Wünsche Euch allen einen guten Rutsch und einen angenehmen Start ins Jahr 2007!

Mögen all Eure Wünsche für das neue Jahr in Erfüllung gehen und die guten Vorsätze nicht all zu schwer fallen… 😉

Bis nächstes Jahr dann mal.

Wenn ich die Meldungen der letzten Wochen jetzt zum Jahresende mal ein wenig Revue passieren lasse, dann kommt mir als erstes ein spezielles Thema in den Sinn: die Fernüberwachung privater PCs aka Online-Hausdurchsuchung. Nordrhein Westfalen hat bereits ein Gesetz verabschiedet, welches diese Handlungen erlaubt und keine Sau interessiert es. Nun will auch Niedersachsen nachziehen, weitere Bundesländer werden sicherlich folgen. Nebenbei bemerkt find ich es erstaunlich, dass diesmal nicht Bayern Vorreiter ist, aber das ist nebensächlich.

Tatsächlich ist in den letzten Wochen viel Müll verbreitet worden, was die Methoden des Eindringens in PCs angeht, viele Meldungen erwecken den Anschein, es würde ein Über-Trojaner entwickelt werden, der „mal eben“ einem potentiellen Terroristen untergejubelt wird und dann auf dessen PC anschlagsvorbereitung.doc und sprengsatzkostenanalyse.xls findet und die Inhalte an die Behörden weiterreicht. Dass dies größtenteils Schwachsinn ist, konnte man mittlerweile nun ebenfalls nachlesen, wenn der gesunde Menschenverstand oder das Know How für diese Erkenntnis nicht ausreichte.

Nachdenklich macht mich in diesem Zusammenhang allerdings der zeitliche Ablauf diverser Ereignisse. Im September verabschiedete das Bundeskabinett den Regierungsentwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Darin enthalten ist beispielsweise ein Passus, der den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe stellt. Gut, staatliche Behörden sind von derartigen Regelungen ausgenommen, Polizisten oder Beamte des Bundesgrenzschutzes dürfen unter bestimmten Voraussetzungen auch auf Menschen schießen. Aber interessant ist der Abschnitt, in dem Herstellung, Überlassen, Verbreitung oder das Verschaffen von „Hacker-Tools“, die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, unter Strafe gestellt werden soll.

Das muss man sich nun einmal auf der Zunge zergehen lassen:
Es sollen Gesetze geschaffen werden, die „Hacker-Tool“ faktisch verbieten. Bekanntermaßen ist aber ein Werkzeug so lange ein Werkzeug, wie es nicht für illegale Handlungen eingesetzt wird. Die Geschichte mit dem Hammer, der sowohl zum Einschlagen von Nägeln als auch Köpfen verwendet werden kann, ist sicher jedem klar…
Und auch die von unseren Bundesheinis als „Hacker-Tools“ bezeichneten Werkzeuge sind vielfach nichts anderes als Werkzeuge. Die, die nötige Menge an krimineller Energie vorausgesetzt, natürlich auch missbraucht werden können. Sehr häufig werden diese Tools jedoch von Administratoren, Netzwerktechnikern und Sicherheitsbeauftragten dafür eingesetzt, Fehlkonfigurationen, Schwachstellen und Fehler im eigenen Netzwerk zu finden, um diese schließen zu können. Natürlich wäre es naiv von mir zu glauben, diese Tools würden ausschließlich dafür eingesetzt; ich bin nicht so blauäugig, so zu denken oder zu argumentieren. Allerdings werden mit diesen Gesetzesentwürfen oben genannte Personen, die tatsächlich nichts illegales tun und nur sich bzw. ihre Systeme schützen wollen, kriminalisiert. Diejenigen, die damit in Computer oder Netzwerke einbrechen wollen, kümmern sich ohnehin einen feuchten Kehricht um derartige Gesetze.

Nun stellen wir also fest: Man wird per Gesetz der Möglichkeit beraubt, seine Systeme auf Schwachstellen und Fehlkonfigurationen hin abzuklopfen. Läuft somit also unter Umständen ins offene Messer, wenn man für kriminelle Nutzer der „Hacker-Tools“ aus irgendeinem Grund zur Zielscheibe wird. Und: man hat keine (legale) Möglichkeit herauszufinden, ob man aufgrund eines Softwarebugs oder einer Fehlkonfiguration nicht zufällig ein Hintertürchen offen hält, über das entweder Scriptkiddies, Wirtschaftsspione oder aber eben auch Behörden nach Lust und Laune in den vermeintlich sicheren Daten herumwühlen. Und genau da scheint sich für mich im Augenblick der Kreis zu schließen. Ich soll nicht mehr prüfen dürfen, ob meine neuen Sicherheitsschlösser, meine Tür und mein Türrahmen sicher genug sind, damit im Fall eines Falles das Einsatzkommando sich nicht die Füße beim Eintreten der Tür bricht.

Wann wird hier in Deutschland eigentlich Verschlüsselung unter Strafe gestellt?

Es ist ein hartes Business, das Geschäft mit dem Weihnachtsmann. Jahr für Jahr müssen neue Weihnachtsmänner gefangen und abgerichtet werden, wie hart dieser Job ist, zeigt das folgende Video. Bitte unterdrückt aufkommendes Mitleid angesichts diverser Gewaltszenen, nur so können Weihnachtsmänner abgerichtet werden und ihnen der Tötungstrieb genommen werden. Dennoch solltet ihr immer bedenken: Ein Weihnachtsmann ist und bleibt ein Lebewesen aus der Wildnis, vollständig zähmen wird man ihn nie können. Also achtet auf Eure Kinder…

Rare exports: Father Christmas

[gv data=“http://www.youtube.com/v/g6x02LroEkE“][/gv]

Weiterlesen »

Advanced Access Contents System (AACS), das ach so innovative und unknackbare Digital Right Management der Zukunft, wurde geknackt. Eingesetzt wird dieses System derzeit für HD-DVD und Blue-ray-Discs und soll den Schutz hochauflösender Inhalte sicherstellen. In der Praxis sieht das wie folgt aus:
Sämtliche hochauflösenden Inhalte werden per HDCP verschlüsselt und übertragen. Unterstützt ein Gerät in der Kette (beispielsweise der Fernseher) nicht HDCP, werden die Inhalte kastriert (also in minderwertiger Qualität) dargestellt, wenn überhaupt. Zudem ist es den modernen Raubrittern Contentanbietern möglich, jederzeit Schlüssel eines bestimmten Gerätetypes zu sperren. Dies soll beispielsweise dann passieren, wenn für diesen Gerätetyp der Schlüssel an die Öffentlichkeit gelangen würde. Das hätte zur Folge, dass all diejenigen, die sich genau diesen Gerätetyp irgendwann einmal gekauft haben, plötzlich ihre Filme nur noch geringauflösend zu sehen bekommen. Also eine Gruppenbestrafung…

Einem findigen Hacker ist es nun gelungen, AACS auszuhebeln, da ein Softwareplayer (ich nehme an es ist der in diesem Beweisvideo gezeigte) seine Schlüssel ungeschützt im Speicher hält und diese somit ausgelesen werden konnten. Im Gegensatz zu AACS ist das Tool zum Entschlüsseln der Inhalte sogar plattformunabhängig, es wurde in Java geschrieben.

Ich hoffe, in nächster Zeit werden noch viele, viele weitere derartige Hacks auftauchen, die AACS nach und nach ad absurdum führen. Die damit verbundene Gruppenhaftung ist mehr als nur eine Unverschämtheit und vielen ein Dorn im Auge, führt diese doch gezielt zur Entrechtung der Verbraucher und zerstört zudem deren Eigentum. Denn als nichts anderes kann man die Zwangskastrierung der Geräte bezeichnen, die Bestandteil von AACS ist. Also gibt es nur 2 mögliche Antworten auf dieses System: nicht kaufen und die Hersteller auflaufen lassen oder aber jeden einzelnen Gerätetyp nach und nach durch Hacks aus dem Verkehr ziehen. Die Klagen gegen die Hersteller werden sicherlich alles dagewesene sprengen, wenn plötzlich alle Besitzer von HDCP-tauglichen Geräten von den Contentanbietern ausgesperrt werden…

via chip