Tag Archives: Security

SHA-1 broken

Seems that a team around Google managed to hit the first SHA1 Collision, creating two identical SHA1 checksums for two absolutely different documents.

At current time, they took about nearly 7000 years of single-CPU and GPU calculation (12 million GPU years) – but we had similar high rates at first attack on PPTP. As we all know, in 2012 it only took 23 hours to attack PPTP due to faster computing power. Within a few more years of development, SHA1 attack might work in similar timeframes.

http://shattered.io/

https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html

Moving from HMA to IPVanish

As some of you out there, I am using a VPN software from time to time to hide my original identity when browsing the net. One of the main reasons is the high censorship – and lawyers waiting about to sue you after accidentally visiting a “wrong” site, here in germany,

Previously I used HMA – “Hide my Ass” for my privacy. They offer a simple UI, Android client, lots of servers worldwide and they also provide a manual about how to setup your Synology NAS to work with HMA.

Also, when just browsing for “good VPN provider” they are in the top list. So, that was my previous reason.

I guess I took this the too easy way, and I must admit that I did not check for any details when I started to use them. After some time I read some bad news.

-https://vpn.hidemyass.com/vpncontrol/privacy.html

Your IP address is logged by us so that we can prevent any spam, fraud or abuse of our Site and our services. We may store this data for up to two years, unless we are required, for legal reasons or under exceptional circumstances, to retain this data for an extended period.

And yes, HMA is able to track down the IP address of any connection to any user (found at Reddit):

View post on imgur.com

After this, I cancelled my account immediately and searched for another VPN provider. My current favourite is IP Vanish, which offers similar services but no trackable logging. They do not offer a detailed setup, but it was a simple way to also configure my Synology NAS for using IP Vanish.

 

Facebook: Gezwungene Transparanz

Facebook hat mal wieder ein wenig sein Angebot verändert. Diesmal ist es nicht eine neue Funktion, die automatisch aktiviert wurde und nur in den sehr verwirrenden Bereichen der Nutzereinstellungen wieder abzustellen war.
Nein, dieses mal bringt Facebook eine neue Funktion, die mehr Transparenz bringt – und nicht deaktivierbar ist.

Es geht um Beiträge, die in Gruppen geschrieben wurden. Hier ist es jetzt möglich (zumindest in der US-Version, die Deutsche soll in kürze folgen) zu sehen, wer den Beitrag gelesen hat. Und wann er ihn gelesen hat. Bislang wurde eine solche Funktion nur von Spyware und Trojanern verbreitet – obwohl die Funktion bislang nicht vorhanden war.
Eine Möglichkeit zu sehen, wer das eigene Profil besucht hat, bietet Facebook übrigens weiterhin nicht.

Es steht aber zu erwarten, daß in kürze durch die neue Gruppen-Funktion eine neue Welle von Spyware-Trittbrettfahrern das Gegenteil behaupten werden.

Sony SmartWatch

Nach dem SmartPhone jetzt die SmartWatch. Sony hat vor einiger Zeit eine Uhr auf den Markt gebracht, die via Bluetooth mit Android 2.0-Smartphoones kommuniziert. Mit der Uhr kann man SMS und E-Mails lesen und schreiben, den MP3-Player des Handys kontrollieren und sogar Fotos vom Handy aus machen lassen.

Letzteres natürlich nicht zu Spionagezwecken (Bluetooth 3 Klasse 1 bis 100m) …

GEMA-Gesperrte Videos bei Youtube

Gerade noch habe ich mich ein wenig geärgert, daß mein verlinktes ABBA-Video nicht mehr bei youtube abspielbar war. “Video ist in Deutschland nicht verfügbar … GEMA”. Bisher habe ich den etwas langsamen Umweg über TOR genommen um an solche Videos heran zu kommen.
Gerade habe ich einen schnelleren Weg gefunden. Proxtube leitet den Seitenaufbau über einen ausländischen Proxy. Das tatsächliche Video wird danach wieder direkt aufgerufen – mit regulärer Geschwindigkeit also.

Google – Datenkrake

Über einen Bekannten habe ich erfahren, daß die Datenkrake Google seit einiger Zeit auch bei im Browser abgeschaltetem scripting die Suchergebnisse auswertet – indem in so einem Fall alle Links über google.com umgeleitet werden. Und das noch nicht mal offensichtlich (auch nicht im Quellcode), sondern recht gut verschleiert.

Kein Linux auf Windows-8-OEM-PCs ?

Gerüchte besagen, daß Microsoft die Anforderungen an die PC-Hersteller für Windows 8 so gestellt hat, daß das DRM der PCs nach der Auslieferung ausschließlich das booten von Windows 8 erlauben soll. Somit soll es nicht mehr möglich sein, auf derartigen OEM-PCs Linux oder BSD-Derivate zu installieren.
Wenn die Gerüchte stimmen, bricht Microsoft damit ein in den 1990er Jahren mit dem amerikanischen Justizministerium geschlossenes Abkommen. Nach dem wollte es Microsoft nicht auf solche “Sperren” bestehen.

http://www.phonenews.com/microsoft-illegally-demanding-arm-oem-linux-windows-8-19713/

You Have Downloaded . com

Ein interessanter neuer Dienst im Netz listet auf, welche IP-Adresse welche – meist illegalen – downloads vorgenommen hat. youhavedownloaded.com sammelt dabei ausschließlich die frei verfügbaren Informationen, die bei einem Download entstehen und bei vielen Filehostern halb oder vollständig öffentlich zugänglich gespeichert werden.

Zur Zeit sagen die Betreiber der Seite noch, daß sie auf keinen Fall mit Behörden zusammenarbeiten wollen. Aber spätestens wenn bestimmte öffentliche Stellen davon erfahren, werden sie das Verfahren entweder kopieren oder aber versuchen mit einstweiligen Verfügungen an die dort von 52 Millionen Usern gesammelten Daten heran zu kommen.

Update: Schleswig-Holstein will Facebook-Plugins verbieten

Die Kieler Datenschützer sind von ihrem Vorhaben nicht abzubringen, Webseiten-Betreiber abzumahnen, wenn Sie die Facebook-Like Buttons verwenden. Einige Seiten bieten diese mittlerweile (eigentlich?) Datenschutzkonform an (wie ich ab jetzt), aber auch das scheint denen nicht zu reichen.

Vielleicht stellt sich damit demnächst für Webseiten-Betreiber die Frage: Facebook-Like Buttons einbinden oder Besucher aus Schleswig-Holstein auf die Webseite lassen? Es wäre ja ein leichtes, vor dem Betreten der Webseite eine Abfrage zu schalten: “In welchem Bundesland befinden Sie sich zur Zeit?”. Bei der “falschen” Antwort landet man auf einer Suchmaschine, bei der “richtigen” Antwort auf der gewünschten Webseite.