EU-FOSSA: Welche Open-Source-Software soll überprüft werden?

Heise.de:

Das EU-Projekt FOSSA ist angetreten, die Sicherheit in Open Source-Projekten zu verbessern. Mit einer aktuellen Umfrage wollen die Projekt-Manager nun Input sammeln, welches Projekt als erstes einen Code-Review bekommen soll. Die Auswahl reicht dabei von 7-zip über VLC bis hin zu Apache Tomcat. Noch bis zum 8. Juli können Interessierte abstimmen.

Weitere Informationen hier: EU-FOSSA pilot project: consultation on the choice of software for a sample code review

NSA: Größte Malware-Schleuder der Welt?

Die NSA arbeitet zusammen mit dem britischen GCHQ an einer industriellen Automatisierung von Malware. Das belegen neue Enthüllungen aus dem Fundus von Edward Snowden über die Glenn Greenwald bei TheIntercept berichtet: How the NSA Plans to Infect “Millions” of Computers with Malware

Es! Ist! Zum! ******!

[via Netzpolitik.org]

Jabber bietet Verschlüsselung an

Die Kombination Jabber/Pidgin ist seit Jahren ein hilfreiches Instrument für den Austausch mit KollegInnen in meiner Hochschule und in anderen Bibliotheken. Nun widmet sich Jabber der Verschlüsselung von Kommunikation. Zwei Punkte:

  • Mandatory encryption of client connections
  • Mandatory encryption of server-to-server connections.

Mehr Infos auf der Jabber-Seite.

LBS ohne Java JRE!

“LBS befreit sich von JAVA JRE Abhängigkeit” ist der Titel des Postings im OCLC-Blog. Und die Kernaussage:

Künftig wird LBS nicht länger von JAVA JRE Updates beeinflusst – welche Erleichterung für uns alle!

Oh ja, das ist tatsächlich eine Erleichterung! Und was für eine! Für Nicht-LBSler: Bei jedem JAVA-JRE-Update heißt es bislang: halte ich meinen Rechner halbwegs sicher, oder soll die Ausleihe auch weiterhin funktionieren?

Wie auch immer: Nun bin ich optimistisch, dass auch andere Wünsche in Erfüllung gehen. Zum Beispiel “LBS befreit sich von IE-Abhängigkeit”; “LBS befreit sich von Windows-Abhängigkeit”; “LBS setzt gängige Bedienkonzepte um”. To be continued…

[Besten Dank an Andrea für den Hinweis!]

Smartphone ersetzt Bibliotheksausweis?

Viola Voß weist drüben bei Netbib auf eine interessante Einsatzmöglichkeit von Smartphones in Bibliotheken hin: als Ersatz für den Bibliotheksausweis.

Offenbar verwenden Benutzer immer häufiger Apps, mit denen sich Kundenkarten- und Ausweis-Nummern auf dem Handy speichern und auf dem Display als Barcode darstellen lassen. So spart man sich zig Karten im Portemonnaie und hat im Handy immer alles dabei.

Die Idee stammt vom Swiss Army Librarian, der wiederum auf Vagabondages verweist. Mein Umsetzungsvorschlag, um Sicherheitsbedenken entgegen zu kommen:

1. Nutzer gibt Nutzerdaten in App ein, meldet sich via App im Benutzerkonto an.
2. Die App generiert aus dem Nutzerkonto heraus einen Barcode. Dies evtl. inkl. verschiedener Benutzerdaten (z.B. Name des Benutzers), die ebenfalls angezeigt werden. Dazu noch ein Bibliothekslogo oder so, damit man sieht, dass es die App ist oder zumindest eine etwas mühevoller angefertigte Fälschung.
3. Nun muss noch ein Feedback-Mechanismus stattfinden.
a) Die App sendet ein Signal an das Bibliothekssystem, dass nun ein Ausleihvorgang stattfinden soll.
b) Der Nutzer gibt eine PIN oder ein Passwort in ein Terminal ein analog zur Kartenbezahlung an der Supermarktkasse.
c) …?

Diskussion bitte in den Netbib-Kommentaren. Vielleicht meldet sich ja ein IT-Mensch zu Wort, der sich mit derartigen Sicherheitsmechanismen auskennt?

Wer traut der Cloud?

Gartner hat Cloud Computing zu einer der Strategic Technologies for 2011 erklärt. In Wikipedia ist Cloud Computing folgendermaßen zusammengefasst:

Ein Teil der IT-Landschaft (in diesem Zusammenhang etwa Hardware wie Rechenzentrum, Datenspeicher sowie Software wie Mail- oder Kollaborationssoftware, Entwicklungsumgebungen, aber auch Spezialsoftware wie Customer-Relationship-Management (CRM) oder Business-Intelligence (BI)) wird durch den Anwender nicht mehr selbst betrieben oder bereitgestellt, sondern von einem oder mehreren Anbietern als Dienst gemietet. Die Anwendungen und Daten befinden sich dann nicht mehr auf dem lokalen Rechner oder im Firmenrechenzentrum, sondern in der (metaphorischen) Wolke (engl. „cloud“). Das Bild der Wolke wird in Netzwerkdiagrammen häufig zur Darstellung eines nicht näher spezifizierten Teils des Internet verwendet.

Es geht als darum, Ressourcen zu sparen. Klingt attraktiv, doch kann man der Cloud wirklich trauen? Zwei Fälle in der jüngsten Vergangenheit sollten mindestens misstrauisch machen.

Yahoo vs. Delicious.com

Yahoo will Delicious verkaufen. Zumindest nicht mehr schließen, wie es kurze Zeit hieß. Auch wenn sich die erste Aufregung schon wieder ein wenig gelegt hat, steht fest, dass Delicious und ähnliche, in der Cloud gelagerten Dienste nicht Teil einer kritischen Infrastruktur sein dürfen. Wenn die Linksammlung einer Bibliothek kurze Zeit ausfällt, bis sie zu einem anderen Dienst übertragen ist, wäre das nur ärgerlich. Es sind jedoch auch Szenarien denkbar, in denen ein Dienst wie Delicious eine für den Fortgang einer Bibliothek oder eines Forschungsprojekts wesentlichere Funktion einnimmt.

Wikileaks vs. Amazon

Man mag von den Cablegate-Veröffentlichungen halten, was man will. Fakt ist, dass bislang niemand für die Veröffentlichung der Depeschen verklagt oder gar verurteilt wurde. Dennoch hat sich Amazon, wo Wikileaks bislang in der EC2-Cloud gehostet wurde, dazu entschieden, Wikileaks auszusperren. Dies ist ein Vorgehen von nicht zu unterschätzender Relevanz. Wenn zum Beispiel eine Bibliothek ein Online-Archiv in der Cloud errichten möchte, kann sie es auf keinen Fall dem Cloud-Provider überlassen, welche Inhalte sie dort publizieren darf und welche nicht.

Wichtig: Risikoabschätzung

Das Thema “Cloud Computing” ist nicht nur ein Modethema, es ist jetzt schon Alltag. Man denke nur an Google Docs oder die Dropbox. Wenn Cloud-Dienste in Anspruch genommen werden sollen, ist es unbedingt notwendig, die möglichen Risiken abzuschätzen. Hilfreich kann dabei die Broschüre zum Cloud Computing Risk Assessment der European Network and Information Security Agency sein. Dort werden verschiedene Risikofaktoren unterteilt in drei Felder (Technical risks, policy and organizational risks und legal risks) identifiziert und erörtert. Auch der NYT-Artikel “Lost in the Cloud” von Jonathan Zittrain gibt Hinweise auf weitere mögliche Risiken zum Beispiel für den Datenschutz.

PS: Wer noch keine Dropbox hat und mir einen Gefallen tun möchte, kann sich über diesen Link dort anmelden. Durch die Anmeldung bekomme ich eine Prämie in Form von mehr Speicherplatz.

Sicherheitslücken bei Chrome

Der vor 2 Tagen von google vorgestellte neue Browser Chrome [wir berichteten] ist aus dem Nichts in die Top 3 der meistvebreiteten Browser geschossen. Aber jetzt vermehrt sich auch die Kritik am Browser, es gibt Sicherheitslücken und außerdem sind einige Nutzer durch die Nutzungsbedingungen verstört.

“Ihre Kopie von Google Chrome enthält mindestens eine eindeutige Anwendungsnummer. Diese Nummern … (werden) bei der erstmaligen Installation und Verwendung der Anwendung und bei der automatischen Update-Prüfung von Google Chrome an Google gesendet.” Und weiter: “Falls Sie Nutzungsstatistiken und Ausfallberichte an Google senden, werden uns diese Informationen sowie eine eindeutige Anwendungsnummer vom Browser übermittelt.”

Im Klartext: Wer nicht widerspricht, gibt Google komplette Verfügungsgewalt über seine persönlichen Surf-Daten.

Mehr Informationen zu den Sicherheitslücken bei spiegel.online.

"Mifare vollständig kompromittiert"

Dirk Fox beschreibt in “Die Mifare-Attacke” 1) Datenschutz und Datensicherheit 5/2008, S. 348-350 noch einmal den bereits hier erwähnten Mifare-Hack. Sein Fazit:

Die publizierten Analyseverfahren erlauben ein Karten-Kloning mit so einfachen Mitteln, dass auf Mifare Classic basierende Anwendungen als vollständig kompromittiert angesehen werden müssen – bei Anwendungen wie Unternehmens- oder Gebäudezugang wäre eine leere Plastikkarte nahezu ebenso sicher (wiewohl erheblich billiger).

Fox empfiehlt u.a. eine Migration auf sicherere Technologien.

References   [ + ]

1. Datenschutz und Datensicherheit 5/2008, S. 348-350

Achtung: WordPress-Feedhacker unterwegs!

Zufällig bin ich über eine mir neue Art des Spams gestoßen: Im Feed des Divibib-Blogs findet sich Spam, der im Artikel selbst nicht zu sehen ist. Und so sieht das dann im Feed aus:

Betroffen sind anscheinend WordPress-Blogs. Es ist wohl angeraten, den eigenen Feed einmal unter die Lupe zu nehmen und auch mal nach ein paar typischen Spam-Begriffen im eigenen Blog zu suchen.

Mifare Classic vor dem Aus

Via Heise:

Forscher haben einen entscheidenden Durchbruch bei der Kryptanalyse des Verschlüsselungsalgorithmus Crypto1 gemacht, der das RFID-System Mifare Classic schützt. Laut der nun veröffentlichten Arbeit von Nicolas Courtois, Karsten Nohl und Sean O’Neil ist es möglich, ohne aufwendig vorauszuberechnende Tabellen (Rainbow-Tables) die Verschlüsselung innerhalb von wenigen Sekunden mit PC-Hardware zu knacken. Die Sicherheit des Algorithmus, so das Fazit der Forscher, sei “nahe Null”.

Wenn ich mich recht erinnere, wird Mifare Classic unter anderem in der Münchner Stadtbibliothek eingesetzt. Das System Mifare Plus soll allerdings auch betroffen sein.

Unter Sicherheitsaspekten sollten RFID-Etiketten ohnehin spätestens seit Veröffentlichung des RFID-Zappers nicht mehr diskutabel sein. Wer RFID einsetzt, möchte vorwiegend Personal auf die Straße setzen, bzw. keine neuen Mitarbeiter einstellen.