Datenterrorist
42. _

.:: Mal wieder RFID Pass Unsicherheiten ::.

"RFID tags used in two new types of border-crossing documents in the U.S. are vulnerable to snooping and copying, a researcher said on Thursday.
[...]
The information in these tags could be copied on to another, off-the-shelf tag, which might be used to impersonate the legitimate holder of the card if a U.S. Department of Homeland Security agents at the border didn't see the card itself, the researchers said. Another danger is that the tags can be read from as far as 150 feet away in some situations, so criminals could read them without being detected. Although the tags don't contain personal information, they could be used to track a person's movements through ongoing surveillance, they said.

Quelle: IT World

Kommt mir bekannt vor...
Passend dazu:

"Ein Hacker mit dem Pseudonym Bla hat ein Open-Source-Tool namens Crapto1 zum Cracken der Verschlüsselung der Mifare-Classic-RFID-Chips veröffentlicht. Das Archiv enthält neben einer C-Implementierung des verwundbaren Crypto1-Algorithmus auch den C-Code eines Angriffs, den niederländische Sicherheitsforscher der Radboud-Universität in einem Paper beschrieben haben. Mit Hilfe des Tools soll es möglich sein, innerhalb von rund zwei Sekunden den Zugriffsschlüssel einer Mifare-Classic-Karte zu errechnen."
Quelle: Heise
28.10.08 11:33:27 - balle - No comments - Politik


.:: BVerfG prüft Zulassung von Wahlcomputern ::.

"Ist der Einsatz von Wahlcomputern zulässig? Diese Frage prüft von heute an das Bundesverfassungsgericht. Zwei Wähler beanstandeten bei der Bundestagswahl 2005 Sicherheitsmängel. Auch Experten schließen Manipulationen nicht aus.
[...]
Rund 1.800 Wahlcomputer verrichten heutzutage in bundesdeutschen Gemeinden ihre umstrittenen Dienste. Schon bei der letzten Landtagswahl in Hessen hatten die allseits anerkannten Sicherheitsspezialisten des Chaos-Computerclubs vorgeführt, wie die Wahlcomputer der Firma Nedap manipuliert werden können. Elmar Lecher vom Chaos Computerclub erklärt, wie das möglich war. "Man kann zum Beispiel das Programm, was auf diesem Computer läuft, austauschen. Das haben wir bereits in den Niederlanden getan. Dort haben wir es gegen einen Schachcomputer ausgetauscht. Man kann das Programm allerdings auch so modifizieren, dass es zum Beispiel jede zehnte oder jede 15. oder jede 20. Stimme für Partei A zur Partei B zählt. Und der dritte Punkt ist, dass Manipulationen an diesem Gerät nur sehr schwer bis gar nicht feststellbar sind", so der Experte."

Quelle: Tagesschau
28.10.08 11:28:17 - balle - 1 comment - Politik


.:: Gesprächssituation #9 ::.

Okinal nordisch Pottkasting über Wäbbsischerheit - Klappe die Zweite



Während sich die Flasche Berliner (Fnord! Merdinger) Spätburgunder weiter leert, philosophieren zwei Chaoten im hohen Norden über Websicherheit im Zeitalter von Web 2.0. Themen sind Javascript und Google Hacks, Web Fuzzing, Drive by Downloads, DNS Rebinding, Information Gathering sowie Sicherheitsmaßnahmen. Natürlich wie immer garniert mit fröhlicher, freier Musik.
Wohl bekommt's && viel Spass beim Hören!

P.S
Zum Sinn oder Unsinn des Hacker Paragraphen: Dieser Podcast dient dazu das eigene Internet sowie die eigene Webseite auf Sicherheitschwankungen zu prüfen.

Download MP3
RSS Feed

Show Notes:
XSS Proxy
Hacking Intranet Websites from the Outside
Javascript Portscanner
Webfuzzer
Mangleme
Web 2.0 Hacks
Google Hacking Database
DNS Rebinding
Evilgrade
Metagoofil
ikat
NoScript Plugin
mod_security

Musik:
Brad sucks - Borderline
Bufi - Homeless Hero
Superswitch - Rush
Brad sucks - Out of it
27.10.08 21:40:44 - balle - No comments - Mucke


.:: Gesprächssituation #8 ::.



Was braucht man um zwei Gesprächssituationen an einem Wochende aufzunehmen? Ganz einfach: Ein Zugticket von Freiburg nach Hamburg, ein Balle, ein Marcel, sowie eine Flasche Berliner Spätgurgunder (oder war es eigentlich Merdiner Spätburgunder? Fnord!)

In dieser Gesprächssituation befassen wir uns mit dem Thema Websicherheit von 2001 bis heute. Auf Grund der thematischen Größe wurde das Thema in zwei Folgen gesplittet. Gesprächssituation #8 behandelt den nostalgischen Einstieg von 2001 bis zum Beginn des Web 2.0. Wir beschreiben den Wechsel der Angriffsziele vom Server zum Client, sowie Techniken, Tools, Groups und Links.

Zum Sinn oder Unsinn des Hacker Paragraphen: Dieser Podcast dient dazu um das eigene Internet sowie die eigene Webseite auf Sicherheitschwankungen zu prüfen.

Viel Spaß beim hören wünschen,
Basti & Marcel

Download .MP3 (1:17:51 Min.)
Mirror
RSS Feed

Show Notes:
OWASP - Open Web Application Security Project
Nikto
Fravia
Google Hacking Database
DS 80 Artikel über SQL Injection
SqlMap
SqlNinja
Latest trends in Oracle Security
WebAppSec Plugin für Firefox
Paros Proxy
WebScarab
Burp Proxy
Ajax Security

Bücher:
Sicherheitsrisiko Webanwendung
The Web Application Hacker's Handbook

Musik:
Street spirit - Then I fly
Mindthing - Cyberdreams
The Phase - Fallen
Projekt Klangform - Bedrock

14.10.08 11:47:39 - balle - 1 comment - Mucke


.:: Zehntausende demonstrieren für Freiheit ::.


Quelle: Indymedia

"Bei strahlendem Sonnenschein demonstrierten am heutigen Samstag mehrere zehntausend Menschen für "Freiheit statt Angst" und gegen den "Überwachungswahn" in Staat sowie Wirtschaft. Die Veranstalter vom Arbeitskreis Vorratsdatenspeicherung sprechen mittlerweile von rund 100.000 Teilnehmern; die Polizei hatte zunächst mit 30.000 gerechnet.
Die bislang hierzulande wohl größte Protestkundgebung für den Datenschutz und gegen "Big Brother" gestaltete sich als buntes politisches Signal und Freiheitsparade mit Musikwägen. Bis zur Abschlusskundgebung am Brandenburger Tor verlief die Veranstaltung friedlich. Die mit 900 Einsatzkräften präsente Polizei und Demonstranten hielten sich im Unterschied zur Großdemo mit rund 15.000 Teilnehmern vor einem Jahr beidseitig mit Provokationen zurück, auch wenn ein Sicherheitsbeamter deutlich sichtbar von Anfang an eine Videokamera auf die Menge hielt."

Quelle: Heise
Weitere Berichte auf Tagesschau, Zeit, Spiegel, TAZ, Golem, Indymedia, Netzpolitik und natürlich AK Vorratsdatenspeicherung
12.10.08 15:26:00 - balle - No comments - Stasi 2.0


.:: 30 Millionen Kundendaten les- und manipulierbar ::.

"In einer gewaltigen Hauruck-Aktion schloss die Telekom die gefährliche Sicherheitslücke in der Nacht von Donnerstag auf Freitag - nachdem der SPIEGEL den Konzern mit seinen Recherchen konfrontiert hatte. Demnach konnten zuvor die sensiblen Daten von über 30 Millionen Handy-Kunden inklusive deren Bankdaten ohne großen Aufwand von jedem beliebigen Internet-Rechner in der ganzen Welt abgerufen und sogar manipuliert werden.
Einige wenige Benutzerangaben und ein simples Passwort genügten. Diese sensiblen Zugangscodes haben nicht nur unzählige Mitarbeiter in den T-Punkt-Läden, sie kursieren auch in entsprechenden Hacker-Kreisen."

Quelle: Spiegel

Ähm Entschuldigung? Verstehe ich das richtig man braucht quasi nur nen Passwort, um sich in die gesamte Kundendatenbank von T-Mobile einzuloggen? Es gibt keine Firewall? Kein VPN? Keine sicheren Passwörter? Ja nicht mal eine Überprüfung der IP?
Das erinnert doch direkt an den CCC T-Hack, bei dem wir ebenfalls gesehen haben, dass die Telekom nicht mal billigste Basics in Sachen Security einhält. Folgen?
12.10.08 11:54:49 - balle - 1 comment - Datenschlampen


.:: Sichere E-Mail für alle! ::.

"Den Gefahren des Internets will Innenminister Schäuble mit einem eigenen, sicheren E-Mail-Dienst entgegentreten: De-Mail. Für Bundesbürger gibt es die De-Mail-Adressen nur gegen Meldedaten: etwa via Post-Ident-Verfahren.
[...]
Wieso tritt ausgerechnet die mit Lauschangriffen in die Kritik geratene Deutsche Telekom als Industriepartner auf?"

Quelle: Spiegel

Aha Herr Wolfgang "Bundestrojaner" Schäuble und die Firma, die in letzter Zeit u.a. 17 Millionen Kundendatensätze verloren hat, es nicht für nötig hielt die Betroffenen zu informieren und es nun doch mal geschafft hat über eine konzernweite Sicherheits- und Datenschutzpolitik nach zu denken machen jetzt also sichere E-Mail Kommunikation.
Ja dann kann ja nix mehr schief gehen.
10.10.08 18:11:19 - balle - No comments - Stasi 2.0


.:: Wie Kaiser Wilhelm im dritten Reich ::.

"Wir wollen sie weder mit noch ohne Bordkanonen im Inland eingesetzt sehen. Wir wollen nicht, dass unser Leben und unsere Rechte vom Verstand und der Nervenkraft des Verteidigungsministers und seiner Berater abhängen. Wir wollen, dass Bund und Länder ihre Polizeien so ausrüsten und ausbilden, dass die Bundesregierung nicht meint, sie müsste gegen ihre Bürger den Krieg ausrufen. Kaiser Wilhelm konnte das. Aber wir sind keine Untertanen, sondern Bürger, die ihre Verfassung verteidigen wollen."
Quelle: Burkhard Hirsch

Und wir wollen auch keine Polizei, die mit dem Geheimdienst im Zentrum zur Terrorismusabwehr zusammenarbeitet oder mit dem neuen BKA Gesetz selbst geheimdienstliche Kompetenzen bekommen soll. Das hatten wir nämlich schon im dritten Reich.
Gegen Soldaten auf den Strassen!
10.10.08 12:14:02 - balle - No comments - Stasi 2.0


.:: iPhone VS Privatsphäre ::.

"Das iPhone enthält viele der üblichen Daten, wie man sie auf einem mobilen Gerät erwarten würde – SMS-Botschaften, Kontakte, E-Mails und so weiter. Hinzu kommt allerdings, dass das Handy auch ungewöhnlichere Informationen speichert. Dazu gehört ein Zwischenspeicher (Cache), der Sätze, Passwörter und Formulardaten enthält, die man in den Browser oder andere Anwendungen eingetippt hat, Bildschirmfotos der letzten paar dutzend Zustände jeder Anwendung, wenn man den "Home"-Knopf drückt, GPS-Informationen, aufgerufene Google-Maps-Karten, Suchanfragen und einiges mehr."
Quelle: Technology Review
10.10.08 11:44:54 - balle - 2 comments - News


.:: Wahlcomputer sind schlecht, weil... ::.

...sie sind nicht nur gutachterlich belegt leicht manipulierbar, untransparent und damit undemokratisch, durch Viren angreifbar und rechnen falsch nein sie wirken sich auch noch negativ auf die Wahlbeteiligung aus:

"Bei den Kommunalwahlen am 28. September in Brandenburg sind in Gemeinden, in denen Wahlcomputer eingesetzt wurden, meist weniger Bürger zur Wahl gegangen als in den übrigen Städten und Gemeinden. "Wie schon bei den Landtagswahlen in Hessen hat sich der Einsatz von Wahlcomputern ungünstig auf die Wahlbeteiligung ausgewirkt", meint der Frankfurter Physiker und Software-Spezialist Ulrich Wiesner in einer Analyse der Ergebnisse. Er ist einer der Beschwerdeführer in den Wahlprüfungsverfahren gegen den Einsatz der Nedap-Geräte zur elektronischen Stimmerfassung und -zählung bei der Bundestagswahl 2005, das Ende des Monats beim Bundesverfassungsgericht in Karlsruhe zur mündlichen Verhandlung ansteht."
08.10.08 17:09:28 - balle - No comments - Politik


.:: Google Alktest ::.

Google stellt für seinen E-Mail Dienst einen "Alktest" zur Verfügung. Damit kann man Zeiten einstellen, in denen es vorkommen kann, das man nicht ganz zurechnungsfähig ist und Google wird einen daraufhin vor dem Abschicken einer Mail 5 einfache Matheaufgaben stellen, die man in 60 Sekunden lösen muss, sowas wie 60 : 5 mmm ääääh 23 prost ^^
Quelle: gmailblog.blogspot.com
08.10.08 17:05:00 - balle - 2 comments - News


.:: Datenpanne - Diesmal: Polizeiliche Handyrufnummern ::.

"Jetzt hat auch die Gewerkschaft der Polizei (GdP) ihre Datenschutzaffäre: Im Internet sind die Namen und Handynummern von 13.500 Polizisten aufgetaucht, denen die Gewerkschaft einen Mobilfunkvertrag vermittelt hatte. Die Liste enthält außerdem Angaben darüber, wo jeder der Beamten arbeitet - also zum Beispiel im Landeskriminalamt oder in der Polizeidirektion 3.
[...]
Damit die Mitglieder ihre Nummern nachschlagen können, gibt es auf der Gewerkschafts-Webseite in einem passwortgeschützten Bereich eine Liste mit Namen und Handynummern aller Teilnehmer. Diese Liste ist nun frei zugänglich und ohne Passwortschutz im Internet aufgetaucht."

Quelle: TAZ
07.10.08 00:18:23 - balle - No comments - Datenschlampen


.:: Fotos vom Geheimdienst ::.

"An unnamed 28-year-old delivery man from Hemel Hempstead bought a Nikon Coolpix camera for £17 on eBay. But when he returned from his holiday and downloaded the contents of the camera he found pictures of rocket launchers, log-in details for the Secret Service's encrypted remote computer network marked Top Secret and a hand-drawn diagram linking different, named al-Qaeda cells including individual names and occupations.

There were also details on Abdul al-Hadi al-Iraqi - a 46-year-old captured by the CIA in 2007 and currently in Guantanamo Bay.

The man went to Hemel Hempstead Police Station but the situation was treated as a joke, declared the Sun."

Quelle: The Register
06.10.08 10:37:18 - balle - No comments - Datenschlampen


.:: ePassport gehackt ::.

"Elvis Presley lebt. Dies glaubt zumindest das elektronische Passprüfsystem auf dem Amsterdamer Flughafen Schiphol. Der niederländische Sicherheitsexperte Jeroen van Beek programmierte einen Chip für einen sogenannten ePassport auf den Namen des 1977 verstorbenen Stars - samt Elvis-Porträtfoto mit Schmalzlocke - und wurde damit problemlos vom Computer der neuen Selbstbedienungs-Passkontrolle des Flughafens Schiphol akzeptiert."
Quelle: Sueddeutsche

Nun soweit ich das verstanden habe brauch man für solch einen Test Hardware für einmalig 150-250 Euro, eine Smartcard kostet 25 Euro und das ganze funktioniert weil alle Sicherheitsfeatures optional sind: Verschlüsselung brauch man nicht und selbstsignieren darf man den Ausweis auch. Nachzulesen unter freeworld.thc.org/thc-epassport/.
05.10.08 17:39:44 - balle - No comments - Hacking


.:: FBI: Überwachung ohne Verdacht per Gesetz ::.

"Ermittler in den USA können die Bevölkerung künftig noch intensiver kontrollieren als bisher. Dank neuer Richtlinien dürfen Beamte des FBI künftig ohne konkreten Verdacht und ohne Erlaubnis des Vorgesetzten Menschen überwachen und befragen. Kritiker befürchten "politische Hexenjagden"."
Quelle: Spiegel
05.10.08 17:23:00 - balle - No comments - Stasi 2.0


.:: Iron - Chrome mit Privatsphäre ::.

"Googles Web-Browser Chrome begeistert mit einem extrem schnellen Webseitenaufbau, einem schlanken Design und einfallsreichen Funktionen. Die Datenschützer üben allerdings auch Kritik, etwa wegen der Erstellung einer eindeutigen Nutzer-ID oder der Übermittlung von Eingaben an Google zur Generierung von Suchvorschlägen. SRWare Iron ist eine echte Alternative. Der Browser basiert auf dem Chromium-Quelltext und bietet so die gleichen Grundfunktionen wie Chrome - allerdings ohne die kritisierten Punkte, die den Datenschutz betreffen."
Click
05.10.08 17:10:14 - balle - No comments - Software


.:: Jede zweite Handynummer geklaut ::.

Nur der Vollständigkeit halber, wahrscheinlich hat's eh schon jeder in den Nachrichten gehört:

"Bei der Deutschen Telekom hat sich ein Datenklau ungeheuren Ausmaßes ereignet: Mehr als 17 Millionen Kundendaten mit privaten Angaben wie Adressen, Geburtsdaten und Handy-Nummern wurden in der Mobilfunksparte T-Mobile gestohlen, wie Telekom-Sprecher Frank Domagala am Samstag der Nachrichtenagentur AFP in Bonn sagte. Davon seien auch Prominente betroffen.
[...]
Auf dem Datenträger finden sich dem Magazin zufolge nicht nur Daten vieler Prominenter aus Kultur und Gesellschaft wie Hape Kerkeling oder Günther Jauch, sondern auch eine große Anzahl geheimer Nummern und Privatadressen von bekannten Politikern, Ministern, Ex-Bundespräsidenten, Wirtschaftsführern, Milliardären und Glaubensvertretern, für die eine Verbreitung ihrer Kontaktdaten in kriminellen Kreisen eine Bedrohung ihrer Sicherheit darstellen würde. Daher sei auch das Kanzleramt informiert worden.
[...]
Die Daten wurden laut Telekom bereits 2006 gestohlen. Der Konzern habe den Vorfall damals bei den zuständigen Staatsanwaltschaften angezeigt."

Quelle: Sueddeutsche

Nur einer von viel zu vielen "kleinen" Skandalen in letzter Zeit. Ich frage mich nur wieso man erst nach zwei Jahren davon erfährt...
05.10.08 15:52:36 - balle - No comments - Datenschlampen


.:: Blinkenlights goes Toronto ::.



Zur Projektseite oder einfach mal live kucken

04.10.08 18:52:00 - balle - No comments - CCC


.:: Ab ins All? ::.

"Der Weltraum rückt näher. "In den kommenden 15 bis 20 Jahren werden die meisten Menschen die Gelegenheit haben, ins All zu reisen", prophezeite George T. Whitesides, Direktor der National Space Society. Als Berater der Firma Virgin Galactic, die ab 2009 oder 2010 suborbitale Flüge an den Rand des Weltraums anbieten will, ist er dicht an der Kommerzialisierung der bemannten Raumfahrt dran."
Quelle: Heise

Ich weiss zwar nicht wo der Rand vom Weltraum ist, aber des hört sich gut an :)
04.10.08 18:45:00 - balle - 1 comment - Space


.:: Was auf die Ohren ::.

Heute mal etwas chilliger :)

"DJ 4Tech from Russia takes us on a groovy Night Trip with his new netlabel mix on Sonic Walker, featuring house tracks from labels such as Audioexit and This Side Music."
Click
04.10.08 14:17:00 - balle - No comments - Mucke