DNS okay *UPDATE*

Haha, das BSI war ja schon immer eine Lachnummer. Aber das ist ja echt hart: Ihr habt ja sicherlich von dem DNS-Changer gehört und dass es jetzt eine Testseite dazu gibt. Die Telekom hat für die Testseite dns-ok.de gesichert, aber nicht dns-okay.de. Auf letzterem hat ein Radiosender jemand Einhörner platziert. :-)

Was im ersten Moment amüsant erscheint, ist eigentlich besorgniserregend: Das digitale Schlupfloch hätte man auch anders nutzen können, z.B. für Phishing oder zum Platzieren einer neuen Schadsoftware.

Passend dazu: Das BSI bzw. die Telekom hat auch nicht die Domains dnsok.de und dnsokay.de, diese beiden Domains sind von anderen Firmen registriert.

Die Testseite ist sowieso eine tolle Nummer. Warum wird die Seite beispielsweise von der Telekom betrieben und nicht vom BSI selbst? Die geben nur ihr Logo her. Sehr vertraunswürdig. Und überhaupt: Telekom, hahahaha!

Nur die BESTEN der BESTEN der BESTEN, Sir! m)

UPDATE: Haha, genial: Die Antwortseite besteht aus reinem HTML. Scheinbar gibt es eine Weiche auf dns-ok.de, die dann entweder auf 85.214.11.195 oder auf 85.214.11.194 weiterleitet. Wenn ihr eure Freunde in die Irre treiben wollt, schickt ihnen die letzte IP. :-)

Best of 28C3 – Teil 1

Der 28C3 ist vorbei. Ich war ja nicht da, also werde ich mir jetzt einen Haufen Vorträge die nächsten Wochen reinziehen (aber nicht alle). Die Videos gibt es auf dem CCC-FTP oder beim FEM als Downloads & Torrents, ich schreibe hier mal was zu den bisher geguckten Videos. Zweiter Best-of-Teil folgt dann später. :-)

4675 – „Die Koalition setzt sich aber aktiv und ernsthaft dafür ein“
Martin Haase hat sich mal wieder die Reden von Politikern angeguckt, diesmal geht es nicht um Neusprech sondern um die Nebelkerzen von Politikern. Einfach mal wieder super gemacht und sehr spaßig.

4738 – Echtes Netz
Markus Beckedahl und Falk Lücke stellen die Kampagne „Echtes Netz“ vor, die von der Digitalen Gesellschaft e.V. im nächsten Jahr gestartet wird.

4740 – Frag den Staat
Vorstellung der Seite fragdenstaat.de, über die man Informationsfreiheit-Anfragen an Behörden stellen kann. Wirklich ein sehr nützliches Projekt, vorallem bei den Beispielen wie die Behörden teilweise ablehnen reagieren und Frag den Staat dann dort hinterherhakt. Außerdem wollen die Jungs die Berichte des Wissenschaftlichen Dienstes befreien, super!

4799 – Can trains be hacked?
Können Eisenbahnen gehacked werden? Darum geht es in diesem Talk, der veranschaulicht, welche Technik die Deutsche Bahn nutzt. Überwiegend geht es aber um die generelle Infrastruktur in Sachen Eisenbahn-Technik, aber natürlich werden Sicherheitsprobleme angesprochen – auch was die Zukunft betrifft. Sehr interessant.

4804 – Politik hacken
Mehrere Beispiele, wie man die Politik hacken kann: Falschinformationen streuen, Fake-Twitter-Accounts und so weiter. Hat der Linus gut gemacht. ;-)

4866 – Fnord Jahresrückblick
Wie in jedem Jahr blicken Fefe und Frank auf ein ereignisvolles Jahr zurück, diesmal gibt es am Anfang ein cooles Intro aber auch ein paar Tonprobleme.

4869 – TRESOR
Festplatten-Verschlüsselung ist gut, sagt man. Stimmt aber nicht ganz, denn auch bei TrueCrypt und Co. gibt es Angriffsszenarien: Wenn der Verschlüsslungs-Key nämlich im RAM gespeichert wird, kann dieser unter bestimmten Vorraussetzungen ausgelesen werden. TRESOR ist nun eine Verschlüsselungsmethode, mit der der Key im CPU gespeichert wird und somit nicht mehr angegriffen kann. Sehr interessant sind auch die Zukunftsvisionen, die teilweise schon umgesetzt sind.

4876 – Sachsen dreht frei
Anne Roth zeigt, was bei #Handygate in Sachsen passiert ist. Sehr interessant, vorallem weil das Nicht-Verfolgen von Nazis in Saschsen scheinbar Methode hat, wie ein Kontraste-Interview mit einem Justiz-Pressesprecher in dem Vortrag zeigt. Schönster Satz dazu, dass die Busfahrer von Anti-Nazi-Demonstranten eine Menge über ihre Fahrgäste mit einem Fragebogen der Landesregierung Sachsen ausplaudern sollten: „Das finden auch einige seit der Wende eher ungewöhnlich.“ :-)

4908 – Jahresrückblick
Wie jedes Jahr der Rückblick, was der CCC gemacht hat. Teilweise lustig und durchaus interessant, nochmal die Aktivitäten aber auch Fails Revue passieren zu lassen. Die zentrale Message lautet: Mehr Dezentralisierung, das gilt nicht nur für die Jabber-Server sondern auch für neue Erfas. Auch Spenden an den CCC sind bei den Erfas besser aufgehoben.

Private Facebook-Fotos finden und speichern

Ups, Facebook hat da einen Mega-Sicherheitsbug, wie man Fotos finden und speichern kann, die auf Privat gestellt sind: Wenn man die Fotos einer Person meldet, kriegt man eine Übersicht der Fotos. Kopiert man deren URL und ersetzt das „a“ am Ende durch „n“, dann hat man das Foto in Originalgröße. Eine genaue Beschreibung wie es funktioniert gibt es hier.

ACHTUNG: Natürlich wird man bei solchen Falschmeldungen selbst von Facebook gesperrt oder gelöscht. Aber das dürfte denjenigen, die Fotos abfischen wollen und sich dafür mehrere Accounts anlegen, egal sein.

Ein schönes Beispiel, dass man auch aufpassen sollte, welche Privatfotos man ins Netz setzt. Die Privatfotos von Facebook-Gründer Mark Zuckerberg wurden auch schon geleaked. :-)

(via fukami)

Bitcoin-Trojaner

Erinnert ihr euch noch an Bitcoin, die super-geniale Währung, die kein Mensch versteht? Nun, da wurde ja gesagt, dass das Mining (= Bitcoins erstellen) irgendwann mehr Stromkosten kostet als es Bitcoins ausspuckt. Das ist schon eine Weile überschritten, wer das nicht sinnvoll genug aufzieht (Stichworte Strom, Wärme, Lärm), der wird eher negative Kosten haben.

Das bringt die klugen Köpfe natürlich dazu, Bitcoin-Trojaner zu nutzen. Man lässt damit einfach fremde Rechner die Arbeit machen, so wie man sonst fremde Rechner für ein Bot-Netz nutzt. Nachdem es im August schon einen Windows-Trojaner gab, gibt es jetzt auch einen Mac-Trojaner. Im Juni gab es auch schon eine JavaScript-Version, die aber laut den Machern zu langsam ist.

Für einen realen Vergleich: Stellt euch vor, die Banken würden Geld drucken und dabei von euch Stromkosten verlangen, ohne dass ihr irgendwas von dem Geld abkriegt.

Und jetzt soll mir noch einer sagen, Bitcoin sei die Währung der Zukunft, haha! :-)

(via The Register)

Anti-Staatstrojaner-Tool

Bwahahahaha, es gibt ein Anti-Staatstrojaner-Tool. Ursprünglich von ArchiCrypt gecoded hat sich Steganos das geschnappt und verbreitet es jetzt, zum Beispiel über CHIP (vorsicht, CHIP-Link) und ComputerBILD (vorsicht, ComputerBILD-Link).

Das ist natürlich ein Bullshit-Tool, die c’t hat das gut erklärt: Es reicht schon ein einziges Zeichen in der Trojaner-Datei zu ändern und schon scheitern die Antivirus-Hersteller. Falls ihr Steganos-Produkte nutzt, solltet ihr euch jetzt mal schnell nach Alternativen umsehen, es ist ein Unding dass die mit dem Anti-Staatstrojaner-Tool den Nutzern eine falsche Sicherheit vortäuschen.

Unter Informatikern wird „Hast du schon das Anti-Staatstrojaner-Tool?“ jetzt sicherlich zum Running-Gag. Könnte man auch als T-Shirt-Motiv für den 28C3 entwerfen… :-)