The Turkey Curse
fukamis terror chatroom

Terroristen sind auch klug

Pungenday, 43rd Chaos, 3173.

[Schäuble in der taz][taz]:


[Die Terroristen] tarnen ihre Informationen dann zum Beispiel als Tagebucheintrag. So leicht dürfen wir es denen nicht machen.

Vielleicht tarnen sich kluge Terroristen aber auch als Innenminister eines europäischen Staates. Insofern stimme ich Herrn Schäuble zu: Wir dürfen es ihnen nicht so leicht machen.

[taz]: http://www.taz.de/pt/2007/02/08/a0169.1/text

---

Kurioses über mich

Pungenday, 38th Chaos, 3173.

Auch ich bin, wie [Dominik][lostfocus], [BeF][bef] und [Jens][jens], arbeitsvertraglich dazu verpflichtet, jeden Unsinn mitzumachen. So habe ich ein Stöckchen zum Thema *Sechs Kuriositäten über mich* zugeworfen bekommen. Hier sind sie also:

* Ich habe aufgehört Cello zu spielen, als ich mit der Pearl Harbour Bluesband Anfang der 90er in der Scheune ausgebuht worden bin und die Band einen Raum mit 600 Anwesenden in weniger als 5 Minuten komplett leergespielt hat.
* [M.A.R.K. 13 - Hardware][mark13] und [Decoder][decoder] gehören wirklich zu meinen Top 10-Lieblingfilmen.
* Ich bin weder gebürtiger Sachse noch Rheinländer, mag aber beide Ethnien auf ihre Art ganz besonders gerne (was sich eigentlich wohl ausschliesst).
* 1991 fand ich Nirvana in der Easy Schorre in Halle einfach nur grottenschlecht (ganz im Gegensatz zu Sonic Youth) und wollte lange nicht wahr haben, daß “Smells Like Teen Spirit” von genau dieser Band stammte.
* Das Gericht, das ich am Liebsten und am Besten zubereiten kann, sind Hühnerherzen in Akazienhonig.
* Ich habe vor allem deswegen angefangen Vorträge zu halten, weil ich in meiner Jugend eine sehr [schwere][poltern] [Sprachbehinderung][stottern] hatte.

Ich gebe dieses Stöckchen mal weiter an [Neingeist][neingeist], [Astro][astro], [fh][fh], [sv][sv] und die [Korrespondentinnen][botschaften].

[fh]: http://fholzhauer.de/b/
[botschaften]: http://botschaften.blogg.de/
[sv]: http://www.23bit.net/sv/blog/
[astro]: http://astroblog.spaceboyz.net/
[neingeist]: http://blogs.bl0rg.net/neingeist/
[lostfocus]: http://www.lostfocus.de/
[bef]: http://pentaphase.de/
[jens]: http://bildschirmarbeitsplatz.blogg.de/
[decoder]: http://www.imdb.com/title/tt0087129/
[mark13]: http://www.imdb.com/title/tt0099740/
[poltern]: http://de.wikipedia.org/wiki/Poltern_%28Sprachstörung%29
[stottern]: http://de.wikipedia.org/wiki/Stottern

---

Interview mit Stefan Esser bei Securityfocus

Boomtime, 37th Chaos, 3173.

[Securityfocus][Securityfocus] hat ein Interview mit dem Titel [PHP Security From The Inside][PHP Security From The Inside] mit [Stefan Esser][esser] veröffentlicht. Neben Begründungen für Stefans [Ausstieg beim PHP Security Response Team][Ausstieg], dem Problem der Art und Weise des Security-Handlings innerhalb des PHP-Projekts oder wie das Release-Management vonstaten geht, erwähnt er einmal mehr den [Month Of the PHP Bugs][Month Of the PHP Bugs], der im März 2007 stattfinden soll:


If you are using mod_ssl this allows for stealing the private key for the SSL cert from Apache’s memory from within a PHP script. (Data that is normally only accessible by root - Oh I think I will demonstrate this in the Month of PHP bugs).


We will disclose different types of bugs, mainly buffer overflows or double free(/destruction) vulnerabilities, some only local, but some remotely trigger-able (for example, because they are in functions usually exposed to user input). Additionally there are some trivial bypass vulnerabilities in PHP’s own protection features. Only holes within the code shipped with the default distribution of PHP will be disclosed. That means we will not disclose holes in extensions that only exist in PECL, while we are sure that those contain vulnerabilities, too. Most of the holes were previously disclosed to the vendor, but not all.

Zum ethischen Aspekt des geplanten MOPB lässt sich Stefan ebenfalls aus:

As a vulnerability reporter you feel kinda puzzled how people among the PHP Security Response Team can claim in public that they do not know about any security vulnerability in PHP, when you disclosed about 20 holes to them in the two weeks before. At this point you stop bothering whether anyone considers the disclosure of unreported vulnerabilities unethical.

Ich bin sehr gespannt was er im März genau zeigen wird. Allerspätestens jetzt ist wohl auch der Punkt erreicht, an dem ein näherer Blick auf [Suhosin][suhosin] lohnt (zumindest wenn man auf die Benutzung von PHP nicht verzichten will oder kann).

[Securityfocus]: http://www.securityfocus.com/
[esser]: http://blog.php-security.org/
[PHP Security From The Inside]: http://www.securityfocus.com/columnists/432/1
[Ausstieg]: http://blog.php-security.org/archives/61-Retired-from-securityphp.net.html
[Month Of the PHP Bug]: http://blog.php-security.org/archives/46-Month-of-PHP-bugs.html
[suhosin]: http://www.hardened-php.net/suhosin.127.html

---

Das Rheinische Grundgesetz

Boomtime, 32nd Chaos, 3173.

§1: Et es wie’t es.
§2: Et kütt wie’t kütt.
§3: Et hät noch immer jot jejange.
§4: Wat fott es es fott.
§5: Et bliev nix, wie et wor.
§6: Kenne mer nit, bruche mer nit, fott domet.
§7: Wat wellste maache?
§8: Maach et joot, äwwer nit ze off!
§9: Wat soll dä quatsch?
§10: Drenkste eene met?
§11: Do laachse dich kapott!

Aus: [Et kütt wie et kütt — Das Rheinische Grundgesetz][RGG] von [Konrad Beikircher][Beikircher]

[RGG]: http://www.beikircher.de/artikeldetailseite.php?id=10
[Beikircher]: http://www.beikircher.de/

---

Informationspflicht von Unternehmen und Behörden bei Datenpannen

Boomtime, 32nd Chaos, 3173.

Bereits vor dem [23C3][23c3] haben wir im Club darüber diskutiert, ob eine Informationspflicht von Unternehmen und Behörden bei Datenpannen nicht eine gute und wichtige Sache wäre. Im Kern sollte es darum gehen, bei Servereinbrüchen, Phishing-Problemen oder ähnlichem die Kunden bzw. User eines Systems davon in Kenntnis zu setzen. In den meisten Fällen werden solche Vorfälle in Deutschland abgetan als “Die Daten unserer Kunden waren nie in Gefahr” (falls es überhaupt bei solchen Vorfällen eine Verlautbarung gibt) oder anderer Larifari vom Stapel gelassen. Eigentlich ist es aber nicht hinzunehmen, dass Unternehmen, die mit kritischen persönlichen Daten wie z.B. Wohn- und Emailadressen, oder Konto-, Kreditkarten- oder Sozialversicherungsinformationen umgehen und einer Sicherheitsschwankung unterlagen, keinerlei Verpflichtung haben, irgendwem darüber Rechenschaft abzulegen.

Das Hauptproblem ist, dass solche Vorgänge mithin nur als PR-Gau gesehen werden, aber die Verantwortung für eventuell entstehende Probleme der betroffenen Nutzer nur eine nebengeordnete bis gar keine Rolle spielen. Dabei nimmt die Möglichkeit von Identitätsdiebstahl auch bei uns in ungeheurem Maße zu. Zudem denke ich, dass ein “normaler” Umgang mit solchen Tatschen in Zukunft eine immer wichtigere Rolle spielen wird, denn Sicherheitsschwankungen wird es immer geben — Antiterror-Gesetzen, Vorratsdatenspeicherung oder anderen fragwürdiger “Anti-Hacker-Gesetzen” zum Trotz. Deswegen muss ein standartisierter Weg gefunden werden, wie Unternehmen und Behörden in solchen Fällen nach Bekanntwerden solcher Probleme zu handeln haben.

In den USA gibt es mit [DLDOS][DLDOS] (Data Loss Database - Open Source) von [attrition.org][attrition.org] einen Ansatz, der aus meiner Sicht den richtigen Weg weisst. Dort werden Daten über Sicherheitsschwankungen gesammelt und als handliche [CSV-Datei][dataloss csv] zum Download angeboten. Dieses Projekt kann sich allerdings beispielsweise auf den kafifonischen [Security Breach Information Act][Security Breach Information Act] stützen, der Unternehmen unter Androhung empfindlicher Strafen dazu verpflichtet, Angriffe auf ihre Systeme oder Schlampereien durch Verlust von Mitarbeiterlaptops zu melden.

Während der Recherche hat mir 0i dankenswerter Weise eine interessante Information zukommen lassen. Der Bundestag hat in seiner [54. Sitzung][54. Sitzung] bereits am 28. September 2006 über den vom Bündnis 90/Die Grünen gestellten Antrag [Informationspflicht für Unternehmen bei Datenschutzpannen einführen][Antrag] behandelt, der in die entsprechenden Fachausschüsse verwiesen wurde.

Ich hoffe, dass dort was Gescheites raus kommt. Ansonsten gibt es den Plan, solche Vorfälle einfach selbst zu publizieren. Wie so etwas aussehen kann, das wollen wir auf einer neu gestarteten [Mailingliste][datalossliste des c4] des [C4][c4] zum Thema diskutieren.

Hier noch mal alle Links zum Thema in der Übersicht:

* [Stenografischer Bericht][54. Sitzung] von der 54. Sitzung des Deutscher Bundestags am 28. September 2006(ab Seite 202 geht’s um den entsprechenden Antrag)
[54. Sitzung]: http://dip.bundestag.de/btp/16/16054.pdf
* [Antrag][Antrag] der Abgeordneten Silke Stokar von Neuforn und der Fraktion Bündnis 90/ Die Grünen “Informationspflicht für Unternehmen bei Datenschutzpannen einführen”
* [Security Breach Information Act][Security Breach Information Act]
* [DLDOS][DLDOS] (Data Loss Database - Open Source), Dataloss [RSS Feed][Dataloss RSS] und Dataloss [CSV][dataloss csv] von attrition.org
* [Dataloss Mailingliste][datalossliste des c4] des Chaos Computer Club Cologne

[23c3]: https://events.ccc.de/congress/2006
[Security Breach Information Act]: http://info.sen.ca.gov/pub/01-02/bill/sen/sb_1351-1400/sb_1386_bill_20020926_chaptered.html
[DLDOS]: http://attrition.org/dataloss/dldos.html
[attrition.org]: http://attrition.org
[dataloss csv]: http://attrition.org/dataloss/dataloss.csv
[54. Sitzung]: http://dip.bundestag.de/btp/16/16054.pdf
[Antrag]: http://dip.bundestag.de/btd/16/018/1601887.pdf
[Dataloss RSS]: http://attrition.org/rss/attrition_dataloss.rss
[datalossliste des c4]: https://mail.koeln.ccc.de/cgi-bin/mailman/listinfo/dataloss
[c4]: https://koeln.ccc.de/

---



Everything is funny as long as it is happening to somebody else.

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.085 seconds.