Neuester Trick der Post damit auch Waren unter 64 Franken verzollt werden kann

Unsere Post ist sehr einfallsfreudig, dass sie wieder Geld verdienen kann.

Unterdessen macht unsere Post sehr interessante Abgaben geltend damit eine Sendung welche nicht Abgabepflichtig ist, abgabepflichtig wird.

Wie hier im Beispiel gezeigt wird, wird komischerweise noch Porto verrechnet…  Komischerweise war auf der Verpackung keine weitere Wertmarke abgeben. Zudem wurde das Porto vollumfänglich vom Absender bezahlt.

Zudem wird die Einfuhrsteuer… Inklusive der Verzollung Zone 2 berechnet….

Dadurch kann die Post jeden Betrag auch 20 Fr. schlussendlich Zollpflichtig machen.

 

Das Hauptproblem ist man kann gegen diese Machenschaften leider nichts machen.

 

Zudem sind die modernen Zahlungsmethoden der BLZ sehr schlecht.

Karten werden nicht akzeptiert

Potcheque  gibts nicht mehr

Bargeld.  wird genommen. Das Retourgeld wird in 4 Tagen geschickt.

Vor einigen Jahren hatte der Pöstler noch Retourgeld bei sich unterdessen leider keines.

Bis zu diesem Zeitpunkt wollte die Post zu den Vorwürfen keine Stellung nehmen.

Verkauft Mastercard Kreditkartendaten an Google

Am Sonntag konnte man im Heise Online lesen, dass Master Card Kreditkartendaten an Google verkaufen.

Wir hatten Gelegenheit zu diesem Thema mit der MasterCard zu sprechen.

MasterCard sagte dass Sie nur Richtdaten an Ihre Kunden verkaufen. Z.B wenn ein Laden eine Aktion hat kann er später die Umsatzdaten sowie auch die Anzahl Transaktionen kaufen. Dies macht eigentlich keinen Sinn da die Läden diese Daten eigentlich sowieso haben. Nur bekommen sie diese zusammengefasst. Dabei handelt es sich nur um Totale und nicht die Einzelnen Kundentransaktionen.

Google hat diverse Verträge mit der Master Card,

  1. Betreiben sie einen Laden und haben den gleichen Vertrag wie die Meisten Läden oder Restaurants.
  2. Hat Google auch ein Bezahlung App. Dort hat Google auch einen Vertrag mit der Master Card abgeschlossen. Ich denke für das Gerücht liegt hier der Hase im Pfeffer.

Aktiv gibt Master Card keine Daten an Google weiter. Jedoch hat Google diverse Möglichkeiten um solche Daten abzugreifen. (Ob dies auch gemacht wird können wir nicht beweisen, es sind nur Spekulationen)

  1. Über Google Analytics hat Google die Möglichkeit die Daten abzugreifen und von diversen Shops auszulesen. Also nur die Shops welche auch Google Analytics verwenden.
  2. Wenn irgendein Laden oder Restaurant ein Google Bezahlsystem einsetzt. Bis jetzt sind weder welche Online noch in der realen Welt bekannt.
  3. In den Google internen Stores sowie die Shops welche mit Google zusammenarbeiten. Dort findet ein reger Datenaustausch statt.
  4. Wer das Bezahlsystem von Google verwendet. Android Pay bzw Google Pay. Bei diesen Applikationen hinterlegt man zwar eine Kreditkarte. Jedoch laufen die Daten über Google. Diese Daten können dann von Google zur Analyse abgegriffen werden. Ob dies gemacht wird ist nicht klar. Aber sehr wahrscheinlich. Das gleiche übrigens gilt auch für Apple mit Applepay. Dort hat Apple auch die Möglichkeit die Daten abzugreifen.

Da in den Staaten immer mehr mit dem Handy bezahlt wird ist wahrscheinlich das abgreifen über Googlepay gemeint. Jedoch ist nicht nur MasterCard davon betroffen, sondern jede Kreditkarte welche auf Andoidpay bzw. Googlepay hinterlegt wird.

Auch Amazon hat die Möglichkeit die Keditkartendaten auszuwerten von den Kreditkarten die bei ihnen hinterlegt worden sind. Dies jedoch nur bei Amazon oder wenn man eine Zahlung über Amazon auslöst.

Die Bezahldienste wie PayPal, Android Pay, Google Pay, Apple Pay und Migros App sind für die Firmen zur Datengewinnung sehr wertvoll. Denn alle Daten die über diesen Dienst generiert werden können die entsprechenden Firmen auch auswerten.

Das Master Card wissentlich einzelne oder Kreditkartendaten en Block an Google Verkauft hat ist eher unwahrscheinlich. Vor allem da Sie nach dem DSGVO ein grosses Problem bekommen könnte und die Busse in Millionenhöhe sein würde.

 

 

Autor Xaver Aerni
Geschrieben am 03.09.2018
Veröffentlich in der Ausgabe September 2018
(C)opyright 2018 by Hackernews
Sonstige Nachschlagewerke oder Infos NONE

 

DSGVO ein Monat danach

Seit einem Monat ist das DSGVO in Kraft. Ist nun für den Schutz der Daten der Kunden und User alles besser geworden? Leider nicht. Zurzeit sind die Auswirkungen vor allem im Deutschsprachigen Raum eine Katastrophe, vor allem in Deutschland wurde die EU DSGVO wörtlich umgesetzt. Das heisst die Grossen wie Google, Facebook etc. können mit kleineren Änderung in Ihren AGB’s und Datenschutzverordnungen weitermachen wie bis anhin. Nur die Kleinen Betriebe, Vereine und Schulen haben jetzt ein Problem. Diese müssen sich genauer schauen, da sie gerne teuer Abgemahnt werden.

Dies hat in Deutschland zur Folge dass etwa 30 % der Homepages von kleinen Firmen und Vereinen vom Netz genommen wurden. Aus Angst von Abmahnungen. Dass dies Berechtigt ist zeigt, dass die Abmahnindustrie bereits 2 Tage nach Inkrafttreten der neuen Verordnung zugeschlagen hat und einige Abmahnungen rausgelassen hat. Die Politik hat zwar versprochen es langsam angehen zu lassen, aber die Abmahnanwälte machten da der Politik jetzt schon einen Strich durch die Rechnung.

Ein grosser Aufschrei der Politik im Wasserglas ist auch nur das geblieben. Zu einer Änderung der jetzigen Problemen,  konnte sich die Politik nicht durchringen. Dabei sind sich alle Einig dass es so nicht weitergehen kann. Aber eben jede Partei will seine Ziele dem Resultat vorziehen. So kommt man zu keine Lösung.

Aber die Politik geht weiter mit dem Zerstören des Internet. Die nächsten Revisionen sind schon im Gange.

Das Urheberrecht soll auch mit Uploadfiltern grössere Beachtung finden. Da auch dort auch viele Betreiber Angst vor Regressen haben werden, werden die Sperren vermutlich bei den meisten Anbietern sehr strickt gehalten. Das heisst, es wird meistens mehr gefiltert als nötig wäre. Sicher ist sicher. Denn niemand hat Lust eine Abmahne im drei bis fünfstelligen Eurobereich zu kassieren.

Wenn die neue Urheberrechtsverodnung kommen wird, wird es für viele Betreiber von Boards oder anderen Dienstleistern auf dem Internet schweer. Die Schweiz muss dieses Gesetz zwar nicht übernehmen, aber die Politik will das auf Druck der UE Industrie…

Zu diesem Zeitpunkt wird dann auch in der Schweiz mehr gefiltert als nötig…

Dafür hat die EU schon wieder ein neues Gesetz im Köcher. Da Zensur schlecht ist will man das natürlich auch verbieten. Da sind auch schon diverse Vorstösse hängig. Es tönt gut, wenn im Internet von den Anbietern nichts Zensiert werden darf. Jedoch kommen die Betreiber diversen Seiten dann in Teufels Küche. Einerseits müssen sie wegen Datenschutz, Urheberrecht etc. diverse Sachen löschen. Aber wenn sie aus Versehen was zu viel Löschen stehen sie auch wieder mit dem Gesetz in Konflikt. Das wird dann für diverse Kleine Anbieter wieder ein aus bedeuten, da sie das in der Freizeit machen und nicht wegen der Politik auf jeden Fall was Verbotenes machen. Der einzig gehbare Weg ist dann nichts mehr zu tun.

Diese Auswüchse haben wir wenn Politker welche von der Materie wenig Ahnung haben neue Gesetze verordnen.

Autor Xaver Aerni
Geschrieben am 25.06.2018
Veröffentlich in der Ausgabe Juni 2018
(C)opyright 2018 by Hackernews
Sonstige Nachschlagewerke oder Infos NONE

 

Die Gefahren des „Internet der Dinge“

„Internet der Dinge“ ist und wird immer beliebter. Doch die Anbindung von diversen Geräten des Haushalts und der Komsumerelektronik bietet nicht nur Vorteile, sondern hat auch grosse Gefahren.

„Internet der Dinge“ sind Produkte des normalen Haushaltes wie Kaffeemaschine, Toaster, Fernseher, Stereoanlage, Kühlschrank und so weiter, welche mit einer Schnittstelle fürs Internet versehen werden. Zurzeit gibt es bereits diverse Artikel welche Standardmässig über eine Netzwerkschnittstelle verfügen. Der Sinn dieser Schnittstelle ist bei einem Produkt praktisch, wie bei der Kaffeemaschine welche vom Büro aus gestartet werden kann, Kühlschrank welcher das Inventar erledigt und bei der Entleerung selbständig auch Bestellungen ausübt. Praktisch jeder neue Fernseher hat ebenfalls eine Schnittstelle, mit der Firmware Updates, Multimedia Inhalte gestreamt werden können und auch diverse Apps vom Internet geholt werden können.

Eigentlich sind diese Funktionen sehr praktisch. Leider bieten sie auch grosse Gefahren. Die Hersteller dieser Geräte sind leider nicht unbedingt in der Computerbranche zu Hause, deshalb haben sie sehr wenig Erfahrung mit der Sicherheit. Die Sicherheit Standards der Geräte sind etwa auf dem Stand, welche Computersysteme im Jahre 1980 – 1990 hatten. Der Unterschied dazu ist, dass sich die Computer damals nicht 24 Stunden am Internet gehangen sind. Damals war man ab und zu mal kurz in Mailboxen oder in den 90er Jahren kurz im Internet (damals mit dem Modem). Die „Internet der Dinge“ sind jedoch 24 Stunden lang ungeschützt im Internet.

Die Sicherheit Standard sind leider sehr schwach.

Beispiel 1: Die Fernseher verfügen wenn das Passwort nicht geändert wurde über den Code „0000“. Auch wenn das Passwort geändert wurde ist der Code eine 4-Stellige Zahl. Welche sehr schnell gehackt werden kann. Es sind ja nur 9999 Kombinationen. Mit der 0000 10 000.  90 % der Fernseher verfügen jedoch über den Standard Pin, welcher 0000 ist. Hackern ist es bereits gelungen bei Fernseher aus der Ferne Plug-Ins zu installieren. Solche Plug-Ins können verheerende Auswirkungen haben, wie z.B. Spammails zu versenden, oder D-Dos Attacken auszuführen.

Nicht nur Fernseher sind in grösster Gefahr. Jedes Gerät welches am Internet hängt ist ein potentielles Ziel. Haushaltsgeräte sind auch nicht viel besser geschützt. Die meisten Geräte verfügen nur über einen 4 Stelligen Zahlencode. Wenn überhaupt. Gewisse Geräte haben einen Code welcher vom Benützer nicht gewechselt werden kann. Der Standardcode steht jeweils in der Anleitung, welche ohne Problem aus dem Internet downloadet werden kann.

Auch diverse Router Hersteller haben sehr viel Humor. Sie verwenden ebenfalls als Standardadminpasswort ein 4 Stelliges Zahlenpasswort, welches nicht vom Benützer geändert werden kann. Zudem ist Standardmässig der SSH Port übers Internet erreichbar. Das ist sowas wie eine Einladung an alle Hacker: „Bitte Hackt mich…“ Die einzige Möglichkeit, welches der Besitzer hat ist der SSH Port von aussen zu sperren. Dies geht natürlich nur wenn auch der Besitzer merkt dass der SSH Port von aussen offen ist.

Viele Leute fragen sich wieso die Sicherheit nicht so einen Stellenwert bei den Geräten hat. Die Antwort ist ganz einfach: Die Hersteller haben sehr wenig bzw. keine Erfahrungen mit dem Internet. Sie integrieren in ihre Produkte ein paar Module, welche nicht einmal von den Firmen selber hergestellt wurden. Das führt öfters dazu dass der Hersteller nicht mal weiss, welche Sicherheitslücken das Produkt aufweist. Da das Produkt auch meistens nur einen Zweck unterstehet. Ist dem Hersteller auch nicht so ganz bewusst, welche Gefahren das Produkt hat. Eine Kaffeemaschine ist dazu da um Kaffee herzustellen, denen kommt es nie in den Sinn, dass ein Hacker die Kaffeemaschine dazu verwendet um Spammails zu versenden oder zum Einbrechen in andere Systeme verwendet wird.

Als Benützer kann man gegen die Sicherheitslücken sehr wenig machen, ausser zu sehen dass man von aussen nicht auf die Geräte zugreifen kann. Ist leider nicht immer so einfach möglich, da gewisse Geräte eine Verbindung nach aussen halten müssen.
Eigentlich, ist  bis jetzt da der Gesetzgeber und die Industrie gefordert, sichere Geräte in den Umlauf zu bringen. Leider ist da bis jetzt noch nicht viel geschehen. Bei den Geräten welche übers Internet erreichbar sind müssen Passwörter Zahlen Buchstaben Sonderzeichen mit mind. 8 Buchstaben verfügbar sein. Die Passwörter müssen für den Benützer einfach zu wechseln sein. Es sollten Sperren bei mehrfach falsch eingegebenen Passwörter vorhanden sein.

Die Besitzer können nur diese Geräte vom Netz nehmen.

Ein anderes grosses Problem sind ebenfalls Netzwerkkameras. Diese haben sind über Jahrzehnte im Netzt. Leider ist es so dass nach 1 bis 2 Jahren keine Updates mehr für die Kameras vorhanden sind. Dies gilt übrigens für alle Geräte der Haushalts und Consumerelectronic. Dies ist im Bereich Internet sehr gefährlich, da sehr viele Lücken oder Fehler erst später ans Licht kommen. Wenn diese nicht geschlossen werden, dann sind diese Lücken für immer vorhanden.

Da ist der Gesetzgeber gefragt, da er die Hersteller verpflichtet über den Zeitraum der Lebenszeit der Geräte immer mit kostenlose Sicherheitsupdates zu versorgen. Wenn dies nicht geschehen wird, werden wir in ein paar Jahren grosse Probleme mit unseren Geräten haben.

2024 soll das UKW in der Schweiz verschwinden.

In 7 Jahren sollen auch die UKW Radios geschichte sein. Bis zu diesem Zeitpunkt sollen in der Schweiz alle UKW Radiofrequenzen gestrichen werden. Alle Nationalen und Regionalen Radiostationen werden dann nur noch Digital in DAB+ oder übers Internet übertragen.

Was hat das für die Komsumenten für Konsequenzen.

Zu diesem Zeitpunkt hört man auf den normalen UKW Radios nur noch ein Rauschen. Es ist möglich das noch einige ausländische Sender empfangbar sind.

Wer weiterhin Radio hören will braucht entweder ein DAB+ Radio oder ein Empfangsgerät das über Internet Streams wiedergeben kann.

Wer jedoch am Kabelnetzt hängt kann nicht jedes DAB+ Radio verwenden. Die normalen DAB+ Radio verwenden Frequenzen von 174 – 240 Mhz.

Die Cablecom verwendet jedoch die Frequenzen 252 – 260 MHz

Also müssen fürs Kabelnetz Radios verwendet werden, welche einen höhren Frequenzraum unterstützen. Die unteren Frequenzen benötigt die Cablecom für den Upstream ihres Internet.

 

Der DAB+ Standard hatte es von Anfang an Schweer. Der Hauptgrund ist da sich der Standard schon mehrfach geändert hat. Das ursprüngliche DAB hatte so grosse Mängel und Schwächen da es nach einigen Jahren vom DAB+ abgelöst wurde, welches nicht abwärs kompartibel ist. Das ist natürlich für einen neuen Standard auch nicht umbedingt förderlich. Die meisten User wollen nicht alle 5 Jahre ihre Geräte austauschen müssen. Zudem war das UKW obwohl es immer Analog ausgestrahlt wurde qualtitativ sehr gut. Man kann das UKW sehr oft auch noch im Keller oder in Tunnels empfangen, obwohl es dort sehr oft rauscht.

Beim DAB+ sieht es da anders aus wenn in Kellern und Tunnels ist oft Sendepause, da vor allem in den Tunnels die Umsetzer für DAB+ noch sehr oft fehlen.

Das ist auch der Grund das der Bundesrat beschlossen hat die Notfallalamierung weiterhin auf UKW zu betreiben. Kurzfristig mag die Rechnung aufgehen. Mittelfristig, ist diese Idee eine „Schnapsidee“. Wenn das UKW eingestellt wird werden die meisten Leute Ihre UKW Radios durch neue Radios entweder DAB+ oder Internet ersetzten. Heute haben die DAB+ Radios auch noch UKW drin. Dies wird nach der Abschaltung nicht mehr so sein. Die 5 – 10 Dolar mehr Produktionskosten werden sich da nicht mehr rechnen lassen.

Zudem wenn die Leute nur noch die Radios in DAB+ oder Internet betreiben, weden die meisten nach einiger Zeit nicht mehr wissen wie man diese in den Analogen Betrieb umstellt. Zudem wer weiss auf welcher Frequenz der Bund die Notmeldungen überträgt.

In der Praxis wird es so aussehen, dass niemand mehr diese Mitteilungen mitbekommt.

Die andere Frage ist wird sich DAB+ wirklich durchsetzten. Das Problem ist man braucht neue Hardware. Bei den meisten neuen Autos lässt sich so ein Radio nur Schweer und teuer Nachrüsten.  Wenn man ihn nachrüstet stellt sich die Frage soll man ein DAB+ fähiges oder Internet fähriges Radio kaufen.

Die Internetfähigen haben den Vorteil, dass sie das Tausendfache an Programmen anbieten als DAB+. Der Nachteil ist, wie der Name sagt braucht man Internet. Aber in Zukunft wird es sicherlich für Autoradios auch kostengünstige Internetabos geben, die für Radio und Navigationssysteme verwendet werden können. Zudem wird die Versorgung mit dem Internet auch immer weiter ausgebaut. Zudem werden die modernen Autos in Zukunft ohne Internet sowieso nicht mehr auskommen.

 

Achtung vor Fake Swisscom Rechnung

Zur Zeit werden viele dieser Fake Swisscom Rechnungen verschickt:

Wenn man auf den Link Rechnung einsehen klickt. Wird ein Trojaner runtergeladen, welcher beim E-Banking Zahlungen auslösen kann. Theoretisch ist diverses anderes auch möglich.

Diese Rechnung sieht der Oringal E-Mailrechnung recht ähnlich. Die wichtigsten Merkmale sind, dass auf der Rechnung keine Telefonnummer vorhanden ist.

Zur Zeit wird diese Mail über einen amerikanischen Grossprovider verschickt. Der Provider ist dafür berüchtigt, dass er öfters gehackt wird und massenweise Spam und Maleware verschickt.

Dort wird:

steht im Einführungstest:

Ihre Swisscom Rechnung – zu Rechnungskonto 044 555 55 55 – ist ab sofort im Kundencenter verfügbar. Die Papierrechnung erhalten Sie weiterhin per Post.

Dir Rechnungsadresse stimmt auch nicht. Die Swisscom gibt eine gültige Postanschrift an.

Zugunsten von: Swisscom (Schweiz) AG
Alte Tiefenaustrasse 6
CH-3050 Bern

 

Verweist der Link der Swisscom Rechnung immer auf einen www1.swisscom.ch Server. Beim Fake E-Mail kann es irgend einen anderen Server oder IP Adresse sein.

Man sollte solche Rechnungen immer mit Vorsicht behandeln und gegebenfalls lieber eine zu viel löschen.

Preisaufschlag beim Kabelnetzbetreiber Cablecom

Die Cablecom hat trotz Verbot des Preisüberwachers eine gewaltige Preiserhöhung vorgenommen. Dabei hatte der Kabelnetzbetreiber einen kleinen Trick angewendet. Statt die Preise zu erhöhen, reduziert er sein Programm auf dem Analogen Kabelnetz. Dies hat zur Folge dass in den nächsten 5 bis 10 Jahren nur noch die Programme analog ausgestrahlt werden, die die Cabelcom vom Bakom aus muss. Das sind die 6 Schweizer Fernsehnsender und die Lokalsender. Mit grösster Wahrscheinlichkeit werden auch weiterhin die sogenannten Shopping Kanäle frei bleiben. Alle anderen Fernsehsender werden in sogenannten Packeten nur noch Digital verbreitet.
z.B. wenn jemand NTV oder CNN schauen will muss er das News Packet in Zukunft kaufen. Wenn jemand MTV oder VIVA schauen will muss er das Musik Packet kaufen. Das gleiche gillt auch für die bekannten Unterhaltungssender wie RTL und Pro 7. Ofiziell nimmt die Cablecom zu diesen Vorwürfen keine Stellung. Jedoch gibt sie zu einen weiteren Abbau zu machen. Dadurch werden in Zukunft die Kunden gezwungen die digitale Setup Box zu kaufen und die diversen Abonnomente zu mieten. Wenn jemand ein gesammtpacket mieten will, wird ihm das sehr schnell sFr. 100.– bis sFr. 200.– pro Monat kosten. Zur Zeit werden die einzeilen Ausländischen Programme nur noch Digital übertragen. die Türkischen und Spanischen Sender sind bereits aus dem analogen angebot verschwunden. Die nächste Etappe sind die Italienischen und Französischen Programme, danach kommen die Englischen und Deutschen Programme dran.
Deshalb ist jeder jetzt schon gut beraten eine Sat Empfanganlage aufzustellen, diese Anlagen werden immer günstiger und nach den jetztigen Berechnungen, sind diese schon nach 1 bis 2 Jahren amortisiert.

Sicherheitslöcher im Cabelmodem Internet

Nach Informationen des Hacher Club Zürich, hat das Cabelcom Internet diverse Sicherheitslücken. Wie der Hackerclub schon getestet hat kann man mit einfachen Mitteln der Rückkanal des Cabel Internets lahm legen. Dazu benötigt man ein normales handelsübliche CB- 27 Mhz Funkgerät. Mit Hilfe dieses Funkgerätes können genaze Regionen des Kabelinternets lahm gelegt werden. Wie auch der HCZ mitteilte, sind viele der bekannten Störungen auf dem Netz normalen CB und Amateurfunkanlagen zuzuschreiben, da sie ähnliche Frequenzbänder wie der Rückkanal  das Kabelinternet verwenden. Zudem wurden der Redaktion Hackernews noch mehrere Sicherheismängel gemelted die in den nächsten Tagen in der Redaktion Hackernews überprüft und aufbearbeitet werden. Der genaue Ablauf wie die Hacker das Internet lahm gelegt haben, können wir aus rechtlichen Gründen nicht veröffentlichen.
 
Die weiteren Artikel betreffend. Computerverbindung im Kabelnetz, sowie die Abhörsicherheit im Kabelnetz müssen aus rechtlichen Gründen überarbeitet werden.

 

Sicherheitslücken auf dem Microsoft Internet Information Server

Der Microsoft Internet Information Server Version 4 (MS IIS 4) von Microsoft ist nach Apache einer der am weitesten verbreiteten Server im  World Wide Web. Neben den für einen öffentlichen Zugang beabsichtigten Seiten findet man auf vielen dieser Servern  auch Informationen die  eigentlich nicht jedem zugänglich gemacht werden sollten. Solche Informationen lassen sich durch eine im IIS integrierte Funktion mit einem Passwort schützen. Erst wenn sich der Benützer mit seinem ihm zugeteilten Benutzernamen und Passwort identifiziert hat, darf er auf die entsprechenden geschützten Daten zugreifen. Ohne diese Angaben soll niemand Zugriff auf die Daten haben können. So sollte es wenigstens theoretisch sein. Jedenfalls funktioniert diese Methode mit den meisten gängigen Webbrowsern einwandfrei. Microsoft’s Internet Explorer und die Browser von Netscape brechen eine solche Transaktion auch sofort ab, wenn das Passwort nicht korrekt eingegeben wurde. Bei anderen Webbrowsern wie I Browse auf dem Amiga ist dies zum Beispiel nicht der Fall.

Bei diesem Webbrowser wird nach mehrmaligen Abbruch oder Falscheingabe des Passwortes die an sich geschützte Seite angezeigt. Mit etwas Logik und Fingerspitzengefühl kann man sich so eine ganze Verzeichnisstruktur durchkämpfen.

Dies ist ein gravierender Fehler in der Server Software die eigentlich mit der Übertragung der Seiten erst beginnen darf, wenn das Passwort richtig übermittelt worden ist. Offenbar  sendet der Server aber bereits während der Verifizierung der Zugangsberechtigung die geschützten Daten. Gewisse Browser, wie der erwähnte I Browse auf dem
Amiga,  können diese Daten auslesen. Dieser Fehler kann natürlich auch von Hackern ohne Probleme ausgenützt werden.

Für einen Freak ist es ein leichtes ein kleines Programm zu schreiben, dass ganze Datenblöcke von gesicherten Bereichen des Servers kopiert.

Der Administrator sieht im Ereignissprotokoll des Servers aber nur die falsche Passworteingabe. Es liegt auf der Hand, dass diese Fehlfunktion für Firmen, die vertrauliche Daten auf Ihren Servern haben, zu grossen Problemen führen kann. Deshalb können wir zur Zeit nur die Empfehlung abgeben, dass Sie keine vertraulichen Daten auf einem solchen Server der bereitstellen. Wenn Sie dies dennoch machen wollen, sollten Sie die Passwortüberprüfung nicht über die im MS IIS integrierte Funktion sondern über ein Skript in CGI oder Perl machen. Bei unseren Tests benutzten wir Rechner, auf denen Windows NT 4.0 mit Service Pack 3 IE 4.01 und Option Pack 4 installiert ist. Zudem haben wir alle von der Microsoft empfohlenen Bugfixes installiert. Dies hat jedoch nichts genützt. Microsoft selbst war dieser Bug bis jetzt noch nicht bekannt. Uns hat man auf unsere Anregung hin  jedoch versprochen die Angelegenheit zu prüfen. Sobald dort der Fehler lokalisiert ist und dieser sich effektiv als grösserer Fehler erweist, will man einen
Bugfix herauszugeben.

Solche Fehler häufen sich leider immer mehr, was wohl darauf zurück zu führen ist, dass infolge des unerbittlichen Konkurrenzkampfes immer mehr gute Produkte vom Markt verschwinden. Unter diesem Druck werden auch die Erneuerungsphasen zwischen den Softwareversionen immer kleiner und die Chance, einen Fehler in einem breiteren Test
zu finden, schwindet. 

Die neue Chash Card

Nächstes Jahr ist es soweit. Die Schweizer Banken wollen einen weiteren Schritt unternehmen um das Bargeld loszuwerden. Die alten Münzen werden dann bald ausgedient haben. Neu sollen die EC-Karten umfunktioniert werden. Auf diesem Chip werden Sie in Zukunft bis Fr. 300.– speichern können. Dieses Geld können Sie dann zum Zahlen an Apparaten, Kiosken und teilweise auch in Läden benützen. Dieses Geld wird Ihnen dann ohne Identifikation abgebucht. Der Vorteil für die Benützer ist, man braucht nicht immer so viel Kleingeld herumzutragen und hat immer das nötige Kleingeld bei sich. Das Problem vom Wechseln entfällt. Neben den vielen Vorteilen beherbergt diese Karte auch Risiken. Wie bei jeder Karte sind immer wieder Betrüger am werk. Chipkarten sind natürlich einiges sicherer als die herkömmlichen Magnetkarten. Jedoch wenn es um grössere Beträge geht müssten die Sicherheitsmassnahmen verstärkt werden. Das die Chipkarten bis jetzt nicht so schweer zum aufladen sind, zeigt schon die Menge von Sharewareprogramme, die die Telefonkarten der Detuschen Telecom wieder aufladen. Dort ist es sogar möglich eine Karte bis auf DM 999.– oder mehr aufzuladen. In der Schweiz gibt es bereits eine Chipkarte die aufladbar ist. Es handelt sich um die Cinecard, die von diversen Kinoanbieter rausgeben wird. Schon bei dieser Karte hatten die Holländischen Hacker nicht all zu lange gebraucht um sie wieder aufzuladen. Jedoch meinten sie, dass der Aufwand nicht rentiert. Der Anwendungszweck für diese Karte ist gering, dafür, dass man nacher gratis ins Kino kann. Dieses Argument wird dann bei der Cashkarte nicht mehr gelten. Mit einer Karte kann man in kürzester Zeit Waren und Dienstleistungen in den 10’000.– beziehen.

Es ist klar, dass der einzelne Benützer von diesen Methoden nur indirekt betroffen ist. Der einzelne Kartenbesitzer kann so nicht geschädigt werden. Die Geschädigten von solchen Attaken sind höchstens Aperatebesitzer, Banken und Versicherungen geschädigt. Ganz ohne Gefahr ist es für den Kunden natürlich auch nicht ganz ohne Risiken. Früher war es möglich dass ein „Fünfliber“ einfach im Automaten stecken blieb und nicht mehr zurück kam. Dann war das Geld weg. Tja im extremsten Fall konnte man den Besitzer des Automaten herzitieren und um herausgabe des Geldes bitten, das Geld war ja wikrlich noch irgendwo im Automaten. Mit der Chipkarten könnte es durch einen Defekt passieren, dass statt Fr. 1.20 für den Kaugummi einfach auf der Karte Fr. 120.– abgebucht werden. Wenn man dann glück hat wird es richtig auf dem Kontrolstreifen des Automaten mitprotokolliert. Wenn dort aber nur Fr. 1.20 stehen, dann hat man pech gehabt. Dann wird es ein teurer Kaugummi. Solche Fehlabbuchungen sind bei den Telefonkarten der Telecom PTT gang und gebe. Dort handelt es sich in den meisten Fällen nicht um beträge bis Fr. 300.– sondern um maximal Fr. 10.–.

Fazit: Auf das neue Geldsystem werden sich vor allem die Hacker und Informatikstudenten der Uni und ETH freuen. So kommen sie, wenn sie die nötige Software habenm wenigstens noch einige Oeffentliche Zuschüsse auf Ihr Studium.