Datenterrorist
"Die meisten Menschen sind viel zu abhängig vom System, um abgekoppelt zu werden." - Matrix _

.:: CCC analysiert Staatstrojaner ::.

"Der Chaos Computer Club (CCC) hat eine eingehende Analyse staatlicher Spionagesoftware vorgenommen. Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können."
CCC.de
08.10.11 23:05:51 - balle - 99 comments - CCC


.:: Kulturwertmark ::.

"Die aktuelle Debatte um die Finanzierung von Kunst und Kultur im digitalen Zeitalter ist festgefahren. Es fehlte bisher ein Konzept, dass zwei Ziele verbindet: Zum einen soll in Zukunft schöpferische Tätigkeit materiell gerecht entlohnt werden. Zum anderen sollen Werke allgemein zugänglich und kreativ weiterverwendbar sein, ihre Verwendung und Archivierung nicht durch DRM (Digital Rights Management) behindert werden.

Zukünftig soll der Nutzer der Werke mit Hilfe des Kulturwertmark-Systems, einer Form des digitalen Micropayments, direkt bestimmen können, welche Kreativen wieviel Geld von ihm bekommen. Jeder Teilnehmer zahlt einen festen monatlichen Betrag ins System ein, den er dann in Form von Kulturwertmark an Künstler seiner Wahl vergeben kann. Als Ausgleich stehen die Werke nach einigen Jahren oder nach Erreichen einer bestimmten Kulturwertmark-Auszahlsumme jedem zur nicht-kommerziellen Nutzung zur Verfügung."

Quelle: CCC.de
26.04.11 17:59:38 - balle - 129 comments - CCC


.:: Internetzensur durch die Hintertür? ::.

"Der Arbeitskreis gegen Internetsperren und Zensur (AK Zensur) und der Chaos Computer Club (CCC) warnen vor dem neuen Glücksspielstaatsvertrag, der zur Zeit abseits der Öffentlichkeit verhandelt wird.

Der dem CCC zugespielte Entwurf des Staatsvertrages macht deutlich, daß die Ministerpräsidenten der Bundesländer erneut über die Einführung von Internetsperren nachdenken. Der Arbeitskreis fordert die Ministerpräsidenten der Länder auf, umgehend den Stand der Verhandlungen offenzulegen und die Zivilgesellschaft zu beteiligen.

„Wir erleben hier einen weiteren Versuch, eine Zensurinfrastruktur in Deutschland aufzubauen. Diesmal kommt er unter dem Deckmäntelchen der Prävention von Glücksspielsucht, wahrscheinlicher ist jedoch die Furcht vor Steuereinnahmeverlusten durch ausländische Glücksspielseiten“, erklärt Benjamin Stöcker, Mitglied im AK Zensur. „Damit wird dem freien Zugang zu Informationen im Netz der Kampf angesagt. Dabei dachten wir, die Politik hätte aus den Debakeln beim Jugendmedienschutzstaatsvertrag und dem Zugangserschwerungsgesetz gelernt.“

Quelle: CCC
11.04.11 10:32:51 - balle - 92 comments - CCC


.:: Neue Angriffe auf den neuen Personalausweis ::.

"27C3 Frank Morgner und Dominik Oepen von der Humboldt Universität zu Berlin beschreiben auf dem 27C3 neue Angriffsmethoden auf den neuen Personalausweis (nPA). Sie zeigen, dass nicht nur die einfachen Basislesegeräte angreifbar sind, sondern auch die höherwertigen Standard- und Komfortlesegeräte mit Tastatur."
Quelle: Golem
28.12.10 12:38:48 - balle - 51 comments - CCC


.:: Zitieren bald verboten? ::.

"Der Chaos Computer Club (CCC) wendet sich gegen die Pläne zur Einführung eines Leistungsschutzrechtes für Presseverleger und fordert eine freie Informationsvermittlung und Berichterstattung. Die Einführung anachronistischer Schutzzölle ist abwegig.

Hinter dem sogenannten Leistungsschutzrecht verbirgt sich die Forderung der Verleger, die unentgeltliche – auch auszugsweise – Nutzung von Online-Artikeln untersagen zu können. Dienste wie Google News, die Nachrichten aggregieren und mit kurzen Textauszügen auf die Originalquelle verlinken, sollen zukünftig verboten oder wenigstens entgeltpflichtig werden. Hiervon wären natürlich auch Blogs betroffen, die Nachrichten zitieren, um aktuelles Geschehen zu kommentieren.
[...]
"Die Presseverleger werden hinnehmen müssen, daß News-Aggregatoren mit Überschriften, kurzen Wortkombinationen und Textteilen aus Artikeln weiterhin Geld verdienen. Sie profitieren schließlich von dieser Verlinkung. Es besteht keinerlei Zwang, Presseartikel frei ins Netz zu stellen, ebenso wie die Aufnahme in einen Suchmaschinen-Index freiwillig ist. Der Mangel an Geschäftsmodellen für das neue Jahrtausend kann kein Grund sein, mittels von Lobbyisten geschriebenen Gesetzen neue Einnahmequellen zu erschließen und dafür die Linkfreiheit abzuschaffen", sagte CCC-Sprecher Andreas Bogk."

Quelle: CCC
13.12.10 17:15:41 - balle - 29 comments - CCC


.:: Über die Sicherheit des neuen ePersos ::.

27.08.10 17:47:49 - balle - 75 comments - CCC


.:: Der CCC blinkt wieder ::.

"Interaktive Lichtinstallation „AllColoursAreBeautiful“ erstmals in Farbe – Projekt aus Kunst und Wissenschaft kommt nach München. Der Chaos Computer Club (CCC) lädt am 10. August 2010 zur Einweihung.

Der CCC München bringt das ehemalige Kaufhaus in der Tegernseer Landstraße 64 zum Leuchten: Die Fassade wird zu einem interaktiven Bildschirm, der über das Internet gesteuert wird. Über eine Webseite können Menschen aus der ganzen Welt ihre eigenen Texte, Bilder und Animationen auf der Hauswand abspielen."

Click
05.08.10 11:58:27 - balle - 460 comments - CCC


.:: Zuschauerdemokratie abwählen ::.

Ein interessantes TAZ Interview mit Constanze Kurz (CCC)

11.09.09 13:01:04 - balle - 25 comments - CCC


.:: Zu Besuch bei Zensursula ::.

"Am Freitag Vormittag machen die Internetausdrucker Ernst: Der erste deutsche Zensurvertrag soll unter Dach und Fach gebracht werden. Wir wollen dabei und präsent sein, wenn die größten deutschen Internetprovider händchenhaltend mit Bundesfamilienministerin Ursula von der Leyen den Vertrag unterzeichnen werden, mit dem sie sich ohne jegliche gesetzliche Grundlage verpflichten, unliebsame Inhalte nach Gutdünken des Bundeskriminalamtes (BKA) zu sperren und zu filtern.

Die Internetanbieter werden dabei knallhart erpresst: Um nicht in einem Atemzug mit Kinderschändern erwähnt zu werden, sollen sie am offenen Verstoß gegen das Grundgesetz mitwirken. Dabei soll es vorerst nur um die Erschwerung des Zugangs zu strafbaren Inhalten gehen. Zur Erweiterung des Systems auf die Zensur beliebiger anderer Webseiten ist lediglich eine Anpassung der Filterliste notwendig.

Jeder weiß, dass Kindesmissbrauch mit den geplanten Geheimlisten nicht bekämpft werden kann. Auch die Verbreitung von Bildern und Filmen missbrauchter Kinder ließe sich einfacher verhindern: Ginge es ihr wirklich darum, könnte Zensursula die Betreiber der Server mit den Mitteln des Rechtsstaats belangen. Die Strafverfolgungsbehörden könnten die Anbieter und Produzenten zwar effektiv verfolgen, tun es aber nicht. Denn eine bessere Ausstattung und mehr Zusammenarbeit der Ermittler sind nicht geplant. Damit entsteht erst der angeblich rechtsfreie Raum, von dem die Internetausdrucker so gern reden. Deswegen:

Wer keine Lust mehr hat auf die dreisten Lügen, wer was dagegen hat, dass Zensursula mit dem BKA geheime Sperrlisten ohne jegliche Gesetzesgrundlage vereinbart, wer offenen Verfassungsbruch nicht toleriert, wer ein unzensiertes Internet genauso wichtig findet wie wir, der nimmt seinen Hund, seine Kinder und alle seine Freunde und Kollegen am Freitag, dem 17. April 2009, mit zum Reichstagsufer am S-Bahnhof Friedrichstraße in Berlin-Mitte."

Quelle: CCC.de
16.04.09 16:30:22 - balle - 55 comments - CCC


.:: Vertrag zur Internetzensur veröffentlicht ::.



"Die ursprünglich von Familienministerin von der Leyen vorgeschlagene Ausblendung bzw. Sperrung von Webseiten soll durch einen Vertrag zwischen dem Bundeskriminalamt (BKA) und den Internet-Service-Providern (ISPs) als Zugangsanbieter zum Internet durchgeführt werden. Der dem CCC zugespielte Vertrag, der den ISPs bereits unterschriftsreif zugestellt wurde, verpflichtet die ISPs, ihren Kunden den Zugang zu einer geheimen und somit nicht rechtsmittelfähigen Liste von Domains zu verwehren.

Der Vertragsentwurf verpflichtet die ISPs, die nur werktags vom BKA übermittelten Zensurlisten geheimzuhalten. Somit sieht sich der CCC in seinen Befürchtungen [2] bestätigt, dass Frau von der Leyen zusammen mit Innenminister Schäuble und dem BKA eine Vorzensur ohne gesetzliche Grundlage einzuführen versucht.

"Der hier vorliegende Versuch des Bundesinnenministers, eine ´freiwillige´ Vorzensur ohne gesetzliche Grundlage zu schaffen, ist ungeheuerlich. Flankiert durch die Bundesfamilienministerin von der Leyen wird hier das Thema Kinderpornographie instrumentalisiert, um eine Zensurautomatik für Internetseiten einzuführen. Mit dem vorliegenden Vertragsentwurf wird nicht nur deutlich, dass das Bundesinnenministerium offenbar überhaupt kein Interesse an einer Strafverfolgung gegen die Täter hat, sondern eine geheime Infrastruktur für das Zensieren von Internetseiten plant", sagte CCC-Sprecher Andy Müller-Maguhn."

Quelle: CCC
Vertragsentwurf vom 11.02.2009

"Die Bereitstellung der Listen erfolgt in verschlüsselter Form, deren Art und Weise einvernehmlich in einer Anlage zu diesem Vertrag festzulegen ist."

Ah hat man gelernt, dass unverschlüsselte E-Mails kinderleicht zu faken sind?

"Die Sperrmaßnahmen erfolgen mindestens auf Ebene des VDN. Der ISP entscheidet auf der Grundlage des jeweiligen Stands der Technik, auf welche Weise die Erschwerung des Zugangs vorgenommen wird. Dabei stellt der ISP sicher, dass eine mögliche Beeinträchtigung der Rechte unbeteiligter Dritter auf
das nach dem jeweiligen Stand der Technik unvermeidbare Minimum begrenzt wird."


Und das DNS-Sperren ebenfalls kinderleicht zu umgehen sind?

Btw in dem Vertrag, der insgesamt 6 Seiten umfasst, davon 2 Seiten Standard-Blabla, geht es eine ganze Seite nur darum, dass niemand sehen und wissen darf was das BKA zensiert. Wenn das mal nicht, neben der Grundlosigkeit und der Grundgesetzwidrigkeit zum Himmel stinkt, dann weiss ich auch nicht...
Ist die neue Parole der "Familienministerin": Schützt Kinderschänder durch Ausblendung? Dann ist das wohl Verblendung.
Niemand will eine Zensur-Infrastruktur im Internet aufbauen!!
Und morgen und übermorgen werden garantiert niemals andere schon seit Jahren sehr interessierte Wirtschaftsvertreter auf den Rücken des Zensurrosses aufspringen und eigene VdN comitten, die nie wer ankucken darf...
Ich glaube das, denn Sarkasmus und Ironie sind mir fern wie nie. Alles wird schön aussehn. Und bunt. Mit Blumen.
Für ein floristisch, fröhlich erfreuliches Fernkommunikationsnetz!

Zypries: "Es ist ein weit verbreiteter Irrglaube, dass man im Internet irgendetwas verbieten könnte (...). Das ist, als ob man das Regnen verbieten wollte"
13.02.09 22:48:00 - balle - 56 comments - CCC


.:: Mehr 25C3 ::.



"Auf dem Kongress des Chaos Computer Clubs bauten IT-Experten ihr eigenes Mobilfunknetz auf.
[...]
Bei ihren Tests bemerkten die Hacker mehrere problematische Sicherheitslücken im aktuellen GSM-Netz: Handys verbinden sich offenbar widerspruchslos mit jeder Basisstation, die nur stark genug funkt und eine Nutzung erlaubt. Das ermöglicht einem Angreifer zunächst, sowohl Geräte- als auch Kartennummern aller Handys im Umfeld mitzuzeichnen, die diese frei preisgeben.
[...]
Die GSM-Hacker konnten bislang allerdings noch nicht demonstrieren, wie sich auf diese Art Sprache mitzeichnen lässt. Weit entfernt sind sie davon aber nicht: "Ich glaube, zwei Tage Programmierarbeit würden noch fehlen", sagte Welte. SMS-Botschaften konnten die Tüftler hingegen bereits entgegennehmen.

Quelle: TAZ
Passend dazu gibt es noch die Chaosradio Express Folge 56 zum Thema GSM Hacking

"Mit einer aufgebohrten Laptop-Karte für 23 Euro lassen sich laut Sicherheitsexperten Telefonate auf Basis des weit verbreiteten Standards Digital Enhanced Cordless Telecommunication einfach abhören."
Quelle: Heise

"Auf dem Kongress "25C3", der vom Chaos Computer Club organisiert wird, fordern Hacker die Einführung eines Bürger-Trojaners, um Volksvertreter und "Problempolitiker" heimlich online durchsuchen zu können. Zweck des Trojaners soll "mehr Transparenz und Teilnahmemöglichkeiten" in einer Demokratie sein. Wie sein Vorbild, der Bundestrojaner des Innenministeriums, verstößt auch der Bürger-Trojaner gegen den ohnehin umstrittenen "Hacker-Paragrafen"
Quelle: Indymedia

"Sicherheitsforschern ist es gelungen, das Zertifikatsystem SSL für vertrauenswürdige Internet-Verbindungen zu kompromittieren. Durch eine sogenannte MD5-Kollision konnten sie ein Herausgeberzwischenzertifikat erstellen, das alle wichtigen Internet-Browser als vertrauenswürdig einstufen."
Quelle: Heise

"Vom 25. Chaos Communication Congress (25C3) in Berlin gehen derzeit konzertierte Hackerangriffe auf Webseiten und Server der NPD aus. So haben Sicherheitstester aus dem Umfeld des Treffens, das am heutigen Dienstagabend zu Ende geht, nicht nur die Internetauftritte des Landesverbands Schleswig-Holsteins der "Nationalen" und der NPD Südwestpfalz mit dem Bild eines Affen "geschmückt", der die Hand wie zum Hitlergruss erhebt und eine Nazi-Armbinde trägt. Alternativ lädt der NPD-Server im hohen Norden auch die Website der CDU in einem Frame ein. Darüber hinaus haben die Hacker auch einen niederbayerischen NPD-Server "aufgemacht" und sich Datenbankzugang zu NPD.de verschafft."
Heise
30.12.08 20:33:00 - balle - 45 comments - CCC


.:: 25C3 - Tag 00000011b ::.



Ich glaub ich bin Silvester krank... Zumindest bin ich mit Kopf- und Halsschmerzen aufgewacht. Berlin ist eindeutig zu kalt.
Nach dem mittaglichen Frühstück am Alex ging es dann etwas mehr als eine Stunde lang in eisiger Kälte auf der "Freiheit statt Angst"-Demo im großen Kreis Parolen ("SPD und CDU lasst das Grundgesetz in Ruh!") rufend um den Alex. Dieses Jahr war die Demo gut auffindbar im Gegensatz zum letzten Congress.
"Für die Freiheit für das Leben! Schäuble aus dem Amt entheben!"
Irgendwie bin ich jetzt heiser. Egal erstmal ne Mate ^^




Marcel hat einen Lightning Talk über "Agile System-Administration" gehalten. Wer ihn nicht gesehen hat, hier sind die Slides und die dazu passende Diplomarbeit und Gesprächssituation.


Und natürlich war ich in der netten Plauschrunde von FX zum Thema "State of the art Cisco IOS exploits". Sehr interessant das IOS keine Prozesse kennt sondern jeder Prozess in Wirklichkeit ein Thread ist und somit in den Shared Memory Bereich der anderen Threads schreiben kann, man fühlt sich an alte Windowsexploits erinnert. Desweiteren hat Pheoelit IOS-Image-independent Shellcode, sowie einen Remote-Code-Execution Exploit in Form eines ICMP Echo Request Packets entwickelt. Früher haben IOS Exploits immer nur für ein bestimmtes Image funktioniert, weil die Anfangadresse des Heap Speichers, in dem auch der Stack liegt, abhängig ist von der Größe der Code- und Data-Segmente, auf Deutsch wenn Cisco etwas an derem Programmcode ändert, variieren diese Adressen. Aber FX hat nicht nur neue Angriffsmethoden präsentiert, sondern auch ein durchaus interessantes Tool mit dem Namen CIR, mit dem man IOS Core Dumps analysieren kann. Ein solches Core Dump enthält neben dem aktuellen Stack und Prozessor Registers auch eine Packet History für alle Interfaces, was zur Folge hat, dass man das Packet in PCAP dumpen kann, das den Core erzeugt hat. Sowohl nützlich für Computer Forensik als auch für Fuzzing.
30.12.08 13:27:00 - balle - 50 comments - CCC


.:: 25C3 - Tach 0x02 ::.



Tag zwei ist vorbei. Heute habe ich mir u.a. den Vortrag über Symbian Sicherheit von Collin Mulliner angehört und interessante Details über das meist verbreitete Mobile Phone OS erfahren.
Symbian ist ein Single-User-System, basierend auf einem Micro-Kernel. Der OS-Code ist von der UI separiert, was u.a. zur Folge hat, dass mehrere Anbieter ihre eigene Oberfläche schreiben und man somit vielleicht gar nicht weiß, dass man ein Symbian OS hat. Als Sicherheitsfeatures bietet es Capabilities, aller Code, der ausgeführt werden soll, muss signiert sein, der Stack ist allerdings nur non-executable auf neuen ARMv6 CPUs und auf allen Prozessoren nicht randomisiert (Start Adresse ist 0x00400000).
Mittlerweile wird die Posix API unterstützt und eine Hand voll gängige Libs wurden portiert wie Libc, Libssl, Libcrypto, Libm, Glib. Als IDE / Remote Debugger wird Carbide in Verbindung mit Idapro empfohlen.



Ansonsten war ich verdutzt, dass schon am Hacker-Vormittag (ca 13:00) des 2. Tages (korrigiere! am Abend des ersten Tages!) alle Dauerkarten ausverkauft waren! Man merkt áuf jeden Fall es ist sehr voll dieses Jahr und findet nur noch schwer einen Platz wo man sich mal hinpflacken und in Ruhe bloggen oder gar Strom tanken kann. Was ansonsten noch auffällt ist, dass die meisten Vorträge in Englisch sind (es wird gemunkelt, dass das etwas mit dem Hackerparagraphen zu tun hat) und dass die Anzahl der Netbooks explosionsartig angestiegen ist.
29.12.08 02:02:42 - balle - 194 comments - CCC


.:: 25C3 - Digitale Intimsphäre ::.



Der zweite Vortrag, den ich mitgenommen habe, war über das neue Grundrecht auf digitale Intimsphäre, vorgetragen von Constanze Kurz und einem Richter, der mal ein wenig erzählt hat was "richterlicher Vorbehalt" in der Praxis zu bedeuten hat. Z.B. hat in Bayern ein Richter sage und schreibe 2 Minuten Zeit, um sich die Aktenstapel "durch zu lesen", die die Durchsuchung rechtfertigen sollen und um seine Unterschrift unter das Formular zu kritzeln, in anderen Bundesländern sind es wenigstens eine halbe Stunde. Alles in allem viel zu wenig Zeit um wirklich beurteilen zu können ob eine Durchsuchung gerechtfertig ist oder nicht. Das sollte man immer im Hinterkopf haben, wenn die Politik behauptet eine Maßnahme sei ja gar nicht so schlimm, weil da ja ein richterlicher Beschluss zu notwenidig sei (siehe Online Durchsuchung oder Zugriff auf Vorratsdaten).
Desweiteren war nett zu erfahren, dass eine Urheberrechtsverletzung von 39.95 Euro "verhältnismäßig" ist, um eine Durchsuchung anzuordnen. Das schockt mich jetzt nicht soo sehr schließlich hat früher in einem Fall schon mal eine unbeschriftete Cd bei einer routinemäßigen PKW-Kontrolle als Verdachtsmoment ausgereicht.
Ansonsten gehen die beiden Vortragenden davon aus, dass das neue Grundrecht dazu führt, dass das LKA / BKA / Bedarfsträger nicht mehr bei einer normalen Hausdurchsuchung auch gleich alle Festplatten beschlagnahmen dürfen. Sollte Euch das passieren und wertet ihr die Beschlagnahmung der Datenträger als unverhältnismäßig, solltet ihr neben Eurem Anwalt vielleicht ebenfalls den CCC kontaktieren, denn der würde solch einen Präzedenzfall gerne einmal durchfechten.
27.12.08 21:05:13 - balle - 27 comments - CCC


.:: 25C3 - Tag 1 ::.



10:34. Von der Müllabfuhr geweckt. Es ist kalt in Berlin zumindest verglichen zu Freiburg, aber das war ja zu erwarten. Was ebenfalls zu erwarten war wie jedes Jahr die Frühstück-Pilgerfahrt zum Alex! Und wie gewohnt verpeilt man den ersten Vortrag, den man sich anhören will. Also alles im normalen Bereich :)



Der erste Vortrag, den ich dann gesehen habe, war der zum Thema Hackerparagraph und dessen Auswirkungen. Auf dem Podium waren zwei Menschen aus IT-Security Firmen, einer aus Lehre und Forschung und einer von Heise Sec. Alle sind sich einig, dass der Paragraph sie in ihrem Beruf einschränkt oder gar behindert und er somit eine immense Verschlechterung für den IT-Standort Deutschland darstellt. Es gibt zwar reale Anzeigen wie gegen das BSI oder die Firma Nruns oder die Selstanzeige des iX Chefredakteurs, allerdings noch keine Verurteilung und es wurde dazu aufgerufen den Paragraphen zu ignorieren und weiter zu machen wie bisher, denn, so witzelt man, schlimmstenfalls wird man angezeigt und dann braucht der Richter einen Gutachter und dieser wird höchstwahrscheinlich vom CCC gestellt werden.

Und nun sitzt man gemütlich in ner Couch und kuckt nem Typen zu, der auf einer Lasergitarre klimpert.
27.12.08 15:56:48 - balle - 52 comments - CCC