Category Archives: Allgemeines

Wann, wenn nicht wir* | Sicherheit in selbst-organisierenden Systemen

Wann, wenn nicht wir*” erscheint am 4. September 2019 im Verlag S. Fischer. Das Buch versammelt Fakten über bereits sichtbare Folgen der Klimakrise und ruft zum Handeln auf. Für alle nachvollziehbar, konkret und undogmatisch erklärt es, wie sich das Rebellieren organisieren lässt: Von der gewaltfreien Kommunikation über das Errichten von Straßenblockaden und die Vorbereitung anderer Protestaktionen bis hin zum Kochrezept für mehrere hundert Menschen.

Das Handbuch von, zu und für Extinction Rebellion ruft zu massenhaftem gewaltfreien zivilen Ungehorsam gegen die Klimakrise und das Massenaussterben auf. Ich habe einen kurzen Beitrag über sichere digitale Vernetzung beigesteuert:

Sicherheit in selbst-organisierenden Systemen

Neben dem Zusammenkommen in den Aktionen im öffentlichen Raum ist die digitale Kommunikation die Grundlage für unsere Vernetzung und Zusammenarbeit. Das Internet ist das perfekte Werkzeug für Überwachung, Kontrolle und Macht – und gleichzeitig das perfekte Werkzeug für ihr Gegenteil: Dezentrale Vernetzung, Befreiung und soziale Veränderung. Es liegt an uns, das befreiende Potenzial der Dezentralität auszuschöpfen, Ihre Schwächen zu kennen, und uns gegen zentralisierte Überwachung zu schützen.
Aus technischer und sozialer Sicht birgt aber auch die Dezentralität einige Risiken – insbesondere im Digitalen: Die größte technische Gefahr besteht in den massenhaften digitalen Spuren, die wir hinterlassen. Das größte soziale Risiko ist die Unterwanderung.

Continue reading

Lehren aus den Doxing-Angriffen

Nach dem öffentlichen Bekanntwerden konnten Täter und Mittäter hinter den ausführlichen Datenveröffentlichungen im “Doxing-Adventskalender” sehr zügig dingfest gemacht werden. Nun ist es Zeit, daraus die richtigen Lehren zu ziehen.

War das ein Superhack?

Nein. Es ist auch nichts, worauf man stolz sein könnte.

  1. “Nur” 50 der 1.000 betroffenen Personen wurde wirklich gehackt – der Rest der Daten stammte aus diesen illegalen Zugriffen und vermutlich aus weiteren Recherchen.
  2. Das Vorgehen war simpel, hatte keine besondere technische Komponente und
  3. der Täter verstand es nicht, seine Spuren zu verwischen um sich nicht erwischen zu lassen.

Das bedeutet aber auch:

Continue reading

Menschliche Faktoren der IT-Sicherheit

Für die Ausgabe 11/12.2018 von Report Psychologie habe ich einen Beitrag über die menschlichen Faktoren beim Hacking beigesteuert:

Wenn Hacker Menschen hacken

»Unser System ist unhackbar«, hören wir diverse Hersteller von Software oder Hardware immer wieder betonen. Und immer und immer wieder werden sie eines Besseren belehrt, sobald Fachkundige mit gutartiger oder bösartiger Motivation diese Aussage auf die Probe stellen.
Wie aber funktioniert eigentlich dieses Hacken? In der Breite der Gesellschaft herrscht über diese Frage eine ausgeprägte Unkenntnis, in deren Schatten sich allerlei mythische Theorien breitmachen…

Ein PDF des Artikels gibt es hier zum Download.

Have you been wp-gdpr-compliance’d?

An ugly vulnerabilty in the wordpress plugin wp-gdpr-compliance was recently discovered and reported by Mikey Veenstra of wordfence. Please read his very comprehensive write-up of the vulnerability and its IOC right after updating to the latest version to be safe.

Since I was also using the plugin, this vulnerability was giving me a headache today. Based on wordfences report, I wrote a quick and dirty shellscript to search for indicators of compromise on the various wordpress hosts I am sadly administrating. As usual, please do not run the script without thouroughly checking und understanding what it does. You will likely need to modify constants and paths.

Also, please make sure you stay up to date and on top of things while other researchers discover more indicators of compromise and develop better detection techniques. Continue reading

Austellungseröffnung “Wahlcomputer” im Heinz-Nixdorf-Forum

Im Heinz-Nixdorf-Forum zu Paderborn wurde heute die Ausstellung “Helfer oder Fälscher – Computer im Wahleinsatz” eröffnet.

Zu diesem Auftakt habe ich keinen kurzen Vortrag über Wahlcomputer gehalten, in dem ich (hoffentlich) leicht verständlich gemacht habe, warum der Einsatz von Computern als Wahlgeräte eine ziemlich dumme Idee ist.

Abschließend nehme ich noch kurzen Bezug auf verbleibende Sorgen, wie DER RUSSE(TM) die Bundestagswahl 2017 – laut BSI – hacken könnte.

Eine Aufzeichnung gibt es hier, bei Vimeo und auch bei Youtube.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Sendung mit dem Chaos: Samsung S8 Iris Scanner

starbug hat mal wieder einen Biometrie-Sensor überlistet.
Dabei kam dieses kleine Video heraus. (Ich hatte die Ehre, Kamera, Schnitt und Ton zu machen 😉

Das Video haben wir bei media.ccc.de veröffentlicht.

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Sachverständigenauskunft zum Entwurf eines Gesetzes zur Modernisierung des Besteuerungsverfahrens

Einsatz von Risikomanagement-Systemen im Vollzug des SteuerrechtsIm Finanzausschuss wird heute unter anderem der Einsatz von Risikomanagement-Systemen im Vollzug des Steuerrechts diskutiert.
Auf Einladung der Grünen Bundestagsfraktion vertrete ich dabei den Chaos Computer Club als Sachverständiger.

Meine schriftliche Stellungnahme findet sich hier: Einsatz von Risikomanagement-Systemen im Vollzug des Steuerrechts.

Weitere Stellungnahmen finden sich auf den Seiten des Bundestags.

Update: Eine Aufzeichnung der Anhörung findet sich auf den Seiten des Bundestags, sowie hier als Backup:

Anhörung zu dem Gesetzentwurf der Bundesregierung "Entwurf eines Gesetzes zur Modernisierung des Besteuerungsverfahrens" from Linuzifer on Vimeo.

IT-Sicherheitsgesetz im irights-Jahresrückblick “Das Netz 2014”

Im gerade erschienenen netzpolitischen Jahresrückblick “Das Netz 2014” von irights findet sich ein kleiner Artikel von mir zum geplanten IT-Sicherheitsgesetz.

Welchen Sinn macht die Einführung staatlicher Sicherheitsgesetze zur Bekämpfung von Sicherheitslücken und Massenüberwachung, wenn sie es der Regierung erlauben, Überwachungsmechanismen sogar noch zu erweitern?

Im November hatte ich zu dem Thema auch einen Vortrag bei der Deepsec 2014 gehalten, der bisher leider nicht online verfügbar ist. Beim 31C3 werde ich sicherlich auch noch ein paar kurze Worte dazu verlieren.

Den Artikel gibt es hier online zu lesen, das Heft hier zu bestellen.

Zu Kollisionen in Hashfunktionen und dem (Un)sinn, sie zur Suche zu verwenden.

Heute habe ich im Logbuch Netzpolitik eine kurze Einführung gegeben, was kryptografische Hashfunktionen sind, und welchen Zweck sie bei der Integritätsprüfung von Dateien erfüllen. Dabei kam ich auch auf Kollisionen zu sprechen, den Fall, dass 2 Dateien einen gleichen Hash haben.

Per Twitter fragte mich gerade @LucasF:

Im Bezug auf LNP, müsste es nicht theoretisch unendlich viele Dateien mit gleichem Hashwert geben, und nicht nur zwei?

Die kurze Antwort:

Theoretisch ja, aber wenn
nDateien -> ∞ und
Dateigröße -> ∞,
dann brauchst du immer noch
t -> ∞
um gezielt Dateien mit gleichem Hash, also eine Kollision zu finden / zu konstruieren.

Das ist nämlich der Sinn von Hashfunktionen, die zum Beispiel bei PGP-Emailsignaturen zum Einsatz kommen: Es soll dem Angreifer unmöglich sein, eine Nachricht zu konstruieren, die den gleichen Hash produziert, dabei aber immer noch sinnvoll überzeugend ist, um beim Empfänger kein Misstrauen zu wecken. Gleiches gilt bei der Datei-Integritätsprüfung bei Software-Downloads: Es ist eine Sache, evtl. eine kollidierende Datei mit gleichem Hash zu konstruieren, aber ungleich schwieriger, dafür zu sorgen, dass diese dann auch eine ausführbare, (schadhafte) Datei ist.

Das gilt aber nur so lange, wie die Hashfunktion “ideal” ist, deshalb gibt es hier

Die lange Antwort:

Eine gute Hashfunktion zum Generieren von Datei-Fingerabdrücken muss folgende Anforderungen erfüllen:  Continue reading

Patch: Urgent security fixes for Nextgen Gallery Public Uploader

The NextGen Public Uploader Plugin for WordPress allows users to upload images to the server. Of course, these are supposed to be moderated before publication. However, the moderation queue has grave security issues, as I had to learn the tough way:

Uploaded files are saved in /wp-content/gallery/galleryname/ or a similar path, which the malevolent user can easily find out by looking at the moderated & published images’ path. Unfortunately, this is a public directory, and no measures are taken to prevent the uploaded images to be distributed by the web server.

As the uploader knows the filename, they know the file’s complete URL under which the web server will be happy to serve files regardless of their moderation status. You can see where it goes from there. Think twitter or anonymous image boards.

I have written a quick patch that adds a random hash to the filename in order to prevent the uploader from bypassing moderation.

ngg-random-hash.patch can be downloaded here (applies to current version 1.6.).
Alternatively, you can just replace your /wp-content/plugins/nextgen-public-uploader/inc/class.npu_uploader.php with this version.

ATTENTION: This is only a quick fix. The following issues should be addressed additionally before I would even consider activating the plugin:

  1. The plugin should automatically make sure that there is an empty index.html file in the upload directory to prevent directory listing on poorly configured servers.
  2. The chmod-function should be used in oder to actively prevent access to unmoderated content instead of relying on security by obscurity.
  3. Uploader’s IP & timestamp of the upload should be documented in the database in a manner that allows for integration wordpress anti-spam function.

Until these issues are addressed, I have no other choice than to urgently discourage the use of this plugin.

Infos zu Euroweb, Webstyle, Viscomp, Maxclip, Maxworker & European Website Company

Die Firma Euroweb, zu deren Unternehmensgruppe auch die Firmen Webstyle, Viscomp, Maxclip, Maxworker, sowie die  European Website Company gehören, ist regelmäßig in den Medien, weil ihre Kunden sich betrogen fühlen.

Gerade ist das Interesse an der Firma wieder entflammt, weil die Domain des Blogs nerdcore von Euroweb im Rahmen eines Rechtstreits gepfändet wurde. Bei Nerdcore wurde zuvor mehrmals Kritik an der Geschäftspraxis geäußert.

Informationen über die Firmen sind  rar, weil nur wenige Blogger sich noch trauen, darüber zu berichten – und ein nicht vernachlässigbarer Teil der Berichterstatter geäußert hat, schon seine Abmahnung kassiert zu haben oder anders dazu bewogen worden zu sein, die Beiträge zu entfernen. Im Lichte der jüngsten Ereignisse tauchen aber wieder neue Berichte auf, die noch nicht aus dem Netz geklagt worden sind:

Eine große Sammlung an kritischen Schriften gibt es bei konsumer.info.

Hier findet sich ein nicht verifizierter Insider-Bericht einer anonymen Person, die sich als ehemaliger Vertreter für die Firma ausgibt. Und hier apelliert Robert Basic an den gesunden Menschenverstand der Kunden. Beides sehr lesenswert.

Vorsicht bleibt geboten:  Was zu gut klingt, um wahr zu sein, ist nach Vertragsunterzeichnung zu wahr, um gut zu sein.

CC-Video: Der digitale Briefumschlag

John F. Nebel und ich haben uns ohne jegliche filmerische Erfahrung daran begeben, ein kleines Lehrvideo zu basteln, das das Prinzip von Email-Verschlüsselung erklären soll. Wir hoffen, damit unseren Beitrag zur Verbreitung von GPG leisten zu können.

Dank der Erstveröffentlichung auf Netzpolitik.org hat das Video in wenigen Stunden sehr viel mehr Click erlangt, als wir es uns erhofft hatten. Jetzt muss die Crypto-Charme-Offensive weitergehen. Wie einige Leser in den Kommentaren bemerken: Das Crypto-Setup ist immer noch zu kompliziert für den Massenmarkt. Das soll sich ändern. Ich pflege ja schon seit einiger Zeit hier die GPG easy install scripts, jedoch muss ich mir wohl eingestehen, dass shellscripts vielleicht nicht die Idealvorstellung von Nichtnerds in Sachen Usability sind.

Deshalb hier unser Aufruf an die Communities und an begabte Hacker, die uns helfen wollen: Das Ziel soll kein anderes als one-click-install inkl. Key-Generation, Plugin-Installationen, Upload der Keys auf den Keyserver, Backup der Keys usw. sein. Für alle Plattformen. Dazu brauchen wir natürlich auch noch viel, viel mehr Propaganda.

Also, meldet euch bei uns, wenn ihr Lust habt, irgendwas beizusteuern. Crypto is sexylf-evident.

Das Video ist unter CC-BY-Lizenz und wir würden uns freuen, wenn ihr helfen würdet, es zu verbessern und zu verbreiten. Große Freude würde es uns auch bereiten, wenn ihr durch eine Übersetzung für die gute Sache der Krypto eintreten wollt. Dazu findet ihr hier die IT-Version. Wir haben zum Beispiel schon einmal eine alemannische Version eingesprochen: