Tag Archives: internet

finestpics.de Umbau fast fertig

Posted on by

So, es ist fast geschafft. Das alte Layout, basierend auf Tabellen in Tabellen in Tabellen in [...] ist nun fast vollständig auf reines CSS umgestellt. Zugegeben, ich musste so gut wie jede Funktion umschreiben, da die neue Engine URLs im Stiel /funktion/parm1/parm2/parm3 und nicht mehr Seite?parm1=y&parm2=y&parm3=z generiert. Auch sind neue Features wie ein dynamischer Fotostreifen als Header oder die automatische Erstellung des Logo-Footers im Bild dazugekommen. Optimistisch gesehen sollte der Umbau bis Weihnachten abgeschlossen sein.

Schaut es euch an, auf finestpics.de/site liegt die überarbeitete Version.

Der magische Koffer bei Frohe Ernte

Posted on by

Was hat es mit diesem Koffer eigentlich auf sich? Nun, er beheimatet ein kleines, halb totes Tierchen dass man, wenn man mag, durch Anbauen bestimmter Feldfrüchte retten kann. Baut man nun die geforderten Dinge an (zuerst Möhren, dann Mais und Äpfel …) erhält man einen Bonus. Ob es relevant ist wie schnell man diese Dinge anbaut kann ich leider nicht sagen.

Warum ich das hier Poste? ;-) 500 Besucher über Googlehaben hier nach Informationen zu diesem Koffer gesucht.Im letztem Beitrag habe ich ja nur die “unklug” übersetzte Willkommensmeldung an-gemeckert.

Frohes Ernten ;-)

UPDATE:
Hat man das Tierchen erst einmal mit Möhren gefüttert, ist die Lebensgefahr vorbei. Allerdings wird das Vieh dann wählerisch und möchte Mais und Äpfel haben. Hier das Pic:

Umgezingeltes Tierchen bei Frohe Ernte im VZ Netzwerk

Posted on by

Hmm, heute gab es eine Kiste mit einem Umgezingelte Tierchen in den letzten Atemzügen beim Browsergame “Frohe Ernte” im VZ Netzwerk. Normalerweise ist das ja kein Thema für einen Blog, aber die Übersetzung ist unübertroffen. Hier der Text:

Du hast einen magischen Koffer entdeckt, es ist völlig schwarz im Koffe, aber darin gibt es ein paar arme Augen, die bitten dir, das ist offenbar ein umgezingeltes Tierchen, und liegt in den letzten Zügen, tutst du alles Mögliche, das zu retten!

IT Sicherheitskit – Warum ist der Basisleser für den elektronischen Personalausweis eigentlich unsicher?

Posted on by

Genau diese Diskussion gab es bereits bei HBCI Chipkarten und anderen durch PIN geschützten externen Speichermedien. Im Grunde sind diese Medien “nur” durch mehr oder weniger gute gegen Missbrauch geschützt. Zum Beispiel hat eine HBCI-Karte einen Chip, auf dem sich ein Mikroprozessor und dahinter etwas Speicherplatz befindet. Möchte man auf die Daten im Speicher zugreifen, verlangt der Prozessor eine PIN. Wird die PIN öfter falsch eingegeben, sperrt der Prozessor und die Daten können nicht mehr (oder nur noch mit extrem hohem Aufwand) ausgelesen werden. Auf dem “Speicherplatz” ist eigentlich auch nur ein Sicherheitszertifikat, das zur Anmeldung am Banking-Server und zur Verschlüsselung/Signierung der Daten verwendet wird, abgelegt.

HBCI-Chipkarten sind als sicher anzusehen, solange die PIN geheim bleibt. Schafft es ein Angreifer die Karten Pin (oder das Zertifikat) zu stehlen, ist alles vorbei.

Und genau hier ist die Schwachstelle der Basisleser anzusiedeln. Der Anwender gibt die PIN an seinem PC/Notebook/Tablet ein und nicht am Kartenleser. Ein Angreifer könnte also die PIN während der Eingabe abfangen. Zumindest in der Theorie.

Praktisch ist das auf einem gesicherten System kaum möglich. Ein Angriff auf die zu signierenden Daten oder ein SSL Man-in-the-Middle Angriff auf die Session selbst ist wahrscheinlicher. Selbst wenn die Daten direkt im Leser verschlüsselt werden, irgendwie müssen sie ja dort hineinkommen. Ist der PC erst einmal infiziert, hilft weder der Basisleser noch ein teurer mit Eingabetastatur vor einem gezielten Angriff. Es mag sein dass ein einfacher Keyloggerangriff zum Erspähen der PIN Erfolg hat, allerdings muss der chinesische Hacker dann persönlich vorbeikommen und den Ausweis klauen.

Primäres Angriffsziehl wird sowieso nicht der Ausweis, sondern die Ausweis-APP. Knackt man diese, hat man eine Backdoor für Linux, Windows und MAC-Systeme. Auch bereits erwähnter SSL-Proxy in einem rootkit versteckt sollte ganz nützliche Dienste zum Abfangen der Kommunikation zwischen Ausweis-App und Website-Authenticator leisten. Mal sehen, was die Szene in den kommenden Jahren so ausbrütet.

BSI IT-Sicherheitskit – oder kurz – Lesegerät für den elektronischen Personalausweis

Posted on by

Im November war es tatsächlich soweit. In der aktuellen Chip-Ausgabe liegt das “BSI IT-Sicherheitskit” oder einfach gesagt, ein Lesegerät für den neuen Personalausweis bei. Eigentlich nichts anderes als ein RFID-Leser mit BSI-Logo. Interessant dabei, es werden Treiber für Windows, MacOS und sogar Linux offiziell in der Installationsanleitung erwähnt.  Doch was soll das ganze? Alle seit dem 01.11.2010 beantragten Personalausweise verfügen über einen RFID-Chip der neben den auf dem Ausweis abgedruckten Informationen auch noch die Biometrischen Daten des Passbildes, freiwillige Fingerabdrücke, eine eindeutige Kennung und auf Wunsch eine digitale Signatur enthält. Der Zugriff auf die Daten ist mit mehreren PINs geschützt.

Problem nur, einiges kann auch ohne PIN-Eingabe ausgelesen werden. Würde eine Restaurantkette eine RFID-Leseschleife am Eingang aufstellen, könnten alle Kunden mit dem neuen Ausweis eindeutig identifiziert werden. Verknüpft man die Daten mit dem Kassensystem und den Standorten, ergibt sich daraus “Welche Altersgruppe hat wo was wie oft gegessen und welche Kunden wechseln in welchem Radius zwischen den Restaurants.” Würde die Kette nun auch Leseschleifen an Lebensmittel und Textilienläden aufstellen, würden die so gewonnenen Daten extrem genaue Personenprofile liefern.

HILFE!

Aber es gibt auch Vorteile. Endlich existiert ein Medium mit dem sich ein User im Internet gegenüber Vertragspartnern oder Behörden eindeutig ausweisen kann. Einfach Personalausweis der Mutter auf das Lesegerät legen, die PIN vom Brief aus dem Ordner “Wichtige Unterlagen” eingeben und schon ist der Kreditvertrag unterschrieben. Zwar speichert der Ausweis Biometrische Daten, ich bezweifle aber das die eigene PC-Webcam von Banken in Verbindung mit dem Personalausweis zur Mussbrauchskontrolle verwendet wird. Notfalls löst ein A3 Ausdruck eines aktuellen Fotos das Problem.

Warum das Gerät nun ausgerechnet “IT-Sicherheitskit” – ein Begriff mit dem warscheinlich nur 10% der Bevölkerung überhaupt etwas anfangen können – heißt bleibt ein Rätsel.

Ausgeschrieben heißt das Kit also:
Informationstechnologie Sicherheitskit
oder
Information und Telekommunikation Sicherheitskit
oder
Italienischer Sicherheitskit ;-)