Archiv der Kategorie: Hacking und so

Von Hackern und Entwicklern

Veröffentlicht am von
4

Immer wieder lese oder höre ich in den Medien die Aussage „Hacker aus XYZ sind verantwortlich“, allerdings lese ich nie „Dank Hackern aus ABC“. Warum ist das so? Sind „Hacker“ per se die Bösen?

Dafür muss man sich über die Definition und die Geschichte der Begriffe Hacker (wenn ich Hacker schreibe, meine ich natürlich auch die Häcksen und muss an Rena und Barbare denken …) und Hacken ein paar Gedanken machen. Der Begriff hacken hat seinen Ursprung in dem lauten herumhämmern auf den Tastaturen (wer mich einmal auf meinem „Modell M“ schreiben gehört hat, weiss was gemeint ist). Dieses herum“hacken“ war den Mitmenschen damals schon subspekt – sie begriffen nicht was dort kreiert wurde. Es war Voodoo für sie. ECHTE Programmierer programmierten damals entweder Drähte oder Lochkarten. Der Begriff „hacken“ SOLL schon um 1950 bei Funkern genutzt worden sein – ob er dort den Ursprung im herumhämmern auf den Morsetasten hat? Auf alle Fälle ist das hacken im Ursprung schon mal weitgehend wertneutral – eher mit einem Ausschlag in Richtung positiv.

Was macht ein Hacker gestern und heute? Als erstes geht ein Hacker mit einer gewissen Interesse an die betreffende Technik heran. Wobei Technik nicht der Computer sein muss. Alles – sogar Menschen (social hacking) können gehackt werden – kann gehackt werden. Hacking beschreibt – ganz grob umrissen – den kreativen Umgang mit der Technik. Die Erfindung des Rades z.B. war einer der genialsten Hack der Menschheit.

Der viel zu früh gestorbene Wau Holland erklärte hacken wie folgt: „Wenn dein Herd kaputt ist und Du unbedingt so ein billig-Kartoffelpüree machen willst, nimm die Kaffeemaschine um das Wasser zu erhitzen“. Dies bringt Hacken auf den Punkt: Technik so zu modifizieren oder zu nutzen, dass ein Ziel erreicht wird, welches vom Erbauer der Maschine nicht vorgesehen war. Die Telekom nannte Hacker früher einmal „Personen mit atypischem Benutzerverhalten“ und lag damit wahrscheinlich sehr dicht am Kern der Wahrheit.

Die Grundlage für viele Hacks der heutigen Zeit (bezogen auf jedwede Form von Computertechnik) legen dabei die Entwickler und Programmierer. Sie bauen und entwickeln Technologien, die sie selbst nicht bis ins letzte Detail beherrschen. Ein schönes Beispiel für diese Oberflächlichkeit sind die Chips der Kreditkarten, die zum Jahreswechsel unbenutzbar wurden. Wer ist schuld an all den Viren, Trojanern und anderen Schadprogrammen? Sind es die Hacker, die diese Lücken im System finden?  Hacker nutzen diese Lücken NICHT zum eigenen Vorteil. Diese Spezies nennt man Cracker, Hacker sind die „Guten“. Ursächlich sind die Programmierer und Entwickler schuld, die diese Lücken ins System einbauen. Bezahlt deine Haftpflichtversicherung, wenn der Maurer neben Fenstern und Türen ein offenes Loch von 2m² in der Wand deines Wohnzimmers hinterlässt, durch welches Diebe eindringen? Wohl eher nicht. Ein Hacker würde dich – den Bewohner – und dein Maurer auf den Misstand aufmerksam machen. Nur ein Cracker nutzt das Loch um deinen neuen Flatscreen zu klauen. Der Hacker ist also so etwas wie die Sicherheitsabteilung des Bauamtes.

Also liebe Programmierer und Entwickler: Nehmt euch ein Beispiel an den Maurern und hört auf die Hacker.  Edles, altes Handwerk!

BSI empfiehlt: Hände weg vom Internetexplorer!

Veröffentlicht am von
2

Buerger-CERT empfiehlt die voruebergehende Nutzung aktueller
alternativer Browser

Kritische Sicherheitsluecke im Internet Explorer

Im Internet Explorer existiert eine bisher unbekannte kritische
Sicherheitsluecke. Die Schwachstelle ermoeglicht Angreifern, ueber eine
manipulierte Webseite Schadcode in einen Windows-Rechner zu schleusen
und zu starten. Der in der vergangenen Woche bekannt gewordene
Hacker-Angriff auf Google und weitere US-Unternehmen hat diese
Sicherheitsluecke vermutlich ausgenutzt.

Betroffen sind die Versionen 6, 7 und 8 des Internet Explorer auf den
Windows-Systemen XP, Vista und 7. Microsoft hat ein Security Advisory
[http://www.microsoft.com/technet/security/advisory/979352.mspx]
herausgegeben, in dem es moegliche Wege zur Risikominimierung
beschreibt. Microsoft arbeitet bereits an einem Patch, um die
Sicherheitsluecke zu schliessen. Das BSI erwartet, dass diese
Schwachstelle in kurzer Zeit fuer Angriffe im Internet eingesetzt wird.

Das Ausfuehren des Internet Explorers im „geschuetzten Modus“ sowie das
Abschalten von Active Scripting erschwert zwar die Angriffe, kann sie
jedoch nicht vollstaendig verhindern. Deshalb empfiehlt das
Buerger-CERT, bis zum Vorliegen eines Patches von Microsoft auf einen
aktuellen alternativen Browser umzusteigen.

Quelle Bürger-CERT / BSI

Bekomme ich eine Aufwandsentschädigung? / EC-Kartenupdate

Veröffentlicht am von
Antworten

Es wird bunt – wahrlich bunt – in Sachen broken-Design der EC- und Kreditkartenchips. Bei Heise machte mich gerade folgende Mitteilung nachdenklich:

Denkbar sind unter anderem Updaterechner in Bankfilialen, an denen Kunden die Software des Chips ihrer Karte aktualisieren lassen können oder ein Update über den Bankautomaten beim Einstecken.

Also wird man eventuell zu den Öffnungszeiten zu seiner Bank laufen/fahren müssen um seine Karte wieder in einen funktionsfähigen Zustand bringen zu lassen. Wer zahlt mir den Aufwand? Kann ich da eine Rechnung an meine Bank stellen (deren Kunde ich schließlich bin) und diese wird dann die Aufwandsrechnung an den Chip-Produzenten weiter reichen? Welchen Stundensatz darf ich da anlegen? Welchen Nachweis muss ich führen, dass der Stundensatz realistisch ist? Oder wird das über eine Pauschale geregelt?

Süß ist auch folgender Abschnitt in dem Artikel:

Der ZKA warnt unterdessen davor, den Fehler durch Überkleben des Chips beheben zu wollen. Dies könne Karte und Lesegerät des Geldautomaten beschädigen. Mehrere Händler sollen sich Berichten zufolge aber mit Tesafilm behelfen, damit die Kunden im Geschäft bezahlen können. Erkennt das Gerät den Chip nämlich nicht, greift es auf den Magnetstreifen zurück. Bis Anfang nächster Woche sollen aber alle Terminals ohnehin umgestellt sein, sodass dieser „Workaround“ in Deutschland überflüssig wird. Die Terminal nutzen dann die unsicheren Methoden.

Also gibt der Zentrale Kreditausschuss (ZKA) unumwunden zu, dass die erhöhte Sicherheit des integrierten Chips von „bösen Menschen“ seit Jahr und Tag durch einen Klebestreifen ausgehebelt werden kann. Die Investition in den Chip – den alle Kunden über die Gebühren finanziert haben – ist also Bullshit, da die Überprüfung eh abgeschaltet wird.

Da fragt man sich doch unwillkürlich – mal wieder! – weshalb Banker so viel Geld bekommen. Verdienen tun sie es offensichtlich nicht.