Foto: Ein Gewitter im Anmarsch

Dieses Foto wurde im April im Rosengarten von Lüdinghausen-Seppenrade aufgenommen, als gerade ein Gewitter über dem Dorf aufzog. Der Himmel verdunkelte sich extrem schnell, bevor die ersten Tropfen fielen…

Foto: Klaus Ahrens, Smartphone Huawei P10, CC BY-SA 4.0

Veröffentlicht unter Allgemeines, Fotografie, Lokales | Verschlagwortet mit , , , , , , , , , , , | Schreib einen Kommentar

Sicherheitslücke verstärkt die Zweifel am Luca-System

Schon wieder haben Sicherheitsforscher neue Probleme in der Luca-App entdeckt. In der Bar mit Luca eingecheckt ? Durch eine weitere Sicherheitslücke konnten auch Unbefugte erfahren, wo sich die Benutzer der App aufhalten.

Wozu dient die Luca-App?

Die Luca-App ist eine mobile Anwendung zur Nachverfolgung von Corona-Kontakten. Die App soll die Anmeldung bei Veranstaltungen, Restaurantbesuchen oder privaten Treffen per QR-Code ermöglichen. Wenn bekannt wird, dass eine teilnehmende Person infiziert war, können die Gesundheitsämter alle zu dieser Zeit angemeldeten Nutzer warnen. Durch eine doppelte Verschlüsselung soll der unberechtigte Zugriff auf die Daten verhindert werden.

Leider werden aber fast täglich neue Probleme mit der App gemeldet, so dass inzwischen Sicherheitsforscher, Datenschützer und auch der CCC schon fordern, diese App nicht länger zu nutzen.

Eigentlich sollte die Luca-App die Kontaktnachverfolgung mit Zetteln und Listen ersetzen. Aber beim Luca-System häuften sich in den vergangenen Wochen Berichte über Programmierfehler, unklare Lizenzvereinbarungen und problematische Datenschutzvorkehrungen. Schon vor Ostern war bekanntgeworden, dass es schwere Mängel bei der Registrierung der Schlüsselanhänger gab. Die konnten nämlich ohne Registrierung genutzt werden und selbst die Freischaltung über eine Transaktionsnummer (TAN) soll mit einer beliebigen sechsstelligen Zahl möglich sein.

Die nächste Sicherheitslücke der problematischen Kontakt-App Luca

Sicherheitsforscher warnten gestern vor einer neu bekannt gewordenen, gravierenden Sicherheitslücke beim Kontaktnachverfolgungssystem Luca. Mit dem Foto eines fremden Schlüsselanhängers, der im Luca-System parallel zur Luca-App verwendet wird, lasse sich mit einfachsten Programmierkenntnissen unbemerkt das Bewegungsprofil des Nutzers auslesen, teilte heute das Team Luca-Track mit.

Die Gruppe forderte die Verantwortlichen jetzt auch dazu auf, über 100.000 schon im Umlauf befindliche Luca-Schlüsselanhänger aus dem Verkehr zu ziehen, um so die Ausnutzung dieser Sicherheitslücke zu verhindern.

Auslesen fremder Luca-Historien über Web-Anwendungen

Laut Luca-Track lassen sich die Registrierungsinformationen der Schlüsselanhänger, die in einem QR-Code gespeichert sind, aus Luca’s  Scanner-Anwendung auslesen. Der Scanner lässt sich über eine Internetseite nutzen, die für Veranstalter bereitgestellt wird und sich in jedem üblichen Browser aufrufen lässt.

„Durch Setzen eines simplen Breakpoints (eines Haltepunkts, der Diagnoseinformationen ausgibt) im Browser lassen sich die Registrierungsinformationen eines beliebigen Schlüsselanhängers problemlos beim Scan auslesen“, erläutern die Sicherheitsforscher von Luca-Track weiter.

Diese Informationen ließen sich über eine Web-App von Luca nach einer simplen Anpassung wieder einspielen. Dadurch zeige die Web-App die komplette vorherige Historie des Nutzers, dessen Registrierungsinformationen abfotografiert wurden. Mit einem Python-Script sei das Aufrufen der Historie sogar noch einfacher möglich, demonstrierte Luca-Track in einem Video.

Was kann man alles von Fremden Accounts auslesen?

Dabei würden genaue Geo-Koordinaten aller registrierten Orte und die Adressen der Check-ins angezeigt, inklusive der genauen Zeit der Check-ins an allen Orten. Die hinterlegten Personendaten konnten dabei nicht direkt extrahiert werden.

Die Behauptung von Luca, nach der „nur das Gesundheitsamt“ die Kontakthistorie anfragen und entschlüsseln könne, treffe deshalb nicht zu. Das Team von Luca-Track empfiehlt genau wie auch der CCC, alle Schlüsselanhänger „fachgerecht zu entsorgen“.

Nach den Angaben der Luca-Betreiber in ihrer FAQ werden die Schlüsselanhänger teilweise von Gemeinden und Landkreisen vertrieben, und von Ende April an sollen sie auch über den Webshop von Luca bestellt werden können.

CCC fordert ein Moratorium und eine Bundesnotbremse

Wegen der anhaltenden massiven Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) schon gestern eine „Bundesnotbremse“ für die Lizenzierung der App durch die Länder„In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt“schrieb der CCC.

Deshalb fordere der CCC „ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs“. Beim Umgang mit den hochsensiblen Gesundheits- und Bewegungsdaten der Benutzer verbiete sich der ländersubventionierte Roll-out ungeprüfter Software im Grunde von selbst.

Inzwischen gaben 13 Bundesländer insgesamt schon fast 20 Millionen Euro für die Lizenzierung der App aus. Die höchsten Gebühren zahlte das Land Bayern mit 5,5 Millionen Euro für eine Jahreslizenz. Mecklenburg-Vorpommern, das als erstes Bundesland einen Vertrag mit dem App-Betreiber Culture4life abgeschlossen hatte, zahlte allerdings nur 440.000 Euro – eine Wellenbrecher-Prämie? Die Hauptstadt Berlin ließ sich die Luca-Lizenz eine Million Euro kosten.

Immer wieder Probleme mit der Luca-App

Rund um die Luca-App tauchten in den vergangenen Tagen immer wieder kleine und größere Probleme und Lücken auf. So kann man sich von beliebigen Orten aus per Luca bei Veranstaltungen einchecken. Notwendig ist dafür lediglich der QR-Code. Ebenfalls sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung beziehungsweise ein Rate-Limiting leicht umgangen werden kann. Dazu reicht es offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen. Das CCC-Mitglied und Teil der AG-Kritis, Manuel Atug alias Honkhase, sammelt seit Tagen derartige Meldungen zu Luca in einem ausführlichen Thread auf Twitter. Inzwischen trug Atug mehr als 250 einzelne Hinweise zusammen.

Zuletzt forderte auch der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung. Das Gesamtsystem der Luca-App steht außerdem bis heute nicht unter Open Source und ist damit auch nicht unabhängig überprüfbar.

Veröffentlicht unter Allgemeines, Fotografie, Mobilgeräte, News, Politik, Programmierung, Recht, Sicherheit, Soziales | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , | Schreib einen Kommentar

Anthropomorphes Design für eine Webcam


Heute bin ich im Internet über eine absonderliche Webcam gestolpert, die Fragen aufwirft. So zum Beispiel die Frage, ob ein technisches Gerät seine Funktion im Design widerspiegeln sollte.

Als Antwort darauf haben Informatiker der Universität des Saarlandes dafür eine Webcam entwickelt, die nicht nur wie ein menschliches Auge aussieht, sondern auch dessen Bewegungen realitätsgetreu imitieren kann.

„Ziel unseres Projektes ist nicht, ein ‚besseres‘ Design für Webcams zu entwickeln, sondern eine Diskussion anzuregen“, sagt Marc Teyssier, der 2020 zum Thema anthropomorphes Design in Paris promoviert hat. „Wir wollen darauf aufmerksam machen, dass wir tagtäglich von wahrnehmenden Geräten umgeben sind. Da stellt sich die Frage, was das mit uns macht.“

Was die Eyecam alles kann

Die vermenschlichte Eyecam kann die typischen, unbewussten Augenbewegungen wie Blinzeln oder das Hochziehen der Augenbrauen realitätsgetreu nachahmen. „Es gibt verschiedene Arten des Sehens, die alle ihre ganz eigenen Konnotationen haben, beispielsweise kann man etwas betrachten oder nur erkennen oder aber genau beobachten und ausspionieren“, erläutert ein Team-Mitglied.

Die Eyecam könne auch durch Mimik nonverbale Signale senden. Das eröffne eine neue Interaktionsebene, die es in technischen Geräten bisher nicht gegeben hat.

Alle Webcams seien ein potenzielles Risiko für die Privatsphäre. Daher übertreibe die Eyecam diesen Aspekt und agiere wie ein Beobachter, indem sie den Nutzer mit dem Blick verfolgt.

Auch könne die Eyecam zur Selbstreflexion genutzt werden, wenn das künstliche Auge ermüde und immer wieder zufalle, wenn der Nutzer noch spät in der Nacht vor seinem PC sitzt.

Sie könnte aber auch die Rolle eines Haustieres einnehmen, das einfach nur da ist, sich ab und an umschaut und dann erfreut reagiert, wenn der Besitzer den Raum betritt.

Warum baut man so etwas?

Im Grunde geht es der Forschungsgruppe „Human-Computer Interaction“ darum, wie man die Interaktion zwischen Mensch und Maschine verbessern kann. Dabei konzentrieren sich die Forscher besonders auf Bedienelemente, die dem menschlichen Körper nachempfunden (anthropomorph) sind.

Veröffentlicht unter News, Programmierung, Soziales, Wissenschaft | Verschlagwortet mit , , , , , , , , , | Schreib einen Kommentar

VPN-Verbindung streikt wegen abgelaufenen Zertifikats

Aktuell beklagen sich in den Foren von Pulse Secure gerade viele Nutzer, weil sie sich aus dem Homeoffice nicht mehr mit ihren Firmennetzen verbinden können. Die Ursache dafür ist ein abgelaufenes Code-Signatur-Zertifikat.

Nach einer Meldung der Firma sind die Produkte Pulse Connect Secure (PCS) und Pulse Policy Secure (PPS) unter Windows davon betroffen. Clients unter anderen Betriebssystemen sind von dem Problem aber nicht betroffen.

Ein Zeitstempel wird nicht korrekt geprüft

Eine DLL-Bibliothek, die zu dieser Clientanwendung gehört, ist mit einem Zertifikat signiert, das wohl vor kurzem abgelaufen ist. Dabei enthält diese Signatur sogar extra einen Zeitstempel, der eigentlich bewirken sollte, dass die Signatur auch nach dem Ablauf des Zertifikats gültig bleibt.

Bei der Verwendung eines derartigen Zeitstempels muss nur der Zeitpunkt der Signatur im Gültigkeitszeitraum dieses Zertifikats liegen. Aber diese Prüfung wird von der Software leider nicht korrekt durchgeführt und die DLL deshalb auch nicht geladen. Gut gedacht, aber schlecht gemacht…

Besserung ist schon in Sicht – bis dahin hilft ein Workaround

Ein Update, das dies Problem beseitigt, wird erst im Laufe des heutigen Tages bereitgestellt. Als Workaround empfiehlt Pulse Secure, dass man den Pulse Desktop Client direkt aufrufen sollte. Das Problem tritt demnach nämlich nur dann auf, wenn man die VPN-Software über den Webbrowser aufruft.

Veröffentlicht unter Internet, News, Programmierung, Störung, Tipps und Tricks | Verschlagwortet mit , , , , , , , , , , , , | Schreib einen Kommentar

Amazons Echo Show 10 verfolgt Benutzer im Raum

Manche nennen es magisch, andere eher verstörend, wenn sich das Display von Amazons Echo Show 10 geräuschlos zu ihnen herumdreht und sie bei ihren Bewegungen durch den Raum verfolgt.

Der Tischspion mit Bildschirm analysiert Ihre Bewegungen, folgt Ihnen und richtet sich nach Ihnen aus: Sollte auch Sie diese Vorstellung verstören, irritieren oder gar verängstigen, sollten Sie die Finger von dem Alexa-Gerät lassen.

Denn genau dieses macht den Echo Show 10 sehr speziell. Über seine Kombination aus Kamera und Mikrofonen versucht der Tischlautsprecher herauszufinden, wer wo im Raum ist und sich darauf auszurichten.

Ein Roboter ist das Gerät aber nicht wirklich, denn es hat weder Beine noch Räder, um sich zu bewegen, sondern bleibt stehen, wo man es hingestellt hat. Allerdings kann sich der Bildschirm, der aus dem recht wuchtigen Lautsprechergehäuse herausragt,  fast rundherum drehen, wenn man das zulässt.

Man kann die Verfolgung auch abschalten

Zum Glück kann man die Drehfunktion aber auch abschalten. Wem das nicht ausreicht, der kann alternativ die integrierte Klappe vor die eingebaute Kamera ziehen. Damit ist der Echo Show 10 dann auch blind wie ein Maulwurf und die Verfolgungsfunktion ist ebenfalls deaktiviert.

Bild: Amazon
Veröffentlicht unter Allgemeines, Internet, News, Programmierung, Sicherheit, Soziales, Tipps und Tricks | Verschlagwortet mit , , , , , , | Schreib einen Kommentar

Fast 20 Millionen Euro für die problematische Luca-App

Die deutschen Bundesländer bis zu über fünf Millionen Euro im Jahr aus, um die Dienste der Luca-App zur Kontaktnachverfolgung von Corona-Infektionen zu lizensieren. So berichtet es das Portal Netzpolitik.org unter Berufung auf die Staatskanzleien von 13 Ländern, die schon Verträge mit den Betreibern dieser umstrittenen App abgeschlossen haben. Nach diesem Bericht summieren sich die Ausgaben schon auf knapp 20 Millionen Euro pro Jahr!

Bayern liegt mit 5,5 Millionen Euro für eine Jahreslizenz ganz vorn, während Mecklenburg-Vorpommern, das als erstes Bundesland einen Vertrag mit dem App-Betreiber Culture4life geschlossen hatte, nur 440.000 Euro zahlte. In Berlin kostete die Lizenz eine Million Euro. Auch die Hansestadt Hamburg bestätigte am Montag den Kauf einer Lizenz. Die Kosten sollen für Lizenz und Betrieb sollen hier bei 615.000 Euro für ein Jahr liegen.

Der Preis für eine Lizenz scheint verhandelbar

Nach Berechnungen von Netzpolitik.org schwanken die Lizenzkosten pro Einwohner je nach Bundesland zwischen 20 und 40 Cent. Laut Angaben von Patrick Hennig, dessen Firma Nexenio die Luca-App entwickelt hat, werden die Preise nicht nur auf Basis der Einwohnerzahl berechnet. Man brauche rund ein Drittel der Kosten für die Verifikations-SMS. Ein weiterer Teil sei für Unterstützung und Infrastruktur in den Gesundheitsämtern vorgesehen, der sich nach der Zahl der Ämter pro Bundesland berechne. Der Rest des Preises sei für die eigentliche Softwarelizenz der Systemkomponenten von Luca und deren Wartung gedacht.

Reichlich Probleme mit der Luca-App

Im Zusammenhang mit der Luca-App sind in den letzten Tagen immer wieder neue Probleme und Lücken bekannt geworden. Man kann sich beispielsweise von beliebigen Orten aus per Luca bei Veranstaltungen einchecken. Notwendig ist dafür nur der QR-Code.

Dann sind etwa die API-Endpunkte case-insensitive, so dass die darüber umgesetzte zeitweise Sperrung oder ein Rate-Limiting leicht zu umgehen. Es reicht dazu offenbar aus, aus einem der kleingeschriebenen Buchstaben in der URL einen Großbuchstaben zu machen.

Schon vor Ostern war bekanntgeworden, dass es schwere Mängel bei der Registrierung von Schlüsselanhängern der Luca-App gab, die man komplett ohne Registrierung nutzen konnte werden und auch die Freischaltung über eine Transaktionsnummer (TAN) soll mit einer beliebigen sechsstelligen Zahl möglich sein. Angeblich hat das Team dies Problem inzwischen behoben.

Massive Kritik an der Luca-App von Datenschützern

Seit Wochen warnen verschiedene Datenschützer vor der Nutzung der App, zuletzt forderte der Hamburgische Datenschützer Johannes Caspar eine datenschutzrechtliche Bewertung.

Außerden ist das Gesamtsystem der Luca-App weiterhin nicht Open Source und damit auch nicht unabhängig überprüfbar.

Veröffentlicht unter Allgemeines, Kommentar, Mobilgeräte, News, Politik, Programmierung, Recht, Sicherheit, Soziales, Wirtschaft | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , | 1 Kommentar

Auszahlung des Corona-Bonus (150 €) mit der Grundsicherung

Für Lufthansa, BMW, Daimler und VW werfen CDU, CSU und SPD mit Milliarden um sich, als gebe es kein Morgen – und die Empfänger entlassen zum Dank Tausende Mitarbeiter und reichen die Staatskohle als Dividenden an ihre Aktionäre weiter – der DAX steigt und steigt…

Und wie immer gehen die Bedürftigsten, zum Beispiel die Empfänger von Grundsicherung oder Hartz IV, bis heute leer aus – trotz schon seit über einem Jahr pandemiebedingt gestiegener Kosten.

Das Almosen der Großen Koalition für die Bedürftigsten

Im Januar dieses Jahres wurde dann wegen des hohen Drucks von über 50 Sozialverbänden und Gewerkschaften und auch vom Sozialgericht Karlsruhe, die wegen durch die Pandemie-Auflagen wegfallender Tafeln, Sozialkaufhäuser, Schulspeisungen usw. und coronabedingte Mehrbedarfe für Hygieneartikel oder Lieferkosten und Ähnliches für Empfänger von Grundsicherung schon seit Beginn der Coronavirus-Pandemie mindestens 100 Euro pro Monat fordern (und nicht erst seit dem 01.01.2021), eine Art wahltaktisches Almosen der Großen Koalition in Höhe von lächerlichen 150 Euro für den Zeitraum vom 1.1.2021 bis 30.6.2021 (also für sechs Monate) beschlossen.

„Das Krisenmanagement der Bundesregierung ist ein armutspolitisches Trauerspiel. Wir fordern die Bundesregierung auf, endlich dafür zu sorgen, dass Deutschland wieder seinen sozialstaatlichen Verpflichtungen nachkommt“, sagt dazu Ulrich Schneider, Hauptgeschäftsführer des Paritätischen Gesamtverbands. „Es braucht eine zügige Erhöhung der Regelsätze auf mindestens 600 Euro und für die Dauer der Pandemie finanzielle Soforthilfe in Höhe von 100 Euro pro Kopf und Monat für alle, die auf existenzsichernde Leistungen angewiesen sind.“

Die häufigsten Fragen der Betroffenen

Da ich als Rentner in Grundsicherung auch davon betroffen und in der Regel auch gut informiert bin, häufen sich hier im Blog und auch im Bekanntenkreis die Anfragen, wann der nur als mickerig, beschämend und völlig unzureichend zu bezeichnende Betrag denn wirklich auf dem eigenen Konto ist. Auch die Frage, ob man ihn erst beantragen muss, wird immer wieder gestellt. Hier die aktuellen Antworten dazu:

Wann wird der Bonus ausgezahlt?

Bei Hartz4news.org liest man dazu: „Die Formulierung der Bundesregierung im eigens wegen der Corona-Pandemie neu eingeführtem § 70 SGB II legt nahe, dass der Bonus zusammen mit den Hartz IV Leistungen für Mai am 30. April 2021 ausgezahlt wird.“

Der Corona-Bonus muss nicht beantragt werden

Weiter heißt es bei Hartz4news.org: „Leistungsberechtigte müssen den Corona-Bonus nach aktuellem Kenntnisstand nicht gesondert beantragen. Vielmehr wird der Zuschlag direkt zusammen mit den Hartz IV Leistungen für den Monat Mai überwiesen.“

Veröffentlicht unter Allgemeines, Kommentar, News, Politik, Recht, Soziales, Tipps und Tricks, Wirtschaft | Verschlagwortet mit , , , , , , , , , , , , , , , , , | Schreib einen Kommentar

Foto: Erstes Grün an den Linden

Wie jedes Jahr im April bekommen die Linden an der Felizitas-Kirche in Lüdinghausen ein neues Blätterkleid. Noch vor wenigen Wochen waren sie regelrecht nackt, aber inzwischen leuchtet das erste frische Grün der neuen Blätter wieder im Sonnenlicht.

Foto: Klaus Ahrens, Smartphone Huawei P10, CC BY-SA 4.0

Veröffentlicht unter Allgemeines, Fotografie, Lokales, Mobilgeräte, Soziales | Verschlagwortet mit , , , , , , , , , , , , | Schreib einen Kommentar

SMS zur Paketverfolgung vom Trojaner FluBot

Seit dem letzten Monat erhalten Nutzer von Smartphones und anderen Handys verstärkt Kurznachrichten (SMS), die zum Klicken eines Links auffordern.

Dahinter steckt in den meisten Fällen der Android-Trojaner FluBot. Das Bundesamt für Sicherheit in der Informationstechnik warnt eindringlich vor dieser „Smishing“-Welle (SMS-Phishing), über die mit gefälschten Mitteilungen Zugangsdaten abgefischt werden.

Bisher sahen die SMS auf den ersten Blick aus wie Sendungsbenachrichtigungen für Pakete, und hatten den Wortlaut: „Ihr Paket kommt an, verfolgen Sie es hier“.

Inzwischen gibt es auch andere Betreffzeilen wie zum Beispiel „Paketzustellung Ihrer Lieferung nicht möglich“.

Den Link sollten die Empfänger allerdings auf keinen Fall anklicken, denn laut ESET führt er zu Phishing-Seiten, auf denen der Banking-Trojaner „FluBot“ (Grippe-Bot) schon auf neue Opfer wartet.

Veröffentlicht unter Internet, Mobilgeräte, News, Sicherheit, Soziales, Tipps und Tricks | Verschlagwortet mit , , , , , , , , , , | Schreib einen Kommentar

Daten von 1,3 Millionen Clubhouse-Nutzern gestohlen

In einem Hackerforum wurden Daten von 1,3 Millionen Benutzern der pseudo-elitären Social Media-Plattform Clubhouse veröffentlicht. Clubhouse erlebte hier in Deutschland im Januar einen Hype und stand auch als Fettnäpfchen für Ministerpräsident Bodo Ramelow zur Verfügung.

In den Daten finden sich User IDs, Namen, Foto-URLs, User-Profilnamen (auch die von Twitter und Instagram), Anzahl der Follower und Follows, das Datum der Kontoerstellung und die Profilnamen der Nutzer, von denen die Einladung ins Clubhouse kam, berichtet Cybernews.

Zwar seien keine „sensiblen“ Informationen wie Emailadressen, Telefonnummern oder Kreditkarteninformationen unter den Daten, die die Angreifer per Web Scraping über eine private Schnittstelle von einer SQL-Datenbank abgezogen hätten, aber Gefahr bestehe anhand der veröffentlichten Daten trotzdem, denn in Kombination mit den Twitter- und Instagram-Handles könnten die Angreifer Profile der potenziellen Opfer erstellen. Diese Profile könnten dann für gezielte Phishing- und Social-Engineering-Angriffe bis hin zum Identitätsdiebstahl eignen, liest man in dem Beitrag von Cybernews.

Clubhouse selbst habe sich gegenüber Cybernews bisher noch nicht offiziell geäußert.

Veröffentlicht unter Internet, News, Programmierung, Sicherheit, Soziales | Verschlagwortet mit , , , , , , , , , | Schreib einen Kommentar