LNP095 Unerwünschte Nacktheit

GCHQ schaut Webcams — KiPo — Internetzensur — Kampagne gegen Adblocker — RSA — Hochschule Karlsruhe macht sich lächerlich

Linus ist weiterhin nicht im Lande und bietet breiten Raum für Spekulationen ob er sich in einer Höhle versteckt hält. Dafür springt in dieser Woche Peter Piksa ein, der in gewohnter Manier die Themen der Wochen gesammelt und hat vorstellt. Wir sprechen über den WebCam-Wahn der GCHQ, verschiedene Vorfälle rund um KiPo (aka Abbildungen von Kindesmißbrauch), mögliche Hoffnungen auf eine Reduktion von Internetsperren im Iran und dem zweifelhaften Verhältnis deutscher Internetunternehmen zu Sicherheit. Wir schließen ab mit dem Lacher des Monats: der Hochschule Karlsruhe.

Dauer: 1:19:18

On Air
avatar Peter Piksa Bitcoin Icon
avatar Tim Pritlove Paypal Icon Amazon Wishlist Icon Bitcoin Icon

GCHQ greift Webcam-Standbilder ab

BKA-Beamter im Besitz von Kindesmißbrauchsdarstellungen

Britischer Porno-Zensurverfechter wg. KiPo festgenommen

Iran will Internetzensur lockern

United-Internet-Kampagne gegen Adblocker

RSA-Boss zur NSA-Zusammenarbeit

Hochschule Karlsruhe stellt Strafanzeige gegen den CCC


In Zusammenhang mit dieser Ausgabe stehende Folgen

36 Gedanken zu „LNP095 Unerwünschte Nacktheit

  1. Details zur Ausladung von Constanze Kurz: http://funkenstrahlen.de/blog/2014/02/14/constanze-kurz-ausgeladen/

    Mittlerweile wurde die Lange Nacht der Mathematik komplett abgesagt.

    Zudem hat die Hochschule klargestellt, dass die Klage nicht gegen den CCC, sondern gegen Unbekannt läuft (den Versender der Mails). Das war im Artikel von KA-News missverständlich ausgedrückt.

    Noch kleiner Hinweis zum Abschluss: Die Hochschule Karlsruhe für Technik und Wirtschaft ist nicht das KIT. Das wird ab und an immer wieder verwechselt (hier im Podcast aber nicht).

  2. Der Webplayer hängt sich mit Chrome bei jedem Podcast wo er eingebunden ist ab einer bestimmten Zeit auf und stoppt. Da hilft leider nur der Download.

  3. Eure Liebesmails Nummer habe ich nicht ganz verstanden. Also Theorie: Es ist möglich Emails von irgendeinem Absender zu schreiben. Dafür ist auch keine Autorisierung nötig. Der Angreifer hat aber die Adressaten von Leuten verwendet von denen die Uni hätte wissen könnnen, dass sie gefälscht sind, weil ja nicht authentifiziert und so die Policy ausgehebelt. Bei 20k Emails gibt es bestimmt eine Policy. Dann ist noch die Frage: Woher wusste der Angreifer die Email-Adressen von 20k Leuten?

    • Ein Mailserver, der eine so große Anzahl an Postfächern hat, sollte nie eine Annahme darüber treffen, welche Server Mails von seiner Domain senden dürfen. Nur wenn Du als Mail-Admin sicher bist, dass wirklich alle User nur Deinen Server zum Versenden nutzen wollen, kannst/darfst/solltest Du Mails von Deiner Domain (wenn von extern kommend) blocken und das per SPF auch anderen Mailservern mitteilen.
      Aber dann kann es auch zu Problemen beim Weiterleiten von Mails ohne Absender-Rewrite kommen.

  4. Fast schon gruselig, wie ähnlich Peters Wortwahl und Duktus dem von Linus ist – ohne jedoch natürlich seine Stimmfarbe.

    Irgendwie uncanney :-D

  5. United Internet hat sich noch einen schönen Fehler geleistet:
    Sie haben in der letzten Woche an ihre Mitglieder eine E-Mail gesendet, in der sie darauf hinweisen, dass sie nun einen “Kulanzfall” eröffnet haben, weil man seine DE-Mail noch nicht bestellt hat, United Internet diese aber reserviert hätte. Gefolgt von Werbung für DE-Mail, etc.
    Ich weiß nicht, ob es an alle ging, kenne aber einige, die diese Mail auch bekommen haben, die “Stein und Bein” schwören, nie eine DE-Mail angefragt oder reserviert zu haben.
    Schon blöd, wenn keiner das Produkt haben will, greift man halt zu unfairen Mitteln. Könnte mir vorstellen, dass einige eher weniger bedarfte durchaus darauf reinfallen.

  6. Verbinden wir doch mal Thema 1 und 2
    GCHQ macht Webcambilder, sammelt die und Mitarbeiter müssen die auswerten, also angucken. Darunter sind auch Bilder von nackten Menschen. Auch Jugendliche sind Nutzer von Yahoo und haben Webcams.
    Ergo: Das GCHQ erstellt, veröffentlicht(zeigt es mehreren Mitarbeitern) und besitzt Kipo !
    Das muss nicht stimmen und is weit hergeholt.
    Aber wenn ein paar Tabloids das bringen wäre da (und auch hier) die Hölle los.
    Auch kann mal einer dem Cameron oder dem GCHQ-Obermacker bei einer Pressekonferenz die Fragen stellen: Was tun sie dagegen, dass das GCHQ keine Kipo erstellt, besitzt und veröffentlicht? Was tun sie dagegen, um sicher zu gehen, dass ihre Mitarbeiter nicht Pädophile sind und diese so mit Kipo versorgt werden?
    Das gleiche kann man mit der NSA machen. Kompromitieren wir die Läden doch bis sie schließen!

  7. Beim Thema gesicherte Anmeldung / verschlüsselte Authentifizierung an Mail Server gibt es ein Missverständnis:

    Die “verschlüsselte” Authentifizierung kann man sehr wohl ausschalten wenn man SSL/TLS als Transportverschlüsselung eingestellt hat, denn das Passwort wird in der SSL/TLS Session übertragen.

    Verschlüsselte Authentifizierungsverfahren sind nur in einer Umgebung mit Authentifizierungsserver (Kerberos / NTLM) interessant.

    Wenn man keinen Authentifizierungsserver benutzt bedeutet “verschlüsselte Authentifizierung” ein MD5 challenge-response Verfahren https://en.wikipedia.org/wiki/CRAM-MD5 , welches man nicht als sicher betrachten kann.

    http://imgur.com/a/xPMwt

  8. Technischer Hinweis, Tim deine Audiospur hat eine ziemlich starkes Echo und Rauschen. Fällt besonders unangenehm im Auto auf.

  9. Den Scareware-Banner von United Internet kann man wunderbar abstellen, wenn man JavaScript für diese Seite deaktiviert. Zudem habe ich festgestellt, dass GMX sich endlich wieder wie eine Webseite bedienen lässt. (Rechte Maustaste, Links in neuem Tab öffnen usw.)

  10. Zudem möchte ich nochmal extra betonen, dass nur Adblock Plus “erwünschte Werbung” anbietet. Das Addon Adblock (ohne Plus) ist von einem anderen Hersteller und hat blendet keine bezahlte Werbung ein.

    Interessant ist auch wenn man nach “Adblock” googelt. Bei G und Bing sind natürlich die Plus varianten ganz oben. Ein Schelm der hier böses vermutet! DuckDuckGo zeigt als erstes die Adblock Variante mit “Official Site”-Tag an.

    • Auch bei Adblock Plus lässt sich diese Verhalten in den Optionen unterbinden, heißt dort “Einige nicht aufdringliche Werbung zulassen”.

  11. Sorry Jungs, aber so wie Ihr den Spam-Angriff geschildert habt, ist der Mailserver vollkommen korrekt konfiguriert und die ganze Häme für die IT völliger Quatsch. Natürlich muss man sich gegenüber einem Mailserver nicht authentifizieren, wenn eben jener Mailserver zuständig für den Adressaten ist. Sonst würden auf der Welt keine Mails zugestellt werden können. Authentifiziert wird nur bei fremden Adressaten (übrigens auch erst seit ein paar Jahren die Regel) um Spammern die Arbeit nicht zu erleichtern. Den zweiten, eigentlich kritischen Punkt, dass man an alle Email-Adressen der Stundenten kommen kann, findet man meines Wissens nach an fast jeder Hochschule in D. Manche haben sogar Webseiten mit durchsuchbaren Adressbüchern.

    So long and Thanks for all the fish.

    • Nicht ganz.

      So wie ich es verstanden habe, liegt/lag das Problem darin, dass sich Gegenüber dem SMTP-Server jeder als Absender von innerhalb der Hochschule ausgeben kann/konnte. Sprich der dann absendende Server fragt nicht nach, ob ich das eigentlich darf. Bei “gewöhnlichen” SMTP-Servern muss ich erstmal erklären, dass ich auch wirklich ich bin. Eben mit dem Nutzernamen/Passwort. Das entfällt/entfiel bei besagtem Server. Das war/ist die Schwachstelle.

      • Du übersiehst, dass der absende Mailserver auf dem Kongress stand, um die Uni zu spammen und kein ‘gewöhnlicher’ Mailserver war. Und das was Du als gewöhnlich betrachtest stimmt auch nur für T-Online, GMX, Gmail und Co. Bei jedem normal konfigurierten MTA kannst Du als Absender angeben was Du willst. Das ist keine Sicherheitslücke oder Schwachstelle.

        • Verwenden nicht zumindest die großen Mailanbieter SPF, das diese Art der Absenderfälschung verhindert?

          Und der Mailserver müsste doch erkennen können, dass der Absender vorgibt jemand zu sein, für den man selbst zuständig ist. Eine Mail von a@example.com an b@example.com muss (und sollte) das example.com-Netz nie verlassen. Wenn sich also jemand von außen mit dem example.com-MX verbindet und eine Mail von a@example.com abliefern will, sollte doch klar sein, dass hier was falsch läuft.

          • noe…

            es sei denn, dein mailprovider bietet nur ein webfrontend an…

            aber wenn man mit einem mailclient arbeitet, dann verbindet man sich eigentlich immer mit einer externen ip an den smtp server, und dann dient die authentifizierung mittels username/passwort als verifikation zur autorisierung…

            oder habe ich da was falsch verstanden?

  12. Zu den Liebesmails:

    Hab ich das richtig verstanden, dass von Constanze Kurz eine “constanze EMP-Welle” ausgeht? Krass. Die hat es echt drauf. :-)

    Noch was anderes: In Karlsruhe ging 1984 die erste E-Mail in Deutschland ein (wenn ich das noch richtig weiß). NIEMAND in Deutschland hat mehr Erfahrung mit E-Mails als die Jungs und Mädels in Karlsruhe!

  13. Zu dem Ki-Po überführten BKA Beamten:
    Nee Tim, der ist nicht “entlassen”.
    Vorgezogener Ruhestand stand in der Presse,
    das bedeutet für mich Beamtenpension.

  14. Ihr kritisiert, dass bei dem E-Mail Provider das Passwort im Klartext vorliegt. Aber dies ist doch zwingend erforderlich, wenn man Challenge-Response Authentifizierungsverfahren wie CRAM-MD5 einsetzen möchte. Vorteil dieses Verfahrens ist hingegen aber doch, dass zur Authentifizierung nie das unverschlüsselte Kennwort (wie z.B. bei den sonst üblichen Verfahren LOGIN und PLAIN) übertragen wird – unabhängig davon ob der Transportweg (vermeintlich) verschlüsselt ist oder nicht.

    Also will man lieber CRAM-MD5 nutzen können und nimmt dafür in Kauf das auf dem Server das Kennwort unverschlüsselt ist oder verzichtet man auf solcher Verfahren und sendet bei jedem Login das unverschlüsselte Kennwort bzw. ein wiederverwendbaren Hash des Kennworts übers Netz?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *