Kategorie: IT

Windows-Telemetrie, der gesunde Menschenverstand

Ich lese inter­es­siert einen Arti­kel zur Tele­me­trie in Win­dows 10 und kom­me aus dem Stau­nen nicht her­aus. Die Bun­des­be­hör­de BSI erforscht das Nach-Hau­se-Pet­zen von Win­dows 10. War­um? Wegen

der poli­tisch-stra­te­gi­schen Ent­schei­dung für Win­dows 10 als Betriebs­sys­tem für die Bun­des­ver­wal­tung

Mit ande­ren Wor­ten: Win­dows 10 ist alter­na­tiv­los, und hin­ter­her schau­en wir mal, wie wir uns unse­re Ent­schei­dung schön­for­schen kön­nen. Seit 2 Jah­ren wird da geforscht (ich habe eine ande­re Defi­ni­ti­on von „For­schung“, aber das nur neben­bei), und die For­scher

kön­nen mitt­ler­wei­le recht genau nach­voll­zie­hen, was dort pas­siert.

Wow! Doch schon! Nein, ich unter­stel­le den For­schern kei­ne Inkom­pe­tenz, ganz im Gegen­teil. Ich unter­stel­le aber Micro­soft, daß sie sehr gut dar­in sind zu ver­schlei­ern, was Win­dows 10 alles so tut  — und dafür sicher Grün­de haben.

In einer Stan­dard­in­stal­la­ti­on waren über 1.000 sol­cher Mess­punk­te aktiv — an denen wie­der­um ver­schie­de­ne Daten ermit­telt und an Micro­soft gesen­det wer­den.

In Wor­ten: über EINTAUSEND Sen­so­ren, die an Micro­soft repor­ten! Inklu­si­ve einer API für Key­log­ger.
Aber es kommt noch schlim­mer: Micro­soft kann zum Bei­spiel einen

Memo­ry-Dump einer Soft­ware

anfor­dern. Das heißt: Sie kön­nen jedes Doku­ment, was der Nut­zer gera­de offen hat, abzie­hen. Der feuch­te Traum aller Straf­ver­fol­gungs­be­hör­den, Geheim­diens­te und sons­ti­ger Kri­mi­nel­len.
Das inter­es­siert die For­scher, und so wol­len sie

eine Tele­me­trie, um die Tele­me­trie zu über­wa­chen

bau­en. Immer­hin haben sie Juve­nal gele­sen 😉 Quis cus­to­diet ipsos cus­to­des?
Dann kom­men ein paar Gedan­ken, wie man das Pet­zen wirk­sam unter­bin­den kön­ne, mit einer genia­li­schen Idee: Das Win­dows kom­plett vom Inter­net abklem­men. Gute Idee, nur gibts dann eben kei­nen Inter­net­zu­griff mehr, was heut­zu­ta­ge nun wirk­lich ein Nogo ist. Aus­weg?

Mit dem Bun­des­cli­ent, eine stan­dar­di­sier­te Platt­form, über die in Zukunft Ver­wal­tung und Behör­den ihre Com­pu­ter­ar­bei­ten ver­rich­ten sol­len, soll genau dies umge­setzt wer­den. Gesurft wird dann über einen vir­tua­li­sier­ten Brow­ser oder ein Ter­mi­nal.

Der Bun­des­cli­ent ist offen­sicht­lich ein umge­la­bel­ter RDP-Cli­ent, dann petzt eben der Win­dows Ser­ver 2016, auf den der Bun­des­cli­ent zugreift.🤦‍♂️

Und damit kom­me ich zu mei­nem eigent­li­chen Auf­re­ger: 5G und Hua­wei. Der Chi­na­mann! Darf man den in Deutsch­land Netz­in­fra­struk­tur bau­en las­sen? Wo der Chi­na­mann doch unse­re Indus­trie abhört?
Mal ernst­lich: Wie soll das gehen? Wir reden über 5G, also Mobil­funk. Dar­über wird eh nur trans­port­ver­schlüs­sel­tes Zeug trans­por­tiert. Eher ist die Gefahr, daß die Ame­ri­ka­ner in die TLS-Imple­men­tie­run­gen Soll­bruch­stel­len ein­ge­baut haben — womit wir wie­der bei Win­dows 10 sind.

Wenn man For­scher­kol­lek­ti­ve braucht, die nach mehr­jäh­ri­ger Tätig­keit immer­noch nicht wis­sen, was Win­dows 10 tut — dann ver­dammt setzt man kein Win­dows 10 ein!
Die­ses wasch mich, aber mach mich nicht naß — das ist pein­lich, gera­de fürs BSI. Win­dows in wel­cher Ver­si­on auch immer ist NICHT gott­ge­ge­ben!

PS: War da nicht mal was mit DSGVO?

 

0

Peak Facebook?

Mitt­ler­wei­le haben wir uns ja dar­an gewöhnt, daß alle paar Mona­te eine neue Daten­bank mit Hun­dert­tau­sen­den Nut­zer­da­ten im Netz auf­taucht. Zehn­tau­sen­de sind schon gar kei­ne Mel­dung mehr wert.
Neu ist: Hun­der­te Mil­lio­nen Paß­wör­ter im Klar­text, zwar nicht im Inter­net (hof­fent­lich), aber den­noch ist das ein GAU. Und das hat ja bei Face­book Tra­di­ti­on: Cam­bridge Ana­ly­ti­ca, Nut­zer­da­ten an Han­dy-Her­stel­ler wei­ter­ge­ge­ben, Posts öffent­lich gestellt, es gibt ganz sicher noch mehr die­ser Art.

Aber das Umfeld hat sich geän­dert, die DSGVO ist seit knapp einem Jahr in Kraft und die Umset­zung hat begon­nen, Knud­dels kann berich­ten.
Wenn die Behör­den es ernst mei­nen, dann kommt Face­book dies­mal nicht mit einem sym­bo­li­schen Du-Du! davon, dann wer­den dies­mal hef­ti­ge Stra­fen fol­gen. Noch ver­hee­ren­der dürf­te mit­tel­fris­tig der Ver­trau­ens­ver­lust sein. Die Jugend hat mit Face­book nichts mehr am Hut, die ist bei Insta­gram (ja, ich weiß, daß das eine Face­book-Mar­ke ist) Bei Face­book sel­ber sind doch nur noch Soci­al-Media-Abtei­lun­gen, die sich gegen­sei­tig liken. Das ist aller­dings kein dau­er­haft trag­fä­hi­ges Geschäfts­mo­dell mehr.

Face­book riecht schon etwas abge­stan­den, und wenn die EU mit saf­ti­gen Straf­gel­dern den Kon­zern dich­ter an die Klip­pe schibt — die Welt könn­te eine bes­se­re wer­den.

0

Bundespolizei speichert Polizeibildern bei Amazon

Was zum Gei­er gibt es da zu dis­ku­tie­ren?

https://heise.de/-4338226

Das geht ja mal über­haupt gar nicht. Ob wirk­sam gehasht mit CYBER768 oder auch unwirk­sam — die Daten gehö­ren nicht — zu kei­nem Zeit­punkt — in die Hän­de einer pro­fit­ori­en­tier­ten Unter­neh­mung.
Oh, viel­leicht kann Ama­zon die Bil­der wirk­lich nicht rekon­stru­ie­ren.
Das spielt aber auch kei­ne Rol­le.
Kein Beam­ter mit einem IQ über dem von Flin­te­nu­schi soll­te sowas ohne Ver­lust sei­ner Pen­si­on anord­nen kön­nen.

0

Ganz schön großes Maul haben sie bei outlook.com

Man sehe die­se Feh­ler­mel­dung:

Gehts noch? „Der Admin muß sei­ne SPF-Ein­stel­lun­gen kor­ri­gie­ren“? Hal­lo, McFly? Nein, muß er nicht. Ihr müßt nur den Wil­len des Admins respek­tie­ren und das Ver­sen­den von Mails mit unzu­läs­si­gen Absen­der­adres­sen auf Eurer Sei­te ver­hin­dern. Aber ja, das ist Auf­wand, der bei euch ent­stün­de, da ist es lukra­ti­ver, den ande­ren die Checks auf­zu­bür­den.
Aso­zia­les Pack!

Und die Idee, spf.protection.outlook.com ins eige­ne SPF auf­zu­neh­men, ist total beknackt, dafür reicht ein Blick in den Spam-Fol­der.

0

SPF nur für die Großen und die Selbstfrickler?

Rfc 4408, Sek­ti­on 10.1 sagt:

SPF imple­men­ta­ti­ons MUST limit the num­ber of mecha­nisms and modi­fiers that do DNS loo­kups to at most 10 per SPF check, inclu­ding any loo­kups cau­sed by the use of the “inclu­de” mecha­nism or the “redi­rect” modi­fier. If this num­ber is excee­ded during a check, a Per­mEr­ror MUST be retur­ned.

10 loo­kups sind ver­dammt wenig. Das ist für die gro­ßen Pro­vi­der ganz sicher kein Pro­blem, da sie alles sel­ber machen. Auch nicht für die Selbst­frick­ler, aus dem­sel­ben Grun­de.
Wenn man aber Dienst­leis­ter bemüht, fürs News­let­ter­sen­den den einen, fürs Ticket­sys­tem den ande­ren, fürs Bewer­ber­ma­nage­ment einen wei­te­ren usw, dann IST das ein Pro­blem, zumal man mit dem initia­len include schon die Kon­trol­le abge­ge­ben hat.

Bin gera­de not amu­sed.

0

Email Address spoofing

Ich for­de­re hier­mit BCP 38 für Email, ver­pflich­tend für alle Email-Pro­vi­der.
Dann müß­te ich mich nicht mit die­sen gan­zen Fach­kräf­ten in der eige­nen Fir­ma ärgern:

Mar 13 12:14:29 mx1 postfix/cleanup[6724]: 671D061068: milter-reject: END-OF-MESSAGE from mail-eopbgr00076.outbound.protection.outlook.com[40.107.0.76]: 5.7.1 rejected by DMARC policy for example.com; from=<j.doe@example.com> to=<j.doe@example.com> proto=ESMTP helo=

example.com hat eine DMARC-Poli­cy p=reject; aspf=r; pct=100; — da darf outlook.com dem Sen­der ger­ne das Sen­den ver­bie­ten.

😡

0

Raspi macht Sachen

Heu­te früh um 4:30 Uhr klin­gel­te wie üblich der Wecker der Gat­tin, und wie unüb­lich ging ihre Nacht­tisch­lam­pe nicht an.
Komisch.
Zabb­bix hat kei­ne Daten zu die­sem Zeit­punkt, eigent­lich die gan­ze Nacht nicht. Jeden­falls fast kei­ne Daten, ein paar sind doch da und zei­gen einen Load von maxi­mal 74 gegen 23 Uhr:
Der Fern­se­her war heu­te früh ein­ge­schal­tet, was nur pas­siert, wenn ent­we­der jemand ver­ges­sen hat ihn aus­zu­schal­ten, oder, viel wahr­schein­li­cher in die­sem Fal­le, Kodi ihn ein­ge­schal­tet hat.
Paßt aber schein­bar nicht:

pi@raspberrypi:~ $ systemctl status kodi
● kodi.service - Kodi Media Center
   Loaded: loaded (/etc/systemd/system/kodi.service; enabled; vendor preset: enabled)
   Active: active (running) since Sat 2019-02-16 18:55:35 CET; 2 weeks 3 days ago
 Main PID: 26354 (kodi)
   CGroup: /system.slice/kodi.service
           ├─26354 /bin/sh /usr/bin/kodi
           └─26390 /usr/lib/arm-linux-gnueabihf/kodi/kodi-rbpi_v7 --lircdev /var/run/lirc/lircd

Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
pi@raspberrypi:~ $

(mehr …)

0

Wir schießen uns in den Fuß, mal wieder

Zab­bix mel­det, daß auf auf dem Odro­id /var/log/ voll sei, und ja, es hat Recht. Das hängt damit zusam­men:

root@odroidc2:~# df -h /var/log
Filesystem      Size  Used Avail Use% Mounted on
/dev/zram0       49M   17M   29M  38% /var/log
root@odroidc2:~#

(das ist NACH Auf­räu­men)
Mir ist nicht wirk­lich klar, wor­in der Zusam­men­hang zwi­schen zram und log2ram besteht, aber dafür gibts ja die Kom­men­ta­re 😉 — Jeden­falls liegt /var/log/ in einem 50 MB gro­ßen File­sys­tem im RAM.
Die 29 MB, die momen­tan frei sind, wur­den von /var/log/squid3/netdb.state gefres­sen.
Dazu muß ich geste­hen: Ich habe eine klei­ne Pro­xy-Ket­te: Die Cli­ents grei­fen auf einen squid zu, die­ser wie­der­um auf einen pri­v­o­xy auf dem­sel­ben Odro­id. Hin­ter­grund: Den Pri­v­o­xy nut­ze ich, um Wer­bung und Tra­cker raus­zu­fil­tern (so gut es geht), den Squid zur Zugriffs­kon­trol­le, da schwä­chelt der Pri­v­o­xy näm­lich. Jeden­falls: Stan­dard­mä­ßig ver­sucht der Squid her­aus­zu­be­kom­men, ob er eine Res­sour­ce schnel­ler direkt von der Quel­le oder vom Parent (also privoxy@localhost in mei­nem Fal­le) bekom­men kann. Dafür wird ICMP ver­wen­det, zum Parent und zum Ori­gi­nal, und dann ver­gli­chen. Das Ergeb­nis wird dann, wenn nicht anders kon­fi­gu­riert, in /var/log/squid3/netdb.state gespei­chert, damit der ICMP-Test nicht jedes­mal neu aus­ge­führt wer­den muß
Die­se Checks sind natür­lich kom­plett sinn­frei in mei­nem Fal­le, da der Parent immer schnel­ler erreich­bar ist, schnel­ler als local­host geht nicht.

Also wer­de ich mal nach­se­hen, wo man das aus­schal­ten kann. Squid ist ein Fea­ture-Mons­ter, das geht bestimmt.

0