k-blue - more than a name, an inspiration more than a name, an inspiration


   
   Über k-blue
   Neuigkeiten
   Der Name
   Schreiben Sie uns
   Anfahrt
   Telefonisch erreichbar
   Disclaimer
   Cookie

   Aktuelles
   Online News
   Heise News
   Börse & Baugeld

   Services
   Weitere Links
   Remote Support
   Google PageRank
   The Jargon File
   Mozille Extensions
   Eclipse Extensions
   Linux-Befehle
   git - content tracker
   Radio Links

   Specialities (login)
   Hotspots
   Benutzer Account
   Movies
   Wunschliste
   Games
   Karten Leeheim

   WebCams (login)
   k-blue
   Kondor
   Darmstadtium

   Administration
   Artikelverwaltung

   Archive
   Neuigkeiten Archive

   Direkte Links
   Unwetterzentrale
   popular URLs
   wikileaks
   Reitanlage Schaad
   Cherno Jobatey
   Europa

Juli 2017
MoDiMiDoFrSaSo
     1 2
 3 4 5 6 7 8 9
 10 11 12 13 14 15 16
 17 18 19 20 21 22 23
 24 25 26 27 28 29 30
 31

Benutzername

Passwort


  
SIM-Karten-Hack: Die Kompromittierung der Mobilfunknetze durch NSA/GCHQ
by Andreas Kruemmel
Nachdem es um die NSA-Überwacher fast etwas ruhig geworden war, zeigen die Enthüllungen über manipulierte Festplatten-Firmware und über das das Eindringen in die Netzwerke der SIM-Karten-Hersteller, dass der NSA-Skandal noch lange nicht zu Ende ist.

Dass der britische Geheimdienst GCHQ und die US-amerikanische NSA schon vor Jahren die Sicherheitsvorkehrungen der Chipkarten-Hersteller ausgehebelt haben, hat weitere Konsequenzen. Die gemeinsamen Einheit von GCHQ und NSA namens Mobile Handset Exploitation Team (MHET) soll Schwachstellen in Mobiltelefonen finden und auszunutzen sowie die internen Netzwerke der großen SIM-Karten-Hersteller, der großen Endgerätehersteller und vieler Netzbetreiber kompromittiert haben, wie der Intercept berichtet. Den Geheimdiensten erwachsen durch das Abfangen der elektronischen Schlüssel (Zertifikate), die auf jeder SIM-Karte fixiert sind, ungeahnte Möglichkeiten – dies reiht sich ein in die vor kurzem bekannt gewordenen Methoden der mit den Geheimdiensten in Verbindung gebrachten so genannten Equation Group, die unter anderem Firmware von Festplatten manipuliert.
Unterminierung der Justiz

Mit einem Schlüssel kann auch die Übertragung gefälscht und verfälscht werden. Es kann eine idente SIM-Karte nachgebaut werden. Damit aufgebaute Verbindungen sehen für den Netzbetreiber so aus, als kämen sie von der Originalkarte. Denn das ist der eigentliche Zweck der SIM-Karten: Sie sollen nicht den Benutzer vor Überwachung schützen, sondern den Netzbetreiber vor Betrug.

Die NSA, der britische GCHQ und andere westliche Geheimdienste greifen in großem Umfang internationale Kommunikation ab, spionieren Unternehmen sowie staatliche Stellen aus und verpflichten Dienstleister im Geheimen zur Kooperation. Einzelheiten dieses totalen Überwachungssystems enthüllen streng geheime Dokumente, die der Whistleblower und ehemalige NSA-Analyst Edward Snowden an sich gebracht und an Medien weitergegeben hat.

Daher fehlt auch Perfect Forward Secrecy (PFS), bei der laufend neue Schlüssel erzeugt werden. Mit PFS könnte die Kompromittierung eines Schlüssels nur eine beschränkte Informationsmenge offenlegen. So aber gilt ein und derselbe Schlüssel für die gesamte Lebensdauer der SIM-Karte.

Das erklärt, warum Geheimdienste auf ihren Botschaften und Konsulaten, aber auch im öffentlichen Raum, gerne Antennen aufstellen. Damit schneiden sie alles mit, was über den Äther geht. Das kann dann auch Jahre später noch ausgewertet werden, wenn es einmal interessant sein könnten.

Nebenbei werden durch die Hacks wieder einmal elektronische Beweise entwertet. Abgehörte Datenübertragungen und SMS können ebenso wie Verbindungsprotokolle und Bewegungshistorien in Gerichtsprozessen eigentlich nicht mehr als tragfähiger Beweis erachtet werden.

...

Quelle: Heise Online



Deutsche Telekom äußert sich zur Zusammenarbeit mit Geheimdiensten
by Andreas Kruemmel
...
Das BND-Gesetz, das G-10-Gesetz und das Telekommunikationsgesetz. In diesen Gesetzen ist geregelt, was Geheimdienste dürfen und zu was die Telekom verpflichtet ist:

So muss dem BND beispielsweise an einem Punkt im Inland die vollständige Kopie der zur Überwachung angeordneten Kommunikation übergeben werden. Telekommunikationsunternehmen haben in ihren Räumen den Zutritt von BND-Mitarbeitern zu ermöglichen und die Aufstellung von technischer Ausrüstung des BND zu dulden.

Was die Telekom hingegen nicht darf: über diese Überwachungsmaßnahmen öffentlich sprechen.
...

Quelle: CASCHYS BLOG


Mehr unter: Blog der Deutschen Telekom


Kritik an Videoüberwachung in bayerischen Schulen
by Andreas Kruemmel
Zahlreiche Schulen im Freistaat verstoßen bei der Videoüberwachung gegen grundlegende Datenschutzvorschriften, berichtet der Bayerische Rundfunk.

Die Videoüberwachung an Schulen in Bayern sorgt für Ärger. Der Landesbeauftragte für Datenschutz, Thomas Petri, kündigte eine "krachende Beanstandung" für Schulen an, die gegen Vorschriften verstoßen. Tonaufzeichnungen oder heimliche Aufnahmen seien verboten, sagte Petri dem Bayerischen Rundfunk. Recherchen des Senders zufolge fehlen in mehreren Schulen Schilder, die auf eine Videoüberwachung hinweisen. Zudem könnten nur wenige Schulleiter konkrete Fälle nennen, die eine Überwachung rechtfertigten.

Quelle: Heise Online



Kommentar zur Maut: Mehr Überwachung statt Mehreinnahmen? Schluss mit dem Unfug!
by Andreas Kruemmel
Der aktuelle Maut-Vorschlag von Verkehrsminister Dobrindt würde eine flächendeckende Überwachung von Nummernschildern mit sich bringen. Wem nutzt das?

Ich glaube, ich werde zum Verschwörungstheoretiker. Offenbar fangen wir uns durch diese unsägliche Pkw-Maut eine flächendeckende Kennzeichenüberwachung ein. Nach dem Gesetzentwurf von CSU-Verkehrsminister Alexander Dobrindt soll es nun keine Vignette mehr geben. Stattdessen ist „zur Überwachung eine elektronische Erkennung der Nummernschilder geplant“, schreibt Heise Online. „Ist ein Kennzeichen nicht im Bestand der Mautzahler registriert, drohen Geldbußen.“

„Surveillance by Design“ nennt man so etwas. Da werden – wie bereits bei der Lkw-Maut – massenhaft Daten erhoben, die dann wunderbar etwa eine Rasterfahndung ermöglichen. Natürlich werden die Verantwortlichen beteuern, die Daten seien gesichert, werden nur für die angegebenen Zwecke benutzt und schleunigst wieder gelöscht. Jaja, ist klar. Hier tut sich für mich ein Zeitparadoxon auf: Ich kann die Beteuerungen schon nicht mehr hören, obwohl sie noch gar nicht ausgesprochen wurden. Glaubt irgendjemand ernsthaft, der BND oder die NSA kommen an diese Daten nicht ran, wenn sie wirklich wollen?

Und wozu das alles? Wozu? Nennenswert Geld wird die Maut nicht einbringen. Im neuen Dobrindt-Vorschlag sind die Bundesstraßen nicht mehr enthalten. Er selbst rechnet nun nur mit 500 Millionen Euro Einnahmen jährlich, nach anderen Quellen nur 300 Millionen. Das ist lächerlich angesichts der Milliardenlücken bei der Verkehrsfinanzierung. Es ist noch nicht einmal klar, ob die Erlöse überhaupt die Verwaltungskosten decken.

...

Trotzdem ist es skandalös, wie sich hier die ganze Republik von der CSU an der Nase durch den Ring ziehen lässt. Es kann doch nicht sein, dass wir landesweit mit riesigem Aufwand ein System installieren, das nichts, aber auch gar nichts zur Lösung irgendeines Problems beiträgt außer dem, dass der CSU-Chef vor den heimischen Stammtischen blöd dastehen könnte.

Parlamentarier, Abgeordnete, Volksvertreter: Bereitet diesem Unfug ein Ende! Widerlegt die Verschwörungstheoretiker! Zeigt, dass die Politik kein logikfreier Raum ist! (Gregor Honsel)

Quelle: Heise Online



Kfz-Kennzeichen: Massenhafte Erfassung in Parkhäusern, auf Campingplätzen und Firmenparkplätzen
by Andreas Kruemmel
In Deutschland werden massenhaft Kfz-Kennzeichen gescannt und erfasst – zum Beispiel um zu verhindern, dass Parkzeiten manipuliert werden. Dagegen gebe es keine eindeutige Handhabe, berichten NDR und Süddeutsche Zeitung.

In Deutschland werden bundesweit in Parkhäusern, auf Campingplätzen und Firmenparkplätzen automatisch alle Kennzeichen einfahrender Autos erfasst, ohne dass die Fahrer davon wüssten. Das berichten der NDR und die Süddeutsche Zeitung. Es gebe dagegen derzeit keine eindeutige rechtliche Handhabe; mehrere Datenschutzbehörden sähen dies aber kritisch. Unklar sei auch, wie lange die Daten gesichert bleiben und wer darauf Zugriff hat.

Unter anderem in Parkhäusern sollen massenhaft automatische Kennzeichen-Erfassungsanlagen installiert sein
Unter anderem in Parkhäusern sollen massenhaft automatische Kennzeichen-Erfassungsanlagen installiert sein Vergrößern Das Bundesverfassungsgericht hatte 2008 der Polizei untersagt, zu Fahndungszwecken massenhaft Autokennzeichen zu erfassen und zu speichern. Kennzeichen-Erfassungssysteme würden allerdings von einigen Herstellern angeboten, heißt es in dem Bericht. Einer von ihnen habe mittlerweile 80 Campingplätze in Deutschland ausgestattet. Ein anderer Produzent habe NDR und SZ mitgeteilt, dass er in diesem Jahr bereits etwa 200 Parkhäuser und Parkplätze mit Kennzeichen-Erfassungssystemen ausgerüstet habe

Quelle: Heise Online



Gehackte Smart Meter machen Lichter aus
by Andreas Kruemmel
Sicherheitsexperten ist es gelungen, in Spanien eingesetzte intelligente Stromzähler zu hacken. Damit könnten sie den Strom abschalten, den Zähler manipulieren oder dort Malware installieren.

Die Sicherheitsforscher Alberto Garcia Illera und Javier Vazquez Vidal haben sich Zugriff auf einen intelligenten Stromzähler verschafft, der in Spanien weit verbreitet ist. Dort entdeckten sie schwere Sicherheitslücken, über die nicht nur der eine Smart Meter manipuliert werden könnte, sondern auch weitere des gleichen Herstellers. Die beiden Sicherheitsexperten präsentierten ihre Ergebnisse auf der Sicherheitskonferenz Black Hat Europe 2014.

Nachdem sie ohne große Mühe die Firmware zweier intelligenter Stromzähler des gleichen Herstellers extrahiert hatten, stellten sie fest, dass beide einen identischen Schlüssel mit symmetrischem AES mit einer Länge von 128-Bit verwendeten. Zudem ließ sich die eindeutige Identifikationsnummer der beiden Geräte leicht fälschen. Da die Verbindung zu den intelligenten Stromzählern über das reguläre Stromnetz hergestellt wird, könnten Angreifer die eigentlich strikt voneinander getrennten Geräte über das Netzwerk miteinander verbinden. So ließe sich beispielsweise der Strom in ganzen Stadtvierteln ausschalten.
Manipulierte Stromzähler

Nur ein Stromzähler könnte reichen, um sich Zutritt auf das gesamte Netzwerk zu verschaffen. Mit einem entsprechend ausgestatteten mobilen Gerät könnten Angreifer auch einen bestimmten Haushalt angreifen, in dem sie es in der Nähe ans Netz hängen. Per Fernbefehl ließe sich dann beispielsweise der Zähler zurücksetzen. Selbst Malware habe sich in die Firmware der Smart Meter installieren lassen. Dann könnten Diebe anhand des Stromverbrauchs feststellen, ob Anwohner gerade zu Hause sind. Mit gefälschten Identifikationsnummern ließe sich auch eine Stromrechnung einem anderen Teilnehmer unterschieben.

Quelle: Golem.de



EU-Rat will die Datenschutzreform abschwächen
by Andreas Kruemmel
Die Innen- und Justizminister der EU haben sich auf ein weiteres Kapitel der geplanten Datenschutzverordnung geeinigt. Sie wollen datenverarbeitenden Stellen weniger technisch-organisatorische Auflagen machen.

Datenverarbeitende Stellen wie Firmen oder Ämter sollen nur dann besondere Schutzanforderungen erfüllen müssen, wenn ihre Tätigkeiten beziehungsweise die von ihnen genutzten personenbezogenen Daten in hohem Maße riskant sind. Diesen "risikobasierten Ansatz" im Datenschutzrecht wollen die Innen- und Justizminister der EU stärken. Darauf haben sie sich am Freitag während ihrer jüngsten Beratung der geplanten Datenschutz-Grundverordnung in Brüssel verständigt.

Der EU-Rat hat ein Kapitel zu technischen und organisatorischen Schutzmaßnahmen vorläufig verabschiedet, in dem er umfangreiche Änderungen an den Entwürfen der EU-Kommission und des Parlaments fordert. Als besonders gefährdet definiert er dabei zum einen etwa an sich besonders sensible personenbezogene Informationen wie Gendaten oder Angaben zur ethnischen Herkunft, politischen Meinungen, religiösen oder philosophischen Überzeugungen, zum Sexualverhalten oder zur Mitgliedschaft in einer Gewerkschaft. Zum anderen sollen in diese Kategorie Daten fallen, deren Nutzung zu Diskriminierungen, Ruf- und Finanzschädigung oder Vertrauensbrüchen führen könnten.

Wer weniger riskante persönliche Informationen verarbeitet, soll etwa von Pflichten befreit werden, kostenintensive Datenschutzfolgeanalysen vorzunehmen oder Sicherheitspannen zu melden sowie vom Prinzip ("Privacy by design and by default") befreit werden. Europäische Datenschutzbeauftragte sehen derlei auch von Vertretern der Bundesregierung immer wieder geforderte Ausnahmen kritisch, da es um den Grundrechtsschutz gehe und dieser unabhängig von gewissen Risikostufen zu gewährleisten sei.

Den Ministern zufolge sollen Betriebe nur eigene Datenschutzbeauftragte bestellen müssen, wenn dies national so geregelt ist. Die von Kommission und Abgeordneten geforderte Vorschrift dazu und die damit einhergehende Harmonisierung der einschlägigen Bestimmungen würde so entfallen. Datenschutzpannen sollen zudem nicht öffentlich gemacht werden müssen, wenn die abhanden gekommenen personenbezogenen Informationen verschlüsselt gespeichert waren.

Quelle: Heise Online



Adobe Digital Editions stellt E-Book-Leser bloß
by Andreas Kruemmel
Egal, bei welchem Anbieter sie einkaufen – viele E-Book-Leser brauchen Adobe Digital Editions. Die Software gestattet sich aber einen tiefen Blick in die Bibliothek und meldet jede Menge Einzelheiten an Adobe – im Klartext.

Das E-Book-Programm Adobe Digital Editions schickt in Version 4 unverschlüsselt jede Menge Daten über das Leseverhalten seiner Nutzer an Adobe. heise online konnte das von The Digital Reader beschriebene Verhalten nachvollziehen. Die Software sendet Metadaten über die gelesenen und in der Bibliothek abgelegten E-Books an Adobe und verfolgt unter anderem, auf welcher Seite zuletzt gelesen wurde. Da diese Informationen im Klartext übermittelt werden, kann jeder, der auf den Datenstrom Zugriff hat, genaue Profile der Leser erstellen. In Zeiten des NSA-Skandals ist das bei weitem keine theoretische Gefahr mehr.
Dass einige dieser Daten erhoben und übermittelt werden, ist für bestimmte Komfortfunktionen durchaus nötig. So muss natürlich übermittelt werden, auf welcher Seite man aufgehört hat zu lesen, wenn ein synchronisiertes Buch auf einem anderen Gerät an der selben Stelle geöffnet werden soll. Das sollte aber nicht im Klartext geschehen. Und sicher ist dafür auch nicht diese Fülle an Metadaten notwendig.

Besonders problematisch ist dieses Verhalten auch, weil viele E-Book-Leser auf Adobe Digital Editions angewiesen sind. Wer nicht im Ökosystem von Amazon zuhause ist, kann zwar inzwischen auch auf anderen E-Readern direkt einkaufen und die E-Books freischalten. Sobald es aber darum geht, Inhalte aus nicht hauseigenen Quellen für den Reader zu autorisieren, geht es kaum ohne Adobe. Dass der Anbieter des Kopierschutzes Zugriff auf die gekauften Bücher hat, ist dabei nicht überraschend. Wie intensiv aber die gesamte Bibliothek ausgewertet wird – selbst wenn es nur um Titel geht, die lediglich an einen Reader übertragen werden sollen –, dürfte nur den wenigsten Nutzern bewusst sein.

Quelle: Heise Online



Kommentar: Wie die USA ihre IT-Wirtschaft zerstören
by Andreas Kruemmel
"All your data are belong to us", urteilt ein US-Gericht – und bringt die IT-Industrie des Landes damit in eine katastrophale Lage.

Vor einigen Tagen verlangte ein US-Gericht in zweiter Instanz von Microsoft Zugriff auf Daten für eine Ermittlung gegen Drogenhändler. Das Besondere daran: Die fraglichen Informationen liegen in Irland bei der europäischen Tochter des Software-Konzerns.

Ein Kommentar von Herbert Braun

Herbert Braun ist Webentwickler und hat 2004 bei der c't angeheuert, wo er sich als Redakteur um Webtechniken, Browser und Online-Trends gekümmert hat. 2013 verließ er schweren Herzens (aber auf eigenen Wunsch) die Redaktion, um sich von Berlin aus als freier Autor und Webentwickler durchzuschlagen.

Dieser kleine Unterschied könnte gewaltige Folgen haben. Anders als bei den massenhaften Abhöraktionen verlangen die USA offiziellen Zugriff auf Daten, die außerhalb ihrer Hoheitsgebiete angefallen und gespeichert sind. Und sie tun dies nicht über Rechtshilfeersuchen, sondern direkt.

Dieses Gerichtsurteil könnte auf die IT-Wirtschaft wie ein Erdbeben wirken, dessen seismische Wellen sich allmählich um die ganze Welt herum ausbreiten. Am heftigsten dürften die Niederlassungen der US-Konzerne in Europa wackeln, denn hier herrscht das höchste Datenschutzbewusstsein. Die Entscheidung bedroht das Geschäftsmodell Cloud – und diese ist zum zentralen Produkt der Branche geworden. So kommt etwa Microsoft neuer Chef aus der Cloud-Sparte des Unternehmens, die zuletzt ein Wachstum von 147 Prozent vermelden konnte.

...

"Es geht darum, wer die Information kontrolliert, nicht wo sie liegt", begründete die Richterin ihre Entscheidung – ein Satz, den sich Unternehmen, Behörden und auch Privatpersonen gut merken sollten. (Herbert Braun)

Quelle: Heise Online



Ex-NSA-Chef: ''Wir töten auf Basis von Metadaten''
by Andreas Kruemmel
Was zuvor schon ein ehemaliger Drohnenpilot berichtet hatte, wurde nun aus berufenem Munde bestätigt: Die USA setzen bei ihren Tötungsmissionen auf die Auswertung von Verbindungsdaten.

Jetzt weiß es die Bundesregierung aus berufenem Munde: Die USA führen Tötungsmissionen aufgrund der Auswertung von Verbindungsdaten durch. "Wir töten auf der Basis von Metadaten", erklärte der ehemalige NSA- und CIA-Chef Michael Hayden Anfang April in einer Podiumsdiskussion der Johns Hopkins Universität. Er bestätigt damit die Darstellung des ehemaligen US-Drohnenpiloten Brandon Bryant, das US-Militär nutze Verbindungsdaten, um Verdächtige zu orten und umzubringen.

Quelle: Heise Online



NSA manipuliert per Post versandte US-Netzwerktechnik
by Andreas Kruemmel
Bereits Anfang des Jahres hatte Jacob Appelbaum behauptet, die NSA fange per Post versandte Geräte ab, um darauf Spyware zu installieren. Nun untermauert Glenn Greenwald diese Anschuldigung: Betroffen seien unter anderem Router und Server von Cisco.

Die NSA fängt "manchmal" Server, Router und andere Netzwerkgeräte ab, die aus den USA verschickt werden, öffnet die Pakete und installiert Spyware, bevor sie per Post weitergeschickt werden. Eine der vielleicht erschreckendsten Behauptungen von Jacob Appelbaum während seines Vortrags auf dem 30C3 in Hamburg wird nun von dem Enthüllungsjournalisten Glenn Greenwald in seinem Buch "Die globale Überwachung" untermauert. Darin veröffentlicht er zwei Ausschnitte von NSA-Dokumenten, die diesen Eingriff in den Postversand erläutern und die US-Kritik an chinesischen Netzausrüstern in neuem Licht erscheinen lassen.

Wie in einem Dokument unter dem Titel "Geheime Techniken können einige der härtesten Zielobjekte er elektronischen Überwachung (SIGINT) knacken" ausgeführt wird, werden Lieferungen von Netzwerkgeräten an Zielpersonen in aller Welt abgefangen. Dann werden sie an einen "geheimen Ort" verbracht, wo unter anderem Mitarbeiter von Tailored Access Operations ((TAO) "Signalimplantate" ("beacon implants") einbauen. Danach würden die Geräte wieder verpackt und versandt. All das funktioniere dank der "technischen Zauberer von TAO", schließt das Dokument. Diese Operationen gehörten zu den produktivsten dieser NSA-Spezialhackergruppe, steht in einem anderen Dokument, in dem es auch Fotos davon gibt.

Quelle: Heise Online



NSA-Skandal: Geheimdienste manipulieren und diskreditieren im Netz
by Andreas Kruemmel
Dass die NSA und ihre Partner im Internet nicht nur mitlesen, sondern auch gezielt in die Kommunikation eingreifen, ist inzwischen bekannt. Eine ganze Reihe von Folien beleuchten, dass sich die Dienste dabei nicht nur gegen Terroristen richten.

Der GCHQ und die NSA versuchen Debatten im Internet zu infiltrieren, zu kontrollieren und zu manipulieren, um ihre Ziele durchzusetzen. Das ergebe sich aus Dokumenten des NSA-Whistleblowers Edward Snowden, die der US-Fernsehsender NBC in den vergangenen Wochen enthüllt hat, erklärt Glenn Greenwald. Auf The Intercept fasst er die verschiedenen Dokumentensammlungen zusammen und beleuchtet, wie der GCHQ etwa falsches Material ins Internet lädt, um die Reputation einer Zielperson zu zerstören. Außerdem nutzten die Briten Erkenntnisse der Sozialwissenschaften, um Debatten im Internet zu beeinflussen und einen gewünschten Ausgang herbeizuführen.

Um seine These zu untermauern, führt Greenwald Informationen aus neuen und bereits veröffentlichten Dokumenten zusammen. So gehe aus einer Folie hervor, dass der britische Geheimdienst GCHQ gezielt "Honey traps" einsetzt, um jemanden zu bestimmten Seiten zu lotsen. Um eine "Person zu diskreditieren" (so der Titel der Folie), könnte außerdem deren Foto bei einem sozialen Netzwerk geändert oder ein Blogeintrag veröffentlicht werden, der von einem angeblichen Opfer stammt. Falsche beziehungsweise rufschädigende Informationen könnten auch direkt an "Kollegen, Nachbarn, Freunde etc." gemailt werden. Solche und ähnliche Taktiken werden in internen Informationsdokumenten des Geheimdiensts aufgelistet.

Auf diese Weise wird demnach aber nicht nur gegen Einzelpersonen, sondern auch gegen Unternehmen vorgegangen. Als Möglichkeiten, um Konzerne zu diskreditieren, könnten etwa geheime Informationen an die Konkurrenz oder die Presse weitergegeben werden, schreibt eine GCHQ-Einheit in einem als streng geheimen klassifizierten Dokument. Darüber hinaus könnten negative Informationen in passenden Internetforen gepostet oder gleich ganze Geschäftsdeals und -beziehungen zerstört werden. Auf diese Art und Weise könnten Online-Techniken genutzt werden, "um etwas in der realen oder digitalen Welt geschehen zu lassen".

Das diese Taktiken nicht nur gegen Personen eingesetzt würden, die als Terroristen oder Gefahr für die nationale Sicherheit eingestuft werden, ging bereits aus anderen Dokumenten hervor. Diese zeigen, dass etwa Hacktivisten wie Anhänger von Anonymous Ziel solcher Vorgehensweisen werden können. So könnte der Ruf von jemandem zerstört und deren Auftreten im Internet unterbunden werden, ohne dass ihnen ein Verbrechen vorgeworfen wird. Hier werde nicht nur Vertrauen in staatliche Stellen zerstört sondern auch das in andere Berufsgruppen, schreibt NBC. Etwa das in Journalisten, wenn Geheimdienste deren Identitäten annehmen, um an Zielpersonen heranzukommen.

Quelle: Heise Online



Jetzt Fritzbox aktualisieren! Hack gegen AVM-Router auch ohne Fernzugang
by Andreas Kruemmel
Die Analyse von heise Security beweist, dass keineswegs ein freigeschalteter Fernzugang erforderlich ist, um eine Fritzbox komplett zu kapern. Das kann im Prinzip eine einfache Web-Seite. Wer es noch nicht getan hat, sollte also schleunigst updaten.

Bislang war in den Erklärungen von AVM zu den kürzlich entdeckten Sicherheitsproblemen der Fritzbox immer von Angriffen über die Fernsteuerfunktion die Rede. Eine Analyse der kürzlich veröffentlichten Sicherheits-Updates durch heise Security bestätigte jedoch unsere Vermutung: Das Problem lässt sich auch ganz einfach ohne die Fernsteuerfunktion ausnutzen. Somit ist die Schwachstelle deutlich gefährlicher, als bislang angenommen.

Mit Unterstützung des Reverse-Engineering-Spezialisten Hanno Heinrichs konnten wir die genaue Position der Schwachstelle in den verwundbaren Firmware-Versionen identifizieren, die AVM bislang nicht weiter dokumentieren wollte. Sie hat nichts mit der Fernsteuerung zu tun. Ein Angreifer erhält durch diese Lücke die vollständige Kontrolle über den Router und kann beliebige Befehle mit Root-Rechten ausführen – und zwar schon dann, wenn das Opfer hinter der Fritz!Box eine Web-Seite mit seinem Schadcode aufruft.

Wir entwickelten eine Proof-of-Concept-Webseite, die die Fritzboxen ihrer Besucher attackiert. Ruft man die Seite mit einem Rechner im Netz der Fritzbox auf, führt diese fremdgesteuert einige Befehle aus, die unter anderem dafür sorgen, dass die Konfigurationsdatei des Routers auf einen externen Server kopiert wird. Diese Datei enthält neben dem Administrations-Passwort der Fritzbox auch viele andere sensible Daten im Klartext, etwa die DSL- und DynDNS-Zugangsdaten.

Quelle: Heise Security



Bericht: Deutschland bremst beim euopäischen Datenschutz
by Andreas Kruemmel
Spitzenbeamte des Bundesinnenministeriums sollen versuchen, die geplante EU-Datenschutzreform aufzuweichen und zu verzögern. Das berichtet der Spiegel in seiner Ausgabe vom morgigen Montag unter Berufung auf Sitzungsprotokolle aus Brüssel. So sollen die mit der Datenschutzreform angezielten strengeren Regeln für den Umgang mit personenbezogenen Daten nach dem Wunsch Berlins für Behörden weitgehend nicht gelten.

Auch gegen die "Datenportabilität" soll sich die deutsche Delegation wehren, weil das einen zu hohen Aufwand für die Unternehmen bedeute: Bürger sollen zukünftig bei einem Wechsel des Telekommunikations- und Internetanbieters eine Kopie der gespeicherten Daten erhalten und die Daten bei dem Altanbieter löschen lassen können. Auch sonst würde Deutschland die Verhandlungen bremsen, zitiert der Spiegel einen Teilnehmer der Sitzungen. Noch im Sommer hatte sich Bundeskanzlerin Merkel für eine starke europäische Datenschutzgrundverordnung ausgesprochen.

Quelle: Heise Online



Gericht: Personalausweise dürfen nicht eingescannt und gespeichert werden
by Andreas Kruemmel
Die auch heute immer noch an vielen Stellen übliche Praxis, Kopien von Personalausweisen zu Identifikationszwecken zu verlangen, verstößt im Regelfall gegen gesetzliche Vorgaben. Dies entschied das Verwaltungsgericht Hannover am gestrigen Donnerstag (Aktenzeichen: 10 A 5342/11). Das Gericht wies die Klage eines Automobillogistikunternehmens gegen einen Bescheid des Landesbeauftragten für den Datenschutz Niedersachsen ab.

Der Dienstleister lagert auf seinem Betriebsgelände ständig mehrere tausend Kraftfahrzeuge, von denen täglich viele abgeholt und Fahrern von Speditionen übergeben werden. Um das zu überwachen, wurden die Personalausweise der Abholer eingescannt und auf einem eigenen Rechner gespeichert. Dagegen hatte sich der niedersächsische Landesbeauftragte für den Datenschutz gewandt und dem Unternehmen aufgetragen, das Einscannen von Personalausweisen zu unterlassen und die rechtswidrig gespeicherten Daten zu löschen.

Das Verwaltungsgericht bestätigte in seinem Urteil die Anordnung der Behörde. Nach dem Personalausweisgesetz sei der Personalausweis ein Identifizierungsmittel, das der Inhaber vorlege und vorzeige, um sich auszuweisen. Es sei untersagt, Daten uneingeschränkt zu erfassen – und damit auch das Einscannen und Speichern durch ein Unternehmen. Dadurch solle die Datensicherheit geschützt werden, weil einmal erfasste und gespeicherte Daten leicht missbräuchlich verwendet werden könnten. Zwar habe das Unternehmen die Daten nicht missbräuchlich verwendet, um den Zweck des Gesetzes zu erfüllten, dürften aber so wenig Daten wie möglich in Umlauf gebracht werden.

Zwar findet sich im Gesetz kein ausdrückliches Kopierverbot. In der Gesetzesbegründung hatte der Gesetzgeber aber klargestellt, dass eine "optoelektronische Erfassung ("scannen") vom Normalfall ausdrücklich ausgeschlossen sein soll. Allerdings gibt es in diesem Bereich Sonderregelungen zum Beispiel für Banken oder auch bei Telekommunikationsunternehmen.

Quelle: Heise Online