Veni, Vidi, VISA

Es ist der Traum der Werbeindustrie - und der Albtraum der Datenschützer: Google will Werbekunden künftig detaillierte Informationen über seine Nutzer und ihre Interessen verkaufen. Gerade das neue soziale Netzwerk Google+ lässt sich hierfür besonders gut nutzen.

Quelle: sueddeutsche.de
Damit kann man die Facebooktrottel zu den Googleidioten auf eine Stufe stellen. Sollte mir noch einmal einer dieser technischen Vollpfosten was über "Security" und "Datenschutz" ins Gesicht kotzen, dann kriegt derjenige einen Karnickelfangschlag Die kommen sogar noch vor den MAC-Pfeifen.

Es ist ein Großschlag gegen Urheberrechtsverletzer: Die Staatsanwaltschaft Dresden ermittelt gegen die Streaming-Seite kino.to. Bei Razzien in mehreren europäischen Ländern wurden 13 Personen verhaftet. Ihnen wird die Bildung einer kriminellen Vereinigung vorgeworfen.

Hamburg - Die Polizei hat zum Schlag gegen kino.to ausgeholt: In Deutschland, Spanien, Frankreich und den Niederlanden haben Ermittler am Dienstag zahlreiche Wohnungen, Geschäftsräume und Rechenzentren durchsucht, um die Betreiber des Verzeichnisses und angeschlossener Streaming-Dienste dingfest zu machen. Das teilte die Gesellschaft zur Verfolgung von Urheberrechtsverletzung (GVU) mit. Demnach haben in Deutschland zeitgleich 20 Razzien stattgefunden, mehr als 250 Polizisten und Steuerfahnder waren im Einsatz, unterstützt von 17 Computerexperten.

Quelle: Spiegel Online

250 Polizisten und Steuerfahnder, sowie 17 Computerexperten (aus welchem Loch kommen die eigentlich immer gekrochen?) damit gegen kino.to ermittelt und 13 Leute verhaftet werden konnten? Und die wollen uns gegen Terrorismus und Ehec schützen? Wir sind so gut wie tot!!!111! Ich kann gar nicht soviel essen wie ich kotzen muss.

Hier habe ich schonmal dazu ausführlich Stellung zu meiner Aussage "[...] allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss [...]" bezogen, aber anscheinend reicht das immer noch nicht. Einige Debian-Nazis haben mir nämlich u. a. via Mail erklärt das ich keine Ahnung habe und Müll labere, weil Die Sicherheit eines System in erster Linie vom Administrator abhängt.
Nun.. das ist nur die halbe Wahrheit. Es ist korrekt das ein fachlich versierter Admin das gleiche System "sicherer machen kann" als ein Anfänger. Nur ist auch der kompetenteste Admin an das System gebunden. Linux - respektive die Distributionen - sind nicht nach TCSEC evaluiert. Das ist zwar rein theoretisch mit SEL realisierbar, aber mir persönlich ist noch kein einziger Fall bekannt wo das auch gemacht wurde. Und dazu kommen wir gleich zum nächsten Punkt: Nur weil ein System den Vorgaben eines TCSEC/ITSEC-Levels entspricht, ist es noch lange nicht zertifiziert. Das kann nur das BSI. Von daher ist meine Aussage "$FOO ist ein Hochsicherheitssystem und $BAR nicht" vollkommen korrekt. Egal wie sehr das meine lieben Debian-Trottel nervt.

Und nur damit wir uns richtig verstehen: Mit Debian-{Trottel,Nazis} meine ich die "Debian ist krass stabil!" und "Nur für Profis!"- Rumschreier die seit zwei Jahren mit Linux arbeiten und denken sie hätten Ahnung wovon sie reden.


Ahso.. bin vorhin von einem Kurztrip nach Italien zurückgekommen. Einige Fische gefangen, braun geworden, Spaß gehabt und für diesen Herbst nach Spanien zum fischen eingeladen worden.

Nächste Woche gleich Drei. #1 ist für die angehenden Admins von $FIRMA und wie sie bei der Fehlersuche und nach einer Kompromittierung
vorgehen sollten, #2 wieso User Freiwild sind und nichts zu melden haben (ist auch für Admins und handelt darum welche Rechte sie normalen Usern einräumen sollten) und #3 mein Lieblingsthema: Netzwerk- und Passwortsicherheit am Arbeitsplatz. Für #1 und #3 habe ich schon Folien und #2 würde ich am liebsten aus dem Effeff machen, aber wenn es auf der Leinwand nix zu sehen gibt, taugt es nichts *sigh*
Drei Vorträge, drei Firmen und absolut null Bock. Einziger Lichtblick ist, dass die Vorträge alle nur einen halben Tag dauern und zumindest zwei der drei Lehrgangsteilnehmer ausreichend motiviert sind, da sie neu in der Branche sind. Die traurige Wahrheit ist jedoch, dass sich 99% nach einiger Zeit exakt gar nichts mehr darum kümmern und nur noch nach dem works for me-Prinzip arbeiten. Wobei das wiederum den angenehmen Nebeneffekt hat, dass ich nicht arbeitslos werde.

Ich hab gerade folgende Routine in einem Quelltext gefunden
Von daher passt das Bild irgendwie wie die Faust aufs Auge.

Al Bundy: Und niemand versteht wieso ich auf dem Heimweg schreie.

Serendipity bundles the powerful Xinha WYSIWYG editor to provide its functionality to our users.

Xinha ships with several plugins that utilize PHP scripting for special usage, like the ImageManager or ExtendedFileManager. A 0-day security exploit has been reported available as of today that exploits the functionality of these plugins to upload malicious files to your webspace, to execute foreign code.

Since no official patch has been made on the Xinha side, the Serendipity Team has released an updated version where those active Xinha-Plugins are no longer executable.

If you do not wish to apply the patch to the most recent Serendipity version 1.5.5 you can remove those files:

• htmlarea/contrib/php-xinha.php
• htmlarea/plugins/ExtendedFileManager/config.inc.php
• htmlarea/plugins/FormOperations/formmail.php
• htmlarea/plugins/HtmlTidy/html-tidy-logic.php
• htmlarea/plugins/ImageManager/config.inc.php
• htmlarea/plugins/InsertPicture/InsertPicture.php
• htmlarea/plugins/InsertSnippet/snippets.php
• htmlarea/plugins/SpellChecker/aspell_setup.php
• htmlarea/plugins/SpellChecker/spell-check-logic.php
• htmlarea/plugins/SuperClean/tidy.php

The provided functionality is usually not enabled by default, since Serendipity provides its own media file manager.

Future serendipity releases might re-enable these features, once they are safely patched.

To see if you are infected, please check the directories htmlarea/plugins/ImageManager/demo_images and htmlarea/plugins/ExtendedFileManager/demo_images to see if files have been uploaded there. If so, delete the files and check your webspace for other modified files, as well as change your passwords for FTP and SQL access. Please upgrade as soon as possible.

The release can be found on the Serendipity Download page. All serendipity versions from 1.4 to 1.6 (alpha) are affected. 1.6 alpha users should migrate to a recent SVN head checkout or tomorrow's snapshot.

Thanks a lot to Hauser & Wenz for reporting the issue. Serendipity fully acknowledges responsible full disclosure, non-reported 0-day exploits are helping nobody of true OpenSource spirit.

Quelle: http://blog.s9y.org/

Serendipity 1.5.4 has been released and addresses some minor bugfixes as well as a XSS security issue discovered and reported by High-Tech Bridge. The XSS is only exploitable though, if you are using the "Remember me" feature in the Serendipity backend to login. Thanks to the quick notification by the team we were able to fix the issue within 24 hours, as with all past security issues.

The XSS-issue can easily be patched by only replace the file include/functions_config.inc.php with the new file (link), or by applying this patch.

Other bugfixes that come with the new Serendipity 1.5.4 release are:

• Fix PHP 5.3.2 parse error in a file, thanks to fyremoon
• Fix SQL query statement for deleting a category, which on some DB types (SQlite) might not return "true" and thus not really delete the category.
• Include license output in plugin listing
• Fix escaping when using ImageMagick to create PDF-thumbnail images
• Add new template variable to feed*.tpl files to support new plugins like pubsubhubbub, so that plugins can embed data to the main XML element

The latest release can be found on our SourceForge repository and on the usual place on . To upgrade from any previous Serendipity version, simply extract and upload the new files to your server.

Quelle: blog.s9y.org

... Ihr Computer oder Netzwerk sendet eventuell automatische Anfragen. Um unsere Nutzer zu schützen, können wir Ihre Anfrage derzeit nicht verarbeiten. meint Google und will das ich die Zeichen auf dem CAPTCHA eingebe und dann auf "Ich bin ein Mensch." klicke.
Sorry Jungs, aber erstens kann die Zeichen auf dem CAPTCHA kein Mensch lesen (und somit wäre es grotesk auf "Ich bin ein Mensch." zu klicken) und zum zweiten saugt ihr Kometen durch Nadelöhrchen. Und jetzt dürft ihr sterben gehen. Danke!

Laut einigen News-Portalen fährt Apple schwere Geschütze gegen Jailbreaker auf. Wie es nun ans Tageslicht kam, hat das Unternehmen mit Sitz im kalifornischen Cupertino ein Patent eingereicht, welches iPhone-Jailbreakern an den Kragen gehen könnte. Demnach soll die neue Technologie nicht autorisierte Nutzer von elektronischen Geräten identifizieren und abschalten. Darunter auch Jailbreaker.
[...]
Der angebliche Jailbreak-Killer basiere auf die Remote-Löschfunktion von iPhone-Daten. Es ist bereits bekannt, dass beim iPhone eine Löschfunktion existiert, die es Apple von der Ferne aus ermöglicht, Anwendungen vom Gerät zu entfernen. Bisher werde das System angeblich nur genutzt, um eventuelle Schadsoftware von zentraler Stelle aus auf den Geräten löschen zu können. Nun gehe Apple einen Schritt weiter. Diese Technologie soll nun auch die unautorisierte Nutzung eines elektronischen Geräts verhindern.
Der "Systeme und Methoden zur Identifizierung unautorisierter Nutzer eines elektronischen Gerätes" betitelte Patentantrag weist darauf hin, inwiefern unautorisierte Zugriffe auf den Smartphones erkannt werden: Anhand von Stimmerkennung, SIM-Karten-Manipulationen, durch auffällige Veränderung des Lebensumfelds, anhand von Herzfrequenzanalyse oder durch veränderte Anwendungs-Abläufe. Sollte das System solch eine Unregelmäßigkeit erkennen, ermöglicht es die Technologie Fotos aus der Umgebung zu versenden, den rechtmäßigen Nutzer über die GPS-Daten des Smartphones zu informieren oder alle persönlichen Daten vom Gerät zu entfernen.

Quelle: gulli.com

Jetzt mal ernsthaft.. welche Gründe sprechen eigentlich für die Nutzung von Produkten aus dem Hause Apple? Mal von latentem Masochismus abgesehen.
Und bevor jetzt wieder irgendwelche Mac'ler aufschlagen und mit dem von mir bisher noch nicht zitiertem Satz Auch wenn für die Methode des Jailbreakens eine potenzielle Gefahr besteht, ist dieser Schachzug aufgrund der Legalisierung vom 27. Juli 2010 eher unwahrscheinlich. ankommen... Jungs.. vergesst es einfach. Mac saugt. Und zwar tierisch!

Nachdem ich im vorherigen Eintrag geschrieben habe das ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht, haben mich schon einige Mails erreicht wo mir erklärt wurde, das man auch Linux auf solchen Systemen verwenden kann.
Stimmt auffallend. Die Frage ist nur ob man das auch wirklich will? Das kein System wirklich sicher ist, steht außer Frage (mal XTS-400 und diverse TCSEC-B1 - Systeme mal außer Acht gelassen) und das Sicherheitslücken gefunden werden lässt sich bei komplexen Systemen nicht vermeiden. Aber was ein absolutes KO-Kriterium sein kann, ist, wie auch gefundene Sicherheitslücken reagiert wird. Bei *BSD (damit ich mich auch den vorherigen Eintrag beziehe) gibt es dafür Mailinglisten und Advisories auf der Homepage wo man sich informieren bzw. auf dem laufenden halten kann. Bei Linux gibt es weder noch; nur einen kurzen Log im git-log. Gut.. besser als nix werden sich jetzt einige denken, aber das ist für Admins alles andere als auch nur irgendwie brauchbar. Ein Admin hat i. d. R. keine Zeit um sich ein Repo zu clonen und dort in den Shortlogs nach Änderungen Ausschau zu halten die sich auf Sicherheitslücken beziehen. Und - auch wenn ich jetzt einige enttäuschen muss - es bringt auch nicht viel das z. B. Debian die Mailingliste debian-security-announce@ hat, wo man über Sicherheitslücken benachrichtigt wird. Deren Aufgabe ist es, Patche über ihr Paketmanagementsystem verfügbar zu machen, damit sie eingespielt werden können. Aber das können sie erst, nachdem der Patch auch verfügbar ist.
Wenn eine bekannte Sicherheitslücke über zwei Monate lang nicht behoben wird, dann ist das absolut untragbar und die Tatsache das in keiner Art und Weise veröffentlicht wird, dass es sich um die Behebung eines sicherheitsrelevanten Bugs handelt, ist für mich ein Grund meinen Kunden Linux auf sicherheitsrelevanten Systemen als letzte Möglichkeit zu empfehlen (und selbst da nur mit Einschränkungen).