Bei heise.de wird beschrieben, wie Hacker die Wii von Nintendo soweit geknackt haben, das sie Linux nativ zum Laufen bekommen. War gar nicht so einfach, einige genutzte Schwachstellen waren:

• der Arbeitsspeicher der WII wird bei einem Neustart nicht neu initialisiert
• eigene Verifikations-Prozesse für Verschlüsselungs-Keys
• einmal verifizierte Signaturen werden automatisch als gültig angenommen und nicht erneut überprüft.
• ein Speicherüberlauf in einem der Wii-Spiele
• die Firmware des eingebauten DBD-Laufwerks

Den Artikel sollte man sich mal etwas genauer durchsehen, daraus kann man auch etwas erkennen, wie Hacker sich von Lücke zu Lücke vortasten.

Auch ganz netter Kommentar zum Schluss:

Für Michael Steil, einem der führenden Xbox-Hacker, sind somit alle wichtigen Spielekonsolen mit Ausnahme der Playstation 3 gebrochen. Dies liegt seiner Meinung nach daran, dass Sony das Gerät von vornherein für Linux geöffnet hat und es damit für viele Hacker "uninteressant" geworden sei. Cracker und Softwarepiraten, für die ein Knacken der Playstation noch weit oben auf der Wunschliste stehe, hätten allein keine guten Karten.

Tja, darüber sollte vielleicht der ein oder andere Hardware-Hersteller mal nachdenken...

Defective by Design: Apple gerät (wieder) ins Visier der Anti-DRM-Kampagne

bei heise.de gelesen: die Free Software Foundation versucht dem ausufernden Digital Rights Management DRM mit der Kampagne Defective by Design entgegenzuwirken.

Bis zum Jahresende soll jeden Tag ein besonders abstruses Beispiel vorgestellt werden. Erster Kandidat ist Apple mit fast der gesamten Produktpalette. Bei iPhone und iPod mit den DRM-geschützten Musikstücken aus dem iTunes geht das ja noch so einigermassen.

Den Vogel schiessen aber die neuen MacBooks ab. Sie sind (dank DRM-geschützter HDCP-Verschlüsselung) nicht mehr in der Lage, High-Definition-Filme auf einem externen Bildschirm auszugeben, der diese Verschlüsselung nicht unterstützt. Da geht dann der Kauf eines MacBooks gleich mit der Anschaffung eines neuen Monitors einher.

Ich find's irgendwie lustig, das die doch so auf innovatives Design versessene Apple-Gemeinde sich jetzt mit dem Label "Defective by Design" auseinandersetzen muss.

PinguPanik bei Microsoft

Microsoft versucht seinen MSN Messenger etwas zu pushen und bietet ein "Spiel des Monats", das man über den Messenger gegeneinander spielen kann. Für diesen Monat ist es (passend zum anstehenden Winter) eine virtuelle Schneeballschlacht. Ziel des Schneeballwerfens: Pinguine!

Ein Schelm, wer dabei an einen Seitenhieb gegen Linux denkt...

Google sucht nach der Grippewelle

Google hat jetzt einige Auswertungen auf die in ihrer Suchmaschine eingegebenen Suchbegriffe online gestellt. Konkret geht's um Internet-Suchen zum Thema 'Grippe', Nutzer suchen eben vermehrt nach diesen Informationen, wenn die Grippe in der Nachbarschaft umgeht. Google korrelliert solche Suchanfragen mit den Geo-Koordinaten der suchenden Nutzer. So kann Google Auswertungen über die geographische Verteilung der Grippe in den USA treffen, die deutlich schneller sind als die entsprechenden Vorhersagen der amerikanischen Gesundheitsbehörde.

Google hat das exemplarisch zurück bis ins Jahr 2004 zusammengestellt, und kann eine beeindruckende Übereinstimmung mit den Daten des amerikanischen Centers for Disease Control and Prevention (CDC) erreichen.



Man muss nur mal weiterdenken, was man noch ableiten könnte: Wahlvorhersagen, Börsenkurse, Kaufverhalten von Neuwagen, oder die Gewinner beim Eurovision Song Contest.

Kleiner Update: auch userfriendly hat schon einen passenden Kommentar dazu .

Wie man im Web2.0 mit Fehler umgeht

Der Spielehersteller EA Games hat in seinem Golfspiel "Tiger Woods PGA Tour 08" einen klitzekleinen Fehler drin: die Spielfigur von Tiger Woods kann über Wasser gehen und so auch noch verlorengeglaubte Bälle spielen.

Ein Nutzer hat den Bug gefunden und ein entsprechendes Video bei YouTube online gestellt. Und wie reagiert man auf so etwas RICHTIG in der Web2.0-Zeit? Nicht mit Verschleierungen, nicht mit Anwälten, sondern auf dieselbe Art: mit einem YouTube-Video. Verlinkt sind beide Videos bei www.website-boosting.de.

So kann EA Games einen (peinlichen) Programmierfehler noch positiv vermarkten: das zweite Video von EA Games wurde fünfmal so häufig aufgerufen.

Seitensprung in Second Life, Scheidung in First Life

Aus einer dpa-Meldung: eine englische Ehefrau hat nach einem (virtuellen) Seitensprung ihres Mannes in Second Life eine (reale) Scheidung eingeleitet. Da wird die Schein-Welt von Second Life doch wieder etwas realer.

Microsoft liefert einen Patch nach sieben Jahren

Microsoft hat nach sieben (!) Jahren einen Patch für eine Sicherheitslücke im SMB-Protokoll. Seit 2001 bastelte Microsoft an der Lösung, jetzt ist sie endlich da.

Sowas kann man sichwohl nur als Mega-Konzern leisten. Wenn ich daran denke, wie sich mein Kunde anstellt, wenn er mal einen Tag auf einen Patch warten muss...

IT und Humor...

Neulich auf der Autobahn gesehen: ein Lieferwagen wirbt für die drei Kern-Dienste seiner Firma:
* Elektro
* Sitcom
* IT-Service

Nun bin ich ja der erste, der zugibt, das es in der IT manchmal auch sehr lustig zugehen kann ...

YouTube-Video für WII

gefunden über meinen firmeninternen Blog: Nintendo hat für seine Wii-Console ein beeindruckendes Video bei YouTube eingestellt.

Google Chrome - eine Gefahr?

Bei der Computerwoche läuft gerade eine Umfrage zu Google Chrome, mit interessanten Ergebnissen. Die anfängliche Euphorie über die Geschwindigkeit und Usability des Browsers hat sich durch die zwischenzeitlich bekannt gewordenen Sicherheitsprobleme und die unklare Weiternutzung der gesammelten Daten doch deutlich verschoben.

Bisheriger Zwischenstand:

Google Chrome wird aus meiner Sicht primär...
15 % ...der beste Browser von allen
19 % ...ein Internet-Betriebssystem
67 % ...eine Gefahr für private und Unternehmensdaten

Jar-Jar-Binks-Salat

Kein Kommentar ...

Viren auf der ISS

Die Computer an Bord der ISS (International Space Station) sind von einem Computer-Virus befallen worden. Der ist wohl eher harmlos, er sucht 'nur' nach Passwörtern für Online-Spiele, nichts was einen Absturz verursachen kann (im wahrsten Sinne des Wortes).

Auf den Rechner der ISS hat es aber (bisher) keinen Virenscanner gegeben. Die Rechner sind nicht mit dem Internet verbunden, alle Daten laufen (theorethisch) über einen zentralen Rechner, der den Datentransfer untersucht und filtert. Das hat wohl jemand für ausreichend sicher erachtet. Leider hilft das in der heutigen Zeit nicht weiter: die Vermutung ist, das der Virus über einen infizierten USB-Stick oder ein anderes externes Gerät auf die ISS gekommen ist. Auch schon vorher scheint das mit dem zentralen Filtern nicht so richtig gut geklappt zu haben, laut NASA ist das nicht der erste Virenbefall.

Hoffentlich lernen einige Sicherheits-Verantwortliche etwas daraus. Der Schutz von IT-Systemen ist immer nur so gut wie das schwächste Glied in der Kette. Und eine Sicherheits-Struktur in der Zeit der stark vernetzten Systeme und mobilen Endgeräte allein auf eine "perimeter defense" aufzubauen, ohne sich um die "endpoint security" zu kümmern, ist schon sträflich leichtsinnig.

Unsichere Kekse

Auf der Sicherheitskonferenz Defcon hat Mike Perry demonstriert, wie man Cookies von verschlüsselten HTTPS-Verbindungen auslesen kann. Hintergrund: viele Server setzen das secure-Flag des Cookies nicht, der Browser übermittelt das Cookie dann auch die unverschlüsselten Verbindungen mit.

Das Auslesen der Cookies erfolgt durch 'Einbinden' von Grafiken in andere Websites, die unter Kontrolle des Angreifers stehen. Diese Grafiken werden per HTTP eingebunden, der Browser sendet das Cookie dann unverschlüsselt mit. Über z.B. WLANs mit Netzwerk-Sniffern, ARP-Spoofing oder gehackte Caches kann dieser ungeschützte Netzwerktraffic mitgelesen werden.

Auf der Seite der großen Anbieter sind davon u.a. GMail und Amazon betroffen, die ihre Cookies ohne secure-Flag senden.

Das iPhone im Mixer

Danach kann man vermutlich nicht mehr telefonieren....

10 Wege, eine CD oder DVD zu zerstören

Bei Tom's Hardware hat man eine sicher nicht ganz ernst gemeinte Testreihe durchgeführt, wie man CDs und DVDs am besten zerstören kann:

• Kochendes Wasser: CD wird deformiert, aber nicht erkennbar zerstört
• offenes Feuer: CD wird zerstört, stinkt aber stark
• Einfrieren: ergebnislos
• Ceran-Feld: schnelle zerstörung, aber aufwendige Reinigung
• Killer-Magnete: völlig wirkungslos
• Mikrowelle: sofortige Zerstörung

heise.de: Sicherheitsangriffe über Business Logic Flaws

heise.de zitiert den Security-Spezialisten Jeremiah Grossman, der Business Logic Flaws in Web-Anwendungen als den Angriffspunkt der Zukunft sieht.

Diese Angriffe lehnen sich an die Technik des "Forceful Browsing" an, sind aber deutlich ausgefeilter. So können z.B. bei Kenntnis der entsprechenden Abläufe bestimmte Prozessschritte umgangen werden, oder unzureichende Absicherungen leicht ausgehebelt werden.

Angriffe dieser Art stellen eine ganz neue Herausforderung an die Entwicklung von Software. Die ursächlichen Fehler geschehen NICHT in der Entwicklung (wie bei Cross-Site-Scripting oder SQL-Injection), auch NICHT im Operating (wie bei offenen Ports und fehlenden Patches). Die Ursache liegt grösstenteils auf Seiten der beauftragenden Fachabteilungen, die ihre Anforderungen an umzusetzende Prozess-Abläufe auch unter dem Gesichtspunkt der Sicherheit betrachten muss.

Nett zu lesen ist auch das Dokument "Seven Business Logic Flaws That Put Your Website At Risk" von Jeremiah Grossman

Wie klingt ein Virus?

Aus der Computerwoche ...

Der Wurm "Worm.Win32.GetCodec.a" verbreitet sich alleine über Audio-Files. Dazu werden die Audio-Files in WMA umgewandelt, und ein infizierter WMA-Tag eingefügt. Beim Öffnen von infizierten Dateien wird über diesen WMA-Tag ein Browser-Fenster geöffnet mit der Information, ein neuer Codec müsse geladen werden. Natürlich wird dann kein Codec geladen, sondern ein Trojaner, der den Rechner übernimmt.

Der Wurm setzt an einer durchaus erfolgreichen Stelle an: den eigenen Audio-Dateien werden die meisten Nutzer vertrauen, ohne misstrauisch zu werden.

Gen-Informationen in der Wikipedia

... aus dem heise-Newsticker: Gen-Forscher nutzen die Wikipedia, um ihre Forschungsergebnisse direkt zu publizieren und auf einfache Weise einer breiten Öffentlichkeit zugänglich zu machen. Ein Wikipedia-Bot sammelt die Informationen aus den Gen-Datenbanken der Forscher und fügt sie in die Wikipedia ein. Die eingefügten Daten werden über spezielle Tags identifiziert, so dass die anderen Inhalte nicht zerstört werden.

heise.de: Hackerangriff auf Kaffeemaschine möglich

Hacking von Kaffeemaschinen, no Comment. In meiner letzten Firma hatten wir auch eine Kaffeemaschine von Jura ... wenn DIE einer gehackt hätte und es keinen Kaffee mehr gegeben hätte ... undenkbar!

Firefox 3.0 kommt ... und Mozilla plant einen Weltrekord

Die Version 3.0 des Firefox-Browser steht unmittelbar bevor. Und Mozilla plant einen Guiness Weltrekord aufzustellen, mit den meisten Downloads innerhalb von 24 Stunden. Unter www.spreadfirefox.com/de/worldrecord kann man ein Versprechen abgeben, den Browser herunterzuladen, aktuell sind schon knapp eine Million Menschen dabei