GMX prahlt mit „Sicherheit mit TÜV-Siegel“

Wieso musste ich bloß eben bei dieser E-Mail herzhaft lachen? (auch Michael Butscher wunderte sich schon)

Liebe GMX-Leute – ist es nicht gerade etwas unglücklich, mit „TÜV-geprüfter Sicherheit“ zu werben und Eure Kunden auch noch dazu aufzufordern, sämtliche Passwörter für Social Networks und andere Webanwendungen bei Euch zu hinterlegen?
Wieviel ein solches „Qualitäts“siegel wert ist, zeigte sich doch in den letzten Tagen beim Online-Buchhändler Libri, der trotz krassester Sicherheitslücken ein TÜV-Siegel bekommen hat.

Kriminelles Crowdsourcing

Wie man Spammer dazu benutzen könnte, die KI-Forschung voranzubringen.

Mifare Classic jetzt noch einfacher zu knacken

Über das hier blogge ich vor allem deshalb, weil ich gerade den ausgesprochen interessanten Podcast zu diesem Thema bei Chaosradio Express höre.

Britische Datenpannen

Das hier passiert ja dermaßen oft, dass man sich fragen muss, ob nicht irgendeine Absicht dahintersteckt. Diese Daten gehen vielleicht nicht nur verloren, sondern werden vom Richtigen gefunden. Aber wer ist „der Richtige“?

Sicherer C-Code ist unglaublich schwierig

Leicht off-topic: Also, wenn ich diese höchst amüsante Diskussion hier lese, und dann noch den Code hier sehe, der immer noch nicht ganz korrekt ist, dann empfinde ich eine Mischung aus Bewunderung und Mitleid für diejenigen, die sich täglich damit auseinandersetzen (müssen).

Anleitung zum anonymen Bloggen mit Tor und WordPress

Global Voices Advocacy hat eine gute Anleitung, wie man ein komplett anonymes Blog aufsetzt – allerdings mit einem Fehler: Es ist nicht egal, ob der Webmail-Zugang verschlüsselt ist, selbst wenn man Tor benutzt. Tor selbst verschlüsselt gar nicht, und der Betreiber eines Exit-Nodes bekommt den Datenverkehr so verschlüsselt oder unverschlüsselt zu sehen, wie er ohne Tor gewesen wäre. Diese Schwäche wurde bereits genutzt, um an vertrauliche E-Mail-Zugangsdaten von Botschaften zu kommen.

Ein Angreifer, der an das Webmail-Passwort des Bloggers kommt, kommt nicht nur an alle E-Mails heran, sondern kann sich damit auch Zugang zum eigentlichen Blog verschaffen (in dem er so tut, als ob er das WordPress-Passwort vergessen habe und es dann zurücksetzen lässt) und dort beliebig Beiträge schreiben, ändern oder löschen.

Oh tatsächlich…

Die Entdeckung des Jahres in Sachen sichere Behördenkommunikation.

Wie kann man Menschen über das Internet physisch verletzen?

Man postet Beiträge mit wild flackerndern bunten Bildern in einem Forum für Epileptiker, die von so etwas Anfälle bekommen. Das ist schon ziemlich bösartig, würde ich sagen (Slashdot-Diskussion).

TrueCrypt 5.0

..unter Linux ist leider ziemlich unbenutzbar zum Verschlüsseln ganzer Datenträger. Jedenfalls habe ich mal meinen USB-Stick (4GB) komplett verschlüsselt, aber stelle jetzt fest, dass ich keine Dateien darauf kopieren kann, die größer als 100MB sind. Bei größeren Dateien scheint der Rechenaufwand explosionsartig anzuwachsen, so dass selbst mein Dual-Core-Rechner innerhalb von Sekunden bei 100% CPU-Last ist, ich kann keinerlei(!) Eingaben mehr machen, und es bleibt nur der Griff zum Reset-Knopf. Absolut seltsam. Irgendein Prozess scheint da mit Root-Rechten und sehr hoher Priorität zu laufen. Also nur für kleine Datenmengen geeignet. Schade.

GSM jetzt wesentlich leichter knackbar

Man braucht nur noch 2 Terabyte Speicherplatz (2 handelsübliche Festplatten), nicht allzu teure Spezialhardware mit einem FPGA, und eine Stunde Zeit, um ein aufgenommenes Telefongespräch mit hoher Wahrscheinlichkeit entschlüsseln zu können. Außerdem ist die neue Angriffsmethode komplett passiv, das heißt, man muss selbst keine Mobilfunksignale erzeugen. Mehr dazu hier.