Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 25 2016

Wenn die Funktion zum Hack wird

Seit Samstag, den 23.01.2016, steht der Online-Antrag für die Briefwahlunterlagen zur Kommunalwahl 2016 in Wiesbaden zur Verfügung. Soweit, so gut.

Der CCC Mainz isBSP_Logo_mit_lgt darauf aufmerksam gemacht worden, dass man über das Online-Antrags-Verfahren Adressdaten der Wahlberechtigen finden kann.

Für die Registrierung waren Name und Geburtsdatum nötig. Als Bestätigung des Antrages erhielt man einen Link zu einer PDF-Datei, in der sich Daten aus dem Wählerverzeichnis fanden, die vorher nicht eingegeben werden mussten: Die Adresse (und zusätzliche Vornamen, derer der Wiesbadener Oberbürgermeister zwei hat, die auf Wikipedia nicht vorkommen).

Nach kurzem Gegentest bei anderen Mitgliedern war klar, dass es sich hier um einen fahrlässigen Fehler handelt. Ebenso war es möglich, mehrere Anfragen von der gleichen IP-Adresse kurz hintereinander zu schicken, ohne auf CAPTCHAs oder ähnliches zu stoßen – sodass einer automatisierten Abfrage der Adressdaten aus dem Wählerverzeichnis nichts im Wege gestanden hätte. Ergebnis wäre eine Liste mit Namen, Geburtsdatum und Adresse von allen Wiesbadener Wahlberechtigten.

Für einen Prove of Concept wurde dann für den amtierenden Oberbürgermeister Sven Alfred Horst Gerich eine Briefwahl beantragt. Auch dies funktionierte ohne Hindernisse. OBDer Landesbetrieb AKDB, der das Bürgerservice-Portal betreibt, ist vom TÜV-Süd und vom BSI in Hinblick auf Datensicherheit zertifiziert worden.

 

Wir sehen es kritisch, dass die Webseite offenbar direkten Zugriff auf das Wählerverzeichnis hat und zudem ohne eine ausreichende Authentifizierung die Abfrage fremder Datensätze erlaubt. Dies ist mehr als nur ein „ärgerlicher Fehler“, wie es der stellvertretende Gemeindewahlleiter Rüdiger Wolf gegenüber dem ZDF formulierte. Wir kritisieren den leichtsinnigen Umgang mit den persönlichen Daten der Bürger und weisen darauf hin, dass auch andere Funktionen des Portals nur eine schwache Authentifizierung verlangen.

Adressdaten mögen auf den ersten Blick nicht besonders problematisch klingen. Aber eine Liste mit  Namen, Anschrift und Geburtsdatum sämtlicher Wiesbadener Wahlberechtiger birgt großes Potenzial für Missbrauch.

Desweiteren möchten wir darauf hinweisen, dass zur Zeit noch viel heiklere Daten über die Bürger erfasst werden. Auch wenn sie wahrscheinlich bei kompetenteren Diensten gespeichert werden, als die Wählerverzeichnisse, ist das Missbrauchspotenzial dieses „Datenreichtums“ und damit das Interesse daran ungleich höher.

Hier kann man die aktuell laufende Kampagne „Vorratsdatenspeicherung? Nicht schon wieder!“ unterstützen.

Wenn Sie kein Problem damit haben, dass jeder Ihren Namen, Adresse und Geburtsdatum hat, dann schicken Sie uns die, wir stellen sie online.

 

January 15 2016

Voice Chat (Mumble) für alle

Wir haben uns dazu entschlossen, einen allgemein Verfügbaren Voice-Chat Service für alle anzubieten.

Wir haben uns für Mumble entschieden.

Ihr erreicht den Server in dem ihr euch mit dem Server cccmz.de auf Port 64738 verbindet.

Wir hoffen, euch damit eine einfache und sichere Möglichkeit geschaffen zu haben, um euch schnell koordinieren zu können und Absprachen zu tätigen.

Hier die Beschreibung aus Wikipedia die klar macht warum es Mumble geworden ist:

Funktionen

Die Software realisiert ein klassisches Client-Server-System. Der Client Mumble stellt eine grafische Oberfläche für Unterhaltungen und zur Administration bereit, der Server, der die Bezeichnung „Murmur“ trägt, realisiert das Back-End, über das die Gespräche laufen.

Der offizielle Client läuft unter Windows, Linux und Mac OS X. Für Android und iOS gibt es mehrere alternative Clients (z. B. Plumble). Der Server lässt sich auf beinahe beliebigen Systemen kompilieren und ausführen. Die einzige Voraussetzung ist, dass Qt 4.0 ebenfalls kompiliert werden kann.[1] Allerdings existiert auch ein ressourcensparender Server namens uMurmur, der Qt nicht voraussetzt und vor allem für den Einsatz auf Routern geeignet ist, aber einige Funktionen nicht beherrscht.[2]

Die Software nutzt die freien Audiocodecs Constrained-Energy Lapped Transform (CELT) und Opus[3] der Xiph.Org Foundation. Um Kompatibilität zu älteren Clients zu gewährleisten, wird Speex zum Dekodieren mitgeliefert. Mumble nutzt dabei die Fähigkeiten der Codecs zur Echo- und Rauschunterdrückung.

Weitere Funktionen sind:

  • vollständig verschlüsselter Datenverkehr
  • unterstützt Perfect Forward Secrecy
  • beliebige Erzeugung von Kanälen, die auch verschachtelt sein können
  • ein komplexes Rechtesystem, das auf Gruppen und Regeln basiert
  • Echounterdrückung (nur bei Verwendung von WASAPI auf Windows und PulseAudio auf Linux und wenn sowohl Audioeingabe als auch Audioausgabe dasselbe Soundsystem verwenden)
  • Overlay-Funktion, welche in DirectX 9/10 und OpenGL ein sichtbares Interface über die Benutzer im aktuellen Kanal anzeigen kann
  • Benutzerverwaltung in einer SQLite-Datenbank. Es sind aber auch andere Datenbank-Backends wie MySQL möglich.
  • Ermittlung der Spielerpositionen in manchen Spielen, womit sich Mumble so einrichten lässt, dass Sprachsignale aus Richtung der jeweiligen Avatare im Spiel kommen (sofern das Spiel von Mumble über ein entsprechendes Plug-in verfügt oder nativ unterstützt wird)[4]
  • variable Design-Anpassung des Mumble-Clients anhand von QSS-Skins.[5]
  • Zugriff auf Microsofts Text-to-Speech API und Linux’ Festival oder espeak Sprachsynthesizer, um Systemnachrichten und Text auszugeben
  • verfügbar als Installer für Windows, als Paket für diverse Linux-Distributionen und als Universal Binary für Mac OS X
  • WYSIWYG-Editor für HTML-Textnachrichten
  • Unterstützung für das Display der Logitech-G15-Tastatur
  • automatische Anpassung der Lautstärke des Mikrofons durch Automatic Gain Control
  • Aufnahmefunktion in die Dateiformate WAV, FLAC, Ogg Vorbis und AU. Neben dem Aufnehmen aller sprechenden Benutzer in eine Datei kann für jeden Benutzer eine eigene angelegt werden, das heißt in mehreren Tonspuren aufgenommen werden.

Mumble ist ein cooles Projekt, wenn ihr unseren Dienst mögt könnt ihr gerne direkt an das Projekt spenden. Das geht hier

January 03 2016

Windows is broken!

Wie einige bereits über Twitter mitbekommen haben, wurde am Abend des 2. Januar unser Schaufenster eingetreten. Bevor es zu wilden Verschwörungstheorien kommt:

Nein es war kein Anschlag gegen uns.

Es haben einfach ein paar anscheinend alkoholisierte Personen es für eine gute Idee gehalten, gegen unsere Schaufensterscheibe zu treten.

Das sah dann so aus:

photo_2016-01-03_20-23-13Die anrückenden Sicherheitsbeamten haben auch schnell die Übeltäter gefunden. Also ist erstmal alles gut –

Wäre da nicht noch das Loch in der Ladenfront. Aber wir wären nicht wir, wenn wir das nicht schnell gefixt hätten und um das eine oder andere Feature erweitert.

photo_2016-01-03_20-23-30

photo_2016-01-03_20-24-06 photo_2016-01-03_20-23-36

December 31 2015

Congress Videos

Immer getreu dem Motto:

Der Congress ist erst dann komplett vorbei, wenn ich das letzte Video gesehen habe.

Basteln wir uns ein Script für die Videos:

#!/bin/sh

u="http://cdn.media.ccc.de/congress/2015/h264-hd/"
for t in $(curl "$u?C=M;O=D" | grep -Po '(?

Immer schön minimal bleiben…

Der CCCMZ wünscht gute Genesung falls ihr euch die Congress-Grippe eingefangen habt (die ist nicht nett, deswegen – immer Hände waschen), sowie:

einen guten Rutsch ins Jahr 1984

November 24 2015

Pressemitteilung zum Mailserver-Ausfall im rheinland-pfälzischen Landtag

Wie die Mainzer Allgemeine Zeitung am 12.11. schrieb, fiel für mindestens zwei Tage der Mail-Server des Landtags Rheinland-Pfalz aufgrund eines Fehlers beim Umzug des Servers aus. Wir wollen jetzt gar nicht groß auf den Administratoren rumhacken, die das Ganze garantiert mehr aus Idealismus machen als wegen des Geldes.

Hingegen ist der Umgang mit dieser Ausfallzeit laut Mainzer Allgemeiner Zeitung beängstigend: „Die betroffenen Abgeordneten, Fraktionsmitarbeiter und Landtagsbeschäftigten behalfen sich einstweilen mit privaten Mail-Accounts.“ Die Nutzung der privaten Mailpostfächer für dienstlichen Mailverkehr ist datenschutztechnisch höchst bedenklich. Problematisch ist, dass diese Daten sich der Datenhoheit des Landes entziehen und nun auf privaten und privatwirtschaftlichen Endgeräten und Servern liegen und dort auch mitgelesen werden können. Ein bekanntes Beispiel, was dabei passieren kann, hat erst kürzlich der CIA-Direktor John Brennan geliefert: Dessen privater E-Mail-Account wurde gehackt und die dort befindlichen dienstlichen Informationen wurden veröffentlicht.

Wir fordern den Rheinlandpfälzischen Landtag auf, seine Mitarbeiter dringend zum Thema Datenschutz zu schulen und zu sensibilisieren. Ebenso sollte die Gehaltsstruktur und fachliche Weiterbildung und Qualifikation der IT überdacht werden. Viele qualifizierte Fachkräfte schreckt die Tarifstruktur des Öffentlichen Dienstes ab.

Die Abgeordneten und Beschäftigten des Landes hantieren jeden Tag mit sensiblen und personenbezogenen Daten, darunter auch die Daten der Bürger, die darauf vertrauen müssen, das ihre Daten fachgerecht und sicher verarbeitet und gespeichert werden.

November 06 2015

S/MIME Workshop am 7.11.2015 ab 14:00 Uhr

 

Am 7.11.2015 ab 14:00 Uhr findet in unserem Space ein Workshop zum Thema S/MIME Verschlüsselung statt.

  1. S/MIME Zertifikat erstellen (Nutzung von CAcert dafür)
  2. Kleiner Exkurs: CAcert Assurance (nur kurze Erklärung, wozu das gut ist)
  3. S/MIME Zertifikat mit dem Firefox exportieren (PKCS#12)
  4. S/MIME Zertifikat in den Thunderbird u.A. importieren (PKCS#12)
  5. Schlüsseltausch: Seinem Nachbarn eine S/MIME signierte Mail schicken
  6. Nachbar antwortet mit signierter und verschlüsselter Mail
  7. Andere Mailer: MS Mail, Apple Mail, Evolution, The Bat!, Claws Mail
  8. Webmailer S/MIME pro und con: Am Beispiel mail.cccmz.de
  9. CAcert Assurance

Wer sich CAcert assuren lassen will, bitte Ausweis und 2. Lichtbilddokument mitbringen.

October 26 2015

Linux Presentation Day 14.11.15

 

Am 14.11. Linux kennen lernen

Wir laden alle Interessierten herzlich in unsere Räume, am Sedanplatz 7 ein, um Fragen rund um das Thema Linux zu beantworten. Los gehts ab 13 Uhr.

Was ist dieses Linux eigentlich?

Sie haben schon so manches Mal etwas von Linux gehört, aber Sie wissen nicht so recht, was das ist – außer dass es irgendwie eine Alternative zu Windows ist?

Wenn Sie gern mehr darüber wüssten, was dieses Linux ist und ob das für Sie interessant sein könnte, dann ist der Linux Presentation Day eine passende Veranstaltung für Sie.

Sehen Sie es sich an

Um einen umfassenden Eindruck davon zu bekommen, was es heißt, Linux zu benutzen, brauchen Sie nicht Software zu installieren, die Sie nicht verstehen, oder aufwendig zu recherchieren.

Auf dem Linux Presentation Day können Sie sich Linux auf den für normale (private) Anwender wichtigsten Arbeitsfeldern ansehen und finden Ansprechpartner für die häufigsten Fragen. Der Besuch der Veranstaltung ist kostenlos.

Ein Programm wird hier noch veröffentlicht.

Weitere Infos zur der Veranstaltungsreihe gibt es auf der offiziellen Seite des Linux Presentation Day.

October 03 2015

80 Minuten Freiheit

 

Der CCCMZ gestaltet zusammen mit dem hessischen Staatstheater Wiesbaden das Stück „80 Minuten Freiheit.“
Auf einem Gang durch die Stadt, geleitet und begleitet von Stimmen im Ohr, konfrontieren wir Geschichte, Gegenwart und Zukunft – und uns selbst. Wie frei sind wir wirklich? Für welche Freiheit lohnt es sich zu kämpfen? Und was passiert nach 80 Minuten?

Seid gespannt.

Karten und weitere Infos gibt es hier

Presse Echo:
Wiesbadener Kurrier Video Bericht
Stuz
Sensor Wiesbaden

 

July 05 2015

Weekly Report 2015/21

ithea:
Zusammen mit Benny die Matekalypse abgewendet!<br />... und dabei den alten Tee reaktiviert (mit Warnung!)
Zusammen mit Benny die Matekalypse abgewendet!
… und dabei den alten Tee reaktiviert (mit Warnung!)

May 07 2015

Crypto-Session – Selbsthilfe gegen die Digitale Überwachung

Eine Veranstaltung im Rahmen des Projekts #watch22

Die Enthüllungen zur Überwachung der elektronischen Kommunikation durch ausländische Nachrichtendienste haben ein Ausmaß an Datenspionage offenbart, das viele überrascht hat. Das Internet bietet eine Vielzahl von Diensten, und ihre Nutzung lässt Datensammlungen entstehen. Jeder Klick hinterlässt eine Datenspur, jede Suche einen Eintrag, jeder Post einen Datenschatten. Vielfach werden diese Informationen gespeichert, ausgewertet und zu Nutzungs-, Verhaltens-, Interessens- oder Bewegungsprofilen verdichtet. Nicht nur von Nachrichtendiensten. Rund um Online-Werbung, Kundenbindung und Marketing ist eine ganze Industrie zur Sammlung und Auswertung von Nutzungsdaten entstanden.

Nicht alles soll dabei vertraulich bleiben, manches aber vielleicht doch. Ob unverfänglich oder nicht, spielt dabei keine Rolle. Ausschlaggebend ist der Wunsch der Nutzerinnen und Nutzer nach Vertraulichkeit ihrer Daten.

Wie man sich mit geringem Aufwand schützen kann, zeigt der Datenschutzbeauftragte Rheinland-Pfalz in Zusammenarbeit mit dem Chaos Computer Club Mainz/Wiesbaden im Rahmen des Projekts www.watch22.de in einer „Crypto-Session“. In zwei Workshops wird erläutert, wie sich mit frei erhältlichen Lösungen Daten schützen lassen und der digitale Datenschatten abgeschüttelt werden kann.

Wann Freitag, 22. Mai 2015, 17:00 Uhr Wo Bonifaziusturm A, 22. Stock, Rhabanusstraße 3, 55118 Mainz Was Workshop 1: 17:00 – 18:00 Uhr
“My Eyes Only – E-Mail-Verschlüsselung, Dropbox & Co sicher nutzen” Workshop 2: 18:30 – 19:30 Uhr
“Die gläsernen Nutzer – Datenspuren im Internet”

Die Crypto-Session ist öffentlich und richtet sich an interessierte Bürgerinnen und Bürger. Wer Interesse hat und sein eigenes Laptop/Notebook/Tablet mitbringt, ist eingeladen, einen ersten Blick in die gar nicht so komplizierte Welt des Selbstdatenschutzes zu werfen.

Weitere Informationen und die Möglichkeit der Anmeldung unter
http://s.rlp.de/watch22cryptosession

April 22 2015

Weekly Report 2015/16

spookey:
Eine neue Flyer-Box gefrickelt!
Eine neue Flyer-Box gefrickelt!

March 18 2015

Weekly Report 2015/11

kernelpanic:
Anpassung alter Doormaster an WiringPI library für BananaPI. Entwicklung GPIO Daemon in C für Ansteuerung I2C LCD und Knöpfe "Tür auf/zu"

February 25 2015

Weekly Report 2015/08

kernelpanic:
Alten Hetzner Server genukt
Alten Hetzner Server genukt

February 11 2015

Weekly Report 2015/06

kernelpanic:
Server migriert

December 31 2014

31C3 Nachlese

31c3-banner

Der 31C3 ist zu Ende und diesmal war der CCCMZ e.V. mit einem eigenen Assembly dabei. Es hat allen viel Spaß gemacht und es gab viele Gelegenheiten auch abseits der offiziellen Vorträge sich über Sicherheitsprobleme und andere Dinge auszutauschen.

Im Rahmen von einem Gespräch über Heartbleed sowie Poodle haben wir einmal überprüft, ob die Banken inzwischen(!) etwas gemacht haben. Das Ergebnis war teilweise sehr ernüchternd. Ein gutes Ergebnis konnten die meisten Sparkassen (Online Banking bei der Finanz-Informatik) sowie Volksbanken (Hosting bei Fiducia) vorweisen. Viele Banken, darunter auch einige Sparkassen, die nicht bei der Finanz-Informatik sind, wurden wegen RC4 oder Fehlen von TLSv1.2 von SSLlabs mit einem B Rating abgestraft. Die Postbank war dagegen mit einem Rating F das Schlusslicht, man hält es dort offenbar nicht einmal für nötig, etwas gegen den Poodle Angriff zu unternehmen.

Wir können nur jedem empfehlen, das Online Banking Portal seiner Bank einmal mit SSLlabs zu überprüfen. Wenn  da nicht ein A Rating herauskommt, solltet Ihr Kontakt mit dem IT-Sicherheitsbeauftragten oder der Revision der Bank aufnehmen. Wenn das nicht fruchtet, dann solltet Ihr eine Vorstandsbeschwerde einreichen, ggf. mit CC an die Bafin.

Für Congress@Home war die Assembly Telefonanlage die Hotline für zum Glück nur selten aufgetretene Probleme. Das System wurde häufiger genutzt, Fragen von Besuchern zur Verschlüsselung konnten ebenfalls beantwortet werden.

Wir werden wahrscheinlich auch beim 32C2 dabei sein, Domains für ein Assemby wurden bereits reserviert.

December 26 2014

congress@home 2014

Auch dieses Jahr wieder öffnen wir für den Chaos Communication Congress unseren Hackerspace für die Öffentlichkeit. An den Congresstagen wird der space jeweils ab 11 Uhr geöffnet sein. Es werden Congress-Talks gestreamt, es besteht eine direkte IP-Phone Verbindung zum Eventphone System auf dem Congressgelände und es darf diskutiert und gebastelt werden.

Falls Ihr es nicht zum Congress geschafft habt gibt es also am Sedanplatz 7 die zweitbeste Art die Zeit zwischen den Jahren zu verbringen.

December 13 2014

CCCMZ@31C3

https://events.ccc.de/congress/2014/wiki/skins/fairydust.jpg

Das alljährliche Highlight zum Jahresende, der Chaos Communication Congress, findet dieses Jahr wieder in Hamburg statt. Wie auch in den vergangenen Jahren pilgern viele tausend Hacker und Haecksen zu einer Kombination aus Vorträgen, Workshops, Spaß und Mate.

CCCMZ Assembly

Auf dem 31C3 ist der CCCMZ e.V. diesmal mit einem eigenen Assembly vertreten und es werden einige unserer Aktivitäten gezeigt. Im Rahmen der ganzen Geheimdienst- und Überwachungsaffären spielt Verschlüsselung eine ganz wichtige Rolle.

An Anfänger richten sich die Workshops zu CAcert und Nutzung dieser Zertifikate für die Verschlüsselung von E-Mails. Am Beispiel der Assembly Telefonanlage gibt es einen Eindruck davon, wie mit einfachen Mitteln das Abhören von Telefonaten deutlich erschwert wird. Die Telefonverbindungen innerhalb des Eventphone Netzes erfolgen von unserer Anlage aus verschlüsselt.

Für Fortgeschrittene und Webmaster sind die Beiträge zu DANE interessant, die Lehren aus Diginotar und anderen Totalausfällen des PKI Konzeptes führen unmittelbar zu DANE. Warum teure Zertifikate mit DANE obsolete werden, ist bei unserem Webmaster Workshop zu erfahren.

Auf der Assembly Homepage erscheinen aktuelle Themen und die Dokumentationen der Workshops. Unsere Assembly Homepage ist der Prototyp für den Workshop MediaWiki on Steroids bei dem erklärt wird, wie MediaWiki auch bei hohen Abrufzahlen stabil bleibt .

August 26 2014

Let’s all meet at MRMCD 14 in Darmstadt!

Bis zum Baubeginn auf der “Großbaustelle IT-Security” sind es nur noch zwei Wochen! Wer sich bisher noch nicht dazu durchringen konnte, bei den Bauarbeiten mitzumachen, kann dies nur noch als spontaner Saisonarbeiter. Es wird es die Möglichkeit geben, direkt auf der Baustelle ein Ticket für die MRMCD zu kaufen (“Abendkasse”). Allerdings sind bei diesen Tickets keine Goodies oder Textilien dabei. Konferenztassen können auch nur für Tickets aus dem Vorverkauf garantiert werden.

Die Bauleitung freut sich, dass das Teilbauprojekt “Konferenzprogramm projektieren” erfolgreich beendet werden konnte. Ab sofort findet sich der Bauplan für die MRMCD unter http://fahrplan.mrmcd.net. Die Programmlücken werden sich mit neuen Releases schrittweise durch weitere interessante Programmpunkte füllen.

Der CCCMz wird auf der Baustelle unter Anderem in Form des NOC vertreten sein. Ihm wurde die Zuständigkeit für den Aufbau eines Netzwerkes mit direkter Leitung ins Internet und die dafür nötige kabelgebundene und kabellose Vernetzung der Teilnehmer übertragen. Wir hoffen, das Projekt wie im letzten Jahr erfolgreich zu meistern. Für genug Wumms bei Up- und Downstream ist bereits gesorgt. Der Dank hierfür geht an die man-da.de GmbH in Darmstadt, die uns den nötigen Uplink bereit stellt.

Wir freuen uns, viele von Euch auf den MRMCD 14 zu treffen!

August 20 2014

Weekly Report 2014/33

kernelpanic:
Domain ccc.de komplett auf DNSSEC und TLS Hosts auf DANE umgestellt.

August 16 2014

Bereit für die totale Überwachung?

Am Sonntag werden wir uns im Fnordfunk über die totale Überwachung unterhalten. Vielleicht ist sie ja gar nicht so schlimm?

http://fnordfunk.de/

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl