Archiv der Kategorie: Hackmeck

Hacking

An das Bundeszentralamt für Steuern

Datenschutz, Hackmeck, O-Ton, Regierungsviertel, Verboten, , , , , , , , , ,

Jetzt tun wir mal etwas völlig Beklopptes, denn damit rechnen sie nicht. Musterklagen sind für Weicheier und bloggende Anwälte. Ich bin weder das eine noch das andere, dafür aber gelernter DDR-Bürger. Was uns, respektive dem Bundeszentralamt für Steuern, das nachfolgende Schreiben beschert:

An das Bundeszentralamt für Steuern weiterlesen

blind, barrierefrei oder einfach blöd?

Fundbüro, Geschäft, Hackmeck, Wahrnehmung

Letzte Woche hat mich ein Kollege auf einen hübschen Dienst aufmerksam gemacht. Wer ein Captcha gelöst haben möchte, der kann das ganze an www.captchakiller.com schicken, die machen aus kleinen JPEGs hübsche kleine ASCII-Zeichenfolgen. Wer jetzt denkt, das Ding sei ein böser Helfer der Spammer, die ihre Robots damit durch die Captcha-Kontrolle bringen wollen, um Webseitenbetreiber in diversen Formen zu belästigen, der irrt. Auf der Seite steht’s, die machen das nur wegen den Blinden, die den Captchas ansonsten völlig hilflos gegenüberstehen – also ganz im Zeichen der Barrierefreiheit. Quote: „CAPTCHA Killer is 100% focused on increasing accessibility on the Internet.“ Deshalb haben die Gutmenschen wahrscheinlich auch das Mädchen engagiert, das im häßlichen T-Shirt, aber ohne Höschen die Seite ziert. Auf der Seite tut sich aber seit vergangenem Sommer nicht mehr viel. Der werte Leser möge selbst entscheiden, ob die Blinden doch andere Mittel und Wege gefunden haben, um Captchas zu lösen, oder ab die Macher an einer besonderen Art der Wahrnehmungsstörung leiden.

Hackerhymne

Hackmeck, O-Ton

Eigentlich ein schöner Text für eine Hackerhymne, jedenfalls der Anfang:

Keep on looking
you keep on searching
you keep on moving
and you get a little further
you keep on trusting
you keep on hoping
you keep on facing your faith just to keep on growing

just try…try..you just try

(…)

(Sidsel Endresen & Bugge Wesseltoft, Try)

Hackertool Kommandozeile?

Hackmeck, Stammtisch, Wahrnehmung, , , , ,

Der Heise-Ticker berichtet unter der Überschrift 60.000 Dollar Strafe für DNS-Abruf:

»Das Gericht stellte fest, dass Ritz dabei seine „Identität hinter Proxies verbarg, ein UNIX-Betriebssystem verwendete und neben anderen Methoden Shell Accounts einsetzte. Außerdem gab er sich als Mail-Server aus.“ Die auf diese Weise gewonnenen Informationen machte Ritz publik. Diese Information, stellte das Gericht fest, sei nicht öffentlich verfügbar gewesen. Damit habe Ritz die Datensicherheit von Sierra gefährdet, Ritz sei also als Hacker einzustufen, schließlich sei der Befehl „host -l“ dem normalen Anwender nicht bekannt.«

Offenbar ist dem Richter alles suspekt, was er nicht kennt. Und das ist erfahrungsgemäß ziemlich viel, wenn es um Informationstechnik geht und man die Gefühlswelt eines Juristen zum Maßstab nimmt.

Tatsächlich aber ist weder am Kommando host noch an einem Shell-Account irgend etwas ungewöhnlich. Sogar mein iBook, Inbegriff des Schickimickiklickiwerkzeugs und damit juristentauglich, verfügt über beides. Ein Maßstab dafür, ob jemand unlauter gehandelt hat, ist die Benutzung nicht. Zumal das Kommando host ausgesprochen harmlos ist: es fragt öffentlich verfügbare Informationen aus den öffentlichen Servern eines öffentlichen Dienstes ab, denn DNS ist nichts weiter als eine Art automatische Telefonauskunft für das Internet. Nur hat das dem Richter offenbar keiner erklärt, wenn der meint, die Information sei nicht öffentlich zugänglich gewesen. Doch, das war sie.

Bullshit ist die Behauptung des Klägers, er habe aufgrund der Abfrage seine interne Kommunikationsstruktur ändern müssen. Erstens wäre nämlich an dieser Kommunikationsstruktur etwas sehr kaputt, wenn sie auf die Vertraulichkeit öffentlicher Informationen angewiesen wäre. Zweitens wäre anderenfalls das Sicherheitsproblem bereits durch die Veröffentlichung auf dem DNS-Server entstanden, und dafür kann man kaum denjenigen verantwortlich machen, der lediglich hinschaut.

Hoffentlich fragen deutsche Richter jemanden, der sich damit auskennt, bevor sie jemanden verknacken, dessen Werkzeuge sie nicht verstehen.

Nachtrag: Und so finden Kommandozeilenganoven ihre KompliziInnen.

Hacker ist man lebenslänglich

Hackmeck, Werkbank

Wenn ich mich umbringen will, aber nur eine Schreckschusspistole zur Hand habe, was mache ich da? Genau, ich schaue in die Gelben Seiten und suche mir jemanden, der sich damit auskennt. So zum Beispiel:

»Bei einem Schusswechsel mit der Polizei ist am Sonntagabend in Plauen ein junger Mann ums Leben gekommen. Wie die Polizei mitteilte, hatte er zuvor telefonisch seinen Selbstmord angekündigt. Als die beiden alarmierten Beamten ihn in der Nähe seiner Wohnung antrafen, zog er ohne Vorwarnung eine Waffe und schoss auf die Einsatzkräfte. Ein Polizist (40) erwiderte das Feuer und verletzte den 25-Jährigen so schwer, dass er wenige Stunden später im Krankenhaus starb.

(…)

„Nach erster Einschätzung hat der Beamte in Notwehr gehandelt.“ Bei der Waffe des Opfers handele es sich um eine Schreckschusspistole. „Dies war aber für den Beamten im Einsatz nicht zu erkennen, er hat in den Lauf einer Pistole geschaut und dann sofort reagiert“, sagte eine Polizeisprecherin.«

(LVZ-Online: Mann bei Schusswechsel mit Polizei getötet)

Offen bleibt, warum jemand mit so viel Talent seinem Leben ein Ende setztsetzen lässt, statt Hacker zu werden. Wir zum Beispiel suchen ständig Hiwis.

Der Terror geht weiter

Hackmeck, Verboten, Werkbank

Der Deutsche Bundestag hat erwartungsgemäß die Kriminalisierung unserer Arbeit beschlossen. Ob wir damit auch zu Terroristen werden, die Geruchsproben abgeben dürfen und ihre Post nicht selbst lesen müssen, weil das bereits andere für sie tun, das wissen wir nicht. Wie wir überhaupt vieles nicht wissen, denn statt etwas gesetzlich zu regeln, was einer gewissen Klarheit der Formulierung bedurft hätte, hat man lediglich Spielräume und Möglichkeiten geschaffen. Spielräume für die Strafverfolgung, nicht für uns. Wir, die wir uns mit IT-Sicherheit beschäftigen, verlieren also an Sicherheit, wir müssen fortan mit dem Schlimmsten rechnen.

Der Terror geht weiter weiterlesen

Most WordPress Blogs Vulnerable

English, Hackmeck, Studien, Wortpresse

»Security analyst David Kierznowski shocked bloggers yesterday with a survey showing that 49 out of the 50 WordPress blogs he checked seem to be running exploitable versions of the widely used software. He said, ‚The main concern here is the lack of security awareness amongst bloggers with a non-technical background, and even those with a technical background.‘ Mr Kierznowski also uncovered recent vulnerabilities in WordPress plugins that ship by default with the software, adding: ‚WordPress users developing plugins must be aware of the security functions that WordPress supports, and ensure that these functions are used in their code.’«

Slashdot | Survey Finds Most WordPress Blogs Vulnerable

Vertrauensfrage

Hackmeck

Ein Secustick ist ein USB-Stick, der seinen Speicher automatisch löscht, wenn das Passwort mehrmals falsch eingegeben wird. Regierungen benutzten es und viele hielten es für ein geniales Produkt – bis es www.tweakers.net in 30 Minuten knackte. Anscheinend waren die Daten des Sticks noch nicht mal verschlüsselt. Bruce Schneier hat in seinem Newsletter darauf hingewiesen, dass dies ein typisches Beispiel für eine asynchrone Informationssituation sei. In einem solchen Markt besitzt der Verkäufer mehr Informationen als der Käufer. Eine Lösung dieses Problem bietet das so genannte Signalling – also ein neutraler Dritter, der das Informationsdefizit des Kunden ausgleicht. Dies kann der Staat sein oder Fraunhofer SIT, das ein Testat vergibt, oder beides.

Entscheidend dabei ist das Vertrauen, das der Kunde der Signalling-Instanz entgegenbringt. Dafür gibt es sogar eine schöne Formel, die ich in der Wikipedia gefunden habe:

p*G(x)-(1-p)*L(y)>0

Daraus ergibt sich

Vertrauen = p > L(y) / (L(y) + G(x))

Vertrauensfrage weiterlesen