Schlagwort: Sicherheit - Seite 5

Mit wenigen Klicks das Internet sicher und privat nutzen, vor Hackern geschützt und anonym, das versprechen etliche VPN-Anbieter auf ihren Webseiten. Denn alle Daten würden durch eine moderne Verschlüsselung geschützt, wirbt etwa der Anbieter NordVPN. Dabei sind die Versprechen aber meist die Pixel nicht wert, mit denen sie auf unseren Bildschirmen ausgegeben werden.

Golem.de mit einer sehr interessante Übersicht für die VPN-Technologie und deren Anbieter. Als Fazit wird gesagt, zum Schutz der Privatsphäre eignen sich VPNs kaum bis gar nicht, zum Umgehen von Zensur oder Geo-Blocking aber sehr wohl.

Die Empfehlungen der Golem-Reaktion sind ansonsten insofern überraschend, als die „Platzhirsche“ sämtlich durchfallen, eher unbekannte Alternativen aber den strengen Kriterien der Redaktion genügen. Die Aussage jedoch, dass Tor die beste Alternative wäre, mag aus datenschutztechnischer Sicht richtig sein, nur ist die Performance von Tor so mau, dass es für die meisten modernen Anwendungen sowie Videos trotzdem ausscheidet.

28. April 2022

Der Souverän als Bettler

https://www.heise.de/tp/features/Gaskrieg-mit-Moskau-Armdruecken-ohne-Muskeln-7069112.html?seite=all

Verlierer sind am Ende die Menschen in der Ukraine, die der militärischen Aggression, wenn das Scheitern der westeuropäischen Staaten offensichtlich wird, noch machtloser gegenüberstehen. Und die Menschen in der Europäischen Union, die die wirtschaftlichen Folgen schultern müssen. Das Konfliktpotenzial ist in beiden Fällen enorm.

„Wir“ sollen frieren für den Frieden, hungern für den Frieden, stinken für den Frieden und, ganz neu, auch schwitzen für den Frieden (in Italien dürfen Klimaanlagen nur noch auf nicht weniger als 27°C gestellt werden).

Sie dürfen aber sicher sein, dieses „wir“ schließt immer diejenigen aus, die derlei Forderungen stellen. Oder glauben Sie ernsthaft, der Herr Stasi-Pfarrer, mit monatlich 20.000 € Pension aus Steuergeldern, wäscht sich ab sofort nur noch 2x wöchentlich an gerade mal 4 Stellen des Körpers?

Es kommt einem zunehmend so vor, als würden die Politiker, national wie auch auf EU-Ebene, uns im US-amerikanischen Interesse dem Bären als Knochen vorwerfen – weil damit zum Einen die USA nicht in den Fokus der Auseinandersetzung in der Ukraine gerät, wiewohl sie diese bereits seit Jahrzehnten mit aller Kraft befeuert; und zum Anderen die völlig bankrotte USA sich an der ökonomischen Vernichtung Europas gesundstoßen will.

Aber ob es nationale, oder auch EU-Politiker sind, sie alle haben doch geschworen, für das Wohl der europäischen Völker einzustehen. Wofür genau brauchen wir also diese Leute, und bezahlen sie fürstlich mit unseren Steuern, wenn sie im Fall des Falles das Diktum der USA über die Interessen der ihnen anvertrauten Menschen stellen?

9. April 2022

Heucheln gehört zum Handwerk

https://www.epochtimes.de/politik/deutschland/gruenes-licht-fuer-bewaffnung-der-neuen-bundeswehrdrohnen-a3785315.html

Um den Kauf von Raketen für die künftige Bundeswehrdrohne Heron TP wurde lange gerungen. In der großen Koalition stellte sich die SPD quer. Nun geht das Projekt geräuschlos über die politische Bühne.

Menschen haben Herz und Seele, könnten also dem Gewissen folgen, deshalb muss man nun auch Polizisten und Soldaten abschaffen, mit autonomen Killermaschinen. Wer soll die unmenschlichen und grausamen Befehle der Superreichen denn sonst ausführen?

Skynet voraus.

Doch die deutschen Drohnen sind ja immerhin – noch – nicht autonom. Interessantes Detail aber am Rande: Der Erwerb der Munition für diese Drohnen unterliegt der Genehmigung der israelischen Regierung. “Sollte sich eines Tages […] das deutsch-israelische Verhältnis einmal verschlechtern, könnte das Geld [für das Waffensystem] umsonst ausgegeben worden sein”.

Wo sind eigentlich die Grünen? Vor der Wahl machen sie einen auf Superpazifist, wollen sogar sämtliche Waffenexporte verbieten, und jetzt? Schreien sie am lautesten danach, noch die schwersten Waffen auch in Konfliktgebiete zu liefern und hecheln gierig nach der rabiaten Militarisierung Deutschlands.

Die Farbe der Partei dieser Heuchler steht offenbar nicht für den Farn im Wald, sondern für den Tarn einer Uniform? Aber das ist ja nichts Neues bei diesem Kasperlverein. Was auch immer die Grünen wollen für den „Schutz“ der Umwelt, ist ja ganz genauso wieder und wieder das schlimmste, was man der Natur nur antun kann. Wälder zerstören für Windräder. Brutaler Raubbau für E-Auto-Batterien. Und so weiter.

6. April 2022

Theorie und Praxis

https://www.danisch.de/blog/2022/04/05/aktuelles-zur-it-sicherheit/

Das BMVg gab bislang über 60 Mio. Euro für ein Cyber-Lagezentrum aus, das nicht wie vorgesehen die schnelle Eingreiftruppe der NATO im Jahr 2023 mit einem “fusionierten Lagebild” unterstützen kann. Dies liegt vor allem an unzureichender Planung.

Es ist ja nur unser Steuergeld.

29. März 2022

VMM ohne Root-Rechte

https://www.codingblatt.de/virt-manager-qemu-kvm-ohne-root/

Standardmäßig verbindet sich Virtual Machine Manager (VMM) über die URI qemu:///system mit dem lokalen libvirt-Dienst, der wiederum zur Kommunikation mit QEMU/ KVM dient. Der libvirt-Dienst wird bereits beim Systemstart gestartet und läuft mit Root-Rechten. Alle virtuellen Maschinen (VMs) die unter dieser VMM-Verbindung ausgeführt werden, laufen somit mit Root-Rechten. Aus Sicherheitsgründen ist es empfehlenswert, VMs bevorzugt ohne Root-Rechte und nur mit Benutzerechten auszuführen.

Sehr detaillierte Erläuterung, wie und mit welchen Einschränkungen sich der libvirt-Dienst im Benutzer-Kontext verwenden lässt. Häufig dient eine VM ja zur Abschottung des Host-Systems von potenziell gefährlichen oder sensiblen Daten, es kann also geboten sein, einen etwaigen Ausbruch aus einer solchen VM zu erschweren.

(Das Beitragsbild zeigt ein Emu – falls Sie sich wundern, was es hier zu suchen hat :))

28. März 2022

Kaspersky wehrt sich – BSI legt nach

https://www.pcwelt.de/news/Eugene-Kaspersky-kritisiert-BSI-Angriff-auf-deutsche-Verbraucher-11200333.html

Eugene Kaspersky kritisiert heftig die Warnung des BSI vor Kaspersky-Virenschutz. Das sei ein Angriff des BSI auf deutsche Nutzer, auf die Arbeitsplätze tausender deutscher IT-Sicherheitsexperten, auf Strafverfolgungsbeamte und auf deutsche Informatikstudenten.

Kaspersky versucht, sich gegen die Vorwürfe des BSI zu wehren. Mit durchaus nachvollziehbaren Arguemnten – aus der Homepage von Kaspersky: Wir sind ein privates, international operierendes Unternehmen, dessen Beteiligungsgesellschaft ihren Sitz in Großbritannien hat. Und abgesehen davon stehen die Server, für die das BSI den Zugriff russischer Dienste befürchtet, in der Schweiz.

Die Antwort des BSI besteht jedoch nur aus gebetsmühlenhafter Wiederholung seiner bereits bekannten Positionen.

16. März 202217. März 2022

Tango in der Schlangengrube

https://www.golem.de/news/anti-viren-software-bsi-warnt-vor-kaspersky-2203-163861.html

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Einsatz von Produkten der russischen Sicherheitsfirma Kaspersky … Bei Anti-Virensoftware sowie den damit verbundenen Clouddiensten sei Vertrauen in den Hersteller unabdingbar, da dieser über weitreichende Systemberechtigungen verfüge und eine dauerhafte, verschlüsselte Verbindung zu den Servern des Herstellers unterhalte, die zumindest für Updates genutzt werde, schreibt das BSI.

Es muss Kaspersky ja noch nicht einmal ein Nationalist sein, der bei Putin anklopft – es reicht doch schon, wenn der FSB (russischer Geheimdienst) bei ihm anklopft „Schöne Firma haben Sie da, wäre es nicht schade, wenn der was passiert…“

Abgesehen davon war es aber schon immer so, das Schlangenöl egal welchen Herstellers auf seinen Rechner zu lassen, ist ein äußerst riskantes Unterfangen. Es lässt sich kaum zählen, wieviele Skandale diversester Art diese Antivirenprodukte auf dem Buckel haben… gut, auf einem Experimental- oder Gaming-PC, wo häufig Software dubioser Herkunft getestet wird, ist ein Virenscanner mglw. sinnvoll.

Aber auf einem Rechner mit persönlichen und hochsensiblen Daten, wie Bankzugängen, Kreditkartendetails, privaten Fotos, usw., freiwillig eine Backdoor mit Systemrechten aufmachen – vielleicht bei einem völlig unbedarften Nutzer, Oma Kabuffke und so, aber sonst?

Unter Windows oder macOS empfehlen wir unseren Kunden die Nutzung des bordeigenen Scanners. Dessen Qualität ist u.E. völlig ausreichend, und Microsoft bzw. Apple muss man ja ohnehin vertrauen, falls man deren Betriebssystem verwendet. Oder man wechselt zu Linux, das tun so wenige, dass es sich für die Malware-Gangster nicht lohnt und wo es deshalb viel weniger Angriffe gibt.

„Brain.exe“ und „anti-greed.bash“ bleiben ansonsten, wie schon seit der Frühzeit der PCs, unserer Meinung der beste Schutz gegen Viren und Trojaner aller Art.

8. März 20229. März 2022

Dringende Warnung des BfV

https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/wirtschafts-wissenschaftsschutz/2022-03-04-Sicherheitshinweis.html

Im Zuge der militärischen Auseinandersetzungen in der Ukraine und insbesondere aus der Eskalation im Cyberraum ergeben sich auch für die Wirtschaft in Deutschland potentielle Gefährdungen.

Der Sicherheitshinweis für die Wirtschaft des Bundesamtes für Verfassungsschutz bietet einen Überblick über aktuelle Erkenntnisse, die für die Sicherheit deutscher Unternehmen relevant sein können.

In einem PDF warnt das Bundesamt für Verfassungsschutz (BfV) vor einer verschärften Bedrohungslage im Netz und gibt Handlungsempfehlungen für Unternehmen. Wegen der rapide zunehmenden Cyber-Angriffe sollten IT-Administratoren die entsprechenden Entwicklungen aufmerksam verfolgen und die IT-Sicherheitsmaßnahmen entsprechend anpassen.

Das BfV bietet auch vertrauliche Hilfestellung für Unternehmen, die von einem Angriff betroffen sind (weitere Info dazu im PDF).

7. März 2022

Neuer ist nicht immer besser

https://www.golem.de/news/dirty-pipe-linux-kernel-luecke-erlaubt-schreibzugriff-mit-root-rechten-2203-163680.html

Eine Sicherheitslücke, die den Namen Dirty Pipe erhalten hat, ermöglicht unter Linux das unberechtigte Schreiben in Dateien des Root-Nutzers. Damit kann sich ein einfacher Nutzer Root-Rechte verschaffen. Ein Exploit-Code steht zur Verfügung.

Der verwundbare Code wurde mit der Kernel-Version 5.8 eingebaut, Versionen davor sind nicht betroffen. Fixes sind bereits verfügbar, gefixt wurde allerdings nur der LTS-Kernel 5.10 und die aktuelle Kernel-Version 5.16 sowie deren Vorläufer 5.15. Für die Zwischenversionen 5.8, 5.9, 5.11, 5.12, 5.13 und 5.14 ist offenbar kein Patch vorgesehen, allerdings ist deren Support immer nur sehr kurz (bis zum Release der übernächsten Zwischenversion).

3. März 2022

Gefährliche Smartwatches

https://www.giga.de/news/vorsicht-brandgefahr-hersteller-ruft-1-7-millionen-smartwatches-zurueck/

Die Google-Tochter Fitbit ruft insgesamt 1,7 Millionen Exemplare ihrer Ionic-Smartwatches zurück. Der Akku läuft Gefahr zu überhitzen und in Brand zu geraten. Verbrennungen dritten Grades sind möglich.

Das größte Problem an den Lithium-Ionen-Akkus ist m.Mng. die Brandgefahr. Man unterschätzt völlig, wieviel Energie in diesen kleinen Teilen gespeichert ist, und welche Verheerungen die anrichtet, wenn sie sich unkontrolliert und schlagartig entlädt.

Aber es gibt eine neue Entwicklung in der Batterie-Technologie, Natrium-Ionen Batterien. Die sind erheblich brandsicherer als Lithium-Ionen Batterien und sie sind viel günstiger, weil Natrium das sechsthäufige Element auf der Erde ist – Lithium hingegen ist kaum noch verfügbar.

24. Februar 2022

Gewissensfragen

Vor über 30 Jahren, mein Unternehmen war noch sehr klein, nur eine Ein-Mann-GbR, und es hieß noch gar nicht Cephei, arbeitete ich dies und das. Fahrschulsoftware, Datenbank-Auswertungen, Telefonanlagen programmieren und dergleichen. Mir ging es ganz ordentlich damit, aber natürlich hätte es besser sein können.

Dann erhielt ich eine Anfrage. Die ersten Jagdflieger mit Joystick-Steuerung wurden gebaut, und man suchte Auftragnehmer für die Kodierung der nachträglichen Auswertung der beim Flug anfallenden Steuerungsdaten. Mir wurde ein, für meine damaligen Verhältnisse, geradezu märchenhafter Verdienst angeboten.

Ich habe mich schwer getan. Das schien ein Sprungbrett in eine großartige Zukunft zu sein. Und, wenn ich ablehnen würde, würde vielleicht mein gerade erst gegründetes Unternehmen gleich wieder versterben? So nach dem Motto, den braucht man gar nicht erst zu fragen, der ist so eingebildet und meint, er kann es sich aussuchen, für wen er arbeitet.

Ich lehnte ab. Ich dachte mir, wenn nur ein Kind an einer Bombe stirbt, die ein Flieger mit einer von mir mitentwickelten Steuerung abgeworfen hat, dann könnte ich mir das niemals mehr verzeihen.

Und heute also ist wieder Krieg in Europa, Russland hat die Ukraine überfallen, und keiner kann sagen, wohin das gehen wird. Ich aber habe zumindest mit den Waffen dafür nichts zu tun. Und ich weiß, meine Entscheidung von damals war richtig, und ist es immer noch.

Bei den vielen großartigen technischen Fortschritten ist unweigerlich alles in immer größerem Ausmaß von Software abhängig geworden. Ich denke, wir Programmierer sollten uns immer fragen, ob wir noch ruhig schlafen können, wenn dieses oder jenes Projekt mit unserer Denkleistung verwirklicht und auf die Menschen losgelassen wird. Ob es Waffen sind, Überwachung oder auch Big Data. All diese Dinge kommen – noch – nirgends hin ohne Programmierer, die die Software dafür schreiben.

Es läuft alles auf die eine Frage hinaus: Haben wir unseren Beruf ergriffen, um die Welt ein kleines bisschen besser zu machen? Oder interessiert uns nur der eigene Vorteil, und alle anderen sind uns egal?

„Was nützt es die ganze Welt zu gewinnen und dabei seine Seele zu verlieren?“ Matthäus 16,26

3. Februar 20224. Februar 2022

Das eigene Grab schaufeln

https://www.golem.de/news/alphacode-deepmind-ki-entwickelt-so-gut-wie-durchschnittsprogrammierer-2202-162898.html

Die KI-Spezialisten von Deepmind haben mit Alphacode ein Modell entwickelt, das Computerprogramme auf einem Niveau schreiben können soll, das mit menschlichen Programmierern mithalten kann. Unter Beweis stellte dies das Team des Google-Schwesterunternehmens, indem es Alphacode in einem Wettbewerb antreten ließ. Dort landete das KI-Modell im Mittelfeld.

Mehr als der entstandene Code verblüfft mich, dass die KI offenbar die Problembeschreibung korrekt verstehen konnte.

Bald werden also auch die Programmierer wegrationalisiert. Mal ganz abgesehen davon, dass Skynet schon wieder realistischer geworden ist… aber so oder so, in rasender Eile macht sich die Menschheit selbst überflüssig.

Wohin wird es gehen? In das schon seit jeher erträumte Schlaraffenland? Oder in eine alptraumhafte Dystopie des »Alles gehört sehr wenigen, und die allermeisten anderen werden als „unnütz“ getötet«?

Vorbilder für zweiteres gibt es in der Geschichte leider zuhauf. Ein Schlaraffenland andererseits haben wir noch nie hinbekommen.

17. Januar 202218. Januar 2022

Freie Fahrt für reiche Bürger

https://summit.news/2022/01/17/bill-would-give-u-s-government-kill-switch-in-all-new-cars/

Perhaps the worst part about the kill switch is that it would have a backdoor, allowing the police and other law enforcement agencies access … The speculation is that a warrant would not be needed to access the kill switch. The other problem with backdoors is that they are accessible to hackers … The definition of „driver impairment“ could also be applied in a more vague sense, opening the door for all kinds of abuse … It’s not inconceivable that in the future, such schemes could be linked to Chinese-style social credit score programs which punish people who express the „wrong“ opinions by limiting their access to their own vehicle.

So schnell kann man gar nicht gucken, da werden die Black-Box-Dystopieszenarien aus dem vorigen Beitrag schon umgesetzt. Aber die haben mich sogar überholt. Dass kritische Worte über die Regierung künftig das Auto abschalten, hatte ich noch nicht auf dem Schirm.

Die Gesetzesvorlage im Original finden Sie hier.

15. Januar 202215. Januar 2022

Hehre Ziele und dunkle Absichten

https://www.timesnownews.com/auto/features/article/cars-in-europe-to-get-a-black-box-and-other-new-safety-technologies-from/389820

EU has agreed to make it mandatory for all new vehicles in the continent to come fitted with a variety of new safety technologies from 2022. Aimed at protecting not only passengers, but also pedestrians and cyclists, the list of new technologies will include accident data recorder (black box), alcohol interlock installation facilitation, advanced emergency braking, intelligent speed assistance, etc … The new safety features will be made compulsory from 2022.

Das Problem an Black Boxes im Auto ist meiner Ansicht nach nicht, dass die zulässige Höchstgeschwindigkeit überwacht wird. Denn auch die EU will nicht vorschreiben, dass sie nicht überschritten werden dürfte, und es gibt ja durchaus Situationen, in denen das geboten und sogar von der STVO vorgegeben ist.

(Stellen Sie sich vor, Sie überholen auf der Landstraße mit 100 km/h einen Laster mit 80 km/h. Völlig legitimes Verhalten, Sie überschreiten nicht die zulässige Geschwindigkeit und die Geschwindigkeitsdifferenz ist ausreichend für einen Überholvorgang. Doch nun kommt Ihnen ein Irrer mit 180 km/h entgegen, womit Sie weder rechnen konnten noch mussten. Und dazu sagt auch die STVO klipp und klar, dass Sie in solch einer Situation selbstverständlich die Höchstgeschwindigkeit überschreiten dürften, um einen Unfall zu vermeiden. (Jedoch, ob aber Bremsen, Beschleunigen oder Ausweichen in die Wiese das Richtige wäre in irgendeiner gegebenen Situation wie beschrieben, kann nur im Einzelfall beurteilt werden.))

Also, dass Ihr Auto Ihnen nachweisen kann, wenn Sie zu schnell gefahren sind… nun ja. Zwingt Sie doch niemand dazu, und ohnehin können Gutachter in den meisten Fällen das auch mittels anderer Methoden. Abgesehen davon haben die meisten einigermaßen modernen Autos (seit 2013) sowieso einen Datenspeicher an Bord (Stichwort OBU), und wenn das Gericht es ernst meint, kann es diesen auch gutachterlich auslesen lassen. Kommt hin und wieder vor.

Nein, die Aufzeichnung der gefahrenen Geschwindigkeit stört mich nicht. Wer rumrast und andere damit gefährdet, soll, meiner Meinung, im Fall des Falles auch zur Verantwortung gezogen werden können… Meine Sorgen bei diesen Plänen liegen woanders. Im Zusammenhang mit einerseits den Grüne-Energie-Vorhaben, sowie andererseits den Emergency-Call-Gesetzen der EU wäre es mit Black Boxes mühelos möglich, ein System zu etablieren, das Ihren Bewegungsradius einschränkt. Sie sind ein Lohnsklave? Ihr Auto versagt an den Stadtgrenzen seinen Dienst. Sie sind ein Bonze? Natürlich dürfen Sie überall hin und sich an leeren Autobahnen erfreuen.

Sie verstehen. Man fragt sich schon, mit welchen Absichten im Hintergrund hier eigentlich gehandelt wird. Falls es tatsächlich darum geht, Kinder im Straßenverkehr zu sichern, prima, bin ich voll dafür. Aber die Erfahrung lehrt leider, die Kinder werden weiterhin gar nicht geschützt, aber jedes Missbrauchspotenzial wird voll ausgeschöpft. Wessen Interessen vertreten Politiker?

14. Januar 202215. Januar 2022

Guter Code ist überbewertet, bunte Farben sind viel wichtiger

https://www.golem.de/news/mozilla-firefox-fehler-von-gross-und-kleinschreibung-ausgeloest-2201-162418.html

Mozilla hat den Fehler in seiner HTTP/3-Umsetzung gefunden, der für den weltweiten Ausfall des Firefox-Browsers gesorgt hatte. Wie bereits schnell nach dem Ausfall bekannt geworden ist, hat eine Änderung bei einem von Mozilla genutzten Cloud-Dienst den Fehler ausgelöst. Wie nun aus dem dazugehörigen Bug-Report hervor geht, hat dieser offenbar das Header-Feld Content-Length: geändert, und der Firefox dieses daraufhin falsch geparst.

Gestern fiel weltweit der Firefox-Browser aus und ging in eine Endlosschleife. Schuld daran war fehlerhaft geparste Groß- und Kleinschreibung, heißt es. Fefe scheibt aber, und das kann ich bestätigen, wer im Firefox die Telemetrie abgewählt hatte, war nicht betroffen. Doch auch die Telemetrie ist offenbar nur der Trigger, der Fehler soll schon lang (seit V91) im Code sein.

Vor Microsoft war es immer so, Groß- und Kleinschreibung war selbstverständlich unterschieden. Inzwischen gibt es zwei Welten, und die kollidieren immer mal wieder miteinander. Das ist wohl einer der beliebtesten Fehler überhaupt, den case-insensitive compare zu übersehen. strcmpi() und so weiter.

Ich persönlich bin gespalten, was ich besser finde. Klar, das ist angenehm, wenn man sich nicht über die präzise Schreibung Gedanken machen muss, und es tippt sich einfach schneller ohne Caps. Aber es ist natürlich eine zusätzliche Fehlerquelle, und besonders tückisch deshalb, weil es vielleicht erst viel später auffällt. Wie Mozilla gerade vorgemacht hat.

Andererseits, wenn einem „Political Correctness“ wichtiger ist als die Qualität des Codes, dann ist strcmpi() wohl das kleinste Problem.