Anti-Spyware Software von Microsoft

Bill Gates gibt zu, dass er auch schon mal Spyware eingefangen hatte, kauft die Firma Giant Company Software und „Genuine Windows Users“ sind um ein Gratis-Tool reicher: Microsoft AntiSpyware (Beta 1).

Das tolle Tool ist natürlich Testsieger etc. aber das wollte ich ja gar erzählen. Lustig fand ich, dass das Tool das Active-X „Windows Update Control Engine“ von Microsoft selbst als unknown einstuft. Na also ab in den Kehricht ;-)

i-5f73f0252df8bee02e9991ac10133b7c-ms_antispyware_beta1-thumb.gif

Und für Leute die nicht alles von Microsoft wollen gibt es ja noch AdAware.

Veröffentlicht unter Allgemein | Verschlagwortet mit

„Low Tech“ gegen Phishing

Phishing, die Kunst vertrauliche Daten durch Täuschung zu ergaunern, ist nach meiner persönlichen E-Mail Stichprobe zu urteilen, stark verbreitet. Alle bekannten transaktionale Systeme wie Online-Banken oder Auktionsplattformen rüsten auf. Teilweise mit teurem High-Tech welcher mich als Nutzer belastet und andere Nutzer, beispielsweise Blinde, ausschliesst.

Ein eleganter Weg beim Login die Authentizität des System zu zeigen gibt es bei der guten alten Streichliste auf Papier.

Der Login-Prozess besteht auch zwei Schritten.

i-64491ed6ffbe3c32ab84902da5b91468-sgkb_login1-thumb.gif

Nach dem ersten Schritt sagt mit das System 1) den zuletzt von mir genutzten Code und 2) welche Position dran ist. Zwar könnte auch das (mit einem Proxy-Mechanismus) ausgetrickst werden aber der Schutz ist immer noch besser als bei den High-Tech Tokens. Mir gibt es ein gutes Sicherheitsgefühl!

i-ebaf1ffc79b80e2f137d4203084779ac-sgkb_login2-thumb.gif

Veröffentlicht unter Allgemein | Verschlagwortet mit

Blogging oder das Ende der PR Abteilung

Blogging als Massenbewegung wurde vielerorts schon thematisiert (z.B. bei uns schon vor einiger Zeit). Ein sicheres Zeichen, dass etwas den Sprung vom Insiderwissen in das Bewusstsein der breiten à–ffentlichkeit geschafft hat, ist ein Artikel im Economist: Der Blog von Robert Scoble, bekannt als „The Scobleizer„, ist ein Phänomen, nicht nur seit besagte Zeitschrift darüber geschrieben hat. Zuerst gewöhnlicher Blogger, ist er jetzt Chef-Blogger von Mircosoft. Und hat damit etwas erreicht, was ganze Armeen von hochbezahlten PR-Spezialisten nicht erreicht haben: Microsoft, die oft verteufelte Software-Schmiede, erscheint weniger teuflisch und das insbesondere bei unabhängigen Entwicklern. Wenn der Trend sich fortsetzt, werden ganze PR-Abteilungen überflüssig. Vielleicht keine schlechte Sache. Die Welt wäre vermutlich ein Stück ehrlicher.

The Awful German Language

Auch wenn die Anzahl an englischen Fremdwörtern (zu) hoch ist, habe ich es bin anhin geschafft auf Deutsch zu schreiben… Nun wird es für einmal englisch. Mark Twain sein Dank:

In the German it is true that by some oversight of the inventor of the language, a Woman is a female; but a Wife (Weib) is not — which is unfortunate. A Wife, here, has no sex; she is neuter; so, according to the grammar, a fish is he, his scales are she, but a fishwife is neither. To describe a wife as sexless may be called under-description; that is bad enough, but over-description is surely worse. A German speaks of an Englishman as the Engländer; to change the sex, he adds inn, and that stands for Englishwoman — Engländerinn. That seems descriptive enough, but still it is not exact enough for a German; so he precedes the word with that article which indicates that the creature to follow is feminine, and writes it down thus: „die Engländerinn,“ — which means „the she-Englishwoman.“ I consider that that person is over-described.

Den ganzen (wundervollen) Text, geschrieben 1880 als Anhang im Buch A Tramp Abroad finden Sie hier.

Veröffentlicht unter Allgemein | Verschlagwortet mit

IDN Spoofing (Punycode Homograf Angriff)

Kein Sicherheitsproblem von Firefox/Mozilla aber ein Designproblem der internationalen Domänennamen (mit mehr erlaubten Zeichen als 7-Bit ASCII) — Nota bene seit 2001 bekannt.

Bei den internationalen Domänennamen, so wie www.nestlé.ch (mit Akzent aigu) wurde ein Verfahren gesucht, bei welchen die DNS-Infrastruktur (Namensauflösung bspw. von namics.com zur IP-Adresse 193.141.193.209) nicht angepasst werden musste.

Die gewählte Lösung ist eine Codierung des Namens mit Sonderzeichen in einen Namen ohne Sonderzeichen. Um die zwei Arten zu trennen steht vor dem codierten Text der Präfix xn--. So wird aus www.jürg.com -> www.xn--jrg-hoa.com. Das Verfahren nennt sich Punycode und ist in RFC 3492 definiert.

Damit der Benutzer den hässlichen String www.xn--jrg-hoa.com nicht sieht, zeigt der Browser nur www.jürg.com an. Und nun die Sicherheit: Gewisse (unterschiedliche) Zeichen werden je nach Zeichensatz visuell identisch dargestellt. So beispielsweise das „a“ in lateinischen Alphabeth und das kyrillische „a“. So resultiert www.paypal.com und www.xn--pypal-4ve.com (mit kyrillsichen „a“ d.h. den Unicode Zeichen #1072) optisch auf derselben Site. Hier das Beispiel für Firefox/Mozilla und IE mit Versign-Plugin etc.: www.paypal.com. Schade, dass dasselbe auch mit https tadellos funktioniert (das Zertifikat prüft auf den angezeigten Namen). Da das Problem bekannt war, empfahl ICANN die Registration von homografen Domänennamen nicht zuzulassen. Aber möglicherweise war der Umsatz bei den Verkäufern höher gewichtet ;-)

Die erste Reaktion war — nach einer erneuten Publikation des Problems — den Ausbau der IDN-Funktionalität aus den Mozilla-Produkten (Bug ID 279099). Nach einer weiteren Diskussion soll die Unterstützung nun bleiben, doch die Information eines möglichen Angriffs (resp. der Punycode-Strong) soll angezeigt werden (Bug ID 282270). Natürlich gibt es schon eine Extension. Na ja, dann warten wir mal ab…

Bilder als Passworte

Wie viele Passworte müssen Sie sich merken und welche Taktik wenden Sie an? Geometrische Muster, immer neu gemischte Textteile oder die berühmten Eigennamen und Geburtsdaten. Wie schnell Passworte erraten werden können, ist schon an vielen Orten dokumentiert. Leider stehen gute Passworte und gute Usability auf Kriegsfuss: The Strong Password Dilemma.

i-bf58afb722d59e51005c978cb20ee9bf-pic_as_passwords-thumb.jpg

Ein interessanter Ansatz: Der Mensch kann sich offenbar Bildfolgen besser merken als Buchstaben- oder Zahlenfolgen. Zudem können Bildsequenzen nicht so einfach mit einem Post-It an den Bildschirm geklebt werden. Die Technologie gibt es schon sehr lange, beispielsweise mit Dà©jà  Vu oder so wie in der Studie Studie Are Passfaces more usable than passwords? A field trial investigation beschrieben.

Ein kommerzielles Produkt, welches den Ansatz umsetzt ist http://www.realuser.com/.

Keine schlechte Idee.

Internet Background Noise (IBN)

Eine kleine aber feine Idee als Abfallprodukt der Intrusion Detection. Man sammle sämtlichen Netzwerkverkehr der an ungültige (interne) IP-Adressen gerichtet ist und werte diesen aus. So bei Switch regelmässig gemacht.

Der Traffic stammt nicht (oder nur sehr selten) von normalem Netzwerkverkehr (weil das Ziel ja fehlen würde) und ist somit ein Resultat von Scanning, Probing oder gar Denial of Service-Angriffen etc.

Und was soll das Ganze? Neben Informationen über spannende Ports und netten Graphiken und taugliches Vorwarnsystem für junge Angriffe so wie im Paper [pdf, 230kb] Monitoring and Early Warning for Internet Worms beschrieben.

Skype rulez

Internet-Telefonie tönt kompliziert und Voice over IP (VoIP) noch schlimmer. Möglicherweise funktioniert das im Geschäftsbereich…

Nein, es ist einfach, massenmarkttauglich und sehr erfolgreich. Die Erfinder der Peer to Peer Technologie KAZAA (die so erfolgreiche Illegale bevor DRM sein musste), zeigen dass es einfach ist Skype. Eine Clientsoftware für Windows, Linux, Macintosh OS X oder Pocket PC und ein Computer mit Mikrofon sowie Lautsprecher (am einfachsten ein Notebook, da ist meist alles drin): Schon telefonier ich über Internet mit einem beliebiebigen Skype-Nutzer. In meinem Client sind zu deisem Zeitpunkt ca. 1,6 Mio. Nutzer online (Zahl steigend).

Die Qualität ist auch bei wenig Bardbreite einem herkömmlichen Telefon überlegen und Sachen wie „quality of service„, Latenz, „out of order“ und co. kann ich vergessen: Es funktioniert einfach so. Zusätzlich zu den Gratisfunktionen gibt es mit Skype-Out die Möglichkeit weltweit zu Lokaltarifen via Internet und Gateways auf das normale Telefonnetz anzurufen, Telefonkonferenzen durchzuführen u.a.

Als wir der Sache mal auf den Zahn fühlten und aus dem Zug via Swisscom UMTS und Skype telefoniert haben klappte alles vorzüglich. Na ja, alles mit Ausnahme der ultrateuren Volumentarifen für UMTS. Andere „Heldengeschichten“ finden sich überigen in einem Skype-Forum.

Um dies in einen betriebswirtschaftlichen Kontekt zu stellen, gibt es mit der Studie „[pdf, 246KB] Impact of Skype on Telecom Service Providers“ ein reales Szenario, dass der damit erzeugte Preisdruck und die einfache Möglichkeit zu „telephonieren“ den Telecom-Anbietern bis 2008 22-26% der Marge fressen wird… Na dann warten wir mal ab.

i-5d610aaa1c457ee0a72de4cfc82fde90-skype.gif

Auf jeden Fall ausprobieren und wenn ihr ein Versuchskaninchen braucht: „jstuker“.

Veröffentlicht unter Allgemein | Verschlagwortet mit

Bookmark-Manager

Ich weiss nicht, wie viele Programme ich schon gesehen habe die Browser Bookmarks speichern… Meine habe ich bis jetzt immer wieder verloren (ist möglicherweise gut als Gehirntraining).

So richtig gut finde ich aber http://del.icio.us/.

– Keine Installation aber Post mit einen normalen Browserrequest (resp. über Bookmarklets)
Nutzung über Web (für alle) und über RSS (besonders mit Live Bookmarks bei Firefox)
– Relevanzsschätzung durch Anzahl der Gesamtnennungen (Popularity).

Nutzt es doch einfach und schickt mir Eure View!

Veröffentlicht unter Allgemein | Verschlagwortet mit