Sicherheit im Netz

Mythen, Fakten und Aktuelles

EGMR: Portalbetreiber haben Verantwortung für Nutzerkommentare →

Nur, falls ihr euch gefragt habt, warum ich hier keine Kommentare aktiviert habe, und es auch niemandem empfehlen würde:

Der Europäische Gerichtshof für Menschenrechte hat gestern in Straßburg entschieden, dass die Betreiber von Online-Plattformen für Kommentare ihrer Nutzer – auch anonyme – verantwortlich sind. Das heißt, sie müssen beleidigende Kommentare unverzüglich entfernen, sonst können sie dafür zur Rechenschaft gezogen werden.

Gefunden bei Netzpolitik.

sec.fu.cx wird persönlicher

Ich habe mich heute entschieden, den Newsletter bei sec.fu.cx etwas aufzuwerten, und über einen zweiten Kanal persönlicher für euch da zu sein.

Für die Newsletter von sec.fu.cx verwende ich MailChimp und lasse meine neuesten Beiträge automatisch per Email versenden.

Über tinyletter (eine Tochter von MailChimp) habe ich jetzt die Möglichkeit, euch durch unregelmäßig erscheinende Nachrichten ausführlicher über aktuelle Themen zu informieren. Außerdem habt ihr die Möglichkeit, direkt mit mir in Kontakt zu treten. Ihr könnt einfach auf jede Email antworten, und mir so Fragen stellen oder Anmerkungen (Tippfehler, etc.) senden. Eure Antworten werden natürlich nicht veröffentlicht, sondern bleiben stets privat.

Insgesamt kann ich so tiefer in ausgewählte Themen einsteigen und bei Fragen erreichbar sein. Ihr könnt nichts mehr verpassen und müsst nicht laufend auf der Seite selbst nach aktuellen Beiträgen sehen.

Ich habe bereits aktive Abonnenten für tinyletter übernommen. Wer sich noch anmelden möchte, kann dies einfach über

http://tinyletter.com/fucx

tun. Die erste Nachricht wird im Laufe dieser Woche versendet und voraussichtlich die aktuelle Situation im Online-Speicher-Ökosystem behandeln.

Viel Spaß damit!

-Thomas

Die zur Bundestagswahl antretenden Parteien antworten auf Fragen der Wikimedia Foundation →

Von der Wikimedia Foundation (also der Mutter unter anderem der Wikipedia) wurden 11 Fragen an alle zur Wahl zugelassenen Parteien gesendet. Genau 11 Parteien haben diese beantwortet – mit unterschiedlich konkreten bzw. verständlichen Aussagen:

Ein Beispiel, das das Dilemma illustrieren mag: In der Frage zur Netzneutralität hatte Wikimedia bewusst nicht danach gefragt, ob die Partei nun für oder gegen Netzneutralität ist. Gefragt war nach einer Einschätzung der Partei, ob das bisherige Telekommunikationsgesetz es der Bundesregierung erlaube, durch eine Verordnung Regeln zur Sicherung der Netzneutralität aufzustellen. Während SPD, Linke und Grüne die Frage nicht nur beantworten, sondern darüber hinaus ihre Vorstellungen zu Netzneutralität allgemein mitteilen, fehlen bei CDU/CSU und FDP jegliche Ansätze einer Beantwortung.

Wem etwas an den netzpolitisch relevanten Themen liegt, sollte sich vielleicht die Fragen und Antworten genauer ansehen, und seine Entscheidung am 22. September entsprechend fällen. So manche Partei disqualifiziert sich hier selbst.

Freut die NSA: WLAN-Passwörter mit Android automatisch zu Google senden →

Google kümmert sich um seine User. Sie speichern z.B. alle WLAN-Passwörter von Android-Handys auf ihren Servern.

Und wie kommen die Passwörter zu Google? Wenn man ein Android hat und nicht alle “nach Hause telefonieren” Häckchen in den Einstellungen weg geklickt hat, dann werden alle WLAN-Passwörter bei Google auf den Servern gebackuped.

Vielleicht wäre jetzt ein guter Zeitpunkt, eure WLAN-Passwörter zu ändern?

Dropbox öffnet hochgeladene Dateien →

Nur, falls ihr noch einen Grund braucht, Dropbox nicht mehr zu benutzen:

So now I’m curious…are the files being accessed for de-duplication purposes or possibly malware scanning? If so, then why are the other file types not being opened? It appears that only .doc files are being opened…

I then uploaded more HoneyDocs files to my Dropbox folder, this time from a different computer and ISP to rule out any of those variables.

All .doc embedded HoneyDocs appear to have been accessed…from different Amazon EC-2 instance IPs.

An dieser Stelle sei noch einmal auf SpiderOak verwiesen, die meiner Meinung nach sinnvollste Alternative.

[Update 2013-09-16 16:14:54]
Laut Aussage eines Mitarbeiters von Dropbox wurde die Funktion zum Erzeugen von Vorschaubildern genutzt, und mittlerweile deaktiviert. Trau, schau, wem!

Looking Inside the (Drop) Box: Forscher reverse-engineeren Dropbox Client, können Accounts übernehmen →

Falls Ihr noch einen Grund brauchtet, SpiderOak* statt Dropbox zu benutzen:

Dropbox Accounts können von Dritten übernommen und die Zwei-Faktor Authentifizierung umgangen werden. Das haben zwei Forscher herausgefunden, nachdem sie den proprietären Client reverse engineered haben.

Es ist also möglich, beliebige Dropbox-Accounts zu übernehmen, und noch allerhand andere Sachen mit dem Dropbox-Client anzustellen.

Für die technisch Versierteren gibt es bereits ein Metasploit-Modul und ein Plugin für Ettercap, um genau diesen Angriff und noch weitere zu ermöglichen. Details dazu finden sich im Paper, den Slides, dem Video und natürlich im Code.

*diese Links sind Affiliate-Links, die mir helfen, diese Seite am Leben zu erhalten

Zusätzlicher Speicherplatz für SpiderOak über die SpiderOak University

Bei SpiderOak* gibt es seit Kurzem die SpiderOak University. Dort kann man nicht nur lernen, wie ein sicherer Online-Speicher funktioniert, und wie man mit seinen Daten sicherer umgehen kann, sondern bei der Gelegenheit auch gleich noch zusätzlichen kostenlosen Speicherplatz ergattern.

Pro Abschlusstest nach einem Video gibt es 2 GB zusätzlichen Speicherplatz, wenn man alle Fragen richtig beantwortet hat. Alleine für den Versuch bekommt man 1 GB. Im besten Fall gibt’s für die 10 Tests also 20 GB zusätzlichen kostenlosen Speicherplatz, und im schlechtesten immerhin 10 GB.

Hört sich gut an, oder? Dann nichts wie los!

*diese Links sind Affiliate-Links, die mir helfen, diese Seite am Leben zu erhalten

whistle.im: FaaS - Fuckup as a Service

Im Zuge des PRISM-Skandals wird die Verschlüsselung der Kommunikation immer wichtiger und rückt auch bei vielen Usern mehr und mehr in den Fokus. Nur logisch, dass dadurch die Anbieter von verschlüsselten Kommunikationswerkzeugen wie Pilze aus dem Boden schießen.

Der CCC hat sich näher mit whistle.im beschäftigt und erläutert in einem Dokument mit dem Titel whistle.im: Fass – Fuckup as a Service anschaulich, wie viele gravierende Fehler die Anbieter eines angeblich sicheren Kommunikationsdienstes gemacht haben. Bei der Lektüre schwankt man zwischen Kopfschütteln, Lachen und Fazialpalmieren.