ScusiBlog

background emmission of scusi

Jul 24, 2008 - 2 minute read - IT-Security Kommentar

Captain Obvious als Praktikant beim LKA Sachsen-Anhalt

heise.de brichtet heute: “Sachsen-Anhalts LKA-Chef warnt vor zunehmender Internetkriminalität".

Die immer stärkere Vernetzung der Gesellschaft mittels Internet berge ein erhebliches Gefahrenpotenzial für Wirtschaft, Verwaltung und jeden einzelnen Bürger, sagte LKA-Direktor Jürgen Schmökel in einem Gespräch mit dpa.

Ach echt Herr Schmökel, is ja nen Ding. Ich wußte gar nicht das Captain Obvious nun bei ihnen im Hause als Praktikant arbeitet. Scheint sich ja zu lohnen bei den Erkentnissen, bahnbrechend, wirklich.

Ferner heißt es:

Das LKA rät Computerbesitzern dringend, ihre Geräte gegen Angriffe von außen ausreichend zu schützen, etwa indem sie ihre Betriebssysteme auf neuestem Stand halten und Anti-Viren-Software ebenso installieren wie eine Fire- Wall, die unerwünschte Besucher abhält.

Also ich empfehle auch den eigenen Rechner vor Angriffen von außen zu schützen, nicht nur gegen Angriffe von gewöhnlichen Kriminellen sondern vor allem auch gegen die Angriffe unserer Junta - Stichwort Bundestrojaner. In diesem Zuge kann ich nur eine komplett Verschlüsselung des Rechners vorschlagen, z.B. mit TrueCrypt (Mac,Win,Linux), mit LUKS (Linux) oder GELI oder GEOM/BDE (BSD).

Von einem Antivirus Programm würde ich eher abraten, lieber ein richtiges Betriebssystem welches richtig zugezogen ist (hardening). Diese ganze Anti-Viren Sache funktioniert nicht wirklich und es ist einfacher mit AV hops genommen zu werden als ohne. Aber die Erkenntnis scheint beim LKA Sachsen-Anhalt noch nicht angekommen zu sein. Vollprofis eben….

Jul 17, 2008 - 4 minute read - Erfahrungen

Unsicherheit mit dem Sparkonto (Update)

Ich hab, neben meinem Girokonto auch noch ein gutes altes Sparbuch. Naja inzwischen ist das kein Sparbuch mehr sondern ein Sparkonto, im Prinzip das gleiche, nur das kleine schicke Büchlein gibt es nicht mehr. Dafür hat mir meine Bank eine Karte und eine dazugehörige PIN gegeben. Alles gut soweit dachte ich…

Ich hab mich lange Zeit nicht um meine Sparkonto gekümmert, da ist immer mal ein bisschen Geld drauf gegangen, und das gammelte dann da vor sich hin. Bis ich vor zwei Tagen dann mal bei der Bank war um Geld von meinem Sparkonto auf mein Girokonto zu überweisen. Ich hab also die Karte für das Sparkonto mitgenommen bin zur Bank und wollte ca. 3500 Euro überweisen.

Die Schalterfrau fragte wo denn mein Sparauszug sei? Ich sah sie fragend an, was für ein Auszug? Sie wollte den aktuellen Kontoauszug meines Sparkontos sehen. Ich sagte den hätte ich nicht dabei und ob sie nicht in ihrem Computer sehen könnte wieviel Geld da so drauf ist. “Doch, doch…” versicherte Sie, “aber ich brauche den Zettel (Kontoauszug) um die Buchung vornehmen zu können, sozusagen als Beweis, das sie der Inhaber des Kontos sind.” Ich antwortete: “Gute Frau aber ich hab doch hier meine Karte und ich weiß auch die richtige PIN dazu!". “Nein Tut mir leid.” meinte die Frau am Schalter ich brauch diesen Auszug. Woraufhin sie mir vorschlug doch schnell einen im Vorraum am Automaten zu holen mit der Karte und der PIN. Also gut, dachte ich mir, dann machst du das halt mal.

Also bin ich an den Automaten hab mir mein Auszug geholt, und bin mit dem Blatt wieder zum Schalter. Daraufhin nahm die Frau den Auszug, fragte nochmal nach dem Betrag, hielt mir ein Blatt zum Unterschreiben hin, ich unterschrieb und das war es. Geld ist überwiesen.

Moment mal, hab ich das richtig mitbekommen? Ich hab eine zwei Faktor Authentisierung für mein Konto. Faktor 1: Besitz der Karte, Faktor 2: Wissen um die richtige PIN für die Karte. Damit authentisiere ich mich normalerweise gegenüber der Bank als legitimer Kontoinhaber. Bei meinem Sparkonto ist das auch so, wenn ich 10 Euro davon am Automaten abhebe. Wenn ich aber 3500 Euro am Schalter überweise, dann brauche ich keine Karte und keine PIN, dann brauche ich lediglich ein Stück Papier, was so aussieht als ob es aus einem Kontoauszugsdrucker stammt.

Ist doch irgendwie verrückt, oder ?

Ich hab die Frau am Schalter meiner Bank dann noch gleich gefragt woher sie denn wüsste das das Blatt aus ihrem Automaten kommt. Sie sagte sie könne ja auf ihrem Monitor sehen, das ich gerade eines geholt hätte. Ja, aber woher wissen sie das das Blatt welches ich ihnen gerade gereicht habe auch das ist welches aus dem Drucker gekommen ist? fragte ich zurück.

Ähm, betretenes Schweigen,… das merke ich am Papier! Sagte die Schalterfrau.

Aha, am Papier, nee klar. Das ist einfach nur gestrichenes Papier, ansonsten völlig normal, hat kein Wasserzeichen, keine fluoreszierenden Einschlüsse, einfach stink normales gestrichenes Papier, ca. 80 g/m².

Ich hab jetzt mal an meine Bank geschrieben und darum gebeten mir das mal zu erklären. Bin gespannt ob die sich melden, und vor allem was sie sagen. Ich hatte das schon telefonisch an der Hotline versucht, aber die waren so was von unfähig, die wussten gar nichts, ein Wunder das die überhaupt den Namen der Bank wussten.

Update: Inzwischen hat mich ein Sachbearbeiter der Bank zurückgerufen. Ich hatte meine Bank gefragt, wer denn eigentlich dafür haftet wenn mein Sparkonto mit einer Unterschrift und einem Zettel abgeräumt wird. Ratet mal, richtig ich hafte dafür, nicht die Bank. Na dann kann man das ja machen, wiso überhaupt unterschreiben?…. ist doch dem Kunden sein Problem.

Der Sachbearbeiter hat mir recht gegeben, daß die Bank keinerlei Möglichkeit hat die Echtheit solch eines Ausdruckes (der Sparurkunde wie es offiziell heißt) nach zu prüfen. Er musste auch zugeben, das solch ein Ausdruck um ein vielfaches einfacher zu fälschen ist als das alte Sparbuch. Aber, das sei ja alles völlig unrealistisch und obendrein noch nie vorgekommen. Außerdem sei das ja Urkundenfälschung, und das sei Strafbar und würde deswegen ja nie jemand machen…., nee klar! Diese Banker leben auch in einer Scheinwelt, das glaubt man gar nicht! Mann, Mann Mann,…. Kopfschüttel

Was soll ich sagen?! Jedes Sicherheitsproblem fängt mit dem Satz an: Aber das würde doch niemand tun…. Oh doch, früher oder später bestimmt!

Jun 20, 2008 - 1 minute read

Lacher des Tages: KPMG hat das Internet nicht verstanden

KPMG eine der großen Consulting Firmen auf dieser Welt hat mit dem Spruch “our professionals’ understanding of client industries and businesses” Werbung für sich. Tja, was immer sie da verstanden haben wollen, das Internet war es sicher nicht.

Unter http://www.kpmg.com/Global/pages/onlinedisclaimer.aspx steht folgendes:

KPMG is obligated to protect its reputation and trademarks and KPMG reserves the right to request removal of any link to our Web site.

Nee, klar! Wenn ihr eure Seite nicht verlinkt haben wollt, warum habt ihr überhaupt eine? Um die Sache nachhaltig zu lösen hätte ich folgenden Gegenvorschlag zur Formulierung:

KPMG is obligated to protect its reputation and trademarks and KPMG reserves the right to shutdown our Web site at any time, without prior notice.

Also liebe KPMG wenn ihr eure Reputation schützen wollt, wäre der erste gute Schritt nicht so laut herum zu krakeelen das ihr die Funktionsweise des Internets nicht verstanden habt. Als zweites würde ich vorschlagen dass ihr eure Webseiten komplett aus dem Netz nehmt, sicher ist sicher und vermutlich stellt das auch den einzigen Weg dar wie ihr euch effektiv schützen könnt.

Siehe auch: Linken verboten!

Jun 9, 2008 - 2 minute read - Kommentar Überwachung

⋅T⋅⋅⋅o t a l s c h a d e n

anders kann man das nicht mehr nennen. Auch nach einer guten Woche eskaliert der Telekom Skandal weiter vor sich hin. Nicht ein Tag vergeht an dem nicht ein neues Unternehmen genannt wird welches direkt in den Skandal involviert oder das gleiche in grün gemacht hat. Inzwischen werden da die DB AG, die Postbank und die Lufthansa genannt. Vodafone hat so was ähnliches in GB laufen gehabt….

Eines wird hier ganz deutlich, der beste und einzige Schutz vor Datenmissbrauch ist die Datensparsamkeit, alles was nicht erhoben wird, kann auch nicht missbraucht werden. Aber davon haben unsere Politiker ja noch nie was gehört. Die verabschieden dauernd Gesetzte in denen das genaue Gegenteil passiert.

Man muss nur mal ganz kurz darüber nachdenken welches Potenzial die Daten welche im Rahmen der Vorratsdatenspeicherung (VDS) erhoben werden in sich bergen. Da kann die Telekom und ihre Stasi-Schnüffelpartner dann auch mal nachsehen wer wann wem welche Email geschickt hat, wohin der kritische Journalist so surft, mit wem er chattet usw….. Ist doch Toll, und da die Anbieter für ihre Dienstleistung den Bedarfsträgern gegenüber auch noch bezahlt werden ist das praktisch umsonst für die Unternehmen. Wir Steuerzahler werden dafür zur Kasse gebeten, dass uns der Staat und die KonzernMafia ala Telekom weiter Bespitzeln können, jetzt noch besser, noch genauer immer und überall.

Hurra, Hurra die Stasi, die ist wieder da.

Euer Überwachungsstaat kotzt mich an!

Linksammlung zum Thema:

Apr 27, 2008 - 2 minute read - Demokratieabbau Kommentar Revolution Überwachung

sensible Datenübermittung in die USA

Im moment beschäftigt sich ja alle Welt und die Mainstream Medien über den neuen Datenaustausch-Regeln mit den USA. Natürlich geschieht und dient das nur zur Terroristen Bekämpfung, na klar - wer’s glaubt.

Also erstmal wird - mal wieder - klar sie wollen ALLES austauschen, Regeln, Datenschutz, Persöhnlichkeitsrechte, und sowas stört dabei nur, und ihr wißt ja -

Wer nicht mit uns ist, ist gegen uns. – G. W. Bush

Was mir ein bisschen kurz kommt bei der ganzen Debatteist folgendes. Hat sich schonmal jemand überlegt, dass man um Daten wie die sexuelle Orientierung, oder eine Mitgliedschaft in einer Gewerkschaft oder einer anderen Organisation weitergeben zu können diese erstmal haben muss.

Ist das schon irgendwem aufgefallen? Heißt das, dass unser Staat eh schon lange Akten über uns führt (wie das der andere deutsche Staat auch so gerne gemacht hat) in welchen solche sensiblen persönlichen Daten und u.U. noch vieles mehr (ich sag nur Geruchs-, DNA- ,…-proben) gespeichert sind?

Also wenn ihr mich fragt liegt das schon nahe. Man redet nicht über Datenaustausch und macht dafür Gesetze und Abkommen wenn man eh weiß das man die Daten gar nicht hat. Das tun sie aber nachweislich (drüber reden und Gesetze und Abkommen verabschieden), für mich heißt dass, sie haben auch die Daten! Ich gehe zumindest mal davon aus.

Wir müssen - glaube ich - nochmal raus und unseren Stasi’s (werden ja immer mehr) die Bude kramen, so wie ‘89, das geht so nicht!

Wo bleibt die Revoltion?