Am Rande notiert ...

End-to-End: Google will mit Javascript verschlüsseln – Golem.de. Man kann von Google halten was man will, es sitzen immer noch Techniker mit Hirn dort, die auch mal wieder was cooles bauen. Klar, man wird sehen müssen wie gut das ganze dann implementiert ist, aber wenn jemand wie Google für Gmail PGP-Integration bietet, dann könnte das endlich der Anstoß sein, dass das Thema auch weitere Verbreitung findet. Das grösste Problem bei PGP und ähnlichen Sachen ist ja immer noch die Verfügbarkeit von Kommunikationspartnern, die mit der entsprechenden Technik auch was anfangen können.

Tails – Über Tails. Hmm, vielleicht mal einen USB Stick mit dem System einrichten, so für unterwegs und bei Bedarf.

Port 32764: Cisco bestätigt Backdoor in Routern. Ok, sie bestätigen die Existenz – aber wo ist die Erklärung, wo sie her kommt? Wieso ist sie drin und wieso wurde sie nicht schon längst von Cisco entfernt? Will mir ernsthaft jemand sagen, Cisco würde nie einen Portscan auf ihre eigenen Router laufen lassen?

TeleHash / JSON + UDP + DHT = Freedom. Über git-annex drauf gestoßen: eine verteilte Messaging-Technik mit interessanten Eigenschaften. Stark P2P ausgerichtet, stark auf Verschlüsselung ausgerichtet und von vornherein als Middleware konzipiert und nicht primär als Mensch-zu-Mensch Protokoll wie XMPP. Definitiv beobachten, was da raus kommt.

Matasano Security – Matasano Web Security Assessments for Enterprises. Analyse von Kryptographie in JavaScript. Kurzfassung: Kryptographie in JavaScript ist in der Regel eine dumme Idee, da man das JavaScript aus einer nicht vertrauenswürdigen Quelle oder einem nicht vertrauenswürdigen Netz bezieht (würde man ihm vertrauen, wäre ja wohl kaum Kryptographie notwendig) und daher ein Henne-Ei-Problem besteht. In bezug auf das vorherige 0bin Projekt: dort ist die Kryptographie nicht eingebaut worden um den Benutzer zu sichern, sondern um den Betreiber des 0bin abzusichern – es ist also relativ egal für den Betreiber, ob die User sicher sind oder nicht, es geht dabei nur um „plausible deniability“ für den Betreiber. Anders sieht es aber aus, wenn anstelle SSL einzusetzen eine Verschlüsselung in JavaScript implementiert wird.

Chrome kann in fünf Minuten geknackt werden | Produkte | futurezone.at: Technology-News. Oy Gevalt! Ich glaube, da müssen jetzt einige Leute ein wenig umdenken. Nein, Sandboxing ist nicht eine garantierte Lösung für Security, das ist bestenfalls ein einzelner Baustein einer kompletten Lösung. Und ja, Programme komplexer zu machen erhöht auch die Komplexität der Sicherheitslage. Und irgendwann gibts dann eben einen Durchmarsch wie hier. (und nein, die anderen Browser sind keinen Deut besser, Chrome galt nur länger als „sicher“ und nach der letzten Pwn2Own wurde er von einigen als „unknackbar“ betrachtet)

Google Wallet PIN cracked on rooted Android devices | The Verge. Na das ging ja schnell. Ich kann mir ein gewisses Grinsen nicht verkneifen. Google sollte wirklich bessere Leute für die Implementierung von solchen Sachen haben.

BUSTED! Secret app on millions of phones logs key taps • The Register. Nett – Android-Phones mit Rootkit/Keylogger verwarzt. Und wenn ich das richtig lese, dann ist die Software wohl von Netzprovidern und/oder Geräteherstellern aufgebracht worden. Jaja, klar, ist nur ein „Diagnosewerkzeug“ – genauso wie die diversen Trojaner für PCs ja nur Fernwartungswerkzeuge sind …

Sicherheitslücke: Feuergefahr bei HP-Druckern? – Golem.de. Endlich remote Büros abfackeln können. Davon träumt doch sicher jeder Hacker. Danke HP für dieses äußerst sinnvolle Feature.

CCC | Chaos Computer Club analysiert aktuelle Version des Staatstrojaners. Soso, der aktuelle Staatstrojaner ist also genauso schlecht wie der angebliche Prototyp. Und wieder behaupten natürlich alle, das Teil nicht einzusetzen. Was ist denn nun die wundersame, rechtskonforme Version des Staatstrojaner, die angeblich in den Behörden eingesetzt wird? Wäre doch mal interessant, wenn die Behörden diesen Trojaner dem CCC zwecks Analyse bereitstellen würden. Aber das wäre ja ehrliches und transparentes Handeln. Das kann man von Behörden in unserer Bananenrepublik ja scheinbar nicht mehr erwarten.

Firewire Attacks Against Mac OS Lion FileVault 2 Encryption » frameloss. Da hat Apple wohl ganz grandios gepatzt. Denn über Firewire DMA kann man das im Hauptspeicher abgelegte Passwort für die Full-Disk-Verschlüsselung zugreifen. Auch wenn man Auto-Login deaktiviert hat und eigentlich kein Grund vorliegt, das Passwort im Speicher zu haben. Autsch.

Die seltsamen Fakten des Herrn Uhl « mrtopf.de. Ich sach einfach mal: lesen. Denn wozu soll ich da alles wiederholen, was anderswo schon jemand geschrieben hat. Und da es mit der VDS ja auch den Datenschutz betrifft, auch mal für die Metaeule kategorisiert.

SSL and Cookies in WordPress 2.6 « Ryan Boren. Zwar ursprünglich für WordPress 2.6 geschrieben, aber immer noch gültig. Bei mir musste ich noch ein bischen Hacken, da mein WordPress-Server nicht direkt zum Netz steht, sondern hinter einer Firewall (iptables mit DNAT hat geholfen), aber jetzt habe ich ordentlich gesicherte Admin-Cookies und bin damit besser gegen WLAN Sniffer an öffentlichen Hotspots geschützt. Die WordPress-Idee ist wirklich nett – zwar keine 100% Sicherung, da mit meinem Login-Cookie immerhin Kommentare unter meinem Namen gepostet werden können, aber durch die Cookie-Trennung ist zumindestens die Administration geschützt. Beisst sich bei mir aber mit dem Safer Cookies Plugin, das ich vorher benutzt habe um meine Cookies wenigstens auf die IP festzunageln. Zusätzlich gibt es noch einen Patch der nach 3.1 gegangen ist und es ermöglicht auch das Login-Cookie abzusichern.

Hackers broke into Lockheed Martin. Holy cow, worst case Szenario. Wer wettet drauf dass jetzt die Cybersecurity-Gesetze in den USA verschärft werden, nachdem durch Angriffe auf Unternehmen aus der Rüstungsindustrie das ganze ja vermutlich als Frage der nationalen Sicherheit hochstilisiert werden kann?

Dropbox Lied to Users About Data Security, Complaint to FTC Alleges. Nur nochmal als Erinnerung: wer sowas wie Dropbox (oder jeden der anderen Dienste mit vergleichbarer Funktion) benutzt, sollte clientseitig verschlüsseln (auf Macs bieten sich sparse Bundles an), wenn es kritische oder persönliche Inhalte sind. Denn selbst wenn ein Dienst verspricht, alles zu verschlüsseln und niemand könne die Daten lesen, kann dieser Dienst auch einfach lügen. Oder eine falsche Implementierung haben. Die Deduplizierung, das Foldersharing und die Tatsache, dass seit einigen Versionen auf jedes File eine public URL erzeugt werden kann – und damit in beiden Fällen Leute auf Files Zugriff bekommen, denen man ja nun nicht sein Passwort verraten hat – sollte klar machen, dass Dropbox zwangsweise dazu in der Lage sein muss serverseitig zu entschlüsseln. Was natürlich die falsche Präsentation in deren Werbeseiten nicht besser macht – klar, es war nur weglassen von Informationen, aber bei Sicherheitsaussagen sagt man lieber etwas mehr um klar zu machen was man tatsächlich garantiert. Wenn man wesentliche Informationen weglässt, braucht man sich nicht wundern wenn man (zu Recht!) als Lügner hingestellt wird. Und gerade in den USA könnte sowas eine Firma ziemlich in Bedrängnis bringen.

Folgenschwerer PSN-Hack: Persönliche Kundendaten kopiert. Jetzt ist also raus, warum PSN so lange offline war (nicht das es mich sonderlich betroffen hätte – hab keine Playstation – aber die Stille rund um die Downtime war schon seltsam).

Microsoft Shuts off HTTPS in Hotmail for Over a Dozen Countries | Electronic Frontier Foundation – ein Schelm wer böses dabei denkt. Sicherlich purer Zufall, dass die Liste der betroffenen Länder sich wie die „Elite“ der demokratischen Staaten liest. Die Verlogenheit von Großkonzernen wird eigentlich nur noch von FDP Wirtschaftsministern übertroffen.

By adding extra code to a digital music file, they were able to turn a song burned to CD into a Trojan horse. When played on the car’s stereo, this song could alter the firmware of the car’s stereo system, giving attackers an entry point to change other components on the car.

via With hacking, music can take control of your car | ITworld.

Advanced sign-in security for your Google account – Official Gmail Blog. Grundsätzlich eine gute Idee, denn dadurch wird der Login – bei korrekter Anwendung – wirklich sicherer. Aber ob man seinen inneren Schweinehund überwindet und das auch tatsächlich anwendet … (bin mir bei mir selber nicht mal ganz sicher ob ich das für eMail mir antun will)

Bug 1044 – CVE-2010-4345 exim privilege escalation. Der zweite Teil des Exim-Durchmarsches. Dieser ist die Rechteeskalation über Exim und ein alternatives Config-File. Denn dadurch, dass Exim ein monolitischer Server unter suid Rechten (also Start mit Root-Rechten auch wenn als anderer Benutzer ausgeführt) ist, gibt es ein kleines Zeitfenster in dem der Dienst immer als root läuft – und durch das alternative Configfile wird das dann ausgenutzt. Der Patch beschränkt die Orte an denen diese Config-Files liegen dürfen und kombiniert mit der Konfiguration der Schreibrechte auf diesen Ort kann man damit vermeiden, dass nicht-root-User eigene Configs einschleusen.

Bug 787 – memory corruption in string_format code. Wichtig, wenn man Debian älter als Lenny betreibt, denn dafür gibt es dann keine Sicherheitsupdates mehr und man muss  selber patchen. Der hier macht die Tür zu. Übrigens durchaus interessant mal auf das Datum zu gucken – der ist seit 2008 gefixt, aber durch die frühe Aufgabe von Security-Updates von auslaufenden Debian-Releases ist es in vielen Debian-Systemen auf Etch Basis (und älter) noch drin. Debian ist nur noch empfehlenswert einzusetzen wenn man tatsächlich auch jeden Releasewechsel zeitnah mitmachen kann. Ansonsten sind Lösungen wie Ubuntu LTS deutlich die bessere Wahl. Abgesehen davon ist es doch reichlich peinlich, dass Lenny noch so eine gammelalte Exim hatte …

HP Storage Hardware Harbors Secret Back Door | threatpost – erledigt hoffentlich die regelmäßigen „wir müssen auf hp umsteigen weil die ist ja viel besser als die NetApp“ Diskussionen. Und ja, das war Sarkasmus.

Sicherheit: Angeblich Backdoor im IPSEC-Stack von OpenBSD. Autsch. Wenn da was dran ist, brauchen wir wohl mal ein WikiLeaks für Open Source. Und das ausgerechnet bei OpenBSD, das sich Sicherheit auf die oberste Stelle der TODO geschrieben hat.

„Eine Bombe im Flugzeug Richtung Deutschland? Zugegeben, ich bin nur Wissenschaftsjournalist, befasse mich mit physikalischen Phänomenen, doch offen gesagt glaube ich nicht an diese Nachricht. Das passt doch alles zu gut. Bei mir im Hotel die Innenminister, und ausgerechnet jetzt wird verkündet, dass Deutschland demnächst zum Ziel eines Terroranschlags wird. Das riecht nach Inszenierung.“

via Mit de Maizière am Frühstückstisch: Der Terror ist da, das Müsli ist alle – taz.de.