Schlagwort-Archive: Silicon.de

Verbraucherzentrale fordert ‚Privacy-by-Default‘

Voreinstellungen bei technischen Geräten und Diensten sollten maximalen Datenschutz gewährleisten – der Verbraucherzentrale Bundesverband (vzbv) hat den Bundestag aufgefordert, dieses Prinzip gesetzlich zu verankern. Der vzbv hat dafür eine Online-Petition ins Netz gestellt. Dem Bitkom gehen die Forderungen zu weit.

Verbraucher müssten sich nicht schon vor der ersten Nutzung informieren, was ein Gerät über sie Preis gibt und wo man die Einstellungen ändern könne, hieß es vom vzbv. Denn dazu fehle vielen die Zeit oder Erfahrung. „Die Kontrolle über persönliche Daten darf kein Expertenprivileg sein“, sagte vzbv-Vorstand Gerd Billen.

Nach diesen Angaben bietet die aktuell anstehende Novelle des Telemediengesetzes Gelegenheit, datenschützende Voreinstellungen gesetzlich zu verankern, wenn auch nur für Internetdienste. Auf Initiative Hessens habe der Bundesrat am 17. Juni einen entsprechenden Vorschlag auf den Weg gebracht. Dieser sehe neben der Pflicht zu maximalen Datenschutzeinstellungen auch die automatische Löschung inaktiver Accounts in Sozialen Netzwerken vor. Der vzbv unterstütze diese Forderungen. Die Bundesregierung habe dagegen am 4. August erklärt, zunächst eine Lösung auf europäischer Ebene anzustreben. „Man kann das eine tun, ohne das andere zu lassen“, so Billen. „Eine EU-Regelung würde mindestens noch drei Jahre auf sich warten lassen.“

Dem vzbv geht es nicht nur um Facebook oder Google. Datenschützende Voreinstellungen seien auch bei technischen Geräten, Software, Gewinnspielen oder im Versandhandel wichtig. Daher halte der vzbv mittelfristig eine Verankerung im Bundesdatenschutzgesetz für erforderlich. Eine Novellierung des Datenschutzrechts stehe im Zusammenhang mit dem vom Bundesinnenministerium seit längerem angekündigten Schutz der Verbraucher vor ungewünschter Profilbildung im Internet („Rote-Linien-Gesetz“) ohnehin an.

Das angestrebte Prinzip lautet ‚Privacy-by-Default‘. Standardmäßig dürften damit nur so viele Daten erfasst, verarbeitet und weiter gegeben werden, wie es für die Nutzung unbedingt erforderlich ist. Erst dies schafft echte Wahlfreiheit, die die Nutzer in die Lage versetzt, sich bewusst für oder gegen eine Einstellung zu entscheiden. Auch unerfahrene Verbraucher könnten neue Produkte und Dienste dann ohne die Sorge nutzen, dass plötzlich Daten gegen ihren Willen verwendet und verbreitet werden, weil sie eine Entwicklung oder ein neues Feature verpasst haben.

Dem Branchenverband Bitkom geht der Vorstoß des vzbv zu weit. „Meist braucht es einen Mindestumfang von Angaben, damit ein Online-Service überhaupt funktioniert und nutzerfreundlich zu handhaben ist“, sagte Bitkom-Präsident Prof. Dieter Kempf. „Das ist von Plattform zu Plattform verschieden. Die Verbraucherzentralen wählen mit ihrer Kampagne einen radikalen Ansatz und verzichten auf die notwendige Differenzierung.“

Den kompletten Artikel mit allen Links von Lutz Poessneck, findet ihr unter Verbraucherzentrale fordert ‚Privacy-by-Default‘ von silicon.de.

Freundliche Grüße
das OSS-Haus Team

MySQL.com verbreitet Windows-Malware

Die Seite MySQL.com ist eine der beliebtesten Open-Source-Seiten im Web. Hacker kaperten die Seite und verbreiteten so Schadsoftware.

Über MySQL wurden Nutzer von Windows-PCs infiziert, bevor das Sicherheitsleck auf der Seite geschlossen wurde. MySQL.com hatte schnell auf die Bedrohung reagiert und die Malware von den Servern wieder entfernt. Erst vor wenigen Wochen wurde mit Linux.org ebenfalls ein Open-Source-Repository von Hackern gekapert.

Allerdings liegen derzeit keine Zahlen vor, wie lange die Webseite von den Hackern kompromittiert war oder wie viele Besucher über MySQL.com infiziert wurden. Schätzungen zufolge, wird über 100.000 Mal täglich auf MySQL.com zugegriffen und im Schnitt sind das bis zu 34.000 Unique User.

Die Verbreitungsraten bei solchen Attacken sind in der Regel recht hoch. Derzeit ist aber auch noch unklar, wie groß die Bedrohung für die infizierten Nutzer ist. Der Chef des Sicherheitsanbieters Armorize Wayne Huang erklärt in einem Blog, dass diese Form der Malware vermutlich sehr schwer zu entfernen ist.

„Wir haben noch keine grundlegende Analyse erstellt, was genau diese Malware macht. Wir wissen, dass es einige der Windows .dll (Dynamic Link Libraries) verändert, vermutlich um die Malware dauerhaft zu installieren und sie ständig aktiv zu halten. Man kann es vermutlich wieder entfernen, aber es ist sicherlich kein trivialer Prozess.“

Inzwischen ist das Sicherheitsloch gestopft, doch eine Zeit lang konnten die Hacker die Besucher der Seite auf eine Seite mit einem BlackHole-Exploit umleiten, die den Browser zwingt, Malware auf dem Rechner zu installieren. Wie es von Armorize heißt: Ohne dass der Nutzer etwas davon merkt.“ Denn der Besucher muss nichts klicken oder installieren. Allerdings können derzeit laut Armorize nur vier von 44 Anbietern von Sicherheitssoftware die Malware auch erkennen.

Brian Krebs von dem Blog Krebs on Security berichtete, dass er vor einigen Tagen in einem russischen Forum ein Angebot gesehen habe, das für 3000 Dollar administrativen Zugriff auf MySQL.com versprach. „Ich glaube, dass es sehr wahrscheinlich ist, dass dieser Angriff speziell mit diesen russischen Foren zusammenhängt“, erklärt daher auch Huang.

Weder von den Verantwortlichen von MySQL.com noch von Oracle liegt derzeit ein Kommentar vor.

Den originalen Artikel mit allen Links und einem Video von Armorize in Englisch von Martin Schindler, findet ihr unter MySQL.com verbreitet Windows-Malware von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Vorwurf: Windows-8-Feature behindert Linux

Microsoft bemüht sich um Klarheit um Secure Boot, das andere Betriebssysteme wie Linux auf PCs verhindern soll.

In einem Beitrag für den Blog „Building Windows 8“ erklärt der Microsoft-Mann Tony Mangefeste, wie das Feature Secure Boot den PC gegen so genannte Boot Loader Attacks schützen soll. Das ist Schadsoftware, die einen PC infiziert, bevor das Betriebssystem gestartet ist.

Secure Boot ist ein Feature des Unified Extensible Firmware Interface (UEFI), einer neuen Boot-Umgebung, die den traditionellen BIOS-Prozess ablösen soll. Und Windows 8 wird den Modus Secure Boot in UEFI nutzen, um das Betriebssystem schon vor dem Hochfahren vor Gefahren zu schützen. Der Linux-Entwickler Matthew Garret von Red Hat, kritisiert jedoch, dass die Sicherheitszertifikate, die Microsoft dafür verwendet, lediglich Microsoft-Betriebssysteme unterstützten werden.

„Ein System, das nur mit OEM- (Original Equipment Manufacturer) und Microsoft-Keys ausgeliefert wird, wird kein Linux booten“, so Garret in einem Blog. Das könnte sich jedoch auch auf die Installation neuer Hardware-Komponenten auswirken, erklärt Garret, denn auch diese müssten ebenfalls gegenüber der EFI-Umgebung authentifiziert werden. Eine neue Grafikkarte ohne entsprechendem Key würde von der Firmware keinen Grafik-Support bekommen.

Mangefeste bemüht sich jetzt um Schadensbegrenzung. Anwender hätten die Möglichkeit, Secure Boot zu deaktivieren und die Zertifikate zu verwalten, wenn sie andere Systeme im Dual-Boot-Modus betreiben oder die Hardware-Konfiguration verändern wollen. Microsoft unterstütze demnach die OEMs dabei, flexibel zu entscheiden, wer die Sicherheitszertifikate verwaltet und auch wie diese Zertifikate importiert und verwaltet werden. „Wir glauben, dass es wichtig ist, den OEMs diese Flexibilität zu geben und auch unseren Anwendern die Entscheidung zu überlassen, wie sie ihre Systeme verwalten wollen“, so Mangefeste.

Demnach könnten Nutzer, die „ältere Betriebssysteme“ verwenden wollen, Secure Boot deaktivieren oder auch die Zertifikate modifizieren. Microsoft würde also nicht festlegen, dass auch andere Betriebssysteme Secure Boot verwenden müssen.

Diese Einlassung bringt jedoch wiederum Garret auf den Plan, der diese Schilderung korrekt aber missverständlich nennt. Weil Microsoft mit den OEMs zusammenarbeite, könne Microsoft von den Herstellern verlangen, dass sie Zertifikate für Windows mitliefern, was andere Anbieter von Betriebssystemen wie etwa Red Hat nicht könnten. Damit wäre ein Nutzer nicht in der Lage, einen Secure Boot auf einem Nicht-Microsoft-System durchzuführen: „Die Wahrheit ist, dass Microsoft die Kontrolle vom Endnutzer wegnimmt und sie in die Hände von Microsoft und den Hardware-Herstellern legt.“ Es würde dadurch schwerer, ein anderes Betriebssystem als Windows zu verwenden. „UEFI Secure Boot ist ein wertvolles und wichtiges Feature, das Microsoft missbraucht, um eine bessere Kontrolle über den Markt zu gewinnen.

Den originalen Artikel mit Links von Martin Schindler, findet ihr unter Vorwurf: Windows-8-Feature behindert Linux von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Verfolgt Facebook auch ausgeloggte Nutzer?

Facebook wehrt sich gegen Berichte, das Social Network würde seinen Nutzern auch dann folgen, wenn diese sich bei dem Dienst ausgeloggt haben. Ein Facebook-Verantwortlicher sagte nun, dass Facebook Cookies grundsätzlich nicht für Tracking einsetze. Dennoch sorgen anderslautende Berichte für Unruhe bei den Anwendern.

Hintergrund ist ein Bericht des selbsternannten Hackers Nik Cubrilovic vom Wochenende. Darin hatte er nach einer Analyse des http-Headers behauptet, dass Facebook die Tracking-Cookies verändert, sobald sich ein Nutzer ausloggt – anstatt diese zu ändern. So werde auch ein Cookie mit der individuellen Nutzer-ID nicht gelöscht.

Dementsprechend bekomme es Facebook weiter mit, wenn ein Nutzer eine Webseite besucht, auf der das Facebook-Plugin – also der Like-it-Button – integriert ist. Eben auch dann, wenn der Nutzer nicht eingeloggt ist.

Von dem Social Network gibt es bislang kein offizielles Statement zu den Vorwürfen, allerdings hat sich Facebook-Ingenieur Arturo Bejar in einem Posting im Blog des ZDNet.com-Autors Emil Protalinski zu den Vorwürfen geäußert. Im Wesentlichen heißt es in dem Posting, dass Cubrilovic einige gute Punkte angesprochen und interessante Ergebnisse vorgelegt habe. Allerdings ziehe er daraus die falschen Rückschlüsse.

Die fraglichen Cookies seien für Facebook zwar aus verschiedenen Gründen nützlich. Etwa, um personalisierte Inhalte einzublenden oder um Spammer und Phisher zu identifizieren. Keinesfalls würde man die Cookies aber dafür verwenden, Nutzer zu verfolgen. „Ich habe schon so oft gehört, dass wir Nutzerdaten teilen und verkaufen, aber das ist nicht wahr“, schreibt Bejar und verweist gleichzeitig auf den entsprechenden Hilfebereich von Facebook.

Hier heißt es wörtlich: „Wenn du eine Webseite mit einem sozialen Plug-in besuchst, dann sieht Facebook das Datum und die Uhrzeit deines Besuchs, die Webseite, auf der du dich befindest (die URL) sowie weitere technische Informationen wie z.B. die IP-Adresse, den Browser und das von dir verwendete Betriebssystem. Dies sind branchenübliche Daten, mit denen wir dein Erlebnis optimieren können, je nachdem, welchen Browser du verwendest und ob du bei Facebook angemeldet bist oder nicht.“

Den kompletten Artikel mit Links und Fotogalerien von Sibylle Gassner, findet ihr unter Verfolgt Facebook auch ausgeloggte Nutzer? von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Android: Oracle will 1,1 Milliarden Dollar

Oracle hat den wegen angeblicher Patent- und Urheberrechtsverletzungen geforderten Schadensersatz deutlich nach unten korrigiert.

Laut der jüngsten Forderung müsste Google wegen angeblicher Patent- und Urheberrechtsverletzungen nur noch 1,16 Milliarden Dollar an Oracle bezahlen. Ursprünglich hatte Oracle wegen der vorgeblichen widerrechtlichen Nutzung von Java-Code im Mobilbetriebssystem Android zwischen 2,1 und bis zu 6,1 Milliarden Dollar gefordert.

Die neue Summe geht aus einem Schreiben an das betreffende US-Bezirksgericht hervor und stammt von dem Oracle-Anwalt Steven Holztman. Demnach fordere Oracle 960 Millionen Dollar wegen der Verletzung von Urheberrechten und weitere 202 Millionen Dollar wegen Patentverletzungen.

Bereits im Sommer hatte der zuständige Richter William Alsup Oarcles Forderungen als zu hoch zurückgewiesen. Damals hatte er aber auch dem Kläger die Möglichkeit eingeräumt, einen neuen Betrag zu nennen.

Google weist die Vorwürfe zurück, wissentlich Java-Urheberrechte und -Patente in Android verletzt zu haben. Im Oktober wird der Rechtsstreit weiter verhandelt.

Den originalen Artikel mit Links von Martin Schindler, findet ihr unter Android: Oracle will 1,1 Milliarden Dollar von silicon.de.

Freundliche Grüße
das OSS-Haus Team