Veni, Vidi, VISA

Vorgestern wurden die IP-Adressen unzähliger Unternehmen mitgeschnitten, die sich am Download der gecrawlten 100 Millionen Facebook-Profile beteiligen. Die Liste klingt wie das „Who is Who“ der Industrie. Die PR-Abteilungen dürften sich über diesen Fund freuen, denn das Archiv umfasst im komprimierten Zustand nicht weniger als 2,79 Gigabyte Daten.
Kürzlich wurde eine Torrent-Datei mit 100 Millionen Facebook-Profilen auf diversen BitTorrent-Tauschbörsen veröffentlicht, die jemand mithilfe des Crawlers von Ron Bowes von Skull Security zusammengetragen hatte. Das Interesse an den Daten scheint ungebrochen zu sein. Da die IP-Adressen der Interessenten leicht auszumachen sind, konnte unlängst festgestellt werden, wer alles von der Industrie Interesse an diesen persönlichen Daten hat. Unzählige Firmen mit Rang und Namen sind dabei vertreten:
[...]

Quelle: gulli.com
Ich komme langsam aber sicher in die Versuchung Facebook-User mit Apple-User auf die gleiche Objektivitäts- und Intelligenzstufe zu stellen (und die ist auf dem Level "nicht vorhanden").

hat mal mein "Mentor" gesagt und recht hat er. Wie immer sind bei Mitarbeiterschulungen die Mitarbeiter nicht sonderlich interessiert; besonders dann, wenn es sich um einen Vortrag handelt, von dem sie denken das dessen Inhalt für sie sowieso nicht wichtig ist. Ergo muss man sie davon überzeugen, dass es notwendig ist das sie einem zuhören. Und was wäre ein besserer Motivator als sich mit einem handgeschriebenem Zettel hinzustellen, einen Benutzernamen aufzurufen und nach der Handmeldung sein Passwort zu nennen?! Einige Mitarbeiter haben Anfangs noch missachtend auf die anderen runtergesehen, allerdings jeder der 18 Mitarbeiter kam an die Reihe. Naja.. fast jeder. Ein paar Benutzernamen hab ich nur nacheinander vorgelesen und mit "Auf die Passwörter gehe ich erst gar nicht ein, weil die Passwörter sogar ein 12 Jähriger cracken könnte!". Aber ich bin ja kein Arsch das gezielt Mitarbeiter niedermacht. Auch der zuständige Admin bekam sein Fett weg, weil sein System solche Passphrasen überhaupt akzeptiert.
Für den danach folgenden Vortrag hatte ich dann auf jeden Fall ungeteilte Aufmerksamkeit. Bleibt nur zu hoffen das sie in Zukunft solche Sachen wie "Ausloggen wenn der Arbeitsplatz verlassen wird", "Bildschirmschoner mit Passwort versehen", .. beachtet werden.


btw. bevor jetzt irgendjemand anfängt zu kollabieren.. an die Passwörter bin ich im Beisein des Chefs gekommen. D. h. er stand hinter mir und hat mir zugesehen wie ich die (auf Zetteln, unter Tastaturen, ..) notierten Passwörter abgeschrieben und geändert habe. Einige wenige musste ich cracken, aber da kein Passwort länger als fünf Zeichen war, war das nicht weiter wild. Anschließend wurden die Passwörter geändert und neue vergeben die sich die Mitarbeiter dann persönlich bei mir abholen konnten (sie wurden auch drauf hingewiesen das sie die Passwörter baldmöglichst ändern sollten).

Nach einigen Jahren in dem Job hab ich gedacht das ich dann doch alle notwendigen Präsentationen und Vorträge.. von wegen. Nächste Woche darf ich einen Tag lang zum Thema Sensibilisierung in Bezug auf Passwortsicherheit und Datenschutz am Arbeitsplatz in $FIRMA einen Vortrag halten und die Mitarbeiter schulen. Ich halte zwar ungern Vorträge, aber immerhin legt $FIRMA wert auf dieses Thema. Und zwar ohne vorherigen Vorfall.

http://www.test.de/themen/geldanlage-banken/meldung/-Datenmissbrauch-bei-der-Postbank/1819632/1819632/
Passend dazu gleich die Reaktion von Udo Vetter und Thomas Stadler.
Mental note to self: Liste erweitern wieso ich kein Konto in Deutschland habe.

http://www.gulli.com/news/bka-gesetz-gesetz-2008-11-12/

Wie bereits absehbar wurde heute (12.11.) gegen 18 Uhr das neue "Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt", oder kurz BKA-Gesetz, vom Bundestag verabschiedet. Die Gegner des Gesetzes allerdings geben nicht auf und wollen vor das Bundesverfassungsgericht.

Insgesamt beteiligten sich 549 Abgeordnete an der Abstimmung. 375 davon stimmten mit ja, 168 mit nein, während sich 6 Abgeordnete der Stimme enthielten. Somit kam eine deutliche Mehrheit für den Gesetzesentwurf zustande.

Im Vorfeld gab es eine längere Diskussion über den Gesetzesentwurf. Die Opposition (Bündnis 90/Grüne, FDP und Die Linke) stellte sich geschlossen gegen den Gesetzesentwurf und kritisierte diesen als missbrauchsanfällig und insgesamt nicht rechtsstaatlich. "Es gibt nicht nur die Sicherheit durch den Staat, es gibt auch die Sicherheit vor dem Staat, und diese treten Sie leider durch dieses Gesetz hin zu einem übermächtigen BKA mit Füßen," kommentierte Wolfgang Wieland von Bündnis 90/Grüne den Gesetzesentwurf. Ähnlich äußerte sich Jan Korte von der Linken. Er betonte, selbst wenn das BKA-Gesetz verfassungsgemäß sei, was er bezweifle, sollte es aufgrund der starken Bedenken über diese Form massiver Grundrechtseingriffe nicht realisiert werden. Er bezeichnete den Gesetzesentwurf als den "endgültigen Dammbruch in Sachen Grund- und Freiheitsrechte". Zum Abschluss bedankte Korte sich bei allen, die gegen das BKA-Gesetz auf der Straße waren, und kündigte an, dass die Proteste weitergehen werden.

[ Vollstaendiger Artikel bei Gulli ]

Aus gegebenem Anlass habe ich vorhin mit einem Krankenhaus in der Umgebung telefoniert und wollte wissen wo $Patient liegt; die nette Dame an der Pforte hat mir auch bereitwillig gesagt auf welchem Zimmer (soweit ja auch OK) und mir angeboten mit gleich mit der Station zu verbinden, damit ich nachfragen kann wie es $Patient geht.
Der Schwester auf der Station hab ich mich lediglich mit "Hi, $Name aus $Wohnort hier. Ich wollt nur fragen wie es $Patient geht!" vorgestellt; die war dann auch gleich so freundlich mich an den behandelnden Arzt weiterzureichen und der hat mir dann ohne langes Nachfragen bereitwillig Auskunft ueber $Patient erteilt. Ich glaub ich sollt das mal bei einer Bank probieren..

hat er gesagt der selbsternannte "Ich halte bei Gelegenheit die Schulung bezueglich Sicherheit"-Uberh4x0r als ich ihm im Beisein seines Chefs einige Passwoerter im Klartext vorgelegt und sie dadurch auf die Problematik aufmerksam gemacht habe. Auf mein "Wer redet von den Sekretaerinnen? Die Passwoerter hab ich aus der Datenbank von Deinem Server, weil Du Dich staendig als root von Deiner Workstation aus ein-, aber nie ausloggst oder die Putty-Session beendest. hatte er abgesehen von einem hochrotem Kopf nichts mehr zu entgegnen; wobei der Grund fuer seinen Farbwechsel im Gesicht IMO die Blicke seines Chefs waren.
Ich liebe meinen Job. Ehrlich!

http://www.tamagothi.de/2007/09/23/datenschutzproblem-in-wordpress-23/ und http://spam.weltretter.de/2007/09/25/spam-23-von-wordpress-deutschland/ zeigen mal wieder wie schmerzfrei Wordpress-User sind. Naja.. Millionen Fliegen..
Wird sowieso mal wieder Zeit fuer ein neues Exploit. Wayne.. Wordpress-User stehen ja auf bugverseuchte Bloatware.

Vorhin hab ich im law blog den Artikel Far Far Away gelesen und mal nachgesehen wie ich meine Daten schuetze. Ich habe mehrere Rechner, die - mehr oder weniger - staendig genutzt werden. Auf allen ist das BIOS durch ein Passwort geschuetzt, damit man nicht ohne weiteres die Bootreihenfolge aendern kann. Die Partitionen sind via dm-crypt verschluesselt und Passwoerter fuer Userlogins werden mittels cracklib untersucht. Fuer private Mails verwende ich GnuPG (geschaeftliche Mails landen auf einem anderem Konto/Server) und die Passwoerter werden woechentlich geaendert. Das sind die "Vorsichtsmassnahmen", die prinzipiell auf allen Rechner genutzt werden.

Meinen Laptop (Samsung X20) nutze ich hauptsaechlich fuer meinen Job als Freiberufler; sobald ich den Deckel schliesse, wird der eingeloggte User automatisch ausgeloggt (gleiches geschieht auch, wenn der eingeloggte User laenger als 10 Minuten nichts macht). Den "Power On/Off"-Knopf habe ich zu einem Notaus umfunktioniert; beim drauf druecken wird shutdown -h now ausgefuehrt. Firmendaten werden ausschliesslich auf einem verschluesseltem USB-Stick gespeichert und nach beendeter Arbeit geloescht.

Auf meiner "Hauptworkstation" (dreckskind) nutze ich eine Verbindung aus tor und Privoxy zum Surfen; Cookies werden prinzipiell erstmal alle abgelehnt, JavaScript komplett verboten und Verbindungen (ftp, http, ..) werden wenn moeglich ebenfalls nur verschluesselt aufgebaut.
Meine privaten Daten (Geburtstag, Wohnort, Telefonnummer, Alter, ..) gebe ich nur wenn unbedingt noetig an und Datensammeldienste wie Facebook, Last.fm und Konsorten erhalten von mir keine Informationen.

Meine Backups werden via OpenSSH und rdiff-backup auf einer ebenfalls verschluesselten Festplatte auf einem anderem Host gespeichert und beim Einspielen eines Backups werden zuvor die Checksums ueberprueft. Optionale Software lade ich ausschliesslich von den Herstellerseiten herunter (und auch dort ueberpruefe ich die Checksum).

Ich habe auch keine "Payback-Karten", surfe nicht in Internetcafés, in denen ich meinen Ausweis vorlegen muss und nehme auch nicht an Umfragen teil. Genauso wenig wie ich keine Zeitungen abonniert habe oder meine Kontodaten/Passwoerter irgendwo notiere oder via Telefon erwaehne.

Ob ich was zu verbergen habe? Ja. Meine Privatsphaere!

Unabhaengiges Landeszentrum für Datenschutz Schleswig-Holstein

(via Kristian)