Yeehaa da fucking golem has publish some real cool news about some cool stuff called torpack. Have it or hate it, but we think it’s cool män!
and now some words in your own language:
Wie golem.de heute berichtete, ist das Torpack als Basis für den mobilen Firefox draußen. Das Torpack bringt die Tor-Anonymisierungsfunktion und ist als solches echt genial. Also holt’s euch!
Neue Versionen der Krypto-Bibliothek OpenSSL beseitigen insgesamt vier Schwachstellen, mit denen Angreifer einen Server oder Client mit manipulierten Paketen zum Absturz bringen können. Eine der Lücken beruht auf einem Buffer Overflow und eignet sich wahrscheinlich zum Einschleusen von Code in ein System. Betroffen sind OpenSSL vor 0.9.7l und vor 0.9.8d auf allen Betriebssystemen. Die Updates stehen als Quellcode für Selbstkompilierer zur Verfügung. Die Linux-Distributoren und Teams der BSD-Derivate verteilen unterdessen bereits aktualisierte Pakete. Anwender sollten die Pakete so schnell wie möglich installieren.
Der Buffer Overflow steckt laut Fehlerbericht in der Funktion SSL_get_shared_ciphers. Nutzt eine Anwendung diese Funktion, so kann ein Angreifer mit einer präparierten Liste von Algorithmen den Überlauf provozieren. Mögliche Anwendungen sind unter anderem Webserver mit Client-Authentifizierung, Mailserver (Exim), Mailanwendungen (S/MIME), VPNs (OpenVPN) und andere. Im einfachsten Fall stürzt die Anwendung nur ab, im schlimmsten Fall gelingt es dem Angreifer, eigene Programme auf den Stack zu schreiben und zu starten. Nähere Angaben machen die Entwickler dazu nicht.
Zwei weitere Fehler finden sich im ASN.1-Parser. Bestimmte Strukturen können den Parser derart durcheinander bringen, dass er in eine Endlosschleife gelangt, in der er viel Speicher verbraucht. Laut Bericht ist der Fehler nicht in Versionen vor 0.9.7 zu finden. Zudem verursachen einige öffentliche Schlüssel eine unverhältnismäßig hohe Bearbeitungszeit, was Angreifer für DoS-Attacken ausnutzen können. Der vierte Fehler steckt im Client-Code für SSLv2. Ein präparierter Server kann darüber den Client zum Absturz bringen. (Quelle: heise.de)
Zur Bekämpfung von Computerkriminalität will die Bundesregierung das Strafrecht verändern und hat dazu am 20. September 2006 einen Gesetzentwurf beschlossen, der z.B. beim Chaos Computer Club (CCC) auf heftige Kritik stößt. Nach Ansicht der Hacker wird mit dem Gesetz unter anderem Software kriminalisiert, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Der CCC fürchtet daher, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährdet und schlägt stattdessen eine drastische Verschärfung der Strafen für Datenverbrechen vor.
Mit dem Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität reagiert die Bundesregierung auf einen Rahmenbeschluss des Rates der Europäischen Union vom 24. Februar 2005, der die Mitgliedsstaaten der Europäischen Union verpflichtet, schwere Formen der Computerkriminalität unter Strafe zu stellen. Der Gesetzentwurf geht aber über dieses Ziel deutlich hinaus. Unter anderem ist vorgesehen, dass “wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.” Auch die Herstellung oder Verbreitung entsprechender Software soll mit bis zu einem Jahr Freiheitsstrafe bestraft werden.
Auch wer “unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft”, soll dem Entwurf zufolge mit einer Freiheitsstrafe bis zu zwei Jahren bestraft werden.
Nach Ansicht des CCC stellt der Gesetzentwurf die Arbeitsgrundlagen von Sicherheitsberatern und Netzwerkexperten unter Strafe, da eben bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen strafbar wären. Die Arbeit der Sicherheitsexperten sei damit kaum mehr möglich und von ungerechtfertigter Kriminalisierung bedroht.
“Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen”, sagt CCC-Sprecher Andy Müller-Maguhn. “Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten.” Nach Ansicht des CCC scränkt der Gesetzentwurf die Freiheit der Forschung und Entwicklung im Bereich Computersicherheit ein und “wird das Gegenteil des beabsichtigten Ziels erreichen”.
Als Maßnahme zur Eindämmung der Computerkriminalität fordert der CCC stattdessen härtere Strafen für Verstöße gegen den Datenschutz. Datenverbrechen wie das illegale Abschöpfen und Weitergeben sowie das unkontrollierte Verknüpfen von Daten würden derzeit als Kavaliersdelikt behandelt, den Bürger im Alltag aber immer mehr betreffen. Daher sei ein zeitgemäßes Bundesdatenschutzgesetz mit einem harten Strafkatalog für Datenverbrechen notwendig. Zusätzlich dazu seien weitgehende Schadensersatzansprüche der Geschädigten gegen Firmen, die ihre persönliche Daten ungenehmigt weitergeben oder unsicher verarbeiten und lagern, erforderlich. (Quelle: Golem.de)
Die folgenschwere Veröffentlichung von 20 Mio. Suchanfragen kommt den Internet-Giganten AOL teuer zu stehen. Abgesehen vom erlittenen Imageschaden fordern nun zumindest drei Anwender in einer Sammelklage Schadenersatz. Wie bei tausenden anderen AOL-Kunden konnten über die Veröffentlichung der Suchanfragen Rückschlüsse auf die suchenden Personen gezogen werden. Die Kläger berufen sich in ihrer Anklageschrift folglich auf die Verletzung ihrer Privatsphäre und werfen AOL vor, die Daten ihrer Anwender weiterhin zu sammeln, ohne aber den Datenschutz verbessert zu haben.
Die Anwaltskanzlei tritt im Namen der drei Anwender für alle betroffenen AOL-Kunden auf. Als Schadenersatzsumme wurde ein Betrag von zumindest 5.000 Dollar pro Person genannt, was bei rund 660.000 Betroffenen eine nicht unbeträchtliche Summe von 3,3 Mrd. Dollar ausmachen würde. Damit steht fest, dass die von AOL formulierte Entschuldigung einigen Anwendern zu wenig war. Um die Wogen zu glätten und seine Reputation wiederherzustellen, hat AOL außerdem die eigene Technologie-Chefin sowie zwei weitere Mitarbeiter entlassen. Zur jetzt publik gewordenen Klage wollten die AOL-Verantwortlichen bisher keine Stellungnahme abgeben.
AOL Deutschland hat wiederholt darauf hingewiesen, dass von dem Skandal keine deutschen Anwender betroffen waren. “Ein derartiger Vorfall ist auch in Zukunft nicht möglich, da AOL Deutschland die Suchanfragen nicht mit den Log-in-Daten der Anwender verknüpft”, versichert AOL-Deutschland-Sprecher Tobias Riepe gegenüber der Krypto e.V.. Er betonte gleichzeitig, dass man sich der Verantwortung bezüglich dem Schutz von Kundendaten natürlich bewusst sei und folglich auch enorme Ressourcen dafür aufwende.
Der Arbeitskreis Vorratsdatenspeicherung startet eine Kampagne gegen die von SPD und Union geplante Vorratsspeicherung von Telekommunikationsdaten. Der bundesweite Zusammenschluss von Bürgerrechtlern, Datenschützern und Internetnutzern ruft zum Protest gegen die Pläne auf.
“Die Vorratsdatenspeicherung privatester Kommunikationsdaten widerspricht jeglicher Verhältnismäßigkeit und würde sich verheerend auf die Meinungsfreiheit auswirken”, warnt Bettina Winsemann vom Arbeitskreis Vorratsdatenspeicherung. “Gespräche mit der Telefonseelsorge, mit Anwälten, mit Presseinformanten – all dies würde für die zugriffsberechtigten Personen und Behörden ein offenes Buch werden. Die Speicherung von Geschäftskontakten würde auch der Wirtschaftsspionage Tür und Tor öffnen”, so die Kritik.
Derzeit arbeitet das Bundesjustizministerium an einem Gesetzentwurf zur Einführung einer Vorratsdatenspeicherung in Deutschland. Entsprechend einem Bundestagsbeschluss vom Februar 2006 soll ab Mitte 2007 zur verbesserten Strafverfolgung über einen Zeitraum von sechs Monaten nachvollziehbar werden, wer mit wem per Telefon, Handy oder E-Mail in Verbindung gestanden hat. Bei Handy-Telefonaten und SMS soll auch der jeweilige Standort des Benutzers festgehalten werden.
Damit folgt die Bundesregierung entsprechenden Plänen auf europäischer Ebene, wie sie vom EU-Ministerrat beschlossen wurden. Datenschützer haben die Pläne wiederholt scharf kritisiert und zweifeln deren Verfassungsmäßigkeit an. Auch auf europäischer Ebene gibt es Gegenwind: Dem Europäischen Gerichtshof in Luxemburg liegt seit Juli eine Nichtigkeitsklage gegen die EU-Richtlinie zur Vorratsdatenspeicherung vor.
Mit seiner Kampagne will der Arbeitskreis Vorratsdatenspeicherung die Bundesregierung zu einer Aussetzung des Gesetzesvorhabens bewegen. Auf einem speziellen Internetportal sollen besorgte Bürger Protestbriefe an die Bundestagsabgeordneten verfassen. Jeder Brief wird per E-Mail automatisch an alle 448 Abgeordneten von Union und SPD versandt und außerdem als “Offener Brief” im Internet veröffentlicht. Auf diese Weise soll den Abgeordneten deutlich gemacht werden, wie groß der öffentliche Widerstand gegen das Vorhaben ist.
Gegenwärtig dürfen Telekommunikationsanbieter nur die zur Abrechnung erforderlichen Verbindungsdaten speichern. Dazu gehören aber keine Standort- und E-Mail-Adressdaten. Auch sonstige Verbindungsdaten werden auf Wunsch mit Rechnungsversand gelöscht. (Quelle: Golem.de)
Mit dem NetPAC will Google seinen politischen Einfluss in den USA verstärken. Dazu hat Google seine Lobby-Organisation bei der Federal Election Commission angemeldet, um darüber Kandidaten finanziell zu unterstützen.
Google habe verstanden, dass es ohne politische Spenden nicht geht, wird Bob Stern, Präsident des “Center for Governmental Studies” in Los Angeles, von SFGate.com zitiert. In dem Bericht heißt es unter Berufung auf Alan Davidson, Googles politischer Berater in Washington, Google wolle mit dem NetPAC Kandidaten unterstützen, die sich für ein offenes und freies Internet einsetzen.
Das Kürzel PAC steht dabei für “Political Action Committee“, womit in den USA Lobbygruppen bezeichnet werden, die einzelne Personen unterstützen. Sie unterliegen bestimmten Regularien der Federal Election Commission.
Aber auch in einem anderen Bereich habe Google seine politischen Aktivitäten verstärkt: Mit Dan Coats und Connie Mack habe Google zwei ehemalige republikanische Senatoren als externe Lobbyisten angeheuert, die Google der Partei näher bringen sollen, denn die meisten Spenden von Google-Mitarbeitern gingen bislang an das gegnerische Lager, die Demokraten.
Zuletzt war Google mit seinen Bemühungen gescheitert, eine Netz-Neutralität gesetzlich festlegen zu lassen. Stattdessen machen es neue Regeln Netzanbietern leicht, Site-
Betreiber zusätzlich für den Zugang zu ihren Kunden zur Kasse zu bitten. (Quelle: Golem.de)
Schwerwiegende verfassungsrechtliche Risiken sieht der Bundesdatenschutzbeauftragte Peter Schaar im Gesetzentwurf zur Anti-Terror-Datei. Vor allem die Daten unbeteiligter Personen dürften in keinem Fall gespeichert werden.
Mit dem Gesetzentwurf werden Rechtsgrundlagen für eine gemeinsame Anti-Terror-Datei der deutschen Sicherheitsbehörden beim BKA und zu so genannten Projektdateien geschaffen. Hierzu sieht der Gesetzentwurf umfangreiche Datenkataloge sowie differenzierte Zugriffsrechte der beteiligten Stellen vor.
Von “schwerwiegenden verfassungsrechtlichen Risiken” spricht in diesem Zusammenhang der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar. Erstmals würden damit gemeinsame Dateien von Polizeien und Nachrichtendiensten des Bundes und der Länder errichtet. Aber auch wenn eine Beschleunigung der informationellen Zusammenarbeit zwischen den Sicherheitsbehörden bei der Aufklärung und Bekämpfung des internationalen Terrorismus notwendig ist, so scheine es um so wichtiger, “dass auch in Zukunft die Trennung von polizeilicher Exekutivgewalt und nachrichtendienstlichen Informationssammlungen gewahrt bleibt”, so Schaar.
Der Gesetzentwurf gehe dabei über das verfassungsrechtlich Zulässige erheblich hinaus. Nach Meinung von Schaar dürfen in der Anti-Terror-Datei nur solche personenbezogene Daten gespeichert werden, die zur Identifizierung von Personen und für eine Gefährdungseinschätzung bei der Bekämpfung des internationalen Terrorismus geeignet und erforderlich sind. Tatsächlich enthalte der Gesetzentwurf jedoch einen recht umfangreichen Datenkatalog mit teilweise sensitiven Informationen, mahnt der Datenschützer: “Umso wichtiger wäre es, den Kreis der beteiligten Behörden im Hinblick auf das sensible Datenmaterial zu beschränken. Stattdessen ist vorgesehen, auch weiteren Polizeivollzugsbehörden auf unterer Ebene den Zugriff auf die Datei einzuräumen, was im Hinblick auf das Trennungsgebot sehr kritisch zu sehen ist.”
Zudem würden in der Datei nicht nur terrorverdächtige Personen erfasst, sondern auch Kontaktpersonen, bei denen tatsächliche Anhaltspunkte für ihre Verbindung zu Terrorverdächtigen sprechen. Diese relativ niedrige Erfassungsschwelle entspreche nicht der einschlägigen Rechtsprechung des Bundesverfassungsgerichts, denn es sei nicht auszuschließen, dass auch Personen über das Umfeld des Terrorismus hinaus erfasst werden. “Die Speicherung unbeteiligter Personen muss aber in jedem Fall verhindert werden”, erklärt Peter Schaar.
Darüber hinaus sehe der Gesetzentwurf einen umfangreichen Katalog von Grunddaten und erweiterten Grunddaten vor, die durch die Aufnahme besonderer Bemerkungen, ergänzender Hinweise und Bewertungen in Freitextform zulässig ergänzt werden können. “Hiermit wird den Polizeibehörden unter Umständen der Zugriff auf weiche, d.h. nicht gesicherte, Informationen eröffnet, die als solche für ihre Aufgabenerfüllung weder geeignet noch erforderlich sind. Auch dies birgt ein erhebliches verfassungsrechtliches Risiko.”
Schaar will darauf drängen, diese aus seiner Sicht kritischen Punkte im Verlauf der parlamentarischen Diskussion “auf ihre verfassungsrechtliche Unbedenklichkeit kritisch zu überprüfen.” (Quelle: Golem.de)
Der drahtlose Internetdienst FON hat laut der Untersuchungen eines Nutzers eine gravierende Sicherheitslücke im Login-Vorgang. Diese erlaube es Fremden, die Nutzernamen und zugehörigen Passwörter auszuspähen. FON bestätigte die Sicherheitslücke gegenüber Golem.de.
Frederik Kriewitz beschreibt die von ihm gefundene Sicherheitslücke im Login-Prozess von FON wie folgt: Um FON-Logins anderer Nutzer auszuspähen, die sich an einem FON-Router anmelden, ist ein PC bzw. Notebook inkl. WLAN-Karte mit Monitor-Modus und eine Anwendung zum Abhören von Datenpaketen vonnöten. Kriewitz setzt in seiner Demonstration auf Wireshark (ehemals Ethereal), das es für Linux und Windows gibt.
Die in einer Datei mitgeschnittenen Datenpakete lassen sich dann mit Hilfe einer von Krieger betriebenen Webanwendung analysieren und diese spuckt die gefundenen Nutzerkennungen inkl. zugehöriger Passwörter aus. Der “pcap-recorder” steht auch im Quellcode zur Verfügung, so dass die Datenpakete selbst ausgewertet werden können. Die Sicherheitslücke scheint durch ein Problem in der SSL-Umsetzung bedingt zu sein.
Erst nachdem Krieger das Gefühl hatte, dass seine Entdeckungen und Vorschläge von FON ignoriert und nach zehn Tagen die Sicherheitslücke immer noch nicht beseitigt wurde, habe er sich dazu entschlossen, die Sicherheitslücke öffentlich zu machen. Auf Nachfrage von Golem.de hieß es seitens FON, dass die Meldung der Sicherheitslücke zu einem denkbar ungünstigen Zeitpunkt gekommen sei. Das Team habe u.a. mit dem neuen Shop und dem neuen FON-Router “La Fonera” zu tun gehabt.
“Die Techniker arbeiten dran. Momentan gehen ziemlich viele Sachen online”, so ein FON-Sprecher gegenüber Golem.de. Obwohl das Team gerade überlastet sei und nach außen hin nur der neue Shop, der neue Router, die neue FON-Karte und steigende Nutzerzahlen zu sehen sind, werde hinter den Kulissen auch an der Beseitigung der Sicherheitslücke gearbeitet. Wann denn mit einer sichereren Anmeldeprozedur zu rechnen ist und ob die Sicherheitslücke auch mit La Fonera auftritt, konnte noch nicht gesagt werden.
FON setzt für seinen WLAN-Internetzugang größtenteils auf Privatnutzer, die sich mit spezieller FON-Software bespielte WLAN-DSL-Router aufstellen und anderen Menschen eine Mitnutzung ihrer DSL-Verbindung anbieten. Dies kann kostenlos oder mit Beteiligung erfolgen. (Quelle: Golem.de)
Am 6. September 2006 wurde der Anonymisierungsserver des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) beschlagnahmt. In diesen Tagen wurden auch einige Tor-Server beschlagnahmt. Erst fünf Tage später wurde das ULD darüber in Kenntnis gesetzt, denn der Server stand bei einem Dienstleister in Karlsruhe.
Die Beschlagnahmung erfolgte auf Grund eines Beschlusses des Amtsgerichtes Konstanz, den das ULD erst am 13. September 2006 erhielt. Ziel der Maßnahme sei vermutlich, Nutzer von Kinderpornografie im Internet ausfindig zu machen. Sie steht im Zusammenhang mit der Beschlagnahmung anderer Anonymisierungsserver.
Der beschlagnahmte Rechner ist Teil des vom Bundesministerium für Wirtschaft und Arbeit geförderten Projektes “AN.ON – Anonymität Online”. AN.ON ermöglicht Nutzern des WWW mit Hilfe der Software JAP kostenlos unbeobachtet zu surfen. AN.ON diene damit der Gewährleistung des Datenschutzes im unsicheren weltweiten Netz – wie vom deutschen Telediensterecht gefordert, heißt es von Seiten des ULD.
“Es ist das gemeinsame Anliegen von Datenschützern und Strafverfolgern, Kinderpornografie im Internet dingfest zu machen. So ist es – nach einem konkreten Anfangsverdacht und mit richterlichem Beschluss – bei AN.ON jederzeit möglich, die Verbreiter von Kinderpornografie zurückzuverfolgen”, erläutert ULD-Leiter Thilo Weichert. Entsprechende Fälle gab es in der Vergangenheit, was für viel Kritik an AN.ON gesorgt hat.
Mit der aktuellen Beschlagnahme und dem dadurch bedingten kurzfristigen Ausfall von AN.ON seien die Täter gewarnt worden und die Staatsanwaltschaft habe nun lediglich einen Rechner in ihrer Asservatenkammer, “der keine weiteren Erkenntnisse bringen wird”, so das ULD, denn AN.ON speichert keinerlei Verbindungsdaten.
“Jedem Internetkriminalisten müsste inzwischen bekannt sein, wie AN.ON funktioniert”, meinte Weichert, denn alle rechtlichen und technischen Informationen sind öffentlich im Internet abrufbar. Er hält die Maßnahmen der Strafverfolger für fahrlässig.
Das ULD hat gegen den Beschluss des Amtsgerichtes Konstanz Beschwerde eingelegt. AN.ON ist wieder im Netz – bald auch wieder mit einem eigenen ULD-Rechner. (Golem.de)
Am Sonntag wurde in Berlin eine deutschen Piratenpartei gegründet. Sie orientiert sich am schwedischen Original, will sich aber inhaltlich differenzierter und vielfältiger aufstellen. Die Partei fordert unter anderem eine grundlegende Reform des Urheber- und Patentrechts, aber auch Themen wie Schutz der Privatsphäre und die Transparenz des Staatswesens stehen im Programm.
Die Gründungsversammlung fand in der c-base statt, deren Trägerverein sich der Mehrung des Wissens um Software, Hardware und Netzwerke verschrieben hat. Die Piratenpartei will für eine offene, effiziente und gerechte Wissensgesellschaft eintreten, wozu für die Partei unter anderem das Recht auf Privatkopie und Filesharing und die Verkürzung der Schutzfristen gehört.
Die Piratenpartei will sich aber nicht als reine ” Filesharing-Partei” verstanden wissen, auch der Schutz vor Überwachung in der Öffentlichkeit, Sicherung des Fernmeldegeheimnisses, eine Reduzierung der Patentierbarkeit insbesondere in den Bereichen Software und Gentechnik sowie freier Zugang zu Ergebnissen der öffentlich geförderten Forschung und Entwicklung stehen im Grundsatzprogramm.
Die Piratenpartei Deutschlands ist Teil einer europäischen Bewegung, die mit der Gründung der Piratenpartei in Schweden einen Anfang genommen hat. Mit dem von der Musik-, Film- und Software-Industrie oft genutzten Begriff “Piraterie” will man dabei in erster Linie provozieren. Zusammen mit ähnlichen politischen Parteien anderer Länder hofft die Piratenpartei zur Wahl des Europaparlaments 2009 antreten zu können und auch die Bundestagswahl im gleichen Jahr hat man im Visier. (Quelle: Golem.de)