Autor Thema: CCC Hackerkongress / Hacking at Random ...  (Gelesen 26184 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
Die Probleme beim Erfassen von Fingerabdrücken für die zweite Generation des biometrischen Reisepasses sind offenbar größer als selbst von Skeptikern erwartet. Zum einen würde die seit dem 1. November laufende Abnahme der hochsensiblen biometrischen Merkmale nicht durchschnittlich 2,5 Minuten dauern, wie die Bundesdruckerei GmbH behauptet habe, sagte Constanze Kurz vom Chaos Computer Club (CCC) am gestrigen Samstag auf dem 24. Chaos Communication Congress (24C3) in Berlin. Eine Mitarbeiterin des Einwohnermeldeamtes Norderstedt beispielsweise habe im Einklang mit zahlreichen weiteren Sachbearbeitern in anderen Städten angegeben, dass die Prozedur "mindestens zehn Minuten" benötige.

Zum anderen bezeugte die Verwaltungsangestellte laut Kurz auch, dass es teils schon bei 40- oder 50-jährigen kaum oder gar nicht mehr möglich sei, überhaupt ein computerlesbares Abbild der Minutien auf einem der acht in Frage kommenden Finger zu erstellen. Bei noch älteren Personen werde die Sache "noch schwieriger". Die Probleme würden damit "über die Hälfte der Bevölkerung treffen", beklagte der Hacker starbug. "Das ist inakzeptabel." Gerechnet hätten die Biometrie-Experten beim CCC, der Anfang Dezember vor Risiken und Nebenwirkungen des neuen ePasses warnte, auf Basis internationaler und deutscher Studien mit schwer oder nicht erfassbaren Fingerabdrücken bei zehn Prozent der Senioren.

Laut starbug sind die Anforderungen an die zu erhebenden biometrischen Merkmale dabei schon sehr weit nach unten geschraubt worden. In den konkreten Handlungsanweisungen in Anhängen der Passverordnung sei nachzulesen, dass letztlich der Abdruck mit der besten Musterung ausgewählt werden solle, wenn die eigentliche Qualitätsgrenze unterschritten sei. "Es gibt faktisch keinen festgelegten Grenzwert", folgerte der Hacker aus dieser Ansage. Die Qualitätsanforderungen an das System seien daher "null und nichtig". Wenn der Abdruck gar nicht gehe, müsse man letztlich in der Scan-Software für die nach FBI-Vorgaben mit 500 dpi Auflösung arbeitenden Lesegeräte den Knopf "Keine Hand" drücken, heißt es zu dem heiklen Thema in den Meldestellen. Dies sei eine "unglückliche Lösung".

Die Hacker wollen das "harte Leben" der Sachbearbeiter in den Meldeämtern nun ein wenig vergnüglicher gestalten, gab Kurz als Parole aus. So sollten die Bastler den Sensoren und den damit verknüpften Bildschirmen doch zumindest mehr "interessante Bilder" zeigen, sagte sie mit Verweis auf Fotos von Fingerkuppen, die mit dem CCC-Logo in Form einer "Datenschleuder" sowie einem Knoten verziert waren. Die nicht im Computer bearbeiteten Aufnahmen würden von einem Elektroniker stammen, erläuterte starbug. "Ich hab viel Hornhaut auf den Finger, da tut es nicht weh, wenn ich mit Lötkolben drauf rumtatsche", zitierte er den Frickler. "Ihr seid kreativ, lasst euch was Ähnliches einfallen", ermunterte Kurz die amüsierte Hackergemeinde unter dem Motto "Spaß im Meldeamt" zum zivilen Ungehorsam. Es müsse ja nicht gleich eine Selbstverstümmelung im Spiel sein, um die Fingerabdrücke "etwas zu verunstalten".

Letztlich müsse sich der Widerstand gegen das laufende Experiment zur "biometrischen Vollerfassung der Bevölkerung" aber auf den Rechtsweg konzentrieren, sagte Constanze Kurz. Es sei in letzter Instanz über das Bundesverfassungsgericht zu klären, ob die quasi-erkennungsdienstliche Maßnahme verhältnismäßig und mit den Grundrechten in Einklang zu bringen sei. Die Informatikerin begrüßte daher, dass der Bochumer Rechtsanwalt Michael Schwarz Klage gegen die Erfassung von Fingerabdrücken zunächst bei dem für ihn zuständigen Verwaltungsgericht eingelegt hat. Diesem Beispiel sollten möglichst viele Betroffene folgen und die Klage so mit Nachdruck bis ans oberste deutsche Gericht tragen. "Wir spielen da gerne den Mittler", ergänzte starbug. "Wir wollen versuchen, das Ganze zu koordinieren, und werden uns auch selbst anschließen."

Als kleinen Coup präsentierten die beiden CCC-Mitglieder zum Abschluss ihrer Präsentation noch das Foto von einem Neuzugang für ihre Sammlung von Fingerabdrücken mehr oder weniger prominenter Politiker und anderer Personen des offenen Lebens. Als das Bild eines Weinglases mit dem deutlich sichtbaren biometrischen Merkmal an die Wand geworfen wurde, fiel es den Zuhörern nicht schwer, auf Bundesinnenminister Wolfgang Schäuble (CDU) als Urheber des Abdrucks zu tippen. Nicht ohne Stolz bejahten die zwei Hacker dies. Ziel des Sammelprojekts sei die stärkere "Überwachung der Überwacher", erklärte Kurz gegenüber heise online. Was mit Abbildern von Fingerabdrücken und etwas Alufolie, Holzleim und Klebeband alles bewerkstelligt werden kann, zeigt der CCC bereits seit langem auf den Hackerkongressen und inzwischen auch an den biometrischen Bezahlsystemen von Supermärkten.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
24C3: Hacker wünschen "guten Rutsch ins Jahr 1984"
« Antwort #76 am: 30 Dezember, 2007, 17:30 »
Rund 1000 Teilnehmer des 24. Chaos Communication Congress (24C3) in Berlin protestierten am gestrigen Samstagabend mit Rufen wie "Stoppt den Überwachungswahn" oder "Freiheit statt Angst" gegen die Anfang 2008 in Kraft tretende Regelung zur Vorratsspeicherung von Telefon- und Internetdaten. Im Rahmen der spontanen Protestkundgebung zogen die Hacker vom Berliner Congress Center (bcc) am Rand des Alexanderplatzes, auf dessen Vorplateau Bastler derzeit ansonsten gern unter den argwöhnischen Augen von Vertretern des Ordnungsamtes bunt leuchtende Flugdrohnen der Varianten Mikrokopter und Paparazzi fliegen lassen, zur etwa 200 Meter weit entfernten Mitte des östlichen Stadtzentrums. Dort thematisierten sie Risiken und Probleme der jüngsten Sicherheitsgesetze, die ihrer Ansicht nach Auswucherungen eines wachsenden Überwachungsstaates sind.

Christof Remmert-Frontes vom Arbeitskreis Vorratsdatenspeicherung wies auf die geplante Verfassungsbeschwerde gegen die Novelle der Telekommunikationsüberwachung hin, die Bundesinnenminister Wolfgang Schäuble (CDU) in einem missglückten Vergleich als "größte Verfassungsklage aller Zeiten" (GröVaZ) bezeichnet habe. Die Beschwerde, der sich bereits über 25.000 besorgte Bürger mit einer Vollmacht angeschlossen haben, soll am Montag in Karlsruhe beim Bundesverfassungsgericht eingereicht werden.

Der Aktivist padeluun vom Datenschutzverein FoeBuD wünschte der Bevölkerung gemeinsam mit den anderen Demonstranten unter Anspielung auf den Klassiker von George Orwell über die rundum beschattete Gesellschaft einen "guten Rutsch ins Jahr 1984". Entsprechende Aufkleber zieren momentan zuhauf auch das bcc im Rahmen des Hackertreffens. Padeluun rief zugleich zur Teilnahme am morgigen Trauermarsch in Hamburg wegen des Verlusts der Privatsphäre mit der Vorratsdatenspeicherung und einer für den Dreikönigstag am 6. Januar angekündigten Demonstration unter dem Motto "Was zählt ist Freiheit" in München gegen die zunehmende Überwachung auf.

Gemäß dem von der großen Koalition beschlossenen Gesetz zur Vorratsdatenspeicherung soll von Anfang 2008 an nachvollziehbar werden, wer mit wem in den letzten sechs Monaten per Telefon, Handy oder E-Mail in Verbindung gestanden oder das Internet genutzt hat. Im Internetbereich gelten Übergangsregelungen bis 2009. Bei Handy-Telefonaten und SMS müssen die Anbieter auch den jeweiligen Standort des Benutzers festhalten. Anonymisierungsdienste wie TOR sollen von den Speicherpflichten prinzipiell mit erfasst werden.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
24C3: Sicherheitslücken in Sonys PSP und Nintendos Wii
« Antwort #77 am: 31 Dezember, 2007, 11:37 »
Der Entwickler TyRaNiD erläuterte auf dem 24. Chaos Communication Congress (24C3) am Sonntag in Berlin Hintergründe des Hacks der Playstation Portable (PSP). Sony Computer Entertainment machte es den Bastlern ihm zufolge vergleichbar einfach, die tragbare Spielekonsole zu knacken. So sei schon früh die ursprüngliche japanische Firmware in der Version 1.0 gebrochen worden, was die weiteren Hackerarbeiten vorangetrieben habe. Dazu seien Flüchtigkeitsfehler und nicht recht im Augenschein behaltene Angriffsmöglichkeiten auf eingesetzte Verschlüsselungsprozesse gekommen.

Der nicht ganz dichte Sicherheitspanzer der PSP besteht hauptsächlich aus einer gesonderten, in Hardware gegossenen Sicherheitsmaschine mit dem Titel KIRK. Sie soll etwa dafür sorgen, dass nur autorisierte Firmware beziehungsweise deren Updates in den Flash-Speicher integriert werden können. Darüber hinaus sind Restriktionen vorgesehen für die Arten von Dateien, die geladen werden dürfen. Ferner wird zwischen einem Kernel- und einem Nutzerbetriebsmodus unterschieden. Der Startprozess ist in eine "Vertrauenskette" eingebettet. Einmal durchbrochen, ist diese kaum mehr herzustellen.

Das Hackerprojekt, dem es laut TyRaNiD vor allem um die Lauffähigkeit eigener "Homebrew"-Applikationen auf dem Gerät ging, startete unter der Bezeichnung "Prometheus" mit einer vergleichsweise unauffälligen Modifikation der Schreib- und Leserechte des Flash-Chips. So sei über das Entwicklerforum ps2dev.org bekannt geworden, dass sich durch den einfachen Austausch einer verschlüsselten ausführbaren Datei durch eine manipulierte TIFF-Datei ein Pufferüberlauf erzeugen und somit unsignierter Code im Benutzermodus auf der PSP ausgeführt werden konnte.

Die Frickler wollten aber natürlich weiter auch den Kernel-Modus kontrollieren, um die Hardware komplett in den Griff zu bekommen. Sie entdeckten TyRaNiD zufolge, dass die Hardwarebauer für Entwickler ein standardisiertes Binärformat für ausführbare Programme, ein so genanntes ELF (Executable and Linking Format), zurückgelassen und dieses nicht abgesichert hatten. So habe man sich auch an die Firmware machen können, was zu einem lang andauernden Kleinkrieg mit den Entwicklern auf der Sony-Seite geführt habe. Im Visier gehabt habe man zudem die PSP-Plugin-Dateien im Format PRX. Diese hätten aber verschlüsselt von einem Memory-Stick geladen werden müssen, um im Kernel-Modus ausgeführt zu werden.

Weitere Fehler kamen dazu. So hatte Sony TyRaNiD zufolge einen Service-Modus in der PSP implementiert, um einen Zugang zum Flash-Speicher von außen zu ermöglichen. Rasch sei parallel in Erfahrung zu bringen gewesen, dass man für die Inanspruchnahme dieser Funktion eine spezielle Batterie und einen Memory-Stick brauche. Im Bootcode IPL hätten die Hacker aber keine Hinweise darauf gefunden. An die davor aufgerufenen Programmzeilen seien sie zudem nicht herangekommen, da dies durch den IPL geblockt worden sei. "Wir schauten uns also einen verschlüsselten IPL-Block an und konnten die einzelnen Codeketten entschlüsseln und mit der Ausführung anfangen", erinnerte sich der Programmierer. Mit dem Crack hätten sie in den Service-Modus schalten können. Gefehlt habe aber noch ein gültiger IPL-Code für einen Memory-Stick.

Andere Hacker fanden laut TyRaNiD parallel heraus, dass das PSP-Sicherheitssystem für einen so genannten Timing-Angriff anfällig sei. Damit sei über Zeitmessungen herauszubekommen gewesen, wann Hashwerte im angewendeten Verschlüsselungsverfahren nicht stimmten. Damit habe man zugleich die zu knackende Schlüssellänge deutlich mindern können. So sei es gelungen, die benötigten Kryptozutaten für die Generierung eigener gültiger IPL-Blöcke in die Hände zu bekommen und in einem Folgeschritt das gesamte Format des Bootcodes zu entschlüsseln. Als "Endprodukt" sei die "Pandora-Batterie" herausgekommen, dank der nach Belieben eigener Code oder Linux auf der PSP zum Laufen gebracht oder auch die Grafikfunktionen der Konsole voll genutzt werden könnten. Selbst halte das Team die Bestandteile des Hacks nicht auf einer gesonderten Projektseite zum Download bereit. Sie seien aber über einschlägige Foren einfach zu finden.

Zuvor hatten Hacker aus dem Umfeld der Gruppe um das Projekt Free60, die Linux voll lauffähig auf Microsofts Xbox 360 machte, auf dem 24C3 auch eine kurze, inzwischen auch auf YouTube zu bewundernde Demonstration neuer Schwachstellen in der Rüstung der Wii aufgezeigt. Die Konsole Nintendos galt bei den Bastlern schon im vergangenen Jahr als nahezu "perfektes Ziel", da bekannte Hacks für ihren Vorgänger, den Gamecube, auch auf dem Nachfolgemodell funktionierten.

Wie der Präsentation zu entnehmen war, können erste eigene Codebestandteile inzwischen auch im nativen Wii-Modus laufen. So fielen den Sicherheitsexperten eigenen Angaben nach beim Auslesen des Speichers der Box über eine serielle Schnittstelle die Schlüssel für das genutzte Kryptosystem in die Hände. Damit programmierten sie ein "Spiel", mit dem "Homebrew"-Code gestartet werden konnte. Allerdings ist dafür laut Fachdiensten noch ein Laufwerk-Modchip erforderlich. Die Hacker sind optimistisch, bald die Komponenten des Hacks und eine Linux-Portierung veröffentlichen zu können.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
24C3: Bürgertrojaner soll Demokratie stärken
« Antwort #78 am: 31 Dezember, 2007, 13:33 »
Der Chaos Computer Club (CCC) fordert zur Stärkung der demokratischen Partizipationsmöglichkeiten Möglichkeiten zur heimlichen Online-Durchsuchung der Computer sowie anderer "informationstechnischer Systeme" von Volksvertretern und Regierungsmitgliedern. "Wir brauchen den Bürgertrojaner für mehr Bürgerbeteiligung", sagte der frühere CCC-Sprecher Ron am gestrigen Abschlusstag des 24. Chaos Communication Congress (24C3) in Berlin in Anspielung auf die Begehrlichkeiten aus dem Bundesinnenministerium und der Union nach dem so genannten Bundestrojaner. Schon im vergangenen Jahr hatte der Hackerverein die Netzbürger zu einer stärkeren Überwachung von "Problempolitikern" aufgerufen, um frühzeitig Maßnahmen zur Abwehr der hohen Korruptionsgefahren treffen zu können.

Der nachdrückliche Ruf nach dem Bürgertrojaner war Teil des traditionellen und mit viel Hackerironie gewürzten Rückblicks der Datenreisenden auf die Sicherheitsdebakel des auslaufenden Jahres und der Prophezeiung weiterer Alpträume für 2008. Anscheinend hätten sich die Politiker den Tipp, Teile der Überwachungsaufgaben zur Kostenersparnis nach Fernost auszulagern, zu Herzen genommen, unkte Rons Kollege Frank Rieger. Einzelne Formulierungen wie die angeblich mit den verschärften Hackerparagraphen nicht drohende "Überkriminalisierung" würden zumindest darauf hindeuten, dass Gesetzes- und Sprechvorlagen inzwischen "in China gemacht" würden. "Remote Government" sei anscheinend das Stichwort.

Die abgebrühten Hacker erstaunte nach Rons Angaben ansonsten auch die Erfahrung aus 2007, "dass Privatpersonen einen kleinen Nationalstaat plattmachen können". Estland sei schließlich im Frühjahr zwanzig Tage "down gewesen", erläuterte Rieger. "Vielleicht wollen wir deswegen gerade mehr E-Government", ergänzte er im Hinblick auf die Führungsposition der Esten in Bereichen wie Online-Behördengängen oder E-Voting. Denn auch der Gesetzgebungsmaschinerie und die Bürokratie würden bei einem flächendeckenden Netzausfall dann einfach nicht mehr funktionieren.

Generell würden die deutschen Sicherheitsbehörden ihren Pendants etwa in den USA in Punkto "Coolness" hinterher rennen, sattelte der CCC-Veteran bei der Staatschmachtschelte drauf. So sei hierzulande angesichts der gefährlichen gezielten Attacken mit PC-Schädlingen, die kaum ein Virenscanner erkenne, allein vom "China-Trojaner" die Rede gewesen. Jenseits des Atlantiks sei der vergleichbare Vorfall rasch als eine ganze Operation "Titan Rain" gebrandmarkt worden. "Krüppelig" klinge zudem die Umschreibung "RFS" (Remote Forensic Software) für den Bundestrojaner. Hier habe das FBI mit "CIPAV" (Computer and Internet Protocol Address Verifier) aber ebenfalls einen glatten Fehlgriff in der Namensgebung getan. Prinzipiell würden die deutschen Strafverfolger aber anfangen, die Möglichkeiten der Digitalisierung und der damit einhergehenden Ansammlung umfangreicher Datenbestände auch zu nutzen. Die neue Form der Rasterfahndung sei es so, etwa Kreditkartenfirmen einfach einen speziellen Suchtext für deren SQL-Datenbanken zu geben. Rons Kommentar: "Damit sind wird dann alle standardmäßig verdächtig."

Bestätigt gemäß dem Motto "told you so" sahen sich die Auguren des CCC in früheren Voraussagen etwa durch aufgekommene Superwürmer, die "endlich" auch Angriffsmodule nachladen hätten oder Voraussetzungen für die Kontrolle von Peer-to-Peer-Netzwerktechniken mitbrächten. Unter den zahlreichen getürkten Rechnungen und anderen leidigen Versuchen von Cybergangstern, Bots und in Folge Spam massenweise zu platzieren, hoben sie eine Attacke hervor, in der sich der Angreifer die Hoheit über einen Server des Pharmariesen und Viagra-Herstellers Pfizer verschaffte – und darüber unter anderem Werbemails für Verschnitte des Potenzmittels verschickte. "Da müssen wir zumindest ein paar Stilpunkte vergeben", nickte Rieger anerkennend. Nicht schlecht war Ron zufolge zudem ein Test mit einer Google-Anzeige mit der freundlichen und nicht gerade wenig genutzten Einladung, sich per Klick seinen möglicherweise noch virenfreien Rechner infizieren zu lassen.

Mit vorauseilender Schadenfreude und Gruseln zugleich wagten die Hacker schließlich wieder einen Blick in die Glaskugel und machten darin etwa "Bio-Hacking" mit bald bei eBay zu ersteigernden DNS-Synthesizern sowie "Roboter-Hacking" als Trends fürs kommende Jahr aus. In 2008 sei die Industrieautomatisierung nicht mehr aufzuhalten und schier jede große Fertigungs- oder Fräsmaschine werde mit Windows und Netzwerkfähigkeiten bestückt, warnte Rieger vor allzu leicht zu knackenden IT-Installationen mit gefährlichen Auswirkungen. Die Hacker sollten daher zumindest auch nach einer mit angeschlossenen Webcam Ausschau halten, "damit ihr seht, was ihr tut". Nicht mehr alles, was viele serielle Schnittstellen habe, sei ein Geldautomat, witzelte Ron weiter. Auch ins Feld der Spielzeug-Roboter komme Bewegung, betonte er und zog einen Mini-Dinosaurier mit umfangreicher Speicherkarte, Stereo-Mikrofonen und hochauflösender Kamera unterm Tisch hervor. Das Gerät bezeichnete er als "niedlichste Wanze aller Zeiten" sowie als Mischung aus "Furby 2.0" und "Bundestrojaner 3.0" in einem.

"Viele interessante Dinge" erwartet Rieger zudem von der zunehmenden Verschmelzung der traditionellen, auf Schaltzentralen setzende und sich gegenseitig vertrauenden Telefonnetzen mit dem Internet im Rahmen des VoIP-Trends. Als Einladung zur kreativen Betätigung sieht er auch die Angebote von Webgrößen wie Amazon.com, in ihren großen Speicher- und Backendsystemen Platz für eigene Datenbanken und Shop-Systeme mieten zu können. Im Bereich "Mobile Malware" bedankte sich der Hacker zudem bei Apple für das iPhone: "Das ist der Traum." Tolle Hardware, jede Applikation dürfe alles, alle Programme würden dieselben Dienste nutzen und alle Anwender sofort blind jedes Software-Gadget installieren, das ihnen ein Kumpel gezeigt habe.

Ron gab sich derweil sicher, dass das Aufkommen lästiger Werbemails in 2008 erstmals sinkt: "Es wird der Nachweis geführt, dass Terroristen ihre Kommunikation in Spam codieren", sagte er voraus. Damit würden zumindest die US-Spammer nach Guantanamo verbannt. Weiter fragten sich die CCC-Vertreter amüsiert, ob man bei biometrischer Gesichtserkennungssoftware Pufferüberläufe durch zu breites Grinsen oder beim Mautsystembetreiber TollCollect einen SQL-Datenbankangriff über umgestaltete Nummernschilder hinbekommen könne. Noch nicht richtig als Spielfeld ernst nehmen wollten sie dagegen das IT-Großprojekt der Gesundheitskarte, da sich dieses wohl auch im kommenden Jahr – genauso wie die neue einheitliche Steuernummer – weiter verzögere.

Auf ihrer Liste der Hard- und Software mit weniger "lustigen" Schwachstellen haben die Hacker Flash gleich in doppelter Variante. Sowohl bei den so benannten Speicherformen, die sich als schwer zu löschen herausgestellt hätten, als auch bei dem gleichnamigen Graphikwerkzeug Adobes rechnen sie mit dem ein oder anderen Fiasko. "Datenhygiene" werde generell immer wichtiger, das betreffe neben Speichereinheiten und Festplatten zunehmend auch die eigenen Profile in sozialen Netzwerken und Online-Gemeinschaften. "Wir erwarten Forensik-Seminare für korrekt lebende Lebensabschnittsgefährten in der Volkshochschule", betonte Ron.

Microsofts Betriebssystem Vista müsse in 2008 zudem dran glauben, gab sich Rieger sicher. Man werde hier einige "schöne" ausnutzbare Lücken sehen. Als bedrohlich bezeichnete er im Hinblick auf Redmond zudem die Entwicklung, dass in Krankenhäuser automatische Medikamentendossiergeräte mit MS Access Einzug halten würden. Da empfehle es sich als Patient "immer noch mal zu fragen, was man da bekommt". Auch Apple könne aber "mit Karacho auf die Schnauze fallen". Es gäbe gerade eine "Inflation" an aufgedeckten "Bugs" für Mac OS X, die aber noch zurückgehalten würden. Ursache sei, dass sich die Kalifornier im Gegensatz etwa zu Microsoft noch weigern würden, für derartige "Zero-Day-Exploits" zu zahlen. So oder so werde da in Bälde wohl mal einer der Sicherheitstester "abdrücken" und eine Lawine an weiteren Schwachstellenmeldungen auslösen. Als nicht weniger besorgniserregend bezeichnete Ron die aktuelle Statistik, wonach bis zum ersten Angriff eines frisch ans Netz angeschlossenen Rechners 39 Sekunden vergehen, publizierte Lücken durchschnittlich erst nach 348 Tagen geflickt und alle 24 Stunden 30.000 Webseiten neu infiziert würden.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
24C3: Security Nightmares 2008 - Flash, Vista und das iPhone
« Antwort #79 am: 31 Dezember, 2007, 14:18 »
Auch steigende Vernetzung großtechnischer und medizinischer Systeme birgt Risiko

Frank Rieger und Ron boten auf dem 24. Chaos Communication Congress (24C3) wie gewohnt einen Rückblick und eine Vorschau auf Probleme in der Sicherheit der IT-Branche. In lockerer Weise wurden die Highlights des Jahres 2007 präsentiert sowie Wünsche und Befürchtungen zum Jahr 2008 aufgezeigt.
Gewünschte "Security Nightmares" sollen eine gute Vorbereitung für das "told you so"-Karma sein. Im Nachhinein kann sich der Hacker hinstellen und darauf verweisen, dass er wusste, dass es passieren musste. 2006 und 2007 waren dies vor allem die Wahlcomputer, allerdings musste und muss der CCC hier sogar teils selbst Hand anlegen um den eigenen Blick in die Glaskugel in eine Tatsache zu verwandeln: In den Niederlanden hat sich das Thema Nedap-Wahlcomputer wohl erledigt, der Hamburger Wahlstift liegt vorerst ebenfalls auf Eis und sogar in den USA sind Wahlcomputer im Abstieg.

Während im Ausland also das Wählen ohne Wahlcomputer wieder in Mode kommt, wird hierzulande weiter Richtung Wahlcomputer gearbeitet, bemängelten die Hacker. Das im letzten Jahr vorausgesagte "Wahlcomputer-Massaker" ist also nur zum Teil eingetreten. In einer anderen Veranstaltung wurde jedoch bereits angekündigt, dass man die kommende Wahl in Hessen genau beobachten will. Dort sollen die in die Kritik geratenen Nedap-Wahlcomputer eingesetzt werden.

Weitere Dinge die eingetreten sind, sind Probleme mit dem E-Government und dem "Remote-Government". Mit letzterem spielt man auf mutmaßlich chinesische Trojanische Pferde auf deutschen Regierungsrechnern an. Hier soll in Zukunft deutlich mehr passieren. Einen Vorgeschmack lieferte dabei der Vorreiter im E-Government Estland. Der kleine Staat wurde kurzerhand für einige Zeit lahmgelegt.

Bemängelt wurde außerdem, dass die Internetnutzer zu viele persönliche Daten in sozialen Netzwerken hinterlassen, gerade im Hinblick auf zu erwartende neue Angriffe auf derartige Portale, aber auch weil teilweise die falschen Personen die Einträge lesen. Frank Rieger referierte dabei unter anderem über Personen, die deswegen etwa einen Job nicht bekamen oder von den Eltern überrascht wurden, die plötzlich einen Internet-Anschluß besaßen.

Ein paar Änderungen wurden im Angriffsverhalten von Schadsoftware registriert. Hier erwartet man ebenfalls einen Trend: Zum einen tauchen vermehrt alte Lücken auf, die neue Virenscanner teils nicht (mehr) kennen und zum anderen sei der Nutzer noch immer der beste "Angriffsvektor", der auf alles klickt, was man anklicken kann.

In Zukunft sollen auch mobile Geräte stärker mit Schadsoftware traktiert werden. Frank Rieger und Ron haben dies schon mehrfach vorausgesagt, doch die notwendige Plattform fehlte anscheinen. Dieses Jahr hat uns Apple den Gefallen getan., so Frank Rieger. Als Wegbereiter soll also das iPhone dienen. Endlich ist ein Gerät in ausreichender Stückzahl auf dem Markt, das genug Rechenleistung besitzt und dessen Nutzer vermutlich alles installieren würden, wenn sie könnten.

Ebenfalls erwartet werden die ersten größeren Löcher in Microsofts Windows Vista. Man zeigt zwar eine gewisse Anerkennung, dass Microsoft einiges verbessert hat, außerdem besitzt Vista noch den Vorteil einer kleinen Installationsbasis. Wie man an Mac OS X sieht, welches unter anderem aufgrund des geringen Marktanteils noch wenig Interesse zur Programmierung von Schadsoftware weckt, ist das Interesse doch sehr gering an Microsofts jungem Betriebssystem. Wie bei Mac OS X haben die Hacker jedoch bereits einiges im Keller herumzuliegen, orakeln Rieger und Ron.

Das möglicherweise größte Problem entsteht vielleicht bei Adobes Flash-Plattform: "Flash wird ganz schön auseinanderfallen", so Frank Rieger zu dem Format. Der Vorteil des Formats sei die enorme Verbreitung, die selbst über Plattformen hinweg Angriffsmöglichkeiten biete.

Zu den befürchteten und damit wirklich nicht gewünschten Problemen des Jahres 2008 zählten Frank Rieger und Ron unter anderem die zunehmende Vernetzung in Bereichen, die zuvor relativ abgeschottet waren: "Roboter-Hacking". Statt der seriellen Schnittstelle findet sich in immer mehr Geräten nun eine RJ45-Buchse und der damit verbundene Netzwerkanschluß.

Zu diesen Gefahrengebieten zählen neben Industrieanlagen, die zunehmend auf Vernetzung setzen, auch medizinische Geräte wie Dosiergeräte für Medikamente oder Labore.

Dass diese Gefahr nicht von ungefähr ist, zeigte ein von Rieger geschildertes Beispiel. So soll ein Mitarbeiter einer Industriefertigungsanlage mit dem Industrierechner ein Java-Spiel im Internet gespielt haben. Ein Sicherheitsbewusstsein fehlt an solchen stellen oftmals offenbar noch. Stattdessen vertraut man in sensitiven Bereichen der modernen Technik. Als nächster Schritt ist wohl zu erwarten, dass drahtlose Netzwerke auch dort verstärkt genutzt werden.

Mit einer kleinen Umfrage zu drahtlosen Netzwerken zeigte sich immerhin in diesem Bereich etwas Positives. Im Umfeld der Hacker sind offene WLAN zwar immer noch genauso vorhanden wie mit WEP "abgesicherte" Access Points, die einem Angriff nicht einmal eine Minute standhalten. Die Anzahl der WPA-geschützten Zugänge steigt jedoch. Auch die im letzten Jahr noch befürchteten Botnetze basierend auf WLAN-Routern mit Linux sind nicht aufgebaut worden.

Weitere Vorkommen des Jahres 2008 die erwartet werden: Verhaftungen, weil die Zeitzone eines Logrechners falsch eingestellt wurde, VoIP-Telefone, die teils auf alten Linux-Versionen basieren ("Manche Leute nennen's auch Telefon", Frank Rieger) und von wenig erfahrenen Linux-Entwicklern hergestellt werden, Barcodes ("Da geht noch vielmehr", so Ron) und eine höhere Dynamik im Markt für Sicherheitslücken.

Mehr Probleme erwartet man auch mit Flash-Speichern in Hinblick auf Flash-Forensik, da der Nutzer sich durch den intelligenten Controller zwischen Speicher und dem Nutzer nicht mehr sicher sein kann, dass entsprechende Daten tatsächlich überschrieben wurden. Um den Speicher zu schonen, werden die Speicherzellen anders beschrieben, als dies etwa vergleichsweise transparent bei Festplatten passiert.

"Datenhygiene" wird damit im allgemeinen schwerer für den Nutzer, etwa bei GPS-Geräten die ihre Informationen im Flashspeicher halten oder Freisprecheinrichtungen, die Kontakt zum Adressbuch hatten. Gerade Mietwagen könnten diesbezüglich interessante Angriffszenarien bieten. Metadaten wie Exif-Daten tun ihr übriges. Viele Nutzer wissen nicht, dass in einem Foto deutlich mehr stecken kann als nur das Bild.

Eine Hoffnung hat man 2008 für Spamversender. An das Publikum ging der Aufruf nachzuweisen, dass Terroristen ihre Nachrichten im Spam verstecken. Spammer könnte man dann - nicht ganz ernst gemeint - praktischerweise gleich nach Guantanamo schicken.

Zum Schluß machten die beiden Redner noch darauf aufmerksam, dass es im Bereich der Biometrie und anderen Systemen noch offene Fragen gibt, etwa durch das Ausnutzen von Fehlern bei den Lesegeräten. Mit einem zwinkernden Auge, aber die Richtung durchaus bestimmend, wurde spekuliert, ob sich mit einem aufgemalten Grinsen eventuell ein Buffer Overflow bei Gesichtserkennungen auslösen lasse oder bei Toll Collect mit Nummernschildern eine erfolgreiche SQL-Injection durchgeführt werden könnte.

Quelle : www.golem.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
24C3: Mehr Aktivismus 2008
« Antwort #80 am: 31 Dezember, 2007, 16:36 »
Nach rund 100 Vorträgen an vier Tagen auf dem 24. Chaos Communication Congress über Spaß am Gerät, Überwachungstechniken und Gegenmittel dazu sowie über allerorts aufscheinende Sicherheitslücken waren sich bei der Abschlussveranstaltung am gestrigen Sonntagabend in Berlin fast alle Teilnehmer einig: die Richtung stimmt. Natürlich nicht bei der Gesetzgebung und der politischen Großwetterlage, wie der Zeremonienmeister Tim Pritlove vom CCC (Chaos Computer Club) noch einmal betonte. "Wir sind gegen die Vorratsdatenspeicherung, gegen Softwarepatente, gegen den Bundestrojaner, gegen Wahlmaschinen und für den Schutz der Privatsphäre." Dies sei auf zahlreichen Veranstaltungen nicht nur während des Kongresses, sondern während des ganzen zu Ende gehenden Jahres deutlich geworden. Mehr Aktivismus müsse daher die Losung für 2008 lauten.

Pritlove hatte sich zuvor über eine E-Mail von Tom Twiddlebit alias Klaus Schleisiek gefreut, einem der Mitgründer des CCC anno 1981 neben dem 2001 verstorbenen Wau Holland. Der versammelten Hackergemeinde las er aus den darin enthaltenen Beobachtungen des nur noch sehr locker mit dem "intergalaktischen" Verein verknüpften Veteranen vor: "In einer achtjährigen Wandlungsperiode hat der CCC eine Entwicklung durchgemacht, in der der Club politischen Biss bekommen hat." Die Losung könne daher mit dem diesjährigen Kongressmotto wirklich nur lauten: "Volldampf voraus!"

Pritlove knüpfte daran die Aufforderung an die Zuhörer, eigene Hackerräume und Orte für Zusammenkünfte und die schöpferisch-kritische Auseinandersetzung mit der Technik einzurichten sowie physisch Präsenz und Flagge zu zeigen. Aufklärung sei nötig, dabei dürfe man sich auch vom teils zur Schau getragenen Desinteresse von Kollegen nicht abbringen lassen. Nicht erbaut von den politischen Bemühungen des CCC und anderer zivilgesellschaftlicher Organisationen zeigte sich dagegen der Blogger Daniel Kulla. Nach Ablehnung eines kritischen Vortrags auf dem Kongress über die versagende Lobby für Bürgerrechte und das überwachungswillige "Volk 1.0" hierzulande wich er am Samstagabend für die entsprechende Darstellung auf das nahe Veranstaltungszentrum c-base aus.

Wie üblich hatte Pritlove zum Ausklang auch statistische Daten mitgebracht. Demnach verfehlte der 24C3 mit 4013 Besuchern den im vergangenen Jahr aufgestellten Rekord knapp. Da im Vergleich zum Vorjahr etwas weniger Vorträge auf dem Programm standen, waren die Veranstaltungen in der Regel selbst im großen Auditorium im Berliner Congress Center am Alex trotzdem heillos überfüllt. Während im Publikum daher oft chaotische Zustände herrschten, zog das Organisationsteam den Fahrplan insbesondere bei den Zeiten mit geradezu preußischer Pünktlichkeit durch. Sogar die zumindest anfangs überraschend gut funktionierenden Webstreams endeten beim Flash-basierten Angebot CCCTube abrupt nach der für ein Referat vorgesehen Dauer – unabhängig davon, ob die Veranstaltung etwa mit einer Fragerunde noch weiter ging.

Das Netzwerk für den Kongress der Technikexperten aufzubauen, war erneut eine große Herausforderung, machte Alex, der Chef des Network Operation Center (NOC) deutlich. So seien einige Hacks erforderlich gewesen, um die drei Zugangspunkte für Glasfaserleitungen im Gebäude zu erschließen und die "fetten Leitungen" in weiter verarbeitbare Verbindungen aufzuteilen. Ein mutiger, mit einem Messer bewaffneter Bastler habe diese Aufgabe schließlich größtenteils bewältigt. Insgesamt habe der vom Kongress ins Internet abgegangene Verkehr bei enormen 2,3 Gbit/s gelegen, hoch von rund 1,7 Gbit/s in 2006. Dies entspreche über 2 Millionen Datenpaketen pro Sekunde. Über das drahtlose Netz seien zusätzlich 260 Mbit/s an Datenverkehr geflossen. Wie Pritlove weiter ausführte, sind im Rahmen des Selbstüberwachungsprojekts Sputnik mit aktiven RFID-Tags zudem dieses Jahr 580 Megabyte an Daten bei 25,2 Millionen Sichtungen der Funkchips an 37 Lesegeräten angefallen. 210 Besucher hätten daran teilgenommen, 76 davon mit einem Pseudonym, der Rest anonym. Fürs allgemeine Datamining würden die Rohinformationen wieder über die Webseite OpenBeacon.org frei zur Verfügung gestellt.

Einige "Zwischenfälle" musste Pritlove noch vermelden. Erfreulich sei gewesen, dass sich Gruppierungen von CDU und SPD zeitweilig den politischen Forderungen des CCC angeschlossen hätten. "Was im Web zu lesen ist, entspricht immer der Wahrheit", kommentierte der Hacker die Webseiten-Verzierungen. Weniger schön sei gewesen, dass ein Kongressteilnehmer nach der Nutzung der universellen Fernbedienung TV-B-Gone zum Abstellen von TV-Geräten im nahen MediaMarkt wegen angeblicher Sachbeschädigung an einem teuren Plasma-Bildschirm festgehalten und der Polizei übergeben worden sei. Die Mitarbeiter des Einzelhändlers hätten das nützliche Ausschaltwerkzeug wohl mit einer mystischen Cyberwaffe verwechselt.

Rege in Anspruch genommen hätten Besucher die zum dritten Mal geschaltete "Hacker Ethics Hotline", berichtete Ex-CCC-Sprecher Frank Rieger. Zwei Referenten etwa seien sich unsicher gewesen, ob sie wirklich all das vortragen dürften, was sie sich vorgenommen und entdeckt hätten. Andere Hacker hätten wissen wollen, wie am besten mit aufgespürten schweren Sicherheitslücken umzugehen sei. Auch weniger gravierende Schwachstellen bei Webservern seien immer wieder thematisiert worden. Dagegen sind Rieger zufolge nur drei Anrufe auf dem "Abuse"-Telefon eingegangen. Einmal sei es um angeblich "illegale Inhalte" auf den umfangreichen FTP-Servern des Kongresses gegangen, was nicht weiter verfolgt werden konnte. Andere besorgte Administratoren hätten sich Zugriffe auf IP-Adressen ihrer Server vom Hackernetzwerk aus vorsorglich sperren lassen wollen, was dann auch eingerichtet worden sei.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
25C3 - Chaos Communication Congress: Nothing to hide
« Antwort #81 am: 21 Dezember, 2008, 10:43 »
Der 25. Chaos Communication Congress (kurz 25C3) steht unter dem Motto "Nothing to hide" - nichts zu verbergen. Der vier Tage andauernde Nonstop-Kongress des Chaos Computer Clubs findet im Berliner Congress Center (BCC) in der Nähe des Alexanderplatzes statt. In den vier Tagen, die zwischen Weihnachten und Neujahr liegen, gibt es ein reichhaltiges Vortragsprogramm, das in drei Sälen unterschiedlicher Größe angeboten wird.

Unter anderem diskutieren die Hacker über die Auswirkungen des sogenannten Hackerparagrafen 202c, aktuelle Keylogger, die im Umlauf sind (Banking Malware 101), die Sicherheit von Anwendungen, die die Near-Field-Communication-Technik nutzen oder etwa das eigene GSM-Netzwerk. Auch gezielte Angriffe mit Hilfe von Office-Dokumenten und Probleme beim eVoting werden genauer betrachtet. Im Bereich des Konsolenhackings steht die Wii von Nintendo im Vordergrund, der die Hacker zwar eine hochentwickelte Sicherheitstechnik bescheinigen, Nintendo hat jedoch einige Fehler bei der Implementierung gemacht, die es den Hackern erlaubten, die Konsole zu knacken.

Auch Umweltthemen, wie etwa alternative Energieversorgungen von technischen Spielzeugen, die Hacker mit sich herumtragen, werden angesprochen. In die Vergangenheit begeben sich die Hacker bei dem Ultimativen-Commodore-64-Vortrag. Die Security Nightmares 2009 geben einen Rückblick auf vergangene Probleme bei der IT-Sicherheit und einen Ausblick durch die Glaskugel auf das, was kommen könnte.

Das Programm des 25C3 weist noch einige Lücken auf, die im Laufe des Dezembers geschlossen werden. Das bedeutet in der Regel, dass die Vorträge in den Lücken noch nicht abschließend bestätigt wurden.

Der 25C3 richtet sich nicht nur an Hacker. Das zeigen zahlreiche Vorträge und Workshops, die andere Zielgruppen haben und sich um Themenfelder wie Gesellschaft, Kultur, Technik, Wissenschaft oder Politik kümmern. Ein nicht unerheblicher Teil des Kongresses wird in englischer Sprache präsentiert. Es gibt aber auch zahlreiche deutsche Vorträge.

Eine Vorregistrierung ist nicht erforderlich. Erfahrungsgemäß sind vor allem am 27. Dezember 2008 im Zeitraum zwischen 11 und 13 Uhr längere Schlangen zu erwarten. Einen echten Vorverkauf gibt es nicht. Wer diese Schlangenbildung vermeiden will, kann die Tickets trotzdem etwas früher kaufen und am Vortag, dem 26. Dezember 2008, vor dem Berliner Congress Center erwerben. Dieses Jahr sogar schon ab 15 Uhr. Der Ticketschalter soll durchgehend bis zum 30. Dezember 2008 geöffnet haben.

Quelle : www.golem.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline Yessir

  • Premium-Cubie
  • ****
  • Beiträge: 263
  • Zuhause ists am schönsten!
Re: 21C3: Nur das Chaos lebt
« Antwort #82 am: 21 Dezember, 2008, 16:38 »
TV-Rechner: Asus P4P800SE, Celeron 2.8 GHz, NVidia Geforce 6600 GT, 1 GB Ram, Windows XP SP3
Skystar 2 mit Treiber 4.4, DVBViewerPro 3.9.0.0 auf Astra 19.2°
Codecs: ffdshow und AC3Filter 1.11
Nachbearbeitung: ProjectX 0.90.04.00.b21a-20080108 by OoZooN, Cuttermaran 1.69, IfoEdit 0.971, DVDLabPro 2.22
2x Galaxis Easy world ebenfalls auf Astra 19.2°
WinTV Nova-T für den Laptop
...und noch ein AC.Ryan Playon! Full HD Mini Netzwerk Media Player

Meine Tochter neulich im Zoo in der Arktisabteilung: Guck mal Papi - da sind Linuxe

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
25c3: Live-Videostreams aus dem Berliner Congress Center
« Antwort #83 am: 26 Dezember, 2008, 16:33 »
Am morgigen Samstag startet im Berliner Congress Center am Alexanderplatz der diesjährige Chaos Communication Congress. Die Besucher erwarten mehr als 100 Vorträge, die sich auf insgesamt drei Säle und vier Tage verteilen. Sprechen werden auf dem Kongress "25c3 – Nothing to hide" unter anderem der Mitgründer der Electronic Frontier Foundation (EFF), John Gilmore, der Wahlmaschinen-Kritiker Ulrich Wiesner sowie der Sicherheitsexperte Dan Kaminsky. Vor Ort wird auch das iphone Dev Team sein, das den Provider-Lock von Apples Smartphone aushebelte und Linux auf das Gerät portierte.

Interessierte, die nicht persönlich im Berliner Congress Center anwesend sein können, haben im Übrigen die Möglichkeit, die 25c3-Vorträge auch von zuhause aus per Live-Videostream mitzuverfolgen. Studenten der TU Ilmenau sorgen für einen eigenen Stream aus jedem der drei Säle. Die Anfangszeiten der einzelnen Blöcke sind dem Kongress-Fahrplan zu entnehmen. Informationen zu den Streams sind auf den Seiten des öffentlichen Kongress-Wikis abrufbar. Später werden die Vorträge auch als Download in verschieden Formaten angeboten.

Quelle und Links : http://www.heise.de/newsticker/25c3-Live-Videostreams-aus-dem-Berliner-Congress-Center--/meldung/120925

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
John Gilmore, Mitgründer der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF), erklärte bei der Eröffnung des 25. Chaos Communication Congress (25C3), dass die Durchsichtigkeit etwa des Regierungshandelns wichtiger werde als der Datenschutz. "Die Rechenschaftspflicht hat eine stärkere soziale Funktion als die Sicherung der Privatsphäre", betonte der Internetaktivist im voll besetzten Kuppelsaal des Berliner Congress Center (bcc) am Alexanderplatz. Dies müsse dann aber etwa auch bedeuten, dass Zensurlisten öffentlich zu führen seien. Zudem müssten alle Gesellschaftsmitglieder viel mehr Toleranz füreinander aufbringen.

Mit dieser Ansage zog Gilmore die Schlussfolgerung aus der ihm spätestens nach dem 11. September 2001 aufgegangenen Erkenntnis, dass man die Überwachung mithilfe von Informationstechnologien kaum mehr ausradieren könne. In diesem Falle müssten aber zumindest auch die Überwacher überwacht werden – und zwar mit den gleichen Möglichkeiten und Spielräumen, mit denen die Staatsmacht oder Unternehmen die Bürger im Blick haben. Zehn Jahre nach der Veröffentlichung des umstrittenen Sachbuchs "Die transparente Gesellschaft" von David Brin hat sich Gilmore so mit den Kernthesen des Futurologen arrangiert. "Ich habe das Buch erst kritisiert", erinnert sich der Bürgerrechtler. Inzwischen habe ihn die Gesellschaft selbst aber überzeugt, dass die Thesen Brins einen wahren Kern hätten und die Kontrollierbarkeit der Herrschenden erhöht werden müsse.

Gilmore, der Anfang der 1990er auch gemeinsam mit anderen "Cypherpunks" eine führende Rolle im Kampf für die Verschlüsselungsfreiheit spielte, übernahm so auch teils das eigentlich ironisch gemeinte Motto "Nothing to Hide" der traditionell zwischen den Jahren stattfindenden Hackerkonferenz. Zugleich räumte er ein, dass Kryptographie nicht die Rettung vom Totalitarismus bringe, wie er und seine Mitstreiter dies lange Zeit gehofft hatten. "Wir haben zwar das Recht gewonnen, Verschlüsselung zu nutzen. Aber wir haben sie nicht tatsächlich in die Infrastruktur eingebaut." Es sei für den gewöhnlichen Nutzer nach wie vor zu mühsam, etwa E-Mails zu verschlüsseln. So habe letztlich die National Security Agency (NSA) als technischer Überwachungskopf der US-Regierung "uns in der Praxis geschlagen". Mit dem Abhörprogramm der Bush-Administration habe sich die Schnüffeltätigkeit der NSA auch gegen die US-Bürger gerichtet. Derweil habe der Gesetzgeber die Straffreiheit für Hilfssheriffs wie die Telcos verankert, und die Justiz würde sich nach wie vor allein mit der Frage beschäftigten, ob Gesetze gebrochen worden seien.

Auf eine Frage aus der Hackergemeinde, was angesichts dieser Analyse konkret zu tun sei, wusste Gilmore auch keine rechte Antwort. Er sei auch auf dem Kongress, um zu lernen, sagte er. "Wir brauchen neue Ideen. Hier können wir sie vielleicht nicht sofort finden, aber wenigstens begreifen, dass ein neuer Ansatz nötig ist." Seinen Ausstieg aus der Kryptofront wollte er jedenfalls nicht erklärten und hielt es auch Entwicklungen nach wie vor für ratsam, die Verschlüsselungstechniken leichter einsetzbar machen. Und einen ganz praktischen Tipp gegen die alltägliche Überwachung im Internet und zur Datenvermeidung hatte Gilmore dann doch noch parat: "Man kann eine Webadresse auch direkt in die URL-Zeile des Browsers eingeben und braucht nicht immer danach googlen."

Auch zu mehr zivilem Ungehorsam forderte Gilmore die Hacker auf. Für ihn ist in den vergangenen sieben Jahren der Kampf gegen nationale Ausweisprojekte und staatliches ID-Management in den Vordergrund seiner Bürgerrechtsarbeit gerückt. So gebe es etwa keinen Grund dafür, bei einem Weiterflug von Amsterdam nach Berlin nach der Ankunft aus den USA noch einmal den Reisepass oder einen sonstigen Ausweis vorzuzeigen. Gilmore weigert sich nach eigenen Angaben nach seinem verlorenen gerichtlichen Kampf gegen die Ausweispflicht an US-Flughäfen, innerhalb der USA zu fliegen oder mit dem Zug zu fahren. Er setze allein seinen Reisepass ein, um ab und an den Vereinigten Staaten zu entfliehen. Ausweise sind für ihn letztlich ein Mittel, mit dem der Staat seine Gegner besser ausfindig machen kann. Der Einzelne glaube beim Vorzeigen des Dokuments zwar tatsächlich, dass er nichts zu verbergen habe. Gleichzeitig gebe es den Überwachern aber die Möglichkeit, unliebsame Elemente auszusortieren.

Dass sich nach der Wahl von Barack Obama zum künftigen US-Präsidenten an der Beschnüffelung der Bürger viel ändert, glaubt Gilmore nicht. Es sei zwar ein gutes Zeichen gewesen, äußerte sich der weiße Aktivist in Hippie-Klamotten unter Hinweis auf seine Herkunft aus dem Südstaat Alabama mit unverblümt rassistischen Ausdrücken, dass "ein Nigger" gewählt worden sei. Die Linie Obamas, auf den starken Staat zu setzen, halte er aber nicht für sinnvoll.

Zuvor hatte der Technophilosoph Sandro Gaycken erstmals die Rolle des langjährigen Zeremonienmeisters Tim Pritlove übernommen und auf Projekte im "Hackcenter" oder im "Art & Beauty"-Bereich mit spielerischem Charakter verwiesen. So wollen sich einige Konferenzbesucher auch wieder in Selbstüberwachung mithilfe von angehefteten RFID-Tags begeben. Das Vorhaben kann im Internet genauso verfolgt werden wie Vorträge aus dem Hauptprogramm, solange die Netzleitungen halten und die Technik mitspielt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
25C3: Pauschale Entschädigung für Datenpannen gefordert
« Antwort #85 am: 27 Dezember, 2008, 18:08 »
Geht es nach Hackern und Datenschützern, sollten Unternehmen bei "Datenverlusten" künftig den Betroffenen einen Schadensersatz in Höhe von ein- oder zweihundert Euro zahlen müssen. Die Verbraucher, deren persönliche Informationen abhanden kommen, hätten meist nicht sofort einen Geldschaden, erläuterte Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung den Vorstoß auf dem 25. Chaos Communication Congress (25C3) in Berlin am Samstag. Erforderlich sei daher die Festsetzung einer Pauschale für die Verletzung des Persönlichkeitsrechts als Entschädigung. "Wir müssen als Hacker volkswirtschaftlich denken", ergänzte Constanze Kurz vom Chaos Computer Club (CCC), der die viertägige Konferenz ausrichtet. Die "Opfer" würden die Pauschale schließlich "sofort für Konsum ausgeben".

Als weitere Forderung "nach dem Jahr der Datenverbrechen" stellte Kurz die Pflicht zum Versand eines "Datenbriefs" durch alle Firmen in den Raum, die Kundendaten verarbeiten. Sollte die Information über die personenbezogenen Daten, die genutzt oder weitergegeben werden, ausbleiben, dürften die Bürger dies den Aufsichtsbehörden melden. "Viele Leute werden sich wundern, wer alles Daten über sie hat und wohin diese verkloppt werden", glaubt die CCC-Sprecherin. Zugleich müsse es möglich sein, nach Erhalt des Schreibens eine erteilte Einwilligung zu einer Datenverarbeitung zu widerrufen.

Das Vorhaben der Bundesregierung, wonach Verbraucher im Rahmen einer Novelle des Datenschutzrechts künftig in die Weitergabe für Werbezwecke von Drittfirmen ausdrücklich einwilligen müssten, geht den Hackern nicht weit genug. "Das kleine Datenschutz-Update wird nicht ausreichen", betonte Kurz. So sei etwa ein gesondertes Opt-in bereits für Datenverarbeitungen im Ausland nötig, da dort das Schutzniveau anders sei. Generell müsse das Prinzip der Datenvermeidung zu einer Art Dogma werden. Bei Software seien die Voreinstellungen etwa datensparsam auszurichten. Auf jeden Fall müsse die Vorratsdatenspeicherung gekippt werden, da hier der nächste große Datenskandal vorgezeichnet sei. Darüber hinaus müsse die Zentralisierung und Indexierung in der Verwaltung gestoppt werden, vor allem das geplante Bundesmelderegister. Auch die Videoüberwachung sei einzuschränken.

Breyer plädierte zudem für die Einrichtung einer "Stiftung Datenschutz". Diese solle unter anderem Vergleichstests von Allgemeinen Geschäftsbedingungen etwa von Versicherungen durchführen und so den Wettbewerb fördern. Erforderlich sei ferner ein Verbandsklagerecht für Verbraucher- und Datenschützer. Nicht zuletzt stärkte Breyer der Regierung den Rücken bei ihrem Vorstoß, ein "Kopplungsverbot" einzuführen. Damit werde die Einwilligung in einen Datentransfer von einem Vertragsschluss entkoppelt.

Zuvor hatten die Aktivisten mehr oder weniger medial beleuchtete Fälle von Datenverlusten aus dem zu Ende gehenden Jahr Revue passieren lassen. Dazu gehörte die systematische Überwachung von Beschäftigten im "Stasi-Duktus" bei Lidl und anderen Supermärkten genauso wie die Call-Center-Affäre, die millionenfachen Datenabwanderungen bei T-Mobile oder der Abfluss tausender E-Mail-Adressen von Beate Uhse. Lobend erwähnte Kurz, dass die Polizei inzwischen "mit Hundertschaften" ausrücke, wenn Kreditkartenabrechnungen verloren gehen und es "um Datenschutz geht". Der Staat dürfe die Verantwortung für die Skandale aber nicht allein der Privatwirtschaft in die Schuhe schieben, solange er mit schlechtem Beispiel vorangehe. Insgesamt müssten "Schnüffelfirmen" etwa auch beim Scoring für die Bonitätsprüfung wirksam kontrolliert werden.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
25C3: Hackerparagraphen sorgen weiter für Verunsicherung
« Antwort #86 am: 28 Dezember, 2008, 11:15 »
Die im Sommer 2007 in Kraft getretenen neuen Strafvorschriften zur "Bekämpfung der Computerkriminalität" sorgen in der IT-Sicherheitslandschaft weiter für große Verunsicherung. Die entsprechende Verschärfung der "Hackerparagraphen" im Strafgesetzbuch (StGB) "treibt den Forschungsstandort in den Keller", monierte Lexi Pimenidis, Sicherheitsforscher an der Universität Siegen, am Samstag auf dem 25. Chaos Communication Congress (25C3) in Berlin. Den Leuten werde "das Denken verboten". Sie würden an Papieren zu Security-Themen arbeiten, könnten die Ergebnisse aber in vielen Fällen nicht mehr mit ihrem Namen unterschreiben.

Im Zentrum der Kritik steht nach wie vor der neue Paragraph 202c StGB. Demnach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Betroffen sein sollen laut einer Einschränkung des Gesetzgebers Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, Computerstraftaten zu begehen.

Mit der vom Bundesverfassungsgericht zu prüfenden Bestimmung leide die Ausbildung von Sicherheitsexperten, konstatierte auch Felix von Leitner vom Chaos Computer Club (CCC). Bei Firmen, die Sicherheitsexperten bislang beauftragten, sei eine "Schere im Kopf" festzustellen. Wenn etwa ein Auszubildender im Sicherheitsbereich in ein Unternehmen komme und bereits Wissen über Hackerwerkzeuge mitbringe, müsse man davon ausgehen, dass er sich seine Kenntnisse illegal angeeignet habe, diese veraltet seien oder es sich um ein Genie handle. Das Gesetz sei von "Internet-Ausdruckern" gemacht worden, welche die Anforderungen der digitalen Gesellschaft nicht verstünden. Dabei hätten die "dokumentierten Wege", Änderungen etwa über Sachverständige vorzuschlagen, nicht funktioniert. Gefragt sei daher eine andere Angriffsform, um das Gesetz noch zu kippen.

Jan Münther von der Sicherheitsfirma n.runs beklagte ebenfalls die "Beratungsresistenz der Politik". Dem Gesetzgeber hierzulande warf er vor allem vor, die Ausnahmetatbestände etwa für Wissenschaft und Forschung aus der ursprünglichen Cybercrime-Konventions des Europarates nicht umgesetzt zu haben. Abgeordnete würden zwar betonen, dass Forschung "per se" nicht auf Schaden ausgerichtet und somit außen vor sei. Gleichzeitig werde aber behauptet, Hacker-Tools würde das "Böse" innewohnen. Die Strafbarkeit werde dem Text zufolge durch die "objektive Gefährlichkeit" eines Werkzeugs begründet. Das treibe die Leute "zurück in den Untergrund".

Jürgen Schmidt, Chefredakteur von heise security, sprach von einem Gesetz, das FUD ("Fear, Uncertainty & Doubt") verbreite. Er sei sich zwar sicher, "dass es niemand Falschen treffen wird". Trotzdem wirke der Vorstoß im Unterbewusstsein. Er unterstütze daher die Feststellungsklage des IT-Magazins iX aus dem Heise Zeitschriften Verlag wegen einer auf CD verbreiteten Toolsammlung in der Hoffnung, dass ein Staatsanwalt oder Richter das Verfahren nicht nur einstelle, sondern "klare Worte" zur Einschränkung der Reichweite des Gesetzes finde. Letztlich müsse dieses aber baldmöglichst überarbeitet werden. Da ein Hackerwerkzeug zum Begehen einer Straftat "bestimmt" sein müsse, könnte eine Dokumentation des Einsatzzweckes hilfreich sein.

Bis zu einer Gesetzesnovelle setzten Sicherheitsexperten vor allem darauf, dass es sich beim 202c doch um einen Papiertiger handelt. "Ich mache einfach weiter", erklärte Münther. So habe der Vorstand von n.runs zwar nach der Veröffentlichung einer Software zum Cracken von Bluetooth-PINs im Web und einer anonymen Anzeige bei der Polizei vorsprechen müssen, der Fall sei dann aber nicht weiter verfolgt worden. Auch an der Uni Siegen würden die Ausbilder den Studenten weiterhin zeigen, "was wir können", ließ Pimenidis durchblicken. Es gebe aber auch "Sachen", die nicht mehr stattfänden.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
25C3: CCC will Beschlagnahmen von Festplatten reduzieren
« Antwort #87 am: 28 Dezember, 2008, 11:44 »
Komplette Rechner oder Speichermedien dürfen im Licht des neuen Grundrechts auf die Vertraulichkeit und Integrität informationstechnischer Systeme nicht mehr bei jeder beliebigen Straftat beschlagnahmt und durchsucht werden. Dies erklärte Ulf Buermeyer, Richter am Landgericht Berlin, am Samstag auf dem 25. Chaos Communication Congress (25C3) in der Hauptstadt. Bisher sei allein eine Verhältnismäßigkeitsprüfung und richterliche Anordnung nötig, bevor Strafverfolgungsbehörden im Rahmen einer Wohnungsdurchsuchung Festplatten zum Auffinden von Beweismitteln mitnehmen dürften. Doch die Entscheidung des Bundesverfassungsgerichts zur Einschränkung heimlicher Online-Durchsuchung sei auch "mit gewissen Abstrichen" auf die mit Paragraph 110 Strafprozessordnung (StPO) prinzipiell zulässige Beschlagnahme wesentlicher Computerbausteine anzuwenden.

Experten und Datenschützer halten die derzeitige Praxis von Hausdurchsuchungen und dabei eingezogenen Festplatten seit Längerem für überzogen. Allein die "Ansprechstelle Kinderpornographie" in Bayern habe im Rahmen der Operation "Smasher" rund 1000 Computer und 44.000 Datenträger sichergestellt, brachte Constanze Kurz vom Chaos Computer Club (CCC) ein Beispiel. Konkret werde dabei beim Besuch von Experten des Landeskriminalamts zunächst bei einem laufenden Rechner der Arbeitsspeicher gesichert, dann ohne Herunterfahren der Stecker gezogen, die Platte ausgebaut und ein Image gezogen. Erst danach starte der Prozess der eigentlichen Sichtung, die oft von externen Dienstleistern durchgeführt werde. Bei E-Mails kämen dabei Schlagwörter zum Einsatz, wobei Nachrichten mit Treffern in der Regel ausgedruckt würden. Eine durchgehende Dokumentation der Erlangung von Beweismitteln erfolge nicht. So komme es vor, dass Festplatten verloren gehen würden. Einen Schutz vor Manipulationen gebe es nicht.

Angesichts der Möglichkeiten, die der Paragraph 110 StPO zulasse, sprach Kurz auch von einer "Online-Durchsuchung light". Zum Einsatz kämen bei einer Auswertung von Festplatten zunächst "bestimmte Programme zur Sichtung von Kinderporno-Dateien", erläuterte Buermeyer. Diesen Scans würden alle Festplatten routinemäßig unterzogen. Die Durchsicht beschränke sich generell nicht auf den Vorwurf im Durchsuchungsbefehl. Vielmehr dürften und müssten auch andere strafrechtlichen "Zufallsfunde" verwendet werden. Sollten Verbindungen zu externen Speichermedien wie Webspace-Dateien oder Webmails bestehen, dürften auch diese gescannt werden, sofern die Zugangsdaten bekannt seien: "Auch ein entferntes Ablegen von Daten entzieht diese nicht dem Zugriff der Sicherheitsbehörden."

Online-Razzien dürfen dagegen gemäß dem Richtspruch aus Karlsruhe nur zur Abwehr von Gefahren für höchste Rechtsgüter durchgeführt werden. Zudem muss ein verdeckter Zugriff auf IT-Systeme laut dem Vermittlungsausschuss von Bund und Ländern in jedem Fall von einem Richter angeordnet werden. Auch die Sichtung abgezogenen Materials auf die Berührung des Kernbereichs privater Lebensgestaltung hin hat unter der "Sachleitung" eines Gerichts zu stehen. Bei beschlagnahmten Festplatten sei daher ebenfalls die Frage aufzuwerfen, "wer die Durchsicht ausführen darf", betonte Buermeyer. Generell dürften offene Durchsuchungen von IT-Systemen "keine Standardmaßnahme" mehr sein: "Wir müssen zu einem rechtsstaatlichem Umgang mit großen Massenspeichern kommen." Sollten Zweifel an der Rechtmäßigkeit einer Beschlagnahme bestehen, empfahl der Richter, anwaltlichen Rat einzuholen. Die Rechtsprechung an sich sei bei der Anwendung des Grundrechts auf digitale Intimsphäre "noch nicht so weit".

Kurz versprach, das der CCC Betroffenen praktische Hilfe leisten werde, um einen Musterfall bei einer offenen Festplatten-Bespitzelung ohne Gefahr für höchste Rechtsgüter durchzufechten. Zugleich forderte die Hackerin mehr Richterstellen, um die Anordnungen wasserdichter zu machen. Bisher müsse ein Ermittlungsrichter am Tag durchschnittlich 25 Anträge von Staatsanwaltschaften für Hausdurchsuchungen prüfen. In Baden-Württemberg habe er dabei für jeden Einzelfall 36, in Bayern nur zwei Minuten Zeit. Der von Politikerin der großen Koalition in der Debatte um verdeckte Online-Durchsuchungen gebetsmühlenhaft betonte Hinweis, dass "noch ein Richter draufgucken muss", helfe so wenig.

Buermeyer bestätigte, dass der Beschluss zu einer beantragten Maßnahme bereits hinten in der von der Staatsanwaltschaft eingereichten Akte liege und nur noch unterschrieben werden müsse. Der Richter habe am wenigsten Arbeit, wenn er einen Fall nicht weiter prüfe. Der Richtervorbehalt werde so angesichts der derzeitigen Ausgangssituation überschätzt, auch wenn er prinzipiell ein gutes rechtsstaatliches Mittel darstelle.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
25C3: Brüche in der Sicherheitsarchitektur des iPhone
« Antwort #88 am: 28 Dezember, 2008, 14:35 »
Mitglieder des "iPhone Dev"-Hackerteams haben auf dem 25. Chaos Communication Congress (25C3) Einblicke in ihre andauernde Arbeit zum Umgehen der SIM-Sperre bei Apples Smartphone gegeben. Generelles Ziel der Sicherheitsexperten war und ist es demnach immer auch, nicht nur die von dem kalifornischen Computerhersteller vorgeschriebene Bindung an ausgewählte Mobilfunkbetreiber aufzuheben, sondern zudem beliebigen Code und Programme auf dem iPhone laufen zu lassen. Für die aktuelle Generation des beliebten Mobiltelefons mit UMTS- und GPS-Unterstützung hielten die Hacker an ihrem Ziel fest, noch zum Jahreswechsel eine leicht bedienbare Software zum Aufbrechen der Sperre zum Providerwechsel veröffentlichen zu können. Hoffnungen der versammelten Gemeinde schöpferisch-kritischer Sicherheitstester, die nutzerfreundliche Applikation bereits ausprobieren zu dürfen, erfüllten sie aber im Rahmen ihres Vortrags am Samstagabend nicht.

Die bunte Truppe, deren Mitglieder aus Ländern wie Belgien, Deutschland, Frankreich, Großbritannien, Israel oder den USA stammen, traf sich auf dem Hackerkongress das erste Mal persönlich an einem realen Ort. Normalerweise sind ihre virtuellen Begegnungsstätten Chat-Kanäle im Internet. Die Gruppe formierte sich im Juni 2007, wenige Tage vor dem ersten offiziellen Verkauf des iPhone. Bereits wenige Monate später hatte sie eine erste quelloffene Software parat, mit der sich die SIM-Blockade bei den Geräten der ersten Generation aufbrechen ließ. Die Sicherheitskette des iPhone 3G ist aber härter zu knacken, sodass die Gruppe hier noch nach dauerhaften Lösungen sucht.

Die entdeckten Schwachstellen auf der Softwareseite des Smartphones stellte der Teamvertreter "planetbeing" vor. Grundsätzlich ist das Gerät in seinem Innern demnach in eine System- und eine Nutzerpartition unterteilt. Nur letztere ist mit eigenen Daten beschreibbar. Alle Applikationen von dritter Seite würden nur im freigegebenen Bereich laufen, wenn sie eine Signatur von Apple vorweisen könnten. Diese Prüfsumme werde nur beim Starten der Anwendung begutachtet. Ein "leichtes Problem" für Apple habe man zunächst bei dem etwas zu optimistisch als "Secure iBoot" betitelten Verfahren zum Anmachen des Geräts entdeckt. So würde von diesem ein Programm namens LLB aus einem Flash-Speicher geladen, das den nächsten Bootloader aktiviere. Dabei werde es aber selbst nicht signaturgeprüft.

Eine Lücke für das Einschleusen eines eigenen LLB-Codes ließ sich laut planetbeing dann über weitere Schwachstellen bei den Schnittstellen zur Datenfernübertragung und einen dadurch auslösbaren Speicherüberlauf finden. Letztlich habe sich iTunes nutzen lassen, um eine eigene Firmware auf das iPhone zu zaubern. Das Smartphone habe in den ersten Versionen dem Musikprogramm Apples blind vertraut. Auch auf einfache Zugänge zur Administrationsebene sei man im Weiteren gestoßen, sodass die Hacker sogar Linux auf das Gerät portieren konnten.

Über weitere Einzelheiten und die größeren Schwierigkeiten beim iPhone der nächsten Generation berichtete "musclenerd". Der seinem Spitznamen getreu im Muskel-Shirt auf dem Podium sitzende Hacker erläuterte, dass beim ursprünglichen Smartphone ein interaktiver Servicemodus für Firmware-Updates offen stand. Beim 3G-Gerät sei das genutzte Verfahren für diesen Zweck deutlich komplizierter und in mehrere, mit Verschlüsselungsverfahren abgesicherte Schritte unterteilt worden. Eine Manipulationsmöglichkeit für die so genannte Baseband-Firmware sei aber wichtig, da diese die SIM-Sperre letztlich durchsetze. Bei einer frühen Version habe sich die Krypto-Implementierung anfällig für den "Bleichenbacher-Angriff" gezeigt. Damit hätten falsche Signaturen und ein manipulierter Bootloader eingeführt werden können.

Geholfen hat musclenerd zufolge auch die Applikation JerrySIM, die eine Codeausführung nach einem Speicherüberlauf gestattet. Obwohl Apple von dieser Anwendung Wind bekommen habe und die Angriffsstelle abgedichtet worden sei, habe sie in der Übergangszeit ein umfangreiches Reverse Engineering auch der Firmware der zweiten Gerätegeneration möglich gemacht. Generell erfordere diese aber deutlich mehr Hackerarbeit. Einmal laufender eigener Code sei zwar wieder verwendbar. Derzeit, vermutet der Hacker, dürfte jede neue Baseband-Version aber noch die Einführung einer leicht überarbeiteten Software zum Ausnutzen der Sicherheitslücken erfordern. Die in Aussicht gestellte Applikation yellowsn0w, die musclenerd bereits im Blog des Expertenteams vorführt, sei so wohl noch keine echte dauerhafte Lösung. Man brauche noch einen Bootrom-Code, um einfacher und potenziell langfristig Exploits zum Aufbrechen der "Vertrauenskette" des Geräts zu finden.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189179
  • Ohne Input kein Output
    • DVB-Cube
25C3: Hacker haben großen Zulauf
« Antwort #89 am: 28 Dezember, 2008, 15:04 »
Das traditionell zwischen den Jahren in Berlin stattfindende Hackertreffen auf Einladung des Chaos Computer Clubs (CCC) schickt sich an, alle Teilnehmerrekorde zu brechen. Die Dauerkarten für den viertägigen 25. Chaos Communication Congress (25C3) seien bereits am ersten Tag "ausverkauft" gewesen, erklärte Andy Müller-Maguhn von der Hackervereinigung gegenüber heise online. Es seien bereits rund 4000 Karten am gestrigen Samstag verkauft worden. Zum Vergleich: Im bisherigen Rekordjahr 2006 pilgerten insgesamt 4200 Freunde der schöpferisch-kritischen Auseinandersetzung mit der digitalen Welt zu der Konferenz, bei der auch der Party-Charakter mit DJs in der Raucherlounge und der "Spaß am Gerät" allgemein nicht zu kurz kommt. Im vergangenen Jahr zählte der CCC 4013 Kongressbesucher.

Im offiziellen Event-Blog weist der Veranstalter darauf hin, dass nur noch Tagestickets in limitierter Zahl ausgegeben würden. Ausnahmen mache man vor allem bei Besuchern aus dem Ausland oder für alle Interessierten, die bereits im Anmarsch seien. Ansonsten wird auf die Live-Streams von den Vorträgen verwiesen, die Workshops oder andere Besprechungen vor Ort freilich nicht abdecken können.

Das Berliner Congress Center (bcc) am Alexanderplatz, in dem die Hacker seit mehreren Jahren gastieren, platzt derweil aus allen Nähten. Selbst bei den Darbietungen im großen Kuppelsaal des mittlerweile grundsanierten architektonischen Kleinods aus der DDR-Zeit waren am Samstag eine Viertelstunde vor Beginn eines Vortrags keine Sitzplätze mehr zu ergattern. Kongressteilnehmer saßen in allen Zwischenräumen beziehungsweise standen bis auf die Gänge hinaus. Traditionell wenig Luft zum Atmen gibt es in den beiden weiteren kleineren Vortragssälen. Auch das in schummriges Licht getauchte "Hackcenter" im Untergeschoss ist bis auf den letzten Zentimeter gefüllt.

Blogger aus dem CCC-Umfeld spekulieren bereits darüber, ob der Kongress in den kommenden Jahren im deutlich größeren ICC oder in den Messehallen tanzen müsse. Müller-Maguhn erklärt sich den Ansturm nicht nur mit der wachsenden Popularität von behandelten Themen wie Datenschutz, IT-Sicherheit oder Netz- und Gesellschaftspolitik, sondern auch mit dem Start am Wochenende direkt nach Weihnachten. Dieses werde anscheinend von immer mehr Hackern für eine sinnvolle Freizeitbeschäftigung und die Kommunikation unter Gleichgesinnten mithilfe auch von Online-Werkzeugen wie Twitter genutzt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )