Haben Sie einen Porno gesehen?

Ganz große Frage: Haben Sie heute schon einen Porno angeschaut? Oder zumindest jemand, der den PC vor Ihnen benutzt – also: Ihr Sohn, Dein Papi? Die Antwort gibt www.didyouwatchporn.com. Bei mir natürlich “alles im grünen Bereich” (5 Euro ins Phrasenschwein!):

Den Rest lesen…

BSI: Phishing hat Hochkonjunktur

In einer Meldung vom 3.2.2010 warnt das BSI vor Phishing.

“Phishing-Mails, mit denen Computerkriminelle PC-Nutzer auf gefälschte Internetseiten locken und Passwörter stehlen, sind an sich nicht neu. Täuschend echt und seriös wirkende Mails von Kreditinstituten, Onlineshopping- und E-Government-Anwendungen verleiten Anwender immer wieder dazu, auf angegebene Links zu klicken und ihre Login-Daten auf gefälschten Webseiten preis zu geben. Neue Qualität hat die gezielte, professionelle und oftmals langfristig geplante Vorgehensweise der Betrüger.

Nicht nur Privatanwender stehen im Fokus der Kriminellen. Lukrativ ist Phishing auch im Unternehmensumfeld. Hier wird die Gefahr zunehmend größer, jedoch oft verkannt. „Das Gießkannen-Prinzip wird zwar noch praktiziert, im Trend liegen aber individualisierte Angriffe auf kleinere Zielgruppen“, sagt Matthias Gärtner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Geldinstitute und seriöse Wirtschaftsunternehmen wissen, dass E-Mails von Betrügern leicht gefälscht werden können. Daher werden sie ihre Kunden niemals per E-Mail dazu auffordern, darin angeführte Links anzuklicken und dort vertrauliche Daten einzugeben. „Unternehmen, die Online-Dienstleistungen anbieten, sollten aber auch ihr Authentisierungsverfahren einer kritischen Prüfung unterziehen. Die Eingabe von Benutzername und Passwort ist oft nicht ausreichend. Vor allem, wenn es um monetäre Transaktionen geht!“, so Gärtner weiter „Hier wird zukünftig der neue Personalausweis mehr Sicherheit im Bereich Online-Identitäten bieten.“

Was können Internetnutzer tun, um sich gegen Phishing-Angriffe zu schützen? Das BSI rät:

• Wenn Sie sich unsicher sind, ob es sich um eine Phishing-Mail handelt, sollten Sie sich telefonisch oder brieflich mit ihrem Geschäftspartner in Verbindung setzen.

• Klicken Sie generell niemals auf in E-Mails enthaltene Links, sondern tippen Sie die Internetadressen gewünschter Seiten manuell ein oder nutzen im Browser gespeicherte Lesezeichen und überprüfen Sie nach dem Laden der Seite die URL erneut. Auch durch Tippfehler können Nutzer auf eine von Betrügern registrierte Webseite gelangen.

• Nutzen Sie starke Passwörter, wechseln Sie diese in regelmäßigen Abständen und verwenden Sie für unterschiedliche Online-Anwendungen unterschiedliche Kennwörter.

• Aktive Inhalte wie zum Beispiel Javascript werden oft zu Angriffszwecken missbraucht. Schalten Sie die Funktion “Aktive Inhalte ausführen” am besten generell aus und nur bei vertrauenswürdigen Webseiten bewusst wieder an.

• Öffnen Sie E-Mails und darin enthaltene Anhänge nur dann, wenn sie aus vertrauenswürdiger Quelle stammen.

• Setzen Sie eine Firewall und Virenschutzsoftware ein und bringen Sie diese regelmäßig auf den aktuellen Stand.

• Achten Sie darauf, dass Sie auch die Softwareaktualisierungen für Ihr Betriebssystem und andere von Ihnen eingesetzte Programme laufend installieren oder nutzen Sie automatische Update-Dienste.

Weitere Informationen und Tipps zu den Themen Phishing und Passwörter erhalten Internetnutzer unter www.bsi-fuer-buerger.de.”

(Etwas) Anonymer klicken mit DeReferrer-Diensten

Wenn Sie auf einen Link klicken, guckt der Browser nach, wohin dieser Link führt und ruft diese Webadresse dann auf. Der besuchten Zieladresse sagt ihr Browser, auf welchen Link Sie geklickt haben, was also der “HTTP-Referer” war – der Hypertext-Verweis. Das hat verschiedene nützliche Gründe – eine Website kann ja zum Beispiel eine Funktion anbieten, die davon abhängt, von wo aus Sie sie besucht haben. Den technischen Grund legt dieses RFC fest. Darin kann man auch gleich lesen, dass die “referrer” dort “referer” sind – Sie werden feststellen, dass die Schreibweise mal ein, mal zwei “r”s verwendet. Was ja auch wurrst ist. Aber es ist doch ganz errheiternd, dass die “referer” nur ein Tippfehler sind, und wir nur deswegen noch heute das Problem mit den zwei Schrreibweisen haben…

Für die Anonymität hat der Referrer übrigens kaum wirkliche Auswirkung – im Web sind wir ohnehin nie wirklich anonym. ;-) Das ganze ist also wirklich mehr was für Paranoide oder für ganz spezielle Einzelfälle.

Es gibt (oder besser: gab) einen Sonderfall: Früher waren Webmail-Dienste ziemlich dümmlich. Nutzer wurden allein durch Ihre URL identifiziert, das heißt, man gab Ihrem Browser nach dem Login eine ID mit, die sich ständig in der Webadresse zeigte. Das Gefährliche: Wer diese URL in seinen Browser eingab, sah genau dasselbe wie Sie! Wer also in einem Webmail-Programm einen Link in einer Mail anklickte, der gab der Zieladresse eine Information mit, die es dem Betreiber der Zieladresse erlaubte, in Ihr Konto einzudringen. Das wurde auch tatsächlich ausgenutzt, ist aber heute unüblich, so dass sich die Paranoia nicht lohnt.

Dereferrer-Dienste im Web

Ein ganz einfacher Trick, die Quelle eines Links zu anonymisieren, ist, einen Mittler zwischenzuschalten. Diese Mittler heißen Dereferrer, und an einem von Ihnen kann man sehr schön sehen, wie das ganze funktioniert.

Pikanterweise bietet nämlich ausgerechnet Google, selbst als Datenkrake verschrien, einen Dereferrer-Dienst an, den Sie auf http://www.google.com/url?sa=D&q= finden. Um ihn zu verwenden, also einen “anonymen” Link zu setzen, geben Sie einfach die Zieladresse nach dem = ein, bei http://scareware.de also
http://www.google.com/url?sa=D&q=http://scareware.de.Wenn Sie diesem Link folgen, kommen Sie zur folgenden Anzeige:

Googles Dereferrer-Dienst

Indem Sie (oder die Besucher Ihrer Website) hier auf den Link zur Zieladresse klicken, wird *diese* Google-Seite zum neuen Referrer – und entfernt somit zugleich die ursprüngliche Referrer-Information, also: auf welcher Seite der Link ursprünglich angeklickt worden war.

Es gibt noch weitere Dienste dieser Art, die sich meist interaktiv benutzen lassen. Beliebt & bekannt sind:

• anonym.to
• anonymz.com

Sind Dereferrer gefährlich?

Ja.

• Mag sein, dass die Zieladresse nun nicht mehr weiß, über welche Seite sie aufgerufen wurde. So weit, so anonym. Aber der Dereferrer-Anonymisierungsdienst weiß nun alles! Er weiß, dass die Seite <Zieladresse> von <IhreAktuelleSurfIPAdresse> über die sich versteckenden wollende Website <QuelladresseMitLink> aufgerufen wurde. Kein Wunder, dass Google so einen Dienst anbietet – ich würde auch wissen wollen, wer im Web anonym bleiben will und warum. <Paranoia_ON> Wenn Sie die NSA oder der BND wären, würden Sie dann nicht auch einen solchen Dienst betreiben wollen?</Paranoia_OFF>

• Schlimmer noch: Sie wissen nicht, auf welche Website diese Weiterleitungsdienste im Augenblick des Klicks wirklich umleiten! Wer solche Dienste verwendet, schickt seine Besucher also unter Umständen auf Malware-Seiten, die den Besucher im Drive-by-Verfahren in Sekunden infizieren. Beim Google-Dienst mag das unwahrscheinlich sein, aber wer will das für irgendwelche anderen Anonymisierungsdienste gesichert sagen? Auch Anonym.to ist sicher eigentlich vertrauenswürdig – sofern Sie dem Betreiber gulli.com vertrauen -, aber wer kann das wirklich mit Sicherheit wissen?

• Selbst wenn der Anbieter vertrauenswürdig ist – wer sagt denn, dass er nicht ausgerechnet gestern Abend gehackt wurde? Dem Dienst cli.gs passierte das am 15. Juni 2009, Millionen von URLs waren betroffen.

• Bedenken Sie: Alle Arten von Anonymisierungsdiensten dienen ja nicht nur dazu, unsere noch vorhandenen, wichtigen und gesetzlich verbrieften Bürgerrechte zu schützen. Sie dienen leider auch dazu, Kinderporno-Saugern, Crackz-, Warez- und Serialz-Nutzern und allen anderen Arten von Klein- oder Grosskriminellen zur Anonymität zu verhelfen. Das wiederum hat zur Folge, dass diese Dienste eine Zielgruppe haben, die – möglicherweise überwiegend – aus erpressbaren Personen besteht; und diesen erpressbaren Kriminellen kann man beruhigt Trojaner reindrücken, die werden ohnehin nicht zum Anwalt gehen. Daher ist die Wahrscheinlichkeit, sich im Umfeld solcher Dienste eine Infektion zuzuziehen, meiner persönlichen Meinung nach erhöht genug, um die Finger davon zu lassen.

Helfen URL-Kürzungsdienste?

Nun könnte man einfach auf URL-Shortening-Services umsteigen, denn die machen ja eigentlich dasselbe, aber eben ohne die Anrüchigkeit und ohne die Nähe zum “kriminellen Untergrund”. Klar. Aber das ändert nichts am prinzipiellen Problem (siehe: Warum URL-Shortener gefährlich sind).

Wenn Sie es dennoch tun, rate ich zu zwei Diensten:

• Tinyurl.com bietet die Möglichkeit, Weiterleitungen mit Preview-Funktion anzugeben (für Ihre Besucher), oder via Cookie einzustellen, dass Sie selbst immer erst eine Preview sehen wollen (für Sie).
• Auch bit.ly hat so eine Funktion, wenn man eine URL der Form http://bit.ly/info/<URLID> verwendet und statt <URLID> die des Links einsetzt, zum Beispiel http://bit.ly/info/50lryJ – Danke an bloodywing für den Tipp.

Kann man “unschuldige” DeReferrer finden?

Natürlich gibt es Websites, die aus welchen Gründen auch immer ganz allgemein ein Dereferring für alle URLs durchführen, die nach draußen führen.
Dafür gibt es fertige Skripts.
Diese Skripts haben Namen, zum Beispiel dereferrer.asp oder dereferrer.php.
Daher führt eine Suche nach dem Begriff dereferrer.asp oder dereferrer.php automatisch zu Seiten, die eigene, interne DeReferrer-Dienste betreiben. Betrachtet man bei der URL, die die Suchmaschine anzeigt, wie die Ziel-URL an die dereferrierende URL übergeben wird, kann man sich selbst einen Dereferrer basteln. Diese sind insofern “unschuldig”, als diese Webseiten die Weiterleitung meist (kann man sich ja ansehen, indem man sich die TLD ansieht) nicht berufsmäßig betreiben. Ne … je länger ich drüber nachdenke, desto muß ich dann doch von diesem Quatsch abraten.

Weitere Infos:

• Anleitung: HTTP-Referrer in Mozilla Firefox abschalten

Twitter, Passwörter und Wahnsinnige in Torrent-Foren

In einem Blog-Post in eigener Sache gab Twitter heute Morgen zu, dass etlicher seiner User wohl Probleme mit Identitätsdiebstahl haben. Man habe festgestellt, das einigen Accounts plötzlich deutlich mehr Follower folgen würden als normal und daher sicherheitshalber ein Passwort-Reset der folgenden Konteninhaber veranlasst. Gähn, könnte man sagen, gäbe es da nicht die höchst interessante Hintergrundgeschichte.

Nach der gibt es seit Jahren ein Geschäftsmodell, bei dem Cyberkriminelle professionelle Foren aufbauen und diese dann an „normale Geschäftemacher“ verkaufen. Glaub ich gern. Diese „normalen Geschäftemacher“ kümmern sich natürlich um die wachsende Popularität ihres Forums und freuen sich über jeden Benutzer, der sich dort mit Namen und Passwort anmeldet. Glaub ich auch.

Der Cyberkriminelle freut sich ebenfalls, denn er hat im verkauften Forums-System eine Hintertür eingebaut. Durch diese Backdoor verschafft er sich jederzeit Eintritt und schöpft die digitalen Identitäten der Benutzer ab, also deren Namen, Passwort und E-Mail-Konten. Diese Zugangsdaten reichen bei unvorsichtigen Usern oft, um deren gesamte Identität zu übernehmen.

Laut Twitter-Blog (lesenswert) habe man durch Befragung der Betroffenen herausbekommen, dass es einen Zusammenhang gäbe zwischen geknackten Twitter-Konten und solchen Foren. Wobei es sich bei den Foren vor allem um Torrent-Sites handle, sagen wir‘s auf Deutsch: um Raubkopierer-Foren, in denen Bittorrent-Links zum Download angeboten werden, was für sich genommen noch ein ungefährlicher Vorgang ist.

Dazu meine 5 Cent:

• Ich finde es schon ziemlich beknackt, dass man sich z.B. einen Film ohne Bezahlung klemmt und auf einen Rohling für 1 Euro brennt, statt sich die DVD für 1,50 Euro in der Videothek zu holen und so auch mal ein bisschen Solidarität mit den Jobs aller Menschen in der Herstellungskette digitaler Medien zu zeigen. Ich rede hier nicht davon, dass Herr M.Jackson und Frau N.Kidman bereits gut verdienen, ich rede von den zahllosen Kabellegern und Kulissenbau-Schreinern und und und – und meinen Videothekar habe ich auch nicht gerade als Anzugträger mit Kokosfaserkrawatte in Erinnerung.

• Man muss ziemlich leichtsinnig sein, um sich als User mit Namen und Passwort bei einer Torrent-Site anzumelden. Selbst wenn man sich nicht mit seinem echten Namen anmeldet, ist es doch wahnsinnig anstrengend, diese Identität so strikt von der eigenen zu trennen, dass sie nicht zurück verfolgbar ist. Wobei sie am Ende ja doch zurück verfolgbar ist, denn das System, an dem man sich anmeldet, speichert die IP des sich anmeldenden. Kann man auch verschleiern, schon klar, aber der Aufwand… da geh ich doch lieber in die Videothek.

• Man muss jedoch *völlig* wahnsinnig sein, wenn man in Torrent-Foren dann auch noch dasselbe Paar aus Name/E-Mail und Passwort verwendet, das man für andere Dienste nutzt – zum Beispiel Twitter. Denn so sind wohl die meisten Accounts, die laut Twitter-Blog gehackt wurden, in die Hände der falschen Leute geraten.

Das lernen wir daraus:

• Beherzigen Sie die Ratschläge zum Thema sicheres Passwort.

Vor allem:

• Verwenden Sie niemals dasselbe Passwort zwei Mal. Jeder Service sollte sein eigenes Passwort haben.
• Am besten verschleiern Sie auch Ihre Identität, indem der Username jedes Mal ein anderer ist.
• Wo auch immer Konten an E-Mail-Adresse gebunden sind, tun sich Sicherheitslücken auf. Dem kann man nur beikommen, indem man verschiedene E-Mail-Konten benutzt. Wer sich schon in miesen Foren rumtreibt, sollte dafür eine spezielle, nur dafür erzeugte miese E-Mail-Adresse bei irgendeinem miesen Freemail-Anbieter verwenden.
• Man könnte seine Identitäten auch in Sicherheitszonen staffeln: Schlechte Identitäten, die der Anonymität dienen, sind an E-Mail-A gebunden; normale Identitäten für social Klimbim und Tagesgeschäft an E-Mail-B; und wichtige Identitäten, etwa Shops, an E-Mail-C. Und natürlich dürfen diese E-Mail-Konten nichts miteinander zu tun haben.

Spezialfall Twitter-Sicherheit

Twitter-User sind besonders leichte Beute. Jeder Hinz & Kunz kann eine Website aufmachen, in ihr einen Twitter-Zusatzdienst versprechen, beim Anmeldeformular die Twitter-Zugangsdaten abfragen (denn das tun sie fast alle) und kriegt so die ID frei Haus. Er muss noch nicht mal Funktion liefern – einfach „Wir merken Sie für die Beta vor!“ auszugeben reicht aus, schon kommen noch mehr und wollen sich anmelden.

Es ist daher für jeden Nutzer, auch für Fans soziale Netze, von erheblicher Bedeutung, seine Zugangsdaten in sozialen Netzen – vor allem: das Passwort – völlig anders zu gestalten als in verbunden E-Mail-Accounts und in anderen ernstzunehmenden Systemen.

Gesperrt, gefiltert, abgeklemmt: Das unfreie Netz

Auch in Europa wird heftig gegen die digitale Freiheit gearbeitet. In Frankreich droht Surfverbot demjenigen, der zuviel raubkopierte (der hat’s verdient, finde ich; aber wo kommt das System, dass dies ermöglichen kann, so plötzlich her?), in Deutschland sollen virtuelle Stopp-Schilder vor realen kinderpornographischen Inhalten warnen (wen?) und bilde so die Grundlage für eine Verbots- und Ãœberwachungs-Infrastruktur. Killerspiele gräbt man auch gerne mal wieder aus, wenn einer Amok läuft.

Der Elektrische Reporter über Zensurmaßnahmen und ihre Folgen.

Elektrischer Reporter – Gesperrt, gefiltert, abgeklemmt: Das unfreie Netz

Videoschau Nacktscanner

Ich persönlich bin nicht nur gegen Nacktscanner – ich bin auch gegen Abgrabschen. (Sind Sie dafür oder dagegen? Hier gibt’s ne Umfrage dazu…) Ich bin dagegen, dass ich (in TXL) wie ein Schwerverbrecher aus der Reihe gewunken werde, man Abstriche von meinem niedlichen kleinen (funktionsfähigen) Netbook macht, weil ja Sprengstoffspuren drauf zu finden sein könnten, und man mich in dieser Zeit wie einen Bomber angafft. War ich zu unrasiert? Ich bin auch dagegen, dass ich (in MUC) ein Glas Thunfisch in Öl, das erkennbar (!) weniger als 150 ml Flüssigkeit enthielt (es stand auch drauf; Gesamtgewicht minus Abtropfgewicht = Gewicht der Flüssigkeit, ihr Nasen!), abgeben musste. Ich bin allerdings auch gegen Blödmänner, die mein Flugzeug sprengen wollen. Na, wie auch immer, hier die Clips:

Den Knaller lieferte Science-Buster Werber Gruber (-> Terror-Spaß mit Physik) mit in seiner Nacktscanner-Demo im ZDF. Die sagt eigentlich alles:

YouTube nehme ich nur, weil man das einbetten kann – der GEZ-zwangsfinanzierte Sender ZDF ist ja leider nicht in der Lage, sowas wie Einbetten die Reihe zu kriegen und der ZDF-YouTube-Account meidet diesen Beitrag – immerhin gibt’s den Clip auch in der ZDF Mediathek.

Was einen nachdenklich machen sollte: Das Thema ist eigentlich uralt – hier ein Clip von 2006. Nur offenbar war das Zeug ein Ladenhüter. Jetzt plötzlich stürzen sich wieder alle drauf. Da reibt sich der Hersteller natürlich die Hände. Zahlen tun es die Fluggäste:

Die Deutsche Welle zum Thema Nackscanner:

Viele Bilder dessen was der Scanner an sich zeigt:

Die Tagesthemen über Körperscanner – sehenswert schon wegen Bosbachs 180-Grad-Drehung:

ZDF:

Witzig: Extra 3 zum Thema. Ab Minute 2:30 gehts los zum Thema Nackscanner, aber auch der Teil davor ist höchst lehrreich.

Heiter: Mein Lieblingsmagazin “quer” (dafür und für Extra3 zahl ich gern Gebühren) zum Thema Nacktscanner & Vertrauen.

Reuters. Paranoia_ON: Interessant an diesem Beitrag sind die Scans, die eher hässliche Menschen zeigen – etwas, was aktuelle Beiträge im deutschen Fernsehen vermeiden. Die Video-Footage, die natürlich eine Erlaubnis der Flughäfen und Hersteller voraussetzt, ist wohl neuerdings um PR-professionalisierte Akzeptanz bemüht… Paranoia_OFF

Der Piratenpartei-Fleshmob gegen Fleischscanner. Na ja, wenn’s Spaß macht…

Schon etwas älter: Zoomer.de (R.I.P.) fragt Passagiere, was die davon halten, dass man ihre Genitalien scannt:

Interessanter letzter Satz in diesem englischssprachigen Bericht: “It will not stop at Airports”.

Das Ende der Privatsphäre …

Er argumentiert dabei vor allem mit der Macht des Faktischen, also, dass man sich gesellschaftlichen Realitäten anpassen müsse, um nicht unterzugehen, und die gesellschaftliche Norm sei halt nunmal, dass Privatsphäre niemandem mehr wichtig sein. Zugespitzt: Weil ohnehin viele Anwender ihre Daten relativ bedenkenlos ins Netz stellen, weil ohnehin viele Unternehmen Daten sammeln, weil ohnehin Archivdienste im Web das Internet mit einem unlöschbaren Gedächtnis ausstatten, und so weiter – weil das alles so ist, kann man auch gleich auf jegliche Privatsphäre verzichten.

Das hat Zuckerberg so nicht gesagt, und man interpretiert vielleicht zuviel in die Aussagen dieses etwas jungen Chefs hinein – hier der Ausschnitt aus dem Interview, gefunden bei ReadWriteWeb:

Doch natürlich ist Facebook groß genug, um seinerseits Teile gesellschaftlicher Realität zu manifestieren. Und ich sehe immer öfter einen Trend, zu denken zu handeln wie oben zugespitzt beschrieben.

Doch nur weil täglich Menschen bei Rot über die Ampel gehen, braucht man noch lange nicht das entsprechende Verbot abzuschaffen. Nur weil sowieso MP3s geklaut werden, braucht man es nicht erlauben. Nur weil mich Polizei/Geheimdienst sowieso abhören kann, muss der richterliche Beschluss nicht abgeschafft werden. Kurz: Nur weil sowieso Daten anfallen, muss man sie nicht auf Vorrat speichern und beliebig umherschieben dürfen. Wer dazu noch ein paar Fremdgedanken lesen will, dem seien die deprimierendsten Orwell-Zitate aus 1984 anzuraten.

Zum Abschluss: Es ist natürlich eine ungeheure Torheit, den Wunsch der Menschen nach Privatsphäre aus dem Wunsch der Facebook-Nutzer nach Privatsphäre ablesen zu wollen. Wer auf Privatsphäre wert legt, der ist einfach nicht bei Facebook – und auch sonst nirgends. Die Wünsche der Nicht-Mitglieder werden also gar nicht bedacht, und Herr Zuckerberg ist auch kein Gesellschaftsgestalter, sondern Unternehmer. Das sollte sich jeder vor Augen halten, der allzu leicht glaubt, die “Marktforschung” (die auf social networks dank der vielen Daten so einfach ist) würde tatsächlich gesellschaftliche Realitäten abbilden. Man erinnere sich nur an die Wahlprognosen auf Xing, wo die Piratenpartei die absolute Mehrheit erhalten hätte…