lange nichts mehr gehört, bzw. nur unregelmäßig Artikel von uns. Das liegt zum einen daran, dass wir viel zu tun haben in der “realen Welt” zum anderen planen wir zur Zeit ein neues Projekt, welches recht zeitaufwendig und planungshunrig ist.

Worum es sich genau handelt werdet ihr zur richtigen Zeit erfahren … es soll auf jeden Fall recht cool werden und wir sind davon überzeugt, dass es jedem, der halbwegs an Gesellschaft uns Netzpolitik interessiert ist, gefallen wird.

Das Projekt wird wahrscheinlich in Videoform veröffentlicht, aber natürlich werdet ihr auch über diesem Blog immer auf dem Laufenden bleiben.
Es kann noch sehr lange dauern, bis das neue Format startet, bis jetzt ist quasi nur der Plan vorhanden, die Umsetzung an sich ist recht mühsam, wenn alles irgendwann einmal so wird, wie wir uns das vorstellen, wird es hoffentlich eine Regelmäßigkeit erreichen und sich etablieren.

Wenn ihr euch wundert, warum zur Zeit keine neuen Artikel kommen, die Antwort ist ganz einfach: Acsiii hat viel zu tun und ich schreibe zur Zeit an einem Buch, was auch im Zusammenhang mit dem neuen Projekt steht …
Ich schätze mal es wird gegen Ende des Jahres veröffentlicht, es wird im Style von sein, vielleicht sogar noch politischer. Seid gespannt!

Danke für eure Geduld.

Schönen Gruß von Acsiii und AirSys (eueren Ponys aus dem Web )

Seit doch so nett und hinterlasst vielleicht einen freundlichen Kommentar auf seinem Blog, damit wir auch weiterhin solche guten Videos zu sehen bekommen!

~AirSys

Ein Team aus 2 Administratoren und 4 Moderatoren wartet nur darauf euch zu begrüßen.

Wir wollen damit den Schulterschluss zwischen großen IT-Foren, mit vielen Themen, und der Grauzone schaffen. Endlich wieder ein Forum welches sich mit IT-Security auf hohen Niveau und legalem Wege ausseinandersetzt. Die Betonung liegt vor allem auf legal, denn das Forum will sich vollständig von sogenannten “Scriptkiddies” distanzieren und auf Basis von “echter” Informatik über viele der interessanten IT-Security Themen zu diskutieren. Es darf sich heutzutage nicht mehr um die Verbreitung von Malware, Spam o.ä. drehen. Wir wollen uns über Theorie, Analyse, Konzeption und Prävention unterhalten. Angefangen von Websicherheit und Entwicklung bis hin zu Penetrationtests oder Hochverfügbarkeitslösungen. Alles was mit Informationssicherheit zu tun hat.

Die Zukunft des Internets steht auf dem Spiel und wir wollen mithelfen das nötige Wissen an die User zu bringen bzw. eine Plattform zu gewähren, welche genau dafür da ist. Wer sich vor Malware, DDos, XSS o.ä. schützen will muss wissen wie es funktioniert.

Ziele:
Wir wollen ein großes, niveauvolles, gut organisiertes, legales, sicheres, benutzerfreundliches Forum Rund um Informationssicherheit entwickeln und sowohl Neulingen, als auch Profis eine nette Atmosphäre gewähren.

Kontakt:

info@mbit.de
http://forum.mbitme.de

Das Team von mbITsec freut sich über eure Kritik und euer Feedback!

~Acsiii

Weiterführung der Reihe “Sicherheit bei Webapplikationen”

XSS ist die Abkürzung für Cross Side Scripting. Dabei handelt es sich um eine Form der HTML Injection, bei der Angreifer bestehende Sicherheitslücken in der Programmierung ausnutzen, um eigenen Code in Websites oder in Online-Applikationen einzuschleusen und dort zur Ausführung zu bringen. So ist es zum Beispiel durch gezieltes Phishing möglich den User in Sicherheit zu wiegen, indem man ihm die originale Website zeigt, allerdings ist dort meist ein Code “hinterlegt” der Kontakt zum Server des “Hackers” herstellt, hier werden meist die wichtigen Daten gespeichert (Dropzone) und später werden die Passwörter geändert oder es wird gleich das Konto leer geräumt.

Es gibt 3 verschiedene Arten von XSS Angriffen: reflexive, persistente und DOM-basierte Angriffe

Bei den XSS-Attacken wird von den Angreifern in der Regel JavaScript (fast immer), ActiveScript oder Visual Basic Script (früher öfter) als Skript-Sprache verwendet.Bei reflexiven XSS-Angriffen wird der Schadcode beim Abruf einer Website nur temporär eingeschleust. Angreifer machen sich hier meist die Parameter-Übergabe bei dynamischen Websites zunutze, die in der Regel über HTTP-GET oder HTTP-POST erfolgt. So kann der Angreifer durch Manipulation der HTTP-GET- beziehungsweise HTTP-POST-Parameter in der URL Einfluss auf die Inhalte einer dynamischen Website nehmen und so kontrolliert Schadcode ausgeben lassen. Meist wird ein Bild oder ein Video eingebunden, was nicht von der originalen Quelle stammt. Man kann eigentlich auch alles andere Ausgeben, wie z.B. einen Text oder einen Cookie. Typischer XSS, viele denken allerdings das ist alles was hinter Cross Side Scripting steckt, allerdings geht von den anderen Angriffsmethoden eine höhere Gefahr aus!

Bei der persistenten XSS-Angriffsmethode wird der Schadcode dauerhaft in einer Website platziert. Dazu muss man es schaffen den Code in Datenbank der Website zu speichern und von dort aus dann durch die Seite beim Abruf geladen sowie Client-seitig ausgeführt. Hierzu bedient er sich einfach der von vielen Website-Betreibern verwendeten Web-Applikationen. Wie zum Beispiel Gästebüchern, Foren und Kommentarfunktionen, wenn man dort etwas postet und der Coder beim schreiben der Funktion die falschen Recht zugelassen hat bzw. keinen guten Filter eingebaut hat, dann ist es zum Beispiel durch einschleusen von Javascript oder HTML Code möglich eine automatische Weiterleitung einzurichten, sobald die betreffende Webapplikation aufgerufen wird. Der Code wird also nach dem Aufruf durch einen Nutzer vom Browser interpretiert und ausgeführt, was dann zu manipulierter Darstellung oder Weiterleitung führen kann. Leicht schützen kann man sich eigentlich als User recht leicht, wenn man zum Beispiel unter Firefox das Addon “NoScript” installiert, aber zum Schutz komme ich später genauer.

Die DOM-basierten Angriffe sind die Seltensten, da sie schwer auszunutzen sind und sie setzen Schwachstellen meist nicht nur bei einer Website, sondern auch auf Nutzer-Seite zum Beispiel im Browser voraus. Meist werden Sonderzeichen in URLs gepackt, die der Browser gar nicht oder nicht richtig verarbeiten kann, so, dass auch eine manipulierte Darstellung erzeugt wird. Die DOM-basierten Angriffe werden oft auf Seiten die viel mit Javascript arbeiten verwendet, da sie dort am leichtesten zu erzeugen sind. Aber wie bereits erwähnt ist dieser Art des Angriffs eher selten und wird nur ausgeführt, wenn man einen ganz bestimmten Nutzer schaden möchte und eine Software möglicherweise kennt, also von Exploits und Bugs ausgehen kann.

Schutz seitens der Websitebetreiber und Admins

Wichtig ist wie bei Websecurity im Allgemeinen zunächst eine saubere Programmierung, also mit sinnvollen Filtern und trotzdem recht gründlich. Dabei muss man vor allem auf die GET- und POST Parameter in der URL achten. Bei PHP kann man bestimmte Zeichen die für XSS benötigt werden auch einfach durch andere ersetzen wie zum Beispiel das <> Zeichen, durch einen / oder ähnliches. Das ist möglich indem man den jeweiligen Entity-Code transformiert. In Foren, Gästebüchern oder ähnlichen Applikationen, die Nutzern das Veröffentlichen eigener Inhalte auf Websites ermöglichen, kann HTML entweder gänzlich deaktiviert oder stattdessen auf andere Auszeichnungssprachen wie BBCode zurückgegriffen werden, wobei es dafür auch schon XSS gab, deshalb immer schön die Sachen auf dem neusten Stand halten! Wir bei Acsiii lassen aus gutem Grund in den Kommentaren nur bestimmte Zeichen bzw. HTML Befehle zu, da es auch vor XSS schützt.

Eine neue Art der Sicherheit soll durch die Content Security Policy (CSP) entstehten. Sie bietet Website-Betreibern eine weitere Möglichkeit, um ihnen zu helfen die User vor einer Vielzahl von XSS zu schützen. Mit ihr können sie Browsern durch Bereitstellung des HTTP-Headers “X-Content-Security-Policy” mitteilen, welche Domains sie als Quelle vertrauenswürdiger JavaScript-Codes akzeptieren sollen. Das System wird bereits von einigen Browsern unterstützt. Browser, die CSP unterstützen und bei denen diese Funktion aktiviert ist, ignorieren JavaScript-Codes auf HTML-Seiten standardmäßig, also kann es kaum noch zu XSS kommen, wenn die Website an der Content Security Policy teilnimmt.

Der Einsatz von CSP ist zwar mit einigem Aufwand verbunden, doch er lohnt sich. Wenn man als professioneller Websiteanbieter seine Kunden im Bereich Security überzeugen kann hat man sicherlich einen Vorteil gegenüber Mitbewerbern ohne dieses Zertifikat. Für viele Content-Management-Systeme sind bereits fertige Plug-ins verfügbar, die Website-Betreiber bei der Umstellung auf CSP unterstützen, also einfach mal nachschauen, vielleicht kann man so der nächsten “Attacke” vorbeugen.

Mozilla gilt in diesem Bereich als Vorreiter, ich kann nicht nachvollziehen, warum manche Browserhersteller da nicht nachziehen, sondern die Sicherheit der Kunden gefährden. Internetexplorer, Firefox und Chrome sind mit solchen Systemen bereits ausgestattet, aber die Websitebetreiber müssen ja diesen Dienst auch noch anbieten, damit die Sicherheit gewährleistet wird. Also ein indirekter Aufruf an alle Blogger die das hier lesen, schaut euch mal nach Plugins um, die das System unterstützen, es lohnt sich. Hier der Link zur WordPress  Erweiterung: http://wordpress.org/extend/plugins/content-security-policy/

Zum Schluss bleibt mir noch zu sagen, dass einem als erfahrener User mit einem gewissen Grundwissen nichts passieren kann. Also immer schön aufmerksam sein, nicht auf alles drauf klicken und Spammails sofort löschen. Falls einem etwas komisch vorkommt lieber mal den Quelltext anschauen, oder unter anderem Browser die Seite aufrufen, den einige Browser bieten besseren Schutz als andere! Der Firefox bietet mit dem Plugin “NoScript” eine perfekte Sicherheit, denn er lässt nur Javascript Code zu, den sie auch erlauben. Downloadlink: https://addons.mozilla.org/de/firefox/addon/noscript/

Als Websitebetreiber immer auf dem aktuellsten Stand sein und brav Plugins installieren, weil die bringen schon einen gewissen Schutz!

~AirSys

Zunächst einmal: Automatische Schutzmechanismen (Application Level Firewalls) sind zwar schön und gut, jedoch bieten sie niemals den bestem Schutz und können nur grobe Angriffe (DOS-Attacke) oder einen Scan von einem Security Scanner abhalten indem sie einen automatischen IP Bann oder ähnliches durchführen. Das ist jedoch oft nicht wirkungsvoll. Wenn ein Angreifer manuell und mit Brain gegen eine Website (Applikation) vorgeht kann man diese automatischen Schutzmechanismen vergessen. Ein weiteres Problem ist, dass bei vielen größeren Webprojekten kaum Budget für die Sicherheit eingeplant. Und so musste schon der ein oder andere Großkonzern zugeben in diesem Bereich eingespart zu haben. Hoffentlich haben die Konzerne daraus gelernt, denn immerhin sind es nicht bloß die Kunden- und Kreditkarten die sie verlieren, sondern auch das Vertrauen der Kunden. Und das kann man beim heutigen Wettbewerb vergessen, nach dem Motto, wenn Firma X das nicht kann gehe ich halt zu Firma Y.

Zum Thema:

Nichts geht über die Fähigkeiten des Administrators, er muss besonders sensibel sein und dazu sollte er noch ein möglichst breites Wissen im Bereich der IT Security haben. Außerdem: Keiner ist perfekt, was soviel bedeuten soll, wenn man schon lange Zeit an einem Projekt codet verliert man auf Dauer den Blick für die Einzelheiten und es passieren kleine Fehler, die es einem Angreifer erleichtern in das System einzudringen. Deshalb sollte ein Projekt zunächst immer von jemand anderen noch einmal überprüft werden, oder man sollte selbst noch einmal einen ausführlichen Penetrationstest durchführen, in dem man alle Einzelheiten wiederholt durchgeht.

Architektur: Bei den meisten Online Applikationen handelt es sich um Skripts, die mit dem Client oder anderen Servern kommunizieren. (z.B.: Zugriff auf externe SQL_DB) Webapplikationen oder Anwendungen aus dem Web 2.0 lassen sich also als mehrschichtige Anwendungen betrachten. Die Kommunikation von der ersten zur zweiten Schicht, also vom Frontend des Anwenders werden meist ungefiltert Eingaben (Informationen) weitergegeben. Das System basiert häufig auf dem zustandslosen (stateless) HTTP-Protokoll. Das Problem besteht darin, dass die Eingaben eines Absenders ungefiltert an die Applikation geleitet werden – egal ob diese erwünscht oder unerwünscht sind. (z.B. SQL Injection)

Schichten einer Webapplikation: Es gibt in Webapplikationen wie eben schon kurz angesprochen verschiedene Schichten. Diese Schichten lassen sich recht leicht beschreiben und sind vergleichbar mit dem Aufbau einer Zwiebel. Die äußerste Schicht ist das sogenannte Frontend bzw. die sog. Präsentationsschicht, das ist für jeden User sichtbar und beinhaltet die zusammengesetzte Website, also das was im Webbrowser für den User zu sehen ist. Diese Schicht kommuniziert meist über HTTP-Requests mit dem Webserver und verarbeitet die Antwort (HTTP-Response). Die Logik bzw. Verwaltung übernimmt dabei der Webserver, er verwaltet die Anfragen oder leitet sie ggf. weiter. Die Weiterleitung kann sowohl an andere Server als auch an Skripts des eigenen Servers gehen (Webapplikationen). Die Applikation bearbeitet die Request dann mit einem Interpreter. Diese Schicht wird auch als Logik-Schicht bezeichnet, da in ihr alle wichtigen Prozesse und Vorgänge durchgeführt werden, die eine Website bzw. eine Webapplikation ausmachen. Die innerste Schicht ist die Daten-Schicht in ihr liegen sämtliche Daten und Informationen wie z.B. Bilder oder HTML Datein.

Im überwiegenden Teil der Praxis kommuniziert die Applikation mit einer DB bzw. einem Datenbankserver und einem Dateisystem, um z.B. das Frontend zu generieren. Bei einfachen Applikationen liegen die Logik- und die Daten-Schicht auf einem Server. Bei komplizierteren Applikationen, wie Onlineshops, Communities oder Verwaltungssoftware (große Firmen-DB) werden die einzelnen Schichten getrennt von einander gehostet.  Die Verwaltung geschieht dann über Webservices, die wie eine serviceorientierte Architektur (Service Oriented Architecture, SOA) angelegt sind. Dadurch ist eine bessere Verwaltung möglich und es kann noch von mehreren Applikationen auf die Daten zugegriffen werden. Das Prinzip wird auch als Distributed Computing bezeichnet, wird aber häufig wirklich nur von größeren Unternehmen oder Projekten in Anspruch genommen. Ich persönlich hatte mit einem System, was komplett eigene Server nur für die DB nutzt auch noch nicht zu tun, da ich weder im Bereich Key-Account-Management noch in Bereich der Datenbank Administration viel Erfahrung habe (nur Erfahrung für kleinere Boards oder Blogs).

Wenn man sich nun das typische System einer Webapplikation anschaut wird schnell deutlich, dass ein Angreifer eine Vielzahl von Möglichkeiten hat in dieses System einzudringen. Denn grundsätzlich gilt: Jede Webapplikation ist so sicher wie die schwächste Komponente im System. Denn, es muss alles auf dem neusten Stand sein, um eine absolute Sicherheit zu erreichen (auch wenn es die in Wirklichkeit nicht gibt). Was nützt der schönste Webspace, wenn es für das CMS (Content Management System) einem Exploit gibt, oder was bringt das schönste Design + CMS, wenn die PHP Version veraltet ist? Richtig: GAR nichts!

Typisches Vorgehen bei einem Hackerangriff, da werde ich demnächst noch genauer eingehen:

So, dass war mal ein kleiner Ausflug in die Websecurity! In nächster Zeit werde ich noch einige von solchen theoretischen Themen besprechen. Erst hatte ich vor das noch mit in diesen Artikel zu packen, aber der wäre sonst zu lang geworden. Deshalb könnt ihr euch in Zukunft noch über Artikel in Richtung:  SQL-Injektion, Eingabevalidierung und Sicheres Session-Management sowie Java als Risikofaktor. Vielleicht werde ich auch an Hand von Praxisbeispielen erläutern, wie die Thorie in der Praxis umgesetzt werden muss, da es einen recht zuverlässigen Schutz gibt.

Hoffe der Artikel hat euch gefallen und ihr wisst nun mehr über den theoretischen Aufbau von Webserverstrukturen sowie der Sicherheit von Webapplikationen. Falls es Rückfragen, Anregungen gibt oder Kritik schreibt es bitte in die Kommentare und ich werde es ggf. im nächsten Artikel berücksichtigen.

~AirSys

Entwickelt wurde das Shell Script von thehook.eu die in ihren Atikel zu nWeb darauf hinweisen dass das Script auf den Linux Systemen Ubuntu 9.04 (und höher) & Debian 5.0 (und höher) erfolgreich getestet haben. Ich persönlich habe nWeb auf Ubuntu 10.04 (Lucid Lynx) ebenso erfolgreich und problemlos getestet. PHP mit Verbindung zu MySQL lief ebenso reibungslos.

Die Installation ist ziemlich einfach gestrickt es wird so gut wie nach nichts gefragt, nur am Ende der Installation wird nach einem Root Passwort für den MySQL Server gefordert was natürlich ziemlich logisch ist.

Folgende Befehle müssen zum Installieren und herunterladen von nWeb ausgeführt werden:

wget http://thehook.eu/downloads/nweb150.tgz
tar xzvf nweb150.tgz
cd nweb
sudo sh nweb.sh

Ich persönlich würde jedem Anfänger empfehlen nicht auf das Script zuzugreifen, da man es lieber manuell installieren sollte um mit dem Vorgang zum Aufsetzen eines Webserver (nginx) vertraut zu werden.

Download
thehook » nWeb

~Acsiii

In der Bundesrepublik Deutschland, die von sich behauptet, ein Rechtsstaat zu sein, ist juristisch die Wahl seiner Mittel zur Straftatverfolgung oder -Prävention eingeschränkt.

Garantieren soll dies Artikel 10 des Grundgesetzes:

[Brief-, Post- und Fernmeldegeheimnis]

(1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.

(2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutz der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder des Landes, so kann das Gesetz bestimmen, dass sie dem Betroffenen nicht mitgeteilt wird und dass an die Stelle des Rechtsweges die Nachprüfung von der Volksvertretung bestellte Organe und Hilfsorgane tritt.

Doch dieser leider recht lose formulierte Artikel des Grundgesetzes wird immer wieder ausgeschmückt, denn es gibt einen sehr großen Interpretationsspielraum. Die Politiker und Staatsvertreter sind in dieser Hinsicht immer recht kreativ, ob das auf die schwarzen Koffer, die sie bekommen, zurückzuführen ist, möchte ich hier lieber nicht behaupten

Ok, jetzt aber back to Topic:

Das Grundgesetz ist aus meiner Sicht der letzte Pfeiler der freien Meinung und stärkt die Rechte des einzelnen Bürgers. Kein Gesetz schützt so stark die Rechte auf Privatsphäre oder freie Entfaltung. In den Artikeln des Grundgesetzes sind die Grundlage für unserer gesellschaftliches Zusammenleben gelegt. Kerngedanke des Grundgesetzes ist es die staatliche Ordnung zu halten (freiheitlich-demokratisch), dabei jedoch nicht zu sehr in die Rechte des Einzelnen einzugreifen, da dieser Recht auf z.B. freie Meinung und freie Entfaltung hat.

Jedoch werden diese Rechte immer weiter beschnitten, durch die Geheimdienste bzw. Sicherheitsorgane des Staats (Polizei, LKA, BKA), diese nutzen jede kleine Panne bzw. jedes Versäumnis ihrerseits (siehe Nazi-Terrorzelle), um “mal wieder” einen weiteren Grund zu finden, warum die Vorratsdatenspeicherung oder andere Überwachung der Gesellschaft und somit auch die Maßnahmen gegen den Einzelnen als notwendig zu erachten sind.

Dabei haben die staatlichen Überwachungsorgane doch schon fast alles was sie wollen:

Staatstrojaner. Telekommunikationsüberwachung. Online-Durchsuchungen. Erweiterte Rasterfahndung. Biometrische Passdaten. Nutzung der Mautdaten. Die automatische Erfassung von Autokennzeichen. Fluggastdatenspeicherung. Briefkontrollen. Geruchskontrollen. Behördendaten. Freiwillige Speicherung der Telekommunikationsdaten durch den Provider. DNA Analysen.

Und sicher noch vieles mehr, was ich lieber nicht kennen lernen möchte! Außerdem stellen wir allem den Staat zusätzliches “Material” zur Verfügung, indem wir aktiv soziale Netzwerke wie Facebook nutzen und dort alles preisgeben. Wir alle unterstützen also die Einschränkung der bürgerlichen Rechte! Wenn wir nicht aufpassen, werden wir so schnell zum gläsernen Bürger und zum “Kaufbimbo” für die Wirtschaft.

Es gibt eine so hohe Aufklärungsrate von Straftaten, wie noch nie:

Hohe Aufklärungsquoten (2008):

Mord 97,6%, Totschlag 96,7%
gefährliche / schwere Körperverletzung 82,3%
(vorsätzliche leichte) Körperverletzung 90,0%
Geiselnahme 86,4%
Freiheitsberaubung 89,9%
Bedrohung 90,2%
Ladendiebstahl 92,9%
Betrugsdelikte, wie z.B. Beförderungserschleichung, 81,7%
Veruntreuungen 98,1%
Urkundenfälschung 86,6%
Erpressung 84,5%
Beleidigung 89,9%
Rauschgiftdelikte 94,5%
Niedrige Aufklärungsquoten (2008):

Sachbeschädigung 25,3%
Wohnungseinbruchsdiebstahl 18,1%
Taschendiebstahl 5,4%
Brandstiftung 48,3%
Handtaschenraub 28,5%
Fahrraddiebstahl 10,5%

Quelle: http://www.bka.de/pks/pks2008/index2.html Polizeiliche Kriminalstatistik

An diesen Quoten erkennt man, dass wohl recht und Ordnung herrscht, zumindest herrscht im Moment kein vorrevolutionärer Zustand und Achim Angepasst gehorcht auch noch . (siehe Artikel zuvor)

Was also möchte die Justiz bzw. die Politik erreichen?

-Viele werden jetzt sagen, eine 100%ige Aufklärung, das wäre sicher schön, aber liegt sicher nicht im Rahmen des möglichen zumindest nicht, wenn man dabei die Privats- und Persönlichkeitsrechte eines unbescholtenen Bürgers schützen möchte.

Wenn der Schutz meiner Persönlichkeitsrechte oder eurer Persönlichkeitsrechte nicht mehr im Interesse des Staates ist, sondern nach der staatlichen Ordnung und den Interessen der Wirtschaft kommt, dann hat dieser Staat nichts mehr mit einem Sozialstaat zu tun (wie in Artikel 20 des Grundgesetzes verankert), sondern ist das Opfer seiner selbst mit dem scheiternden Modell des Kapitalismuses!

Also immer schön nach dem Motto: Der Augenblick, in dem wir aufhören für einander zu kämpfen, ist der Augenblick, in dem wir unsere Menschlichkeit verlieren. (Film: 2012, wird die Verschwörung mit dem Untergang der Welt bald mit dem Grundgesetz geschehen? – Lass es nicht soweit kommen, sondern kämpf für deine Rechte, denn noch hast du das Recht dazu!

Die Wahrung der Grundrechte und des Grundgesetzes scheint mir eines der wichtigsten Ziele der heutigen Zeit zu sein, denn nur so ist eine vielseitige und kritische Gesellschaft, die mitdenkt und den Staat kontrolliert, möglich. Wenn diese Wahrung nicht gegeben ist herrscht totale Willkür und Allmacht gegenüber dem Staat. Das war lange genug im dritten Reich und in den Ländern der arabischen Welt  der Fall! Heute steuern wir leider wieder genau in diese Richtung und die Politikverdrossenheit sowie Volksverdummung verstärkt diesen schleichend wirkenden Prozess, aber er findet statt und nimmt immer mehr Fahrt auf, zumindest, wenn wir nicht aktiv dagegen angehen!

______________________________________________________________________________________________________

Kleines Gedankenspiel meinerseits, vielleicht ein bisschen zu sehr abgegangen an manchen Stellen, aber so ist nun mal die Lage, aus meiner Sicht zumindest!

Ich plane noch einen weiteren Artikel in dem es über Lobbyismus gehen soll und wie dieser aktiv an politischen Entscheidungen Einfluss nimmt! Hoffe euch hat es gefallen und ihr wisst nun mehr!

~AirSys

Es lebe: Achim Angepasst.

Achim gehört zu der Was-ich-nicht-weiß-macht-mich-nicht-heiß-Fraktion. Weil er die einschlägigen Zeitungsmeldungen nicht ernst nimmt, sich für Details nicht interessiert und Datenschützer für paranoide Wichtigtuer hält, weiß er nichts von den Veränderungen in unserer Gesellschaft. Es ist Achim egal, auch wählen ist ihm egal; Politik ist schließlich etwas für  gelangweilte Rentner, was man auf Grund der praxisfernen Debatten und aussage freien Parteiprogrammen sogar nachvollziehen kann. Es ist ihm egal was hier gespielt wird, solange er weiter in ruhigen Bahnen an seiner Karriere feilen kann. Er gehört zur Gruppe der aktiven Neobidermeiner. Selbst das Abhören seiner privaten Telefonate würde Achim nicht stören, solange er nichts davon wüsste.

Achim ist extrem naiv. Außerdem ist er ein geübter Selbstbetrüger, dem ausschließlich um ein bequemes Leben und der persönlichen Vorteil geht. Er steht im Mittelpunkt seines Weltbildes, daran soll sich auch nichts ändern, schließlich ist er als Einzelkind auf gewachsen und hat schon im Kindergarten gelernt, dass man anderen lieber nicht vertraut, da er sonst nicht geheim halten konnte in wen er verliebt war. Das hat sich weiter durch sein ganzes Leben gezogen, in der Schule hat er lieber niemanden abschreiben lassen, schließlich zählt Leistung und wie soll man diese nur erbringen, wenn man sie teilt? Der eigende Vorteil und das eigene Vorankommen zählt; so hat es ihm auch immer sein Vater erzählt. Bis heute hat sich Achim kaum verändert, wer versucht immer noch den alle Vorteile zu (auszu)nutzen.  An jeder Supermarktkasse hinterlässt er seinen kompletten Datensatz, wenn man ihm dafür ein paar läppische Rabattpunkte anbietet, die er bei Gelegenheit gegen einen Satz Frotteehandtücher oder eine Salatschüssel eintauschen kann. Achims Portmonnaie wölbt sich vor lauter Plastik: Payback- und Kundenkarten von Drogerien, Tankstellen und seinem Friseur. Achim kommt sich schlau vor, er will von den vielen Angeboten profitieren. Dabei übersieht er, dass er Kapitalismus kein karitatives System ist, weshalb alles, was man ihm abkauft oder abluchsen will, ein Vielfaches an Wert besitzen muss. Das ist ihm nicht bewusst, bzw. erachtet er seine Daten nicht als besonders wertvoll schließlich hat er so wie so alles auf Facebook stehen, aber dazu später. Kritisches Nachdenken ist Achim zu anstrengt; was er nicht sehen oder fühlen kann, interessiert ihn nicht. Seine Eltern, das Wirtschaftssystem und die Leistungsgesellschaft hat ihn zu einem gehorsamen Kunden und Bürger erzogen, der auf Anfrage sofort jede beliebige Auskunft über sich selbst erteilt und alles gibt um die maximale Leistung zu erreichen.

Wann wird Achim ein Licht aufgehen? Wenn er bei seiner Bank keinen Kleinkredit erhält, weil er im falschen Stadtteil wohnt und in der falschen Läden einkauft? Wird er dann auf einmal die Wirtschaft, die Politik und das Universum anklagen, weil sie alle nichts besseres zu tun haben, als den “kleinen Mann von der Straße” auszubeuten? Oder wird er auch dann missmutig schweigen und alles hinnehmen, so wie er es früher getan hat, wenn seine Schulkameraden bei den Vokabeltests gespickt haben?

An das alltägliche Datensammeln hat sich Achim dermaßen gewöhnt, dass ihm sämtliche Maßnahmen des Staates, wenn er sie einmal zur Kenntnis nähme, vergleichsweise harmlos erscheinen würden.

Vorratsdatenspeicherung. Telekommunikationsüberwachung. Online-Durchsuchungen. Erweiterte Rasterfahndung. Großer Lauschangriff. Speicherung aller Fingerabdrücke. Biometrische Passdaten. Nutzung der Mautdaten. Die automatische Erfassung von Autokennzeichen. Fluggastdatenspeicherung, Briefkontrollen, Geruchskontrollen, Verwanzung von Wohnungen, Zensus2011- SOPA. ACTA. alles halb so schlimm, das betrifft so wie so nur die “Kriminellen” und nicht ihn, denn er ecke nicht an, er passt sich lieber an, auch wenn es noch so schwer ist. Schließlich ist Anpassung alles und so hat er es schon immer getan, wie sonst soll man auch in so einer Gesellschaft überleben? Man muss doch flexible sein oder?

Außerdem ist Achim hundertprozentig sicher, ein so braver Mensch zu sein, dass er niemals ins Fadenkreuz der Behörden geraten wird. Das bisschen MP3s oder Filme runterladen und Schwarzarbeit verbucht er unter “Kavaliersdelikt”. Grundsätzlich ist er ein gehorsamer Bürger. Ein Konflikt mit den Autoritäten ist für ihn undenkbar, schleißlich will er doch nur den Vorteil des Datenteilens nutzen um nicht in den Landen oder in das Kino rennen zu müssen. Diese Firmen haben es tatsächlich bis heute nicht geschafft den neuen Markt im Netz zu erschließen, obwohl das deutlich bequemer für den Kunden und den Händler wäre.

Achim widerspricht seinem Chef nicht und kuscht vor jedem Polizisten. Er würde niemals gegen Unrecht protestieren, das zum Himmel schreit. Wie die Energie zu ihm nach Hause kommt ist ihm  egal, Hauptsache ist er hat genug um seine neue HIFI Anlage aufzudrehen und die üblichen Pophits von Lady Gaga aus dem Radio zu hören. Achim besitzt kein Mitgefühl für Menschen, die mit dem Staat aneinandergeraten. Die sind alle irgendwie selbst schuld, Ausländer, Drogenabhängige, jugendliche Randalierer, politische Extremisten. Kein Rauch ohne Feuer, und wo gehobelt wird, da fallen Späne. Wenn Achims Nachbar von der Polizei abgeholt würde, stünde Achim am Fenster und würde sich selber einreden, dass der sympathische und stets hilfsbereite Nachbar schon irgendwas Schlimmes angestellt haben wird: Da schau mal einer an, was hinter einer netten Fassade lauern kann! In diesem Land kann man niemanden mehr vertrauen. Es ist notwendig die Bürger mehr zu kontrollieren und die Rechte weiter einzuschränken. Netzsperren müssen erweitert werden neben der Kinderpornographie muss auch noch der gesamte andere Müll aus den Netz. Alles was nicht der “normalen Norm” entspricht muss raus!

Achim ist der vollendete Untertan und tiefgläubiger Demokrat, der volles Vertrauen gegen über seinem Staat hat, obwohl dieser immer mehr zu Überwachungs- und Kontrollstaat wird und auch Achim’s Rechte stark eingrenzt. Aber Achim ist das personifizierte Versprechen, der Obrigkeit niemals aufzufallen.

Es gibt noch einen weiteren Grund, aus dem es Achim nicht stört, wenn er am Bahnhof von den Videokameras  gefilmt wird. Wenn man ihm einredet, diese Kameras seinen mit dem Internet verbunden und die Bilder weltweit abrufbar, würde er grinsend und mit gestrecktem Victory-Zeichen vor den Kameras auf und ab tanzen und vielleicht noch “Papa can you hear me? Papa can you hear me?” singen. Denn Achim findet sich selbst hoch interessant und will sich der Welt nicht vorenthalten. Er stellt Fotos von seinen Kindern ins Netz. Sein Hund hat eine eigene Website. Achim hat User-Profile bei Facebook, MySpace, MeinVZ und YouTube. Er spricht in Foren über seine Seitensprünge und leistet Trauerarbeit, weil ihn seine Frau verlassen hat. Auf seinem Blog stellt er immer wieder private Geschichten, auch von Freunden ins Netz und vergisst dabei die Benutzerrechte richtig einzustellen. Bis heute kann jeder über eine Suchmaschine die Urlaubsgeschichte von ihm und seiner Freundin nachlesen, das ganze ist natürlich mit Fotos und Videos gespickt, wo man seine Freundin auch mal leicht bekleidet am Pool sehen kann. Sie hat ebenfalls nichts dagegen, denn sie arbeitet als Altenpflegerin, die zu Pflegenden wissen ja nicht einmal wie ein PC funktioniert, also werden sie wohl kaum auf diese Inhalte stoßen…

Insgesamt bedeutet das Internet Achim die perfekte Synthese zwischen Exhibitionismus und Voyeurismus. Er liebt es einfach sich selber zu veröffentlichen, weil es ihm ein wunderbares Gefühl gibt tatsächlich “Da” zu sein, relevant und vielleicht sogar unsterblich dank seiner vielen Suchtreffer bei Google, um die sich nach seinem Tod wohl niemand kümmern wird. Die anderen Existenzen beweisen ihm, dass er nicht allein ist. Wenn sich nun neben dem Netz auch der Staat für Achim interessiert – warum nicht?

Das bin doch ich! Wenn du das Erleben während des Lesens vom Artikel gehabt haben solltest, dann solltest du dir unbedingt psychologische Unterstützung suchen, die dich in Sachen Geltungsdrang und Unbesorgtheit behandelt! Sry

Ich hoffe keiner der Leser denkt so wie hier im Artikel geschildert. Der Artikel soll eine Art politischer Warn- bzw. Weckruf sein. Denn in der heutigen Zeit geschehen recht viele Dinge die die Meinungsfreiheit und die Rechte der Bürger immer weiter eingrenzen. An dieser Stelle müsste eigentlich auch der letzte merken, dass Zeit zum Handeln ist. Also lieber jetzt aktiv werden, bevor es zu spät ist!

Schönen Gruß vom Überwachungsstaat! Orwell’s 1984 höchstpersönlich!

Bitte werde aktiv und werde Teil einer politischen Bewegung gegen: Einschränkung der bürgerlichen Rechte und den Überwachungsstaat!

Erster Schritt Petition gegen ACTA unterschreiben: http://www.stopp-acta.info/deutsch/werde+aktiv/e-petition/e-petition.html

Wenn du nicht weißt was ACTA ist: http://www.youtube.com/watch?v=I3yucorZWPQ

______________________________________________________________________________________________________

Der Artikel ist überwiegend an Teile aus “Angriff auf die Freiheit” von Juli Zeh und Ilja Trojanow angelehnt. Das ist übrigens ein super tolles Buch, ich empfehle es jedem, der mehr wissen will als der Durchschnittsdenker und sich ein kritisches Bild gegenüber der heutigen Gesellschaft bilden möchte!

“Angriff auf die Freiheit”  von Juli Zeh und Ilja Trojanow  (ISBN: 978-3-423-34602-3) Kosten: 7.90€

Eventuell kommt zu dem Buch nochmal eine Review, da es echt vielseitig ist und schöne Theorien  aufwirft.

_______________________________________________________________________________________________________

Das war er mein kleiner Exkurs hoffe er hat euch gefallen! Über einen Kommentar würde ich mich sehr freuen!

~AirSys

Quelle: Eine Nachricht an die gesamte Menschheit

Mich hat das Video ziemlich berührt. Dachte ich teil das mal mit euch. Der Auschnitt ist aus dem Film Der große Diktator mit Charlie Chaplin in der Hauptrolle. Ich danke nochmal Tunny das er mich auf das Video in seinem Blog Tunny.ch aufmerksam gemacht hat.

~Acsiii

Der Exploit wurde vorerst in .bash geschrieben, man braucht also Linux um ihn ausführen zu können. Doch es gibt seit wenigen Tagen ebenso eine Windows Applikation (WhatsApp Status Changer) die auf dem Bash Script basiert. An diesem Punkt will ich euch allen raten das Programm auf einer Virteullen Maschine zu benutzen da ich keine Garantie geben kann ob es vielleicht mit Malware infiziert wurde oder irgendwelche Backdoors besitzt.

Laut tech-blog.net ist die Lücke schon geschlossen da das Team nach mehreren Versuchen & Tests feststellen musste das der Exploit nicht mehr funktioniert. Auch ich habe heute Morgen nochmals versucht den Exploit wieder auszunutzen aber ohne Erfolg wie es scheint wurde die Lücke gefixxt.

Ebenso hat mich tech-blog.net auf ein XDA Entwickler Forum (Android Forums & Windows Phone Discussion @ xda-developers) aufmerksam gemacht, wo jemand das Bash Script in eine PHP Script modifiziert bzw. umgecodet hat. Es ist vielleicht dem ein und anderen komfortabler als Bash oder eine Win App. Ich werde diesen Artikel im laufe der nächsten Stunden oder Tage updaten sobald ich neue Infos finde. Hier nochmal die Links zu den verschiedenen Scripts/Plattformen.

WhatsApp Status Changer v0.2 Exploit (Bash Script):
www.exploit-db.com/exploits/18396/

WhatsApp Status Changer (Windows Applikation):
www.whatsappstatus.net

WhatsApp Status Changer (PHP Script):
www.forum.xda-developers.com/showthread.php?t=1441995

~Acsiii