Archiv für den Monat: Mai 2014

29 05, 2014

Der TrueCrypt-Selbstmord

von |29. Mai 2014|IT-Sicherheit|0 Kommentare|

Unter truecrypt.sourceforge.net warnt das Projekt vor dem Einsatz der eigenen Software:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

This page exists only to help migrate existing data encrypted by TrueCrypt.
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. [..]

Die alten Softwareversionen wurden entfernt und die aktuelle Variante von TrueCrypt erlaubt nur noch das Entschlüsseln von existierenden Datenträgern. Die digitale Signatur der aktuellen Software ist echt. Entweder ist das ein grandioser Hack oder das Projekt hat aufgegeben. Im Netz kursieren die ersten Gerüchte, dass dahinter in irgendeiner Form die NSA oder andere Geheimdienste stecken sollen. Ob das stimmt, wird sich eher nicht bestätigen lassen.

Aktuell kann man nur annehmen, dass die Entwicklung von TrueCrypt eingestellt wurde. Nachdem die Software nicht unter einer freien Lizenz steht, kann das Projekt nicht geforkt werden. Somit können auch keine Security-Fixes mehr veröffentlicht werden.

TrueCrypt scheint Selbstmord begangen zu haben.

14 05, 2014

Ping Flood gegen Quizduell in der ARD

von |14. Mai 2014|Netzpolitik|0 Kommentare|

Eigentlich hat es mich nicht interessiert: Quizduell in der ARD mit Jörg Pilawa. In der Show sollte versucht werden, die Zuschauer über eine eigene App interaktiv mit raten zu lassen. In der ersten Sendung brach die IT zusammen. Danach wurden noch Berichte von einem Datenleck mit 50.000 Nutzern laut. Jetzt stoß ich zufällig im Zappen darauf.

Am Anfang der dritten Sendung wurde nun veröffentlicht, dass man einer DoS-Attacke ausgesetzt war, die über viele SSH-Agents mittels ping requests ausgelöst wurde Die Aussage hat sich Herr Pilawa von der eigenen IT geben lassen. Mich würde interessieren, woher die das mit dem SSH haben und welche Rolle das bei einem Ping Flood spielen soll. Also zumindest soll die Leitung dicht gemacht worden sein.

Dann entschuldigte sich Pilawa noch, dass auch sie einen Fehler gemacht haben. Durch die Verknüpfung von Daten wie Wohnort oder Geschlecht sollten Auswertungen vollzogen werden, ob sich statistische Merkmale in der Beantwortung von richtigen oder falschen Fragen ableiten lassen. Das habe die Server überlastet.

Also wir lassen uns lahmlegen durch einen relativ unspektakulären Ping Flood und sorgen durch falsch dimensionierte Hardware noch dafür, dass auch ohne den DoS nichts funktionieren würde. Weil das aber noch nicht genug ist, bauen wir noch ein Datenleck ein, sodass Unbefugte Zugriff auf personenbezogene Daten erhalten können.

Die gesamte Leistung wurde von unseren Rundfunkbeiträgen bezahlt. Anscheinend ist der Rundfunkbeitrag noch nicht hoch genug, sodass man sich keinen vernünftigen Dienstleister hat leisten können.