Diese Woche im Standpunkt Sicherheit: Ein IT-Hörbuch, Bedrohungen aus und durch das Web und ein paar Worte zum EU-weiten Überwachungswahn.
Hörbuch und IT, geht das überhaupt?
Schon auf den WebSecDays habe ich von Manu Carus eine Ausgabe seines Hörbuchs Ethical Hacking bekommen. Ein Hörbuch zu einem IT-Thema, das klingt erst einmal nach einer verrückten Idee. Und dann auch noch zum Thema Sicherheit, das weckt natürlich meine Neugier. Trotzdem bin ich bisher nicht dazu gekommen, mir die CD anzuhören. Da war eine Zugfahrt am Wochenende eine gute Gelegenheit, das in Ruhe nachzuholen. Also ab auf den MP3-Player damit und los geht's.
Fachlich gab es für mich nichts Neues, das hätte mich auch sehr gewundert. Für alle aber, die neu in dem Thema sind und/oder einfach mal reinschnuppern wollen, gibt es reichlich interessanten Stoff. Und was meine Skepsis "Hörbuch und IT, geht das überhaupt?" betrifft: Ja, das geht. Einen Programmierkurs sollte man vielleicht nicht unbedingt vertonen, aber zur Vermittlung von Grundlagenwissen ist das Hörbuch sehr gut geeignet. Für manche Zielgruppen ist das Hörbuch vielleicht sogar der bessere Einstieg als die gedruckte Variante. In gut 40 Minuten gibt es einen sehr gut gemachten Überblick, und wenn das Thema dann vertieft werden soll, kann zielgerichtet nach passender weiterführender Literatur gesucht werden, z.B. dem der CD zugrunde liegenden Buch.
Web 2.0 = Bedrohung 2.0
Gleich mehrere Meldungen aus der vergangenen Woche verdeutlichen einmal mehr, das mit dem Web 2.0 auch die Gefahren wachsen. So hat es inzwischen auch das BSI bemerkt: Soziale Netzwerke sind Fundgruben für Spammer. Allerdings. Das habe ich schon in mehreren Standpunkten erwähnt, die werde ich jetzt nicht raussuchen und verlinken. Da gibt es bessere Link-Ziele. Z.B. zu einem Eintrag im SophosLabs Blog, laut dem in Facebook das Geburtsdatum von Mitgliedern ausgespäht werden konnte. Was man mit dieser Information - außer Glückwünschen zum Geburtstag zu schicken - noch anstellen könnte, kann sich jeder selbst ausmalen. Wem wirklich nichts einfällt, hier ein kleiner Tipp: Oft wird das Geburtsdatum als zusätzliches Identifikationsmerkmal verwendet.
Auch einen Link wert: Dieser Eintrag im SecuriTeam Blog, der beschreibt, wie man den Namen zu einer Google-Mail-Adresse herausbekommt. Man muss nur im Google-Kalender in der Rubrik "Kalender verwalten" unter "Diesen Kalender freigeben" die Google-Mail-Adresse hinzufügen, das Ganze speichern und erneut aufrufen, schon wird der zur Adresse gehörende Name angezeigt. Eine andere Frage ist natürlich, ob das wirklich der Realname ist oder ob da nicht auch ein Pseudonym angegeben wurde. Die Funktion ist aber trotzdem ganz nützlich, wenn man herausbekommen möchte, wer hinter einer bestimmten Google-Mail-Adresse steckt. Selbst wenn nicht der Realname ausgegeben wird, hilft ja vielleicht das verwendete Pseudonym weiter.
Zum Fisch bitte hier entlang...
Man sollte dem Web 2.0 also nicht alles anvertrauen. Vor allem nichts, was eigentlich niemanden außer dem engeren Freundeskreis was angeht. Und außerdem sollte man auch den Websites nicht unbedingt vertrauen. Z.B. auch nicht darauf, das eine angezeigte URL auch zur angezeigten Website führt. Denn laut einer Studie (PDF) der Universität Indiana lassen sich zahlreiche bekannte Websites für Redirects missbrauchen. Von 2,5 Millionen Websites ließen mehr als 130.000 Redirects zu beliebigen anderen Websites zu. Besonders fatal ist das natürlich z.B. bei Banken: Vorne steht die vertraute URL, hinten die Weiterleitung zur Phishing-Website. Treffer, versenkt. Wie man das verhindert, verrät die Studie auch.
Trau keinem, der nicht Innenminister ist!
Laut einem Bericht des ORF gibt sich der österreichische Innenminister nicht mit der Vorratsdatenspeicherung der Verbindungsdaten zufrieden, er will gleich alle übertragenen Daten. Noch nicht auf Vorrat, aber was nicht ist, kann ja noch werden. Erst einmal begnügt man sich damit, einem Verdächtigen eine feste IP-Adresse zuzuordnen und alle zugehörigen Datenpakete abzugreifen. Und in Schweden erklärt man gleich alle Bürger für verdächtig und möchte den kompletten Datenverkehr mit dem Ausland überwachen. Na, was den Österreichern und Schweden recht ist, ist unseren Innenpolitikern doch bestimmt billig. Teuer wird's für die Provider, deren Kunden und die Freiheit. Und es würde mich überhaupt nicht wundern, wenn das Ganze wie schon bei der Vorratsdatenspeicherung wieder über die EU in die nationale Gesetzgebung gezwungen wird. Etwas Ähnliches wurde ja schon im Rahmen des neuen EU-Gesetzespakets zur Regulierung des Telekom-Marktes versucht.
Politikerverdrossenheit, nicht Politikverdrossenheit
Und dann wundern sich die Politiker wirklich über EU-Müdigkeit und Politikverdrossenheit? Wenn von der EU (fast) nur Schlechtes kommt oder zumindest dieser Eindruck entsteht, wenn die Politiker ihrem eigenen Volk nicht vertrauen und es immer stärker überwachen wollen - dann muss das doch zu solchen Reaktionen führen. Was erwarten die - helle Begeisterung? Kein Problem, da müssen einige nur zurücktreten, die folgenden Begeisterungsstürme würden sie überraschen. Sowohl die Demokratie als auch die EU sind sehr gute Einrichtungen, aber was die zurzeit herrschenden Politiker damit anstellen, ist teilweise gar nicht gut.
Carsten Eilers
