Skip to content

TextSecure "2"

Sieh mal einer an. Whispersystems, die Cryptobude von Marlinspike, hat pünktlich zur Whatsapp-Deinstall Woche eine neue Version von TextSecure veröffentlicht. Also wenn ich jemandem zutrauen würde, dass sie das was Ordentilches abgeliefert haben, dann unter anderem der Truppe. Müsst ihr aber nicht glauben, könnt ihr nämlich auch selbst gucken. Ich könnte mir vorstellen, dass mal auszuprobieren ... .

update:

Jetzt auch bei heise ...

Telegram

Was ist eigentlich von diesem Telegram zu halten, von dem man im Moment so viel hört? Für die Leute die bisher nichts davon gehört haben: das ist die nächste digitale gated Nachrichtenaustauschcommunity. Die Antwort nach der Sinnhaftigkeit muss man bei geschlossenen Systemen eigentlich gar nicht stellen, aber die nach der Sicherheit findet sich wie so oft beim Herrn Marlinspike.

Ich werde ja nicht müde zu betonen, dass es erprobte und für jedermann frei zugängliche Systeme seit Jahren gibt. Man muss sie nur nutzen. Das hat sich inzwischen sogar bis spon herumgesprochen.

The real Dade Murphy

Naja vielleicht nicht ganz, aber auch keine ganz schlechte Leistung, die der Kleine da abgeliefert hat. :-)


PS: Ein weiteres interessantes Hackers Fundstück.

ICQ und Russenpornospam

Ich werde den Eindruck nicht los, dass seit ICQ an die Russen verkauft worden ist, ich zugeschmissen werde mit Kontaktanfragen russicher Pornobots. Das war im April und seit Mitte 2010 ist das deutlich schlimmer geworden als davor. Würde also passen. Ich kriege auch nur noch Spam von den Russen, früher waren da auch mal andere Sachen bei. Hat da vielleicht jemand ein Refinanzierungsmodell entdeckt?

Bei AOL war ja schon schlimm was mit den Daten passiert ist die so über das Netzwerk gelaufen sind, was die Russen damit machen will ich mir garnicht erst ausdenken.

Ich überlege jetzt zwei Dinge zu tun:

  1. Alle IDs über ~300000000 blocken
  2. Auto-Reply für ICQ mit meinen Jabber Kontaktdaten
Mal gucken ob Pidgin das kann.

Studivz und IP Adressen

Wenn sonst nix mehr hilft, dann überfordert man seine User. In den Studivz-Konteneinstellungen steht neuerdings (?) auf der ersten Seite eine Liste der letzten 20 IP Adressen von denen aus ein Login in das Konto erfolgte. Die User werden dazu angehalten, ihre Adressen zu verifizieren:

Falls die gezeigte IP-Adresse von Deiner gewohnten IP-Adresse abweicht, solltest Du überlegen, ob Du zu diesem Zeitpunkt einen anderen Computer genutzt hast oder ob sich unter Umständen eine fremde Person Zugang zu Deinem Profil verschafft hat

SRSLY? Gerade in Deutschland, wo ISPs sooo gerne feste IP Adressen verteilen ..., wo es an jeder Ecke ein WLAN gibt, in einer Welt in der jedes 1,5te Handy online ist und in der Schulen, Unis, Bibliotheken, etc. Räume voll mit öffentlich zugänglichen Computern besitzen, da verlangt Studivz, dass man seine Logins im Auge behält. Lächerlich. Gut, dass die Studivz Betreiber in ihrer FAQ zu dem gleichen Schluss kommen:

Im Gegensatz zu Postadressen sind IP-Adressen aber nicht an einen bestimmten Computer gebunden und werden häufig nur vorübergehend vergeben.

m(

Adobe Reader 0-Day

Da hole ich mir gestern nach ich weiß nicht wie vielen Jahren wieder ein Adobe Produkt auf die Platte, weil ich ein paar PDFs habe die in allem was die Ubuntu Paketverwaltung hergibt kacke aussehen. Ich ziehe also ~70MB von einem schneckenlahmen Server, kaue mir dabei ein paar Nägel ab und dann sowas:  (09.09.2010) - Adobe warnt vor Zero-Day-Lücke in Reader und Acrobat

Abgesehen von dem reinen Nachrichtenwert, musste ich aber doch ein bisschen über den heise Artikel schmunzeln

Dennoch haben offenbar viele Antivirenhersteller bereits eine Signatur für den neuen PDF-Trojaner bereitgestellt – nicht zuletzt aufgrund der guten und schnellen Kommunikation zwischen AV-Herstellern sowie unabhängigen Sicherheitsspezialisten und Malware-Analysten.

Piep, piep, piep, wir ha'm uns alle liep. Das ist wie bei den Feuerwehrleuten die Brände legen ... .

Da der Adobe Reader aufgrund seiner vielen Lücken seit Jahren im Visier von Kriminellen ist, will der Hersteller sein Produkt in einer kommenden Version durch den Einbau einer Sandbox aus der Schusslinie bringen.

Süß ... fragt mal jemanden der davon Ahnung hat (nicht mich) wie zuverlässig sowas in der Vergangenheit funktioniert hat. Außerdem riecht das irgendwie als würden sie vor lauter Unfähigkeit keine andere Option mehr haben.