Monthly Archives: August 2008

So schützt man sich vor Datenklau am US Zoll

Die Geschäftswelt steht Kopf: der US Zoll erlaubt sich Laptops bei der Einreise in die USA zu durchforsten und Daten zu kopieren. Alles im Sinne des Anti-Terror-Kampfes *Hüstel*.

Wer Angst vor Wirtschaftsspionage hat kann sich schützen. Allerdings sollte man sich auf keinen Fall die Empfehlung des DIHK verlassen und sensible Daten bei Reisen in die USA sich einfach per E-Mail nachschicken lassen. Dies ist genau so unsicher, wie die Daten auf dem Laptop zu belassen. Eine unverschlüsselte Mail kann problemlos gescannt werden. Und warum sollte die NSA nicht auch beim E-Mail Verkehr lauschen?

Also vergessen wir die Schnapsidee des DIHK. Es gibt nur zwei Methoden die vor einem Datenklau schützen:

1.) Verschlüsselung von sensiblen Daten in einem Krypto-Container auf dem Laptop. Dieser Container verwahrt die Daten sicher vor dem Zugriff durch Dritte und ist zudem nur schwer auf dem Laptop zu identifizieren. Ein dazu passendes Open Source Programm ist TrueCrypt

2.) Verschlüsselung von E-Mails mittels  Open PGP. Das drauf aufbauende Programm Enigmail OpenPGP ist als Plugin für Thunderbird erhältlich. Damit lassen sich E-Mails und Anhänge sehr wirkungsvoll verschlüsseln.

Aber ganz unabhängig von den Begierden der US-Behörden: sensible Daten sollte man so oder so nie und nimmer unverschlüsselt auf seinen Laptop speichern oder per E-Mail verschicken.

Biometriequatsch bei EDEKA

Liebe Leute bei EDEKA: Nur weil etwas modern ist, ist es noch lange nicht gut. Nur weil etwas mit einem Computer gesteuert wird, ist es noch lange nicht sicher.

Von was ich spreche? Na von dieser biometrischen Zugangskontrolle, die ich beim letzten Einkauf im örtlichen EDEKA entdeckt habe. Die Tür zum Bürobereich der Marktleitung wird seit neuestem mit einem biometrischen Schloss gesichert. Ein kleiner Scanner am Lesegerät des Schlosses liest den Fingerabdruck und öffnet die Türe für berechtigte Personen.

Wow, soviel Hightech in der “Einkaufsgenossenschaft der Kolonialwarenhändler im Halleschen Torbezirk zu Berlin€œ? Da hat ein IT-Beratungsunternehmen einen guten Auftrag ergattert und Highttech-Security-Lösungen vom feinsten verkauft.

Während ich vor Ehrfurcht staune,  nimmt die Kassiererin meine Cola Flasche in die Hand und schiebt diese über den Kassenscanner. “Macht 1.29”. Ich zahle in abgezählten Münzen und nehme die Flasche und halte diese leicht schräg. Auf dem schwarzen Flaschenkörper zeichnen sich zart aber deutlich die Fingerabdrücker der Mitarbeiterin ab.

“Danke für die Eintrittskarte” wollte ich sagen, doch ich habe es mir verkniffen.

Hätte ich vor den Laden auszurauben, bräuchte ich nicht mal einen Schlüssel. Die Cola Flasche mit dem biometrischen Zugangscode der Mitarbeiterin reicht.

Okay, jetzt kann jemand einwerfen, dass der normale Dieb doch nicht mit High Tech arbeitet und schon gar nicht aus einem Flaschen-Fingerabdruck eine biometrische Kontrolle überlisten kann. Die zuständigen Manager von werden jetzt sicher sagen: “Das ist doch sehr hypothetisch. Unser System ist praktisch und sicher. Hat ja auch eine Menge Geld gekostet…”.

Sicher hat es… und es ist reine Verschwendung von Geld. Zudem wird eine Sicherheit vorgegaukelt, die es nicht gibt. Den Fingerabdruck eines Mitarbeiters der EDEKA bekomme ich mit jedem Einkauf kostenlos geschenkt. Für 4.99 kann ich mir im gleichen Laden noch den Sekundenkleber kaufen um den Abdruck zu sichern. Die Anleitung zum Herstellen des künstlichen Fingerabdruckes gibt es im Internet.

Und wer glaubt, das in einschlägigen kriminellen Kreisen noch mit Brecheisen und Dietrich gearbeitet wird, der soll doch einfach mal in den Sicherheitsabteilungen Deutscher Kreditinstitute nachfragen. Der moderne Bankräuber benutzt PC, Skimmer, Minikameras und Kartenkopiergeräte. Dagegen ist das Herstellen eines falschen Fingerabdruckes ein Klacks.

Deshalb: Nur weil etwas modern ist, ist es noch lange nicht gut. Nur weil etwas mit einem Computer gesteuert wird, ist es noch lange nicht sicher.

Sie haben Mail…

und zwar 2835 mal mit dem gleichen Inhalt. So eine Überraschung beim morgendlichen öffnen des E-Mail Postfachs…

 E-Mail Bombe am Morgen

Das passiert also, wenn ein Admin einer Maillinglsite ausversehentlich das Auto-Reply mit dem Urlaubshinweis auf den Listserver schickt. Jetzt wurde mein Postfach zugemüllt. Mittlerweile greift mein Spam-Assisin auf dem Mailserver und ich werde von weiteren Mails verschont.

Na ja, wenigstens wird der Verursacher nach dem Urlaub beim öffnen seiner E-Mail eine nette Überraschung erleben…

Ich rechnen mal kurz hoch wieviel E-Mail Traffic kurzzeitig entstanden ist: Bei 500 Empängern der Maillingliste hat der Server ca. 500 x 3000 = 1.5 Mio. E-Mails gesendet. Dazu kommen noch die hirnlosen E-Mails derjenigen, die sich über das flooden des Postfaches beschweren und dies über die Mailingsliste kundtun…

My Tease bei MyToys

EinkaufswagenIch gehe shoppen. Fröhlich schlendere ich durch die Regale bei MyToys und der Einkaufswagen füllt sich mit Produkten die ich kaufen möchtest. Also ab zur Kasse und die Produkte aufs Laufband. Eine freundliche Kassiererin scannt die Artikel und fragt: “Möchten Sie mit Kreditkarte bezahlen?”.

“Ja, warum nicht. Visa oder Mastercard?”. “Wir akzeptieren beides” antwortet die Kassiererin. Ich reiche ihr meine Mastercard, sie zieht diese durch den Schlitz an der Kasse und ich bezahlen. “Vielen dank für Ihren Einkauf bei MyToys” sagt sie mit freundlicher Stimme und ich lächele zurück. So, noch schnell den Einkauf wieder in den Einkaufswagen und ab zum Ausgang.

Ich möchte gerade den Wagen durch die Drehtüre am Ausgang schieben, da tippt mir jemand auf die Schulter. Ich drehe mich um. Vor mit steht ein durchtrainierter Mann in einer martialischen schwarzen Uniform. Auf einem Schild an seiner Brust steht “Kundenservice”. “Entschuldigung, wo möchten Sie hin?” fragt er mit einer sonoren Stimme.

Noch bevor ich antworten kann, hält er mich am Arm fest. “Sie sind Neukunde bei MyToys.de, stimmts?”. Ich nicke. “Tja, dann muss ich Sie bitten hier und jetzt die Produkte in Ihrem Einkaufswagen zu bezahlen. Sie können dies bequem per Vorkasse tun. Sobald wir das Geld haben, dürfen Sie die Waren mitnehmen”.

“Ähhh, ich habe das alles per Kreditkarte bezahlt…” antworte ich unsicher. “Sorry, Boy” er kaut breit auf seinem Kaugummi, “ich habe mit unserer Kreditabteilung gesprochen, der Warenwert Ihres Einkaufs übersteigt mit 290,- Euro, den zulässigen Wert für Neukunden.”

“Hören Sie ich habe an der Kasse bezahlt!”, ich werde etwas lauter mit der Stimme. Der Mann bleibt in seiner Mimik unbewegt und antwortet: “in unseren AGB’s steht, dass wir uns nachträglich eine Änderung der Zahlung auf Vorkasse vorbehalten. Tja und bei Ihnen ist das der Fall. Ich muss Sie bitten, mir nun das Geld zu geben oder ich kann Sie nicht mit den Produkten gehen lassen” er zeigt auf ein Schild am Eingang auf dem in einer großer Überschrift AGB steht, danach folgen mehrer Absätze mit kleingedrucktem.

“Lassen Sie mich das kurz mal lesen” sage ich und schüttel den Typ von meinem Arm. Ich gehe nahe an das Schild, kneife angestrengt die Augen zusammen und lese laut vor “…Zur Absicherung des Kreditrisikos behalten wir uns entsprechend der jeweiligen Bonität vor, die von Ihnen erbetene Lieferung nur gegen Kreditkarte durchzuführen…”.

Der Typ vom Kundenservice putzt sich mit einem Holzzahnstocher in gespielter Gleichgültigkeit die Zähne. Ich drehe mich zu fragend zu ihm um. “Hier steht, bei Neukunden behält sich Ihr Unternehmen vor, die Ware per Kreditkarte bezahlen zu lassen. Das habe ich doch getan?”.

“Entweder Sie bezahlen nun endlich die Ware oder ich muss Sie bitten MyToys zu verlassen”, während er dies ausspricht hält er mit drohend den Zahnstocher entgegen.

Ich spüre, wie mir das Blut in den Kopf schießt und meine Backen rot werden.  “Ganz ehrlich, ich ****** auf dieses Einkauf. Geben Sie mir einen Nachweis über die Stornierung der Kreditkartenbuchung und ich bin hier in Nullkommanix weg. Ihr Typen habt ja einen Vogel!”.

Er zückt ein Walkie Talkie. Dreht sich mit dem Rücken zu mir um. Ich höre wie er leise in das Gerät spricht. Nach zwei endlosen Minuten dreht er sich um. Den Zahnstocher hat er jetzt lässig im Mundwinkel. “Unsere Kreditabteilung hat die Zahlung storniert und die Kreditkartenfirma informiert. Wenn Sie die Ware haben möchten, dann bitte ich nun um das Geld.”

“Also ich fass es nicht! Sie wollen tatsächlich, dass ich die schon bereits bezahlte Ware zurückgebe und dann einfach nochmal per Vorkasse bezahle? Sind Sie nicht ganz dicht?”.

Er bleibt ganz ruhig. “Sie müssen das verstehen…”.

“Nein, muss ich nicht…”, antworte ich. Ohne mich zu verabschieden gehe ich ohne meinen Einkaufswagen durch die Drehtüre. “Und MyToys sieht mich nie wieder…” sind meine letzten Worte.

Wäre online Shopping mit der realen Shopping-Welt vergleichbar, so würden wir uns über manche Dinge mehr wundern. Im eCommerce dagegen herrscht oftmals eine total verschrobene Mentalität und ein unglaublich schlechter Kundenservice. MyToys hat in diesem Beispiel als reale Vorlage gedient. Eingekauft habe ich dann bei einem kleineren online Händler. Günstiger, schneller und freundlicher.

Captcha mit Tourette-Syndrom

CAPTCHA ist ein Akronym für Completely Automated Public Turing test to tell Computers and Humans Apart. Wörtlich übersetzt bedeutet das €žVollautomatischer öffentlicher Turing-Test, um Computer und Menschen zu unterscheiden€œ. CAPTCHAs werden verwendet, um zu entscheiden, ob das Gegenüber ein Mensch oder eine Maschine ist. Der Begriff wurde zum ersten Mal im Jahr 2000 von Luis von Ahn, Manuel Blum und Nicholas J. Hopper an der Carnegie Mellon University und von John Langford von IBM gebraucht.” (Wikipedia)

“Das Tourettesyndrom ist eine neurologisch-psychiatrische, ätiologisch noch ungeklärte Erkrankung, die durch das Auftreten von Tics charakterisiert ist. Bei den Tics handelt es sich um unwillkürliche, rasche, meistens plötzlich einschießende und mitunter sehr heftige Bewegungen, die immer wieder in gleicher Weise einzeln oder serienartig auftreten können. Verbale, ungewollte Äußerungen zählen mit dazu, sowie Ausrufe oder eigenartige Geräusche. “ (Wikipedia)

Captchas sind ein beliebtes Verfahren, um die Eingabe von Webformularen gegen automatische Spam-Bots abzusichern. Wir selbst setzten Captchas ebenfalls an verschiedene Stellen und Projekten ein. Bislang immer ohne Probleme. Bis wir heute im Kundensupport einen seltsamen Vorfall gemeldet bekamen.

Bitte geben Sie “Zicke” ein

Ein Captcha soll eine Kundin in einem online-Shop mit sexistischen, kriegsverherrlichenden und geschmacklosen Begriffen belästigt haben. Bitte geben Sie “Zicke” ein. Nein, das  geht gar nicht

Auch “terror”, “stalin”, “bigamie”, “bordel”,  “dachau”, “eichel”, “fummeln”, “furzes”, “gaddafi”, “galgen”, “glied”, “kastrat”, “Khmer”, “Kokain” und “Khomeini” sind nicht gerade Begriffe, die der political correctness entsprechen.

Ja, dieses Captcha war wohl tatsächlich an Tourette erkrankt und beschimpft Webbenutzer. Aber warum? Zuerst lag der Verdacht auf einen böswilligen Scherz. Das Captcha stammt aus dem öffentlichen TYPO3 Extension Repository. Hatte sich ein böser Programmierer den Dateien im Repository eine schmutzige Wortliste untergeschoben? Denkbar wäre es.

Wenn das Wörterbuch zum Verhängnis wird

Doch ich glaube die Erklärung ist viel einfacher. Das Captcha-Programm bezieht seine Wörter aus einer umfassenden Quelle: dem Wortlexikon aus Open Office. Die Wortliste ist daher mit über 19.800 Wörtern sehr umfassend. Ein Blick in die Wortliste zeigt: die überwiegende Mehrheit der aufgeführten Wörter sind harmlos: “Hydrant”, “Idee”, “Kultur” und viele mehr. Doch zwischen all den schönen Wörter tauchen auch immer wieder kritische Begriffe auf “Freibad”, “Freien”, “Freier”, “Freiern”, “Freimut”, “Freitag” und “Freitod” folgen ganz unschuldig Zeile für Zeile.

Eine Frage der Wahrscheinlichkeit

Das Grundübel liegt also darin, dass die Verfasser der deutschen Captcha Version einfach eine Wörterbuch-Datei als Quelle zum Erzeugen der Captcha-Bilder verwenden. Beim generieren eines Captchas sucht sich das Programm zufällig ein Wort aus dieser Liste und trifft mit einer ausreichend hohen statistischen Wahrscheinlichkeit ein negativ besetztes Wort. In diesem Fall hatte Kollege Zufall die Kundin des online Shops getroffen und belästigt. Autsch.

Fazit: nur die eigenes geprüfte Wortliste schützt vor ungemach

Das ganze erinnert mit etwas an dem Problem, mit der die populäre SMS-Software T9 vor einigen Jahren zu kämpfen hatte. Wer also die TYPO3-Extension freecap einsetzt, sollte einfach die enthaltene Wortliste .ht.de.freecap.word durch eine eigene geprüfte Liste ersetzten.

Yigg vermisse ich nicht

Die letzten 4 Wochen war ich mit meinem besten, schönsten und anstrengendsten Projekt beschäftigt (dazu später mehr). So ist der Relaunch von Yigg.de vollkommen an mir vorüber gegangen.

Nun habe ich mir heute die neue Yigg-Seite angeschaut und… ja was soll man da sagen? Orange!

Mich wundert es nicht, dass der Relaunch zu einem Sturm von negativen Kommentaren geführt hat. Die neue GUI sieht wirklich unübersichtlich und unelegant aus. Auf den Punkt gebracht: einfach Scheiße. Oder wie der Blog Anwälte in Vulkane werfen so schön schreibt:

Führende deutsche Social News Community sucht arbeitslosen Bauschlosser zwecks Erstellung eines Templates. Erfahrungen im Sackhüpfen, Eierlauf und Seilspringen von Vorteil.

Schade, ich fand bislang, das Yigg ein wirklich gelungene Adaption der Idee von Digg war. Yigg hatte es geschafft sich mit eigenen Ideen aus dem Schatten des großen Vorbild zu lösen. Und nun das. Dieser Relaunch war kein großer Wurf, eher ein Desaster.

Die beste Analyse zum misratenen Yigg-Relaunch gibt es bei Selbständig im Netz.