Die Client-to-Server-Anbindung (also Clients wie Pidgin, Gajim oder andere) werden weiterhin unterstützt, allerdings auch nur für Text-Chat, also ohne Audio und Video.

Google verabschiedet sich damit vom dezentralen und freien Konzept des XMPP Protokolls und schmeißt damit die ein weiteres Standardprotokoll von Board (wie schon z.B. CalDav). Facebook und WhatApp nutzen im Hintergrund übrigens auch XMPP, aber der Schutz des eigenen walled garden ist diesen Anbietern wichtiger als freie und uneingeschränkte Kommunkation.

http://dataprivacylab.org/projects/pgp/index-pgp.html

Stellt euch vor: Ihr veröffentlicht eure Postleitzahl, euer Geburtsdatum und euer Geschlecht online, z.B auf einer Dating-Plattform oder, wie in diesem Fall, beim Personal Genome Project. Euren Namen allerdings nicht, sonst könnte euch ja jeder finden!  Und jetzt schätzt mal: Wie eindeutig ist die genannte Kombination von Postleitzahl, Geburtstdatum und Geschlecht? Mit welcher Wahrscheinlichkeit kann eine Versicherung, der Staat, die GEZ, also ganz allgemein jemand der diese drei Daten mit euch verbinden kann, euch identifizieren? Mit 97%iger Wahrscheinlichkeit sagt eine Studie:

Of the 1,130 volunteers Sweeney and her team reviewed, about 579 provided zip code, date of birth and gender, the three key pieces of information she needs to identify anonymous people combined with information from voter rolls or other public records. Of these, Sweeney succeeded in naming 241, or 42% of the total. The Personal Genome Project confirmed that 97% of the names matched those in its database if nicknames and first name variations were included. She describes her findings here. [Forbes]

Hintergrund ist, dass beim Personal Genome Project Menschen ihre neben den oben genannten Daten Freiwillige auch Krankengeschichte, Medikamente, Gewicht, Allergien,… veröffentlichen.

Update: Hab das Bild noch eingefügt.

In meinen Augen sprechen die beiden eine interessante Sache an: Die Machtstrukturen unserer Gesellschaft sind fest in Hand einer einzigen Generation, und zwar Hand der Babyboomer. Lest euch den Artikel bei der Zeit durch, schaut das Video. Es lohnt sich.

Update: Den Rant gibt es in Schriftform bei spreeblick.com

Ein interessanter Fund wurde jetzt bei Rapid7 veröffentlicht: Der Zugriff per Internet auf AIS-Receiver. AIS ist das Automatic Identification System und das erklärt sich am besten wenn man diese Karte anschaut. Diese Karte basiert auf Daten, die per AIS ausgestrahlt werden. Meist werden diese Daten schon ausgewertet über Karten visualisiert veröffentlicht. Zugriff auf die Rohdaten gibt es scheinbar im Normalfall nicht. Jedes Schiff empfängt und sendet AIS-Daten, diese Daten sind öffentlich und nicht authentifiziert.

Interessant wird es aber wenn die AIS-Receiver unsicher sind und jemand die Ausgabe der AIS-Receiver in großem Stil fälschen kann. Um die Daten von den AIS-Receivern über das Internet in ihre Datenbanken zu bekommen werden wohl oft Serial-Converter genutzt, die das Signal der Receiver per TCP/IP bereitstellen. Diese Dinger wiederum sind nicht für ihre Sicherheit bekannt.

Ein Forscher der Universität New Hampshire hat schon letzten November einen etwas ausführlicheren Blogeintrag zum Thema AIS, Integrität und Sicherheit geschrieben. Dort erwähnt, dass Regierungen scheinbar schon gefälschte AIS-Daten nutzen um ihre Schiffe zu Geisterschiffen zu machen. Dafür habe ich aber leider keine anderen Quellen gefunden:

For example, Spain admitted to practicing ghost fleet generation to give their military an edge during operations. Not that their strategy is likely to work well as a deception as the opposing force is going to wonder why the attack force is broadcasting their location. The USCG actually did one of these things to real mariners by accidents. They commanded a number of unlucky ship AIS transceivers to switch marine channels on the US East Coast. [schwehr.org]

Auch ohne potenzielle Sicherheitslücken geben die Daten aus dem AIS-System tolle Bilder, wie man hier oder hier sehen kann.

Die Ergebnisse sind weniger deutlich als ich angenommen hätte. Die aufgearbeiteten Datensätze waren 60.000 E-Mail-Adressen mit dazugehörigen Passwörtern, die LulzSec im Juni 2011 veröffentlichte. Für diesen Datensatz wurde als “persönliche Information” nur der Username-Part der Mail herangezogen. Außerdem wurde eine ebenfalls 2011 auf pastebin.com veröffentlichte Liste von Facebook-Profilen überprüft. Die gepostete Liste enthielt nur E-Mails und Passwörter. Weitere Daten wurden von den öffentlich verfügbaren Facebook-Profilen heruntergeladen.

Insgesamt lässt sich festhalten, dass über 80% der überprüfen Passwörter kaum Übereinstimmungen mit den öffentlich verfügbaren Informationen enthalten. Auf der anderen Seite allerdings stimmen c.a. 35% aller Passwörter des Facebook-Datensatzes in mindestens einem Trigramm mit irgendeiner öffentlich verfügbaren Information überein.

Bei 100 Millionen Rateversuchen konnten die Forscher unter Zuhilfenahme öffentlich verfügbarer Informationen die Anzahl der erratenen Passwörter um 5% steigern, bei 1 Milliarde Versuchen um 3%. Diese niedrige Anstieg ist Folge aus der schon im vorherigen Abschnitt genannten niedrigen Zahl an Passwörtern, die überhaupt persönliche Informationen enthalten. Schaut man sich nur Passwörter an, die tatsächlich persönliche Informationen enthalten verbessert sich die Anzahl der erratenen Passwörter um bis zu 30%.  Das Ergebnis ist wenig überraschend: Persönliche Informationen egal welcher Form sind schwächer und haben also nichts in einem Passwort verloren!

Insgesamt hätte ich eine deutliche Verbesserung erwartet. Allerdings ist das wohl bisher die erste wissenschaftliche Ausarbeitung mit dem Ziel persönliche Informationen zum Passwort-Cracken zu nutzen. Da kommen hoffentlich noch weitere interessante Studien, die dieses Modell verbessern.

When Privacy meets Security: Leveraging personal information for password cracking

]]> http://blog.dimis.de/2013/05/03/passworter-raten-mit-hilfe-von-sozialen-netzwerken/feed/ 0 http://blog.dimis.de/2013/05/03/passworter-raten-mit-hilfe-von-sozialen-netzwerken/ http://feedproxy.google.com/~r/it-blogger/~3/M6flmUHDUWs/ http://blog.dimis.de/2013/04/23/rick-astley-erklart-die-telekom-drossel/#comments Tue, 23 Apr 2013 08:26:29 +0000 dimi http://blog.dimis.de/?p=3547 [...]]]> Gestern wurde bekannt, dass die Telekom ihre Drossel einführt. Heute meldet die DPA, dass in Zukunft Anbieter wie YouTube die Priorisierung ihrer Daten bei der Durchleitung durch das Telekom-Netz kaufen können. Blogs, Podcasts und viele andere Webseiten werden sich das natürlich nicht leisten können.

Rick Astley erklärt für uns die #Drossel-Pläne der Deutschen Telekom zur Abschaffung der Netzneutralität: youtube.com/watch?v=tpe01y…

— DigitaleGesellschaft (@digiges) 23. April 2013

via netzpolitik.org

Hintergrund ist, dass die Telekom eine Volumenbegrenzung für ihr Festnetzinternet (heißt DSL, VDSL, FTTH) eingeführt hat. Zunächst landen entsprechende Klauseln in den Verträgen und bald wird ab den folgenden Volumen die Internetverbindung auf 384 kbit/s gedrosselt. Der Internetanschluss ist damit natürlich funktional kaputt: Große werden Downloads eine Frage des Geldes und HD-Streams ein Luxusgut.

Tarife mit Geschwindigkeiten bis zu 16 Mbit/s: 75 GB
Tarife mit Geschwindigkeiten bis zu 50 Mbit/s: 200 GB
Tarife mit Geschwindigkeiten bis zu 100 Mbit/s: 300 GB
Tarife mit Geschwindigkeiten bis zu 200 Mbit/s: 400 GB [Telekom]

Technisch umgesetzt wird der Quatsch wohl spätestens 2016, abhängig von der Entwicklung des Datenaufkommens in den Netzen – und im Zweifelsfall entwickelt sich das Datenaufkommen natürlich dramatisch und in unvorhersehbarer Art und Weise. Dass schnelle Internetleitungen in jeden Haushalt die Grundlage für die digitale Entwicklung ist, dürfte jedem vernünftigen Menschen einleuchten. Eine Drossel ist der ultimative Innovationskiller. Wer sich dafür interessiert kann das heute schon in Deutschland erkennen.

Neben dem Surfen im Netz und dem Bearbeiten von Mails ist dieses Volumen beispielsweise ausreichend für zehn Filme in normaler Auflösung plus drei HD-Filme, plus 60 Stunden Internetradio, plus 400 Fotos und 16 Stunden Online-Gaming. [Telekom]

Für mich war ja bis vor einiger Zeit noch unvorstellbar, dass wir in einem Jahr überhaupt noch Filme in niedriger Auflösung gucken müssen. Heute scheint es mir aber als müssten wir hoffen, dass die deutschen Streamingportale (sollten sie doch irgendwann noch in Deutschland ankommen) uns einen VHS-Stream anbieten. Sonst ist nämlich vor Ende der ersten Staffel von $Serie der Traffic für den Monat aufgebraucht.

Eine Sache wird immer klarer: Deutschland, also insbesondere die deutsche Politik, haben überhaupt kein Interesse an einer nachhaltigen digitalen Entwicklung. Grundlegende, wegweisende Entscheidungen werden einem Entscheidungsgremium namens “Markt” überlassen, der offensichtlich mit VHS-Kasetten noch ganz gut klarkommt und das Internet weniger als Innovationstreiber oder Lebensraum betrachtet sondern vielmehr als Cash-Cow, die gemolken werden muss. Die Folge ist, dass nicht in Infrastruktur investiert wird, sondern die innovativsten Gestalten bei der Telekom in den Abteilungen für Marketing und Vertragsgestaltung sitzen.

1999: 768 kbit/s2002: 1536 kbit/s2004: 3072 kbit/s2006: 16000 kbit/s2007: 50000 kbit/s2012: 100000 kbit/s2013: 384 kbit/s

— Daniel Schuhmann (@Danny243) 22. März 2013

Update:

Netzpolitik.org hat erfahren, die Telekom mit anderen Providern im Gespräch war und Vodafone in kürze nachzieht und auch Volumenbegrenzungen einführt.

Dank einer DMCA-Takedown-Notice ist heute eine StackExchange-Diskussion populär geworden, in der es um die von CipherCloud eingesetzte Verschlüsselung geht. Es gibt keine Details was sie kryptographisch genau tun, deswegen wird in dem Thread viel über Bilder und PR-Videos rekonstruiert. Genau diese Bilder, 2 an der Zahl, sind Gegenstand der Takedown Notice.

Scheinbar verschlüsseln die jedes einzelne Wort was in die Cloud gepostet werden soll einzeln mit AES, allerdings mit gleichem Schlüssel, festem oder keinem Padding und Initialisierungsvektor. Das führt dazu, dass beispielsweise “new” (oder auch “New”) immer zum gleichen Ciphertext verschlüsselt wird und Wörter, die mit “new” beginnen, am Wortanfang ebenfalls mit diesem Ciphertext übereinstimmen:

• enc(“new”) => aaAZH
• enc(“New”) => aaAZH
• enc(“newly”) => aaAZHjk

Der Gedanke dahinter ist wahrscheinlich, dass die Suche in den Daten trotzdem noch funktionieren soll. In diesem Fall macht das aber die komplette Krypto kaputt.  Über statistische Analysen könnte man problemlos oft benutzte Wörter und in einem nächsten Schritt damit unter Umständen den kompletten Inhalt zu rekonstruieren.

Positiv ist, dass durch die DMCA der Thread und das Problem weit in die Öffentlichkeit getragen wurde. Auf der anderen Seite stellt sich natürlich die Frage ob die genutzten Bilder nicht im Bereich des “Fair-Use” lagen und die Takedown Notice nur unliebsame Berichterstattung verhindern sollte.

• Der Origialthread
• Die DMCA-Anfrage
• Hacker News zu dem Thema
• Reddit zu dem Thema

Im Oktober 2010 hat Facebook dann (scheinbar ohne Vorankündigung) der Firma aus Neuseeland den Zugriff entzogen. Zu diesem Zeitpunkt hatte Profile Technology schon einige Daten gesammelt:

Over four hundred million profiles were aggregated, along with over 15 billion friendship connections between people and 3 billion “likes” and group memberships. [Klageschrift]

Bevor es weiter geht zwei Hinweise an vergangene Veröffentlichungen, die in diesem Zusammenhand relevant sind:

Erinnert ihr euch noch an den Vorfall letztes Jahr als Facebook auf die neue Timeline umstellte? Da dachten dann auf einmal viele, dass Facebook private Nachrichten in die öffentliche Timline geschoben hatte, was aber laut Facebook “technisch unmöglich” ist. Scheinbar hatten die Menschen in den letzten Jahren oder Monaten ihr Kommunikationsverhalten so extrem verändert, dass sie vor dem Inhalt ihrer alten, öffentlichen Beiträgen erschraken.

Vor einigen Wochen wurde dann von einem Forscherteam nochmal deutlich gemacht: Analysiert man Facebook-Likes statistisch kann man z.B. mit einer Wahrscheinlichkeit von 88%  vorhersagen ob jemand Homosexuell ist. Vielleicht habt ihr danach ja euren Like auf “Wiked – the Musical” oder “Mac Cosmetics” entfernt, die in der Studie als starke Indikatoren für die Bestimmung der sexuellen Orienierung von Männern herangezogen wurden. Vielleicht wolltet ihr ja einfach nicht, dass irgendjemand (z.B. Facebook) irgendwas annimmt.

Was haben diese beiden Beispiele mit “Profile Technology” zu tun? Nun, die Firma macht alle 400 Millionen Profildaten unter profileengine.com öffentlich durchsuchbar und da Facebook ihr den Zugriff auf die Daten gekappt hat, werden diese nicht mehr aktualisiert, sind also noch auf dem Stand von Oktober 2010. Bei Facebook könnt ihr Daten wie Likes oder Posts löschen dauerhaft verbergen. Um ein Profil bei profileengine.com zu aktualisieren müsst ihr denen euren Personalausweis mailen. Na dann viel Spaß, insbesondere wenn ihr bei Facebook (und damit bei der alten Kopie) nicht euren Klarnamen verwendet. Neben den von Facebook übernommenen Daten werden übrigens auch die Ergebnisse aus den IQ-Tests in den Profilen angezeigt und sind als Suchkriterium auswählbar.

Facebook hat die Neuseeländer zwar schon im Jahr 2012 ausgefordert die Daten zu löschen, was dort aber bisher niemanden gekümmert hat.

De facto haben die dort indizierten Menschen vollständig die Kontrolle über die bei Facebook eingetragenen Daten verloren und wie oben beschrieben hätte man hin und wieder doch gerne die Möglichkeit sein Profil ein wenig zu “tunen” und alte Likes und Kommentare zu entfernen zu verbergen, oder?