Freitag, 27. November 2015

Bundesrat beschließt Abschaffung des Routerzwangs

Es geht immer weiter voran mit der Abschaffung des lästigen Routerzwangs: Heute hat der Bundesrat das Gesetz zur Abschaffung des Routerzwangs durchgewunken.

Im nächsten Monat wird dieses Gesetz dem Bundespräsidenten vorgelegt und im Bundesanzeiger veröffentlicht und wird dann nach sechs Monaten, also vorraussichtlich am 01.07.2016 in Kraft treten.

Ab vorraussichtlich diesem Datum werden DSL- und Kabelprovider den Kunden endlich nicht mehr zum Betrieb des Provider-Endgeräts zwingen dürfen. 

Sonntag, 6. September 2015

Auto-Sicherheitsupdates per Post

Die Firma Fiat Chrysler veröffentlicht nach dem Hack der Software verschiedener Modelle ein Update, was die Sicherheitslücke fixen soll.

Fraglich ist dabei nur die Art, wie das Update ausgerollt wird: Anstatt es gesichert über das Mobilfunknetz an die Autos zu verteilen, wird sämtlichen Besitzern eines betroffenen Wagens ein Brief inklusive eines USB-Sticks mit einem Update zugeschickt. Diesen Stick soll man einfach im Auto anschließen können, um das Update zu installieren.

Dieses "Feature" könnte natürlich auch Hackern Tür und Tor öffnen. Wenn die Update-Funktion, die von den USB-Sticks ausgelöst wird, nicht gut genug gesichert ist und Hacker erst einmal in der Lage sind, eine eigene manipulierte Firmware zu erstellen, müssen sie sich nicht umständlich die Mühe machen und das Netzwerk kompromittieren, um die Autos dazu zu bringen, die eigene Software zu installieren.

Hacker müssten dann einfach nur einen Brief erstellen, der aussieht wie ein offizieller Brief vom Hersteller, und einen USB-Stick mit der manipulierten Firmware beilegen. Dieser Brief kann dann in der Nachbarschaft bei allen Leuten, die ein entsprechendes Fahrzeug besitzen, in den Briefkasten geworfen werden.

Ob diese Installation von einem ungesicherten USB-Stick sicherer ist als über HTTPS im Mobilfunknetz? Anwendern wird immer wieder geraten, keine unbekannten Anhänge zu öffnen oder keine "gefundenen" USB-Sticks am PC anzuschließen, und jetzt kommt ein Autohersteller auf die Idee, einfach mal einen Brief (den jeder fälschen kann) zu schreiben mit dem Inhalt "Schließ doch mal bitte diesen Stick an dein Auto an".

Samstag, 5. September 2015

Unautorisierter Zugriff auf Mozilla-Bugtracker

Im Bugtracker von Mozilla ("Bugzilla") werden sämtliche Fehler in Mozilla-Produkten festgehalten - unter anderem auch sicherheitskritische Fehler, die etwaige Sicherheitslücken beschreiben. Mozilla macht allerdings Bug-Reports, die gefährliche Sicherheitslücken beschreiben, nicht für die Öffentlichkeit sichtbar.

Ein Angreifer hatte allerdings vor bereits einem Jahr einen Bugzilla-Account eines Entwicklers gehackt - vermutlich durch eine Sicherheitslücke im PDF-Plugin von Firefox - und konnte sämtliche Details über gemeldete Bugs und Sicherheitslücken mitlesen.

Ab der Firefox-Version 40.0.3  (erschienen am 27.08.2015) wurden alle Bugs behoben, auf die der Angreifer Zugriff erlangen konnte.
Mozilla will mit erweiterten Sicherheitsmechanismen dafür sorgen, dass ein solcher Fall in Zukunft nicht mehr vorkommt.

Weitere Details zum Angriff gibt es im Mozilla-Blog

Samstag, 29. August 2015

Kabel Deutschland bietet Volumentarife

Ab dem 2. September will der Internetanbieter Kabel Deutschland die 200-MBit/s-Tarife auch in einer volumenbegrenzten Variante anbieten. Dieser Tarif kostet 20 € weniger als der unbegrenzte Tarif (19,99 € statt 39,99 € in den ersten 12 Monaten, danach 39,99 € statt 59,99 €), wird dafür aber ab einem monatlichen Datenvolumen von 1.000 GB auf einen Geschwindigkeit von 10/1 (10 MBit/s Download, 1 MBit/s Upload) gedrosselt.

Für den Großteil der Kunden könnte das ein lukrativer Tarif sein, da wohl nur ein geringer Teil der Kunden 1 TB im Monat verbraucht: Laut Kabel Deutschland liegt der durchschnittliche Datenverbrauch für 100-MBit/s-Tarife bei 109 GB und für 200-MBit/s-Tarife bei 276 GB.

Telekom und VDSL-Vectoring

Die Telekom will in Deutschland das VDSL-Vectoring einsetzen.

Durch Vectoring werden allerdings alle Konkurrenten ausgeschaltet, da an einem Hauptverteiler mit aktiviertem Vectoring technisch bedingt immer nur ein Anbieter seine Dienste anbieten kann.

Die Telekom versucht zu begründen, dass von den Anschlüssen, die mit Vectoring versorgt werden sollen, bisher nur rund 1 % einen 50 MBit/s-Anschluss oder schneller besitzen. Bei dieser Rechnung rechnet die Telekom allerdings die eigenen VDSL-50-Angebote nicht dazu, denn diese liefern ja nur "bis zu" 50 MBit/s und nicht garantierte 50 MBit/s.

Ob es tatsächlich zu einem Vectoring-Monopol der Telekom kommen wird, bleibt abzuwarten. Sinnvoller als Vectoring, was auch nur einige Jahre funktionieren wird, bis wieder höhere Bandbreiten gefordert werden (die Kupferader ist einfach am Rande der Leistungsfähigkeit angekommen), wäre die Verlegung von Glasfaserkabeln.

Aber da wären ja teurere Investitionen als beim Vectoring-Ausbau notwendig ...

Amazon: Android-Apps gratis gegen Überwachung

Amazon stampft ihre Aktion "Gratis-App des Tages" ein und bietet dafür ein neues Feature: Nutzer bekommen Apps aus einer großen Liste gratis, wenn Sie einwilligen, dass Nutzungsdauer und Nutzungsverhalten dieser App an Amazon übertragen werden dürfen.

Amazon will damit erreichen, dass App-Entwickler, genauso, wie es bereits mit Autoren von ausgeliehenen eBooks passiert, nicht mehr pauschal für eine App bezahlt werden, sondern je nach Nutzungsdauer bezahlt werden.

Für Entwickler von Handy-Spielen, die oft und lange gespielt werden, wird sich das lohnen. Für Hilfsprogramme, die nützlich sind, aber eher selten oder nur kurz genutzt werden, wohl nicht.

Außerdem bleibt abzuwarten, wie viele Nutzer überhaupt damit einverstanden sein werden, ihr Nutungsverhalten komplett von Amazon überwachen zu lassen.

Hier der Link zu diesem neuen Dienst: Amazon Underground

Freitag, 21. August 2015

web.de und GMX bieten PGP-Verschlüsselung

Seit kurzen können Kunden der Anbieter Web.de und GMX ihre Mails verschlüsseln: Die Anbieter aktivieren die sog. PGP-Verschlüsselung. Diese funktioniert über ein Browser-AddOn ("Mailvelope"), sodass der private Schlüssel sicher bleibt und nicht vom Anbieter gelesen werden kann.

Es ist möglich, den Mailvelope-Schlüssel in andere Systeme (z. B. Enigmail) zu exportieren, ebenso kann ein evtl. bereits existierender PGP-Key für die Mailadresse in Mailvelope importiert werden.

Wir werden sehen, ob dies dazu beiträgt, dass mehr Mails verschlüsselt und signiert werden. Es ist auf jeden Fall ein Schritt in die richtige Richtung.