Aufmerksame Beobachter werden es mitbekommen haben: ich hatte in den letzten Tagen immer wieder mit Link-Spam zu kämpfen, und zwar in meinen Posts. Irgendjemand hat es immer wieder geschafft, meine Artikel zu editieren, und das, obwohl ich Wordpress 2.3.3 eingesetzt habe, das angeblich genau diesen Bug fixt. Das eigentliche Problem ist schon seit Jahren bekannt, und daß da nicht eher mal was dagegen getan wurde, wirft echt ein schlechtes Licht auf die Wordpress-Entwickler. eval() zu benutzen um XML zu parsen ist auch so ziemlich der blödeste Ansatz, den man sich vorstellen kann. Naja, ich hab jetzt jedenfalls mal auf 2.5 upgegraded, meine Paßwörter geändert, und plane, Wordpress dann mal bald vollständig zu entsorgen.
Ich habe soeben meine Einladung zum Volksentscheid über den Flughafen Tempelhof bekommen. Kann mir jemand erklären, warum in diesem Umschlag eine Image-Broschüre beiliegt, die ein bestimmtes Abstimmverhalten nahelegt?
Nachdem der Link auf den google-Cache in diesem Beitrag nicht mehr funktioniert, hier nochmal aus aktuellem Anlaß der Volltext des Artikels.
Hacker Hunter After years with the General Security Service, its only natural for Reuven Hazak to have ended up in NDS, which wages electronic warfare on pirates and hackers throughout the world. Ronny Lifschitz 25 Jul 99 17:57 When it comes to intelligence, Reuven Hazak has considerable experience. He served many years in the General Security Service (GSS), holding the post of deputy GSS head until 1985, when he resigned over the Bus 300 affair, which badly rocked the organization. Hazak then proceeded to set up security company Shafran. Four years ago, Shafran seconded Hazak to NDS, to provide NDS with an active security umbrella. NDS sells security products: encryption cards enabling television companies (via satellite or over cable) to provide pay television services. "But were also providing them with an active security service that is based on the assumption that any security product can be broken into. Its only a question of when. Even if we take the best protected spot in the world, Fort Knox, where all US gold is stored - if someone takes the time and makes the effort, he will succeed in breaking into it. In order to protect Fort Knox, you must have an active and aggressive security system," says Hazak. The phrase "active security umbrella" conceals a 17-member organization run from its Jerusalem headquarters. Sub-units operate in various parts of the world. The British unit, based in Heathrow, is led by former Scotland Yard deputy chief Ray Adams, and the US unit, based in Los Angeles, is headed by John Norris, a former high-ranking US Naval Intelligence officer. "Globes": What is, in fact, active security? Reuven Hazak:"We protect NDSs secrets from pirates and competitors. We look out for pirates, track them down, and handle them through recourse to the law, disinformation, manipulation of the demand curve, and other methods. For instance, NDS is the only company in the world with an updated data base on pirates and hackers, the connection between them, and their capabilities. "The problem is that, nearly everywhere in the world, law enforcement arms have neither the means nor the motivation to fight white collar crime. To overcome this problem, we provide them with all the necessary information. Our role is to furnish them with the information. They take care of the rest." If intelligence and prevention activities have taken place abroad so far, this "idyllic" situation is apparently about to change soon. "I believe piracy problems will soon surface in Israel as well," Hazak estimates, in view of recent statements by Matav and DBS Satellite Services. It was recently reported that NDS will provide Matav with a comprehensive system for digital transmission over Matavs cable infrastructure. Under the $7 million project, NDS will supply the digital infrastructure for cable broadcasts, and Korean company Sansung will furnish the terminal units through which subscribers will be able to receive the new services. DBS Satellite Services also plans to use NDSs encrypted card, which enables the decoding and reception of dozens of television channels in the home. When are Israeli pirates expected to get going? "I expect a problem in Israel, just as we have cable broadcasts piracy at present. Ive no doubt its going to be a hot issue. There are also some figures to corroborate this assumption. For instance, as long as there are only 50,000 subscribers, its not worth while to counterfeit a card. But when it comes to a market of 250,000 subscribers, its worth it. In some countries, its worth while to manufacture counterfeit cards only when the market reaches the half million figure. "Generally speaking, its better for the pirate to be present in the market before the card is out. Thats the ideal. This is why pirates will try to break into NDS and ferret out its secrets. NDS currently employs more than 1,000 staff at its production plant and in various offices throughout the world. The development center at Har Hotzvim employs 400 people. Thats also why NDS is a highly protected place. "Its possible to get hold of secrets at the production stage. Much of the production is done by large sub-contractors whose identity is also kept under wraps. We get them to comply with security regulations that bar pirates from access to the secrets with which we entrust sub-contractors." How do you discover that a certain card is counterfeit? "Someone sells the counterfeit card, which is why it leaves a trace. We track down ads on the Internet, and sometimes even in the printed press. But my goal is to unearth hacker activity before the hackers go out into the market. In most cases we know when an operational plan for card breaking is being cooked up." And what happens after a counterfeit card has already been distributed and sold on the market? "The minute a code-broken card hits the market, it can be killed with electronic counter-measures. The engineers know how to take it out of action with a death ray - a special signal transmitted from a satellite. But to do that they need technological intelligence from the field that makes it possible to asses the number of cards and their geographic deployment. Usually this is done at peak-viewing time, in order to hit as many counterfeit cards as possible and hassle illegal customers. Theres also a technology for destroying fake cable television cards, but its still in the bud." Do pirates and hackers have ties with the underworld? "Up to two years ago, the market was strictly local, but it has recently gone international. For instance, we tracked down East European hackers who were shipped to North America to provide piracy services. We know that drug dealer groups in America launder their money by financing pirates. In this way they reduce the gravity of the offense for which they may be charged. We unearthed such an organization in Mexico, and we immediately notified the US authorities." Is your method also effective for information systems protection? "The common denominator in both cases is that, in order to provide a security system, you cant confine yourself to the product only. The product requires baby-sitting. Someone has to watch over it, and its clear that this philosophy applies to the whole of the high tech world that is involved with protected products. In the last three years, none of our products in Europe has been broken into. Our current product in the US has been broken into, but the measures were taking prevents the tampered-with card from turning into a widely distributed commercial product on the market. The pirates know us. Were not hiding away. The fight were waging has an economic impact in the sense that some pirates are wary of messing with us, and attack our competitors instead." Reuven Hazak admits he prefers to work from home. He reluctantly goes abroad when its a must. In his spare time, he likes to live among the statues he sculpts and the objects he fished out from the sea-bed, and to listen to classical music. He is particularly fond of a mechanical piano linked up to a computer. Its a piano to all intents and purposes, whose keys are operated by software. You put in a jazz disk, and the piano gives a performance for you alone. You insert a disk with the performance of a celebrated pianist, and all of a sudden you have a virtuoso giving you a private concert at home. And it all sounds genuine enough. Not - perish the thought - like some pirated or counterfeit copy. Published by Israel's Business Arena July 22, 1999No shit, sherlock!
2008-03-05T14:03:05+00:00Der Captain Obvious des Tages geht an das International Narcotics Control Board der UNO, das in seinem aktuellen Bericht festgestellt hat, daß strengere Grenzkontrollen zu verstärktem Grasanbau im Inland führen (so funktioniert das mit dem Markt eben) und daß in Drogenkonsumeinrichtungen vermehrt illegale Drogen konsumiert werden (duh, dazu wurden sie eingerichtet!). Sinnvolle Vorschläge zur Reduktion der durch Drogen verursachten Probleme gibt es wie immer keine, dafür müßte man ja auch mal über seinen Prohibitionsschatten springen. Stattdessen wird der Umgang mit beim Drogenkonsum erwischten Prominenten kritisiert.
NDS hackt die Konkurrenz
2008-03-02T14:08:15+00:00Gerade macht eine Nachricht Schlagzeilen: NDS, die Krypto-Firma von Rupert Murdoch, hat das Verschlüsselungssystem Nagrastar des Konkurrenten Echostar gehackt, und ROMs und Keys and TV-Piraten weitergegeben. Wie ihr euch möglicherweise denken könnt, finde ich das wenig überraschend. Das war ja bei Canal+ und Premiere nicht anders. Und ich bin ja immer noch der Meinung, daß eine drohende Schadensersatzklage in Milliardenhöhe doch ein plausibles Mordmotiv ist.
Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme
2008-02-27T13:41:42+00:00Daß das Bundesverfassungsgericht die Klausel zur "Online-Durchsuchung" im Verfassungsschutzgesetz des Landes NRW kippen würde, war angesichts der dramatischen handwerklichen Mängel dieses Gesetzes keine Überraschung. Erfreulich ist, daß die Richter die Gelegenheit genutzt haben, um eine sehr grundsätzliche Aussage zu treffen:
Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.(Leitsätze zum Urteil des 1. Senats vom 27. Februar 2008 zur Online-Durchsuchung.) Das hat in etwa die Tragweite des Urteils zur Volkszählung, in dem ein Grundrecht auf informationelle Selbstbestimmung definiert wurde.Telekom-VDSL und Linux
2008-02-20T15:26:17+00:00Ich dachte ja schon, daß das gestern von der T installierte VDSL kaputt sei: nach dem Austausch des alten DSL-Modems gegen das von der T gelieferte ging zwar das Carrier-Lämpchen an, aber mein Router war nicht in der Lage, eine PPPoE-Session aufzubauen. Näheres Debugging erbrachte, daß ich auf meine PADIs kein PADO zurückbekam. Mit anderen Worten: Schweigen im Walde vom DSLAM. Ich telefonierte also länglich mit der Telekom, bis endlich jemand ausreichend kompetent war, mich drauf hinzuweisen, daß das Protokoll zwischen Modem und Router sich geändert habe, und ich doch mal das von der T mitgelieferte Gerät anstöpseln sollte. Und siehe da, der T-Router (übrigens ein AVM-Gerät) war fast in der Lage, Internet bereitzustellen. Also wieder den Sniffer angeschmissen, und mal zwischen Router und Modem geguckt, was die so miteinander sprechen. Und siehe da: das Modem tut nix besonderes, aber der DSLAM auf der anderen Seite hat da einen Trunk konfiguriert, und besteht auf der Verwendung von 802.1Q, VLAN Nummer 7. Und Internet gab es nur fast, weil meine Daten für die Autokonfiguration noch nicht durch die Datenbanken der T propagiert wurden, und ich deswegen nur eine Autoconfig-IP bekommen habe, die dann am DSLAM gefiltert wurde. Heute Nacht lief dann wohl der batch job, seit heute morgen bekomme ich jetzt auch richtiges Internet mit 50/10 MBit. Und Fernsehen gucken mit VLC und Multicast geht auch. Ich werde mich dann zeitnah mal dem Problem widmen, mit Linux dieses VDSL zu routen, und werde über den Fortgang des Experiments berichten. VLAN 7 ist aber wahrscheinlich der Schlüssel zum Erfolg.
Network Night Vision: Screen Recordings
2007-12-21T03:09:54+00:00Ah, the rare days where I get to write an entry in the hacking category: Hannes and I spent a lot of time improving Network Night Vision, and tonight we prepared a screen recording showing the soon-to-be-released version 0.0.2 of it in action. The most remarkable new feature is the addition of a GTK backend to DUIM, the Dylan UI abstraction library. This allows us to port NNV to Linux, FreeBSD and OS X, and the Dylan development IDE will follow. The recordings you see were actually taken with a NNV on Linux, running in a VMWare. The display was forwarded to a Cygwin X11 server, and recorded with Camtasia there. The first recording shows the command line window, opening an interface for capture, looking at packets, filtering packets, acquiring an IP address for the built-in IP stack via DHCP, pinging a host, and displaying the ARP and forwarding table of the IP stack. The second recording shows sniffing on a wireless LAN. Injection works too, but is not shown. This is using an RT73 USB stick, which was bridged into the VMWare. Edit: Due to popular demand, here are the videos in AVI and Quicktime formats:
Please use AVI or Flash wherever you can, H.264 is not optimized for screen presentations, and gobbles up 30x the bandwidth of the other options.Puritanisierung des Sexualstrafrechts auf der Zielgeraden
2007-12-10T18:16:21+00:00Wie ich bereits berichtete, plant die Bundesregierung eine Änderung des Sexualstrafrechts, die Jugendlichen auf der einen Seite abspricht, über ihre Sexualität frei entscheiden zu können und sie damit wie Kinder behandelt, sie auf der anderen Seite aber voll schuldfähig macht und als Täter wie Erwachsene behandelt. Kleines Beispiel zur Erinnerung: zwei 17-Jährige, die Camsex miteinander haben, machen sich dadurch zukünftig beide strafbar. Am Donnerstag nun steht die Debatte zum Thema im Bundestag an, nachdem sich noch einmal die Ausschüsse mit dem Thema befassen werden. Es steht allerdings zu erwarten, daß die Bedenken der Experten, wie bedauerlicherweise in unserer Parlamentssimulation mittlerweile üblich, erneut vom Tisch gefegt werden. Die Presseberichterstattung ist mit genau zwei online verfügbaren Artikeln ziemlich mager. Dafür ereifert sich Frau Zypries mit Schaum vor dem Mund. Liebe Frau Zypries, ich glaube, sie verstehen die Kritiker da falsch: Niemand zweifelt an ihren redlichen Absichten. Wir zweifeln an ihrer fachlichen Kompetenz, ihre redlichen Absichten in vernünftige Gesetze zu gießen. Das, was da aus ihrem Hause kommt, ist untauglich. Und noch viel schlimmer: die Pressestelle des BMJ hat auch nicht aufgepaßt. Die in der Presse-Erklärung so vehement verteidigte Phrase "oder einen anderen Vorteil" (siehe letzter Satz dort) im neuen Paragraph 182 steht gar nicht in der Beschlußvorlage des Bundestages, sondern ist ein Wunsch des Bundesrates! Was für eine Blamage! Das Tüpfelchen auf dem i: mal wieder wird hier eine EU-Beschlußvorlage umgesetzt. Nur leider hat die EU gar keine Kompetenzen auf dem Gebiet des Sexualstrafrechts, deswegen muß vor der Abstimmung noch schnell ein entsprechendes Zusatzprotokoll ratifiziert werden, damit man 10 Minuten später das "wir müssen das wegen der EU tun"-Argument bringen kann. Und noch eine Absurdität habe ich noch zum Schluß: schaut euch die Beschlußvorlage noch einmal genau an. Mehr als die Hälfe des Textes beschäftigt sich mit einer Verschärfung der Strafen für Meineid und der Einführung der Strafbarkeit von Falschaussagen vor Untersuchungsausschüssen, und hat mit Kinderpornographie genau gar nichts zu tun! Ich muß ja sagen, ich fände das gar nicht verkehrt, wenn man Untersuchungsausschüsse nicht nach Gusto belügen darf, aber was haben diese beiden Änderungen miteinander zu tun? Update: Nach massivem Protest ist der Beschluß vorerst abgeblasen.
Wahlcomputer im Bundestag
2007-12-07T13:17:45+00:00Die gute Nachricht: der Bundestag wird sich nächsten Donnerstag mit dem Theman "Wahlcomputer" beschäftigen. Die schlechte Nachricht: die Tagesordnung (Punkt 25c, runterscrollen!) sieht die Behandlung des Punktes um 00:30 vor, es wird also keine Aussprache geben, und der Antrag ist von der Linken, die anderen Parteien werden also schon aus Prinzip dagegen sein.