Habe heute den Vortrag eines KHK Sowieso vom LKA zum Thema Computerkriminalität gehört.
Er hat etwas aus dem Nähkästchen geplaudert. Die Jungs da habens voll drauf und können sogar Sachen wie traceroute und grep bustet icq-protokoll.txt.
Die Kriminellen können einpacken.
Schon toll, was man für seine Steuergelder so für Comedy geboten kriegt. Und das mitten in der Woche:
Hans-Peter Uhl von der CDU/CSU-Fraktion erklärte dagegen, dass der Telekom-Fall mit der Vorratsdatenspeicherung „Null“ zu tun habe. Der Ex-Monopolist habe nur „frische“ Verbindungsinformationen genutzt.
Bei der VDS hingegen reifen die Daten wohl noch etwas nach…
Bundesinnenminister Wolfgang Schäuble (CDU): „Die freiheitliche Ordnung beruht ein wenig auf Vertrauen, sonst kommen wir in den totalen Überwachungsstaat.“ Die Opposition solle aber aufhören, „die Menschen zu verunsichern“.
Ob der eigentlich noch merkt, was er redet? Wird Zeit, dass den mal einer zurückrollt.
Mein kleiner Link auf wolfgang-schaeuble.de letzte Woche (Heise berichtete) hat wohl einigen Leuten nicht gereicht und sie haben jetzt einen Hack mit Köpfchen nachgelegt.
Es ist schon peinlich, von was für Leuten wir regiert werden: sie wollen so mordsmäßig komplexe Sachen wie eine Onlinedurchsuchung einführen, aber kriegen nichtmal ihre eigene Webseite gesichert gegen Leute mit HTML-Grundkenntnissen. Ich glaube jedenfalls, wir werden in der nächsten Zeit noch eine Menge Spaß damit haben.
Irgendwie wird die ganze Sache so absurd, dass man eigentlich viel mehr kreative Aktionen wie das Grundrechts-Volksfest des AK Vorrat machen sollte.
PS: Jetzt haben sie erstmal eine statische Website mit PDFs aufgeschalten. Würde mich nicht wundern, wenn sie auch da eine Sicherheitslücke eingebaut haben…
XSS-Link Nummer 87524.
Update: Der Webmaster macht Überstunden und jedenfalls ist jetzt (23:50) die Lücke zu.
Ich hatte hier ja neulich was zu www.elster.de geschrieben. Stellt sich raus, dass es da noch eine Sicherheitslücke gibt.
Man kann Links bauen, die dann woanders hin zeigen, als man denkt. (Denkt euch mal die SSL-Warnungen weg, wenn man sich da jetzt richtig Mühe macht und ein passendes Zertifikat erstellt, kriegt man das auch noch weg).
Update: Still und heimlich ist auch diese Lücke plötzlich verschwunden.
Krieg bedeutet Frieden
Freiheit ist Sklaverei
Unwissenheit ist Stärke
sind die Parolen der großen Koalition Partei in Orwells 1984. Seit gestern kann man da hinzufügen:
Zentrale Speicherung ist Datenschutz
Der BDK-Vorsitzende Klaus Jansen nutzte nämlich die Gunst der Stunde, seine Forderung „die Verbindungsdaten sämtlicher Telefonkunden in einer zentralen Datenbank zu speichern“ zu begründen mit der, haltet euch fest: „Riesenchance für den Datenschutz“, die sich da durch die Telekom-Stasi-2.0-Geschichte eben auftut. Vor soviel Dreistigkeit muss man schon den Hut ziehen.
Wenn man das mal ganz nüchtern analysiert, ist das natürlich Humbug:
Fefe formuliert das übrigens doppelplusgut: Die Verbindungsdaten werden schon mißbraucht, bevor sie überhaupt die Telekom verlassen haben!
Aufgepasst, wenn euch jemand einen Link auf eine Seite der Domain www.elster.de zukommen lässt. Die Kollegen haben da eine Cross-Site-Scripting-Lücke eingebaut, die das Verbiegen des Download-Links (und andere nette Dinge) ermöglicht. Sogar mit HTTPS. Feine Sache das.
Dann ladet ihr nicht das ElsterFormular herunter, sondern vielleicht was ganz anderes. Kostprobe gefällig? Link, dort auf Ich stimme dem Vertrag zu klicken.
Update: Wie Erdgeist vom CCC auf Trackback berichtet, hat elster.de gerade noch ein viel größeres Problem mit HTTPS-Seiten.
Update 2: Die Lücke wurde inzwischen in aller Heimlichkeit geschlossen. Der eigene gute Ruf ist offenbar wieder mal wichtiger als die Sicherheit der (evtl.) betroffenen Nutzer.
Was müssen wir unter folgendem Link lesen? Schäuble tritt zurück?
Update: Die Webseite wurde erst geheiset und dann gefixt.
Eines Tages kam eine Familie zu Nasreddin und behauptete, ein junger Mann habe ihre Tochter während eines Telefongesprächs vergewaltigt.
„Wohlan, so gebt mir die Nummer jenes Mannes, ich möchte mit ihm sprechen“, sprach Nasreddin und zog sich zurück, um mit dem Beklagten zu telefonieren.
Als er nach einer Weile zurückkam, fragte ihn die Familie, „wie habt ihr entschieden, weiser Herr?“
„Der Fall war klar und ich habe in eurem Sinne geurteilt. Jener Mann bekannte sich schuldig, so verurteilte ich ihn zu 40 Stockschlägen, welche ich ihm auch sogleich verabreichte. Gott preise die moderne Technik!“