Mon, 29 Dec 2008
25C3: Verwundbarkeiten in Tor
Roger Dingledine, Teamleiter des
Tor-Projekts gab heute auf dem
Chaos Communication Congress
einen kurzen Überblick über praktische und theoretische
Verwundbarkeiten des Tor-Netzwerks.
Viele der Probleme, seine Anonymität trotz Nutzung von Tor zu
verlieren, werden laut Dingledine durch die Nutzung des Browsers
Firefox
und dem Addon Torbutton behoben:
Vor allem Javascript-Reloads nach ein/aus-schalten Tors und Gefahren durch
Flashanimationen die wahre Identität zu offenbaren, seien dadurch behoben.
Dingledine riet daher ausdrücklich, Tor nicht mit anderen Browsern und ohne Torbutton
zu nutzen. Eine weitere sichere Möglichkeit sei die Nutzung der Incognito-LiveCD, die sich
innerhalb von Windows-Betriebssystemen via Qemu starten lasse, und alle mitgelieferten
Programme für die anonyme Nutzung via Tor vorkonfiguriert liefere.
Die Möglichkeiten, dass darüber hinaus Tor-ServerbetreiberInnen die
Identitäten der BenutzerInnen herausfinden können, schienen (imho) vor
allem theoretischer Natur zu sein und allesamt zumindest erheblichen Aufwand zu
bedürfen.
posted at: 20:23 | path: /2008 | permanent link to this entry
| 0 comments |
Sun, 28 Dec 2008
25C3: Alles voll und alle
Tag 2 beim diesjährigen Chaos Communications
Congress - und die bisherige Bilanz lautet: Voller geht
kaum! Die Vorträge sind noch überfüllter als
letztes Jahr, und es beginnt stressig zu werden... und das
für alle Beteiligten: Die Medical Unit ist pausenlos damit
beschäftigt, in Gängen und Eingangsbereichen sitzende
ZuhöhrerInnen zu vertreiben - was auf Dauer durchaus
beide Seiten nervt. Nicht nur die Dauertickets sind inzwischen
ausverkauft,
auch gibt es keine Armbändchen mehr, wie Fefe schreibt. Letzteres ist
sicherlich zu verschmerzen, Tickets gab es offensichtlich auch einfach
zu viele.
Besser als im letzten Jahr ist auf jeden Fall das w-lan vor Ort,
die Verbindungen halten sich (derzeit immerhin noch) sehr
stabil.
Auch
gab es durchaus schon ein paar recht interessante Vorträge
zu sehen: Zu den Favoriten zählen bisher
Das Grundrecht auf digitale Intimsphäre mit Constanze Kurz
und Ulf Buermeyer,
Why were we so vulnerable to the DNS vulnerability? mit
Dan Kaminsky und am heutigen Tag noch der obligatorische
CCC-Jahresrückblick.
Nachsehen kann man diese bisher auf diesen
Seiten zum Kongress.
Quote of the Day:
Medical-Unit: Macht den Eingangsbereich frei, das ist ein Fluchtweg.
Die Häfte der Leute geht, Medical-Unit geht weiter.
1er der Stehengebliebenen: Na der war ja erfolgreich.
2er der Stehengebliebenen: What did this guy say?
posted at: 18:37 | path: /2008 | permanent link to this entry
| 0 comments |
Fri, 28 Mar 2008
Chipkarten der Uni Göttingen unsicher
Wie heute die Netzeitung in einem Artikel veröffentlichte,
wurde nun erstmals ein weit verbreiteter Funk-Chip des Typs MIFARE-Classic
geknackt. Die Online-Zeitung bezieht sich damit auf einen Artikel in der aktuellen Ausgabe der Zeitschrift
c't: Demnach war es den Experten möglich, die
Verschlüsselung des entsprechenden RFID-Chips zu knacken, die darauf gespeicherten Daten
auszulesen und zu kopieren.
Die Netzeitung erwähnt in ihrem Artikel wie beliebt dieser Chip sei, und dass möglicherweise
Hunderttausende Studierende betroffen seien, die mit solchen Chipkarten beispielsweise in der Mensa
bezahlen...
Auch die Universität Göttingen hat gerade vor wenigen Semestern auf Studierenden-Ausweise mit
RFID-Chips umgestellt, und setzt dabei auf den Mifare-1-Chip, wie sie selbst auf ihrer Homepage
kundtut, der eben jenem oben verlinkten
Mifare-Classic entspricht. Auf den Chipkarten der Universität Göttingen sind nicht nur
Matrikelnummer und Bibliotheksnummer der BesitzerInnen gespeichert, sondern werden diese auch als elektronische Geldbörse eingesetzt.
Das Sicherheitsmerkmal, das die Göttinger Universität veröffentlichte:
Ein Auslesen der Schlüssel während der Kommunikation des Chips mit einer Kartenleseeinheit wird durch Verschlüsselung dieser Kommunikation unterbunden.
ist also nun besser zu streichen. Währenddessen warten wir auf explosionsartig ansteigende
Essensausgaben in der Mensa und Buchausleihen aus der Bibliothek - durch imaginäre
DoppelgängerInnen nichtsahnender Studierender...
UPDATE I:
Nähere Informationen darüber, wie der Hack vonstatten ging, finden sich bei Karsten Nohl und in einem Vortrag des letzten Chaos
Communications Congress, dem 24C3.
update via Vorlon
UPDATE II:
Interessant dazu dieser Artikel auf den Seiten von golem.de:
Die Verschlüsselung der weit verbreiteten MiFare-RFID-Chips des Herstellers NXP lässt sich in Sekundenschnelle brechen, ohne direkten Zugang zum Chip zu haben. Es genügt, die verschlüsselten Daten aus ein paar Metern Entfernung abzuhören.
Auch Heise titelt nun: Aus für RFID-System Mifare Classic?
posted at: 17:17 | path: /2008 | permanent link to this entry
| 0 comments |
Tue, 15 Jan 2008
Tatort und 24C3
Ersteres ist vielleicht nicht so ganz ontopic hier - aber alle Tatort-Fans wird's freuen: Ab morgen gibt
es nun monatlich ein neues Hörspiel unter radiotatort.ard.de!
Der Radio-Tatort spielt in neun Städten, und ist schon bis Dezember angekündigt. Den Start macht
morgen um 20:05Uhr die Produktion des WDR mit Hauptkommissar Nadir Taraki in Düsseldorf. Weiter geht
es dann am 13.02. mit dem LKA Magdeburg. Die Aufnahmen liegen jeweils im mp3-Format für eine Woche zum
Download bereit.
Neues, und altes überarbeitetes Material kündigte auch Tim
Pritlove vom 24C3 an. Alle bisher veröffentlichten Videos
wurden nun noch einmal encoded, und bieten eine bessere Qualität. Drei Viertel der 100 Videos
stehen schon zur Verfügung - schnell sollen es auch noch mehr werden... ;)
Die Aufnahmen gibt es als Direktdownload auf den Seiten des Chaosradios
posted at: 20:31 | path: /2008 | permanent link to this entry
| 0 comments |
Mon, 31 Dec 2007
24C3 - done
Das war's nun also wieder für dieses Jahr, nach vier Tagen ging der *C3 mal wieder zu Ende... Am
letzten Tag waren viele Leute schon wieder abgereist, was wohl an dem nicht mehr ganz so attraktiven
Programm des letzten Tages lag. Overtaking Proprietary Software
Without Writing Code war noch ganz interessant, auch wenn mich die Vorstellungen des Vortragenden
Olivier Cleynen nicht unbedingt begeistern konnten: Olivier von »GNU/Linux Matters« vertat im
Großen und Ganzen die Ansicht, dass Linux-EntwicklerInnen weniger Wert auf Stabilität und
Qualität ihrer Software legen, als vielmehr die Vermarktung im Auge behalten sollten.
Unter den anschliessenden Wortmeldungen herrschte eher die Meinung vor, dass Linux im Grunde keine
Vermarktung benötige, und massenhafte Verbreitung schließlich nicht alles sei.
Im Beitrag EU Policy on RFID &
Privacy lieferte Andreas Krisch von edri.org zu konstruktive
Vorschläge, um eine massenhafte Einführung von RFID-Chips ein wenig erträglicher zu machen -
ohne eine grundlegend ablehnende Position gegen diese Technik einzunehmen.
Die weiteren beiden Beiträge bestärkten den Gesamteindruck vom Programm der letzten Tage: In Unusual Web Bugs bot kuza55 eine
riesige Aufzählung von Bugs in PHP und Webapplikationen, der man nach kurzer Zeit schon nicht mehr
folgen wollte/konnte. In I know
who you clicked last summer langweilte Svenja Schröder durch die Stunde - ging eben nicht wie in
der Ankündigung erwähnt auf Soziale Netzwerke wie MySpace, Facebook oder StudiVZ ein, sondern
präsentierte viel Theorie und eine bei weitem nicht fertiggestellte Auswertung des Sputnik-Projekts auf dem 24C3...
Es mag im Vergleich zum letzten Kongress an der fehlenden vierten Zeitleiste gelegen haben, alles in allem
gab es meinem subjektivem Eindruck nach [daher?] leider vermehrt langweilige und recht sinnfreie
Vorträge, in denen viel Triviales aus dem Nähkästchen erzählt wurde, wie etwa in Die Wahrheit und was wirklich passierte, oder in Der Bundestrojaner. Andere
Beiträge hingegen waren überkompliziert, wie Anonymity for 2015 und die oben
erwähnten Unusual Web
Bugs.
Lobend erwähnt seien hier hingegen durchaus noch Current events in Tor
development, TOR, Toying with barcodes, Tracker fahrn, und auch Desperate House-Hackers - How to
Hack the Pfandsystem... Ja, es gab ja doch auch wieder Gutes in den letzten Tagen, und letztere
Aufzählung ist sicherlich nicht komplett... vielleicht sollte man sich allerdings während des
25C3 doch wieder eine weitere Zeitleiste gönnen.
posted at: 21:34 | path: /2007 | permanent link to this entry
| 0 comments |
Sat, 29 Dec 2007
24C3 - die dritte, tag 3
In seinem diesjährigen Vortrag auf dem 24C3 berichtete Roger
Dingledine, der Entwickler des Anonymisierungstools Tor, über aktuelle
Entwicklungen innerhalb des Tor-Projekts, beispielsweise der in der
neuesten Tor-Version eingeführten Entry
Guards... Aufgrund der in den letzten Monaten in D-Land vermehrten
Repressionen gegen Tor-Serverbetreiber und der ab 2009 auch auf
Anonymiesirer zukommenden Vorratsdatenspeicherung, sah es Dingledine als
besonders wichtig an, gegen die Kriminalisierung des Betriebs solcher
Server aktiv zu werden. In den nächsten Wochen wird der Entwickler
daher in Kontakt mit deutschen Juristen treten, um sie für die
Problematik zu sensibilisieren und Hilfe gegen die Beschlagnahmung von
Tor-Servern zu finden. Er bat ausserdem eindringlich darum, ihm Juristen
zu nennen, die der Thematik nicht gänzlich ignorant
gegenüberstünden.
Im späteren Vortrag zum elektronischen Reisepass präsentierten
am Abend Constanze Kurz und starbug als krönenden Abschluss einen
Fingerabdruck Wolfgang Schäubles, der in naher Zukunft als
Druckvorlage zum Download bereitgestellt werden soll, um es
Interessierten zu ermöglichen, diesen für eigene Zwecke zu
'gebrauchen'... Vorgefertigte Schäuble-Abdrücke, die man sich
bei Gelegenheit anlegen kann, soll es später sogar zu kaufen geben.
Mal schauen also, in welchen Szenarien/an welch obskuren Orten in
Zukunft auf einmal ein echter 'Schäuble auftaucht... :D
posted at: 21:54 | path: /2007 | permanent link to this entry
| 0 comments |
24C3 - Volldampf, die 2.
Zu viele Leute laufen hier herum, und sie alle wollen immer wieder in
die selben Veranstaltungen [wie war das noch mit dem Schwarmverhalten?
->
Tracker
fahrn], wie bspw. zum kreativen Barcode
hacking, meinem Favoriten für gestern.
Später dann gibt es noch sicherlich interessante "Current
events in Tor development", nachdem wir nun gerade im Saal1
hören, was OpenSource
mit dem Kapitalismus zu tun hat, und wie Novell und RedHat sich mit
dem Markt arrangieren (was bisher alles ein wenig diffus
daherkommt).
posted at: 12:19 | path: /2007 | permanent link to this entry
| 0 comments |
Fri, 28 Dec 2007
24C3 - Volldampf voraus!
Schlangestehen hat nun ersteinmal ein Ende, nachdem auch am Tag vor Eröffnung, am
26.12., nachts um halb2 anstehen angesagt war, um an die offensichtlich sehr begehrten Tickets
zu kommen...
Das lokale wlan war am ersten Tag gnadenlos überfordert - drei- bis vierstellige
Ping-Zahlen mussten leider hingenommen werden. Heute scheint das Netz wenigstens zeitweise ein wenig besser zu
funktionieren - gelegentlich geht allerdings auch nun wieder kein einzelner Ping nach draußen.
Empfehlenswert für ein späteres Anschauen war bisher imho der
Vortrag Tracker
fahrn von Cristian Yxen, Denis und Erdgeist: sie berichteten recht unterhaltend
über ihren opentracker,
der inzwischen auch vom weltweit größten Torrent-Tracker thepiratebay.org genutzt
wird, und deren Performance weit verbesert hat.
posted at: 12:34 | path: /2007 | permanent link to this entry
| 0 comments |
Mon, 17 Dec 2007
23C3 Dokumentation
Vor ein paar Tagen ist eine kleine knapp 9minütige Dokumentation über den
letztjährigen Chaos Communication Congress des CCC online
gegangen...
Wer also im Hinblick auf den 24C3 in diesem Jahr
einen kleinen Vorgeschmack haben möchte, schaue sich einfach kurz das Video an. So ungefähr wird
es vermutlich ja auch diesmal vom 27. bis 30.12. im Berliner Congress Centrum aussehen...
posted at: 00:01 | path: /2007 | permanent link to this entry
| 0 comments |