Die wunderbare Welt von Isotopp

GPL V3 RC3 - Was steht drin?

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - April 2, 2007

Die GPL V3 ist sehr einfach zu lesen - wenn man wissen will, was drin steht, muss man lediglich die Präambel lesen, die in sehr klaren Worten und ohne juristisches Blafasel genau erklärt, was die Ziele und Methoden der GPL V3 sind und wieso sie Lizenz so aussieht wie sie aussieht. Der dritte Entwurf der GPL V3 ist nun fertig und wird weit besser aufgenommen als der zweite Entwurf .

Die Idee der GPL ist die Schaffung eines geschützten Raums, in dem kooperiert werden kann. Das bedeutet, daß die GPL einem Nutzer dieser Lizenz bestimmte Rechte gibt und Zusatzbestimmungen einführt, deren Ziel es ist, dafür zu sorgen, daß diese Rechte immer für jeden gelten, der sich den Bestimmungen der GPL unterwirft. Die Idee ist es, Software aus dem GPL Pool nutzen zu können, im Gegenzug aber die Nutzer dieser Software dazu zu verpflichten, die Dinge, die sie mit dieser Software bauen allen anderen Nutzern dieses Pools unter denselben Bedingungen zur Verfügung zu stellen.

Parameterdeklarationen für Webseiten

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - March 30, 2007

Es ist mal wieder Zeit, sehr alte Hüte rauszukramen. Heute habe ich mir dienstlich eine Datenbank angesehen, die von PHP aus angesprochen wird. Das PHP, das dort verwendet wird, ist sehr loses PHP, also ohne die Verwendung eines großartiges Frameworks geschrieben. Entsprechend bin ich quasi sofort über SQL-Injections und XSS gefallen.

Denn schon nach kurzem Suchen findet man Code wie den folgenden:

$theValue = $_REQUEST['theValue'];
...
if ($theValue != "") {
  $where .= " where theColumn = '$theValue'";
}

Eigentlich hat der betrachtete Code eine cleanup()-Funktion, die für jeden Wert aufgerufen werden soll, und die nicht nur den Typ des Wertes deklariert, sondern auch das notwendige Escapen der Werte “in place” vornimmt.

Warum alle meine Texte frei im Netz zu lesen sind

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - March 18, 2007

Die Süddeutsche Zeitung hat einen etwas unklaren Artikel mit dem Titel Internet: Ende der Kultur? . Dort beklagt man einerseits die Kultur des Kopierens im Internet und sieht das Ende der abendländischen Zivilisation durch Raubkopieren heraufdämmern. Zugleich beklagt man aber das viel zu restriktive Copyright-Regime der letzten Jahre, das die Privatkopie zwar nominell erlaubt, aber die Umgehung technischer Schutzmechanismen verbietet. Am Ende ist der Artikel aber kaum mehr als eine recht undifferenzierte Plagiierung der Propaganda der Medienindustrie - die Kommentare zum Artikel sind jedenfalls um vieles spannender als der Artikel selber.

Das generelle Mißverständnis beim Bundestrojaner

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - March 12, 2007

Eine Million Leute fragen nach technischen Interviews zum Thema Bundestrojaner. Nichts könnte irrelevanter sein.

Irssi: Starting query with J I> Was denn??

J> Kennst Du Leute, die sich gerne qualifiziert abwertend ueber Bundestrojaner und technische Machbarkeit aeussern wuerden?

I> nein.

I> X vielleicht, Y von Y.org vielleicht.

J> Daneben, falls moeglich wen, der weiss, was man so zur Terroristenfahndung bei deutschen Behoerden im Internet macht. Der Z hatte einen Kontakt beim BKA, der will aber verstaendlicherweise nicht. Ok, den Herrn X koennte ich da mal anfragen, gute Sache.

Bundestrojaner, Sina-Boxen und Mailüberwachung

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - March 11, 2007

Der Artikel Der Bundestrojaner durchdekliniert hat, wenn man nach den Trackbacks und den Kommentaren geht, einiges Echo hervorgerufen.

Einige der derzeit kursierenden Kommentare und Theorien zum Bundestrojaner sind aber Unsinn und ich bin in der Position, das vielleicht ein wenig gerade zu ziehen. So heißt es erstmals bei Telepolis: Heimliche Online-Durchsuchungen sind möglich :

Denn der Staat hat bereits eine vollständige Infrastruktur für Man-In-The-Middle-Angriffe auf jegliche elektronische Telekommunikation: die [extern] SINA-Boxen bzw. IMS (Interception Management Systems). Diese Geräte muss ein jeder größerer Provider in seinem Netz installiert haben, dazu verpflichtet ihn die TKÜV. Denn über diese Geräte ist die [extern] Möglichkeit des Abhörens jeglicher Telekommunikation implementiert. SINA-Boxen ließen sich ohne großen Aufwand zu weiteren Zwecken umbauen.

Vertrauensvorschuß

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - March 11, 2007

Soll ich meiner Regierung, meinem Staat vertrauen, daß er seine investigativen Möglichkeiten lediglich zu meinem Schutz und nicht zu meiner Ausforschung einsetzt? Die Süddeutsche schreibt in “Der Staat zieht seine Bürger aus ”:

Als vor fünfzehn Jahren die politische Kampagne zur Einführung des großen Lauschangriffs begann, warb der damalige Präsident des Bundeskriminalamts dafür, der Polizei nicht nur diesen Lauschangriff zu gestatten, sondern ihr auch “einen gewissen Vertrauensvorschuss” zu geben. Dieser Vertrauensvorschuss sollte an die Stelle des Rechtsschutzes treten - denn der Lauschangriff war und ist eine heimliche Angelegenheit: Wenn Wanzen in der Wohnung platziert werden, ohne dass der Bewohner davon erfährt, dann kann er sich nicht juristisch dagegen wehren. Daher meinte der BKA-Präsident: “Der Bürger darf das Zutrauen haben, dass der Rechtsgebrauch in einem rechtsakzeptablen Rahmen geschieht.”

Der Bundestrojaner durchdekliniert

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - February 26, 2007

Ich wollte nix dazu schreiben, weil ich mich dann wieder so aufrege. Aber es geht einfach nicht. Also zwischen Tür und Angel wegen Frattini und Beckstein jetzt doch der isotoppische Endartikel zum Bundestrojaner.

Der Sachverhalt

Meine Regierung erklärt mir und jedem anderen Bürger also das Mißtrauen. Der Rattenschwanz von Artikeln am Ende der Meldung zeigt das sehr deutlich.

Wenn ich über das Thema nachdenke, wird auch sehr deutlich, daß ich meiner Regierung das Mißtrauen aussprechen muß.

Flames - Kommunikationszusammenbrüche im Netz

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - February 11, 2007

Vergangenen Donnerstag habe ich den Vortrag “Flames - Kommunikationszusammenbrüche im Netz” für den CCC Stuttgart gehalten. Hier sind die Slides und ein Youtube Video von einer späteren Aufführung des Vortrages.

Der Vortrag basiert auf den Kommunikationserfahrungen, die ich mit einigen Freunden im USENET in verschiedenen Foren gemacht habe. Aber ich denke, daß die Erkenntnisse hier auf mehr als eine Weise auch auf andere Umgebungen übertragbar sind.

Was ist eine Flame?

Fertig gelesen: You Suck

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - February 10, 2007

Will sagen, nach Bloodsucking Fiends hab ich jetzt mal eben You Suck weggehauen. “For my readers, by request” schreibt Christopher Moore in seine Widmung, und in der Tat hat er sich Mühe gegeben - “You Suck” setzt glorios fort, was “Bloodsucking Fiends” begonnen hat.

Die Hälfte des Buches besteht aus Tagebucheinträgen von Abby Normal, 16 Jahre alt, Goth Chick, und stolz darauf, ihrem Dunklen Lord und seiner Countess zur Hand gehen zu dürfen. Abby ist nicht auf den Mund gefallen, was die beiden Cops aus dem ersten Teil gar nicht gut bekommt.

Fertig gelesen: Bloodsucking Fiends

Avatar of @isotopp@infosec.exchange Kristian Köhntopp - February 6, 2007

Bloodsucking Fiends Gelangweilter 800 Jahre alter Supervampir beißt irischstämmige amerikanische Versicherungsangestellte mit mangelndem Selbstbewusstsein, die kurz vor ihrer Midlife-Crisis steht - und erschafft ein Monster. Aber Christopher Moore bleibt nicht bei einem Erzählstrang. Gleich Douglas Adams lässt er seine Geschichten in kleine Seiten- und Abseitenlinien laufen, getreu dem Motto: Lieber einen guten Freund verlieren, als eine gute Pointe auszulassen. Zur Dekoration klebt er eine Reihe von Filmzitaten und Popkultur-Referenzen mit in die Story rein, einfach, weil es zu schade wäre, es nicht zu tun. Mein Favorit: Die Gefängnisszene. Tommy, Vampir-Jodies neuer Freund oder Ghoul, er weiß es nicht so genau, sitzt aus Gründen, die hier zu erklären zu weit führen würden, im Knast. > Tommy guessed the temperature in the cell to be about sixty-five, but even so, his cellmate, the six-foot-five, two-hundred-fifty-pound, unshaven, unbathed, one-eyed psychopath with the Disney-character tattoos, was dripping with sweat. > > Maybe, Tommy thought, as he cowered in the corner behind the toilet, it’s warmer up there on the bunk. > Or maybe it’s hard work trying to stare at someone menacingly, without blinking, for six hours when you have ony one eye. > > “I hate you”, said One-Eye. > “Sorry”, said Tommy. > One-Eye stood up and flexed his biceps; Micky and Goofy bulged angrily. > “Are you making fun of me?” > Tommy didn’t want to say anything, so he shook his head violently, trying to make sure that nothing remotely resembling a smile crossed his face. > > One-Eye sat down on the bunk and resumed menacing. “What are you in for?” > “Nothing”, Tommy said. “I didn’t do anything.” > “Don’t fuck with me, ass-wipe. What were you arrested for?” > > Tommy fidgeted, trying to work his way into the cinder-block wall. > “Well, I put my girlfriend in the freezer, but I don’t think that’s a crime.” > One-Eye, for the first time he’d been put in the cell, smiled. “Me either. You didn’t use an assault weapon, did you?” > “Nope, a Sears frost-free.” > “Oh, good; they’re really tough on crimes with assault weapons.” > > “So,” Tommy says, venturing an inch out of the corner, “what are you in for?” Thinking baby-stomping, thinking cannibalism, thinking fast-food massacre. > One-Eye hung his head. “Copyright infringement.” > > “You’re kidding?” > One-Eye frowned. > Tommy slid back into his corner, adding, “Really? That’s bad.” > > One-Eye pulled of his ratty T-shirt. > The seven dwarfs danced across his massive chest between knife and bullet scars. > On his stomach, Snow White and Cinderella were locked in a frothy embrace of mutual muffin munching. > “Yeah, I made the mistake of walking around without a shirt. > A Disney executive who was up here on vacation saw me down be the wharf. > He called their legal pit bulls.” > > Tommy shook his head in sympathy. > “I didn’t know they put you in jail for copyright infringement.” > “Well, they don’t, really. It was when I ripped the guy’s shoulder out of their sockets that the police got involved.” > “That’s not a crime, either, is it?” > One-Eye rubbed his temples as if it was excruciating to remember. “It was in front of his kids.” > “Oh,” Tommy said. > > “Flood, on your feet,” a guard said from the cell door. > Inspector Nick Cavuto stood behind him. > “C’mon, cutie,” Cavuto said. “We’re going for a last walk.”