Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

October 21 2013

Browser Fingerprinting: Warum Cookies deaktivieren nicht reicht

Henning Tillmann hat in seiner Diplomarbeit untersucht, inwiefern Benutzer über ihren Browser Fingerprint (spezifische Merkmale der Systemkonfiguration) bestimmbar sind (wir berichteten). Die Arbeit ist jetzt fertig und in seinem Blog verlinkt (das direkt verlinken lassen wir hier erstmal, der Server macht schon genug mit), dankenswerter Weise auch noch frei lizensiert (CC-BY-SA), und auf die Rohdaten darf man auch zugreifen.

Das Hauptergebnis: Von mehr als 23.000 gesammelten Fingerprints waren rund 93% einzigartig:

Im November und Dezember 2012 sammelte ich über mein Projekt Browser Fingerprinting 23.709 digitale Fingerabdrücke. Die Website ermittelte im Hintergrund – natürlich mit Zustimmung der Nutzer – Informationen über den verwendeten Browser, das genutzte Betriebssystem, Systemfarben, installierte Schriftarten und Plugins, u. v. m. In einer anschließenden Analyse konnte ich zeigen, dass nach einer technisch notwendigen Bereinigung knapp 93% der digitalen Fingerabdrücke in dem Untersuchungszeitraum einzigartig waren.


Strategien gegen Browser Fingerprinting hat übrigens neulich Rene Meissner zusammengestellt. Sein Ergebis:

Die effektivste Methode ist eine Kombination aus dem Löschen von Cache und Cookies, der Verwendung eines verbreiteten User Agent Strings und dem Deaktivieren von JavaScript und PlugIns. Für Sites, die eine solche Funktion erzwingen, verwendet man am besten einen separaten Browser. Ausschalten sollte man auch die Wiederherstellung der alten Tabs. Idealerweise schliesst man auch den Browser und löscht alle Daten bevor man in ein anderes Netz wechselt oder per DSL eine neue IP-Nummer bekommt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 12 2013

PirateBrowser: PirateBay-Gründer stellen Browser zum Umgehen von Zensur vor

The_Pirate_Bay_logo.svgVergangenen Samstag feierte The Pirate Bay ihren zehnten Geburtstag. Anlässlich dieses Jubiläums veröffentliche die Filesharing-Plattform einen eigenes Browserbundle mit dem Titel PirateBrowser. Mit dem PirateBrowser soll es möglich sein, Zensur im Internet zu umgehen, ein Problem von dem The Pirate Bay in einigen Ländern dieser Erde auch selbst betroffen ist.

PirateBrowser besteht aus der portablen Version von Firefox 23, erweitert um einen TOR-Client sowie das Addon FoxyProxy. Zusammen mit weiteren nicht näher spezifizierten Einstellungen sollen so Zensurmaßnahmen im Internet umgangen werden können.

It’s a simple one-click browser that circumvents censorship and blockades and makes the site instantly available and accessible.


Der PirateBrowser hat bereits von Haus aus eine Reihe Lesezeichen gesetzt. Bei den gespeicherten Seiten handelt es sich um Filesharing-Seiten welche in einer Reihe von Ländern aktiv gesperrt werden, darunter The Pirate Bay selbst, sowie KickassTorrents, Bitsnoop und H33T. Die Macher legen großen Wert auf die Feststellung, dass der PirateBrowser nur dazu diene Zensur im Internet zu umgehen, er aber nicht dazu geeigenet sei dem Nutzer anonymes Surfen zu ermöglichen.

Ob der PrivateBrowser nun tatsächlich einen Mehrwert in der Welt der Browser darstellt, scheint fragwürdig. Schließlich wurde keineswegs ein eigenständiger Browser entwickelt, sondern es wurden lediglich frei verfügbare und bekannte Erweiterungen in Firefox 23 integriert, wie es auch jeder Nutzer für sich tun kann. Wer den Browser dennoch einmal ausprobieren möchte, kann sich das Bundle hier herunterladen. Zur Zeit steht der PirateBrowser nur für Windows zur Verfügung. Nach Informationen von Torrentfreak sollen jedoch bald auch Versionen für Mac und Linux folgen. Ebenso wurden dort bereits weitere Projekte angedeutet, unter anderem ein auf Bittorrent basierender Browser, mit dem sich The Pirate Bay und andere Webseite auch lokal speichern und verwalten lassen sollen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

March 28 2012

Digitaler Waffenhandel: Wie Staaten Sicherheitslücken und Exploits kaufen

In den letzten Jahren ist der ehemals schwarze Markt für Sicherheitslücken und Exploits zum Tummelplatz für staatliche Institutionen geworden. Das amerikanische Wirtschaftsmagazin Forbes hat nun eine der sonst nicht gerade öffentlichkeits-geilen Firmen dahinter porträtiert und eine Preisliste für Exploits veröffentlicht.

Mehrere Projekte versuchen, Licht ins Dunkel der digitalen Überwachungsindustrie zu bringen, darunter The Spyfiles von WikiLeaks, Blue cabinet von Telecomix, Bugged Planet von Andy-Müller Maguhn, und der Surveillance Catalog vom Wall Street Journal.

Dabei taucht unter anderem die französische Firma Vupen Security immer wieder auf. Im Gegensatz zum großen Teil dieser Industrie verschließt sich das Team um Firmenchef Chaouki Bekrar nicht komplett vor der Öffentlichkeit. Andy Greenberg präsentierte sie nun in Forbes als Hacker, die Spionen die Tools verkaufen, deinen PC zu cracken (und dabei sechsstellige Beträge verdienen).

Auf der CanSecWest Konferenz in Vancouver Anfang März konnte man bis zu 60.000 US-Dollar gewinnen, wenn man eine unbekannte Lücke in einem der vier großen Browser gefunden und einen Exploit dafür geschrieben hat. Das konnte man entweder direkt bei Google tun, wo man die Lücke sofort ihren Browser Chrome schließen wollte. Oder bei der Zero Day Initiative, wo man das Wissen um die Lücke nicht teilen muss. Das Team von Vupen hat wieder einmal eine Lücke in Chrome gefunden, und sagt Google natürlich nichts darüber. Auch für eine Million Dollar hätte man die Lücke nicht verraten, nur damit die Entwickler sie beseitigen können. Der Grund dafür ist “ganz normal Kapitalismus”: Weil man damit noch viel mehr Geld machen kann.

Statt der Allgemeinheit zu helfen und 60.000 Dollar einzusammeln, verkauft man Wissen dieser Art lieber an den Meistbietenden. Früher war das die organisierte Kriminalität, heute sind das westliche Regierungen. Was die damit wollen? Diese können damit Rechner und Smartphones ihrer Opfer beziehungsweise Bürger infiltrieren, ausspähen, überwachen und fernsteuern. Die bisher gefundenen Staatstrojaner in Deutschland wurden scheinbar noch aufwendig durch nächtliche Einbrüche oder bei Zoll-Kontrollen mit direktem Zugriff auf die Hardware installiert. Das ist umständlich und aufwändig, mit Drive-By-Exploits kann man das auch direkt aus der Ferne machen. Die Hardware dazu kann sich jeder Staat kaufen, der das Geld dazu hat.

Die Preisliste für einen 0-day Exploit gegen die aktuelle Version einer Software hat Forbes auch gleich mitgeliefert:

Kritiker dieser Industrie bezeichnen das als digitalen Waffenhandel. Der Aktivist Christopher Soghoian bezeichnete die gesamte mit Exploits handelnde Industrie als “moderne Händler des Todes“. Da als Resultat dieser digitalen Waffen bereits Menschen gefoltert und ermordet wurden, sicherlich eine treffende Beschreibung.

Die Motivation der technischen Forscher hinter den Lücken mag vielleicht eine intellektuelle und sportliche sein. Dafür gibt es die Hackerethik und verschiedene Veröffentlichungs-Wege von verantwortlich bis voll. Die Motivation der Exploit-verkaufenden Firmen ist aber simpel: Geld. Vupen-Chef Bekrar:

Würden wir ehrenamtlich arbeiten wollen, würden wir Obdachlosen helfen.

Das kann auch die Rüstungsindustrie unterschreiben.

Reposted byreturn13nichimtaktminderleisterRK02mydafsoup-01makrosmisermiser
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl