Peter's Insider Blog - Datenschutz

Banken: diverse Sicherheitslücken

nospam@example.com (Peter) — Tue, 21 Nov 2006 22:11:00 +0100

Viele Webmaster von Schweizer Banken sollten sich selbst an der Nase nehmen, tragen sie doch nicht gerade zum Sicherheitsgefühl der Kunden bei. Diverse XSS(Cross Site Scripting)-Lücken wurden gefunden, doch nicht nur bei Banken, auch grosse Zeitungen wurden nicht von den Sicherheitstests der letzten Tage verschont. Erstaunlich ist, dass viele private Seiten besser vor XSS geschützt sind als bei Banken, wo doch Sicherheit im Normalfall gross geschrieben wird. Die Sicherheitslücken können Phisher dienen und lassen den User in einem Gefühl der Sicherheit zurück. Mein erstes öffentliches Security Advisory zum Thema XSS habe ich übrigens am ersten April 2003 herausgegeben, und es war noch nicht einmal ein Aprilscherz, denn die Gefahren des XSS sind allgemein bekannt, naja das habe ich zumindest gedacht...

Nachfolgend werden alle bis dato bekannten und in den letzten Tagen gefundenen Sicherheitslücken in Banken und Zeitungen gelistet, alle Betroffenen wurden im Vorfeld über die Lücken informiert. Viele der Lücken sind aber immer noch vorhanden.

Benbit's Liste:

Bank Vontobel
Thurgauer Kantonalbank
Raiffeisen
Tagesanzeiger
Blick
n-tv

Peter's Insider Blog Liste:

Anker Bank (XSS)
Lombard Odier Darier Hentsch (Gateway)
Jyske Bank (critical)
Bank Thalwil (XSS)

Anmerkungen zum Bug der Jyske Bank: Die Jyske Bank ist Dänemarks zweitgrösste Bank, es ist also ein Problem Kopenhagens. Die dort implementierte (muss man fast schon sagen) Sicherheitslücke ist besonders grausam, da sie auch über eine HTTPS Verbindung funktioniert, sofern die Seite des Phishers auch verschlüsselt übertragen wird. So wird dem Benutzer gesagt er sei auf der Seite der Bank und als Sicherheitszertifikat(im Firefox 2.0) wird das der Jyske Bank angezeigt:

Nach den Online-Archiven der Zeitungen sind somit die Banken ins Visier der Blogger geraten.

PS: Morgen am 22.11.2006 um 22:11, wird in diesem Blog der Start eines neuen Web 2.0 Sicherheitstool bekannt gegeben.

Datenschutz: Referer im Firefox abstellen

nospam@example.com (Peter) — Mon, 16 Oct 2006 20:58:55 +0200

Um ein altes Thema wieder aufzugreifen: Falls man die Spuren, welche man im Internet hinterlässt etwas verkleinern will, sollte man die Bekanntgabe des Referers im Browser abschalten. Nun was ist eigentlich ein Referer. Der Referer, der eigentlich Referrer heissen würde, bedingt durch einen Schreibfehler im RFC2061, welches HTTP 1.1 beschreibt, heisst er aber Referer. Wikipedia erklärt:

Ein Referer ist die Internetadresse der Webseite, von der der Benutzer durch Anklicken eines Links zu der aktuellen Seite gekommen ist (engl. to refer „verweisen“).

Dazu ein Beispiel:

Angenommen ein Benutzer surft auf dem Eintrag von Roche in der Wikipedia, findet dort einen Link der auf eine externe Seite zeigt (Beispiel Roche.com). Beim Klick auf den Link der zu Roche findet wird bei der Seitenanfrage an Roche.com den Ursprungsort (also die genaue Seite auf Wikipedia) mitgesendet.

Eigentlich kein Problem und trotzdem die Zieladresse muss es eigentlich nicht interessieren woher Sie kommen, sicherlich Webmaster haben eine Riesenfreude daran zu wissen woher ihre Besucher denn kommen. Referer sind für Webmaster auch nicht zu Authentifikationszwecken zu gebrauchen, da sie allzu leicht manipuliert werden können. Aus diesen Gründen kann man diese Funktion getrost abstellen.

Wie man die Weitergabe des Referers im Firefox abstellt:

1.) Geben Sie in der Adresszeile about:config ein

2.) Geben Sie referer in das erscheinende Filter-Feld ein

3.) Setzen Sie den Wert network.http.sendRefererHeader (rechte Maustaste/Bearbeiten) von 2 auf 0.

Fertig ab nun werden Referer nicht mehr übertragen.

Falls es zu Problemen mit einzelnen Seiten kommt, kann man mit analogem Vorgehen, den Wert von 0 wieder auf 2 setzen.

Überwachung des gesamten CH-Internetverkehrs

nospam@example.com (Peter) — Sun, 21 May 2006 19:07:34 +0200

Laut der Sonntagszeitung will der Bund den Ganzen schweizerischen Internetverkehr erfassen und speichern, die ersten Versuche sollen bereits dieses Jahr starten. Bis 2009 soll das Ganze Realität werden. (via blogg.ch)

Wie sinnvoll das Ganze ist ist höchst fraglich, denn wenn jemand nicht will, das jemand seine emails mitliest, dann kann er diese verschlüsseln. Den Terrorismus als Grund für die Überwachung anzugeben scheidet so zumindest aus.

Der technische und wirtschaftliche Aufwand der für eine totale Überwachung des CH-Internetverkehrs betrieben werden muss ist meiner Meinung nach um ein vielfaches höher als der Nutzen, den man aus solch einem System zu ziehen hofft.

Cumulus Karte? / Coop Karte? : mögliche Antworten

nospam@example.com (Peter) — Wed, 15 Feb 2006 18:48:00 +0100

Bisher konnte ich mich immer der Migros Cumulus sowie der Coop Karte erwehren. Allerdings fragen die Verkäuferinnen und Verkäufer trotz "Marktsättigung" immer noch stur nach. Cumulus Karte? Coop Karte? Jetzt ist es ja langweilig mit einem Nein zu Antworten. Mögliche Antworten, die mir spontan eingefallen sind auf die Frage Cumulus Karte? bzw. Coop Karte?

Nein Danke, ich finde den Coop auch ohne Karte.
Nein Danke ich schreibe nur noch Emails.
Danke, ich habe schon gegessen.
Sehe ich so aus?
Ich weiss.
Nehmen Sie auch die Cumulus Karte? (im Coop)
Nehmen Sie auch die Coop Karte? (in der Migros)
Wo hab ich sie nur? (murmeln und 5 Minuten nach ihr suchen ohne sie zu finden; freut alle Beteiligten)

Auf weitere Vorschläge von eurer Seite warte ich gespannt...

coComment - Albtraum eines Datenschützers

nospam@example.com (Peter) — Sun, 12 Feb 2006 18:27:51 +0100

coComment ist wohl der Albtraum eines jeden Datenschützers, bekommt man doch fast alle Kommentare, die eine registrierte Person abgibt auf dem Silbertablett präsentiert. Nicht nur die eigentlichen Kommentare können für einen Datenjäger (Werbungsagentur/Ermittler) von Interesse sein, sondern auch der Zeitpunkt zu dem die Kommentare abgegeben wurden oder überhaupt der Zeitpunkt an sich. Wenn man sich die Kommentare eines bestimmten Benutzer anzeigen lassen will, kann man einfach http://www.cocomment.com/comments/<Benutzername> in den Browser eingeben et voilà alle Kommentare, die ein Benutzer abgegeben hat (und geloggt hat) werden aufgelistet und auf unbestimmte Zeit aufgehoben.

Auch die Datenschutzrichtlinien von coComment können mein Herz nicht wirklich erwärmen, coComment mag vielleicht ein interessanter Ansatz sein, diese Art von Full-Disclosure oder gläsernen Benutzer gefällt mir aber überhaupt nicht. Klar wären diese Informationen auch anderweitig verfügbar, allerdings mit einem erheblichen Mehraufwand, wenn man z.B. hunderte von Benutzer analysieren würde.

Windows Live Messenger: MSN Nachfolger mit Sammelwut

nospam@example.com (Peter) — Tue, 24 Jan 2006 18:41:47 +0100

Falls ihr nicht zu den Glücklichen (unglücklichen/privilegierten/bemitleidenswerten/begnadeten/armen) Personen gehört die eine Einladung für die nächste Version des MSN Messengers habt, könnt ihr dieses Tool zu verwenden um trotzdem in "Genuss" des Messengers zu kommen.

Hier ein Screenshot des next generation Messengers

Das erste und negativste, was mir am neuen Messenger aufgefallen ist, ist die Tatsache, das man die Möglichkeit hat zu jedem Benutzer Daten in Hülle und Fülle zu erfassen.

Man kann also nicht nur mit seinen Freunden und Bekannten chatten, sondern vielmehr sämtliche bekannten Daten abspeichern. Diese Daten werden dann wohl, wie das Ganze Profil auf den MSN Server geladen und dort gespeichert. Wenn einer dieser Server gehackt wird, darf Microsoft mit theoretischen Klagen in Milliardenhöhe rechnen, wie damals bei dem Passport.net-Hack.

[Update] Der MSN Messenger 8 Beta (Windows Live Messenger) ist auch auf Deutsch erhältlich. [/Update]

die NSA spioniert auch Amerikaner aus

nospam@example.com (Peter) — Fri, 16 Dec 2005 21:52:48 +0100

"Bush authorized NSA to spy on Americans" - So what?

Bush soll es der NSA erlaubt haben nach dem 11. September 2001 den Gesamten Datenverkehr der USA ohne richterlichen Beschluss abzuhören. Ich frage mich allerdings, was daran skandallös sein soll, die NSA hört mit Echelon jetzt schon beinahe den ganzen Datenerkehr der Welt ab, sobald allerdings sogar die Amerikaner auch noch abgehört werden wird das Ganze zum Skandal. (Die NSA ist übrigens der grösste Geheimdienst der USA, noch vor CIA und FBI)

Um diese riesige anfallende Datenmenge temporär abzuspeichern und zu durchforsten, werden sogenannte RAM-HDs verwendet, also Harddisks die komplett aus RAM bestehen bekannte Grössen der einzelnen RAM-HD sind 1 Terabyte und 2.5 Terabyte. Hier ein Bild der 1 Terabyte-version.

Gegen das Abhören der Daten hilft eigentlich nur noch Kryptographie und mit Kryptographie meine ich richtig starke symmetrische Kryptogrpahie, mit langen Schlüsseln.
PGP, das auf den RSA-Kryptosystem (bzw. Diffie-Hellman) setzt und in die Gruppe der asymetrischen Kryptographie gehört ist nur solange sicher, solange die Grösse der verwendeten Schlüssel kontinuierlich erhöht wird, mit Einigem an Rechenpower, den die NSA hat (ich bin mir sicher, dass gewisse Systeme der NSA auf PGP optimiert sind) , ist auch PGP knackbar, nicht von heute auf morgen zwar, aber immerhin.

Eine Aussage, die man häufig antrifft: "Ich habe nichts zu verbergen", so eine Aussage ist schlichtweg dumm und unüberlegt, es ist ja nicht so das man tagtäglich mit einem Geheimdienst konfrontiert wird, aber es ist so, dass die (Werbe-)Unternehmen, wie auch Google gezielt Daten sammeln, um dem Benutzer das zu präsentieren, was er sehen will, schön und gut denkt man. Einerseits schon, andererseits lässt man sich so in seinem (Kauf-)Verhalten steuern, bzw. beeinflussen. Bevor man sich zu solch einer Aussage hinreissen lässt, sollte man sich das Ganze nocheinmal gründlichüberlegen, immerhin geht es um einen Eingriff in die Privatsphäre, um einen Eingriff in die Freiheit.

Die Bush Administration übrigens kann sich in der letzten Zeit vor Negativschlagzeilen gar nicht mehr schützen, was zur Folge hat, das der Patriot Act am 31.12.2005 hoffentlich nicht verlängert wird, und so keine "gesetzliche" Grundlage mehr besteht um freiheitsberaubende Massnahmen durchzuführen.