Wednesday, May 7. 2008OpenStreetMap im Spiegel
Wir (OpenStreetMap-Lokalteam Murrhardt/Sulzbach) hatten gestern Besuch vom Spiegel. Zwei sehr engagierte Journalisten begleiteten uns bei einer Mapping-Tour.
Um den Mapper-Erfolgseffekt möglichst gut darzustellen, suchten wir uns einen Ort, in dem noch fast nichts gemappt war (Kaisersbach). Das Ergebnis kann man dann hier bewundern. Ich hab ein recht gutes Gefühl, Interesse und Kompetenz schien vorhanden, es wurden nicht die üblichen »dummen« Fragen gestellt (»Warum macht ihr das, Google Maps ist doch auch kostenlos?«) und es war eine sehr angenehme Atmosphäre. Wann der Artikel erscheint wissen wir noch nicht, werde ich dann rechtzeitig mitteilen. Tuesday, April 29. 2008Hash-collissions in real world scenarios
I just read an article about the recent wordpress vulnerability (if you're running wordpress, please update to 2.5.1 NOW), one point raised my attention: The attack uses MD5-collisions.
I wrote some articles about hash collisions a while back. Short introduction: A cryptographic hash-function is a function where you can put in any data and you'll get a unique, fixed-size value. »unique« in this case scenario means that it's very hard to calculate two different strings matching to the same hash value. If you can do that, the function should be considered broken. The MD5 function got broken some years back (2004) and it's more or less a question of time when the same will happen to SHA1. There have been scientific results claiming that an attacker with enough money could easily create a supercomputer able to create collisions on SHA1. The evil thing is: Due to the design of both functions, if you have one collision, you can create many more easily. Although those facts are well known, SHA1 is still widely used (just have a look at your SSL connections or at the way the PGP web of trust works) and MD5 isn't dead either. The fact that a well-known piece of software got issues depending on hash collisions should raise attention. Pretty much all security considerations on cryptographic protocols rely on the collision resistance of hash functions. The NIST plans to define new hash functions until 2012, until then it's probably a safe choice to stick with SHA256 or SHA512.
Posted by Hanno Böck
in Code, Cryptography, English, Security
at
21:44
| Comments (3)
| Trackbacks (0)
Wednesday, April 23. 2008Free software for your canon camera (CHDK)
I own this Canon IXUS 50 camera for more than two years now. It's a fine device, but it has some small lacking features where I often asked myself if this could be enhanced with a new firmware.
Until recently, when I read about the CHDK project: It's a kind of firmware enhancements for Canon cameras. It doesn't fully replace the real firmware, but adds additional stuff (I must say I don't fully understand what they do). And now they have an experimental port for the SD400, which is built into my cam. The first big killerfeature one will notice is that the cam now has a battery monitor, which is the most obvious lacking feature of the original firmware. One more thing I always would've liked for my cam is a better video compression. The video quality is quite good, but the cam just can do mjpeg, which leads to big files and limits your maximum video size to about 20 minutes. It seems CHDK has some better compression video mode, but I'll have to dig deeper into it. Beside, I can now record raw images. So there's lot's of cool stuff to play with. Monday, April 21. 2008gajim with otr encryption
In the instant messaging world, encryption is a bit of a problem. There is no single standard that all clients share, mostly two methods of encryption are out there: pgp over jabber (as defined in the xmpp standard) and otr.
Most clients only support either otr (pidgin, adium) or pgp (gajim, psi), for a long time I was looking for a solution where both methods work. psi has otr-patches, but they didn't work when I tried them. kopete also has an otr-plugin, but I've not tested that yet. Today I found that there is an otr-branch of gajim, which is my everyday client, so this would be great. As you can see on the picture, it seems to work on a connection with an ICQ user using pidgin. I've created some ebuilds in my overlay (the code is stored in bazaar, I've copied the bzr eclass from the desktop effects overlay): svn co https://svn.hboeck.de/overlay ping with IDN
Today I asked myself if I can ping an IDN host.
My default ping (iputils on linux) couldn't do it, but I found some patches out there, e.g. from Fedora. Thanks to SpanKY, we now also have IDN-enabled ping in Gentoo (he used a modified patch).
Posted by Hanno Böck
in Computer culture, English, Gentoo, Linux
at
01:26
| Comments (2)
| Trackbacks (0)
Friday, April 18. 2008Kassenzettel
Normalerweise versuche ich aus Datenschutzgründen, nach Möglichkeit mit Bargeld und nicht mit EC-Karte zu bezahlen. Gestern jedoch merkte ich erst im Laden, dass ich viel zu wenig Bargeld bei mir hatte. Also doch mit Karte.
Beim rausgehen warf ich ein Stück überflüssige Verpackung gleich in den Müll und wollte schon mit dem Kassenzettel ebenso verfahren, hielt jedoch kurz inne. Steht da was möglicherweise sensibles drauf? Geschaut, tatsächlich, BLZ, Kontonummer (kein Name, sonst wär's noch problematischer). Ich weiss nicht ob das üblich ist, werde aber in Zukunft darauf achten. Welche möglicherweise spannenden Datensätze man generieren könnte, durch schlichtes Wühlen in den Papierkörben vor großen Geschäften, das überlasse ich der Phantasie meiner Leser. Wednesday, April 16. 2008Richtervorbehalt
Auf telepolis findet man heute einen lesenswerten Artikel zum Thema »Richtervorbehalt«. Aufgegriffen wird darin unter anderem ein Fall, über den gulli vor einiger Zeit schon berichtete, der aber sonst trotz seiner Brisanz kaum Medienpräsenz erhielt: Ein Mensch wurde mit einer Hausdurchsuchung bedacht, weil unter Angabe seiner eMail-Adresse Leistungen genutzt und nicht bezahlt wurden. Es lag nicht der geringste technische Hinweis vor, dass der Inhaber der Mailadresse auch tatsächlich der Schuldige sei. Trotzdem unterschrieb ein Richter den Hausdurchsuchungsbefehl, der Begriff »Rechtsbeugung«, den telepolis hier verwendet, ist wohl treffend.
Das Problem ist nun, dass man in solchen Fällen zwar eigentlich Recht hat, aber dies einem eigentlich nichts nützt. Denn weder der Richter, noch die durchführenden Organe haben in solchen Fällen irgendetwas zu befürchten (»Eine Krähe hackt der anderen kein Auge aus«). Ähnlich ja auch geschehen bei den Massenhausdurchsuchungen im Vorfeld des G8-Gipfels, die zwar anschließend für rechtswidrig erklärt wurden, was jedoch für niemanden Konsequenzen hatte. Desweiteren macht der oben genannte Fall auf eine Problematik aufmerksam, die sich in Zukunft noch verschärfen dürfte (Stichwort »Urheberrechtsnovelle«): Ein Richter wird mit einem Fall betraut, der eigentlich eines gewissen technischen Sachverstandes bedarf, um überhaupt eine adäquate Einschätzung zu geben. Es ist vermutlich zu erwarten, dass die Sensibilität hierfür nicht gerade steigt, wenn es »nur« um den massenhaften Abruf von Verkehrsdaten beim Provider geht, der ja durch die kürzlich verabschiedete Urheberrechtsnovelle ermöglicht werden soll. Bei der Debatte um die diversen Verschärfungen von Sicherheitsgesetzen wird der Richtervorbehalt oft genug als Allheilmittel gegen Mißbrauch angesehen - warum eigentlich?
Posted by Hanno Böck
in Politics
at
12:46
| Comments (3)
| Trackbacks (0)
Defined tags for this entry: datenschutz, hausdurchsuchung, innenpolitik, justiz, privacy, rechtsbeugung, richtervorbehalt
Saturday, April 12. 2008Biobrausen
Ich hatte ja schonmal alternative Biobrausen angetestet, habe in jüngster Zeit ein paar weitere Exemplare einer Geschmacksprobe unterzogen.
Exemplar 1: Bio Drink, käuflich erworben bei ALDI Süd. Das Flaschendesign sieht stark nach Discouter aus, aber ich will hier ja das Getränk testen und nicht das Design. Holunder-Cranberry ist auf dem Foto abgebildet, es gab noch zwei andere Sorten, aber die Flaschen sind schon entsorgt, deswegen weiss ich nicht welche. Schmeckt ganz passabel und nicht zu süß. Empfehlenswert. Exemplar 2: REWE Bio Erfrischungsgetränk, Cranberry getestet, Ananas steht noch im Kühlschrank. Zunächst hier ein Blick auf die Zutatenliste, welche Milchsäure enthält. Das dürfte das Getränk für einen Großteil der potentiellen Kundschaft (vegane Ökos) uninteressant machen. Zum Geschmack: Es schmeckte nichtmal so schlecht, aber irgendwie nicht nach Bio. Süßer als das Original und Geschmack eher künstlich. Mein Fazit: ALDI bislang Testsieger der Discouter-Brausen, REWE dahinter, Maltonade weiterhin Schlusslicht. Disclaimer: Ich werde (leider) nicht von Bionade bezahlt, auch wenn mir das in oben verlinktem Blogeintrag vorgeworfen wurde. Thursday, April 10. 2008Wordpress mass hacks for pagerank
Today heise security brought a news that a growing number of old wordpress installations get's misused by spammers to improve their pagerank. I've more or less waited for something like that, because it's quite obvious: If you have an automated mechanism to use security holes in a popular web application, you can search for them with a search engine (google, the mighty hacktool) and usually it's quite trivial to detect both application and version.
This isn't a wordpress-thing only, this can happen to pretty much every widespread web application. Wordpress had a lot of security issues recently and is very widespread, so it's an obvious choice. But other incidents like this will follow and future ones probably will affect more different web applications. The conclusion is quite simple: If you're installing a web application yourself, you are responsible for it! You need to look for security updates and you need to install them, else you might be responsible for spammers actions. And there's no »nobody is interested in my little blog«-excuse, as these are not attacks against an individual page, but mass attacks. For administrators, I wrote a little tool a while back, where I had such incidents in mind: freewvs, it checks locally on the filesystem for web applications and knows about vulnerabilities, so it'll tell you which web applications need updates. It already detects a whole bunch of apps, while more is always better and if you'd like to help, I'd gladly accept patches for more applications (the format is quite simple). With it, server administrators can check the webroots of thier users and nag them if they have outdated cruft laying around.
Posted by Hanno Böck
in Computer culture, English, Linux, Security
at
02:44
| Comment (1)
| Trackbacks (0)
Tuesday, April 8. 2008Monsanto, Burson Marsteller und ein »Wissenschaftlerkreis Grüne Gentechnik e. V.«
Für meine geneigten Leser, denen die Firma Burson Marsteller kein Begriff ist: Burson Marsteller bezeichnet sich selbst als »zu den führenden Public Relations Agenturen und Unternehmensberatungen für Kommunikation« gehörend. Burson Marsteller verkauft Image. Burson Marsteller hat eine illustre Liste von Kunden: Die für die Chemiekatastrophe in Bhopal zuständige Firma »Union Carbide«, den Betreiber des Katastrophen-Atomreaktors von Three Mile Island, die »Global Climate Coalition«, einst prominenteste Stimme der sogenannten Klimaskeptiker oder den nigerianische Diktator Yakubu Gowon [1].
In den 90er Jahren machte ein internes Papier von Burson Marsteller Furore [2], welches an die Öffentlichkeit gelangte. Darin wurden Strategievorschläge für die Durchsetzung der Gentechnologie gemacht. Auftraggeber war die Organisation »EuropaBio«, ein Zusammenschluss diverser Größen der Biotechnologie: Bayer, BASF, Syngenta, Monsanto. Soviel als Hintergrundinformation zu Burson Marsteller. Heute erhielt ich einen Anruf mit der Bitte, ich möge doch recherchieren, ob der »Wissenschaftlerkreis Grüne Gentechnik e. V.« direkt mit Monsanto in Verbindung steht. Es sei jemandem aufgefallen, dass die IP-Adressen ähnlich aussehen. Tatsächlich unterschieden sich die beiden Adressen nur in einer Stelle, verantwortlich für beide: Eine Firma mit Namen »Interactive Dialog«. Besucht man deren Webseite, erscheint sie einem zunächst wie jede gewöhnliche Internetagentur. Erst die Liste der Referenzen bringt dann interessantes zu Tage: Den oben genannten Wissenschaftlerkreis erwähnt man nicht, Monsanto sehr wohl, daneben eine Reihe anderer Firmen im Bereich der sogenannten Biotechnologie. Und eben auch: Burson Marsteller. Zufall? Der »Wissenschaftlerkreis Grüne Gentechnik e. V.« wird geleitet vom Karlsruher Professor Dr. Klaus-Dieter Jany, der als sehr aggressiver Befürworter der grünen Gentechnik gilt und selbst Freisetzungsversuche in Rheinstetten bei Karlsruhe betreibt, ebenso im Vorstand der Verantwortliche für die Freisetzungsversuche im schwäbischen Oberboihingen, Prof. Dr. Andreas Schier. Die Genforscher geben sich gerne als Menschen, die lediglich das beste wollen. Dass sie von ihren Auftraggebern und Unterstützern eher ungern sprechen, mag daran liegen, dass die Firma, die »Agent Orange« produziert hat, nicht in das Bild der falsch verstandenen Weltverbesserer passt. Dass eine Organisation wie der »Wissenschaftlerkreis Grüne Gentechnik e. V.« eine Industriegründung ist, überrascht wenig, mehr schon, dass es so plump geschieht, dass es mit ein bißchen Internetrecherche herauszufinden ist. [1] http://vorort.bund.net/suedlicher-oberrhein/wyhl-vietnam-neue-akw.html [2] http://www.aktionsbuendnis.net/Firmen/Burson%20Marsteller/empfehlu.htm Monday, April 7. 2008Augsburger Allgemeine schreibt über Linux-Infotag
Und erwähnt mich. Zitat:
Hanno Böck, der die freie Geodatenbank Openstreetmap vorstellte, war extra nach Augsburg gereist, da es »hier noch besonders viel zu tun gibt«. Ein Blick auf eine Augsburger Stadtkarte zeigte, was er meint: Einige Straßen sind schon drin, Bahnlinie und Hauptbahnhof auch, sogar Sträßchen wie Kappelberg, Milchberg, Bäckergasse und Hallstraße sind eingezeichnet. Aber wo ist die Maximilianstraße? Der Rathausplatz? Da sieht es doch recht leer aus. Augsburger Allgemeine: Damit der PC mit seinem Nutzer rechnen kann Saturday, April 5. 2008Sexismus im Schwäbischen Tagblatt
Von der Genfeld-Besetzung habe ich ja gestern berichtet. Im Schwäbischen Tagblatt weiss man die Aktion mit einer Kurzmeldung zu würdigen, die mit den Worten endet:
Da die Aktivisten einen Polizeieinsatz befürchten, haben sie eine Konstruktion aus drei Fichtenstämmen aufgestellt, auf dessen Plattform zwei junge Männer Wache halten. Nun halte ich persönlich die Frage, welchen Geschlechts die Menschen auf dem Tripod sind, für eher wenig relevant, jedoch ist dies schlicht und ergreifend falsch. Das mag das Weltbild der Schreiberlinge vom Schwäbischen Tagblatt überfordern, aber sämtliche Menschen, die den Turm »bewachten«, waren dem biologisch weiblichen Geschlecht zuzuordnen. Friday, April 4. 2008Erster Morgen auf dem besetzten Genfeld
Vergangene Nacht wurde in Oberboihingen (nähe Stuttgart, zwischen Wendlingen und Nürtingen) ein Feld der FH Nürtingen besetzt, auf dem in den vergangenen Jahren MON810-Mais von Monsanto angebaut wurde.
Die Stimmung ist gut, die lokale Presse war heute früh gut vertreten. Einige Aktivisten wollen so lange wie notwendig ausharren. In Gießen wird bereits seit einer Woche ebenso ein Feld (dort geht es um Versuche mit Gerste) besetzt, es deutet sich an, dass der Versuch dort abgesagt wird. Verstärkung ist natürlich erwünscht, vom Bahnhof Wendlingen ist das Feld gut zu Fuß erreichbar, heute abend gibt es Vorträge und ab 0:00 Uhr eine Goa-Party auf dem Feld. Meldung mit Wegbeschreibung bei Gendreck Weg Bilder von mir zur freien Verwendung mit Quellenangabe.
Posted by Hanno Böck
in Ecology, Politics
at
13:55
| Comments (2)
| Trackback (1)
Defined tags for this entry: gentechnik, mon810, monsanto, nürtingen, oberboihingen, ökologie, umwelt
Sunday, March 30. 2008Linux-Infotag Augsburg
Gestern war ich auf dem Augsburger Linux-Infotag. Ein kleines, aber feines Linux-Event für den im Moment etwas unterrepräsentierten süddeutschen Raum.
Mein OpenStreetMap-Vortrag wurde von knapp 50 Menschen besucht und lief ganz passabel. Erste Spuren in der bislang etwas vernachlässigten Augsburger Innenstadt sind schon sichtbar (Slides wie üblich hier, aber kaum verändert zum letzten Mal). Am CAcert-Stand war man optimistisch, dass noch (Zitat) »dieses Frühjahr« die Firefox-Integration klappt (aber das habe ich schon oft gehört...), die Freifunker in Augsburg sind nett, PacketRadio und Amateurfunk taugt nicht für Freifunk (due to Gesetz, welches den Content einschränkt) und insgesamt war es ein nettes Event. Ich denke nächstes Mal bin ich wieder dabei. Bilder vom Linux-Infotag Augsburg gibt's hier. Thursday, March 27. 2008Blog-Spam abusing XSS
I got some spam in the comment fields of my blog that raised my interest.
Some sample how they looked like: http://www.unicef.org/voy/search/search.php?q=some+advertising%3Cscript%3Eparent%2elocation%2ereplace%28%22http%3A%2F%2Fgoogle%2ede22%29%3C%2Fscript%3E I've replaced the forwarding URL and the advertising words (cause I don't want to raise interest on spammers pages). I got several similar spam comments the following days all with the same scheme. Using a Cross Site Scripting vulnerability, mostly on pages that might raise trust to forward to a medical selling page. This is probably a good reason why XSS should be fixed, no matter what attack vectors there are. It can always be used by spammers to use your pages fame / authority to advertise their services. Same goes for redirectors or frame injections. Some where already reported at some public place (for the above see here). I've re-reported them all, but got just one reply by a webmaster who fixed it. True reality on the internet today, even webmasters of famous public organizations don't seem to care about internet security. For the record, the others: http://adventisthealth.org/utilities/search.asp?Yider=<script>alert(1)</script> http://www.loc.gov/rr/ElectronicResources/search.php?search_term=<script>alert(1)</script> And thanks to iconfactory, they fixed their XSS.
« previous page
(Page 19 of 57, totaling 846 entries)
» next page
|
About meYou can find my web page with links to my work as a journalist at https://hboeck.de/.
You may also find my newsletter about climate change and decarbonization technologies interesting. Hanno Böck mail: hanno@hboeck.de Hanno on Mastodon Impressum Show tagged entries |