Sicherheit ePass

Gerade erst habe ich noch darüber berichtet, dass Elvis lebt und schon gibts in diesem Bereich wieder ein paar Neuigkeiten. Der ComputerClub 2, der übrigens aus dem WDR Computerclub hervorging, wird wahrscheinlich ein Interview mit dem vernatwortlichen Hacker, Jeroen van Beek (aka vonJeek), führen und in einer seinen nächsten Ausgaben darüber berichten.
Wolfgang Back hat zumindest in seinem Blog angedeutet, dass er mit dem Hacker in Kontakt steht und Interesse an einem Interview hat. Ich bin jedenfalls schonmal gespannt darauf.

Datenklau bei Telekom

Weiter gehts mit den Verletzungen beim Datenschutz. Mal wieder hat es die Telekom erwischt, allerdings diesmal erst zwei Jahre später. Zum eigentlichen Skandal möchte ich gar nichts mehr schreiben, denn mittlerweile interessieren sich die Medien scheinbar für Datenschutz, ich möchte vielmehr auf die in dieser Woche veröffentlichte Folge 128 des ComputerClub 2 mit Wolfgang Back und Wolfgang Rudolph – ja, die vom WDR Computerclub – hinweisen, in der Peter Welchering vom „Datengipfel„, der Anfang des Monats in Berlin stattfand, berichtet. Hört einfach mal rein.

100. Sendung Computerclub 2

Wer kennt sie nicht, die beiden Wolfgangs (Wolfgang Back und Wolfgang Rudolph) vom ehemaligen WDR Computerclub. Die Sendung wurde damals vom WDR eingestellt und beiden dachten sich wohl, dass das so nicht bleiben kann, weshalb sie begonnen haben, einen wöchentlichen Audio Podcast zu produzieren. Nachdem in der letzten Woche bereits täglich live von der Cebit berichtet worden ist, wurde heute Abend die 100. Sendung des Computerclub 2 online gestellt (Themen: Rückblick auf 100 Sendungen CC2, das Internet der Dinge und Jubiläums CD im Anmarsch).
In diesem Sinne: Herzlichen Glückwunsch zum Hundertsten :-)!!!

Femtozellen für zu Hause

Heute habe ich die Folge 90 des Computerclub 2 mit Wolfgang Back und Wolfgang Rudolph angehört. In dieser Folge hat Manfred Kloiber von der Mobile World Conference, bei der die Firma, bei der ich arbeite auch vertreten war, berichtet und dabei auch die Femtozellen erwähnt. Femtozellen sind Funkzellen, die für zu Hause gedacht sind. Sie werden per DSL Leitung an das Internet angebunden und stellen dann einen Einwahlknoten für das eigene Handy zur Verfügung. Mit dieser Lösung ist es dann möglich das Mobiltelefon zu Hause per VoIP zu benutzen oder auch per UMTS über den eigenen Internetanschluss zu browsen. Das alles natürlich zu Preisen, die die Mobilfunkanbieter dann noch festlegen werden.
Hört sich gar nicht so schlecht an… Eine eigene Funkzelle für zu Hause. Ich habe mich an dieser Stelle aber gefragt, was man damit eigentlich machen kann und wofür man das wohl brauchen könnte. Irgendwie ist mir dafür aber nichts gescheites eingefallen, höchstens, dass sich Menschen mit schlechter Netzabdeckung wohl darüber freuen werden. Warum sollte ich denn dieses Gerät zu Hause installieren, wenn ich da sowieso schon meinen Internet- und Telefonanschluss mit WLAN habe?
Wenn jemand von euch noch eine Idee hat, kann er ja gerne einen Kommentar hinterlassen, falls mir noch was einfallen sollte, werde ich das als Update hier reinschreiben :D.

Manipulation bei den Podcast-Awards: Wie und wie verhindern.

Da hat die Netzwelt ja mal wieder einen schönen Aufhänger: bei der Wahl des Publikumspreises des Podcast-Awards wurde ganz offensichtlich manipuliert. Ich möchte hier mal beschreiben, wie das ging und vor allem, wie man es besser machen kann.
Zuerst mal etwas Hintergrundwissen dazu: Die Podcast-Awards werden seit 2006 vergeben und beinhalten neben diversen Kategorien, in denen die Podcasts ausgezeichnet werden, den Publikumspreis (im letzten Jahr ging der Publikumspreis an den Computerclub2). Hier wird ein Podcast von den Zuhörern vorgeschlagen und anschliessend über eine Wahl entschieden, wer den Preis in dieser Kategorie gewinnt. In den letzten beiden Jahren war es ein einfaches Webskript, das die Wahl entgegennahm und auch keine Rückmeldungen über den derzeitigen Stand gab.
In diesem Jahr war dies nicht mehr der Fall. Man verwendete eine Pollingsystem, das eine direkte Rückmeldung über den aktuellen Stand der Wahl gab und nur anhand der IP Adresse und eines Cookies sicherstellen sollte, dass Stimmen nicht doppelt abgegeben werden. Durch die Rückmeldung konnte man sehen, dass manipuliert wurde, da im Sekundentakt Stimmen für einen Podcast abgegeben wurden. Und hier hakt auch schon das System:

  1. die IP Adresse wird bei den meisten Providern nach spätestens einem Tag ungültig bzw. bei Verwendung eines Anonymisierungsdienstes werden ständig unterschiedliche, neue IPs verwendet
  2. Cookies können in den Browsern abgestellt oder gelöscht werden

Dies hat man beim CC2 erkannt und in einem Blogbeitrag darauf hingewiesen (wobei Wolfgang Back in einem späteren Blogeintrag noch einen Gedankenfehler zum Thema anonymen Proxy berichtigt, denn hier bekommt man nicht unbedingt ständig eine neue IP Adresse), worauf die abgegebenen Stimmen bei unterschiedlichen Teilnehmer (darunter der CC2, Fahrenheit 404 und Happy Shooting) sehr schnell anstiegen, d.h. es wurde offensichtlich manipuliert. Nachdem diverse teilnehmende Podcasts ihre Nominierung dann zurückgezogen haben, hat man bei Podcast-Award gehandelt und die Wahl abgesagt, dabei schob man die Schuld einfach weiter an den CC2, der diese einfache Manipulationsmöglichkeit angeprangert hat. Zu der Stellungnahme aber später noch etwas mehr.

Wie kann man das System sicherer (nein, eine absolute Sicherheit kann es nicht geben) machen? Nun, eigentlich ganz einfach:

  1. Bei dem Wahlformular lässt man einfach den Benutzer ein zusätzliches Captcha eingeben, das stellt schonmal sicher, dass kein einfaches Automatisierungsskript abläuft.
  2. Der Benutzer muss seine Emailadresse eingeben. Nach Abschicken des Formulars erhält er eine Email mit einem Bestätigungslink, den er anklicken muss, um seine Wahl zu bestätigen.

Mit diesen zwei einfachen Mitteln wäre es schwerer und zeitaufwändiger, die Wahl zu manipulieren. Eine Manipulation ist dennoch möglich, indem man ein Programm schreibt, das das Captcha entschlüsseln kann, das Formular ausfüllt, eine temporäre Emailadresse einsetzt und danach die Bestätigungsmail abwartet und den enthaltenen Link aufruft. Der Aufwand ist hierfür aber so hoch, dass es sich einfach nicht lohnt sich diese Mühe zu machen.

So, nun noch mein persönlicher Senf zur Stellungnahme von Podcast-Awards. Georg Schneider sagt in seiner Stellungnahme, dass „sich zwischenzeitlich an mehreren Stellen Quasi-Anleitungen dazu finden, unter anderem auf der Webseite des Vorjahressiegers Computerclub 2, empfinde ich als niederschmetternd. Das hat für mich nichts mit aufklärerischem Journalismus zu tun“.
Ehrlich gesagt ist es genau das, was ich von einem Computerpodcast erwarte und nicht, dass man blauäugig durch die Welt geht und der Meinung ist, dass schon nichts passieren wird. Wenn man ein Votingsystem verwendet, das schon vor 10 Jahren nicht effektiv war, dann sollte man sich nicht wundern, wenn diese Schwachstellen auch ausgenutzt werden. Man sollte dann auch nicht einfach aufhören, sondern diese Warnung sehen und das System verbessern – schwer ist es ja eigentlich nicht, wie ich versucht habe, oben darzustellen. Die beiden Wolfgangs vom CC2 haben jedenfalls das gemacht, was sie sollten, sie haben die Schwachstelle nicht totgeschwiegen, sondern bekannt gemacht, in der Hoffnung, dass man daran was ändert. Irgendwie nicht verwerflich, oder?