security

Dank UEFI: You are hacked!

Logo Lighteater

UEFI ist eine Katastrophe. Das haben diesmal die Sicherheitsforscher Corey Kallenberg und Xeno Kovah besonders eindrucksvoll gezeigt. Mit Lighteater haben sie ein Rootkit vorgestellt, dass sich im BIOS einnistet und unabhängig von dem installierten Betriebssystem auf den Hauptspeicher zugreifen und beispielsweise sensible Daten auslesen kann.

Well done.

Und jetzt wollen wir alle Coreboot als guten und schnellen BIOS-Ersatz haben.

Sich gegen Facebook wehren

Bisher war es ziemlich einfach, Informationen auf der eigenen Website zu veröffentlichen und dann bei Facebook mit einzubinden. Dagegen geht Facebook nun aber immer mehr vor, da der Konzern es lieber sieht, dass seine Nutzer gar keine andere Webpräsenz außer die bei Facebook haben.

Anil Dash zeigt in seinem Blogpost „Facebook is gaslighting the web. We can fix it.“an Hand von Beispielen, wie Facebook in den U.S.A gerade agiert:

E-Learning-Blog: 

Web-Sicherheit: X.509 PKI wird kompromittiert

Public Key Infrastructure - klingt nach Großprojekten für Unternehmen, aber tatsächlich fußt die Sicherheit des Internet auf eine solche PKI. Sobald man mit seinem Browser auf eine Login-Seite eines Webdienstes geht, sollte SSL/TLS im Spiel sein und damit auch eine PKI nach dem Standard X.509.

E-Learning-Blog: 

Sicherheit und Gesundheitskarte

Ich wollte schon länger einen ausführlicheren Beitrag zum Thema Gesundheitskarte schreiben, nur war ich mir die ganze Zeit nicht sicher, wie ich das Thema hier unterbringen könnte. Nach dem 11. September 2001 scheinen ja einige in Politik und Wirtschaft feuchte Hände bekommen zu haben, da mit einem Mal Projekte möglich waren, die aus technischer und rechtlicher Sicht sehr fragwürdig sind: Biometrie- und RFID-Pass, Vorratsdatenspeicherung, Online-Trojaner, Steuernummer, Gesundheitskarte, JobCard. Da kommt mir Kris' Blogbeitrag zur generellen Sicherheitsproblematik von Chipkarten wie der Gesundheitskarte gerade recht:

Kurz: Wenn man ein Angreifermodell für eine Sicherheitsanalyse konstruieren sollte, das für den Verteidiger möglichst pessimal ist, dann kommt etwas heraus, das einer kontaktlosen Chipkarte und ihrem typischen Benutzungsumfeld sehr, sehr ähnlich ist.

Für Fahrkarten mag das vielleicht ausreichend sein, für Zugangskontrolle eher nicht. Für Ausweise? Öh. Da wäre man schon sehr dämlich von einer Industrielobby gekauft, wenn man sich als Staat für so etwas entschiede. Ich erwarte jedenfalls auf Grund der Verteidigungssituation in diesem Szenario nicht, daß irgendeiner dieser Chip für nennenswerte Zeit einem Angriff stand hält. Nein, auch nicht die in meinem Paß und Perso.

Dass die Gesundheitskarte nicht nur von ein paar immer nörgelnden Randgruppen kritisch gesehen wird, verdeutlicht vielleicht dieser Ausschnitt einer heise-Meldung:

E-Learning-Blog: 

Blauäugigkeit im Informationszeitalter

Selbst in der Matrix stöpselt man sich noch Kabel ins Hirn. Nicht so in der Medizintechnik:

Moderne Herzschrittmacher und implantierbare Defibrillatoren verfügen über eine Funkschnittstelle, mit der Ärzte ohne nochmalige Eingriffe in den Patienten protokollierte Daten über die Funktionen des Geräts auslesen und neue Einstellungen vornehmen können. Dabei ist es etwa beim Herzschrittmacher möglich, den Takt komplett abzuschalten oder ihn zu Testzwecken hoch- oder runterzufahren.

Fehlerfreie Softwareentwicklung beim BMI

Wer in der E-Learning-Branche tätig ist, weiß, wie schwer es ist, einen Webdienst oder ein Lernprogramm halbwegs fehlerfrei auszuliefern. Natürlich arbeiten in unserer Branche nicht solche Könner wie beim Bundesinnenministerium. Dort ist man sich nämlich sehr sicher, dass deren Softwareprodukte, namentlich der Bundestrojaner, selbstverständlich keine Fehler enthält, von anderen nicht analysiert werden kann und vor allem nicht entdeckbar ist.

Hacker-Tools und Trotzköpfe

Was täten Sie, wenn Sie einen Vorschlag machten, und alle, aber auch wirklich alle, die sich mit dem Thema auskennen, sagten Ihnen, dass es so nicht geht? Erst mal auf stur schalten und versuchen, den Ärger auszusitzen? Das wäre nur menschlich. Aber dann dächten Sie bestimmt noch mal nach ? und änderten Ihre Meinung, wenn sich herausstellte: Das geht so wirklich nicht.

Seiten