Viele Diskussionen malen gerne den eigenen Mitarbeiter als IT-Sicherheitsrisiko an die Wand. Die tatsächliche Gefahr, die von ihm ausgeht, ist aber oft unklar. Verschiedene Täterprofile interner Angreifer können größeren Schaden anrichten. Eine Erkennung und Abwehr dieser Aktionen sind nur durch einen permanenten Blick auf den Netzwerk-datenverkehr und die Endpunkte möglich.
Interessante Übersicht für die Möglichkeiten, Einbrecher im Netzwerk zu erkennen und zu identifizieren.
Wenn der Compiler versteht, dass OPENSSL_cleanse keine Seiteneffekte hat außer key zu überschreiben, dann ist das ein klarer Fall für die Dead Store Elimination. Ähnlich sieht es mit einem memset() vor einem free() aus. Das ist vor ein paar Jahren aufgefallen, dass Compiler das nicht nur tun können sondern sogar in der Praxis wirklich tun. Plötzlich lagen im Speicher von Programmen Keymaterial herum. Also musste eine Strategie her, wie man den Compiler dazu bringt, das memset nicht wegzuoptimieren.
Sehr spannende Analyse von Fefe, wie Optimierungen des Compilers die Sicherheit von Software untergraben können. Da gibt man sich als Programmierer alle Mühe, sensible Daten aufzuräumen, und dann schmeißt der Compiler den Code wieder raus, weil er ihn für unnötig hält. Und Abhilfe ist gar nicht so einfach.
Kein Wunder, dass immer neue Lücken gefunden werden in Betriebssystemen und Software. Die Komplexität der SW-Entwicklungs-Prozesse hat ein derartiges Ausmaß angenommen, dass sie nur noch mit sehr hohem Testaufwand beherrschbar sind. Fefes Artikel beleuchtet dabei den interessanten Aspekt, dass sogar eine neue Compiler-Version Sicherheitslücken in Code reißen könnte, der ursprünglich sicher geschrieben war. Wer würde bei Recompilation mit einer neuen Compiler-Version den erzeugten Assembler-Code neu überprüfen? Es benötigt also umfangreiche und ständige Kontrollen des Outputs, um die Stabilität der Ergebnisse des Codes auch bei der Weiterentwicklung zu gewährleisten.
Der ChatGPT-Anbieter OpenAI hat angesichts der geplanten Regulierungen der Europäischen Union (EU) für künstliche Intelligenz (KI) mit einem möglichen Rückzug aus Europa gedroht. „Der derzeitige Entwurf des EU-KI-Gesetzes wäre eine Überregulierung“, sagte Sam Altman, Chef der Microsoft-Beteiligung OpenAI, gestern auf einer Veranstaltung in London. Zwar wolle sich der Konzern bemühen, neue gesetzliche Regulierungen einzuhalten, doch im Zweifelsfall wäre das Unternehmen bereit, dem europäischen Markt den Rücken zu kehren.
In der EU wird es immer schwieriger, eine Website zu betreiben oder technische Dienste anzubieten. De facto ist mittlerweile in der EU nahezu jede Website illegal. Zum Beispiel ist die Nutzung von Google Tag Manager oder Google Analytics an sich nicht erlaubt, weil die Google-Bedingungen dafür nicht mit der GDPR vereinbar sind. Die interessante Frage ist, welche Absicht eigentlich dahinter steckt.
Zuerst als die größte digitale Revolution gefeiert, die selbst das Internet in den Schatten stellt, droht ChatGPT jetzt der Absturz. Sollte sich herausstellen, dass dem KI-Chatbot die Rechtsgrundlage dazu fehlt, personenbezogene Daten beim Training zu verwenden, droht ein Verbot.
Es ist seltsam, dieselben Leute, die uns in flagrantem Bruch des Koalitionsvertrags gerade jede Privatsphäre nehmen, sind bei ChatGPT plötzlich außerordentlich besorgt. Könnte es sein, dass man Angst davor hat, dass eine KI den Widersinn und die Bösartigkeit der Hampel-Pläne so aufdeckt, dass es jeder sehen könnte?
Police discovered a network of cameras set up and being used by gangs suspected of being involved in a high-profile bomb attack on the home of a regional police chief.
Auf die alte Frage „Quis custodiet ipsos custodes?“ (Wer bewacht die Wächter?) wurde in Albanien eine überraschende Antwort gefunden: Die Überwachten.
At the WEF Annual Meeting 2023, The Atlantic’s CEO Nicholas Thompson chaired a session called “Ready for Brain Transparency?” The session opened with an Orwellian-inspired video showing a scenario in which employees’ brainwaves were monitored and decoded. Besides using the information gathered to evaluate employee performance, brainwaves were decoded to assess whether or not any individuals had participated in criminal activity.
Man muss sich wundern, dass in einer Welt, in der Leute sich vornehmen Ihre Gedanken zu kontrollieren; dass in dieser Welt diese Leute reich und mächtig sind, und äußerst einflussreiche Berater der politischen Führer – statt in der Psychiatrie zu sitzen, wo sie nach jeder bisherigen Definition hingehören.
An dieser Stelle warnen wir euch regelmäßig vor gefährlichen Telefonnummern, hinter denen Kostenfallen und Trickbetrüger stehen.
GIGA mit einem sehr interessanten Service, der eine Liste von Rufnummern bietet, für die es bekannt ist, dass Betrugsmaschen darüber ausgeführt werden. Die Tricks dieser Leute werden immer mieser, sagen Sie bloß nicht „Ja“, falls Sie so ein Telefonat versehentlich angenommen hätten. GIGA hat im verlinkten Artikel übrigens auch Tipps, wie man die Nummern generell sperren kann.
»Die Beschuldigten sollen daher darüber getäuscht haben, dass eine Person die Websites besucht hat (und nicht tatsächlich eine Software). Mangels Person läge dann aber keine Verletzung eines Persönlichkeitsrechts vor. Da sie diese Besuche außerdem bewusst vorgenommen haben sollen, um die IP‑Adressen‑Weitergabe in die USA auszulösen, hätten sie faktisch auch in die Übermittlung eingewilligt, so dass eben gerade kein datenschutzrechtlicher Verstoß mehr gegeben war, der eine Abmahnung hätte begründen können.«
Die Staatsanwaltschaft Berlin zieht dem Urteil des Landgerichts München die Zähne, mit einer sehr interessanten Begründung. Ich würde nämlich meinen, dass damit zumindest sehr vielen Abmahnbetrügereien ein Riegel vorgeschoben ist. Denn wenn man die nicht automatisieren darf, lohnen sie sich meist nicht.
FTX isn’t the canary in the coal mine (that was Celsius, or one of the other firms that crashed this year). FTX is the coal mine, and it just collapsed.
Der drölftausendste Raubzug via einer Crypto-Börse. Regel Nr. 1 des Crypto-Investments war und ist, nur mit eigener Wallet. Aber da das doch einigermaßen aufwändig und technisch anspruchsvoll ist, hätte bei Befolgung dieser Regel eben der Crypto-Markt niemals diesen Höhenflug nehmen können.
Zum Thema auch sehr interessant Hadmut Danisch: Offenbar wurde FTX als Geldwaschmaschine für illegale Parteienfinanzierung benutzt.
Mit Osprey hat IBM seinen bislang größten Quantenprozessor vorgestellt. Mit 433 Qubits konnte die Anzahl der Qubits gegenüber der 2021 vorgestellten Eagle-QPU (Quantum Processing Unit) mehr als verdreifacht werden … Osprey [ist] aber nur ein weiterer Zwischenschritt. Schon 2023 soll mit Condor die erste QPU mit mehr als 1.000 Qubits folgen … Dass die kommerzielle Nutzung von Quantencomputern keine Zukunftsmusik mehr ist, zeigt ein Blick in IBMs Access Plans zum Quantum Computing: Für 1,60 Dollar pro Rechensekunde kann dort im Rahmen eines Pay-As-You-Go-Konzepts QPU-Rechenzeit gebucht werden – allerdings auf einem älteren Falcon-Prozessor mit 27 Qubit.
So so, man kann also bereits Quantenrechenzeit mieten. Wir müssen somit davon ausgehen, dass asymmetrische Verschlüsselung gebrochen ist, lange bevor ein Ersatz sichtbar ist. Denn wie wir wissen, ist es eine allgemeine Herangehensweise der Geheimdienste, kritische Aktivitäten in scheinbar kommerzielle Unternehmen auszulagern und diese darüber nicht rückverfolgbar abzuwickeln. Das betrifft natürlich nicht Dienste wie die NSA, die haben längst bereits selbst Quantenrechner, und weitaus leistungsfähigere außerdem. Aber ich weiß ja nicht, wie es Ihnen geht, die Vorstellung, dass Nordkorea nun die Kommunikation mit einem Bankserver brechen kann, finde ich durchaus gruselig.
Im Frühjahr hatten sich US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen grundsätzlich auf ein neues Datenschutzabkommen geeinigt. Anfang Oktober hat Biden jetzt eine Executive Order unterzeichnet, die die Details enthält. Datenschützer warnen: Das könnte für europäische Standards zu wenig sein.
Max Schrems gibt nicht auf und kämpft unermüdlich weiter für die Privatsphäre. Und ebenso unermüdlich betreibt die „Gegenseite“ eine Verzögerungskampagne und wirft immer neue Nebelkerzen.
Den Geheimdiensten ist all das aber ohnehin egal, die überwachen und tracken sowieso jeden weltweit, wie sie lustig sind. Stempel „Terrorist“ drauf, und dann gelten sowieso keine Gesetze mehr – der „PATRIOT“-Act lässt grüßen. Teppichmesser sind offenbar sehr vielseitig.
While Gregg and his team were investigating, they ran some routine cybersecurity checks to see what services were being used by that Chinese IP address to determine what was behind it. One of these routine “scans” showed a port (27017) on that IP address that is typically used by a database application called “MongoDB” … they next tried a pretty basic thing: they tested to see if they could log into it with the default, “out of the box” username and password … the cyber team found a boneheaded error on the MongoDB installation that only a novice would be expected to make … So Gregg’s team was able to “walk in the front door”, as it were, because there was no lock on the door, and “look around the place” … What they found was shocking: they found data that included personal details of nearly 1.8 million US poll workers. Details like their names, phone numbers, addresses, etc. Even the names of family members …
Man muss sich fragen, wer hinter dem unbestreitbar dementen Opa eigentlich die Fäden zieht. Und vermutlich wäre es für die Antwort dienlich, herauszufinden wie der überhaupt ins weiße Haus gekommen ist – nach einem Wahlkampf, den er fast nur aus seinem Keller geführt hat, mit ein paar lächerlichen Veranstaltungen, bei denen einige Dutzend Leute aufkreuzten. Während sein Konkurrent monatelang und täglich, sogar bis zu dreimal täglich, quer durch das Land mit jeder seiner Veranstaltungen 20, 30 oder auch 50 Tausend Zuhörer anzog. Und nun, dabei ist es schon sehr aufschlussreich, dass Opas umfangreich dokumentierte Geschäftsinteressen in China, und die seines Sohnes, mit chinesischen Zugriffen auf Wahlcomputer und Wahlunterlagen einhergehen.
Aber naja, wer „2000 Mules“ und „[s]election code“ gesehen hat, wundert sich sowieso über gar nichts mehr. Chinesische Spuren zu weit offen stehenden sensiblen Datenbanken sind da nur eine Petitesse, im Vergleich zum Gebirge der weiteren Unzulänglichkeiten der letzten US-amerikanischen Präsidentschaftswahlen.
PS: Um es klarzustellen, Trump gehört m.Mng. bloß zu einer anderen Verbrecherbande. Nicht dass Sie denken, ich wollte hier für den Werbung machen.
When you open any link on the TikTok iOS app, it’s opened inside their in-app browser. While you are interacting with the website, TikTok subscribes to all keyboard inputs (including passwords, credit card information, etc.) and every tap on the screen, like which buttons and links you click.
Sehr lesenswerter Bericht des Sicherheitsexperten Felix Krause. Er hat eine Reihe von Social Media Apps untersucht und seine Erkenntnisse sind erschreckend. Wer solche Apps hat, braucht keine Trojaner mehr.
Wenn ihr schon immer mal wissen wolltet, wie schlimm es bei Twitter intern zugeht, dann habt ihr jetzt eine gute Gelegenheit.
Für Musk ist das natürlich ein gefundenes Fressen, um seinen Ausstieg aus dem Twitter-Kauf wegen zu vieler Fake-Accounts zu beweisen. Er hat Peiter „Mudge“ Zatko bereits vorladen lassen. Zatko sagt aber, das wäre nicht beabsichtigt gewesen, es sei eine „unglückliche Koinzidenz“, dass er gerade jetzt an die Öffentlichkeit geht, während Musk sich mit Twitter um Milliarden Dollar streitet.
Seit einer Entscheidung des Landgerichts München werden vermehrt Abmahnungen an Webseitenbetreiber verschickt, die Schriftarten von Google-Servern einbinden. Denn das Einbinden von dynamischen Webinhalten wie Google Fonts von US-Webdiensten ist ohne Einwilligung der Besucher rechtswidrig. Webseitenbetreiber können auf Unterlassung und Schadensersatz verklagt werden.
Wir hatten hier im Blog zu diesem Urteil des Landgerichts München bereits berichtet. Und wie es zu erwarten war, gehen auf leistungslose Abzockerei spezialisierte Gestalten nun auf Webseitenbetreiber direkt los, anstatt sich an die Datenschutzbehörden zu wenden und zunächst dort um Abhilfe zu bitten. Klar, denen ist es an sich völlig egal, was mit ihrer IP geschieht, die wollen nur Kohle. Man kennt das alles ja schon seit den Kindertagen des Internets bis zum Erbrechen (Gravenreuth und andere), ich finde es empörend, dass das Landgericht München solcherart „Geschäftsgebaren“ auch noch fördert. Beschwerde an die Datenschutzbehörde, und wenn dann nicht Abhilfe geschaffen wird, Abmahnung, das wäre ja akzeptabel m.E. – aber so, wie es jetzt ist, ist es nur eine Einladung für die übliche zwielichtige Szene.
Deshalb noch einmal der Hinweis auf das Plugin OMGF von Daan van den Bergh für WordPress-Sites. Funktioniert perfekt, und für die meisten Anwendungsfälle reicht die kostenlose Version. Falls es mit der nicht klappt, oder Sie Support benötigen, können Sie eine Lizenz erwerben, erhältlich ab 19€ / Jahr. Daan ist übrigens sehr freundlich und hilfsbereit, wenn man für komplexere Anwendungsfälle mit den vielfältigen Einstellungen des Plugins Probleme hat.
(Falls Sie kein WordPress nutzen, nochmals der Hinweis auf unseren ersten Artikel zur Problematik, dort sind auch Lösungsansätze für andere Szenarien beschrieben.)
