industriezeit mit den Tagen der Einführung der Dampfmaschine zu vergleichen", erläutert Tim Pritlove vom Organisationsteam in einem anderthalbstündigen Sonder-Podcast der Reihe Chaosradio-Express. Damals wie heute würden sich Strukturen und Zusammenhänge von Ort und Zeit ändern. Steampunk habe in der Auseinandersetzung mit diesen Gemeinsamkeiten viele Ausprägungen entwickelt, die "Retro" und "Futurismus" mixen. Dies schlage sich unter anderem in einer "netten Bastelszene mit Messing-beschlagenen Laptops" nieder, die das viktorianisches Zeitalter mit Hightech zu verknüpfen suche. Passend zum Kongressmotto wollen CCC-Anhänger im Frack in einem der ersten Hauptvorträge einen Apparat für den Zusammenschluss einer historischen Telegraphenmaschine mit dem Internet präsentieren.

Die "Botschaft von innen" soll vier Tage lang gemäß Pritlove lauten: "Es ist so viel gegangen im Club wie schon lange nicht mehr." Deswegen sei der eigene CCC-Jahresrückblick wieder auf zwei Stunden ausgedehnt worden. Viele politische Themen zur Überwachung habe die Hackervereinigung in diesem Jahr beackern müssen, etwa im Rahmen des Streits um heimliche Online-Durchsuchungen. Rund um die geforderte Netzbespitzelung wollen die schöpferisch-kritischen Technikfreunde "Fehlinterpretationen" und "Mythen" beleuchten.

"Wir verlieren eine Schlacht nach der anderen", räumt Pritlove in politischer Hinsicht ein. So seien in diesem Jahr etwa mit der Verpflichtung zur Vorratsspeicherung von Telefon- und Internetdaten wieder eine Reihe von Überwachungsgesetzen beschlossen worden, die nun vom Bundesverfassungsgericht zurechtgerückt werden müssten. Es gebe aber auch Teilerfolge mit dem Wahlstift in Hamburg und dem Ausschluss von Wahlcomputern in Holland zu vermelden. Vorsichtig hoffnungsvoll stimmt Pritlove, dass "junge Leute wieder ein stärkeres Interesse an gesellschaftspolitischen Themen zeigen" und der Trend weg gehe von einer "rein verspielten Abenteuerlust mit der Technik". Bei der Berliner Großdemo gegen den "Überwachungswahn" in Staat und Wirtschaft sei zu spüren gewesen, "wir sind nicht die einzigen, die meinen, dass etwas falsch läuft", ergänzt in dem Podcast CCC-Sprecherin Constanze Kurz.

Das Organisationsteam konnte in diesem Jahr aus fast 200 Einreichungen für Vorträge auswählen. Um den Fahrplan für den Kongress trotzdem nicht zu überbordend wie in manchem Jahr zuvor zu gestalten, haben die Veranstalter die vierte Vortragsschiene aus dem Programm gestrichen. Es solle "nicht so stressig werden wie auf den Business-Konferenzen", begründete Kurz den neuen Ansatz. Dafür würden das Workshop-Angebot und der Lounge-Bereich unter dem Aufhänger "Art & Beauty" ausgedehnt. Raum für abwechslungsreiche Eigenbetätigung und Projekte bietet wie jedes Jahr zudem das Hackcenter. Gebastelt werden darf unter anderem an unbemannten Flugobjekten wie dem "Autopiloten" mit dem Titel "Paparazzi".

Im Bereich Datenschutz und Sicherheit stehen nicht zum ersten Mal unter anderem die Weiterentwicklung des derzeit löchrigen Anonymisierungsnetzes Tor sowie die "biometrische Vollerfassung" auf der Agenda. Vorgestellt werden auch das anonyme Zugangskontrollsystem OpenAccess sowie der Verschlüsselungsalgorithmus AES. Auf Sicherheitslücken untersucht haben Hacker zudem Spielekonsolen wie die tragbare Playstation oder die Xbox 360 und scheinbar einfache Alltagsgegenstände wie Barcodes.

Nicht fehlen darf die Auseinandersetzung mit "Hackerideologien" wie dem Open-Source-Phänomen. Falls noch Fragen offen bleiben, locken bunte Vorträge über die "Agenten des Bösen" beziehungsweise Verschwörungstheorien, Kommunismus im Weltraum, Überlebenstipps nach einem Aufstand der Roboter oder Sex 2.0 und das "Hacken der Heteronormativität". Unklar ist derzeit noch, wer die Eröffnungsrede halten wird. Wunschkandidat Bruce Sterling, der als Autor sowohl den Steampunk wie den Cyberpunk entscheidend mitgeprägt hat, musste passen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Hacker gegen 24-Stunden-Rundum-Überwachung
« Antwort #63 am: 27 Dezember, 2007, 14:08 »
Der 24. Chaos Communication Congress ( 24C3) startete am heutigen Donnerstag mit dem Appell, zukunftskompatiblere Regelungen als die Vorratsdatenspeicherung zu beschließen. "Unsere gesamte digitale Kommunikation soll für sechs Monate lang rund um die Uhr überwacht werden", kommentierte Tim Pritlove vom Veranstalter des viertägigen Hackertreffens, dem Chaos Computer Club (CCC), die Unterzeichnung des Gesetzes zur Neuregelung der Telekommunikationsüberwachung durch Bundespräsident Horst Köhler (CDU), im Berliner Congress Center (bcc). "Das kann einfach nicht sein",

Die versammelte Hackergemeinde erinnerte der Kongress-Zeremonienmeister an die Ansage des 2001 verstorbenen CCC-Mitgründers Wau Holland, einen "vorausschauenden Umgang" mit Gesetzen zu pflegen. Die Freunde eines "schöpferisch-kritischen" Umgangs mit der Technik rief Pritlove zugleich auf, der Öffentlichkeit nun zu zeigen, wie man die verdachtsunabhängige Vorratsdatenspeicherung umgehen und damit gleichsam "hacken" könne. Auf dem Programm stehen während der traditionell zwischen den Jahren stattfindenden Veranstaltung in diesem Bereich etwa Vorträge zur Weiterentwicklung des derzeit löchrigen Anonymisierungsnetzes Tor. Zugleich verwies Pritlove auf eine wachsende neue Bewegung zur Stärkung des Datenschutzes unter dem Dach des Arbeitskreises Vorratsdatenspeicherung, die ihre Präsenz dieses Jahr etwa mit einer Großdemo gegen den Überwachungswahn im September in Berlin gezeigt habe.

Der Kongress steht dieses Jahr unter dem Motto "Volldampf voraus" und knüpft so an die Steampunk-Bewegung an. Darin geht es um die Verknüpfung der Ausgeburten des Hightech-Zeitalters mit frühen technischen Errungenschaften und Moden aus den Tagen der Einführung der Dampfmaschine. Gleich nach der Eröffnung wollte in diesem Sinne eine Bastlergruppe in schwarzem Anzug beziehungsweise Frack einen Versuch starten, eine mit Dampfkraft angetriebene Telegrafenmaschine mit dem Internet zu verknüpfen. Das Vorhaben scheiterte aber, da den Hackern wenige Tage vor dem Kongress der selbstgebaute Heizkessel in Form eines abgewandelten Feuerlöschers um die Ohren geflogen war. Wer heute die Bauteile für eine Dampfmaschine über den Einzelhandel zu bekommen versuche, werde oft für verrückt erklärt, schilderte ein Vertreter der Truppe die Schwierigkeiten des Projekts. Er zeigte sich aber zuversichtlich, dass die auch mit einem gängigen Dampftop arbeitende "Better Than Nothing Steam Engine" (BTNSE) im kommenden Jahr funktionsfähig sei.

Schon besser läuft der Telex-Anteil des geplanten Steampunk-Systems. Mit einem selbstgebauten Adapter und einem Netzwerktreiber schafften es die Hacker, auf einem frisch erstandenen Telex-Gerät aus der Mitte des vergangenen Jahrhunderts den RSS-Feed des Kongresse in Grundzügen ausdrucken zu lassen. Das Gerät böte zwar nur Übertragungsraten mit 50 Baud beziehungsweise Bit pro Sekunde. Dies sei aber nach wie vor die Standardgeschwindigkeit etwa auch bei GPS. Es gilt nun nach Ansicht der Bastler, der "Agonie" des Telex-Netzwerkes entgegenzuwirken. Die Deutsche Telekom stelle ihren entsprechenden Dienst zwar am 1. Januar ein. Trotzdem sei das Netzwerk, das bereits in den 1930ern den globalen Nachrichtenaustausch beflügelte, gerade in Zeiten der Vorratsdatenspeicherung als Rückzugsraum für die Hackergemeinde wichtig: "Die Regierung spricht immer über die Beobachtung von Internet und E-Mail, nicht die Rede ist dagegen von Telex."

Generell erklärte Pritlove zum Ablauf des Kongresses, dass es "etwas weniger Vorträge", dafür aber etwa eine "größere Lounge-Ecke" gebe. Viele CCC-Aktivisten seien noch ausgepowert vom Chaos Communication Camp im August im Berliner Umland, das über 2000 Zeltlagerfans anlockte. Die geplante Keynote mit einem international profilierten Sprecher fiel daher in diesem Jahr aus. Die auf die Beine gestellten Vorträge sollen live im Internet übertragen und in einer späteren Dokumentation auf Abruf zur Verfügung stehen.

Wie im vergangenen Jahr experimentiert der CCC wieder mit dem Sputnik-Projekt, in dessen Rahmen ein "Chaos Positioning System" mit Hilfe der Funktechnik RFID aufgebaut werden soll. Es gehe darum zu verstehen, "was starke Überwachung wirklich bedeutet", erläuterte Pritlove. Auf dem Kongress werde der Versuch aber anonym ablaufen. Erneut unter der internen Rufnummer 1042 im Kongress-eigenen Telefonnetz geschaltet ist die "Hacker Ethics Hotline". Sie soll vor allem junge Tester von Sicherheitslücken, die etwas zu stark unter Dampf stehen, davon abhalten, vorschnell möglicherweise weit reichende Hacks auszuführen. Der CCC predigt seit langem Grundsätze der Hackerethik. Sie umfassen etwa Ermahnungen, öffentliche Daten zu nützen und private Informationen zu schützen. Zudem sei es unstatthaft, in Daten Dritter "zu müllen".

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Kampf gegen Schäubles Computerwanze
« Antwort #64 am: 27 Dezember, 2007, 18:03 »
Seit Bundesinnenminister Wolfgang Schäuble (CDU) dem Bundeskriminalamt (BKA) mit den heftig umstrittenen heimlichen Online-Durchsuchungen eine Lizenz fürs "staatliche Hacken" für die Terrorabwehr in die Hand geben will, herrscht beim Chaos Computer Club (CCC) Hochkonjunktur. "Wir sind noch nie vorher mit einer derartigen Masse an Anfragen überhäuft worden", erklärte Constanze Kurz, Sprecherin der intergalaktischen Vereinigung von Datenreisenden, am heutigen Donnerstag beim 24. Chaos Communication Congress (24C3) in Berlin. Wie man sich gegen die Ausschnüffelung durch den so genannten Bundestrojaner schützen könne, würden die besorgten Bürger vordringlich von den "guten" Hackern gern wissen. Das Wissen in der Bevölkerung, wie man die Spionagelösung etwa durch die richtige Konfiguration von Firewalls und anderen Sicherheitsmechanismen abwehren könne, müsse deutlich erhöht werden.

Das ganze Jahr über rätseln Experten und Medien bereits, wie die im Behördenslang als " Remote Forensic Software (RFS) bezeichnete Computerwanze auf die Zielrechner kommen soll. Als Varianten seien vor allem die E-Mail vom Amt mit einem entsprechenden Anhang oder den Einbau der Software in ausführbare Dateien über den Internetprovider im Gespräch, zählte Andreas Bogk vom CCC auf. Es sei auch denkbar, dass die Ermittler versuchen würden, mehr oder weniger bekannte Schwachstellen wie Exploits zu nutzen, um den Trojaner zu installieren. Am wahrscheinlichsten ist es für den Hacker aber, dass die Wanze in Hardwareform im Rahmen einer heimlichen Wohnungsdurchsuchung eingebaut wird. Entsprechende "USB-Teile" seien in Form eines Keyloggers zur Aufzeichnung von Tastatureingaben bereits in einem Internet-Café entdeckt worden. Zu diesem Ansatz passe auch, dass Kriminalämter jüngst eine Befugnis für verdeckte Wohnungsdurchsuchungen gefordert und dabei etwa vom niedersächsischen Innenminister Uwe Schünemann (CDU) unterstützt worden seien.

Unklar erscheint den Hackern, wieso offiziell von 200.000 Euro für die Programmierung von Bundestrojanern die Rede ist. "Mehr Geld wäre da", betonte CCC-Veteran Felix Leitner alias Fefe. So seien Millionen über das Programm zur Stärkung der inneren Sicherheit abrufbar. Überhaupt würden sich die Ausführungen des Bundesinnenministeriums zur Technik der Online-Razzien eher "bodenständig" anhören, während mit dem Entwurf für die Novelle des BKA-Gesetzes "deutlich mehr gehe".

Für Fefe sind die offiziellen Informationen zum Bundestrojaner von zahlreichen Widersprüchen gekennzeichnet. Da werde einerseits etwa behauptet, dass die "RFS" von außen gar nicht ansprechbar sein solle. So wolle man verhindern, dass die Software von einer "dritten Macht" übernommen werden könne. Anderseits laute die Ansage, dass sich das Programm sich bei Entdeckung "rückstandslos" deinstalliere. Dafür sei natürlich eine Kommunikation mit der Software erforderlich. "Wir freuen uns auf die erste Gerichtsverhandlung, wo dies nachzuvollziehen sein wird", meinte Fefe. Auch beim ersten Prozess rund um die verschärften Hackerparagraphen würden die CCC-Vertreter zudem im Ministeriumsstil behaupten, dass mit der betroffenen Software keine Schadroutinen verbunden wären.

Die größte "Schmach" für die Bundesregierung ist es laut Kurz gewesen, dass sie mitten in der Debatte über die Netzbespitzelungen zugeben musste, "dass sie selbst von chinesischen Hackern versucht worden ist". Sie beendete zugleich Spekulationen, dass Schäuble bereits einen Antrag auf CCC-Mitgliedschaft im Vorfeld der künftigen Hackeraufgaben der ihm unterstellten Behörden gestellt habe. Als "ständige Gäste" bei CCC-Veranstaltungen wie dem Jahreskongress bezeichnete Bogk dagegen Abgesandte des Bundesnachrichtendienstes (BND). Dem Auslandsgeheimdienst traute er daher am ehesten das benötigte Know-how zu, um einen Bundestrojaner zu programmieren. Andere Sicherheitsbehörden wie der nordrhein-westfälische Verfassungsschutz würden daher im Rahmen der "Amtshilfe" auf dessen Lösungen zurückgreifen. Das BKA wolle darauf aber nicht angewiesen sein und daher eigene Verfahren zur heimlichen Online-Durchsuchung entwickeln.

Nicht ungeschoren davon kam die Bundesregierung auch bei ihren Erklärungsversuchen zur so genannten Quellen-Telekommunikationsüberwachung. Dabei geht es um das Abgreifen von Inhalten bei der Internet-Telefonie vor einer Verschlüsselung, wie sie etwa Skype durchführt. Die Behauptung, das Fernmeldegeheimnis werde beim Abgreifen der Kommunikation vom Mikrofon noch vor dem Einspeisen in eine Telefonleitung ab, ist laut Bogk zwar trickreich und verberge einen möglichen Trojanereinsatz für diese Zwecke. Allerdings müsse man die Maßnahme dann wohl als akustische Wohnraumüberwachung auffassen, bei der das Bundesverfassungsgericht bereits hohe Hürden wie den erforderlichen Schutz des Kernbereichs der Privatsphäre aufgestellt habe. Ein entsprechendes Grundsatzurteil wie zum großen Lauschangriff erwarten sich die Hacker nun auch aus Karlsruhe im Rahmen der Verhandlung über heimliche Online-Durchsuchungen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Haushaltshacker testen das Pfandsystem
« Antwort #65 am: 28 Dezember, 2007, 09:57 »
Die Sicherheitskriterien für die Rückgabe von Pfandbeträgen bei leeren Getränkedosen oder Einwegflaschen sind laut "Voruntersuchungen" von Hackern nicht sonderlich schwer zu überwinden. Die meisten Geräte zur Pfandrückgabe seien "sehr liberal", erläuterte Nils Magnus auf dem 24. Chaos Communication Congress (24C3) in Berlin am gestrigen Donnerstag. Die Automaten "nehmen eine ganze Menge an". So habe er bei eigenhändigen Tests etwa mit dem Abkleben der Logos der Deutschen Pfandsystem GmbH (DPG) oder der Barcodes experimentiert. In vielen Fällen hätten die Geräte trotz dieser einfachen Methoden zur Aushebelung des Sicherheitssystems das Leergut geschluckt und einen Bon für die Pfandrückzahlung ausgespuckt.

Die DPG rüstete das Sicherheitssystem im vergangenen Jahr nach. Als prinzipiell eines der wichtigsten Prüfbestandteile nannte Magnus das blaue Logo, das sich über die Webseite der Pfandfirma interessanterweise in einer hohen Auflösung mit bis zu fünf Megabyte umfassenden Dateien runterladen lasse. Angeblich dürften die Signets aber nur von einer europaweit überschaubaren Zahl von Herstellern in einer Spezialfarbe produziert werden. Im Zweifelsfall würden einzelne Automaten aber auch Flaschen ohne erkennbares Logo durchgehen lassen. Nicht wirklich relevant sei zudem das Gewicht von Flaschen, da etwa auch halbleere oder mit sonstigen Restmengen an Flüssigkeiten gefüllte akzeptiert würden.

Bleibt der Barcode als zentrales Ausschlusskriterium. Die DPG setzt hier auf die Artikelnummerkategorie EAN-8 oder -13, spezifiziert von der GS1-Gruppe. Benutzte Zahlenkombinationen können dabei laut Magnus sogar über eine spezielle Webplattform in einer zentralen Datenbank hinterlegt werden. Eigene Barcodes seien ferner mit der Skriptsprache PHP über gesonderte Programme zu erzeugen. Generell solle mit der Identifikationsnummer eigentlich gewährleistet werden, dass jede Flasche nur einmal abgerechnet werde. Dies funktioniere aber nicht immer. Hier könne man etwa mit einem an einer Schnur befestigten Leergutstück, das aus dem Automaten vor dem Schreddern rasch wieder herausgezogen werde, noch weitere Experimente anstellen.

In den Tipps für "Desperate House-Hackers", wie Magnus seinen Vortrag überschrieben hatte, zeigte der Sicherheitstester erste Ansätze für den "Pfandbetrug Marke Eigenbau" auf. So könne der verzweifelte Heimtüftler zum Beispiel Barcode und DPG-Logo fotografieren, ausdrucken und auf eine Flasche ohne Pfand aufkleben. Dies haue häufig hin. "25 Cent kriegt man relativ einfach ausgezahlt." Notfalls könne man immer noch das Personal rausklingeln und diesem sorgenvoll mitteilen, dass der Automat anscheinend spinne. Natürlich seien die eingenommenen Kleinbeträge nach den entsprechenden Versuchen für einen guten Zweck gespendet worden. Insgesamt sei das Schadenspotenzial in diesen Einzelfällen aber überschaubar. Den einigen 100 Millionen nicht eingelöster Pfandflaschen, die von der regierungsnahen Beratungsgesellschaft Roland Berger angeblich in das System einberechnet worden seien, und den damit verknüpften Gewinnen für den Handel dürfte der Privatmissbrauch vermutlich wenig anhaben können.

Lukrativer könnte sich laut Magnus theoretisch ein Herumspielen mit den Barcodes erweisen, welche die Pfandautomaten als Gutscheine ausspucken. Ursprünglich sei vorgesehen gewesen, dass diese nur am Tag der Leergutabgabe einlösbar sein sollten. Diese geplante Restriktion sei aber nicht durchsetzbar gewesen. Anscheinend nutze der Handel beziehungsweise die DPG hier aber ein einmaliges System, in dem Barcodes nicht mehrfach zu verwenden seien. Zudem müsste man die Nummern auch zumindest auf Thermopapier ausdrucken, um nicht von vornherein aufzufliegen.

Gedanken machte sich der Hacker auch über einen denkbaren "Enterprise"-Ansatz zur Aushebelung der Sicherheitsfunktionen für Großbetrüger. Die Medienberichte über 150.000 "Pfandflaschen" mit gefälschten Etiketten und Barcode aus litauischer Produktion, die angeblich in Itzehoe in das Pfandsystem eingeschleust werden sollten, hält Magnus zwar für überzogen. "Da bräuchte man rund 20 Stunden und 50 Minuten", um diesen Vorrat im Akkord an Automaten zu verfüttern, rechnete er vor. Bei einem Pfandwert von rund 38.000 Euro läge der Stundenlohn andererseits bei gut 1.800 Euro abzüglich der Herstellungskosten. Dies sei zwar immer noch viel Arbeit, könne das Verfahren aber doch lukrativ erscheinen lassen.

Gerüchten, dass Einzelhändler oder Discounter selbst an derartigen Betrugsversuchen beteiligt sein könnten, schenkte Magnus wenig Glauben. Dafür sei das Abrechnungssystem im Hintergrund zu kompliziert: "Jede abgegebene Flasche erzeugt einen einzelnen Datensatz, der digital signiert und über mehrstufige Verfahren zusammengefasst wird." Da müsse man schon sehr ausgeklügelte Wege finden, um die kryptographischen Daten zu hacken.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Hackerfreiräume und Anonymisierungsdienste
« Antwort #66 am: 28 Dezember, 2007, 11:25 »
Der Chaos Computer Club (CCC) hat keine Anzeichen für gezielte staatliche Repressionsmaßnahmen gegen die Betreiber von Servern für das Anonymisierungsnetzwerk Tor (The Onion Router) hierzulande. "Wir haben grundsätzlich positive Erfahrungen mit den Strafverfolgern gemacht", erklärte Julius Mittenzwei am gestrigen Donnerstag auf dem 24. Chaos Communication Congress (24C3) in Berlin. Der Rechtsanwalt betreut die Missbrauchsabteilung für die Anonymisierungsdienste, welche die Hackervereinigung in Form eines Tor-Servers und der Unterstützung des Projekts Java Anonymising Proxy (JAP) derzeit betreibt. Mit den Ermittlern könne man immer reden. Selbst die Beschlagnahme von Tor-Servern im September 2006 durch die Staatsanwaltschaft Konstanz sei "Beifang" größerer Ermittlungen wegen Kinderpornografie und damit aus Perspektive der damaligen Fahndungsarbeit "wohl rechtmäßig" gewesen.

Im vergangenen Jahr hatte Roger Dingledine, der Programmierer der freien Software für das Tor-Netzwerk, die deutschen Behörden noch als Vorhut im Kampf gegen datenschutzfördernde Techniken im Internet ausgemacht. Inzwischen scheinen Hacker und Strafverfolger dazugelernt zu haben. "Erdgeist" vom CCC führte "Strafverfolger mit Morgenbesuchen" zwar nach wie vor in seiner Liste der "natürlichen Feinde von Anonymisierungsdiensten" neben gestressten Providern oder "komplexen Setups" bei der Konfiguration des Tor-Clients.

Die meisten Ermittler würden derzeit vor allem aber eine schriftliche Bestätigung erhalten wollen, dass sie auch bei einer genauen Durchsuchung von Tor-Servern "nichts finden würden", erläuterte Mittenzwei. Es gehe ihnen darum, eine Akte damit möglichst rasch schließen zu können. Er müsse den Fahndern aber zuvor immer wieder genau erklären, warum ihnen in Fällen unter Einbezug von Anonymisierungsnetzen aufgrund ausbleibender Datenspeicherung "nicht viel weiter geholfen werden könne". Hilfreich seien auch Hinweise auf die Haftungsprivilegien für Provider im Telemediengesetz oder bei hartnäckigen Fällen auf die ursprüngliche Finanzierung von Tor durch die US Navy.

In den rund zwei Jahren, in denen der CCC bereits Anonymisierungsdienste anbietet, sind den Datenreisenden nach Angaben Mittenzweis 15 Anfragen von Staatsanwaltschaften, zwei Anordnungen zur Telekommunikationsüberwachung, zirka 25 Anfragen der Polizei sowie zwei Vorladungen ins Haus geflattert. Auch der Konstanzer Beschlagnahmungsaktion, die inzwischen laut dem Anwalt in Einstellungen der Verfahren ohne Tatverdacht endete, entging der Tor-Server des Clubs nicht. Bezeichnend ist, dass sich ausländische Ermittler überhaupt nicht wegen der Anonymisierungsangebote an den CCC wandten.

Keinesfalls beantwortet werden konnten laut dem Juristen Anfragen zur Herausgabe von Verbindungsdaten. Bei JAP hätten generell in die Zukunft gerichtete Abhörmaßnahmen aufgrund der dort vorgesehenen Überwachungsschnittstelle eingerichtet werden können. Bei einer Ermittlung aufgrund eines Wurms, der volksverhetzende E-Mails verschickt habe, sei diese aber wegen der Angabe einer falschen URL in der Anordnung ins Leere gelaufen. In einem Erpressungsfall habe eine IP-Adresse in den Log-Dateien ferner lediglich auf eine Karibikinsel verwiesen und die Spur sei so im Sand verlaufen. "Wer wirklich was zu verbergen hat, baut zwei, drei weitere Sicherheitsnetze ein", ist sich Mittenzwei daher sicher. "Die bösen Jungs wird man so eh nicht fangen." Diese würden im Zweifelsfall dann auch über gekaperte Internetrechner gehen.

Angesichts der drohenden Verpflichtungen zur Vorratsspeicherung von Verbindungs- und Standortdaten riet Mittenzwei zum Abwarten und Teetrinken. Ein Tor-Server-Betreiber der German Privacy Foundation (GPF) hatte jüngst davor gewarnt, dass privat unterhaltene Rechner für das Anonymisierungsnetzwerk aufgrund der strengen strafprozessoralen Anforderungen aus dem heftig umstrittenen Gesetz zur Neuregelung der Telekommunikationsüberwachung kaum noch aufrecht erhalten werden könnten. Dabei sind sich Experten einig, dass über DSL betriebene, auch nur zeitweilig für Tor geöffnete Ausgangsknoten (Exit Nodes) wichtig sind für das gesamte Anonymisierungsnetz. Hintergrund ist, dass sie keine statische IP-Adresse haben und somit weniger leicht auf eine Filterliste von Zensoren wandern können.

Trotzdem gab Mittenzwei das Motto "keine Panik" aus. Zum einen würden alle Bestimmungen aus der Gesetzesnovelle erst 2009 mit Bußgeldern durchgesetzt. "Wir können sie bis dahin komplett ignorieren." Bis zum Stichtag könne dann die ein oder andere Verfassungsbeschwerde gegen die Vorratsdatenspeicherung greifen. Zum anderen stünde die technische Richtlinie zur Umsetzung der Auflagen zur Massendatenlagerung noch aus. Es sei damit unklar, ob Anonymisierungsserver tatsächlich betroffen seien. Davon ist in der Begründung des Gesetzes bislang ausdrücklich die Rede.

Der CCC-Anwalt bezweifelt dagegen, dass private DSL-Nutzer, die ihre Kapazitäten hin und wieder für Tor freischalten, überhaupt zu den gesetzlich erfassten "Betreibern von Telekommunikationsdiensten" gehören. Generell sei umstritten, ob ein Anonymisierungsserver nicht eher zu den Telemediendiensten zu zählen sei und damit in einen anderen gesetzlichen Anwendungsbereich falle. Selbst mit den bei der Vorratsdatenspeicherung aufzubewahrenden Informationen könnten die Strafverfolger ferner letztlich nicht viel anfangen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Gezielte Trojanerattacken im Informationskrieg
« Antwort #67 am: 28 Dezember, 2007, 13:59 »
Der belgische Sicherheitsberater Maarten Van Horenbeeck hat auf dem 24. Chaos Communication Congress (24C3) in Berlin am gestrigen Freitag die Spuren einiger geschickter Trojaner-Attacken nach eigenen Angaben in Richtung China zurückverfolgt. Zugleich brachte er sie in Zusammenhang mit Taktiken der informationellen Kriegsführung, bei denen es um das Erreichen von Kontrolle über den Gegner gehe. "Das Sammeln von Informationen steht im Vordergrund, um damit Entscheidungsprozesse zu beeinflussen", erklärte der Experte am gestrigen Donnerstagabend der versammelten Hackergemeinde in seinem Vortrag über gut versteckte Schadsoftware. Diese Ziele könnten durchaus mit den vor allem in den USA und in China entwickelten Theorien des Infowar und psychologischer Operationen gesehen werden.

Hierzulande sorgten angeblich aus China stammende Trojaner im Vorfeld eines Besuchs von Bundeskanzlerin Angela Merkel (CDU) in Peking Ende August für Aufsehen, da sie sogar Wege auf Rechner ins Kanzleramt und andere Bundesbehörden gefunden haben sollen. Laut Van Horenbeeck startete die immer wieder mit China in Verbindung gebrachte Trojaner-Invasion 2005 mit einem unauffällig per E-Mail dahergekommenen Bildschirmschoner-Objekt mit dem Namen dot.scr, das eine ausführbare Datei erhielt. Diese führe eine Suche im Domainnamensystem (DNS) nach der Webadresse faluninfo.3322.org aus, öffne eine Verbindung über Port 80 und öffne einen Administrator-Fernzugriff auf eine Hintertür.

Anders als gängige Trojaner hat sich der offenbar gegen die von Peking unterdrückte Glaubensgemeinschaft Falun Gong gerichtete Schädling dem Berater zufolge vergleichsweise unauffällig verhalten. Er habe dazu die Technik des "Domain Parking" verwendet, bei der die meiste Zeit keine leicht feststellbare Datenabfrage bei externen Servern erfolge. Vielmehr werde diese nur jeweils kurzzeitig durchgeführt, während ansonsten auf den lokalen Rechner ohne Verbindung nach draußen verwiesen werde. Aufzudecken sei die Trojanerattacke auf einem einmal infizierten vernetzten PC daher am ehesten noch durch das Skript DNSWatch, das alle zehn Minuten eine DNS-Abfrage durchführe, oder über Server an großen Universitäten, die sogenannte passive DNS-Kopien automatisch erstellen und sämtliche DNS-Kontakte aufzeichnen. Dabei habe sich herausgestellt, dass der Trojaner mehrfach innerhalb einiger Tage immer wieder an- und abgestellt worden sei. Aufgrund dieser "Zurückhaltung" hätten ein Jahr nach Entdeckung des unerwünschten Eindringlings nur wenige Virenscanner auf diesen reagiert.

2006 folgte gemäß Van Horenbeeck ein nach wie vor aktiver Trojanerangriff mit einer als HuJintao.doc betitelten Word-Datei. Dieser nutze die Schwachstelle MS05-035 aus, welche die Ausführung beliebigen Codes auf einem Windows-Rechner nach einem kurzen erzwungenen Absturz des Textverarbeitungsprogramms erlaube. Der Schädling verbinde sich zunächst mit einem Server in den USA, der sich wiederum mit einem Rechner im Netz von ChinaNet in Verbindung setze, einem der größten Zugangsanbieter im Reich der Mitte. Der benutzte Trojaner sei eine leicht abgewandelte Version des Schädlings "W32/Riler.J" und verschaffe dem Angreifer Zugang zu dem kompromittierten System mit der Fähigkeit, nach bestimmten Dateien zu suchen und sogar neue Dokumente zu hinterlassen oder zu kreieren. Auch in diesem Fall hätten im Jahr 2007 nur neun von 36 Anti-Virenprogrammen den Schädling erkannt und 15 aufgrund des eingebetteten Codes zumindest Alarm geschlagen.

Im April erregte ein ungewöhnlicherweise in einem reinen HTML-Anhang daherkommender Trojaner die Aufmerksamkeit des Belgiers. In der angehängten Webseitendatei sei es um eine Petition gegangen, in der Peking zur höheren Achtung von Menschenrechten aufgefordert werden sollte. Die dazugehörige E-Mail sei aus Taiwan gekommen, aber über einen australischen Mailserver verschickt worden. Sie habe den Skriptcode für den Schädling "JS dropper" enthalten, der eine ausführbare Datei herunterzuladen und eine Hintertür zu installieren versuche. Auch hier wiederum konstatierte der Experte Fehlanzeige bei den meisten gängigen Viren-Scannern.

Seit Mai hat Van Horenbeeck nun immer ausgefeiltere Trojanerattacken etwa über Microsoft Word, Powerpoint oder Excel registriert, bei denen die Schädlinge immer besser verpackt worden seien. Im Juli sei auch eine Attacke über eine Schwachstelle im Archivierungswerkzeug WinRAR dazugekommen, die auf traditionellen chinesischen Systemen ausgeführt werde. Im Oktober hätten sich die Angreifer ferner einen sogenannten Zero-Day-Exploit zunutze gemacht. Ihr Schädling sei dabei sechs Stunden vor der offiziellen Bekanntgabe der Schwachstelle und der gleichzeitigen Veröffentlichung eines Sicherheitsupdates versandt worden. Methodisch hätten sich die nicht leicht identifizierbaren Cybergangster, hinter denen Van Horenbeeck am ehesten noch chinesische Gruppen wie NCPH oder Titan Rain vermutet, zudem fortentwickelt. Abgesehen haben sie es demnach verstärkt auch auf Passwörter und Login-Namen für E-Mail-Dienste oder andere Webangebote.

Als Gegenmaßnahme gegen die gezielte Ausschnüffelung, die vor allem Rechner im Umfeld von Behörden und Unternehmen betreffe, pocht Van Horenbeeck vor allem auf einen effektiveren Informationsaustausch über entsprechende Trojaner-Angriffe. Die Bundesregierung hat dazu im Einklang mit der Wirtschaft im September eine Implementierungsskizze für den "Nationalen Plan zum Schutz der Informationsinfrastrukturen" verabschiedet. Auch das "Härten" von Betriebssystemen hält der Berater für eine gute Idee. Werkzeuge wie MOICE etwa könnten helfen, eine bessere Kontrolle über die Abläufe in Microsofts Office-Paket zu erhalten. Ansonsten helfe nur eine gute Überwachung des eigenen Netzwerkverkehrs und allgemeine Wachsamkeit.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Scharfe Kritik an der Fluggastdatensammlung
« Antwort #68 am: 28 Dezember, 2007, 16:53 »
Eine Auseinandersetzung mit der staatlichen Datensammelwut dies- und jenseits des Atlantiks unter dem Aufhänger des Kampfs gegen den internationalen Terrorismus stand am heutigen Freitag mit auf dem Programm des 24. Chaos Communication Congress (24C3) in Berlin. Konkret bemängelte Erik Josefsson als Brüsseler Vertreter der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) in Europa, dass nach der Vorratsspeicherung von Telefon- und Internetdaten die EU-Kommission nun unter anderem das Horten von Flugpassagierdaten vorantreibe. Mit ihrem Vorschlag zum Aufbau eines eigenen Systems zur Auswertung von Passenger Name Records (PNR) und dem bereits installierten vergleichbaren US-System, so die Kernkritik des Interessenvertreters, hätten Sicherheitsbehörden beider Regionen letztlich vollen Zugriff auf die kompletten Kundensysteme der Fluglinien.

Offiziell sieht das EU-Papier vor, dass die Fluggastdaten in einem dezentralen System regulär insgesamt 13 Jahre vorgehalten werden müssen. Die Fluglinien sollen die begehrten Mitteilungen, die unter anderem Namen, Geburts- und Flugdaten, Kreditkarteninformationen, besondere Essenswünsche, Buchungen für Hotels oder Mietwagen sowie E-Mail-Adressen und Telefonnummern enthalten, spätestens 72 Stunden vor dem Start sowie direkt nach dem Abfertigen einer Maschine an sogenannte Passagier-Informationseinheiten (Passenger Information Units, PIUs) in jedem Mitgliedsstaat weiterleiten und somit für den Zugriff durch Sicherheitsbehörden öffnen. Für europäische Carrier ist ein Push-System vorgesehen, in dem sie die Fluggastdaten aktiv zur Verfügung stellen. Bei ausländischen Fluglinien mit Transporten Richtung EU ist zusätzlich geplant, dass sich die PIUs auch selbst gemäß dem sogenannten Pull-Verfahren in deren Datenbanken mit den PNR eindecken können.

Für das Push-Verfahren sind die bestehenden Datenbanken der Airlines und das dahinter stehende Sabre-Reservierungssystem aber gar nicht ausgerichtet, brachte Josefsson nun schwere Bedenken gegen den Brüsseler Plan vor. Die bestehenden Strukturen zur Verwaltung der Kundendaten und PNR müssten daher grundlegend überarbeitet werden, was teuer käme. Bis dahin hätten die Behörden letztlich in Echtzeit Zugang zu den Systemen, so wie es auch im Rahmen des Abkommens zwischen Washington und Brüssel zur Fluggastdatenweitergabe der Fall sei.

Eine Besucherin des Hackerkongresses aus den USA bestätigte, dass im Rahmen des transatlantischen Datentransfers deutlich mehr Informationen erfasst und gespeichert würden, als offiziell angegeben. So habe sie nach der Teilnahme auch am Vorjahrestreffen der Hackergemeinde in Berlin beim zuständigen US-Heimatschutzministerium, dem Department of Homeland Security (DHS), ihre aufgezeichneten PNR-Einträge abgefragt. Dabei sei herausgekommen, dass neben der Atlantiküberquerung auch Anschlussflüge etwa von Berlin nach Prag in der Datenbank verzeichnet seien. Für Josefsson besteht daher kein Zweifel daran, dass auch bereits alle innereuropäischen Flüge in den PNR-Archiven der USA mit aufbewahrt werden. EU-Datenschutzbeauftragte drängen zwar seit längerem auf die Umstellung auf die Push-Methode, doch getan hat sich in dieser Hinsicht bei den Fluggesellschaften bislang offenbar nichts.

Auch andere Datenschutzvorkehrungen im EU-Vorschlag sowie im US-PNR-System taugen laut dem EFF-Vertreter wenig bis nichts. So sichern Brüssel und Washington zu, dass besonders sensible Daten aus den Flugpassagierangaben wie etwa zu Rasse, sexueller Ausrichtung, Gewerkschaftsangehörigkeit oder Krankheiten ausgesondert werden sollen. Der Haken dabei ist Josefsson zufolge, dass zusätzlich gemäß den Vorgaben eine Aufzeichnung von Änderungen an den PNR-Beständen vorzunehmen ist. In diesen Log-Dateien würden vermutlich also auch die ausgefilterten Daten doch erfasst bleiben. Allgemein schloss sich der Bürgerrechtsanwalt der sorgenvollen Stellungnahme des europäischen Datenschutzbeauftragten Peter Hustinx an, wonach die EU mit dem Gesetzesentwurf weiter in einen Überwachungsstaat Orwellschen Ausmaßes abdrifte.

Weiter warnte Josefsson davor, dass das DHS seine Systeme zur Einreisekontrolle derart umzuprogrammieren gedenke, dass jeder Ausländer beim Flug in die USA zunächst eine individualisierte Erlaubnis zum Betreten des Staatsgebietes erhalten müsse. Dafür sollten im Anklang an Systeme zum digitalen Rechtekontrollmanagement (DRM) Verfahren zum sogenannten Personal Rights Management (PRM) zum Einsatz kommen. Da das US-PNR-System mit dem europäischen Vorschlag weitgehend abgestimmt sei, dürften entsprechende Forderungen demnächst dann auch ergänzend aus Brüssel zu hören sein. Zweifelhaft sei dagegen, ob derartige Bestimmungen mit Abkommen wie dem Internationalen Pakt über bürgerliche und politische Rechte (ICCPR) der UNO vereinbar seien.

Insgesamt hofft Josefsson, dass Bürgerrechtsvertreter den politischen Entscheidungsprozess in Brüssel noch beeinflussen können und anders als in den USA nicht immer hauptsächlich auf den Rechtsweg gegen ausufernde Überwachungsprojekte angewiesen seien. Das EU-Parlament dürfe im Fall der PNR-Sammlung aber nur eine Stellungnahme abgeben, die der federführende EU-Rat und die Kommission nicht groß beachten müssten. Generell müsste daher stärker darauf geachtet werden, dass Datenschutzregeln schon auf technischer Ebene in neuen IT-Systemen verankert werden.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Paparazzi - Open-Source-Autopilot für Modellflugzeuge
« Antwort #69 am: 29 Dezember, 2007, 10:11 »
Demo von Flugplanänderungen zweier autonomer Modellflieger über Netzwerke

Auf dem derzeit in Berlin stattfindenden 24. Chaos Communication Congress (24C3) zeigten Martin Müller und Antoine Drouin von der Ecole Nationale de l'Aviation Civile (ENAC) vor versammeltem Hacker-Publikum wie ein wenig kostenintensiver GPS-basierter Autopilot aussieht. Mit der ebenfalls dafür entwickelten Software lassen sich mit einem Netzwerk sogar mehrere Flugzeuge an verschiedenen Standorten verwalten.
Paparazzi ist ein vielversprechender Versuch, eine freie und gleichzeitig günstige Hard- und Softwarelösung zu finden um Modellflugzeugen (Sowohl Dreh- als auch klassische Starrflügelflugzeuge) per Autopilot fliegen zu lassen.

In Berlin demonstrierten Müller und Drouin die Fähigkeiten des Paparazzi-Systems über Netzwerke. In Hildesheim und Toulouse standen Modellflugzeuge mit Kamera, GPS und Autopilot bereit. Für den Start der Flieger und zur Sicherheit war vor Ort jeweils Modellflugzeugpilot vorhanden. Kommuniziert wurde mit den Teams ganz herkömmlich via Jabber und Mobiltelefon.

Der Start und die Landung muss noch manuell durchgeführt werden und entsprechend abgesprochen werden. Bei Problemen übernimmt zudem ein normaler Pilot vor Ort die Kontrolle. Während der Demonstration bewegte sich jedoch ein Flieger außerhalb des Sichtbereichs des Piloten vor Ort, was aus Berlin aber schnell korrigiert wurde. Ursprünglich sollte auch in Istanbul ein Flieger bereitstehen, das klappte jedoch mangels Reservepilot nicht.

Paparazzi Ground Control Station

Über eine einfache DSL-Leitung wurden von beiden Standorten Livebilder und Flugdaten der Flugzeuge übertragen und in der "Paparazzi Ground Station" präsentiert. Von Berlin aus wurden die beiden Flieger Anhand von Wegpunkten gesteuert, während die Anwesenden die Bilder von deren Kameras sehen konnten. Dank einer Integration von Google Earth wurden die Navigationsdaten anschaulich präsentiert und Änderungen der Navigationspunkte waren genauso nachvollziehbar wie die Flugroute und die engeblendeten Bilder. Die Projektteilnehmer betonten, dass ihnen auch die Ergonomie der Software wichtig ist.

Der Autopilot selbst kann mit den Kameradaten nichts anfangen. Vielmehr ist die Kamera eine reine Nutzlast. Über einen GPS-Empfänger an Bord des Modells erfolgt die Bestimmung von Position und Richtung, das Flugobjekt wird Anhand eines Flugplans gesteuert. Der Autopilot beherrscht dabei auch verschiedene Figuren, die um einen Navigationspunkt geflogen werden, etwa ein Kreis oder eine Acht.

Für die Höhenbestimmung nutzen die Flieger vier günstige Infrarot-Thermometer, die Richtung Himmel, Boden, nach rechts und nach links zeigen. Über entsprechende Temperaturunterschiede misst das System dann sowohl die tatsächliche Höhe als auch wie weit das Flugzeug auf der Längsachse gedreht ist. Beim Flug über Häuser oder Bäume kann das System jedoch durch andere Temperaturen etwas ungenau werden, dafür ist es sehr günstig.

Das GPS-Board samt Prozessor zum Fliegen müssen Interessierte derzeit leider selbst zusammenbauen. Man sucht aber bereits nach einem Partner, der diese in Masse fertigen kann. Dies gilt für andere Einbauten ebenso. Das System soll dank günstiger Komponenten vor allem Zeit kosten, nicht unbedingt viel Geld.

Auch wenn der Autopilot mittlerweile sehr zuverlässig arbeiten soll, wollte man ihn in Berlin nicht direkt präsentieren. Es fehlt in der Nähe des Berliner Congress Centrums an ausreichenden Freiflächen auf denen keine Personen unterwegs sind. Der Berliner Alexanderplatz wäre sicherlich keine gute Idee gewesen.

Die Modellflieger sind mit etwa 300g dabei leichter als so manche gemeine Stadttaube, dennoch müssen die kleinen Modellflieger im Unterschied zur Taube einige Regeln in der Luftfahrt beachten.

In der Nähe von Bordeaux konnte man nach langen Verhandlungen mit den Behörden einen der Flieger etwas höher steigen lassen, wobei die entsprechenden Regeln für Flugzeuge dann auch für den Modellflieger mit Autopilot galten und zusätzlicher Funkverkehr notwendig war. Der Pilot des kleinen Modells war bei diesem Versuch tatsächlich mit der zuständigen Flugsicherung in Kontakt. In Island wurde ebenfalls ein Test unter etwas raueren Bedingungen durchgeführt. Auch dort durfte ein Modell außerhalb des Sichtbereichs in über einem Kilometer Höhe fliegen - die Verhandlungen gestalteten sich dort weniger schwierig, wie die beiden Sprecher betonten.

Man hofft in Zukunft die Behörden davon überzeugen zu können, dass die Modelle nicht den Regeln des normalen Luftverkehrs untergeordnet werden müssen. Auch andere Projekte, wie DIY-Dronen die ebenfalls an Autopiloten (unter anderem auf Basis von Lego Mindstorms) arbeiten, fliegen derzeit in einer rechtlichen Grauzone. Immerhin soll die FAA in den USA bereits über eine Veränderung der Regeln nachdenken. DIY-Dronen haben vor einiger Zeit Luftbilder für das OpenStreetMap-Projekt beigesteuert.

Die Paparazzi-Software selbst kann über Plug-Ins erweitert werden. So gibt es eine Anbindung an Google Earth und selbst mit dem freien Flugsimulator Flightgear soll Paparazzi zusammenarbeiten können.

Weitere Informationen zum Paparazzi-Projekt gibt es auf der Projekt-Homepage unter http://paparazzi.enac.fr/wiki/index.php/Main_Page .

Quelle : www.golem.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Barcode-Systeme anfällig für schwere Hackerangriffe
« Antwort #70 am: 29 Dezember, 2007, 13:55 »
Die aus der hochautomatisierten Wirtschaftswelt kaum mehr wegzudenkenden Barcodes weisen Experten zufolge oft gravierende Sicherheitslücken auf. Vor allem ein- oder zweidimensionale Systeme der Strich- beziehungsweise Matrixchiffren stehen gängigen Hackerattacken sowie mehr oder weniger ausgefallenen Experimenten offen. Dies führte "FX" von der Gruppe Phenoelit am Freitagabend auf dem 24. Chaos Communication Congress (24C3) in Berlin aus. Häufig reiche es sogar aus, mehrfach "gebrauchte" Barcodes einfach im Copyshop zu kopieren oder einzuscannen und auszudrucken.

Die Sicherheitstester von Phenoelit kamen selbst als fast gebrannte Kinder auf die Idee zum weiteren wissenschaftlichen Eindringen in die Welt der Barcodes: Auf einer ihrer "PH-Neutral"-Konferenzen kamen eindimensionale Strichcodes auf den Teilnehmerausweisen zum Einsatz, die mit einer Bezahlfunktion zum Kaufen von Getränken gekoppelt waren und mit Geldwerten aufgeladen werden konnten. Einer der findigen Besucher des Treffens kopierte kurzerhand eine dieser "Alkohol-Plaketten". Laut FX hatte er nur das Pech, just den einzigen Ausweis eines Vieltrinkers zu erwischen, dessen Wertguthaben bereits aufgebraucht gewesen sei.

Trotzdem experimentierten die Hacker fortan eifrig zunächst mit 1D-Codes. Diese wurden im Prinzip bereits 1948 entwickelt und feierten ihren Siegeszug in Form der European Article Number (EAN) beziehungsweise des Universal Product Code (UPC) in den USA an den Scannerkassen, die seit den 1970ern aufkamen. So fanden die Hacker etwa heraus, dass ein Parkhaus in Dresden seine Saisonkarte auf einen einfachen Barcode stützt, die ausgegebenen Scheine nicht mit einem Computersystem im Hintergrund abgleicht und daher kostenloses Parken dort einfach ist.

Aber etwa auch bei den Automaten zur Rückgabe von Pfandflaschen hierzulande, die bereits ein anderer Vortrag auf dem Kongress ins Zentrum der Aufmerksamkeit verzweifelter Haushaltshacker lenkte, erfolgt FX zufolge keine Rückkoppelung zwischen den Maschinen und den Kassensystemen der Händler. Dies hätten die Punks der Hauptstadt schon seit langem entdeckt. Zugleich sei herausgekommen, dass fünf bestimmte Ziffern in der Zahlenfolge unterhalb des Barcodes auf den Pfandgutscheinen der Automaten den Wert des Leergutes angeben. So könne man die Zettel also theoretisch nicht nur kopieren, sondern auch eigene mit nicht gerade niedrigen Summen generieren. Inzwischen würden die Ladenketten aber in der Regel die Pfandwerte auf Papier mit "Wasserzeichen" drucken, um derlei Treiben einen Riegel vorzuschieben.

Wer sich näher mit dem Zustandekommen und dem Auslesen von Barcodes beschäftigen will, findet zumindest für eindimensionale Strichchiffren ein großes Angebot an Software zum Generieren der zunächst kryptisch anmutenden Zeichenabfolgen wie etwa das frei verfügbare Programm GNU Barcode. Es sei auch nicht schwer, einen eigenen Generator zu schreiben, betonte FX. Die dafür unter anderem benötigten Spezifikationen einzelner Barcodes seien für jeweils rund 20 US-Dollar zu haben. Die Lesegeräte und Scanner zum Auslesen der Markierungen seien gerade bei 2D-Codes dagegen noch vergleichsweise teuer, während die Dekodierungssoftware teils kostenlos sei, teils einfach zu erwerben und teils problemlos zu cracken. Das Umkonfigurieren der Scanner gehe ebenfalls leicht von der Hand, man könne sie etwa auch mit einer Tastatur oder über eine serielle Schnittstelle mit einem Computer verknüpfen.

Derart ausgerüstet testete FX unter anderem das Zugangssystem einer automatisch betriebenen DVD-Verleihstätte in der Nähe seines Wohnortes. Die verlangt zwar eigentlich auch eine biometrische Kontrolle, was der Hacker aber schlicht ablehnte. Blieb ein Ausweis mit Barcode, Mitgliedsnummer und PIN. Nach dem Studieren der Bedeutung der Strichabfolgen und der linearen Zahlenkombinationen darunter gelang es FX, unter anderem bereits bezahlte, aber noch nicht abgeholte DVDs anderer Kunden zu erhalten. Auch automatisierte Angriffe auf die Systeme seien möglich. Dabei sollte man aber ausschließen, die eigene Mitgliedsnummer ins Spiel zu bringen.

Offen für gängige Hackerattacken zeigten sich zudem die Scanner. "Nehmen wir einmal an, man erhält 14 Zahlenstellen aus dem Leseprozess, kann aber zugleich willkürlich eigene Zeichen einfügen", umschrieb FX die Grundlagen für verschiedene Angriffe. Dies ermögliche unter anderem das Ausnutzen von Lücken im Zusammenhang mit SQL-Datenbanken im Backend-Bereich (SQL-Injektion) oder so genannter Formatstring-Attacken. Je neuer die Lesegeräte seien, desto komplizierter seien die im Hintergrund arbeitenden Systeme und desto einfacher könnten sie somit auch gehackt werden. Mit einer erhöhten Auflösung beim Ausdrucken von Barcodes und dem gleichzeitigen Einfügen einer Art Überdosis an Zeichenfolgen könne man zudem mit Buffer Overflows die Speicher der Datenbanken fluten und sie zum Erliegen bringen.

Besonders weit klaffen Sicherheitslücken laut FX aber bei den meisten Formen des "Mobile Tagging". Dabei wird mit Hilfe eines Kamerahandys ein 2D-Barcode wie QR oder DataMatrix fotografiert, mit einer kommerziell verfügbaren Software auf dem Mobiltelefon dekodiert und die abgeleiteten Informationen weitergeleitet. Damit soll dem Nutzer vor allem das Eintippen längerer Webadressen auf den kleinen Handy-Tastaturen erspart werden. Die Semapedia-Technik zum Verknüpfen öffentlicher Sehenswürdigkeiten mit Wikipedia-Einträgen nutzt das Verfahren genauso wie immer mehr Zeitungen, die mobile Surfer auf ihre Online-Inhalte oder Werbeangebote im Netz verweisen wollen.

Hierzulande zählt die "Welt kompakt" zu den Pionieren des Mobile Tagging, was den Phenoelit-Experten nicht verborgen blieb. Dabei stellten sie auch fest, dass der Mechanismus ideal ist für so genanntes Cross Site Scripting (XSS). Dabei handelt es sich um einen Angriff, der normalerweise Schwachstellen in Webseiten ausnutzt. Häufig werden nicht-vertrauenswürdige Informationen etwa in Form schädlicher Skriptcodes in eine beim Anwender angezeigte, von ihm prinzipiell als vertrauenswürdig eingestufte Seite eingebettet. So können etwa Passwörter oder Kontodaten per Phishing erbeutet werden. Auf dem Handy müsse man dazu beim "Cross-Zeitungs-Scripting" nur einen Barcode-Platz in einem Printprodukt "mieten", einen Link auf ein Kit mit Schadsoftware dahinter einrichten – und schon habe man gleichsam die Kontrolle über zahlreiche iPhones und andere Mobilgeräte erlangt.

Als willige "Spielfelder" erwiesen sich FX zufolge etwa auch die inzwischen vielfach über das Internet ausdruckbaren Boardingpässe, wo in 2D-Codes neben Flug- oder Buchungsnummer unter anderem auch die zu nutzende Klasse abgespeichert sei. Damit könne man ferner Reisenden über eine Verknüpfung mit den Strichcodes auf Gepäcketiketten falsche, etwa mit Bombenmaterial gefüllte Koffer unterjubeln und sie so als potenzielle Terroristen brandmarken. Offen für Experimente seien zudem die als Briefmarkenersatz genutzten 2D-Codes zahlreicher Postunternehmen. Die Zähne erfolglos ausgebissen haben sich die Phenoeliten nach eigenen Angaben dagegen bislang an den Abholzetteln für Pakete der Packstationen der Deutschen Post sowie an den Online-Tickets der Deutschen Bahn. Bei Letzteren seien die 2D-Codes erkennbar mit Verschlüsselungsverfahren zusätzlich abgesichert worden, was FX den Anhängern der Automatisierung eindringlich generell ans Herz legte. Eine Prüfung der richtigen Prozessabfolge sei zudem bei allen Barcode-Systemen unerlässlich.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: CDU und SPD fordern "Zurückrollen" Schäubles
« Antwort #71 am: 29 Dezember, 2007, 16:58 »
Hacker haben beim Jahrestreffen des Chaos Computer Clubs (CCC) erneut zahlreiche Schwachstellen bei Servern gefunden. Hunderte Webseiten sind daher momentan mit teils grotesken Botschaften, nackten Schönheiten oder einfach nur dem Logo des noch bis morgen laufenden 24. Chaos Communication Congress (24C3) "verziert". Meistens haben die Hacker dabei Sicherheitslücken in Datenbanken und Webanwendungen über gängige Angriffe wie SQL Injection oder Cross Site Scripting (XSS) ausgenutzt. Viele solcher Attacken sind vergleichsweise einfach durchzuführen, etwa mit Hilfe von Suchmaschinen. Aber auch etwas aufwendigere Umgestaltungen oder aufgedeckte offene Administrations-Portale für Nachrichtenseiten sind auf der umfangreichen Übersicht über Hacks im Kongress-Wiki verzeichnet.

Einige der Webseiten-Veränderungen sind politisch motiviert. So fordern plötzlich sowohl die CDU-Regionalratsfraktionen in Nordrhein-Westfalen sowie die SPD Bad Hersfeld, dass Bundesinnenminister Wolfgang Schäuble (CDU) baldmöglichst von seinem Amt "zurückrollen" möge. Dessen "Angst- und Schrecken-Politik der vergangenen Jahre" sei mehr als kurzsichtig und in keiner Weise geeignet, "die innenpolitischen Probleme zu lösen oder Deutschland zu beschützen". Schon seit längerer Zeit sei Schäuble nicht mehr tragbar.

Weiterhin setzen sich die Vertreter der großen Koalition gemäß den aktuellen Einträgen auf den gehackten Servern "mit Nachdruck" für die "Freiheit von Informationen ein" und befürworten die vom CCC vorgeschlagene ersatzlose Streichung der so genannten Hackerparagraphen, mit denen Sicherheitstester seit langem ihre Arbeit in weiten Teilen kriminalisiert sehen. Darüber hinaus sei die verfassungswidrige Vorratsspeicherung von Telefon- und Internetdaten vom Verfassungsminister Schäuble zu stoppen.

Ferner haben die Hacker just den Kontrolleuren der Länderstelle jugendschutz.net eine vollbusige, weitgehend nackte Schönheit in der Trefferliste der Suchfunktion untergejubelt. Verschiedene Seiten der NPD und der FDP funktionieren ebenfalls nicht mehr so, wie sie eigentlich sollten. Ein gutes Dutzend von Blogs, die die Software Wordpress nutzen, enthalten jetzt Einträge, die auf den Kongress verweisen oder Administratoren an gängige Sicherheitsmaßnahmen erinnern. Die GEZ verfügt zudem über eine unerwartete Funktion, mit der man die Seite weiterempfehlen kann. Nicht zuletzt finden sich Hinweise, wie sich über einen Online-Weinhändler kostenlos mit der Eingabe spezieller Daten in die Bestellmaske der Vorrat an Alkoholika auffüllen lässt.

2004 rief ein Massenhack, der vom damaligen CCC-Stelldichein ausging, das LKA Berlin auf den Plan. Seitdem soll eine "Hacker Ethics Hotline" im kongressinternen Telefonnetz dafür sorgen, dass Sicherheitstester nicht über die Stränge schlagen und mit einem Knopfdruck unbedacht weitreichende Komplikationen verursachen. Darüber hinaus gibt es ein auf der Startseite des Kongress-Wiki gelistetes "Abuse"-Telefon, auf dem sich empörte oder sich bedroht fühlende Webadministratoren beschweren können. Beide Nummern seien in diesem Jahr bereits in Anspruch genommen worden, hieß es bei den Veranstaltern auf Anfrage von heise online. Mit einem erneuten Besuch der Kriminalpolizei rechnen man derzeit angesichts der noch überschaubaren Folgen der Website-Verunstaltungen aber nicht.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Aus dem Tagebuch eines Spions
« Antwort #72 am: 30 Dezember, 2007, 09:27 »
Annie Machon, eine Ex-Agentin des britischen Inlandsgeheimdienstes MI5, plauderte auf dem 24. Chaos Communication Congress (24C3) in Berlin am gestrigen Samstag aus dem Nähkästchen. Dabei verriet sie nicht nur Details über Computerprobleme der Sicherheitsbehörde. Vielmehr lieferte sie auch Einblicke in die Gedankenwelt und Methoden der Spione und forderte eindringlich eine bessere demokratische Kontrolle der Schlapphüte. Nach enttäuschenden Erfahrungen mit den Massenmedien als Kontrolleuren der Staatsmacht baut Machon dabei vor allem auf das Internet als geeignetes Medium zur Aufdeckung weitere Skandale aus der Welt der Nachrichtendienste.

Machon heuerte Anfang der 1990er Jahre beim MI5 an, aus durchaus idealistischen Gründen, wie sie heute sagt. Es sei ihr damals in der Hochzeit des Terrors der IRA darum gegangen, ihr Land zu schützen. Doch anfangs war sie zusammen mit einem jungen Kollegen, David Shayler, trotz des Falls der Berliner Mauer vor allem damit beschäftigt, Dossiers über alternde Kommunisten zu erstellen. Gemeinsam mit dem smarten Shayler, in den sie sich mit der Zeit verliebte und bis vor rund einem Jahr zusammenlebte, wurde sie dann in eine Abteilung versetzt, die tatsächlich um Aufklärung künftiger IRA-Attentate bemüht war. Allerdings mussten beide Machons Bericht nach mit ansehen, wie ein verdächtiger Fahrer eines Lastwagens voller Bomben während offensichtlicher Führungsfehler beim MI5 laufen gelassen wurde und wenige Jahre später in 1993 ein Attentat in der Londoner City mit einem Todesopfer ausführen konnte.

Weiter empörte das Paar eine drei Millionen Euro verschlingende Abhöraktion gegen eine Korrespondentin der Zeitung Guardian, deren einziges Verschulden ihre linke politische Einstellung gewesen sein soll. Laut Machon hätte zudem 1994 ein Bombenanschlag auf die israelische Botschaft in London verhindert beziehungsweise zumindest aufgeklärt werden können. So habe es damals die klare Einschätzung eines führenden Agenten des MI5 gegeben, wonach die Kollegen vom Mossad hinter dem Anschlag steckten. Trotzdem habe man bei der fälschlichen Verurteilung von zwei Palästinensern, die ein in Israel nicht gern gesehenes Unterstützungsnetzwerk für ihre Mitstreiter in der Heimat unterhielten, als vermeintliche Bombenleger tatenlos zugesehen. Zudem habe der MI5 1996 einen fehlgeschlagenen Anschlag auf den libyschen Staatschef Muammar al-Gaddafi mit 100.000 US-Dollar unterstützt, was sie und Shayler endgültig zum Gehen veranlasst habe.

Einfach unter den Teppich kehren wollte die beiden Spione ihre unguten Erfahrungen aber nicht. Da für Beschwerden innerhalb des Systems nur die Behördenspitze vorgesehen sei, Gespräche dort nichts gebracht hätten und generell kein Raum für konstruktive Kritik oder eine Lernfähigkeit aus Fehlern vorhanden seien, blieb Machon zufolge nur der Weg über die Presse zur Aufdeckung der erfahrenen Missstände übrig. Shayler wandte sich an die Mail on Sunday, die im August 1997 eine Aufmachergeschichte über die Geheimdienstskandale brachte.

Mit 40.000 Pfund, die der Whistleblower laut einem späteren Nachbericht des Blatts erhielt, setzten sich die früheren MI5-Mitarbeiter zunächst nach Holland und später nach Frankreich ab. Dort lebten sie teilweise in einem Bauernhof im Süden ohne Fernsehen und Auto, nach einem gerichtlich verweigerten Auslieferungsantrag gegen Shayler auch zwei Jahre in Paris. Nachdem Machon schwer krank wurde, beide das Exil satt und sich ihrer Ansicht allein der allgemeinen Informationsfreiheitsrechte im Interesse der Öffentlichkeit bedient hatten, gingen sie zurück in die Heimat. Shayler, den Machon nach dessen Hinwendung zu esoterischen Riten inzwischen verlassen hat, wurde rasch wegen Geheimnisverrat der Prozess gemacht. Er erhielt eine Haftstrafe von sechs Monaten, von denen er aber nur einige Wochen absitzen musste.

"Wir hätten viel stärker das Internet für unsere Zwecke nutzen sollen", blickt Machon heute auf den Fall zurück. Im MI5 sei sie zunächst aber in eine Kultur hineingewachsen, in der keiner Computer benutzte. Selbst 1993 seien Informationen über die IRA noch in einer alten Datenbank auf einem Mainframe-Computer verwaltet worden. Später habe man im Haus versucht, eigene Informationssysteme aufzubauen. Nach mehreren missglückten Versuchen sei "aus Verzweiflung" die gesamte IT-Landschaft des Dienstes auf Microsoft Windows 95 ohne Anpassungen oder zusätzliche Sicherheitsvorkehrungen umgestellt worden. Shayler habe zunächst versucht, seine Erfahrungen auch im Web auf einer Domain seines Namens zu publizieren. Die Seite sei aber sofort gehackt worden und erst nach einem Wechsel zu einem kalifornischen Provider online gegangen. Inzwischen sind nur noch Rudimente davon archiviert.

Klar geworden ist Machon auch, dass Geheimdienste und Politiker aus Angst vor den Spionen an einem Strang ziehen. MI5 führe etwa über jeden Labour-Abgeordneten eine Akte, was immer als latentes Druckmittel gegen die Betroffenen diene. Die großen Medien seien zudem gänzlich "unter der Kontrolle der Regierung und der Spindoktoren der Geheimdienste". Redakteure würden sich gebauchpinselt fühlen, wenn ihnen Vertreter der Sicherheitsbehörden hin und wieder Informationsbröckchen zuwerfen, und sich diese "Quellen" nicht verbauen wollen. Auch die "vierte Gewalt" könne so nicht als Kontrollinstanz fungieren. Machon wundert es daher kaum, dass Minister inzwischen per Handstreich in Großbritannien den Ausnahmezustand erklären können. Vom Oberhaus geblockt worden sei allein ein Gesetz zur "Reform der Gesetzgebung", wonach Regierungsmitglieder auch sämtliche vom Parlament erlassenen Gesetze einfach hätten aufheben können sollen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Die Zukunft von Tor und anderen Anonymisierungsdiensten
« Antwort #73 am: 30 Dezember, 2007, 11:40 »
Roger Dingledine, der Gründer des Anonymisierungsnetzwerks Tor (The Onion Routing), hat auf dem 24. Chaos Communication Congress (24C3) in Berlin am gestrigen Samstag einen Ausblick auf die Zukunft des Dienstes zum Verwischen der Nutzerspuren gegeben. Demnach sollen über Tor bald auch Internet-Telefonate oder andere auf die Übertragung von Daten in Echtzeit angewiesene Anwendungen abgewickelt werden können. Im Kern geht es darum, den Transport von Bits und Bytes auch über UDP (User Datagram Protocol) erfolgen zu lassen. Der Datentransfer wird bei dieser Übermittlungsform nicht direkt bestätigt, um Verzögerungen zu vermeiden.

"Damit könnten die Leute ihre VoIP-Gespräche über Tor führen", erläuterte der Programmierer. Auch Games wie Quake könnten über das Anonymisierungsnetz dann gespielt werden. Er hoffe aber, dass dies nicht eines Tages den Löwenanteil der über Tor abgeschirmten Anwendungen ausmache. Prinzipiell geschützt werden solle der UDP-Transport durch das 2006 standardisierte Verschlüsselungsprotokoll Datagram Transport Layer Security (DTLS).

Weit oben auf Dingledines Agenda steht auch das Vorhaben, Netzbürgern größere Anreize zum Betreiben eigener leistungsstarker Tor-Server zu geben. Vorstellbar sei etwa, den Anbietern entsprechender Netzknoten eine bessere Leistung bei der eigenen Nutzung von Tor zur Verfügung zu stellen. Dabei sei aber darauf zu achten, dass die Anonymität nicht verloren gehe. Die Hüter der Tor-Verzeichnisse könnten Audits durchführen und gut funktionierende Server gleichsam mit "Goldsternen" bestücken, skizzierte Dingledine einen Lösungsansatz. Von diesen Stationen ausgehende Verbindungen könnten dann Prioritätsstatus erhalten. So würden letztlich die Kapazitäten für alle Nutzer anwachsen.

Gegenwärtig bilden laut dem Tor-Pionier 2000 Server das Rückgrat des Anonymisierungsnetzes. Die Zahl der Nutzer schätzt er auf über 200.000, der von ihnen verursachte Datenverkehr liege bei rund 1 Gigabit pro Sekunde. Bürgerrechtsorganisationen, Firmen und individuelle Nutzer würden genauso auf Tor setzen wie Mitarbeiter von Sicherheitsbehörden. Den Serverbetreibern unterstellt Dingledine im Großen und Ganzen genauso wenig böse Absichten wie den Nutzern, von denen seiner Meinung nach nur ein ganz geringer Anteil die Anonymität für das Begehen von Straftaten zu missbrauchen versuche. Selbst wenn ein "korrupter" Tor-Endknoten am Übergang zum gängigen Internet registrieren können, mit welcher außen stehenden Person ein Nutzer des Dienstes kommuniziere, bleibe dessen IP-Adresse trotzdem verborgen. Generell würden die so genannten "Exit"-Rechner ein Drittel aller Tor-Server ausmachen. Dies sei gerade so ausreichend, um die Funktionsfähigkeit zu gewährleisten. Mehr Auswahl bei den Ein- und Ausstiegsknoten wäre aber wünschenswert.

Angesichts der wachsenden Beliebtheit von Tor macht sich Dingledine zugleich aber auch Sorgen um die Skalierbarkeit und Wachstumsfähigkeit des Systems. Sollte es einmal 10.000 Server in dem Netzwerk geben, dürften nicht alle gezwungen werden, die zugleich deutlich angewachsenen Verzeichnisse erst stundenlang herunterzuladen. Man werde daher wohl zu einem Punkt kommen, an dem nicht mehr jeder Server mit jedem anderen Knoten in Verbindung stehen könne. Eine Lösung suche er zudem noch für Probleme mit Windows-Servern als Tor-Relays. Windows würde den Arbeitsspeicher bei Systemaufrufen für Internetanwendungen sehr speziell zuteilen, sodass es oft mit der Zeit zu Abstürzen komme. Stabiler seien kleine Windows-Server mit viel Speicher.

Dingledine räumte zugleich mit Gerüchten auf, dass es künftig Funktionen zum Blocken von Filesharing via Tor geben werde. Man könnte den Peer-to-Peer-Verkehr zwar theoretisch drosseln. Programme wie BitTorrent würden dies aber als "Angriff" auslegen und sich darauf einstellen. Natürlich sei eine Protokollanalyse an Ausgangsrechnern denkbar. Dafür müssten Datenpakete aber auf Inhalte geprüft werden, wodurch die Betreiber ihren Neutralitätsstatus verlieren und verschärften Haftungsprinzipien unterliegen dürften. Tor-Knoten würden daher reine Durchgangsstationen für Datenströme bleiben.

Berichten über Möglichkeiten zum Abgreifen von Passwörtern an Exit-Rechnern hielt der Hacker entgegen, dass Tor eigentlich nur IP-Adressen und Standorte so gut wie möglich innerhalb des Netzwerks verschlüssele und verberge. Vom Ausgangsrechner an benötige man aber für die sichere Übertragung von Inhalten genauso wie im regulären Internet zusätzliche Verschlüsselungsverfahren wie SSL-Verbindungen. Es werde jedoch an einer Zusatzfunktion namens Tor Flow gearbeitete, die vor nicht vertrauenswürdigen SSL-Zertifikaten warnen solle.

Einen neuen Seitenhieb auf die besonderen Schwierigkeiten, die allein deutsche Strafverfolger den Betreibern von Tor-Servern immer wieder bereiten, konnte sich Dingledine nicht verkneifen. Es sei nötig, den hiesigen Ermittlern besser zu erläutern, "wie das Internet funktioniert" und dass es darin zahlreiche Gefährdungen für die Privatsphäre gebe. Er werde kommende Woche persönlich mit Fahndern in Baden-Württemberg sprechen und bemühe sich um weitere Kontakte zu Strafverfolgern hierzulande. Nötig sei es auch, Rechtsanwälte speziell auf die Besonderheiten des Anonymisierungsnetzes hinzuweisen und eine juristische FAQ-Liste zu erstellen. Spenden für derlei Zwecke und für die Aufrechterhaltung deutscher Server nehme inzwischen auch der Chaos Computer Club (CCC) entgegen, sodass sie auch hierzulande von der Steuer abzusetzen seien. Bei der bevorstehenden Vorratsdatenspeicherung rät Dingledine wie die Hackervereinigung dazu, die einjährige Umsetzungsfrist voll auszuschöpfen und bis dahin jegliche derzeit noch erfolgende Logaufzeichnung schon im Ansatz zu unterbinden. Gar nicht erst generierte Daten müssten schließlich auch später nicht vorgehalten werden.

Für Len Sassaman von der Katholischen Universität Leuven sind Dienste wie Tor, die über Mix-Kaskaden laufen, dagegen naturgemäß für Angriffe anfällig und wiesen Probleme mit Hintertüren auf. Er plädiert daher für alternative Ansätze gemäß dem Prinzip des Private Information Retrieval (PIR), das seit 1995 erforscht werde. Einen Prototyp für einen entsprechenden Anonymisierungsdienst für E-Mail und E-Health-Anwendungen habe sein Team erstellt, wobei Mixminion für die Übertragung von Botschaften genutzt werde. Über das so genannte Pynchon-Gate und einen "Nym-Server" würde die Kommunikation dabei in einzelne "Körbe" unterteilt, die eine Verbindungskomponente (der "Collator") über einen dreistufige Hash-Struktur wieder verknüpfe. Die Botschaften müssten dabei in einem festen Rhythmus abgefragt werden, der momentan noch auf einmal täglich festgelegt sei. Eine zusätzlich Prüfungsinstanz ("Validator") sorge dabei dafür, dass nicht vertrauenswürdige Server zurückverfolgt werden könnten. Einen Regelbetrieb des Systems peilt Sassamann aber erst für 2015 an.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
24C3: Mac OS X für alle Intel-PCs
« Antwort #74 am: 30 Dezember, 2007, 15:37 »
Alexander Graf hat auf dem 24. Chaos Communication Congress (24C3) in Berlin am gestrigen Samstag eine Emulationslösung vorgestellt, mit der Mac OS X ohne Modifikationen in Virtualisierungssoftware laufen kann. Theoretisch funktioniert das auch auf Intel-kompatiblen Standard-PCs. Dass Apples Betriebssystem damit auf zahlreichen Rechnern Einzug halten könne, denen die Kalifornier bislang ihre gut gehütete Software vorenthalten wollen, ist für Graf nach eigenen Angaben aber ein reiner Nebeneffekt. Zudem betrachte Apple eine solche Installation als illegal, warnte der Programmierer gegenüber heise online. Seine Motivation sei vielmehr gewesen, auf Original-Apple-Rechnern mehrere virtuelle Mac-Betriebssysteme parallel laufen zu lassen. Weiter schwebte ihm vor, primär ein eigenes gehärtetes Linux-System auf der Apple-Hardware zu installieren und Mac OS X dann nur für spezielle Anwendungen wie Photoshop oder ein darauf zugeschnittenes japanisches Wörterbuch in einer virtuellen Maschine hochzufahren.

Das Projekt ist bisher noch Bastlern vorbehalten, die den zur Verfügung gestellten Quellcode selbst kompilieren und sich die benötigten Schlüssel besorgen können. Die Blaupausen müssten noch "aufgeräumt" werden, dann werde er sie aber Anfang 2008 an die Projektverantwortlichen des freien Emulators Qemu sowie der Virtualisierungsumgebung Kernel-based Virtual Machines (KVM) für Linux schicken. Er gehe davon aus, dass seine Änderungen in die nächsten offiziellen Versionen der beiden Open-Source-Programme eingebaut werden.

Graf konnte auf die Vorarbeiten anderer Bastler zurückgreifen. So hatten die Hacker Semthex und Vitaliy im Herbst vergangenen Jahres unabhängig voneinander Kernel für Mac OS X erstellt, die auf Standard-PCs funktionierten. Damit konnte man über ein Platten-Image für VMware Apples Betriebssystem in einer virtuellen Maschine starten. "Das Problem war nur, dass das System bei einem Update mit einer Kerneländerung rasch wieder unbrauchbar war", erinnert sich Graf.

Vor ein paar Monaten lieferte David Elliott dann in Abwandlung eines Hacks von "Maxxuss" einen originalen Bootloader von frühen Intel-Entwicklungs-Macs mit einem alten BIOS-Startsystem hinzu. Darin wird der inzwischen von Apple verwendete Bootmechanismus Enhanced Firmware Interface (EFI) emuliert. EFI wird dabei vorgegaukelt, auf einem aktuellen Apple-Rechner zu laufen. Der Bootloader funktioniert aber nur auf Rechnern, die der Apple-Hardware sehr ähnlich sind. Der Hacker Netkas erweiterte diesen Ansatz, veröffentlichte den Quelltext aber nicht.

Vor rund vier Wochen hatte Graf dann alle Zutaten beissammen. "Ich nehme den modifizierten Bootloader-Ansatz und eine Emulations- oder Virtualisierungssoftware wie KVM oder Qemu und verändere sie so, dass sie einem Mac ähnelt. Dann müsste Mac OS X unverändert laufen." Dem Apple-Betriebssystem sei vorzutäuschen, dass überall Apple-Hardware vorliege, sodass es "nur noch Mac sieht". Die Programmierung der entsprechenden Patches für die Virtualisierungsumgebungen habe den Hauptteil der Arbeit ausgemacht. Dabei habe er etwa den Code für High Precision Event Timer (HPET), das Advanced Configuration and Power Interface (ACPI) oder den IDE-Controller austricksen beziehungsweise die in Macs verbauten Versionen simulieren müssen. Eine wirkliche Implementierung dieser Chipsätze sei aber nicht erforderlich gewesen. Es habe gereicht, bestimmte Informationen und Tabellen im Bootsystem mit speziellen Einträgen zu versehen.

Blieb noch die eigentliche Schutzfunktion Apples, mit der die Unterstützung fremder, nicht von den Kaliforniern lizenzierter Hardware durch Mac OS X beziehungsweise Aqua verhindert werden soll. Diese so genannte Binary Protection sehe auf den ersten Blick im System zwar kompliziert aus, räumte Graf ein. Aber die Koppelung des Schutzsystems an die Hardware sei nur an einer Stelle erfolgt. "Im Chip, der zur Lüftersteuerung gehört, ist ein Schlüssel enthalten, den das System beim Starten abfragt", führte Graf aus. "Den kann man unter Linux auslesen. Dann musste ich nur noch den Chip zur Lüftersteuerung in Qemu nachbauen." Es sei daher letztlich "sehr einfach" gewesen, den Binary-Schutz zum umgehen. Bei den entscheidenden Schritten habe auch die bereits über ein Jahr alte Erkenntnis geholfen, dass Apple das in manche der eigenen Intel-Rechner eingebaute Trusted Platform Module (TPM) als zusätzliches Sicherheitsmodul nicht nutze.

Ganz reibungslos läuft das virtualisierte Mac OS X noch nicht. Zum einen kann man laut Graf noch nicht von CD aus starten, woran aber bereits gearbeitet werde. Auch die Netzwerkunterstützung fehle noch, sodass das System noch "keinen richtigen Spaß macht" und bislang weder ein Einsatz auf einem Server noch das Ziehen von Updates möglich seien. Schwierigkeiten würden zudem bisher auch die Grafikbeschleunigung, das Power Management, die Zeitfunktion sowie der System Profiler machen. Dies seien zwar keine essenziellen Probleme, sie würden aber einen "produktiven Einsatz nicht so angenehm machen".

Sollten diese Stolpersteine erst einmal aus dem Weg sein, sieht Graf zahlreiche legale Anwendungsmöglichkeiten. Zusätzliche Sicherheit könne etwa eine Konfiguration auf einem Apple-Server bieten, wenn ein emuliertes System für die Domain-Verwaltung und ein anderes für Web-Applikationen reserviert sei. HTML-Programmierer könnten zudem einfacher verschiedene Browserversionen testen, "und auch Kernelentwickler würden sich freuen".

Apple reagierte bisher immer gereizt auf Basteleien, die Mac OS X auch Standard-PCs näher bringen. Den Betreibern der Web-Site des OSx86-Projekts, in deren Forum die Links zu den Patches von Maxxuss aufgetaucht sind, hat Apple seinerzeit Verstöße gegen den Digital Millennium Copyright Act (DMCA) vorgeworfen. "Einen Apple-Rechner kaufe ich mir fürs Mac-Feeling", hält Graf dagegen. "Ich will, dass das System funktioniert, dass ich ein Laptop einfach zuklappen oder das Netzwerkabel reinstecken und sofort die Konfiguration dahabe." Bei einer virtuellen Maschine fehle dagegen immer der richtige Hardware-Zugriff. Während Apple-Käufer nicht abgeschreckt würden, könnten andererseits Open-Source-Entwickler Programme einfacher auf Mac OS X portieren. Die Kalifornier könnten letztlich also "nur gewinnen".

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )