zeidlos.de » Datenkrake

Datenskandal bei haeft.de

Julius — Sat, 05 Dec 2009 04:17:24 +0000

Das ist ja wohl mal der Hammer. haeft.de eine Community für Kinder war offen wie ein Scheunentor. Die Seite wurde nun bis auf weiteres offline genommen.

Hier ein Auszug aus der Pressemeldung von CCC.de:

Jedes Zugangskonto der Kinder soll durch ein Paßwort geschützt sein. Jedoch konnten auch ohne Mühe und ohne Kenntnis dieses Paßwortes alle hinterlegten Daten der Schüler eingesehen werden. Selbst die Administrationskonten der offenkundig ungesicherten Plattform waren frei zugänglich. Somit konnten sämtliche gespeicherten Daten aller Nutzer von jedem nach Belieben eingesehen werden, dem diese Lücke aufgefallen ist. Darüberhinaus konnte sich jeder als ein angemeldetes Kind ausgeben und als dieses in der Community agieren. Dafür machte es haefft.de Neugierigen besonders leicht: Passende und ständig neue Nutzernamen wurden noch vor dem Einloggen auf der Community-Seite per “Grußkarte” offenbart – bereit zum Kopieren und Einfügen in das Anmeldefeld.

Schockierend! Noch etwas detailreicher bringt es Dirk auf den Punkt:

“Die Entwickler bei haefft.de haben sich dabei so ziemlich alle Anfänger-Programmierfehler geleistet.” Die Kennwörter waren nicht wie üblich gehasht, sondern im Klartext gespeichert. Zudem wurden sie mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ. Die Eingabedaten des Benutzers wurden ungefiltert als Befehl an die Datenbank weitergereicht. Marktübliche Techniken zur verschlüsselten Übertragung der Zugangsdaten wie HTTPS scheinen bei haefft.de unbekannt.

Quelle: http://www.ccc.de/de/updates/2009/haefft-datenloch

Hier wurde also eine Plattform betrieben, die auf Kinder, nicht ältere Schüler oder Studenten, sondern Schulkinder ab Grundschulalter ausgerichtet war, bei deren Konzeption und Umsetzung jegliche Grundprinzipien der sicheren Programmierung für Webanwendungen missachtet wurden.

Sehr witzig finde ich die Pressemeldung von haeft.de

Der Geschäftsführer Stefan Klingberg meint:

Im Moment gehe der Verlag davon aus, dass es sich ausschließlich um ein bereits gefixtes potenzielles und noch nicht reales Problem handele

Ein paar Sätze weiter steht:

Unter Hochdruck arbeiten wir derzeit an der Beseitigung der Sicherheitslücken. Ein aktueller Termin, wann die Probleme behoben sein werden, kann im Moment noch nicht gegeben werden.

Wie passt das denn zusammen? “Bereits gefixt” und “Unter Hochdruck arbeiten wir bereits an einer Beseitigung der Sicherheitslücken”? Das Problem scheint ja doch nicht so trivial zu sein, denn sie wissen nicht, wann sie wieder online gehen können.
Quelle: http://presse.haefft.de/?p=401

Wie passt das denn alles zusammen? Für eine Community die es seit 1998 gibt (ich glaube vorher hieß das Ganze funcity.de) ist das aber ein herber Schnitzer. Wurde an dem Code seit dem nix mehr gemacht? Gab es die Lücken etwa seit 1998? Sieht fast so aus. :)

Eigentlich müsste man den Verantwortlichen verbieten weiterhin in diesem Bereich zu arbeiten, und für solche Angebote strengste Kriterien bezüglich Sicherheitsmaßnahmen auferlegen. Das vielgepriesene TÜV-Siegel ist ja, wie wir im Falle Libri gemerkt haben, kein Garant für sichere Anwendungen.

Daher muss meiner Meinung nach der Gesetzgeber sofort einschreiten und mit Hilfe von unabhängigen Experten Routinen und Verfahren austüfteln, wie eine Evaluierung der Sicherheit solcher Portale realisierbar ist. Und zwar so, dass es wirklich was bringt. Sich so ein Siegel beim TÜV zu kaufen sollte nicht ausreichen. :)

Ich hoffe, dass haeft.de nach dem Fixen Ihres Portals externe Pentester und Leute die sich den Code sehr genau angucken einkauft. Alles andere wäre unverantwortlich und gehört bestraft.

Über den Unsinn der Google-Analytics Diskussion

Julius — Sat, 05 Dec 2009 03:15:08 +0000

Google Analytics ist mal wieder in aller Munde. Wer es nicht kennt: Google Analytics ist ein von Google bereitgestellter Service zur Analyse von Webseitenstatistiken.

Um Google Analytics nutzen zu können, baut man einen simplen JavaScript Code in seine Website ein und erhält so ausführliche Seitenstatistiken wie Besuchszahlen, Referrer, Betriebssysteme, Browserkennungen usw. Es ist also ein gutes Mittel um die Reichweite seiner Inhalte zu prüfen und ggf. Verbesserungen in der Struktur seiner Website vornehmen zu können.

Der Knackpunkt der ganzen Diskussion ist die Übermittlung von Personenbezogenen Daten, also in diesem Falle das, was der Besucher freiwillig über sich verrät, nämlich seine IP-Adresse, und die Browseridentifikation an einen Dritten, in diesem Falle Google, stattfindet. Google weiß also wer eure Website besucht. Die Speicherung und Übermittlung solcher Daten an Dritte ist in Deutschland nur nach vorheriger Zustimmung möglich, was beim Einsatz von Google Analytics oder ähnlichen Services nicht praktikabel umsetzbar ist.

Soweit so gut. Die Speicherung und gar Übermittlung von personenbezogenen Daten ist nicht zulässig. – Das finde ich persönlich gar nicht so schlecht. Im Folgenden werde ich kurz darlegen, warum ich die Diskussion trotzdem für unsinnig halte, oder weitergehende Schritte fordere:

Sobald eine Datei von einem Webseitenbesucher bzw. seinem Browser heruntergeladen wird, taucht in den Logfiles des bereitstellenden Webservers ein Eintrag auf, der in der Regel IP-Adresse, Uhrzeit und Browserkennung beeinhaltet. Viele Webserver unterstützen die Funktion, diese Daten vor dem Schreiben ins Logfile zu verstümmeln oder gar komplett zu anonymisieren. Jedoch bieten dies bei weitem nicht alle Anbieter von Webspace an, oder die entsprechenden Admins sehen gar keine Notwendigkeit, dies einzurichten. Der Apache Webserver hat für seine Defaulteinstellung, die Daten komplett im Logfile abzulegen, bereits den BigBrother-Award erhalten. (Auf dieser Website werden die IP-Adressen nur gekürzt im Logfile abgelegt und sind daher zum größten Teil anonymisiert.)

In der Praxis sieht es folgendermaßen aus:

Viele Webseiten anonymisieren ihre Logfiles nicht, weil es entweder niemanden interessiert, oder schlichtweg für den Betreiber nicht möglich ist.

Auf Webseiten werden bewusst Trackingtools eingesetzt um die Analyse des Besucherverhaltens zu ermöglichen. Eines dieser Tools ist Google Analytics.

Websites schalten Werbung. Diese wird von einem Werbeanbieter über deren AdServer geliefert. In diesem Falle bedingt schon allein die Notwendigkeit der Abrechnung und Messung der Reichweite sowie Klickverhalten das Analysieren der IP-Adressen und ggf. das Setzen eines Cookies. (Siehe Cash per Click, Costs per Lead, etc.)

Wichtig ist hierbei, dass die Werbung in der Regel nie auf selbst betriebenen AdServern liegt, sondern von Anbietern wie Doubleclick, Google-Adsense o.ä. geholt wird. Diese Tracken dann auch die Klickzahlen, Leads, usw. Weiterhin verhindern Sie mit diversen Algorithmen, dass der Webseitenbetreiber selbst auf die Werbung klickt, und sich somit Geld ergaunert.
D.h.: Ohne den Einsatz solcher Techniken, die die Übertragung von Personenbezogenen Daten an Dritte implizieren, ist das Schalten von Werbung auf Webseiten, und somit oft der einzige Weg der Monetarisierung von Inhalten, schlichtweg für den Großteil der Webseitenbetreiber nicht möglich.

JavaScript Bibliotheken werden oft von externen Quellen (z.B. Google) eingebunden. Dies verursacht wiederum eine Übermittlung der IP-Adresse usw. an Google

Oft werden gerade große Datenmengen wie Bilder auf externe Dienstleister ausgelagert. Bei jedem Laden der Datei werden auch hier wieder Personenbezogene Daten an Dritte übermittelt. (Flickr, Googles Picasa, Dropbox, etc.)

Beliebt sind auch Widgets (z.B. Twitter, Wetter, Uhrzeit, Börsenkurse o.ä.) die per JavaScript eingebunden werden, sowie Videos per Youtube, Vimeo o.ä. Auch hier liegen die Inhalte wieder auf fremden Servern. Es findet also auch eine Übermittlung personenbezogener Daten an Dritte statt.

Was ist eigentlich mit dem in der deutschen Internetwirtschaft so viel gepriesenen IVW? Dieses Instrument zur Reichweitenmessung ist auf sehr vielen großen Webseiten vertreten. Zitat von IVW.de:

Erfassung von Daten

Sie können unsere Online-Präsentation grundsätzlich ohne Offenlegung Ihrer persönlichen Daten nutzen. Durch das Aufrufen unserer Websites werden auf unseren Servern Daten für Sicherungszwecke gespeichert, wie der Name Ihres Internetserviceproviders, die Website, von der aus Sie uns besuchen, die Websites, die Sie bei uns besuchen und Ihre IP-Adresse. Diese Daten können zu statistischen Zwecken ausgewertet werden, wobei der einzelne Benutzer jedoch anonym bleibt.

Quelle: http://ivw.de/index.php?menuid=1&reporeid=12

Hier findet also auch eine Übermittlung von personenbezogenen Daten statt. #fail?

Fordert man nun ein Verbot von Google Analytics in Deutschland, so müsste man auch das Einbinden von Inhalten verbieten, die nicht auf dem eigenen Webserver und damit unter eigener Kontrolle stehen, verbieten.

Dies würde dem Web wie wir es heutzutage kennen, vieles von dem nehmen, was es ausmacht. Nur richtig große, kommerzielle Webseiten, hätten die Möglichkeit Werbung zu schalten, Videos anzubieten usw. Das ganze (Buzzwordalarm) Web 2.0 wäre dem Untergang geweiht.

Ich persönlich finde es sehr witzig, dass auf Webseiten, die lautstark ein Verbot von Google Analytics fordern, z.T. Werbung geschaltet wird, Youtube Videos eingebunden werden usw. Ein typischer Fall von “Wenn man keine Ahnung hat: Einfach mal Fresse halten.”

GnuPG 1.4.10 für Mac OS X 10.6 und GPGMail

Julius — Wed, 14 Oct 2009 23:15:08 +0000

In einer Meldung vom 2.9. meldet MacGPG, dass Jonas Schnelli den Code von GPGMail auf 10.6 portieren will. Leider wird es zunächst nur eine 32-bit Version geben. Wir können aber auf eine 64-bit Version hoffen.

Zusätzlich soll es in den nächsten Tagen einen Installer für GnuPG 1.4.10 für den Mac geben (MacPGP). Es existiert jedoch schon eine Anleitung, wie man sich GnuPG 1.4.10 auf dem Mac selbst kompilieren kann.

10 mal mehr Terrorverdächtige als Rechtsradikale in Deutschland

Julius — Fri, 24 Jul 2009 09:18:42 +0000

“Ja nee is klar…” dachte ich mir heute morgen. Laut einer Antwort auf eine kleine Anfrage der Fraktion DIE LINKE an den Bundestag (PDF) haben wir in Deutschland ca. 10 mal so viele Menschen in der “Anti-Terror-Datei” haben (13.674) wie in der Datei in der gewaltbereite Rechtsradikale stehen (1.328).

Eine nette Zusammenfassung des Dokuments ist auch auf Heise.de zu finden.

Rettet den Wald…

Julius — Fri, 24 Jul 2009 06:15:54 +0000

Das nenne ich mal kreativ. Kurz, knackig, einprägsam. Sauber!
(via schwarz-weiss.cc)

Nothing to Hide – 25c3 in Berlin

Julius — Sat, 27 Dec 2008 00:23:15 +0000

Jeden Dezember ist es wieder soweit. Berlin, genauer, das BCC am Alexanderplatz in Berlin, wird von Geeks, Nerds, Hackern, Crackern, Freifunkern, Lockpickern und anderen Gestalten gestürmt. Der Chaos Commuication Congress findet wieder statt.

Nothing to hide

so lautet das diesjährige Motto in seiner gewollten Mehrdeutigkeit. Haben wir wirklich nichts zu verbergen? Nichts zu verbergen vom “Vater Staat” der unsere Rechte und Freiheiten immer mehr beschneidet, sich immer mehr Einblicke in unser Privatleben zugesteht? Nichts zu verbergen, vor den vielen Firmen, die im Internet nach unseren Daten fischen? Oder vor den Betreibern der ganzen Bonussysteme wie PayBack und den vielen anderen.

Ist es wirklich in Ordnung, wenn wir unsere Kaufgewohnheiten für einen angeblichen Preiserlass oder Bonuspunkte offen legen, um nur noch besser mit Werbung beworfen werden zu können, oder in Datenbanken zu landen, die unter Umständen verkauft oder illegal weiter kopiert werden.

Muss meine Krankenkasse wirklich wissen, dass ich regelmäßig rauche, nur weil ich nach 1000 Packungen Zigaretten einen Lolli dafür bekomme? – Ich denke nicht.

Nothing to hide, extra ohne Satzzeichen gewählt, soll leicht provokant wirken. Nicht nur mit einem Fragezeichen könnte das Leitwort des 25c3 stehen, sondern auch mit einem Ausrufezeichen. Wir haben nichts mehr zu verstecken, oder besser gesagt, wenig Möglichkeiten dazu.

Das openBeacon Projekt zeigt mal wieder eindrucksvoll, was man allein mit Personentracking für soziale Verflechtungen aufdecken kann. Wer war mit wem wie lange an der gleichen Position. Zufall? Oder häuft sich eine bestimmte Konstellation von Menschen? openBeacon zeigt genau das, wozu der Staat mit der Einführung der Vorratsdatenspeicherung für Telekommunikation, oder besser mit der Speicherung der aktiven Funkzellen und Funkzellen Wechsel über 6 Monate hinweg für Möglichkeiten hat. Mit diesen Daten kann ein Bewegungsprofil erstellt werden, soziale Netzwerke aufgezeigt und möglicherweise auch Gewohnheiten in Erfahrung gebracht werden.

“Ich habe doch nichts zu verbergen, mir ist das egal, was die da beschließen.” – gehört für mich zu den Aussagen, die zu Menschen passt, die unreflektiert alles konsumieren, was ihnen vorgesetzt wird. “Talkshowgucker” könnte man als passendes Schimpfwort verwenden. Aber letztendlich muss soetwas jeder selbst wissen.

Hier auf dem 25c3 herrscht bereits großer Andrang. Alte, vertraute Gesichter laufen einem hier über den Weg, neue, Gesichter lassen sich nun den Nicknamen zuordnen, die man bisher nur aus IRC oder von Mailinglisten kennt.

Bisher hat sich der 25c3 auf jeden Fall gelohnt. Ich werde weiter berichten.

Update: Nationalbibliothek speichert das Internet

Julius — Mon, 03 Nov 2008 17:58:21 +0000

Wie ich bereits hier schrieb, sieht sich die Nationalbibliothek vor der Aufgabe, eine Richtlinie umzusetzen, die die Einreichung von Publikationen im Internet fordert.

Wie Heise nun verlautet, hat sich die Nationalbibliothek erklärt, und die Meldungen der letzten Tage stark eingeschränkt. Hauptsächlich bezöge sich die Richtlinie auf im Internet veröffentlichte Einzelarbeiten wie z.B. Diplom- und Magisterarbeiten, E-Books, Zeitschriften, o.ä.

Diese könnten auch über eine entsprechend eingerichtete oder einzurichtende Schnittstelle übertragen werden. So reiche es in der Regel lediglich Metadaten und URL anzugeben. Die Nationalbibliothek läd sich das Dokument dann selbstständig herunter und nimmt es in den Index auf.

News Seiten, die regelmäßig relevanten Content produzieren, können sich direkt an die Nationalbibliothek wenden, um ein Verfahren und Intervall abzusprechen.

Blog- und Forenbetreiber jedoch brauchen sich erst einmal keine Gedanken machen: “Die Nationalbibliothek geht hier eigeninitativ vor. Wir planen Harvesting-Methoden, die eine automatisierte Sammlung kompletter Website erlauben”, sagt Jockel, Sprecher der Nationalbibliothek. Scheinbar wird dann ein Crawler eingesetzt, der geflaggte Sites regelmäßig abgrast und indexiert.

Wäre wünschenswert, wenn wir damit nicht belästigt werden, und sich unsere geistigen Ergüsse nicht irgendwo als Datenleichen ansammeln. Was passiert z.B. mit Überarbeitungen von Artikeln? Was passiert mit Kommentaren? Werden die Daten auch ausgewertet oder nur angesammelt und archiviert? Haben die noch nie was von RSS gehört?

Fragen über Fragen. :D

Zweimal Wahnsinn hoch 10

Julius — Fri, 24 Oct 2008 12:07:13 +0000

Die 12. Fassung des Rundfunkänderungsstaatsvertrages ist beschlossen worden. Diese wurde u.a. auf Druck von Verlagen und anderen wirtschaftlich orientierten Unternehmen auf den Weg gebracht und schränkt die Berichterstattung der Öffentlich-Rechtlichen im Internet drastisch ein. Ich bin Fernseh- und Radioverweigerer, aber die Inhalte und Informationen der Öffentlich-Rechtlichen war mir die GEZ Gebühr für mein “neumodisches Rundfunkgerät” wert. Die Tagesschau als Stream, auch Rückwirkend sehen zu dürfen ist schon super, die zusätzlichen inhaltlichen Angebote waren auch klasse. Was soll ich mit SPON und anderen, wenn ich auch den Feed von Tagesschau.de lesen kann? Dort bekomme ich die Gegenleistung für meine Gebühren.

Jetzt soll all das gestrichen werden. Fernsehsendungen dürfen maximal 7 Tage online verweilen, Berichterstattungen über Großereignisse und Sportveranstaltungen dürfen maximal 24 Stunden im Netz bleiben. Sonstige Inhalte dürfen nur noch mit explizitem Sendungsbezug veröffentlicht werden.

Die Bonzen haben mal wieder gesiegt, die gelackmeierten sind die Gebührenzahler, die mit starken Einschränkungen zu rechnen haben, und obendrein weiterhin von der GEZ mit z.T. halb- oder illegalen Mitteln gejagt werden. (Bei mir standen Sie mal vor der Tür und gaben sich als Polizisten aus, die dringend mit mir über eine vertrauliche Sache reden mussten, wedelten mit “Dienstausweisen” rum, und wollten mir diese aber weder genau zeigen, noch sich eindeutig mit Namen und Dienstnummer identifizieren. Das ist für mich eindeutig nicht nur Amtsanmaßung, sondern auch Vorspielung falscher Tatsachen, oder gar Betrug. – Allerdings habe ich da nur sehr laienhaftes Wissen drüber. – Bin ja schließlich kein Rechtsanwalt.)

Der nächste Wahnsinn ist die Verordnung über die Pflichtablieferung von Medienwerken an die Deutsche Nationalbibliothek welche gestern in Kraft getreten ist. Printmedien, also Zeitschriften, Zeitungen usw. müssen der Nationalbibliothek schon seit Jahren kostenlos zur Archivierung bereitgestellt werden. Die neue Verordnung weitet das Ganze jetzt aufs Internet aus. Unklar ist, wer seit gestern verpflichtet ist, seine Inhalte regelmäßig an die Nationalbibliothek zu schicken. Private Webseiten sind von der Regelung ausgenommen. Wie schaut es jedoch mit Blogs aus, die das Weltgeschehen kommentieren? Wie sieht es mit kommerziellen Angeboten aus, die kostenpflichtig sind? Müssen die ihren Bezahlcontent auch dort hin schicken? Was ist mit Foren, Kommentarfunktionen, Twitter, Soup, Podcasts, Screencasts usw.? All das müsste nach der neuen Verordnung in vordefinierter Form regelmäßig an die Nationalbibliothek übermittelt werden. Die Größenbeschränkungen sind hierbei auch irrwitzig: 50 bzw. 200 MB ist die Obergrenze. Auch in den Formaten ist der verpflichtete Anlieferer nicht frei. Es müssen entweder PDF’s oder aber WinZIP Daten abgeliefert werden. Weiterhin ist die Vorgabe, dass die Inhalte und Verlinkungen lokal funktionieren, d.h. das ganze Werk ohne Internetverbindung nutzbar sein muss.

Wie mache ich das denn jetzt? Schreibe ich jetzt von jedem Blogbeitrag ein PDF und schicke denen das? Schreibe ich bei jedem neuen Kommentar ein neues PDF? Wie machen das Forenbetreiber? Schicken die denen einmal am Tag den kompletten Datenbankdump?

Auf jeden Fall wir das Ganze ein riesiger Papiertiger, verbunden mit schwer abschätzbarem Verwaltungsaufwand, und definitiv die größte Pornosammlung der Welt. :D

ePassport geknackt! – Video und weitere Informationen veröffentlicht:

Julius — Tue, 30 Sep 2008 12:11:32 +0000

(Quelle: thc.org, Bearbeitung: Browsergames.org)

Dass der ePass geknackt, bzw. leicht gefälscht werden kann, wissen wir nun schon seit der letzten BlackHat. Nun hat vonJeek (Jeroen van Beek) ein Video sowie Anleitungen und Code veröffentlicht, um zu demonstrieren wie dies funktioniert.

Die trügerische Sicherheit die uns Behörden vorgaukeln um an unsere Daten zu kommen geht mir immer wieder gegen den Strich. Auf der einen Seite wird Panik verbreitet, und auf der anderen Seite vollkommen unzulänglich getestete bzw. sichere Gerätschaften und Dinge eingeführt, die eigentlich keiner haben und schon gar nicht bezahlen will.

Schön, dass es Leute gibt, die mit solchen Aktionen immer wieder auf soetwas hinweisen. Danke! ;)

Zwitschern?!

Julius — Thu, 11 Sep 2008 12:56:30 +0000

Tja, Twitter… ich habe es jetzt einmal eine Woche lang ausprobiert, und ich weiss noch nicht so recht, was ich davon halten soll. Frisst es jetzt nur Zeit?

Ja, es frisst etwas Zeit. – Je nach dem, wie viele Tweeds man abonniert hat, kommen entsprechend regelmäßig diese kleinen, auf 140 Zeichen beschränkten Nachrichten auf den Bildschirm geflackert. Ich habe für mich beschlossen, weiter zu twittern und dies als eine Art Microblogging zu nutzen. All dieser Kleinscheiss, den man eigentlich nur mal in die Welt hinauspusten möchte um ggf. etwas Feedback dazu zu bekommen, ohne jedoch den eigenen Blog vollzumüllen, möchte ja doch irgendwie verbreitet werden.

Wie langweilig wäre das Leben ohne Jasper, den Heise Twitter Feed, oder die ganzen anderen Dinge, die einige Leute so von den Bäumen zwitschern? Sogar die Paulina twittert inzwischen.

Ihr werdet also weiterhin getwittere von mir ertragen müssen. Das Twitter Plugin für WordPress schiebt auch gleich neue Blogbeiträge ins Twitter und meinen Tweed auf den Blog. – Nette Sache das. ;)

Ich habe zwei Twitterclients für Mac OS X ausprobiert. Twitteriffic und NatsuLion, und tendiere momentan eher in Richtung NatsuLion, das ich beim Oliver gefunden habe.

Schäuble ausser Rand und Band…

Julius — Thu, 19 Jun 2008 19:42:31 +0000

Gerade beim Fußball gesehen:

Isser nicht knuffig, wenn er sich freut?

Google schluckt FeedBurner

Julius — Thu, 19 Jun 2008 11:40:30 +0000

Google hat nun auch Feedburner geschluckt.

Feedburner ist ein Syndication Service für Webseitenbetreiber über den sie u.a. tracken können, wie viele Leute ihre(n) Feed(s) aboniert haben. Die große Datenkrake Google schlägt weiter um sich. ;)

Laut Google soll Feedburner in einen Google Service umgewandelt werden und sich dann nahtlos integrieren. Na dann Prost Mahlzeit. ;)