Infobib

Dirk Fox beschreibt in “Die Mifare-Attacke”¹ noch einmal den bereits hier erwähnten Mifare-Hack. Sein Fazit:

Die publizierten Analyseverfahren erlauben ein Karten-Kloning mit so einfachen Mitteln, dass auf Mifare Classic basierende Anwendungen als vollständig kompromittiert angesehen werden müssen – bei Anwendungen wie Unternehmens- oder Gebäudezugang wäre eine leere Plastikkarte nahezu ebenso sicher (wiewohl erheblich billiger).

Fox empfiehlt u.a. eine Migration auf sicherere Technologien.

1. Datenschutz und Datensicherheit 5/2008, S. 348-350 [↩]

Jakob präsentiert Tipps und Kniffe, Daten aus PICA-DBs zu ziehen.

In URL:
PRS=PP
PRS=PP%7F

IKT=1066 Suche in allen
IKT=4 Suche im Titel

gso.gbv.de/sru/DB2.92/

Via Heise:

Forscher haben einen entscheidenden Durchbruch bei der Kryptanalyse des Verschlüsselungsalgorithmus Crypto1 gemacht, der das RFID-System Mifare Classic schützt. Laut der nun veröffentlichten Arbeit von Nicolas Courtois, Karsten Nohl und Sean O’Neil ist es möglich, ohne aufwendig vorauszuberechnende Tabellen (Rainbow-Tables) die Verschlüsselung innerhalb von wenigen Sekunden mit PC-Hardware zu knacken. Die Sicherheit des Algorithmus, so das Fazit der Forscher, sei “nahe Null”.

Wenn ich mich recht erinnere, wird Mifare Classic unter anderem in der Münchner Stadtbibliothek eingesetzt. Das System Mifare Plus soll allerdings auch betroffen sein.

Unter Sicherheitsaspekten sollten RFID-Etiketten ohnehin spätestens seit Veröffentlichung des RFID-Zappers nicht mehr diskutabel sein. Wer RFID einsetzt, möchte vorwiegend Personal auf die Straße setzen, bzw. keine neuen Mitarbeiter einstellen.

Ja, die Überschrift stimmt schon. Eigentlich ist ein iPhone ja nur dann sinnvoll, wenn man in einer szenigen Cocktailbar sitzt, nicht raucht (oder sich in einem Nichtraucherbundesland befindet) und irgendwie nicht weiß, womit man total cool herumspielen soll. Rene von Docpool hat sein iPhone ein wenig zweckentfremdet und betreibt nun ein Blog auf seinem iPhone. Es wird wohlgemerkt nicht von dort befüllt. Wenn man die URL http://docpool.org/iphone/ aufruft, ruft man die Seiten direkt von seinem Edeltelephon ab. Wie es geht, hat er hier beschrieben. Es wird tatsächlich ein Apache auf dem iPhone betrieben. Die ToDo-Liste sieht folgendermaßen aus.

• Ein Demon, der bei veränderter Netzanbindung, den Tunnel neu einrichtet.
• Managementmode mit dem man Einträge löschen kann.
• PHP-Script ändern, damit es die Fotos aus dem iPhone läd. (Done)
• Script sollte Kommentare entgegen nehmen können und idealerweise gleich auf dem iPhone darstellen.
• Die Menge der Daten sollte überprüft werden für Verbindungen, die nicht so Flat sind…

Für Ungläubige verlinkt Rene extra die entsprechende PHP-Info. Auf meine erstaunte Nachfrage meinte er:

Der blog läuft tatsächlich auf dem iPhone.
Ist noch nicht wirklich stabil, aber es funktioniert eigentlich schon sehr gut. Hatte schon instabilere Server ;-)

Dafür packe ich mein 1337-Tag wieder aus! ;o)

Gerade bei Netbib gesehen: Rainer Sladek schreibt über die Onleihe nur für Microsoft-User. In den Kommentaren zum Telepolis-Artikel wird auch klar, wie sehr man sich mit dem unreflektierten Einsatz von DRM-Technologien den Ruf bei der Minderheit von Heiseforeneinwohnern versauen kann. Doob stellt dort fest, dass Bibliotheken was tolles sind, aber das wird gleich von firedancer gekontert:

Sind sie jetzt nicht mehr – wenn das Angebot a) der Monopolisierung
dient (denn darum geht es hier nämlich), b) weite Teile der
Bevölkerung ausgeschlossen werden (alles > 5% sind bereits weite
Teile: Wir reden hier von sehr großen Usermassen).

So stark formuliert das sicher nur ein kleiner Bevölkerungsteil, aber wie firedancer richtig bemerkt, sind auch 5% der Bevölkerung schon durchaus relevant. Wir reden hier von sehr großen Bibliotheksbenutzermassen.

Die Divibib-Mitarbeiter sind der anfangs eingeforderten Diskussion in der Biblioblogosphäre übrigens sehr offensichtlich überdrüssig geworden. Sie belassen es jetzt beim Posten von Werbeartikeln in ihrem eigenen Blog. Zumindest in den einschlägigen Biblioblogs (z.B. Netbib, Bibliothek 2.0 oder auch hierzublog) konnte ich sie lange nicht mehr sichten. Es ist vermutlich nicht lukrativ genug, sich mit Kritik auseinanderzusetzen.

Da die Bundesregierung die IT-Landschaft per Gesetz sicher gemacht hat, hat Stefan Esser seine Arbeit an und um PHP-Exploits eingestellt. sk79 im Heiseforum sieht Chancen für den Wirtschaftsstandort und seine Freizeitplanung:

Schon immer waren nicht-funktionale Anforderungen, wie Security, ein
Dorn in meinem Auge, haben sie doch die Entwicklungszeit meiner
Projekte unnötig in die Länge getrieben. Doch damit ist jetzt
Schluss!

Endlich brauche ich mir um Sicherheit keine Gedanken mehr machen,
denn das Ausnutzen von Lücken ist jetzt endlich total verboten. Dann
kann ich morgen ja schon um 14:00 Uhr Feierabend machen.

Passend dazu noch einmal: Kinder befragen Politiker nach dem Internet!

[via Netzpolitik]

Im Technology Review schreibt Peter Glaser über den “Hacker 3.0″. Nachdem er auf die Ursprünge der Hackerszene eingeht, beschreibt er die aktuelle Szene:
Read the rest of this entry »

Der Bundestag winkt verschärften Hackerparagraphen durch, und der CCC erklärt in einer Presseerklärung, warum dieses Gesetz völliger Mumpitz ist. CCC-Sprecher Andy-Müller Maguhn:

“Die Erklärungen des Innenministers zur Computersicherheit sind reine Lippenbekenntnisse. Hier wird systematisch der gesetzliche und organisatorische Rahmen geschaffen, um Bürger und Unternehmen wehrlos gegenüber Computerangriffen, Wirtschaftsspionage und auch dem Bundestrojaner zu machen. Sicherheitsforschung kann nur noch in einer unannehmbaren rechtlichen Grauzone stattfinden.”

Wenn die Hacker (nein, nicht die Ruperts) die Weltherrschaft übernähmen, dann sähe sie vermutlich anders aus: If Hackers Ruled.

Achtung, diese Seite enthält echtes 1337 5P34K!!!!!!111

Besten Dank an $73f@n |{. für den Hinweis!