Archiv für die Kategorie » so Leute «

Naiver Bruce Schneier

Dienstag, 21. Januar 2014, 11:57 Uhr | Autor:

IT-Sicherheitsexperte: “NSA agiert gegen US-Interessen”” (spiegel.de)

SPIEGEL ONLINE: Was ist so besonders an den Snowden-Enthüllungen?

Schneier: Die Menge der Informationen ist umwerfend. (…) Jetzt könnten wir erstmals alles sehen.

Wir könnten nur alles sehen, wenn die verschiedenen Dienste alle ihre Überwachungsmaßnahmen öffentlich machen würden — da sie dies aber nicht tun werden, sehen wir nur die Spitze des Eisbergs.

SPIEGEL ONLINE: Wie geht es nach dem Summer of Snowden weiter?

Schneier: 2013 wurde offenbar, wie viele Informationen tatsächlich über uns gesammelt werden.

Wer sich nur ein klein wenig mit der Art der Datenübertragung im Internet, den Begehrlichkeiten von Konzernen und Geheimdiensten beschäftigt hat, konnte ohne Probleme von Beginn an wissen, welche Daten gesammelt werden — nämlich alle die greifbar sind. Was technisch möglich ist, wird auch gemacht.

Google weiß mehr über meine Interessen als selbst meine intimsten Freunde und Verwandten.

Richtig! Aber kann man dies nun Google vorwerfen? Nein! Wer den Deal eingeht — persönlich Daten gegen unentgeltliche Nutzung von Dienstleistungen — der darf sich nicht darüber beschweren, wenn der Diensteanbieter mit den gewonnenen Daten Geld verdienen möchte.

SPIEGEL ONLINE: Sie haben sich viel mit dem Thema beschäftigt, wie über das Internet Vertrauen hergestellt wird. (…)

Schneier: (…) Man war grundsätzlich im Glauben, dass sie (die USA) im Sinne eines offenen und freien Internets handeln.

Man hat, sofern man kein US-Fanboy war, noch nie an das Gute der Verantwortlichen in den USA geglaubt.


Ich bin zwar erstaunt, ob der Naivität eines Menschen der sich mit IT-Security beschäftigt, allerdings ist mir auch klar, dass Bruce Schneier als US-Amerikaner von Kind auf indoktriniert wurde, an das Gute der US-Administration zu glauben.

Thema: Sicherheit, so Leute | Kommentare geschlossen

SSL kann eine DAU-Sperre sein ;O)

Dienstag, 3. Dezember 2013, 19:00 Uhr | Autor:

Ein “Senior Product Manager” schrieb einem Projektleiter eine besorgte E-Mail:

Ich wollte Ihnen nur einen Hinweis zu Michael Schwarz geben, der jetzt eine Stichprobenprüfung angekündigt hat.

Wir wollten uns über ihn über seine Webseite informieren, erhalten aber entsprechende Sicherheitswarnungen. (es findet ein automatischer redirect zu https statt).

[Screenshots von SSL-Fehlermeldungen aus Firefox und Chrome.]

Insofern kam bei uns jetzt ein wenig die Sorge auf, ob die Überprüfung durch Michael Schwarz auch “sicher” sein wird und nicht zu unvorhergesehenen Problemen führen wird. Können Sie uns bitte kurz bestätigen, dass die Vorgehensweise von Michael Schwarz im Rahmen solcher Stichprobenüberprüfungen auch mit Ihnen abgestimmt ist und keine Gefährdung unseres Services darstellen?

(Da ist sie wieder, diese irrationale Angst vor dem Hacker, von dem man so gar nicht weiß, was und wie er es macht, um dutzende von Kundenkoten zu knacken.)

Ich hatte dem Kunden meine Stichprobe angekündigt, damit er weiß, dass der der da am Server etwas rüttelt am Ende von ihm bezahlt wird und er nicht die Polizei dazu veranlasst eine Vorladung zu versenden — was schon einmal passiert ist. (Notiz an mich: Zwei rahmenlose Bildhalter DIN-A4 besorgen, die Abmahnung vom BSI soll auch noch an die Wand.)

Diese Ankündigung habe ich über eine E-Mail-Adresse versendet, über die ich seit einigen Jahren mit den Kunden kommuniziere. Auf der Domain gibt es zwar eine Website, aber nichts interessantes, nur eine Grafik mit Name, Anschrift, Telefon und E-Mail-Adresse. Nach der Einrichtung des neuen Servers hatte ich einfach mal etwas gespielt und die Subdomain www auf https weitergeleitet. Naja, da für eine einzelne Grafik eine Verschlüsselung nicht wirklich erforderlich ist, auch nach dem NSA-Hype nicht, habe ich natürlich kein eigenes Zertifikat, was dann im Browser eine entsprechende Fehlermeldung erzeugt. nicht-DAUs geben einfach eine Domain ein, und zwar ohne www, aber dieser “Senior Product Manager” hat sie, wie sollte es anders sein, mit www eingegeben und wurde dann mit der SSL-Warnung erschreckt. Mea Culpa. Die Weiterleitung hatte ich schlicht und ergreifend vergessen, nun ist sie gelöscht, um panische E-Mails zu verhindern.

Erst versuchte er es mit Chrome, in der aktuellen preBeta-Version 31.0.1650.57. Nach 87 Sekunden Verwirrung versuchte er es mit Firefox 22.0 (vom 25. Juni, wir sind aktuell bei 25.0.1, dies sollte dem “Senior Product Manager” eher Sorgen bereiten) und nach weiteren 3 Minuten noch einmal mit Chrome. Da SSL-Warnungen bei aktuellen Browsern ähnlich sind, ist es relativ egal welchen Browser ich verwende.

Das wirklich lustige daran ist, dieser “Senior Product Manager” hat sich nicht getraut, die Warnung im Browser zu bestätigen, um die Website angezeigt zu bekommen. Was glaubt er, was passiert, wenn er im Chrome auf “Trotzdem fortfahren” klickt? Das Windows 7 implodiert und sein Haarteil verrutscht? Und was hat ein nicht vertrauenswürdiges SSL-Zertifikat, auf einer privaten Website ohne relevanten Inhalt, mit meiner Arbeit als Penntester zu tun?

Manchmal habe ich es ja mit richtig lustigen Menschen zu tun. Die einen machen sich Sorgen über SSL-Warnungen im Browser für irrelevante Websites, aber bieten gleichzeitig unverschlüsselte Logins per http an. Und für die anderen sind Logins die via fünfstellige Kundennummer und Postleitzahl möglich sind vollkommen normal. “Passworte? Ach, die knacken die von der NSA ja eh alle…” Kein Scherz. Nicht E-Mail-Adresse und Passwort, sondern Kundennummer und Postleitzahl. Natürlich konnte ich relativ schnell dutzende gültige Logins finden.


Warum mich so Titel wie “Senior Product Manager” amüsieren? Meinen Respekt muss man sich erarbeiten, da kann sich der Hausmeister auch gerne als “Facility Manager” vorstellen. ;O)

Das Produkt dieses Managers ist eine Dienstleistung, die u.a. auch von der Verschlüsselung lebt, also sollte er wissen, dass er am Ende der CA (certificate authority) vertraut, die ihre Kunden häufig nicht wirklich prüfen, für die sie ein Zertifikat ausstellen und er sollte wissen, was die Fehlermeldung im Browser bedeutet.

Thema: Sicherheit, so Leute | Kommentare geschlossen