Links from 2014-09-07

Modern anti-spam and E2E crypto

- how does antispam currently work at large email providers - how would widespread E2E crypto affect this - what are the options for moving things to the client (and pros, cons) - is this feasible for email? - How do things change when moving from email to other sorts of async messaging (e.g. text messaging) or new protocols - i.e. are there unique aspects of existing email protocols, or are these general problems? Brief note about my background, to establish credentials: I worked at Google for about 7.5 years. For about 4.5 of those I worked on the Gmail abuse team, which is very tightly linked with the spam team (they use the same software, share the same on-call rotations etc).

Tagged as: , | Author:
[Montag, 20140908, 05:00 | permanent link | 0 Kommentar(e)


Waking up and shutting down FreeNAS „on demand”

What I wanted is simple. I wanted my FreeNAS box (a HP ProLiant N54L MicroServer) to be available when one of our PCs/Laptops in the household was online, but to shut it down, when no one was home (save energy, …). Also giving SWMBO some sort of „remote” to manually turn on the server was out of the question.

What I came up with as a solution was to utilize the always running TP-LINK TL-WDR4300 N750 (with OpenWrt 12.09) as a „watchdog”. If one of the „main” PCs comes online, it checks if the FreeNAS is running and if not, sends a WoL package to it, starting it.

The idea was simple, the execution not so much, especially in the case of the FreeNAS …

See more ...

Tagged as: , , , , , , | Author:
[Dienstag, 20140826, 22:54 | permanent link | 0 Kommentar(e)


Last Week Tonight with John Oliver (HBO): Net Neutrality

Cable companies are trying to create an unequal playing field for internet speeds, but they’re doing it so boringly that most news outlets aren’t covering it.
John Oliver explains the controversy and lets viewers know how they can voice their displeasure to the FCC.


Youtube: Last Week Tonight with John Oliver (HBO): Net Neutrality

Tagged as: , , , , | Author:
[Mittwoch, 20140604, 10:10 | permanent link | 0 Kommentar(e)


Links from 2014-05-28

Mehr Punk, weniger Hölle!

In Island fand ein einzigartiges politisches Experiment statt: Vier Jahre lang regierten Anarchisten die Hauptstadt Reykjavik. Und diese Amateure haben Erstaunliches vollbracht.

Tagged as: , | Author:
[Donnerstag, 20140529, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-05-21

Only the powerful will benefit from the ‘right to be forgotten’

Last week’s judgment by the European court of justice allowing anyone to demand that a search engine should remove unwanted information from its index – even if it is accurate, lawful, and publicly available elsewhere – is a dangerous step in the wrong direction.

Tagged as: , | Author:
[Donnerstag, 20140522, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-05-18

Agency — The Message — Medium

RT @sfslim: Read “Agency”, a brilliant short story from @quinnnorton about technology working a little too well (7 min read)

Consciously Decoupling: Microservices, Swarm and the Unix Philosophy

At RedMonk, we have been arguing for many years that the developer has evolved from virtual serf to de facto kingmaker. Accepting that, at least for the sake of argument, it is worth asking whether one of the unintended consequences of this transition may be a return to Unix-style philosophies.

These Are The Surprising Jobs You’ll Be Doing By The 2030s

As our technological and sociological realities change, so too do our jobs. But just what, exactly, will we be doing 15 years from now? Here are some completely unexpected jobs you’ve almost certainly never heard of—but likely will soon.

The Infinite Space Between Words

That infinite space „between” what we humans feel as time is where computers spend all their time. It’s an entirely different timescale. To computers, we humans work on a completely different time scale, practically geologic time. Which is completely mind-bending. The faster computers get, the bigger this time disparity grows.

Tagged as: , | Author:
[Montag, 20140519, 05:00 | permanent link | 0 Kommentar(e)


Politik 2014: Planlos, Ziellos, Visionslos

Wie hab ich mich über den Wahlwerbespot der deutschen Piraten zur EU-Wahl 2014 gefreut. Knackig, frisch, klar, gescheit.


Youtube: Europa. Grenzenlos.

Und die Forderung nach einem Weltraumaufzug! Endlich mal eine Vision! Endlich jemand, der sich traut, auch ein komplexes Thema anzugehen. Traut sich sonst eh niemand.
Natürlich hat sie auch Flak dafür bekommen. Aber wenn man den Hintergrund kennt, war der Spot gar nicht sooo schlecht.

Und was tut sich bei den anderen Parteien? Diskussionen um Paradeiser/Tomaten, die EU-Armee und Persönlichkeitswahlkämpfe in diversen Formen.
Über gestiegene Anzahl von Totgeburten, HIV-Neuinfektionen, Tuberkulose- und Depressionsfällen sowie Suiziden in Griechenland oder die Jugendarbeitslosikgeit in Spanien – beides aufgrund der EU-Sparpolitik – spricht niemand. Für diese Themen muss man sich eine deutsche Kabarettsendung ansehen:


Youtube: ZDF - Die Anstalt - vom 29.04.2014

So viel kann man ja gar nicht fressen, wie man kotzen möchte. Und bei der Wahl selbst darf man es sich aussuchen: Pest, Cholera Typhus. Und ob „nicht wählen” (öffentlicher Facebook Link) so eine gute Option ist, weiß ich nicht.

Tagged as: , , | Author:
[Sonntag, 20140518, 18:00 | permanent link | 0 Kommentar(e)


Microsoft -- Zurück zu den 1990er Methoden?

$SWMBO hat Ihren Laptop auf 8.1 aktualisert (lange Geschichte, don’t ask), nachdem dem 8.1 ja doch „besser” (relativ gesehen), als 8.0 ist.
Im Zuge dieses Updates musste sie dann wieder mal ein paar Einstellungen treffen - in Form eines „Formular – Weiter – Formular – Weiter …” Wizards.

Bis, ja bis zu dem dem Dialog nach dem „lokalen Account”. Da fragt Micrsoft auf einmal nach einem „Microsoft Account” (vermutlich ein „Live” Account, aber die Namen wechseln ja so oft, dass man da ja den Überblick verliert). Und kein „Überspringen”, „Weiter”, oder ähnliche Buttons. Nur ein „Account anlegen” Button.

Mein Erster Gedanke war natürlich „WTF?”! Hat es Microsoft wirklich notwendig, seine „Cloud-User” Kundenzhlen auf derartig schäbige Weise nach oben zu treiben? Das kann doch nicht sein, dass ich ein offline-Betriebssystem nur mit einem Online-Account betreiben kann. Wenn wir das wollten, würden wir Chromebooks kaufen.

Das ganze lässt sich dann aber doch noch umgehen. Klickt man auf „Account erstellen” kommt man auf ein Eingabeformular mit vielen Feldern und einem kleinen, unscheinbaren Link am Ende der da „Bestehenden Account verwenden” lautet. Klickt man diesen an, kann man Windows 8.1 in Betrieb nehmen, ohne einen Online-Account anzulegen.

Sehr undurchsichtig, für ONUs nicht durchschaubar und sehr „windig”. Diese Vorgehensweise erinnert mich sehr an die Microsoft der 1990er und nicht die „Die Kunden haben die Wahl”-Microsoft, als die sie sich gerne positionieren.

Tagged as: , , , , | Author:
[Sonntag, 20140518, 16:46 | permanent link | 1 Kommentar(e)


Welche Cipher Suites verwendet mein Browser?

Diese Frage habe ich gestern im Anschluss an den „Applied Crypto Hardening” Talk von Pepi und mir gestellt bekommen. Und konnte sie auf Anhieb nicht beantworten. Daher sei sie jetzt hier nachgeliefert.

Eigentlich ist es ganz einfach. Man geht auf die Seite von Qualys SSL Labs (die Site von der Pepi das A-F Ranking der Websites her hatte) und wählt den „SSL Client Test” aus. Neben vielen anderen Informationen bekommt man dort auch die vom Browser unterstützten Protokolle und Cipher Suites angezeigt.

So zum Beispiel für „Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0”:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b)Forward Secrecy128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)Forward Secrecy128
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a)Forward Secrecy256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009)Forward Secrecy128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)Forward Secrecy128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)Forward Secrecy256
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012)Forward Secrecy112
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA (0xc007)Forward Secrecy128
TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011)Forward Secrecy128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)Forward Secrecy128
TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x32)Forward Secrecy128
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x45)Forward Secrecy128
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)Forward Secrecy256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x38)Forward Secrecy256
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x88)Forward Secrecy256
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16)Forward Secrecy112
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41) 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84) 256
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112
TLS_RSA_WITH_RC4_128_SHA (0x5) 128
TLS_RSA_WITH_RC4_128_MD5 (0x4) 

In den Browsern selber findet man diese Infos leider nur schwer bis gar nicht.

Und wer auf einen Block sehen will, welche Cipher Suite auf der aktuellen Website zum Einsatz kommt, kann sich die Extension „CipherFox” installieren.

Tagged as: , , , , , | Author:
[Sonntag, 20140518, 16:05 | permanent link | 0 Kommentar(e)


Links from 2014-05-17

Festplatten schmelzen mit Thermit

Wer kennt es nicht, das Problem mit den Datenträgern? Über die Jahre sammeln sich alte Festplatten an, die man nicht einfach in den Müll werfen will, weil man nicht mehr so genau was drauf ist, ob die Verschlüsselung ordentlich genug war oder ob sie überhaupt noch anlaufen, um das zu prüfen. Auf der Suche nach einer Vernichtungsmethode, die nicht nur unzweifelhaft zuverlässig ist, sondern auch einen hohen Entertainment-Faktor aufweist, bin ich vor einer Weile bei Thermit gelandet. Das Pulver lässt sich problemlos und völlig legal im Baumarktbedarf ordern, es wird u.a. zum Schienenschweissen verwendet. Heute war es dann endlich soweit, auf einem geeigneten Freigelände (mit Betonplatten-Untergrund) fand sich eine kleine Hackergemeinde zum Entfachen eines Kompatktinfernos zusammen.

Tagged as: , | Author:
[Sonntag, 20140518, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-05-14

Strongly interacting electrons in wacky oxide synchronize to work like the brain

Current computing is based on binary logic – zeroes and ones – also called Boolean computing, but a new type of computing architecture stores information in the frequencies and phases of periodic signals and could work more like the human brain using a fraction of the energy necessary for today’s computers, according to a team of engineers.

Tagged as: , | Author:
[Donnerstag, 20140515, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-05-12

Glenn Greenwald: how the NSA tampers with US-made internet routers

The NSA has been covertly implanting interception tools in US servers heading overseas – even though the US government has warned against using Chinese technology for the same reasons, says Glenn Greenwald, in an extract from his new book about the Snowden affair, No Place to Hide

Tagged as: , | Author:
[Dienstag, 20140513, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-05-11

Against the instrumental argument for surveillance - ‘Cybersecurity’ begins with integrity, not surveillance

There no longer is a meaningful distinction between the digital world and the physical world. Your public transit rides, your love notes, your working notes and your letters home from your journeys are now part of the global mesh of electronic communications. The inability to live and love, to experiment and err, without oversight, is wrong because it’s wrong, not because it doesn’t catch bad guys.

Putin Requires Russian Bloggers to Register with the Government

Widely known as the „bloggers law,” the new Russian measure specifies that any site with more than 3,000 visitors daily will be considered a media outlet akin to a newspaper and be responsible for the accuracy of the information published. Besides registering, bloggers can no longer remain anonymous online, and organizations that provide platforms for their work such as search engines, social networks and other forums must maintain computer records on Russian soil of everything posted over the previous six months.

Beyond net neutrality: The new battle for the future of the internet

The bottom line is that network neutrality advocates will need to broaden their thinking to respond effectively to the internet’s changing structure. Merely banning fast lanes isn’t going to accomplish much if the largest ISPs are allowed to sell new private roads.

Twitter / JPBarlow

The AI does not love you, nor does it hate you, but you are made out of atoms it might find useful for something else. - Eliezer Yudkowsky

Tagged as: , | Author:
[Montag, 20140512, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-05-07

Symantec And Security Starlets Say Anti-Virus Is Dead

The world’s biggest IT security company Symantec has admitted anti-virus software is “dead” and it doesn’t think of the technology as a money maker anymore. The comments came from the company’s senior vice president for information security, as a handful of other companies released reports trying to put the final nail in the coffin of anti-virus.

Tagged as: , | Author:
[Donnerstag, 20140508, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-05-04

THE RULES OF THE NEW ARISTOCRACY - J. Michael Straczynski

It doesn’t matter how much an education costs, doesn’t matter if your kids can’t afford to go to college or come out with massive debt, we will always be able to send our kids to university. And because a lot of our income is derived from tax incentives and taxpayer-financed bailouts your taxes are sending our kids to school. But you do not have the right to any of our money to send your kid to school. Your kids are born with a glass ceiling above which they will almost certainly never have the opportunity to rise. Our kids are born with a marble floor beneath which they will never be allowed to fall.

Tagged as: , | Author:
[Montag, 20140505, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-05-01

Dark Arts - Meet the architects of Tumblr’s cyberpunk renaissance

We’re in a weird time for the way the future looks; somehow House of Cards can slyly introduce a floating text-message interface to their present-day political drama without so much as blinking, but most of our iconic near- and far-future worlds run on tracks laid down well before the ’90s.

Austrian Computer Science Day 2014 • Informatik, TU Wien

Annually this event aims to strengthen the networking between computer scientists nationwide and to provide a communication platform for highlighting the excellence of Austrian computer science. Distinguished computer scientists will present a variety of attractive topics, illustrating the broad scope and the impact of national research. Similar to last year, eight researchers from different computer science departments at national and international universities will give an overview over the computer science research done in Austria. Furthermore, there will be included a poster session in order to allow PhD students to present and discuss their work with the community.

A Eulogy for Twitter

Twitter used to be a sort of surrogate newsroom/barroom where you could organize around ideas with people whose opinions you wanted to assess. Maybe you wouldn’t agree with everybody, but that was part of the fun. But at some point Twitter narratives started to look the same. The crowd became predictable, and not in a good way. Too much of Twitter was cruel and petty and fake. Everything we know from experience about social publishing platforms—about any publishing platforms—is that they change. And it can be hard to track the interplay between design changes and behavioral ones. In other words, did Twitter change Twitter, or did we?

Tagged as: , | Author:
[Freitag, 20140502, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-04-27

And yeah, what have you or your generation got to do with cyberpunk ?

cyberpunk may have been dead since 1990 or whatever, but ~my generation~ are a gazillion times more cyberpunk than any old-school Neuromancer fanboy could ever have dreamed. we live in a Google and Facebook-owned dystopian hellscape of police spy drones and PRISM, and have the ability to use Bitcoin to buy everything from hamburgers to hard drugs. a 13-year-old girl Snapchatting youtube clips of One Direction to her friends is probably more cyberpunk than the “real” cyberpunks of yesteryear.

How America’s Leading Science Fiction Authors Are Shaping Your Future | Arts & Culture | Smithsonian

“Science fiction represents how people in the present feel about the future,” Robinson says. “That’s why ‘big ideas’ were prevalent in the 1930s, ’40s and partly in the ’50s. People felt the future would be better, one way or another. Now it doesn’t feel that way. Rich people take nine-tenths of everything and force the rest of us to fight over the remaining tenth, and if we object to that, we are told we are espousing class warfare and are crushed. They toy with us for their entertainment, and they live in ridiculous luxury while we starve and fight each other. This is what The Hunger Games embodies in a narrative, and so the response to it has been tremendous, as it should be.”

IFTF: Inventing a New Internet

For a brief historical moment, humanity has flown high like Icarus, on a vulnerable first-generation Internet platform for securing and using distributed ideas, arts, media, science, commerce, and machines—promising brilliant futures such as a network of things, autonomous personalized services, and immersive media. But now our first-generation Internet, built on a fragile global network of vulnerable codes, is failing, like the wings of Icarus, from too close an encounter with a triple shock: A massive dotcom data stalker economy built on mining of terabytes personal data Ubiquitous criminal penetration of financial and identity networks, both on our devices and in the cloud Pervasive state intruders at all levels and at every encrypted hardware and software node

David Byrne - Breaking Up With the Internet

To be honest, I have a hard time imagining Internet 2.0. I’m old enough to remember the utopian enthusiasm that greeted the Internet when it emerged 20 years ago. We can’t go back—we know too much now—but maybe we can learn from what we loved about the Internet back then. Namely, its egalitarian nature—that homemade and small-scale sites were just as accessible as the emerging e-commerce platforms. It was a pleasant, chaotic jumble. Can we revive the feeling of a souk and lose the big-box store feel?

Tagged as: , | Author:
[Montag, 20140428, 05:00 | permanent link | 0 Kommentar(e)


Wordpress unsicher betreiben

Der hochgeschätze Ritchie „datenschmutz” Pettauer hat geblogged. Ok, das ist jetzt nichts all zu Besonderes, das macht er öfter. Aber diesmal hat er das zum Thema „WordPress Sicherheit: Ausreichend Schutz vor Hackern” getan.

Und das war nicht mal so schlecht, was er da zusammengeschrieben hat. Erfrischend kompetent und praxisbezogen. Aber einige Punkte muss ich dennoch bemängeln. ;)

1) (s)ftp

Das „s” von sftp ist im Jahre 2014 nicht mehr optional. Die erste Spezifikation des File Transfer Protocols (ftp) stammt vom 16. April 1971. Sicherheit war damals (noch) kein Thema.
Heutzutage sollte man – vor allem, wenn man auch mal vom McDonalds, Kaffeehaus, … auf sein Wordpress zugreift – IMMER die secure Variante, also mit „s” verwenden [Korr. 2014-04-26] das auf ssh basierende sftp Protokoll verwenden. Oder zumindest FTPS, aber besser wäre sftp. IMMER.

2) Admin- und Autor-Nutzer

Ritchie schreibt hierzu Besonders Vorsichtige empfehlen, Autor– und Admin-Nutzer zu trennen, aber die dauerende Umloggerei wär mir persönlich zu umständlich..
Ja, das ist ein wenig lästig, ist aber „best practice”. Unter UNIXen sowieso Standard und üblich, hat sich das mit Windows 7 und später auch endlich zum Standard unter Windows entwickelt. Und soweit ich weiß, ist es auch unter Mac OS X üblich, dem Arbeitsuser keine Admin-Rechte zu geben.
Sinn und Zweck der Übung ist natürlich wieder die Schadensbegrenzung für den Fall, dass ein Angreifer das Passwort abfängt (siehe auch den nächsten Punkt). Damit kann er dann zwar die Inhalte ändern, aber die WP Installation per se ist damit noch nicht kompromitiert.

3) Zusätzliches Schloss für den Admin Bereich

Bis zu diesem Kapitel fand ich Ritchies Artikel ja erfrischend gut und passend. Und der Titel klang auch so vielversprechend. Aber leider …
Der gute Datenschmutz empfiehlt, den Admin-Bereich durch ein zusätzliches Passwort, das nicht durch PHP/Wordpress, sondern schon auf der Ebene des Webservers abgefragt wird, „abzusichern”. Dass er damit das Problem nur auf eine Ebene tiefer verlegt, nämlich zu Apache/nginx und Co., hat er hier vergessen/ignoriert. Die von Ihm so verschmähten „Limit Login Attempts” Plugins braucht man trotzdem, aber halt nicht auf PHP/WP Basis, sondern als Apache Modul bzw. Servertask.

Und das prinzipielle Problem, das man mit dem Wordpress-Adminbereich hat, löst diese Vorgehensweise auch nicht. Wenn man sein WP nämlich aus dem Kaffehaus, etc. administriert kann JEDER, der das WLAN mitbenutzt, auch das WP-Adminpasswort mitlesen. Und zwar mit trivialem Aufwand. Und da ist es vollkommen egal, ob man nun ein oder zwei Passwörter eingeben muss und ob WP oder der Apache dieses verifiziert.
[Anm. 2014-04-26]: VPN-Lösungen, wie sie Ritchi im Kommentar erwähnt, helfen hier auch nur bedingt. Damit ist die zumindest die Verbindung Laptop zu VPN-Endpunkt geschützt und die im Starbucks abhängenden Eves können nicht mehr mithören. Über die Strecke VPN-Endpunkt zu WP-Server laufen die Daten dann wieder unverschlüsselt. VPN UND SSL/TLS wäre die optimale Kombination. ;)

Ich hab das schon einmal demonstriert, als Georg Holzer seinen Wordpress-Artikel für den Futurezone geschrieben hat. Wer möchte, kann sich das Video ansehen, das zeigt, wie einfach man das Passwort abfangen kann (das gilt auch für das „htaccess-Passwort”).

Eine Anleitung, wie man zumindest einmal den Wordpress Admin Bereich mit SSL absichert, gibt Robert Abela in seinem recht detaillierten Blogeintrag.
Wer die Sicherheit im Internet und WWW prinzipiell voran bringen will, bietet sein komplettes Blog auch über SSL/TLS an. ;) [Korr. 2014-04-26] Außerdem kann eine Angreiferin dann das Admin-Cookie auch nicht über die unverschlüsselte http-Verbindung klauen, wie Pepi korrekt anmerkt.

 

Und jetzt hoffe ich, dass der Ritchie trotz dieses Blogeintrags noch mit mit spricht. ;)

Tagged as: , , , | Author:
[Donnerstag, 20140424, 23:00 | permanent link | 2 Kommentar(e)


Links from 2014-04-21

Pixars Andrew Stanton in an episode of NPR’s TED Radio Hour exploring what makes a great story.

The audience actually wants to work for their meal. They just don’t want to know that they’re doing that. That’s your job as a storyteller is to hide the fact that you’re making them work for their meal. We’re born problem solvers. We’re compelled to deduce and to deduct because that’s what we do in real life. It’s this well-organized absence of information that draws us in.

Tagged as: , | Author:
[Dienstag, 20140422, 05:00 | permanent link | 0 Kommentar(e)


Links from 2014-04-20

Sony Walkman TPS-L2 — Minimally Minimal

The Sony Walkman TPS-L2 introduced in 1979 is one of those legends. It’s the first Walkman ever made and the first product I’m showcasing that’s older than myself. This was the first time music became truly portable making it historically more significant than even the iPod. The TPS-L2 has become a collector’s favorite so expect to pay a premium for one in good condition. I was lucky and purchased this from a university museum for a reasonable price.

Out in the Open: Inside the Operating System Edward Snowden Used to Evade the NSA | Enterprise | WIRED

At its heart, Tails is a version of the Linux operating system optimized for anonymity. It comes with several privacy and encryption tools, most notably Tor, an application that anonymizes a user’s internet traffic by routing it through a network of computers run by volunteers around the world.

Testing for „reverse” Heartbleed

Most of the attention around the Heartbleed attack has focused on the simplest and most obvious scenario: a malicious client attacking an HTTPS server to steal cookies, private keys, and other secrets. But this isn’t the only attack possible: a malicious server can also send bad heartbeat packets to a client that uses OpenSSL and extract data from that client. The TLS heartbeats used in this attack are symmetric: they can be initiated by either the „client” or the „server” in a TLS connection, and both endpoints use the same vulnerable parsing code.

Tagged as: , | Author:
[Montag, 20140421, 05:00 | permanent link | 0 Kommentar(e)


Häckerähnliche Vorgänge

Anfang Jänner gab es ja eine recht „lustige” Geschichte rund um die Photovoltaik-Fördervergabe:

„Hackerähnliche Vorgänge” hätten verhindert, dass die Server im Atos-Rechenzentrum online gehen konnten, sagt Magnus Brunner von der zuständigen Abwicklungsstelle für Ökostrom (OeMAG). Er habe die Chancengleichheit nicht garantieren können und daher den Start vertagt. Dabei hat die OeMAG alles daran gesetzt, um ein ähnliches Chaos wie zuletzt zu verhindern. Zum Jahreswechsel 2012/13 stürzten sich so viele Interessenten - teils mittels sogenannter „Robots”, also automatisierten Programmen, - auf die Fördergelder. Die Server waren binnen weniger Minuten komplett lahm gelegt, stundenlang spuckte das System nur Fehlermeldungen aus. Als am frühen Vormittag alles wieder funktionierte, war der 104 Millionen Euro schwere Topf längst leer geräumt. Nur 3400 Antragsteller kamen zum Zug.
 
Heuer sollte alles ganz anders werden. Der Termin wurde vom Jahreswechsel auf den zweiten Jänner nach hinten verlegt. Die Antragsteller sollten da nur ein Ticket ziehen und hätten dann zwei Tage lang Zeit gehabt, um in aller Ruhe den Antrag auszufüllen. Doch so weit kam es gar nicht erst.
 
„Es war viel schlimmer als im Vorjahr”, sagt Brunner. Man habe zwar beim IT-System „nicht gespart”. Die OeMAG sei auf zigtausende „Robots” vorbereitet gewesen, wie auch eine Prüfung der Beratungsgesellschaft Ernst & Young ergeben habe. Doch offenbar habe es „hackerähnliche” Angriffe gegeben, die das Rechenzentrum von IT-Partner Atos torpediert hätten.

Abgesehen davon, dass „Hacker” hier wieder einmal falsch verwendet wurde, schafft es die IT der OeMAG und deren Dienstleister ATOS und smart technologies (Durch Siemens und die Tengg und Partner GmbH gegründet, 2011 hat ATOS die Siemens Anteile übernommen ) trotz eines Jahrs Vorbereitsungszeit nicht, ein stabiles System hinzustellen?

Da kann man eigentlich nur Ingram Eusch, Vorstandsmitglied der Klagenfurter Firma PVI GmbH zustimmen:

Beim PVA [„Bundesverband Photovoltaic Austria - Interessenvertretung für Photovoltaik in Österreich”, Anm.] sind zahlreiche Stellungsnahmen von IT-Spezialisten eingegangen, die die Hackervariante, die zur Unbrauchbarkeit des Systems geführt haben soll, in Zweifel ziehen. Der Wirtschaftsminister wird daher aufgefordert eine schonungslose Fehleranalyse zu beauftragen und sicher zu stellen, dass für dieses Jahr der Anlauf beim nächsten Versuch fehlerlos gelingt.

Tagged as: , , | Author:
[Sonntag, 20140202, 14:48 | permanent link | 0 Kommentar(e)


ELGA Version 0.1

OTS der ELGA GmbH1:

Zunächst besteht nur die Möglichkeit, über die ELGA-Teilnahme zu entscheiden. Ab Herbst 2014 werden die ELGA-Funktionen „e-Befunde” und in der Folge „e-Medikation” für die Bürgerinnen und Bürger selbst sowie ihre behandelnden und betreuenden Gesundheitsdiensteanbieter nutzbar.

Klingt das nur für mich „Test-/Pilotphase mit Produktionsdaten? Hr. Zeger von der Arge Daten meint dazu: Selbst wenn die optimistischen Prognosen des Gesundheitsministeriums halten, ist mit der sinnvollen Verwendung von ELGA-Daten erst ab 2022 zu rechnen.

Wer an ELGA nicht teilnehmen möchte, kann elektronisch oder schriftlich einen gänzlichen oder teilweisen Widerspruch („opt out”) bekannt geben. Nähere Informationen finden sich auf www.gesundheit.gv.at und www.elga.gv.at.

Online-Formular für den Ausstieg aus ELGA (Ausfüllhilfe der Arge Daten (PDF) ). Weitere Informationen und alternative Varianten zum ELGA-Widerspruch bei der Arge Daten.

Für die Gesundheitsversorgung hat man nichts zu befürchten. Im ELGA-Gesetz wird garantiert, dass alle Personen, die nicht an ELGA teilnehmen denselben Versorgungsstandard erwarten können.

Erziehungsberechtigte können das „OptOut” für ihre Kinder machen. Die Grenze ist jedoch der 14. Geburtstag. Danach müssen/dürfen die Kinder sich aus ELGA selbst abmelden (ganz so wie beim Religionsunterricht).

 

1 … Bin ich der Einzige, der bei „Gesundheitsdaten” und „GmbH” eine ungutes Gefühl bekommt? Hr. Zeger von der Arge Daten meinte dazu: „Laut ELGA-Gesetz gibt es keine zentrale verantwortliche Stelle, im Falle eines Missbrauchs besteht für die Patienten die Gefahr zwischen den verschiedenen „ELGA-Systempartnern” hin und her geschickt zu werden.

Tagged as: , , | Author:
[Sonntag, 20140202, 14:27 | permanent link | 0 Kommentar(e)


Bullshit is coming ...

Meral hat heute auf Facebook geklagt:

bitte liebe leute, wenn ihr Social Media und neue Technologien kritisieren möchtet, findet endlich ein neues Gegenargument statt immer dieses Argument zu wiederholen „Da geben alle ihre Daten preis, wann sie auf Urlaub fahren und dann werden ihre Häuser beraubt” Ich weiß nicht, wann dieser Fall mal eingetreten ist, mir ist keiner bekannt.

Dabei habe ich mich an die Umfrage „Wohnsicherheit Wien” der Sparte Gewerbe und Handwerk der Wirtschaftskammer Wien erinnert, die man noch bis 31. Jänner 2014 online (natürlich ohne Verschlüsselung der Daten) ausfüllen kann (absichtlich nicht verlinkt).

Eine der Frage dort lautet:

Welche Sicherheitsvorkehrungen haben Sie in sozialen Medien, insbesondere Facebook, getroffen?
  • Ich bin nicht in sozialen Medien aktiv.
  • Ich gebe in keinem sozialen Netzwerk meine private Adresse an.
  • Ich poste keine Fotos, die mein Eigenheim bzw. dessen Umfeld zeigen.
  • Ich poste keine Fotos von Wertgegenständen oder sonstigen wertvollen Produkten, die ich besitze.
  • Ich kündige nie im Vorfeld an, dass ich eine Reise mache, auf einer Veranstaltung bin, oder mich sonst wo außerhalb des Eigenheims befinden werde.
  • Fotos von Reisen, beruflichen oder privaten Veranstaltungen poste ich immer erst, wenn ich wieder zu Hause bin.
  • Ich nehme nur Freunde und Bekannte in mein Netzwerk auf, die ich tatsächlich persönlich kenne.
  • Meine Privatsphäre-Einstellungen in sozialen Netzwerken ermöglichen es nur Freunden und nicht Freunden von Freunden, meine Informationen zu lesen.
  • Die Option, meine Geo-Koordinaten automatisch anzuzeigen und somit meinen aktuellen Aufenthaltsort bekannt zu geben, habe ich nicht aktiviert.
  • Sonstige

Wenn man jetzt weiter berücksichtigt, dass die Umfrage/Gewinne z.B. „ULL-Sicherheitstüre – Firma Schmidtschläger”, „Simons Voss Tür-Zylinder Paket – Firma Karall & Matausch”, „Azor Mini Alarmanlage – Firma R&S Service” „Senft Ges.m.b.H – Sicherheitsbalkenschloss” sind, was wird wohl das Ergebnis der Umfrage sein?

Die Ergebnisse der Umfrage gibt es im März. Ich bin mir sicher, dass das, was sich in Österreich „IT-Medien” bezeichnet, wieder einmal über das „unsichere Internetz” und die bösen Sozialen Medien berichten wird.

Tagged as: , , , , , | Author:
[Dienstag, 20140128, 21:58 | permanent link | 0 Kommentar(e)


Google kategorisiert österreichische Internet-Provider

Barbara berichtet:

Google hat nun am Freitag ein Tool namens „Video Quality Report“ veröffentlicht, mit dem User herausfinden können, warum YouTube-Videos nur langsam abgespielt werden. Derzeit ist das Tool nur für Kanada verfügbar, weitere Länder sollen aber folgen. Google misst dabei die Performance des Providers beim Abspielen von YouTube-Videos in unterschiedlicher Qualität und teilt die Provider dann in Folge in drei unterschiedliche Klassen ein.
Die von Google verwendeten Kategorien lauten
  • YouTube HD Verified
  • Standard Defintion
  • Lower Definition
Für Österreich fürchte ich, dass Google andere Kategorien braucht:
  • sehr schlecht
  • abgrundtief schlecht
  • wir dachten nicht, dass es so schlimm ist

Wobei auch Pepi nicht ganz unrecht hat:

Tagged as: , , , , | Author:
[Samstag, 20140125, 13:45 | permanent link | 0 Kommentar(e)


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin m³ Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

RSS Feed RSS Feed

Tag Cloud

2007, a-trust, a.trust, a1, accessability, acta, advent, age, amazon, ankündigung, apache, apple, audio, austria, backup, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, computer, computing, concert, conference, copyright, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, developer, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, domino, Domino, download, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, Ein_Tag_im_Leben, email, eu, event, exchange, Extensions, fail, feedback, film, firefox, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handy, hardware, history, how-to, howto, hp, html, humor, ibm, IBM, ical, image, innovation, intel, internet, internet explorer, iphone, ipod, isp, IT, it, java, javascript, job, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, living, lol, london, lost+found, Lotus, lotus, Lotus Notes, lotus notes, LotusNotes, lotusnotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, movie, mp3, multimedia, music, musik, männer, netwatcher, network, netzpolitik, news, nokia, notes, Notes, Notes+Domino, office, online, OOXML, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, programming, protest, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rss, science, search, security, server, sf, Show-n-tell thursday, sicherheit, silverlight, SnTT, social media, software, sony, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, sysadmin, talk, technology, theme, thinkpad, tip, tipp, tools, topgear, torrent, travel, truth, tv, twitter, ubuntu, uk, unix, update, usa, vds, video, videoüberwachung, vienna, vim, Vim, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, wow, wtf, wunschzettel, Wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung