Archiv für aktuelles

„No IOS Zone“ legt iPhones lahm

Ein bitterböser IOS-Bug sorgt dafür, dass Angreifer mithilfe manipulierter SSL-Zertifikate iPhones crashen und in einem Bootloop landen lassen können. Lustigerweise nennen sie den Bug „No iOS Zone vulnerability„. Demonstriert haben sie das auf der RSA Conference und haben sich dabei einer weiteren Verwundbarkeit namens WiFiGate bedient. Letzteres ist kein Bug, sondern ein Feature. Diverse Mobilfunkprovider konfigurieren wohl still und leise in die iPhones die Daten ihrer öffentlichen Hotspots, damit sich die Geräte ihrer Kunden automatisch verbinden können. Was dann wieder für große Freude bei den Kunden sorgt: „Guck mal, bei meinem iPhone muss ich da nichts konfigurieren, da klappt das ganz automatisch“.

Dumm ist dabei nur, dass man als Angreifer einfach einen passenden Hotspot basteln kann und die iPhones verbinden sich fröhlich. Neben wunderschönen man-in-the-middle Aktionen sind auf diese Weise dann auch die oben beschriebenen Angriffe möglich und man legt mal eben eine ganze Menge iPhones auf einen Schlag lahm.

Hier in Deutschland scheinen die Provider das noch nicht zu tun (müsste man mal hinterher recherchieren), aber die Jungs haben da eine schöne Liste mit SSIDs diverser Carrier. Und es scheint zu genügen, dass die SSID den richtigen Namen hat, damit die Geräte sich verbinden. Einfach wundervoll… Oder um es mit Fefe zu sagen: m(

Tags: , , ,

Weitere Abmahnungen für virale Bilder

hgm-press Michel OHG lässt weiterhin Fotos abmahnen. Wie schon im Fall der Lego-Bilder handelt es sich bei den abgemahnten Aufnahmen um virale Fotos, die vor einiger Zeit durchs Netz gingen und dabei keine geringe Verbreitung erreicht haben. Und auch diesmal weiß mindestens einer der Künstler überhaupt nichts davon. Detailliert könnt ihr Euch das wieder drüben bei Nerdcore und We like that zu Gemüte führen.

Interessant an der ganzen Geschichte ist in diesem Fall, dass sie für mich sehr den Spinnereien ähnelt, die in der Vergangenheit gern mal in den Kommentaren zu Artikeln geäußert wurden, die sich mit derartigen Abmahnungen befassten. Wie oft las ich schon die „Geschäftsidee“ Ich-kaufe-mir-nachträglich-die-Rechte-an-irgendwas-bekanntem-und-mahne-alle-ab. Wenn nun tatsächlich Fälle auftauchen, in denen irgend jemand auf einmal Rechte an Bildern geltend macht, die vor einiger Zeit viral verbreitet wurden, dann kommt wahrscheinlich nicht nur mir das etwas komisch vor. Zumal es sich um Bilder handelt, die eigentlich nur durch ihre Viralität interessant wurden und für die nun plötzlich Exklusivität beansprucht werden soll. Exklusivität, die man im Fall der Lego-Bilder niemals hatte

Ein wichtiger Schritt von Seiten der Blogger wurde nun angestoßen, Rene schreibt darüber:

„Außerdem: Wir – mehrere bekanntere und unbekanntere Blogger – haben uns zusammengeschlossen und koordinieren im Hintergrund Abwehrmaßnahmen für Bösartigkeiten wie die aus dem Hause der hgm-press Michel OHG. Wir streben politische Lösungen, als auch sehr pragmatische Tools an, die man als Blogger anwenden kann, um solchem Pfeiffen mit ein paar Handgriffen den ausgestreckten Mittelfinger zeigen zu können. Wie gesagt: Ich lasse mir von Arschlöchern und Anwälten garantiert keine Publikationsform zunichte machen und ich lese das „Geschäftsgebaren“ der hgm-press Michel OHG genau so: Als großflächigen Angriff auf Internet- und Sharing-Kultur in Deutschland. This will be fun.“

Fun, ganz sicher. Aber nicht nur fun, sondern hoffentlich auch weitergehende Wirkung. Und wenn dabei Unterstützung benötigt wird: Ich bin dabei!

Update 30.10.2012: Es hat den Anschein als wären die Abmahnungen rechtens, die die Iron Man Cosplay-Bilder betreffen.

Tags: , ,

Schwachsinn Leistungsschutzrecht

Die Bundesregierung hat gestern den dritten Entwurf für ein neu einzuführendes Leistungsschutzrecht beschlossen. Damit ist die Lex Google noch nicht Gesetz, aber ein erster Schritt wurde getan. Stefan Niggemeier zerpflückt in seinem Blogeintrag noch einmal sehr ausführlich die Scheinargumente für ein Leistungsschutzrecht.

Der neue Entwurf soll nun ganz speziell auf Suchmaschinen zielen, ein Passus lautet nun:

„Zulässig ist die öffentliche Zugänglichmachung von Presseerzeugnissen oder Teilen hiervon, soweit sie nicht durch gewerbliche Anbieter von Suchmaschinen oder gewerbliche Anbieter von Diensten erfolgt, die Inhalte entsprechend aufbereiten.“

Damit will man nun uns Blogger beruhigen, denn der erste Entwurf enthielt noch den Wortlaut:

„Zulässig ist die öffentliche Zugänglichmachung von Presseerzeugnissen für nichtgewerbliche Zwecke.“

und sorgte unter anderem auch deshalb dafür, dass der Entwurf öffentlich zerpflückt wurde.

Besser macht es die geänderte Passage nun aber auch nicht. Vielmehr ist man nun bemüht, diejenigen aus der Schusslinie zu bringen, die den Entwurf am stärksten kritisiert haben. Und versucht zu verdrängen, dass das gar nicht der einzige und allein entscheidende Grund dafür war, dass der Entwurf so viel Kritik geerntet hat und schlicht als Unsinn eingestuft wurde.

Was ist denn das Ziel dieses Gesetzes? Die Verlage möchten ein ordentliches Stück von dem Kuchen abbekommen, den bspw. (oder besser: vor allem) Google an Werbeeinnahmen erwirtschaftet, die unter andere durch die Einblendung von Werbung bei der Google-Suche in die Kassen fließen. Wo unter anderem auch Links zu Inhalten der Verlage erscheinen.

Es wird argumentiert: Googles Geschäftsmodell basiert allein darauf, die Arbeit anderer kostenlos zu nutzen, um selbst Geld zu verdienen. Und davon soll Google nun ordentlich etwas abgeben, schließlich profitiere Google ja davon, indem es die Inhalte der Verlage kostenlos anbietet.

Das ist natürlich in vielerlei Hinsicht Schwachsinn, um es einmal ganz sanft zu formulieren. Google bietet keine Inhalte an, weder in der Suche noch in den News. Google blendet kurze Snippets ein, die einen Überblick über den Inhalt geben sollen und so dem Nutzer ermöglichen zu erkennen, ob ein Suchergebnis möglicherweise den gewünschten Inhalt liefern könnte. Dieses Snippet ist aber der Stein des Anstoßes und wird nun von den Verlagen als „Unerlaubte Verwendung der Inhalte“ interpretiert.

Interessant dabei ist aber, dass die Verlage nun auf ihren Seiten bewusst dafür sorgen, dass die Snippets mit Inhalten gefüllt werden. Man betreibt also einen gewissen Aufwand, um genau das mit mehr oder wenigen sinnvollen Inhalten zu befüllen, was einem ein Dorn im Auge ist. Google nutzt für die Darstellung der Snippets bevorzugt Inhalte der Meta-Description. Existiert diese nicht, wird ein Ausschnitt aus dem eigentlichen Inhalt eingeblendet. Wenn man es wünscht.

Das ist das entscheidende: Man kann mit minimalem Aufwand dafür sorgen, dass in den Suchergebnissen keine Snippets aus der eigenen Seite angezeigt werden. Um das beispielsweise in den Google News zu unterdrücken, muss lediglich ein kurzer Eintrag im Header der Seite auftauchen:

<meta name="googlebot-news" content="nosnippet">

Schon wird für diese Seite lediglich die Überschrift in den Suchergebnissen angezeigt. Ganz abschalten ließe sich die Indexierung ohnehin, zum Beispiel mittels robots.txt oder ebenfalls durch entsprechende Meta-Tags. Und hier wird nun von verschiedenen Befürwortern des Leistungsschutzrechts argumentiert: Es kann nicht sein, dass man Maßnahmen ergreifen muss um Google daran zu hindern, sich unrechtmäßig an den Inhalten der Verlage zu bereichern.

Dieses Argument ist aber keins. Einerseits, weil dieser Aufwand vollkommen zu vernachlässigen wäre und von jedem Anfänger binnen Sekunden erledigt und auch nur ein einziges Mal zu erbringen wäre. Andererseits, weil im Gegenteil von den Verlagen bewusst ein weitaus höherer Aufwand betrieben wird, um besser positioniert und mit optimalen Snippets in den Suchergebnissen aufzutauchen.

Als Beispiel dafür habe ich mir mal eine x-beliebige Seite aus der Online-Ausgabe der Bild heraus gegriffen und in den Quellcode geschaut. Und finde hier neben diversen weiteren Einträgen die oben angesprochene Meta-Description:

<meta name="description" content="Zerrissener Anorak,ungewaschene Haare: Wer spielt den Penner, der für „Notruf Hafenkante“ vor der Kamera steht? Es ist Deutschlands berühmtester Auswanderer. " />

Hier wurde also dafür gesorgt, dass in den Suchergebnissen ein ganz bestimmter Inhalt angezeigt wird. Und so sieht das dann aus, wenn man die Seite in den Suchergebnissen findet:

Bild liefert als ganz bewusst bestimmte Inhalte an Google in einer bestimmten Form und möchte dann genau dafür von Google bezahlt werden, weil Google diese Inhalte unrechtmäßig nutzt. Eine wahnsinnig spannende Argumentationskette wie ich finde. Vergleichbar wäre das für mich beispielsweise damit, dass ein Hotel in einer Stadt einem Taxifahrer auf die Seite nimmt und sagt: Pass mal auf, wenn Du jemanden am Bahnhof aufsammelst und derjenige ein Hotel sucht, dann erkläre ihm, dass wir die günstigsten der Stadt sind und zudem noch die besten Betten, das beste Frühstück und den besten Service haben. Mit exakt diesen Worten. Und wenn Du diese Person dann in unser Hotel bringst, gibst Du uns 10% Deiner Einnahmen ab.

Irrsinnige Vorstellung? Stimmt. Aber exakt das ist die Logik hinter dem Leistungsschutzrecht.

Ganz abgesehen von der Tatsache, dass niemand Google dazu zwingen kann, Seiten in den Index aufzunehmen (oder sie dort zu belassen), für deren Verbleib Google dann zahlen müsste, ist die komplette Argumentation für das Leistungsschutzrecht auf den ersten Blick sofort als Unsinn erkennbar. Es geht nicht darum, Leistungen zu schützen, es geht nicht darum, Gesetzeslücken zu stopfen. Es geht den Verlagen allein darum, mit minimalem Aufwand mehr Geld abzuschöpfen. Und wenn es eben dafür keine gesetzliche Grundlage gibt, dann muss eine geschaffen werden. Mit Rechtmäßigkeit hatte das niemals etwas zu tun, es werden auch keine Ungerechtigkeiten aus der Welt geschafft, sondern überhaupt erst erschaffen.

Die Verlage haben in der Vergangenheit rege Gebrauch von der Möglichkeit einer recht komfortablen kostenlosen Werbung für ihre Erzeugnisse gemacht und davon profitiert. Denn nichts anderes ist eine ordentliche Positionierung in den Suchergebnissen von Google: kostenlose Werbung, die unter Umständen sehr viele Kunden/Besucher auf die eigenen Seiten spült. Mit dem Leistungsschutzrecht wird man sich dieser Möglichkeit wahrscheinlich berauben. Denn ich kann mir beim besten Willen nicht vorstellen, dass Google Seiten listen wird, für deren Listung sie zu zahlen haben. Somit scheint für mich der Verlierer dieses Gesetzes schon jetzt fest zu stehen. Und ich würde es auch nicht bedauern. Unter anderem auch deshalb.

Tags: , , ,

Schwerwiegende Sicherheitslücke in PHP

Heise berichtete gestern übere eine äußerst schwerwiegende Sicherheitslücke in aktuellen PHP-Versionen. Der Fehler tritt auf, wenn PHP im CGI-Modus betrieben wird und erlaubt es, PHP-Dateien im Quellcode zu sehen. Damit können beispielsweise hinterlegte Zugangsdaten für Datenbanken ausgelesen werden. Zudem ist es möglich, mithilfe dieser Lücke Code einzuschleusen und auf dem Server auszuführen, was das Problem noch schwerwiegender macht.

Durch das Übermitteln von Parametern in der URL kommt es dazu, dass PHP im CGI-Modus diese als Kommandozeilenparameter interpretiert und entsprechend nutzt. Durch die URL

http://localhost/index.php?-s

wird PHP beispielsweise mit der Option -s ausgeführt, der Quellcode der PHP-Datei wird als HTML ausgegeben.

Inzwischen wurden bereits Patches zur Verfügung gestellt, die Versionen 5.3.12 und 5.4.2 schließen die beschriebene Lücke. Wer die Updates noch nicht einspielen kann, sollte die Queries zunächst filtern. Der folgende Eintrag in der .htaccess Datei macht das möglich:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

Verschiedene Provider haben zwischenzeitlich den CGI-Modus von PHP komplett deaktiviert.

Tags: , ,