Die tollsten Menschen der Welt: Männer

Eine Hommage an Männer:

Ein Kinderschänder in der "Bombay-Lounge"

Der Sekten-Guru und wegen Kindesmissbrauchs gesuchte Oliver Shanti ist auf der World-Tour-Kompilation-CD des Spiegel vertreten.

Mit steigender Verfügbarkeit und zunehmender Unübersichtlichkeit von Musik ist bei den Konsumenten das Bedürfnis nach einer Orientierungshilfe im Sinne eines Kanons aufgekommen und ein riesiger neuer Markt entstanden. Und je exotischer die Musik, umso unbedarfter wird diese vorgegebene Unterweisung hingenommen. Um also zwei Fliegen mit einer Klappe zu schlagen, braucht es nur eine Plattenfirma auf der Suche nach alternativen Einnahmequellen und eine angesehene Zeitschrift, welche bereit ist, dem Zug zur weiteren Verschwanitzisierung der Welt aufzusitzen.

So lädt der Spiegel zusammen mit Sony BMG für knapp 180 Euro unter dem Titel "World Tour" mit zwanzig Doppel-CDs "im exklusiven Schuber, ausgewählt von der Redaktion des KulturSpiegel" ein auf eine "faszinierende musikalische Reise rund um die Welt", welche die "Kulturen der 5 Kontinente" umfasst. Neben verheißungsvollen Titeln wie "Arabian Nights", "Sushi Club" oder "Celtic Roots" findet sich hier auch eine "Bombay Lounge", auf der bekannte Künstler wie der Sitar-Guru der Beatles, Ravi Shankar, die Filmmusikchanteuse Lata Mangeshkar (der Spatz von Kalkutta) und der Soundtrackkomponist A R Rahman (der indische Harold Faltermeyer) zu finden sind.
Allerdings ist diese bunte Mischung möglicherweise doch etwas zu bunt geraten. Denn neben den Liedern verdienter Künstler ist auch das Kleinod "Indian Ceremony" von Oliver Shanti & Friends auf die Zusammenstellung geraten. Dies ist gleich in mehrfacher Hinsicht bemerkenswert. Erstens hatte der geschäftstüchtige Esoterikmusikproduzent Oliver Shanti (bürgerlicher Name: Ulrich Schulz) vor Jahren dafür gesorgt, dass seine Erzeugnisse in Drogeriemärkten als Kassenware angeboten wurden und war somit über lange Zeit hinweg für gesteigertes ästhetisches Unbehagen an den hiesigen Warteschlangen verantwortlich. Zweitens ist das Geschäftsgebaren des umtriebige Eso-Unternehmers und Sekten-Führers, welcher Alben wie "Tai Chi", "Tai Chi Too" oder "Alhambra" jeweils mehr als einhundertausendmal verkaufte, mindestens dubios:
Obwohl er angeblich weder an Komposition noch an der Aufnahme "seiner" Lieder in größerem Ausmaß beteiligt, sondern vor allem für die Endabnahme zuständig war, wurden alle unter dem Namen "Oliver Shanti & Friends" veröffentlicht, wobei sämtliche Tantiemen dem extravaganten Papageiensammler zukamen. Bei der CD "Tai Chi", die insgesamt mehr als 300.000 mal über die Theke ging, sollte pro verkauftem Exemplar eine Mark an eine tibetische Hilfsorganisation fließen – diese erhielt allerdings nach Angaben eines ehemaligen Shanti-Gefährten bislang keinen Cent davon.
Drittens ist Oliver Shanti gar nicht mal für die Erzeugung von Harmonien des indischen Subkontinents bekannt, sondern für musikalische Ausflüge in das Reich der Apachen und Komanchen berüchtigt. So ist es durchaus möglich, dass sich mit "Indian Ceremony" nicht eine indische, sondern eine indianische Kulturweise auf leisen Mokassins in das globale Dorf der Spiegel-Weltmusik geschlichen hat. Zumindest ziert auf Amazon das Cover der Shanti-CD "Well Balanced", von welcher der Song entnommen wurde, neben ein paar Wigwams, einem Büffel und roten Felsen relativ eindeutig das Antlitz einer gefälligen Indianersquaw.
Auch die hiesigen Kundenrezensionen erwecken eher Assoziationen an typisch westliche Möchtegern-Schamanen, die an der falschen psychedelischen Wurzel geknabbert und gerade ihr Herz für die in die native americans hineinprojezierte Naturmystik entdeckt haben, als an indische Lounge-Klänge für den musikalischen Globetrotter: "So hören wir Songs wie "Indian Ceremony", "Heya Heya" oder "We Could Have Been Brothers". Sie vermitteln das passende Bild. Ein weiter, weißbewölkter Himmel über staubiger Steppe, rote bizarre Felsgruppen. Das sorgt sowohl für Melancholie, als auch für Fernweh... Der Rhythmus dieser Musik wird in dir schlagen und dich tragen mit den Flügeln des Adlers." "Man hat wirklich das Gefühl über der Prärie als Adler zu schweben." – In der Tat ist die "Indian Ceremony" ein lupenrein verrockter Indianertanz.
Viertens allerdings, und hier hört der Spaß endgültig auf, ist Oliver Shanti einer der meistgesuchten Straftäter Deutschlands. Nach ihm wird seit August 2002 wegen mehr als hundertfachen Kindesmissbrauchs gefahndet - für Hinweise, die zu seiner Ergreifung führen, ist eine Belohnung von 3.000 Euro ausgesetzt. Auf dem Verzeichnis der meistgesuchten Personen des BKA kommt Schulz noch vor dem mutmaßlichen 9/11-Attentätern Zakariya Essabar und Said Bahaji. Und um diese Informationen zu erhalten, muss man sich nicht extra eine Leitung nach Wiesbaden legen lassen. Schon eine einfache Google-Suche führt in kürzester Zeit zu deutlichen Hinweisen auf den mutmaßlich schwer kriminellen Lebenswandel des Musikproduzenten.
Es zeugt also nicht nur von einer ungeheuerlichen Arroganz gegenüber anderer Kulturkreisen, wenn auf einer Kompilation indischer Musik ausgerechnet seichte Esoterik-Mucke von Oliver Shanti enthalten ist, sondern auch von einer sensationellen Schlamperei bei dessen Zusammenstellung: Diese offenbart, wie wenig Wert jenseits des Reibachs man dem Riesenprojekt beimisst, dem Käufer einen Einblick in die Musik anderer Erdteile zu geben: Jede CD strotzt vor musikalischen Stereotypen, welche mehr die Erwartungshaltung von Esoterik-Narren bestätigt als einen Eindruck von den realen musikalischen Traditionen des betreffenden Landes zu vermitteln.
Anstatt mit musikalischen Klischees und konvenierenden Hörgewohnheiten zumindest ansatzweise zu brechen, wird jener Akustik-Schleim serviert, der einem in jeder Buddha-Bar in die Ohren tropft. Aber vielleicht handelt es sich ja um eine besonders schlaue Finte des Hamburger Nachrichtenmagazins handelt, das anhand der Zahlung der Tantiemen auf die Spur des Verbrechers gelangen will. In diesem Fall darf man auf weitere brisante Enthüllungen während der World Tour des KulturSpiegel gespannt sein.(Quelle:Heise.de)

DSL-Komplettanschlüsse von Freenet bundesweit verfügbar

Rund zwei Wochen nach der Entscheidung der Bundesnetzagentur zum Bitstrom-Zugang legt der Provider Freenet das erste darauf aufsetzende entbündelte DSL-Angebot vor, für das kein Telekom-Telefonanschluss mehr erforderlich ist und das bundesweit gebucht werden kann. Das Angebot ist ab kommenden Montag (2. Juni) überall dort erhältlich, wo auch die Telekom eigene DSL-Anschlüsse anbietet.
Das günstigste Komplett-Angebot kostet monatlich 19,90 Euro und umfasst eine Internet-Flatrate. Für jeweils 5 Euro Aufpreis kann der Kunde die Geschwindigkeit auf 16 MBit/s erhöhen und eine Telefon-Flatrate ins deutsche Festnetz dazubuchen. Die beiden Optionen lassen sich auch miteinander kombinieren. Diese Preise gelten allerdings nur für die bereits vorhandenen Komplettanschlüsse. Wer tatsächlich einen Bitstrom-Zugang nutzt, also bislang keinen Komplettanschluss von Freenet erhalten konnte, muss zusätzlich zum Grundpreis noch einen "Regio-Zuschlag" von 4,95 Euro monatlich berappen und erhält zum Ausgleich – allerdings nur in den ersten zehn Monaten – 5 Euro monatlich gutgeschrieben.
Die Vertragslaufzeit bei Freenet beträgt zwei Jahre, der Vertrag verlängert sich automatisch um jeweils ein weiteres Jahr. Eine Kündigung muss mindestens zwei Monate vor Ablauf des Vertrags beim Anbieter eingehen. Im Paket immer mit enthalten ist auch ein Telefonanschluss, der bei Freenet grundsätzlich über VoIP läuft. Der zum Betrieb des Anschlusses erforderliche DSL-VoIP-Router wird kostenlos gestellt, allerdings muss der Kunde 9,90 Euro für den Versand bezahlen.(Quelle:heise.de)

Themen-Special: PDFs optimieren

Adobes Portable Document Format (PDF) bietet den großen Vorteil, dass sich Dokumente fast jeder Art unabhängig von der Ursprungsanwendung auf allen Betriebssystemen layoutgetreu anzeigen und drucken lassen. Dazu bedarf es lediglich des passenden Betrachters, den der PDF-Erfinder mit dem Adobe Reader für alle wichtigen Systeme gratis anbietet.
Um PDFs nachträglich in vollem Umfang zu bearbeiten, benötigt man jedoch das Originaldokument und die zugehörige Anwendung. Kleinere Korrekturen lassen sich aber mit geeigneten Gratis-Tools durchführen. Zum Beispiel komprimiert der Free PDF Compressor bestehende Dokumente mitunter drastisch, sodass sich etwa große PDFs aus dem Web viel platzsparender auf der lokalen Platte speichern lassen. Der PDF Helper zerlegt PDFs in einzelne Seiten oder setzt mehrere PDFs zu einem Dokument zusammen.
Ein Themen-Special im Software-Verzeichnis stellt die wichtigsten Tools vor – und verrät auch einen Trick, wie sich PDFs inklusive aller Grafiken, Tabellen und Formatierungen in Word weiterverarbeiten lassen.(Quelle:heise.de)

Hacker verbiegen Namensauflösung von Telekommunikationskonzern Comcast

US-Medienberichten zufolge haben es Angreifer am vergangenen Mittwoch geschafft, die DNS-Einstellungen der Domain des US-amerikanischen Telekommunikationskonzerns Comcast zu manipulieren. Der Aufruf der Homepage von Comcast führte anschließend von Mittwochabend bis Donnerstagfrüh auf einen Server der Angreifer. Besucher bekamen dort die Mitteilung "KRYOGENIKS EBK and DEFIANT RoXed COMCAST sHouTz To VIRUS Warlock elul21 coll1er seven" zu sehen. Offenbar waren die Angreifer in den Besitz des Passworts von Comcast gelangt, mit dem sie die beim Registrar hinterlegten Einstellungen änderten. Unklar ist bislang aber, wie sie an das Passwort herangekommen sind.
Interessanterweise hat das Security and Stability Advisory Committee (SSAC) der ICANN am Mittwoch einen Bericht (Advisory on Registrar Impersonation Phishing Attacks, PDF-Dokument) veröffentlicht, in dem auf mögliche Phishing-Attacken hingewiesen wird, bei denen Administratoren auf nachgemachten Registrar-Seiten landen und dort Name und Passwort verraten. Der Link zu den Phishing-Seiten steckt laut Bericht in gefälschten Mails, die etwa den Ablauf der Gültigkeit einer Domain ankündigen. Möglicherweise sind die Administratoren genau solch einem Angriff zum Opfer gefallen. Das SSAC empfiehlt Registraren und deren Resellern, Maßnahmen gegen Phishing zu ergreifen und schlägt im Bericht einige vor.
Apropos Reseller: Nach Angaben von Jan Legenhausen, administrativer Ansprechpartner der laut KnuJon zu den "10 Worst Registrars" gehörenden Joker.com, hat die ICANN nur eine Anfrage gestellt, wie Joker mit dem WDPRS (Whois Data Problem Report System) umgeht. Eine "Notice-" oder "Warning of Breach" habe es nicht gegeben. Ohnehin beruhe der Auslöser, die Liste von KnuJon, auf veralteten Daten. Tatsächlich habe Joker.com 2007 ein Problem mit einem Reseller gehabt, der massiv gegen die Bestimmungen verstossen habe. Nahezu sämtliche als Spam-Domains aufgefallenen Domains hätten aus diesem Portfolio gestammt. Das Problem wurde jedoch 2007 durch Kündigung dieses Resellers behoben.

Bereits vorher habe Joker.com den Grossteil dieser Domains deaktiviert – durch Setzen des Status "hold", wodurch eine Domain unbenutzbar wird. Leider würde diesem Umstand in der "KnuJon-Liste" keine Rechnung getragen; statt dessen würden auch die längst abgeschalteten Domains weiter gezählt. Nach Meinung von Legenhaus ließe sich das Spam-Problem ohnehin nicht durch das Abschalten von Domains aufgrund falscher Whoisangaben regeln. Oftmals würden die benutzten Adressen tatsächlich existieren oder zumindest nicht offensichtlich falsch sein und teilweise sogar durch eingereichte Unterlagen bestätigt. Es sei weder möglich noch zumutbar, den Fälschungsgrad solcher Angaben zu prüfen. Der Unterschied zwischen "Gemeinschaftsbüro-" und "Briefkasten-Adresse" sei zu subtil, um etwa auswärtige Antragsteller zu prüfen.(Quelle:Heise.de)

Siehe dazu auch:

• Advisory on Registrar Impersonation Phishing Attacks, Homepage von Blue Pill

Burger King räumt Videoüberwachung der Mitarbeiter ein

Die Fastfood-Kette Burger King hat im Streit mit der Gewerkschaft Nahrung-Genuss-Gaststätten (NGG) eingelenkt und die Überprüfung von Videomitschnitten in Restaurants zugegeben. Es habe eine Anweisung gegeben, mit der sichergestellt werden sollte, dass "sowohl Manager als auch Mitarbeiter alle Richtlinien und Anweisungen befolgen", räumte Deutschland-Chef Thomas Berger laut dpa gestern in München ein. Dies habe aber nur auf die Einhaltung von Sicherheitsmaßnahmen gezielt. "Ich bedauere sehr, dass unter diesen Umständen der Eindruck entstanden ist, wir würden durch Videoüberwachung unsere Mitarbeiter kontrollieren."
Die NGG hat vor einigen Wochen die Videoaufzeichnung der ersten Wahlversammlung zum Betriebsrat im Restaurant Chiemgaustraße in München aufgedeckt. Burger King hatte darauf argumentiert, das Videoüberwachungssystem diene lediglich zum Schutz der Gäste und Mitarbeiter. "Das war und ist gelogen", hatte daraufhin Freddy Adjan erwidert (PDF-Datei), Geschäftsführer der Gewerkschaft NGG in München. Nach Angaben der NGG wird jedes Restaurant monatlich einer "Internen Revision" unterzogen. Dabei sollen die Prüfer auf den Sicherheitsvideos danach Ausschau halten, ob Manager und Mitarbeiter alle Richtlinien und Anweisungen befolgen.

Burger King betreibt in Deutschland mit 28.000 Mitarbeitern 600 Filialen, nur wenige haben einen Betriebsrat. Bis auf zwei Betriebsratswahlen habe Burger King alle der jüngsten Zeit angefochten, schreibt die Gewerkschaft NGG. Auf der videoaufgezeichneten Betriebsversammlung zur Wahl des Wahlvorstandes für das komplette Stadtgebiet München sei ein dreiköpfiger Wahlvorstand gewählt worden. Zwei Wahlvorstände sei fristlos gekündigt worden. Auch habe Burger King – bisher erfolglos – versucht, die Betriebsratswahl per Einstweiliger Verfügung stoppen zu lassen. Nicht nur der Hamburger-Bräter lässt seinen Mitarbeitern hinterherschnüffeln. Im Frühjahr wurde aufgedeckt, dass der Discounter Lidl seine Belegschaft bespitzelt.(Quelle:heise.de)

Siehe dazu auch:

• Lidl-Chef verspricht 300-Euro-"Dankeschön-Zahlung" an treue Mitarbeiter
• Videoüberwachung von Mitarbeitern und Kunden erregt weiter die Gemüter
• Datenschützer entwickelt mit Lidl neues Videoüberwachungs-Konzept
• Mitarbeiter-Bespitzelung im Handel: Auch Edeka und Plus im Visier
• Bundesminister Horst Seehofer fordert mehr gesetzlichen Schutz von Mitarbeitern
• Mitarbeiter-Bespitzelung bei Lidl sorgt weiter für Empörung
• Datenschutzverletzungen: Lidl fällt als Wiederholungstäter auf

HP-Spitzelaffäre: US-Handelsaufsicht vergleicht sich mit Detektiven Meldung vorlesen

Die US-Handelsaufsicht hat sich in einem Verfahren um die Schnüffelaffäre des Computerherstellers Hewlett-Packard mit den beklagten Detektiven verglichen. Die Federal Trade Commission (FTC) hatte die Privatdetektive verklagt, die in der Spitzelaffäre für HP die Drecksarbeit erledigt haben sollen. Im Auftrag von hochrangigen HP-Managern hatten sie sich mit fragwürdigen Methoden die Verbindungsdaten der Telefonanschlüsse von Journalisten und Aufsichtsratsmitgliedern besorgt, lautet der Vorwurf, den die Beklagten bestreiten.
Wie derzeit bei der Telekom ging es dabei um Indiskretionen aus dem Aufsichtsrat und kenntnisreiche Berichte von Journalisten. Nachdem die Affäre Ende 2006 publik geworden war, mussten in der Folge Aufsichtsratschefin Patricia Dunn und weitere hochrangige Manager ihren Hut nehmen. Ein Strafverfahren gegen Dunn und andere wurde allerdings eingestellt. Der Konzern hat sich mit einer Millionenzahlung aus der Affäre gezogen und mit den betroffenen Journalisten teilweise verglichen.

Für zwei der beklagten Detektive nimmt die Affäre nun ein glimpfliches Ende. Sie sind mit einer Zahlung von 3000 US-Dollar vorerst aus dem Schneider – mit einem Vergleich und ohne Schuldanerkenntnis. Die Vergleichssumme lautet eigentlich auf 67.000 US-Dollar. Doch angesichts der Zahlungsunfähigkeit der Beklagten reduzierte das Gericht die Ausgleichszahlung. Gegen weitere Subunternehmer der Detektive verfügte das Gericht Zahlungen von 428.000 und 110.000 US-Dollar.(Quelle:Heise.de)

Siehe dazu auch:

• HP vergleicht sich nach Spitzelaffäre mit Journalisten
• Schnüffel-Affäre hat weiteres gerichtliches Nachspiel für HP
• HP gibt Unterlassungserklärung gegenüber US-Börsenaufsicht ab
• Beschuldigungen gegen Ex-HP-Verwaltungsratsvorsitzende aufgegeben

• Neues US-Gesetz zum Schutz von Telefondaten vorgeschlagen
• Dokumente in HP-Prozess jetzt Verschlusssache
• Staatsanwalt bietet Angeklagten in HP-Affäre Handel an
• HP-Ermittler bekennt sich schuldig und kooperiert
• Erste Anklage auf Bundesebene nach HP-Schnüffelskandal

• HP-Chef soll Aktienverkauf während des Bespitzelungs-Skandals erklären
• HP zieht sich mit Millionenzahlung teilweise aus der Schnüffel-Affäre
• HP-Verantwortliche wegen angeblicher Insidergeschäfte verklagt
• Angeklagte in HP-Skandal bekennen sich "nicht schuldig"
• Mehr Fragen und wenig Antworten im HP-Skandal

• Patty-Mail bespitzelt Empfänger
• Neuer Ethik-Beauftragter für Hewlett-Packard
• Fünf Anklagen in Schnüffelaffäre bei HP
• Hewlett-Packards Chefanwältin tritt zurück
• HP-Chef wusste von Schnüffeleien - aber nicht so genau

• HP-Chef Hurd nimmt an Kongressanhörung teil
• HP-Chef Hurd war offenbar über Bespitzelungen im Bilde
• HP-Manager sollen vor Untersuchungsausschuss
• US-Kongress plant Anhörung in HP-Affäre
• Staatsanwalt sieht ausreichend Beweise für Anklage gegen HP

• HP-Aufsichtsratsvorsitzende kündigt Rücktritt an
• US-Regierung interessiert sich für HP-Affäre
• HP-Affäre wird zur Schlammschlacht
• Schnüffel-Affäre bei HP weitet sich aus
• Kalifornische Justiz interessiert sich für Spitzelaffäre bei HP

Misstrauischer Bezahldienstleister

Probleme mit Online-Shops und mit Bezahlsystemen sind ein weites Feld, das auch das c't-Fernsehmagazin immer wieder beackert. Diesmal geht es zum einen um einen Händler, der seine Geschäfte über eBay abwickelt. Es läuft alles reibungslos, als ein Kunde für knapp 2000 Euro Fotozubehör bestellt. Die Zahlung wird über das eBay-Bezahlsystem Paypal erledigt. Das Geld geht ein und der Händler schickt die Ware umgehend heraus. Alle sind zufrieden.
Doch dann meldet sich Paypal: Es bestehe der Verdacht auf Geldwäsche. Der Händler möge Paypal nun eindeutige Belege liefern, dass bei ihm alles mit rechten Dingen zugeht. Der Händler weigert sich, seine Bezugsquellen, Kundendaten und internen Kalkulationen herauszurücken. Daraufhin wird sein Account gesperrt, das Guthaben auf dem Konto eingefroren.
Dieser Fall wird morgen im c't magazin.tv ebenso geschildert wie jener einer Familie aus Köln, die über die Otto-Versand-Tochter discount24.de einen Kühlschrank kauft und dafür eine Zahlungsvariante wählt, bei der das Geld in drei Monatsraten von der Kreditkarte abgebucht wird. Beim Spediteur wird der Kühlschrank aber schwer beschädigt, die Familie reklamiert. discount24.de reagiert prompt, doch "einfach austauschen" lässt sich das Gerät nicht. Die Familie soll stattdessen einen neuen Kühlschrank bestellen, das sei bei der Zahlweise nicht anders möglich. Also ordert die Familie einen zweiten Kühlschrank – und schon nimmt das Unheil seinen Lauf.(Quelle:heise.de)

Die Sendetermine: (Die Beiträge sind als Flash-Video-Stream ab Mittwoch im Archiv verfügbar.)

Samstag	12:25	hr-fernsehen
	13:30	ARD Eins Plus
Montag	11:30	RBB
	17:30	ARD Eins Plus
Dienstag	21:30	ARD Eins Plus
Mittwoch	23:50	hr-Fernsehen
Donnerstag	1:30	ARD Eins Plus
Freitag	5:25	hr-Fernsehen
	5:30	ARD Eins Plus
	9:20	hr-Fernsehen
	9:30	ARD Eins Plus

Sysinternals-Tools direkt laden und starten

Als Komplettpaket gibt es sie schon länger, doch jetzt hat Microsoft unter http://live.sysinternals.com sämtliche System-Utilities von Sysinternals einzeln zum direkten Download bereitgestellt. Die kostenlosen Programme sind nicht gepackt, lassen sich unter Windows also direkt durch Eingabe etwa von http://live.sysinternals.com/Procmon.exe unter Start\Ausführen starten. Auf http://live.sysinternals.com/Files stehen sämtliche Tools zudem als direkt ladbare ZIP-Archive bereit. Wer weiß, was er sucht, spart sich so das mühselige Herumgesurfe auf Microsofts Sysinternals-Websites, die mittlerweile ins Technet integriert wurden.
Ob die neue Website auf Dauer bleiben wird, ist unklar: Der Readme-Datei zufolge handelt es sich erst einmal nur um einen Test alternativer Bereitstellungsmethoden.

Microsoft hatte Sysinternals vor knapp zwei Jahren aufgekauft. Gegründet wurde das Unternehmen von Marc Russinovich und Bryce Cogswell, die beide längst als feste Größen in der Windows-Welt gelten. Russinovich entdeckte etwa, dass Sony BMGs Kopierschutz mit Rootkit-Funktionen ausgestattet war.(Quelle:Heise.de)

(Update: Derselbe Server hält auch Windows-Freigaben bereit: Durch Eingabe etwa von \\live.sysinternals.com\tools\procmon unter Start\Ausführen startet der ProcessMonitor ohne weitere Nachfragen durch den Browser.)

SECURITY: Verwirrung um Lücke im Flash-Player

Für viel Aufregung hat die Lücke in Adobes Flash-Player gesorgt, die derzeit von gehackten Webseiten ausgenutzt wird, um Anwendern einen Trojaner unterzuschieben. Doch mittlerweile rudern die Sicherheitsexperten von Symantec, die das Ganze losgetreten hatten, zurück. Nach aktuellem Kenntnisstand ist die aktuelle Flash-Version 9.0.124.0 wahrscheinlich doch nicht betroffen. Zumindest hat noch niemand einen konkreten Exploit für diese Version gesehen.
So ganz sicher sind sich etwa McAfee, Symantec und Adobe dabei allerdings nicht. Das Problem: Die Dateien, die die schädlichen swf-Dateien zum Missbrauchen der Lücke nachladen, erstellen die Dateinamen des herunterzuladenden Applets aus dem Betriebssystem, der Flash-Versionsnummer und des verwendeten Browsers zur Laufzeit. Läuft so ein Flash-Applet daher auf einem aktuellen System, versucht es beispielsweise, die Datei WIN%209,0,124,0ff.swf nachzuladen.
Symantec hat laut eigener Aussage beobachtet, wie so ein Exploit den aktuellen Flash-Player unter Linux zum Absturz brachte. Das kann ein Hinweis darauf sein, dass eine Sicherheitslücke ausgenutzt wurde. Allerdings erläuterte Adobe, dass dieses Verhalten so gewollt und geplant sei und kein Schadcode ausgeführt werde.
McAfee schränkt ebenfalls ein, dass die bislang entdeckten Exploits die Lücke ausnutzen, die der Flash-Player 9.0.124.0 schließt. Das Unternehmen ist jedoch nicht im Besitz der Datei, die der aktuelle Player herunterladen würde, und kann daher nicht ausschließen, dass auch in der aktuellen Fassung eine Schwachstelle ausgenutzt werde.

Eine Entwarnung erscheint daher verfrüht. Keines der Unternehmen legt sich darauf fest, dass die aktuelle Version tatsächlich sicher ist. Dennoch schützt sie vor den bisher gefundenen schädlichen swf-Applets. Wer kein Risiko eingehen will, deaktiviert das Flash-Player-Plug-in in der Add-on-Verwaltung des Internet Explorer und nutzt in Firefox etwa die FlashBlock- oder NoScript-Erweiterungen, die das automatische Ausführen von Flash-Applets verhindern und diese erst auf einen Mausklick hin starten. Zudem sollte, sofern der Flash-Player nicht deinstalliert wurde, wenigstens die aktuelle Version 9.0.124.0 in jedem Webbrowser auf dem Rechner eingespielt werden.(Quelle:heise.de)

Siehe dazu auch:

• Kritische Schwachstelle im Flash Player wird aktiv ausgenutzt

• Symantec ThreatCon, Erläuterungen von Symantec
• Potential Flash Player issue - update, Meldung von Adobe
• Flash Player Exploit Update 2, Bericht von McAfee

MS.13.Amerikas.gefaehrlichste.Gang.German.Doku

DOKU über die gefährlichste Gang amerikas: MS13.

Der Mann mit der Bullenpeitsche...

...und ein Drehbuch mit Erwachsenen-ADHS: Steven Spielberg hat "Indiana Jones" recycelt.

Ein Film, der nicht innehalten kann und der sich gerade darum in die Länge zieht - rasender Stillstand. Hetzkino, in dem der recycelte Hybrid im Regenwald auf den Spuren Erich von Dänikens watet. "Indiana Jones" bietet genau jene Form von Infantilismus, die repräsentativ ist für unsere Gegenwartskultur - den Abschied von linearen, realistischen Popular-Erzählformen - und lässt den Konstruktivismus über die klassische Moderne triumphieren.Pyramiden, Wasserfälle, Naturvölker, Ameisen und UFOs - das Auge guckt mit und Steven Spielbergs Kino ähnelt immer mehr einem großen Freizeit-Themenpark, an dem an jeder Ecke ein neues Universum lauert. Spätestens nach Spielbergs vierten "Indiana Jones"-Abenteuer würde man sich auch nicht mehr wundern, wenn es der arme, längst seiner Profession entfremdete Archäologe irgendwann in Zukunft auch noch mit Sauriern und weißen Haien zu tun bekäme.

Nun ist der Mann mit der Bullenpeitsche, Schlapphut und coolen Sprüchen jedenfalls zurück. Der Held selbst ist seit jeher ein merkwürdiger Hybrid aus Wissenschaftler und Actionheld, ein Patchworkwesen, das verschiedenste widersprüchliche, meist einander ausschließende Potenzen in sich vereint.

Archäologie ist eigentlich langweilig

Natürlich geht es keine Sekunde in diesen Filmen wirklich um Archäologie. Denn Archäologie ist eigentlich langweilig. Sie besteht daraus, dass viele Leute irgendwo lange graben und meistens nichts finden. Und alles, was sie finden, müssen sie vorsichtig mit dem Minispachtel herausspachteln, mit dem Minipinsel herauspinseln, putzen und ganz vorsichtig hochheben, damit es nicht zerfällt. Und dann ist schon wieder ein Jahr rum. Nichts für einen Actionfilm. Bei "Indiana Jones" ist Archäologie so, dass der Held in eine dunkle Ecke oder die Schatztruhe eines Tempels oder die Innereien einer Mumie greift, etwas aus Gold oder Edelstein in der Hand hält und sagt: Ah! Das ist ja der berühmte Königsschädel der verschollenen Blablabla-Kultur aus dem Soundso-Zeitalter.

Die Idee des Films ist, dass man Archäologie kurz begreift, und dazu hilft, wie Maximilian Schell bei Terra-X ein Professor, der nie im Hörsaal ist, oder nur zehn Minuten, wo er seinen Studenten dann die Aufgabe stellt, doch mal im vierten Kapitel den Unterschied zwischen Migration und Exodus nachzuschlagen, bevor er sich den Schlapphut - schon klar: Unter Fans heißt es "Fedora-Hut" - greift und in den nächsten Dschungel verschwindet.

Trotzdem war es offenbar nötig, diesem Actionhelden auch noch eine bürgerliche Existenz und eine Rechfertigung für sein Wissen und seine Abenteuer zu geben. Allan Quatermain brauchte das noch nicht, der Held des späten 19. Jahrhunderts, jener Ära von Kolonialzeit und Imperialismus, deren uneheliches Geschöpf auch Indiana Jones ist. "Indiana Jones" bezieht sich explizit auf Quatermain, der übrigens auch schon so einen Hut auf hat, und auf den gescheiterten Versuch, diese Romane in den 70er Jahren mit Richard Chamberlain zu verfilmen.

Obelix, nicht Selbstironie

Die "Indiana Jones"-Serie, die 1981 begann, ist demgegenüber der Versuch, die Seele der Groschenhefte und der Trivialliteratur der 30er und 40er Jahre fürs Kino wiederzubeleben - was ja überhaupt in den Anfangsjahren von Steven Spielberg und George Lucas deren Masche war: B-Movies auf der Höhe der Zeit noch einmal zu drehen.

Dazu gehört, dass man sich über Logik und authentisches Setting nicht übermäßig viel Gedanken macht, auch nicht darüber, dass der Held verletzungsresistent ist. Der spezielle "Indiana Jones"-Flair liegt aber in etwas anderem, und hier kommt das Professorale ins Spiel: Es ist seine Tolpatschigkeit, die Tatsache, dass immer wieder Stunts "misslingen", also nicht wie geplant ablaufen, aber gerade dadurch dann zum gewünschten Ergebnis führen - etwas Obelixhaftes also. Denn Indiana Jones ist nicht listig, er ist, falls er mal Zeit hat, brav und gutmütig, kann nicht richtig mit Frauen flirten oder war schlecht in der Schule. Der Akademiker und Nerd als potentieller Held ist die Phantasie, die uns hier vorgeführt wird. Wenn Indiana im neuen Film zum Beispiel einmal aus Versehen ganz woanders landet, als er will, ist es dann Selbstironie, was der Held da präsentiert?

Das heißt es immer gern. Aber um selbstironisch zu sein, muss es ja ein Selbst geben, das nicht schon immer ironisch ist. Das gibt es hier nicht. Die Selbstironie in "Indiana Jones" ist Programm und das sogenannte Augenzwinkern eines Helden, der sich nicht ernst nimmt, in Wahrheit kalte Berechnung.

Smalltown-Amerika ist eine Illusion

"Indiana Jones and the Kingdom of the Crystal Skull" so der Titel des vierten "Indiana Jones"-Films erzählt von einem älteren Herren, der es nochmals wissen will - das gilt für Indiana Jones, wie für seinen Regisseur. Die Handlung spielt im Jahr 1957, dem Höhepunkt des "Amerikanischen Zeitalters". Eisenhower ist Präsident, Amerika glaubt seine Unschuld noch nicht verloren zu haben, und auch Professor Jones ruft "I like Ike" und wählt die Republikaner. Die einzige Bedrohung scheinen die Kommunisten zu sein. In diesem Zusammenhang ist wohl der schönste Spaß in diesem Film, Cate Blanchett bei ihrem Auftritt als stalinistischer Domina im Dienst der Sowjetunion zuzusehen - mit strengem Pagenschnitt, dunklen Haaren und starkem Akzent offen in der Tradition von Greta Garbos kühl lächelnder "Ninotschka"-Rolle, aber auch des abgründigen Sarkasmus der großen Lotte Lenya als russischer Agentin in "Liebesgrüße aus Moskau".

Doch Spielberg nutzt die Zeit der frühen Atombombentests und der McCarthy-Ära sehr schnell und deutlich auch dazu, seine aktuellen politischen Ansichten in 50 Jahre alte Kostüme zu kleiden: "I don't recognize this country any more", sagt Indiana Jones. Deutlich spielt die Paranoia der Kommunistenhatz, die sogar Indiana Jones bald außer Landes zwingt, auf George W. Bushs "War on Terror" an. Es gibt keinen wirklichen Frieden hier, Smalltown-Amerika ist eine Illusion, ein mit Plastikpuppen bevölkertes Kulissendorf, hinter dem der absolute Schrecken lauert: der nukleare Weltenbrand.

Rote Ameisen und kleine grüne Männchen

Kurzweilig ist also der Anfang, doch dann dehnt dieser sich immer noch etwas weiter, tritt das Recycling seines Helden immer breiter, und eine halbe Stunde ist vergangen, bevor der Film dann ansatzweise seine Handlung findet. Diese dreht sich um einen merkwürdigen Kristallschädel, der überraschenderweise magnetische (!) Kräfte entwickelt. Wie sich herausstellt, stammt der Schädel von Außerirdischen. Je nachdem, ob man als Zuschauer nun selbst Esoteriker ist, an Aliens glaubt, Erich von Däniken schätzt, gern auf Pyramiden klettert oder das "Festival des archäologischen Films" in Athen besucht, wird man der nach üblichen Maßstäben zunehmend abstrusen Handlung viel abgewinnen - oder eben ziemlich wenig.

Von jedem Realitätsbezug und erzählerischer Seriosität - falls man dergleichen bei einem "Indiana Jones"-Film überhaupt noch erwartet - muss man sich schon spätestens nach einer Viertelstunde verabschieden, als der Titelheld einen Atombombentest in der Wüste von Nevada unbeschadet übersteht, weil er in der Eile einen Kühlschrank zum Schutzraum umfunktioniert - und am Ende grinsend und unbeschadet vor dem riesigen Atompilz aus dem Kühlschrank klettert. Solcher Art völlig geschmack- und instinktlosen Umgangs mit bestimmten Abgründen des realexistierenden Schreckens waren die "Indiana Jones"-Filme schon immer gnadenlos unbekümmert - Hiroshima-Opfer kaufen ja sowieso keine Eintrittskarten.

Das Ende des Films, bei dem ein UFO aus einer Maya-Pyramide heraus in den Himmel startet, erinnert außer an Spielbergs kuriose Privatmythologien aus "E.T." und "Unheimliche Begegnung der Dritten Art" auch verdächtig an Roland Emmerichs unfreiwillig albernen Mythenmix "10.000 BC".

Dazwischen liegen zwei Stunden atemloses Hetz-Kino, das eher an ein Computerspiel erinnert als an einen Film: Fortwährend hat der Held eine neue Herausforderung zu bewältigen - Skorpione, drei Wasserfälle hintereinander, mörderische Eingeborene ... Doch nach jeweils etwa einer Minute verschwindet die Gefahr wieder so schnell, wie sie gekommen ist, auf Nimmerwiedersehen - das Aufmerksamkeitsdefizitsyndrom als neues Drehbuchprinzip.

Unabhängig davon aber lässt sich, wenn man die Eindrücke zwischen atemlosen Verfolgungsjagden, menschenfressenden roten Ameisen und kleinen grünen Männchen geordnet und einmal durchgeatmet hat, eines sagen: "Indiana Jones and the Kingdom of the Crystal Skull" ist ein Film ohne echte Überraschungen und daher enttäuschend - und nach all der Erwartungsfreude ist die Tatsache dann doch etwas zu wenig, dass sich Spielberg hier seinen persönlichen Kindergeburtstag gegönnt hat.

Was Indiana Jones in der Maya-Pyramide sucht, ist Wissen, nicht Entertainment

Der Irrtum all derjenigen, die es hier nun ablehnen nachzudenken - womit sie nur verraten, dass sie am liebsten überall darauf verzichten würden -, ist, dass man ihrer Ansicht nach über dumme Dinge nicht nachdenken kann oder dass Unterhaltung mit

Nachdenken nichts zu tun hätte. "Nachdenken schadet nur", behaupten manche. Aber wobei eigentlich? Wenn der Film gut ist, ist er gut. Nachdenken schadet nur, wenn man beim Nachdenken darauf kommt, wie blödsinnig er im Grunde ist. Aber zumindest darüber, dass Spielberg viel nachgedacht hat, wird man sich doch wohl einigen können, oder? Sollte man dann nicht auch über Spielbergs Gedanken nachdenken? Es ist ein Irrtum anzunehmen, dass nur das, was den Verstand beleidigt, unterhalten kann, dass etwas, um unterhalten zu können, auch wirr und grob sein muss.

Warum behandelt man seinen Geist so, wie man den eigenen Körper niemals behandeln würde? Wer ernährt sich eigentlich nur von McDonald's? Wer glaubt, dass McDonalds gesund ist? Ab und zu trotzdem mal zu McDonald's gehen, macht jeder. Aber muss man deswegen behaupten, es sei gesund? In einer Filmkritik geht es nur darum, zu benennen, um was für eine Art Film es sich handelt.

Wer dann gegen Intellektuelle schimpft, die einem den Spaß rauben, den darf man erinnern, dass Indiana Jones selbst ein Intellektueller ist, der in diesem Fall von McCarthy wegen Nonkonformismus vertrieben wird. Und was er in der Maya-Pyramide sucht, ist Wissen, nicht Entertainment.

Kinder an die Macht: Playmobilritter im Legoland

"Indiana Jones"-Filme sind barockes Patchwork-Kino, das jenen Kinderspielen ähnelt, in denen Playmobilritter gegen Legocowboys kämpfen, auf Modelleisenbahnen fahren und mit China-Krachern in die Luft gesprengt werden. Was dann immer so dagegen argumentiert wird - der Film will ja "nur" Unterhaltung sein (was auch die Unterhaltung unterschätzt) -, führt weit am Thema vorbei. Denn die Frage ist ja zum einen die, ob unterhalten wird, und da kann man in diesem Fall schon geteilter Meinung sein, aber auch, mit welchen Mitteln.

Wenn "Indiana Jones" manchen nicht gefällt, geht es nicht um billige Effekte, nicht um Bilder, die ihren Second-Hand-Charakter zum Inhalt machen so wie eine stonewashed-Jeans. Es geht um billige Inhalte, um Gedanken mit Second-Hand-Charakter. Es geht darum, was es über eine Kultur verrät, wenn ihre erfolgreichsten Produkte aus Kinderquatsch bestehen, und wenn die erwachsenen Konsumenten dieses Kinderquatsches damit auch noch ein gutes Gewissen haben. Dass in einem Kindergarten die Spaßverderber mit Hohn und Spott beworfen werden, dass man sie diskreditiert, sollte jedenfalls nicht überraschen.

Ein philosophisches Werk: Abschied von der linearen Form

Die Aliens sind natürlich auch ein doppeltes und dreifaches Selbstzitat Spielbergs: "Unheimliche Begegnung der Dritten Art", "E.T." und "A.I." standen sämtlich Pate. Spielberg hat seinen persönlichen Hang zur Esoterik und Privatmythologie, das Hippiehafte, die LSD-Züge seiner Weltsicht immer schon gepflegt, und sein Genie besteht nicht zuletzt daraus, dem eine massentaugliche Form zu geben. Natürlich ist Spielberg einer der größten Mythologen des Gegenwartskinos, und noch in Jahrhunderten wird man aus seinen Filmen etwas über den Geist und die Irrtümer unseres Zeitalters erfahren.

Mit "Raiders of the Lost Ark" begann 1981 das Eindringen der Esoterik in den Action-Film. Es geht nicht um das Irrationale, nicht um Gegenaufklärung, sondern um Ununterscheidbarkeit: Mythos und Aufklärung, Technik und Religion vermischen sich in diesen Filmen bis zur Unkenntlichkeit.

In "Indiana Jones 4" nun verschmelzen Maya-Mystik, Christen-Kitsch und Däniken-Kaffeekranz in der in mindestens vier Dimensionen erzählten Story. Wenn das nun wenigstens geschmackvoll inszeniert wäre, wie es Spielberg vor lauter Kubrik-Ehrfurcht in "A.I." gelang, hätte es vielleicht sogar ein schön psychodelisch durchgeknallter Film werden können. Doch das Ganze ist visuell gerade im Eso-Teil unterirdisch: Der Versuch, einen visuellen Ausdruck für das Mythische, für Transzendenz zu finden, mündet in kindische und spießige Bilder von erschütternder Banalität.

Was "Indiana Jones and the Kingdom of the Crystal Skull" zu einem für unser Zeitalter repräsentativen Kunstwerk macht, ist der Abschied von der linearen Form. Scheint alles hier auch ein rasender Pfeil durch die Zeit, ein einziger vulgärer roter Faden zu sein, herrscht in Wahrheit rasender Stillstand und Atomismus: Jeder Punkt dieses Films kann im Prinzip mit jedem anderen verbunden werden, der Anfang könnte das Ende sein, die letzte Szene die drittletzte, der Wasserfall der Beginn und die Mumienöffung das Ende. Es gibt keine Ordnung und Einheit mehr, es herrscht beziehungslose Mannigfaltigkeit.

Spielberg und Lucas, die antraten, realistische Erzählformen der klassischen Moderne, die über Konstruktivismus und Abstraktion verlorengingen oder vergessen wurden, zu erneuern, haben in Wahrheit einen der abstraktesten und konstruktivistischten Filme geschaffen, die man sich vorstellen kann.

Auch wenn es manchem Fan nicht passen wird, aber: Dieser Film ist ein philosophisches Werk. Er bringt die Gegenwart auf den Punkt. Und er verweist auf die Zukunft - gerade weil er reine Oberfläche ist. Schön müssen wir ihn deshalb allerdings nicht finden.

Telekom soll Spitzel in der Capital-Redaktion platziert haben

In der Affäre um die Überwachung von Journalistenkontakten muss sich die Deutsche Telekom mit neuen konkreten Vorwürfen auseinandersetzen. Nach Informationen des Spiegel und der Süddeutschen Zeitung soll der Bonner Konzern im Jahr 2005 "über Monate" einen Maulwurf beim Wirtschaftsmagazin Capital eingeschleust haben. Eine Detektei sei damit beauftragt worden, den Spitzel in der Redaktion unterzubringen und zu führen. Der Maulwurf habe offenbar nachweisen können, dass ein damaliges Telekom-Betriebsratsmitglied Kontakt zu dem Capital-Redakteur Reinhard Kowalewsky hatte.
Zuvor war bekannt geworden, dass unter anderem Kowalewsky Ziel der Aktionen mit den hübschen Namen "Clipper" und "Rheingold" war, bei denen Telefonverbindungsdaten auf Kontakte zwischen Aufsichtsratsmitgliedern und Journalisten überprüft worden sein sollen. Dabei seien aus 250.000 Datensätzen 8000 potenzielle Journalistengespräche herausgefiltert worden. Im Zentrum der Ermittlungen sollen nach Spiegel-Angaben drei Wirtschaftsjournalisten gestanden haben. Auch Kowalewsky hatte 2005 und 2006 kenntnisreich über geheime Planungen der Telekom berichtet.
Unterdessen gerät in der Causa Kowalewksy auch Telekom-Chef René Obermann stärker unter Druck. Der Vorstand habe bereits 2007 Kenntnis von der Bespitzelung des Capital-Manns gehabt, berichtet unter anderem die Süddeutsche Zeitung. Obermann habe daraufhin den Chef der Sicherheitsabteilung entlassen und die Konzernsicherheit umgekrempelt. Die Capital-Redaktion sei aber nicht über die Vorgänge in Kenntnis gesetzt worden.
Erst nach Bekanntwerden der Affäre am vergangenen Wochenende sei Capital informiert worden, "dass jener 'Einzelfall' mit einer Ausspähung des Capital-Redakteurs Reinhard Kowalewsky, 48, in Zusammenhang stehe", teilte das Magazin dazu mit und schloss straf- und zivilrechtliche Schritte nicht aus. Kowalewsky selbst zeigte sich von den Vorgängen gegenüber den ARD-Tagesthemen entsetzt.
Ein Telekom-Sprecher bestätigte die Berichte, Spekulationen über eine mögliche Verstrickung von Obermann in die Affäre wies das Unternehmen allerdings zurück. Der Aufsichtsratsvorsitzende Klaus Zumwinkel habe Obermann von einem "verfrühten schädlichen Gang an die Öffentlichkeit dringend abgeraten", hieß es in einer Mitteilung des Unternehmens vom späten Mittwochabend. Eine Pflicht zur öffentlichen Anzeige habe es "zu keiner Zeit" gegeben. Zudem habe man die Ermittlungen nicht durch eine frühzeitige Veröffentlichung gefährden wollen.
Der Aufsichtsrat der Deutschen Telekom hat dem Vorstandsvorsitzenden indes den Rücken gestärkt. Das Kontrollgremium habe ausdrücklich die von Obermann eingeleiteten Maßnahmen begrüßt und seinen Kurs unterstützt, um künftig einen Datenmissbrauch in dem Unternehmen zu verhindern, sagte Konzernsprecher Philipp Schindera nach einer Aufsichtsratssitzung am Mittwochabend in Bonn. Zu Details der fünfstündigen Sitzung wollte er sich nicht äußern.

Zuvor hatte der frühere Personalvorstand der Telekom, Heinz Klinkhammer, Zumwinkel und den damals verantwortlichen Vorstandschef Kai-Uwe Ricke belastet. Der Auftrag für interne Ermittlungen sei an Klinkhammer vorbei "aus dem Umfeld Ricke und Zumwinkel erteilt worden". Zumwinkel und Ricke wiesen die Vorwürfe zurück.(Quelle:Heise.de)

Siehe dazu auch:

• Telekom-Überwachungsaffäre: Frühere Konzernleitung belastet
• Kriminalbeamte fordern zentrale Datenbank für Verbindungsdaten
• Datenschützer sehen schwindendes Rechtsbewusstsein
• Telekom arbeitet mit Hochdruck an Aufklärung der Bespitzelungsaffäre

• Ethikverband: "Krimineller Sumpf" bei der Telekom
• Telekom-Chef Obermann will "harte Konsequenzen" aus Bespitzelungsaffäre ziehen
• DJV nennt Telekom-Bespitzelungsaffäre "Angriff auf Pressefreiheit"
• Telekom-Aufsichtsrat fordert schnelle Aufklärung im Spitzel-Skandal
• Telekom soll eigene Manager bespitzelt haben

Yahoo BrowserPlus erweitert Firefox und Internet Explorer

Nach Adobe AIR, Mozilla Prism, Microsofts Silverlight/XAML und ähnlichen Projekten will nun auch Yahoo die Grenzen zwischen Web- und Desktopanwendungen einreißen. Yahoo BrowserPlus, das jetzt in einer "Sneak Preview"-Vorabversion erschienen ist, hängt sich unter Windows oder Intel-Macs als Plug-in an Firefox 2/3 oder Internet Explorer 7. Weitere Browser und Betriebssysteme dürften bis zur finalen Version dazustoßen.
BrowserPlus erleichtert die Interaktion zwischen Browser und Betriebssystem, sodass sich Webanwendungen ähnlich komfortabel wie Desktop-Programme bedienen lassen. So lädt zum Beispiel eine Flickr-Demoanwendung Bilder im Browser per Drag und Drop hoch. Andere Beispiele sind Zugriffe auf das Dateisystem (mit Nachfrage beim Anwender) oder Benachrichtigungen im Betriebssystem.
BrowserPlus lädt einzelne in JavaScript oder auch in Ruby geschriebene Dienste nach Nachfrage herunter und stellt sie bereit, sodass Webanwendungen auf sie zugreifen können; der Funktionsumfang des Plug-ins lässt sich also benutzerfreundlich erweitern. Dabei will Yahoo auf die Sicherheit der Anwender geachtet haben. Während der Preview-Phase lassen sich BrowserPlus-Dienste nur von Yahoo-Websites aus nutzen.(Quelle:Heise.de)

Fatboy Slim will seinen Namen ändern

London - DJ-Legende Fatboy Slim (44) hat das Ende einer Ära angekündigt. Wie die «Sun» in ihrer Onlineausgabe berichtet, will der Musiker, der eigentlich Norman Cook heißt, sein neues Album nicht mehr unter seinem bewährten Künstlernamen produzieren.

Ob er sich schon für ein neues Pseudonym entschieden habe, wollte der Brite nicht verraten. Vielleicht werde er sich «Madonna» nennen, scherzte Cook. Er produzierte bereits unter Namen wie Beats International, Pizzaman oder The Housemartins. Unter dem Namen Fatboy Slim arbeitete er in den vergangenen elf Jahren.

Ex-Hacker Kevin Mitnick - "Es gibt keinen Patch für Dummheit"

"Social Engineering" effektiver als technische Attacken - Mitarbeiter zu leichtgläubig - Leichtes Spiel beim Herauslocken von Infos

Dunkler Anzug mit Krawatte, Kurzhaarschnitt und polierte Schuhe: So würde man sich einen Cyberkriminellen gemeinhin wohl kaum vorstellen. Aber es ist ja auch schon einige Jahre her, dass der ehemalige amerikanische Computerhacker Kevin Mitnick - der vor seiner Festnahme "unglücklicherweise" einer der meistgesuchten Hacker der USA war - sein Unwesen trieb. Inzwischen zieht er durch die Länder, warnt vor "Social Engineering" und propagiert die "menschliche Firewall".

Täuschung und Manipulation

Durch "Social Engineering", also die Täuschung und Manipulation von Mitarbeitern, damit diese unwissentlich Informationen oder Daten preisgeben, würden herkömmliche Sicherheitsmaßnahmen sehr leicht ausgehebelt. "Ein Anruf genügt und die Technik ist ineffektiv", erklärte Mitnick gestern, Montagabend, bei einer Veranstaltung im Tiroler Alpbach. Das Ausnützen der Schwachstelle Mensch bringe viele Vorteile: "Es ist einfacher als ein technischer Hack, die Werkzeuge dafür sind meist gratis, es wirkt unabhängig vom Betriebssystem und das Bewusstsein dafür fehlt." Außerdem gebe es "keinen Patch für Dummheit", sagte der Experte.

"Es ist rausgeschmissenes Geld"

"Egal wie viel man für IT-Sicherheit ausgibt: Es ist rausgeschmissenes Geld, wenn das Fehlverhalten eines Mitarbeiters ausreicht, um das Unternehmen in Gefahr zu bringen. Das Personal muss entsprechend geschult werden, damit Annäherungsversuche schon im Vorfeld bemerkt werden", erklärte der wegen Einbrüchen in die Rechner von Motorola, Novell, Nokia oder Sun Microsystems verurteilte Fachmann. Es sei erstaunlich einfach, Informationen zu erhalten, wenn man sich am Telefon etwa als Helpdesk-Mitarbeiter ausgebe. Von 100 nach Username und Passwort befragten Managern hätten 35 bereitwillig Auskunft gegeben.

Das Handy von Paris Hilton

Als weiteres Beispiel für "Social Engineering" nannte Mitnick das Knacken von Paris Hiltons Handy und die anschließende Veröffentlichung ihres Telefonverzeichnisses. In diesem Fall hätten sich die Täter mit gefälschter Anrufkennung bei Hiltons Mobilfunkbetreiber T-Mobile als Mitarbeiter ausgegeben und von Netzwerkproblemen erzählt, um an das Passwort der Hotelerbin zu gelangen. Anschließend änderten sie die Zugangsdaten über einen Fehler auf der T-Mobile-Webseite, so Mitnick.

Kreativität

Der Kreativität seien keine Grenzen gesetzt. Inzwischen würden auch USB-Sticks - also mobile Datenspeicher - beispielsweise in der Kantine "vergessen". Sollte den Finder die Neugier überkommen oder er ihn selber verwenden wollen, wären böse Überraschungen garantiert. Sobald man den Stick an den Computer anschließe, werde ein modifizierter Trojaner installiert, der käuflich zu erwerben und von keinem Virenschutzhersteller erkennbar sei. Anschließend kann der Angreifer beispielsweise live mitverfolgen, was auf dem Rechner vor sich geht, die Kontrolle über den PC übernehmen oder den User über das Mikrophon belauschen.

Je kleiner die Firma, desto schwieriger die Attacke

"In 99,5 Prozent der Fälle ist 'Social Engineering' erfolgreich. Auch Motorola und Co. waren technisch sehr gut gesichert. Das hat ihnen aber nichts genützt", meinte Mitnick. Generell gelte dabei, je kleiner die Firma, desto schwieriger die Attacke. Hohe Personalfluktuation erleichtere die Sache hingegen. "Zwar nimmt die Überprüfung der Jobwerber deutlich zu. Personalberater lehnen aber auch Hacker nicht immer ab, weil das ihren Interessen widerspricht. Schließlich bekommen sie Provisionen", meint der Experte, der heute eine IT-Sicherheitsfirma leitet. Kritik gab es aber auch an den Softwareunternehmen: "Vielleicht sollte man sie haftbar machen, wenn ihre Produkte fehlerhaft sind."

"Mit heruntergelassener Hose"

Der Vorratsdatenspeicherung steht Mitnick skeptisch gegenüber. "Ich persönlich mag das nicht. Allerdings gibt es die Möglichkeit, anonyme Handywertkarten zu verwenden und bar zu bezahlen oder bei Starbucks anonym im Internet zu surfen." In den USA seien der Geheimdienst NSA und der Telekomkonzern AT&T "mit heruntergelassener Hose" erwischt worden, weil sie heimlich den Telefonverkehr überwacht und entsprechende Daten ohne richterliche Genehmigung gesammelt hätten. "Und sie tun es noch immer", gab sich Mitnick überzeugt.
Begonnen habe seine "Karriere" schon früh, auch sein Umfeld dürfte eine Rolle gespielt haben. Ein Schulfreund manipulierte beispielsweise Telefonanschlüsse von Verwandten, so dass diese nach dem Abheben von einer Tonbandansage der Telekomgesellschaft aufgefordert wurden, eine Münze einzuwerfen. Insgesamt führte Mitnick die US-Bundespolizei FBI drei Jahre lang an der Nase herum. Schließlich konnten die Ermittler seine elektronischen Spuren aber doch zurückverfolgen und nahmen ihn 1995 nach einer spektakulären Verfolgungsjagd fest. Zeitweise tauchte Mitnick als Eric Weiss unter, dem bürgerlichen Namen des Zauberkünstlers Harry Houdini. "Ich dachte, ich hätte Humor, aber das FBI hatte keinen", sagte der auf Einladung des Tiroler Softwareunternehmens phion angereiste IT-Profi.

"Ich habe seinen Rechner angegriffen und daher habe ich diese Reaktion verdient"

Sein Fehler war es, den Computer-Sicherheitsexperten Tsutomu Shimomura verärgert zu haben, der noch raffinierter arbeitete als Mitnick. "Ich habe seinen Rechner angegriffen und daher habe ich diese Reaktion verdient", gibt sich Mitnick heute einsichtig. Auf dieser Geschichte basierte auch ein Spielfilm, später erzählte der New York Times-Reporter John Markoff in exklusiven Artikeln sowie in dem Bestseller "Takedown" über die Festnahme. Mitnick sieht dessen Geschichten aber als "Falschmeldungen". Der damals "meist gesuchte Kriminelle der USA" saß fünf Jahre im Gefängnis. Im Jänner 2000 wurde er mit der Auflage entlassen, drei Jahre lang keinen Computer und kein internetfähiges Gerät mehr anzurühren.

Neues Buch

Richtig reich könnte Mitnick werden, wenn er ausführlich über seine Taten und die Festnahme von 1995 berichten würde. Bis zum Jahr 2007 durfte er von einem solchen Buch nicht profitieren, der Verkaufserlös wäre an die US-Regierung gegangen. Eine Anfrage für eine Autobiografie sei aber bereits eingetrudelt, das Buch soll in rund einem Jahr erscheinen, bestätigte Mitnick in Alpbach.(Quelle:derstandart.at)

Fleißige Zensoren: Türkische Gerichte riegeln das Internet ab

Anfang Mai war wieder einmal Schluss. Türkische Gerichte sperrten den Zugang zum Internet-Videoportal "Youtube", weil in einem Clip der türkische Staatsgründer Atatürk beleidigt worden sein soll. Zum dritten Mal innerhalb von nur zwei Monaten schritten türkische Richter gegen die Website ein, die seit dem vergangenen Jahr schon mehrmals abgeriegelt worden war. Dass die türkische Justiz meint, die Bürger vor einer der beliebtesten Websites der Welt schützen zu müssen, hat Kritiker im In- und Ausland auf den Plan gerufen. Der Eifer der Zensoren verdeutlicht auch, welch merkwürdiges Verhältnis große Teile der Bürokratie im EU-Bewerberland Türkei zum Prinzip der Meinungsfreiheit haben.

PKK

"Youtube" ist das prominenteste, aber bei weitem nicht das einzige Opfer der türkischen Meinungswächter. Das Photo-Portal "Slide", die unabhängige Nachrichten-Website "Indymedia" und die türkische Version von "Google Groups" sind in den vergangenen Monaten vorübergehend von türkischen Computern aus nicht zu erreichen gewesen, wie die Journalistenvereinigung "Reporter ohne Grenzen" (RSF/RoG) registrierte. Der Zugang zu pro-kurdischen Medien, die der kurdischen Rebellengruppe PKK nahe stehen, wie die Website der Tageszeitung "Özgür Gündem", ist in der Türkei ohnehin gesperrt.

"Türkentum"

Die türkischen Gesetze schränkten die Meinungsfreiheit nach wie vor zu sehr ein, kritisierte "Reporter ohne Grenzen". Wie schon in der Debatte um den kürzlich entschärften "Türkentum"-Artikel 301 des türkischen Gesetzbuches wird beim Vorgehen der Gerichte gegen unliebsame Websites deutlich, dass die Justiz in der Türkei nach wie vor große Probleme damit hat, kritische Meinungsäußerungen als Bestandteil einer demokratischen Gesellschaft anzusehen. Die Gesetze geben Staatsanwälten und Gerichten die Möglichkeiten, bei einem Verdacht gegen eine Website sofort zuzuschlagen und die Seite lahmzulegen.

Übertrieben

m Fall "Youtube" sei es übertrieben, den Zugang zu der gesamten Website zu sperren, weil einige Videoclips beanstandet würden, kritisiert Füsun Sarp Nebil, der Chef von "Turk.Internet.Com", einer Plattform für türkische Web-Unternehmen. Ganz "Youtube" abzuriegeln sei so, als wenn man "wegen eines Buches die ganze Buchhandlung abbrennt", sagte Nebil bei einer Konferenz Anfang Mai. Der Internet-Experte Mustafa Akgül von der Ankaraner Bilkent-Universität stellte die Frage, ob die Türkei ihren Bürgern auch den Zugang zur Bibliothek des US-Kongresses in Washington verwehren wolle - schließlich stünden dort tausende Bücher, in denen Atatürk nicht besonders positiv dargestellt werde.

Zögerlich

So schnell die türkische Justiz mit Verboten bei der Hand ist, so zögerlich ist sie bei der Aufhebung von Zugangssperren. Die Google-Juristin Nicole Wong sagte in der vergangenen Woche vor einem Ausschuss des US-Senats, ihr Unternehmen stehe wegen des Problems mit der Tochterfirma Youtube seit Monaten in Kontakt mit türkischen Behörden. Grundsätzlich ist Google bereit, auf die Gesetze einzelner Länder Rücksicht zu nehmen - wie etwa auf das Verbot von Nazi-Propaganda in Deutschland. Doch in der Türkei ist die Zusammenarbeit mit den Behörden laut Wong alles andere als einfach: "Es ist schon schwierig herauszubekommen, welche Videos denn nun eigentlich der Anlass für die Beschwerden waren."

Doch das Internet ist anders als Zeitungen oder Bücher - eine effektive Zensur ist schwierig. In der Türkei tauschen Blogger und Teilnehmer von Internetforen längst Kniffe und Ideen aus, wie die gerichtlichen Sperren für "Youtube" und andere Websites umgangen werden können.

Öffentlichkeit verärger

Unterdessen wächst in der Öffentlichkeit die Verärgerung über die Internet-Kontrolleure in den Gerichten. Die Türkei sei eines von nur 13 Ländern auf der ganzen Welt, in denen "Youtube" im vergangenen Jahr verboten worden sei, kommentierte jetzt die Zeitung "Vatan", die ihren Lesern eine entsprechend eingefärbte Weltkarte präsentierte: "Karte der Schande", lautete die Schlagzeile. (Von Susanne Güsten/APA)(Quelle:derstandart.at)

SECURITY - Buffer Overflow in Motorolas RAZR-Handys

Das Anschauen von Bildern kann auch auf Handys fatale Folgen haben, wie die Zero Day Initiative berichtet. Manipulierte JPG-Bilder können auf Motorolas RAZR-Handys einen Buffer Overflow provozieren, durch den sich laut Bericht Schadcode auf dem Gerät ausführen lässt. Dazu muss der Anwender ein derartiges Bild aber selbst öffnen, das beispielsweise per MMS oder Bluetooth auf sein Handy gelangt ist. Allerdings gibt es bei MMS eine Besonderheit zu beachten: Die MMS-Gateways transkodieren Bilder unter Umständen, um es an die vorhandenen Eigenschaften des Empfangs-Handys anzupassen. Dazu kann es beispielsweise die Auflösung herunterrechnen oder ein Bild im PNG-Format in das JPG-Format umwandeln.
Laut Bericht liegt der Fehler aber im EXIF-Parser, der für das Auswerten der Meta-Daten im Bild verantwortlich ist – die in der Regel ohne Änderung durch das Gateway gehen. Motorola wurde über die Lücke bereits im Juli des vergangenen Jahres informiert und hat den Fehler in neueren Versionen behoben. Motorola hat ein Update für Besitzer älterer Versionen bereitgestellt. (Quelle:Heise.de)

Siehe dazu auch:

• Motorola RAZR JPG Processing Stack Overflow Vulnerability, Meldung von ZDI

SECURITY: Tausende deutsche Server laden zum Einbruch ein

Die Chancen, mit einfachsten Mitteln einen Server zu hacken, sind derzeit alarmierend hoch. Denn zwei Wochen nach dem Bekanntwerden des Debian-OpenSSL-Debakels setzen noch immer Tausende von Servern schwache OpenSSH-Schlüssel ein. Das bedeutet zum einen, dass ihre verschlüsselten SSH-Verbindungen abgehört werden können und sich beispielsweise das Login-Passwort ausspionieren lässt. Zum anderen stellen diese Server aber auch sehr lohnende Ziele für Brute-Force-Attacken dar. Denn die Chancen sind vergleichsweise gut, allein durch Ausprobieren einen Schlüssel für einen Root-Zugang zu erraten.
Kurze Stichproben von heise Security enthüllten Erschreckendes: In den Netzen von Root-Server-Providern verwendeten von 1938 erreichbaren SSH-Servern 114 bekanntermaßen schwache Schlüssel – das sind immerhin rund fünf Prozent. Dabei unterschied sich die Situtation bei den einzelnen Providern deutlich. Während beispielsweise bei Server4you fast jeder vierte Server angreifbar war, fanden wir bei Strato und 1&1 weniger als zwei Prozent mit schwachen Schlüsseln. Dazwischen lagen Host Europe und Hetzner mit circa 10 Prozent.
Alle Ergebnisse beruhen nur auf Stichproben in wenigen Class-C-Netzen, also wenigen hundert SSH-Servern pro Provider. Sie können somit nur als grobe Anhaltspunkte dienen; die Schätzung, dass allein in Deutschland weit über tausend Root-Server verwundbar sind, dürfte jedoch angesichts der Tatsache, dass wir bereits mit geringem Aufwand über hundert aufspüren konnten, nicht übertrieben sein.
Außerdem liegt es nahe, die Unterschiede zwischen den Providern im Zusammenhang mit deren Informationspolitik zu betrachten. So warnte Strato seine Kunden explizit vor dem Problem und forderte sie in einer Mail zum Update auf. Bei Server4You, Host Europe und Hetzner hingegen versicherten uns Betroffene, bislang nichts Diesbezügliches von ihrem Provider gehört zu haben. [Update: Mittlerweile liegen uns auch Berichte vor, nach denen zumindest manche Hetzner- beziehungsweise Server4You-Kunden informiert wurden.]

Warum ein verwundbarer SSH-Host-Key die Perfect Forward Secrecy des Diffie-Hellman-Schlüsselaustauschs kaputt macht und warum man alle DSA-Schlüssel ausrangieren sollte, wenn sie zur Kommunikation mit einem verwundbaren SSH-Server eingesetzt wurden, erklärt der Hintergrundartikel Gute Zahlen, schlechte Zahlen. Konkrete Tipps für Administratoren, wie man herausfindet, welche Schlüssel verwundbar sind und welche Tools dabei helfen, liefert Der kleine OpenSSL-Wegweiser. (Quelle:Heise.de)

Siehe dazu auch:

• Die Bedeutung der Zufallszahlen beim OpenSSL-Debakel, Knowhow-Artikel auf heise Security
• Der kleine OpenSSL-Wegweiser, Praxis-Artikel auf heise Security

Achtung Hooligans - Doku

Fußballverrückte - Hooligans - erzählen in diesem Film von sich, von ihren Leidenschaften, ihrer Aggressivität, ihrer Wut, ihrem Hass und ihrer Gewalttätigkeit. Ein Horrortrip in eine brutale und kaum bekannte Welt.Die Protagonisten dieses Films haben sich zum Teil von der Hooligan-Szene distanziert und sind zwischen 30 und 50 Jahre alt. Schonungslos beschreiben sie, wie sie vorgegangen sind, wer die gewaltbereiten Kumpels waren, mit denen sie ein Netzwerk, eine Ersatzfamilie, bildeten.Terry, Andy, Andrew, Mark und Jan sind urwüchsige, schillernde Typen, sie wirken vielschichtiger als erwartet. Hooligans, die “geständig” sind, von ihrer “Kultur” und von sich erzählen, von ihrer Hooligan-Familie. Sie stehen zu ihrer Gewalt, zu ihrer Fußballleidenschaft - zu einer Welt, die sie als wahnsinnig, verrückt und krankhaft beschreiben.
Dokumentation über Hooligans:

SECURITY - Daten von tausenden Studenten der Uni Magdeburg im Netz

Die Otto-von-Guericke-Universität in Magdeburg hatte eine böse Datenpanne: Daten von rund 44.000 Studenten der Universität waren im Netz frei zugänglich. Inzwischen seien sie wieder entfernt worden, meldete jetzt die Universität.
Das Universitätsrektorat informierte die Studenten am vergangenen Freitag in einer Rund-Mail über das Problem. Darin heißt es: "Nach Bekanntwerden dieses Sachverhalts hat die Universität sofort alles unternommen, um diese Zugriffsmöglichkeit zu unterbinden. Mittlerweile sind diese Angaben nicht mehr verfügbar. Gegenwärtig setzen wir alles daran, den Vorgang aufzuklären und Vorsorge dafür zu treffen, um Derartiges künftig unbedingt auszuschließen. Wir werden ferner alles unternehmen, um einen Missbrauch der Daten zu verhindern."
Die Untersuchung des Vorfalls hat ergeben, dass ein Verwaltungsangestellter offenbar an einem Wochenende zu Hause arbeiten wollte und dafür die Daten, eine Access-Datenbank unter anderem mit Namen, Geburtsdatum, Anschrift, Telefonnummer, Herkunft sowie Angaben zum Studium wie Matrikelnummer, auf einen öffentlich zugreifbaren Server abgelegt hat; dadurch waren sie etwa mit Suchmaschinen auffindbar. Er habe anschließend vergessen, die Daten wieder zu löschen. Die Datenbank lag vom 9. bis zum 19. Mai offen und ungeschützt im Netz.
Gegenüber dpa entschuldigte sich der Kanzler der Uni, Wolfgang Lehnecke: "Es tut uns leid, wir tun alles, damit der Datenschutz wieder vollumfänglich gewährleistet wird". Es handele sich um den ersten derartigen Vorfall. In dem Rundschreiben an die Studenten erläutert die Universität geplante Maßnahmen: "Damit der Datenschutz trotz dieses Vorkommnisses gewährt bleibt, haben wir als Sofortmaßnahme beschlossen, dass Angaben zu Ihrer Person vorerst nicht mehr per Aushang (z. B. in Prüfungsämtern) bekannt gegeben werden." Wie oft auf die Datenbank zugegriffen beziehungsweise sie möglicherweise kopiert wurde, hat die Universität Magedeburg nicht mitgeteilt. (Quelle:Heise.de)

Bundesnetzagentur warnt vor Nutzung alter Schnurlos-Telefone nach 2008

Ältere schnurlose Telefone der Standards CT1+ und CT2 dürfen ab Ende des Jahres nicht mehr genutzt werden. Darauf wies die Bundesnetzagentur in Bonn am heutigen Dienstag hin. Die von den Standards genutzten Frequenzen seien zeitlich begrenzt erteilt worden und würden im Rahmen der europäischen Frequenzharmonisierung umgewidmet. Der Frequenzbereich für das System CT1+ (885 bis 887 sowie 930 bis 932 MHz) sei inzwischen für die Nutzung durch öffentlichen Mobilfunk vorgesehen, während der CT2-Bereich (864,1 bis 868,1 MHz) künftig Funkanwendungen kleiner Reichweite zur Verfügung stehen soll.
Die Regulierungsbehörde weist darauf hin, dass schnurlose Telefone der Standards CT1+ und CT2 ab dem 1. Januar 2009 im Gebiet der Bundesrepublik Deutschland nicht mehr betrieben werden dürfen. Stellt der Funkmessdienst der Bundesnetzagentur bei der Eingrenzung von Funkstörungen ein solches Schnurlostelefon als Verursacher einer Störung fest, so werde dem Verursacher der Aufwand der Störungssuche in Rechnung gestellt. Da es sich um eine Ordnungswidrigkeit handelt, könne zudem ein Bußgeld fällig werden, betonte die Behörde.
Die Allgemeinzuteilung des Frequenzbereichs für digitale Schnurlostelefone nach dem DECT-Standard ist von der genannten Frist nicht betroffen, heißt es weiter. Hier sei derzeit die Allgemeinzuteilung des Frequenzbereichs für DECT-Geräte bis zum Jahr 2013 befristet und werde in Abhängigkeit von der europäischen Harmonisierung fortgeschrieben.
Informationen über den benutzten Standard oder Frequenzbereich eines schnurlosen Telefons enthält die Benutzungsanleitung für das Gerät; auf dem Gerät selbst ist in der Regel der verwendete Frequenzbereich angegeben. Auf ihrer Website stellt die Bundesnetzagentur weitere Informationen für Verbraucher zur Verfügung.(Quelle:heise.de)

SECURITY : Kritische Schwachstelle im Flash Player wird aktiv ausgenutzt

Symantec warnt vor einer Sicherheitslücke in Adobes Flash Player, die bereits aktiv von Webseiten missbraucht wird, um Nutzern der Software Trojaner unterzuschieben. Adobe analysiert den Fehler noch und kann daher bislang kein Update zur Verfügung stellen.
Laut Symantec liefern derzeit chinesische Server Code aus, der die Sicherheitslücke ausnutzt. Das Sicherheitsunternehmen nennt die Domains wuqing17173.cn und woai117.cn, das Internet Storm Center hat auch auf play0nlnie.com Exploit-Code gefunden. Dieser Code wird etwa von eingeschleusten Links in gehackten Webauftritten beispielsweise mit iframes aufgerufen, um auf die Rechner von Websurfern Trojaner einzuschleusen – alleine auf woai117.cn verweisen Symantec zufolge bereits mehr als 20.000 gehackte Webseiten, wie das Unternehmen mit einer Google-Suche festgestellt hat.
Bis Adobe ein Update für die betroffene Version 9.0.124.0 und ältere Fassungen veröffentlicht, das die Lücke schließt, müssen und sollten Anwender selbst Hand anlegen, um sich vor bösartigen swf-Dateien zu schützen. Netzwerkadministratoren sollten etwa den Zugriff auf die bislang bekannten Domains auf dem Internet-Gateway blockieren. Die Firefox-Add-ons Flashblock und NoScript ersetzen in Webseiten eingebettete Flash-Objekte durch Platzhalter und laden sie erst auf Anweisung des Anwenders nach.

Nutzern des Internet Explorer hilft die Deinstallation des Flash Player; Adobe bietet dafür auch einen eigenständigen Uninstaller an, der die Software vom Rechner entfernt. Auch das Setzen des Killbits für die ClassID d27cdb6e-ae6d-11cf-96b8-444553540000 bis zur Verfügbarkeit eines Updates hilft laut Symantec, sich vor den Angriffen zu schützen. IE-Nutzer können jedoch auch etwa mit dem c't-IE-Controller die Ausführung von Flash-Objekten verbieten und den Browser in eine Sandkiste verfrachten. (Quelle:Heise.de)

Siehe dazu auch:

• Symantec ThreatCon, Warnung von Symantec
• Potential Flash Player issue, Fehlerbericht von Adobes Sicherheitsteam
• Malicious swf files?, Sicherheitsmeldung vom Internet Storm Center

Peru als Prüfstein für "One Laptop per Child"

In Peru läuft der erste große Rollout des Projektes One Laptop per Child (OLPC) an. Technology-Review-Reporter David Talbot berichtet in der aktuellen Ausgabe von TR (Ausgabe 06/2008, seit dem 21. 5. am Kiosk oder portokostenfrei online zu bestellen) von den ersten Erfahrungen vor Ort.
Peru steht kurz davor, im Rahmen des Programms "One Laptop per Child" (OLPC) 486.500 Laptops an seine ärmsten kleinen Bürger zu verteilen. Werden die Geräte an die Kinder in den Slums von Lima gehen? "Nein", sagt Oscar Becerra, Direktor für Bildungstechnologien des Landes, "sie sind nicht arm genug." Das klingt wie ein geschmackloser Scherz, aber tatsächlich erklärte Becerra dann, dass die Einwohner von Lima normalerweise elektrischen Strom und zumindest theoretisch Zugang zu städtischen Diensten und sogar Internetcafés haben. Die Laptops gehen deshalb an 9000 winzige Schulen in abgelegenen Gegenden wie Huancavelica in den Anden, zwölf lange Busstunden entfernt von der Hauptstadt, oder Dörfer wie Tutumberos in der Amazonas-Region, mehrere Tagesreisen entfernt.
Perus Schritt kommt zu einem kritischen Zeitpunkt für das Projekt OLPC, denn das gemeinnützige Projekt hat seine Ziele bezüglich Produktionsmengen und Preis verfehlt (s. TR 1/07). "Wir werden die Produktion nicht starten, bevor wir fünf bis zehn Millionen Bestellungen haben", hatte Nicholas Negroponte, früherer Leiter des MIT Media Lab und Initiator des Projekts, noch im Februar 2006 gesagt.
Aber die OLPC-Laptops kosten weder – wie zuerst versprochen – 100 Dollar noch 138, sondern 188 Dollar pro Stück. Und bislang gab es von den ersten Kunden nur rund 500.000 Bestellungen; diese Zahl schließt einen Teil der anstehenden Lieferungen nach Peru mit ein. Wenn das Projekt in Peru Erfolg hat, dürfte es trotz allem als Vorbild für andere Länder dienen. Mit dem einfachen Zugang zu Büchern, Kursen und Spielen sollen die Laptops einen konstruktivistischen Bildungsansatz unterstützen: Kinder lernen dabei durch Probieren, Entdecken und Zusammenarbeit. "Es ist deshalb so wichtig, weil Peru alles richtig macht", erklärt Negroponte in seinem kleinen Büro nahe dem MIT-Campus, "sie machen es in der Provinz, sie machen es mit Konstruktivismus, und sie machen es in einer vernünftigen Größenordnung. Das einzige Problem ist, dass sie die Ersten sind, sodass wir Fehler im laufenden Betrieb beheben müssen."
Die Zukunft des Projektes wird also in Dörfern wie Arahuay entschieden – einem Flecken mit 742 Einwohnern; die steilen Berge um ihn herum haben Ausgrabungsstätten aus der Vor-Inka-Zeit zu bieten und glänzende kalte Quellen. In der Kirche aus der Kolonialzeit steht eine Statue der Jungfrau Maria, geschmückt mit Plastikblumen. Arahuay ist arm, aber wie Becerra später erklärt, eigentlich ebenfalls nicht arm genug, um bei der breiten Laptop-Einführung berücksichtigt zu werden. Trotzdem entschied das Bildungsministerium, den Test mit einer Vorserie der OLPC-Maschinen hier stattfinden zu lassen. Denn Arahuay ist von Lima aus noch halbwegs gut erreichbar und hat bei einer früheren Initiative eine Internetanbindung per Satellitenschüssel bekommen. Die Laptops kamen im Juni 2007 und wurden in das erste Gebäude gebracht, auf das man hier trifft: die Institución Educativa Apóstol Santiago, ein sauberer, u-förmiger Betonbau mit einem großen Innenhof. Die Grundschule hat 46 Schüler.
Die Lehrer in der Schule wussten, dass wir kommen. Die Kinder saßen an ihren Tischen und tippten auf ihren schon etwas mitgenommenen Laptops herum. Kevin Gabino, elf Jahre alt, schrieb auf Aufforderung des Lehrers die Liste der Schulwerte auf – mit "Llegar temprano al colegio" (komm pünktlich zur Schule) als erstem Punkt. Mehrere andere Kinder spielten Tetris. Rosario Carrillo, 10, suchte bei Google nach "elemento de la comunicación", aber die Internetverbindung war so langsam, dass die Ergebnisse mehrere Minuten auf sich warten ließen. Rosario erzählte, dass sie den Computer zum Spielen, Fotografieren, Malen, Rechnen, Schreiben und für E-Mails an ihre 25 Jahre alte Schwester nutzt, die in Lima "Kleidung wäscht und sich um Babys kümmert". Cecilia Aquino, auch zehn Jahre alt, hielt Rosarios Hände. Sie filme am liebsten mit der Videokamera die Ziege ihres Vaters, mischte sie sich ein. Alles Teil des Plans, erzählte später Becerra: "Eines der Probleme mit Bildung weltweit ist, dass die Kinder nicht verstehen, warum sie lernen sollen. Wenn sie einen Computer haben, verstehen sie das Warum: Wenn sie zum Beispiel einen Film über ihre Felder oder Tiere machen wollen, müssen sie alles Mögliche beherrschen – nicht nur technische, sondern auch künstlerische Dinge."
(Quelle:Heise.de)

Facebook von Cross-Site-Scripting-Lücke betroffen

Facebook, nach MySpace das größte Social-Networking-Portal im Internet, wies Berichten zufolge bis Ende vergangener Woche eine Cross-Site-Scripting-Lücke auf, die das Einschleusen und Ausführen von bösartigem JavaScript in den Browser der Besucher ermöglichte. Angreifer hätten darüber Besucher automatisch auf infizierte Webseiten umleiten oder Anmeldeinformationen stehlen können.
Die Lücke ist zwar mittlerweile behoben, eine Demonstration aber weiterhin im Archiv des "XSSed Project" zu finden. Schätzungsweise 70 Millionen Anwender hätten solch einer Attacke prinzipiell zum Opfer fallen können. Ob die Lücke jemals aktiv ausgenutzt wurde, ist nicht bekannt. Damit reiht sich Facebook in die Reihe betroffener populärer Portale wie MySpace, Orkut und andere ein.
Zuletzt schleusten Kriminelle JavaScript-Code in die Seiten der ARD ein, der auf Seiten führte, die Lücken in Browsern ausnutzten, um Systeme zu infizieren. Die Angreifer machen sich seit geraumer Zeit die Populärität von Seiten zunutze, um ihren Schadcode an Anwender zu verteilen. Wie genau das passiert und welche weiteren Gefahren drohen, zeigt der c't-Artikel "Dunkle Flecken – Neuartige Angriffe überrumpeln Webanwender" in Ausgabe 11/08. Der Artikel "Mehr Licht" in der gleichen Ausgabe zeigt, wie man sich davor schützen kann.
(Quelle:Heise.de)

Schwachstelle mit unbekannter Auswirkung in eMule Plus

Einer der populärsten Clients für das Peer-to-Peer-Netz eDonkey ist eMule. Davon gibt es sogenannte Mods, Modifikationen, die etwa für mehr Komfort oder bessere Download-Raten sorgen. Im beliebten, quelloffenen Client eMule Plus haben die Entwickler eine Sicherheitslücke geschlossen.
Im Changelog lässt sich jedoch lediglich der Hinweis finden, dass die aktuelle Version eine Sicherheitslücke beim Verarbeiten der Datei staticservers.dat abdichtet. In dieser Datei kann der Anwender Server sammeln, die ständig im Netz verfügbar sind und somit quasi den Zugang zum eDonkey-Netz ermöglichen. Im eDonkey-Netz stellt jeder Rechner Client und Server zugleich dar, die jedoch nur bei der Nutzung online sind.
Permanent verfügbare Knoten bilden das Rückgrat des eDonkey-Netzes, bei der Abschaltungsolcher Server kommt es offenbar zu erheblichen Beeinträchtigungen. Die Schwachstelle betrifft eMule Plus vor der aktuellen Version 1.2d. Nutzer der Software sollten die neue Fassung rasch herunterladen und installieren.(Quelle:Heise.de)

Siehe dazu auch:

• Changelog, Übersicht der Änderungen in eMule Plus 1.2d
• Homepage und Download von eMule Plus 1.2d

Kriminalbeamte fordern zentrale Datenbank für Verbindungsdaten

Vor dem Hintergrund der Bespitzelungen bei der Deutschen Telekom hat der Bund Deutscher Kriminalbeamter (BDK) gefordert, die Verbindungsdaten sämtlicher Telefonkunden in einer zentralen Datenbank zu speichern. Diese Datenbank sollte dann unter der Aufsicht des Datenschutzbauftragten stehen. "Die Telekom-Affäre ist eine Riesenchance für den Datenschutz, die wir nutzen müssen. Es ist doch offensichtlich, dass sensible Kundendaten bei privaten Unternehmen mehr als schlecht aufgehoben sind", sagte BDK-Vorsitzender Klaus Jansen der Neuen Osnabrücker Zeitung.
Jansen forderte laut dpa, sämtliche Verbindungsdaten in einem Sicherheits-Center unter Aufsicht von Datenschützern zu hinterlegen. Darauf könnten dann sowohl Unternehmen zu Abrechnungszwecken als auch der Staat zur Strafverfolgung streng kontrolliert zugreifen. Technisch sei ein solches Verfahren nach Ansicht von Experten kein Problem, sagte Jansen. "Die heutige Praxis einer sechsmonatigen Speicherung direkt beim Telefonanbieter öffnet Missbrauch Tür und Tor."
Ein Vorhaben, wie es Jansen nun für Deutschland vorschlägt, hat das britische Innenministerium bereits für die Vorratsdatenspeicherung in Großbritannien vorgesehen. In dieser zentralen Datenbank sollen die Verbindungsdaten mindestens ein Jahr vorrätig gehalten werden; sie sei erforderlich, damit Polizei und Geheimdienste leichter auf wichtige Informationen zur Bekämpfung von Kriminalität und Terrorismus zugreifen können.
In Deutschland ist nach den zum 1. Januar dieses Jahres eingeführten Regelungen zur Vorratsspeicherung von Telekommunikations- und Internet-Verbindungsdaten eine sechsmonatige Speicherung der Daten bei den Providern und Carriern vorgesehen, auf die Strafverfolger bei der Verfolgung von Strafdaten und zur Gefahrenabwehr zugreifen dürfen. Allerdings hat der Arbeitskreis Vorratsdatenspeicherung hatte im Februar über 34.000 Klageschriften gegen die Verpflichtung zur Vorratsdatenspeicherung beim Bundesverfassungsgericht eingereicht.
Das Bundesverfassungsgericht hat daraufhin die Regelungen in einer Eilentscheidung bis zu einem Urteil im Hauptsacheverfahren eingeschränkt: Telekommunikationsfirmen müssen demnach zwar Verbindungs- und Standortdaten der Nutzer verdachtsunabhängig sechs Monate vorhalten. Sicherheitsbehörden dürfen darauf aber nur zur Verfolgung schwerer Straftaten zugreifen. Zudem muss der Verdacht durch bestimmte Tatsachen begründet und die Erforschung des Sachverhalts auf andere Weise wesentlich erschwert oder aussichtslos sein. In dem von Parlament und Bundesrat beschlossenen Gesetz zur Vorratsdatenspeicherung ist dagegen beispielsweise auch vorgesehen, dass Ermittler sowie prinzipiell Geheimdienste etwa auch bei "mittels Telekommunikation begangener Straftaten" auf die gespeicherten Verbindungsdaten zugreifen dürfen.
Die Aussetzung der Speicherung selbst lehnte das Gericht einstweilen mit der Begründung ab, das Risiko sei zu hoch, "im Eilverfahren über die Entscheidungskompetenz des Bundesverfassungsgerichts in der Hauptsache hinauszugehen und das Gemeinschaftsinteresse an einem effektiven Vollzug des Gemeinschaftsrechts schwerwiegend zu beeinträchtigen".
(Quelle:Heise.de)