Schlagwort Archiv: Spionage

Kaspersky: Jungen Leuten ist Privatsphäre egal

Laut Kaspersky ist vielen jungen Leuten ihre Privatsphäre egal.

Viele junge Leute sei Privatsphäre egal, so Kaspersky. Quelle: http://1.1.1.4/bmi/pixabay.com/static/uploads/photo/2013/02/20/11/12/town-sign-83730_640.jpg

In einem wirklich interessanten Interview mit Eugene Kaspersky bin ich auf folgende Aussage gestoßen:

„Für die junge Generation existiert sie [Privatsphäre] nicht mehr, nein. […] Meiner Generation ist Privatsphäre allerdings wichtig.“ – Eugene Kaspersky.

Kritisch äußerte sich Kaspersky in dem Interview gegenüber der Einstellung junger Leute zum Thema Privatsphäre. Seiner Generation sei jedoch die Privatsphäre wichtig.

Auf die Frage wie Unternehmen, die von der jetzigen jungen Generation geführt werden, in Zukunft aussehen werden, hatte Kaspersky keine Antwort, da die „digital natives“-Genration (also die Generation der jetzigen „jungen Leute“), anders denke.

Statement

(eigene Meinung)
Generell muss ich Kaspersky (leider) recht geben: Der heutigen Jugend ist die Privatsphäre – mehr oder weniger – egal. Man schaue sich nur mal die Plattform YouNow an.

Jedoch kann man das – finde ich – nicht generalisieren. Man muss bedenken, dass (IT-)Unternehmen nicht von irgendwelchen Menschen geleitet und beraten werden. In 10 oder 20 Jahren sind zwar Menschen der jetzigen jungen Generation in leitenden und beratenden Positionen, jedoch haben die im allgemeinen Informatik (oder etwas ähnliches) studiert und sind sich der Lage durchaus bewusst.

Auch denke ich nicht, dass „seine“ Generation sich im allgemeinen den Risiken im Bereich Privatsphäre bewusst ist. Wenn man sich da die „Reaktion“ (bzw. nicht-Reaktion) der deutschen Bevölkerung zum NSA-Skandal anschaut … da wird mir Angst und Bange.

SSL Zertifikat von SuperFish gestohlen

Das auf Lenovo Rechnern vorinstallierte Superfish ist nur sehr unzureichend geschützt.

Das auf Lenovo Rechnern vorinstallierte Superfish ist nur sehr unzureichend geschützt.

Mit einfachsten Mitteln konnte der Hacker Robert Graham von Errata Security das SSL Zertifikat aus Superfish extrahieren und so zur Entschlüsselung von Datenströmen diverser Lenovo Rechnern nutzen. Dabei brauchte er keine Voodoo-Technik und auch nicht sonderlich lange um das passwortgeschützte Zertifikat zu entwenden und zu entschlüsseln.

Entwenden des Schlüssels

Graham musste zunächst das Zertifikat, welches verschlüsselt und passwortgeschützt ist aus Superfish extrahieren. Dazu hat er einfach einen Debugger benutzt und einen Haltepunkt (BreakPoint) direkt nach dem entschlüsseln des eigenen Programms (wie es bei Malware typisch ist) gesetzt.

Da nun das Programm entschlüsselt im Speicher lag, konnte er es mit dem Programm procdump da raus holen. Das Ergebnis war jedoch eine Binärdatei, das heißt da waren diverse binäre Zeichen mit enthalten.
Mit dem Programm strings kann man jedoch alles binäre wegschmeißen und erhält eine Datei mit lesbarem Text. Der Schlüssel war dann in dieser Datei enthalten.

Den Schlüssel jetzt zu finden ist nicht schwer: Einfach nach Private Key suchen und fertig. Tatsächlich lag der Schlüssel mehrfach in der Datei.

Schlüssel entschlüsseln

Mit dem Schlüssel kann man nun im Grunde SSL Verbindungen (z.B. HTTPS) entschlüsseln und dem entsprechend den Datenfluss mitlesen. Da es so keinen Passwort-Cracker für SSL PEM Dateien gibt, hat Graham sich einen eigenen geschrieben.

Da die Brute-Force Methode (alle denkbaren Kombinationen an Zeichen durchgehen) Jahre dauert, fiel die Wahl auf ein Wörterbuch-Verfahren. Dabei benutzte er ein Wörterbuch mit Standardwörtern, wurde jedoch nicht fündig. Im memory-Dump (der Output vom Debugger von vorhin) muss eigentlich der Schlüssel auf drin enthalten sein. Aus der Datei, die strings lieferte, nahm er dann alle Wörter mit Kleinbuchstaben (da sonst 150.000 Wörter vorhanden wären) und wurde mit dem Wort „komodia“ nach 10 Sekunden fündig.

Mit dem OpenSSL tool kann man nun die Schlüssel entschlüsseln und so nun benutzen.

Reaktion von Lenovo

Da Superfish unter Lenovo vorinstalliert ist, hat Lenovo direkt ein Deinstallationstool mit Tipps zum entfernen aller Superfish Zertifikate und Einträge.

GnuPG: Finanzlage gesichert

Die finanzielle Lage von GnuPG ist endlich sicher.

Die finanzielle Lage von GnuPG ist endlich sicher.

Wer seine Mails verschlüsselt, greift in den meisten Fällen auf das Verschlüsselungssystem GnuPG zurück, doch die Finanzlage von GnuPG ist schwierig. Dies liegt daran, dass es, wie so vieles andere auch, kostenlos und Open-Source (jeder kann sich den Quellcode runterladen).

GnuPG wird nur über Spenden finanziert

Da man also mit GnuPG – da kostenlos – kein Geld verdienen kann, muss der einzige Entwickler (Werner Koch) auf Spenden zurückgreifen.

Nach dem Koch bereits 2013 fast aufgegeben hätte (die Snoweden-Enthüllungen haben ihn dazu motiviert weiter zu machen), war die finanzielle Lage schwierig und eine Spendenaktion scheiterte mehr oder weniger.

Facebook und Linux-Foundation greifen ein

Als Werner Koch dann einen Artikel über seine finanzielle Lage veröffentlichte, kündigten sowohl Facebook, als auch die Linux-Foundation an ihn mit insgesamt 110.000$ pro Jahr zu unterstützen.

Das wohl am weitesten verbreitetste Tool für die Mail Verschlüsselung ist damit gerettet.

Kinderpornos aus Eigenproduktion – Wie gefährlich ist YouNow?

Wer auf YouNow streamt, muss unbedingt aufpassen, was er/sie an erzählt. Quelle: http://www.spieleratgeber-nrw.de/media/img_thumbs/8503_Younow-1_500x284.jpg

Seit 2011 gibt es die Plattform YouNow, die als Streaming Portal für Künstler gedacht war. Mittlerweile wird dort gestreamt was das Zeug hält und nicht jeder singt dabei fröhlich Lieder oder macht Musik.
Im Google Play Store hat YouNow den Titel „YouNow: Sende dein Programm“, was schon alles sagt: Jeder sendet alles. Neben alltäglichen Situationen werden auch alle anderen Seiten des Lebens gestreamt: Pornos, Gewalt, Beleidigungen, etc. etc.

3 Grundlegende Verhaltensregeln für YouNow

Um vielen Gefahren, an die fast nie einer denkt, aus dem Weg zu gehen, sollte man drei „Regeln“ beachten. Zum einen geht es dabei um eventuell anfallende Kosten … und ich rede hier nicht an Nutzungskosten von YouNow … Zum anderen geht es hier wirklich darum, dass ihr einen unangenehmen Gerichtstermin verhindern könnt. Dabei schützen diese Regeln nicht nur euch selbst, sondern auch ggf. andere. (mehr …)

CCC fordert Verbot unverschlüsselter Verbindungen

Niemand möchte, dass seine persönlichen Daten gelesen werden - auch nicht von Geheimdiensten.

Niemand möchte, dass seine persönlichen Daten gelesen werden – auch nicht von Geheimdiensten. Quelle: http://pixabay.com/static/uploads/photo/2013/06/30/06/12/keyboard-142332_640.jpg

Wie man es vom CCC (Chaos Computer Club) nicht anders erwartet, fordert dieser ein Verbot unverschlüsselter Verbindungen, z.B. bei der Übertragung von Kundendaten. Dies ist eine Reaktion auf das Verbot absoluter Verschlüsselung (ohne Hintertür für Geheimdienste), wie es Cameron, Obama und kürzlich auch Innenminister de Maizière, nach dem Anschlag in Paris, gefordert haben. Cameron hatte als erster vorgeschlagen, dass man den Geheimdiensten einen „Generalschlüssel“ für alle Verschlüsselungsverfahren geben solle, damit diese ungehindert mitlesen können.

„Niveau von Windows 3.1“

Die Forderung der Politik eine absolute Verschlüsselung ab zu schaffen, geht darauf zurück, dass „das Rad der technischen Evolution auf das Niveau von Windows 3.1 zurückgedreht“ werde, so der CCC. Der Politik sei dieser Sachverhalt aber anscheinend „noch nicht erklärt worden“.

Unklar ist bisher auch, wie die Umsetzung eines „Generalschlüssels“ für die Geheimdienste aussehen soll, denn eine Sicherung solcher Schlüssel an zentraler Stelle, wäre quasi der Heilige Gral aller Hacker – und auch aller Terroristen.

Verschlüsselungsverbot praktisch nicht durchsetzbar

Laut dem CCC sei eine Umsetzung eines Verbotes der absoluten Verschlüsselung nicht nur gefährlich (wie oben schon genannt), sondern auch so gut wie nicht umsetzbar. Der CCC rät weiterhin zu harter Verschlüsselung, wie etwa Verschlüsselung mit Hilfe von GnuPG. Dadurch lassen sich Mails Hintertür-frei mittels RSA verschlüsseln. Auch der BSI ist auf der Seite vom CCC und befürwortet eine durchgehende Verschlüsselung aller Verbindungen.

Statement:

(eigene Meinung)
Ich stehe absolut hinter dem CCC und finde es ein Unding, dass jemand auch nur auf die Idee kommt per Gesetz Hintertüren für Verschlüsselung bereit stellen zu lassen. Meiner Meinung nach zeugt das von entweder a) Geldgierigen Beratern der Zuständigen, oder b) von Unkenntnis. Jeder Politiker, für den Internet „Neuland“ ist, soll die Finger von solchen Gesetzen und solchen weitreichenden Plänen lassen.