Helden und deren Motive – ein Blick hinter den SchülerVZ Datenskandal

27. Oktober 2009 geschrieben von A.J. & C.J.

Mitte Oktober schlug die Nachricht, dass durch ein großes Sicherheitsloch im SchülerVZ-Netzwerk Datensätze von einem Viertel der dort angemeldeten Nutzer dem Betreiber abhanden gekommen waren, große Wellen.

Netzpolitik.org meldete:

“Aus anonymer Quelle wurden uns Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Datensatz umfasst mehr als eine Million Datensätze…”

Heute meldet netzpolitik.org

“Unsere erste Quelle bei der Aufdeckung eines Datenlecks bei SchülerVZ hat die von ihre entdeckten Sicherheitslücken dokumentiert (PDF). Wir danke für die Zusammenarbeit. Gerne würden wir die Namen veröffentlichen, damit die beiden Personen auch etwas Ruhm für die Aktion abbekommen. Allerdings ist noch unklar, ob SchülerVZ juristisch gegen sie vorgehen würde. Daher verzichten wir noch darauf.”

Die Helden der Aufdeckung des Datenskandals wollen also gefeiert werden, haben aber Angst vor Repressalien?
Doch haben Helden mit hehren Motiven überhaupt etwas zu befüchten ?

Wenn man anhand des Textes dieses PDF Dokuments etwas nachforscht, finden sich überaus interessante Informationen, die, fügt man diese chronologisch aneinander, ein etwas anderes Bild eines möglichen Motivs vermitteln könnten.

Der Versuch einer Timeline
TICKERTICKERTICKERTICKDITACK
(sich bitte hier das Geräusch eines Nachrichtentickers vorstellen, welchen investigative Nachrichtensender des ÖR-Fernsehens Zwecks des besseren Effekts gerne einfügen)

2. Mai 2009
Max (Name geändert) veröffentlicht auf download.chip.eu ein selbstgeschriebenes Tool Namens “SchülerVZ Fotodownload 2.0″:

“Mit dem SchuelerVZ Fotodownload-Tool lassen sich SchuelerVZ Alben mit nur einem Klick herunterladen.”

Als Homepage des Entwicklers wird die Seite Foto-downloader.org genannt. Eigentümer dieser Seite: Max

TICKERTICKERTICKERTICKDITACK

14. September 2009
In einem Beitrag auf Progmatic.de, dessen Inhaber Max ist, und auf den die Seite Foto-downloader.org umgeleitet wird, ist unter der Überschrift “Beschwerde von VZnet Netzwerke Ltd. (ehemals StudiVZ Ltd.)” zu lesen:

“Aufgrund von Forderungen der VZnet Netzwerke Ltd. (früher StudiVZ Ltd.), verantwortlich für SchülerVZ.net sind die von mir für SchülerVZ.net veröffentlichten Programme nicht mehr in der aktuellen Form auf dieser Seite zu beziehen.”

TICKERTICKERTICKERTICKDITACK

2. Oktober 2009
Auf dem Blog Piratesparty.wordpress.com wird in dem Beitrag “SchuelerVZ – ein Facebook-Klon mit Maengeln” die wortgleiche Erklärung, die heute auf netzpolitik.org in Form eines PDF Files veröffentlicht wurde, online gestellt. Den Kommentaren kann man entnehmen, dass der Beitrag nach dem 11. Oktober irgendwann wieder auf Entwurf gestellt wurde, um dann wahrscheinlich am 21. Oktober wieder online gestellt zu werden. Die Gründe:

“ich wäre Euch sehr dankbar, wenn Ihr diesen Artikel vorerst nochmals in den Entwurfstatus – und damit unsichtbar – machen würdet. Ich wollte eigentlich erst warten, bis das Gutachten auch auf namhafteren Seiten auftaucht, damit es nicht von vielen einfach unentdeckt bleibt, während dann aber von SchülerVZ die aufgezählten Punkte eventuell einfach behoben werden. Das wäre schon schade…”

TICKERTICKERTICKERTICKDITACK

16. Oktober 2009
Netzpolitik.org veröffentlicht ihren Bericht über die Sicherheitslücke bei SchülerVZ. Die Geschichte nimmt ihren Lauf….

Zusammenfassung
Max wird von Betreibern von SchülerVZ untersagt, sein Programm “SchülerVZ Fotodownload” weiter zum Download anzubieten.
Daraufhin schreibt anscheinend Max oder einer seiner Kumpels ein “Programm”, mit welchem im SchülerVZ Netzwerk die Daten von über 1 Million Usern ausgelesen werden. Aus Angst, dass das eigene “Gutachten” zu wenig Beachtung findet, während SchülerVZ die Sicherheitslücke schließt, wird es wieder offline genommen.
Danach wendet man sich an ein recht bekanntes Blog netzpolitik.org, welches man nun für sein angeblich so ehrbares Ziel, nur auf eine Sicherheitslücke aufmerksam machen zu wollen, nutzt. Über netzpolitik.org verbreitet sich die Nachricht weiter über Golem, Heise bis zu Spiegel Online.
Leider wurde dann ein zweiter Mensch, der das Sicherheitsleck auch schon entdeckt hatte, bei dem Versuch, 80.000 EUR von SchülerVZ zu erpressen, festgenommen.
Anscheinend eingeschüchtert über die Tragweite der Lage wird das Gutachten beschnitten und “anonym” wiederum über Netzpolitik.org veröffentlicht.

Fazit: (K)eine Frage der Ehre !?
Keine Frage, das Aufdecken und Schließen von Sicherheitslücken ist von Grund auf ein gutes Anliegen. Die Historie hinter dem aktuellen Fall lässt jedoch viel Spielraum für Interpretationen, was die wahren Motive angehen könnte.
War es verletzter Stolz? Wollte man sich bei SchülerVZ dafür revanchieren, dass diese einem das Verbreiten eines selbst geschriebenen Programms untersagt haben?
Hat man netzpolitik.org aus Angst, dass das eigene Blog nicht genug Beachtung findet und SchülerVZ inzwischen die Lücke schließen könnte, instrumentalisiert?

Allein der Kommentar in dem Blog piratesparty.wordpress.com lässt darauf schließen, dass man mitnichten davon ausging, das SchülerVZ die Warnungen ignorierte. Man hatte eher Angst, dass sie reagierten und das eigene “Gutachten” danach nichts mehr wert sein könnte und man so nicht die gewünschte Beachtung erhielte.

Betrachtet man diese Hintergründe, tun sich viele neue Fragen auf:
- Mussten erst wirklich die Daten von 1 Million Usern des Netzwerks SchülerVZ entwendet werden, um auf eine Sicherheitslücke hinzuweisen? Hätte da nicht auch ein wesentlich kleinerer und ungefährlicherer Datenbestand gereicht?
- Hätte man auch dann die Sicherheitslücke öffentlich gemacht, wenn das Verbreiten des Programms “SchülerVZ Fotodownload” nicht untersagt worden wäre?
- Wäre das einzige Ziel gewesen, die Sicherheitslücke zu schließen, hätte man dann nicht anders agiert?!

Wenn das Handeln wirklich aus niederen Beweggründen geschah, hat man dann ein Anrecht auf Ruhm ?

Abgelegt in IT-Sicherheit, Internet | 4 Kommentare »

Good morning Lampertheim

15. Oktober 2009 geschrieben von A.J.

Jeder kennt sie, die Alternative zum klassischen Radio – Webradios. Meist im kleinen Stil von engagierten Hobbymoderatoren betrieben, bieten diese Webradios doch eine willkommene Alternative zum täglichen Einheitsbrei im Äther.
Normalerweise machen wir ja keine Werbung auf unserem Blog, aber heute möchte ich mal eine Ausnahme machen. Schaut doch mal bei Webradio Südhessen vorbei. Aber vorab, lasst euch nicht von der Website abschrecken, denn die inneren Werte zählen.
Insbesondere die Sendung “Disti´s Alternative Stunde”, die immer Mittwochs von 22:00 Uhr bis 0:00 Uhr läuft, möchte ich persönlich empfehlen. Ok, Disti spielt vielleicht nicht immer meinen Musikgeschmack, aber er ist lernfähig
Gestern hatte er seine zweite Sendung und ich denke mal, er hat noch jede Menge Potential. Vielleicht könnte er ja noch etwas mehr von seinem besonderen Charm und Witz einfliessen lassen, denn IMHO macht nicht nur die gespielte Musik ein interessantes Radio aus. Ich bin mal gespannt, wie sich seine Sendung weiterentwickelt.
Vielleicht hat er ja das Zeug zu einem Adrian Cronauer.

Abgelegt in TV / DVD / Kino / Musik | Keine Kommentare »

fast 2 Jahre hat es gedauert

07. Oktober 2009 geschrieben von A.J.

bis unsere Befürchtungen Realität werden:

“Schwarzkopien von Hörbüchern mit Wasserzeichen aufspüren”

Bereits im November 2007 haben wir ausführlich über das Thema Wasserzeichen und DRM in Audiofiles berichtet. Jetzt scheinen unsere Befürchtungen in die Tat umgesetzt zu werden, will man nun wohl aktiv im Internet nach illegal zum Download angebotenen Audiofiles suchen, die beim Kauf mit einem Wasserzeichen versehen wurden.
Nicht auszudenken, welche Flut von Anzeigen, Abmahnungen, Hausdurchsuchungen und was weiss ich noch alles auf uns und vor allem die deutschen Gerichte zukommen wird.

fussfessel

Quelle:
Schwarzkopien von Hörbüchern mit Wasserzeichen aufspüren (Golem vom 06.10.2009)

Abgelegt in Verbraucherthemen | Keine Kommentare »

US-Serien endlich legal zeitnah

07. Oktober 2009 geschrieben von A.J.

Laut einer Meldung von Heise hat die Deutsche Telekom einen Vertrag mit den ABC-Studios abgeschlossen, der es ihr erlaubt, US-Serien kurz nach der Ausstrahlung in den USA auch für uns über ihre Online-Videothek Videoload verfügbar zu machen.
Den Anfang macht die 6. Staffel von Grey´s Anatomy, folgen soll Desperate Housewives, Private Practice und im Januar – TARAAAAA- die finale Staffel von LOST. Zum Originalton will Videoload dann einen Deutschen Untertitel liefern.

Eigentlich könnte man sich jetzt freuen, hat wenigstens einer erkannt, dass es hier in Deutschland einen Markt dafür gibt. Nein, nicht nur einen Markt, sondern ein Grundbedürfnis vieler TV-Junkies, zeitnah ihre Lieblingsserien weiter zu verfolgen.

Tja, aber wie immer gibt es bei allem einen Haken – in diesem Falle sogar zwei:
Haken Nummer eins ist der Preis, den man als Konsument pro Folge bezahlen soll. Die Rede ist hier von 2,49 EURO pro 24 Stunden Miete. Rechnet man dann mal diesen Betrag hoch auf eine komplette Staffel, so ist man schnell bei einem Betrag zwischen 25 und 50 Euro oder sogar noch mehr.
Haken Nummer zwei ist der Einsatz von DRM und die daran gebundene Mietdauer von 24h. Wir alle wissen ja, was DRM bedeutet und wie erfolgreich die Musikindustrie mit dieser Technik war. Macht man hier etwas den gleichen Fehler erneut ?

Auch ich warte sehnsüchtig auf eine legale Möglichkeit, wirklich zeitnah meine Lieblingsserien zu schauen. Zumal einige Serien im Originalton mehr Charakter haben als in der deutschen Übersetzung, um nur mal LOST oder Enterprise (die Serien mit Scott Bakula) zu nennen.
Aber bei einem solch hohen, in meinen Augen sogar Wucherpreis, werde ich weiterhin einfach darauf warten, bis die komplette Staffel auf DVD erscheint und dann über diverse Onlinehändler importiert werden kann. Das dauert im Normalfall nur wenige Monate, ich bekomme eine Staffel in einer Box, nicht gestückelt wie auf dem deutschen Markt und oftmals ist bereits eine deutsche Tonspur als Bonus enthalten. Last but not least kostet mich das ein Bruchteil, kann die Box später wieder verkaufen und komme unterm Strich auf eine Leihgebühr von wenigen Euros. Abgesehen davon, dass ich die Serien dann genießen kann, wann und wo ich will, und mich nicht von DRM gängeln lassen muss.

Mein Tip an die Deutsche Telekom und alle anderen, die vielleicht gerade in ähnlichen Planungen stecken: Ja, bietet uns sowas an, der Markt will das, aber zu einem günstigen und fairen Preis und vergesst DRM gleich mal wieder. Gerade wenn es nur geliehen ist, muss es deutlich günstiger sein, als ein Kaufprodukt.

Quelle:
Serien kurz nach der US-Erstausstrahlung bei Videoload (Heise Online vom 06.10.2009)

Abgelegt in TV / DVD / Kino / Musik | Keine Kommentare »

neues Album von Max Herre – Ein Geschenkter Tag

02. Oktober 2009 geschrieben von A.J.

Max Herre hat ein neues Album “Ein Geschenkter Tag” rausgebracht. Wer den typischen Sound von Max und Freundeskreis mit der Mischung aus Rap und Hip Hop erwartet, wird erst einmal enttäuscht.
Das Album zeigt einen anderen Max, einen der nur wenig an die alten Zeiten erinnert.
Wer also mit dem Gedanken spielt, das Album blind zu kaufen, sollte erst einmal reinhören, denn es ist gewöhnungsbedürftig.
Mir persönlich hat es nicht gefallen. Ich war sogar ziemlich enttäuscht, denn ich hatte sehnsüchtig auf ein neues Knalleralbum im Stil seines ersten Soloalbums gehofft….

Abgelegt in TV / DVD / Kino / Musik | Keine Kommentare »

WLAN Treiber Toshiba Satellite Pro 6100

23. September 2009 geschrieben von A.J.

Auf der Website von Toshiba findet man leider nur noch einen recht alten WLAN-Treiber für die im Notebook Toshiba Satellite Pro 6100 verbaute WLAN-Karte (Hersteller Agere ?). Sowohl dieser Treiber als auch der von Windows XP SP3 mitgelieferte können leider nur eine WLAN-Verschlüsselung WEP.
Auf der Suche nach Alternativen habe ich einen aktualisierten Treiber für die Karte gefunden, der zumindest die Verschlüsselung mit WPA-TKIP erlaubt. Damit kann man die betagte Karte jetzt halbwegs sicher im WLAN betreiben.

Das Treiberpaket hat den Dateinamen windows_drivers_sr02-2.3.zip.
Das Paket gibt es derzeit bei Steve zum Download. Im Notfall findet Google noch weitere Downloadquellen.

Abgelegt in IT-Sicherheit, IT-Welt | Keine Kommentare »

RAID oder nix

22. September 2009 geschrieben von A.J.

Zum wiederholten Male stolpere ich in einer populären, eher gehobeneren Computerzeitschrift (ich rede nicht von der Computerbild ) über die Aussage, dass man von RAID lieber die Finger lassen soll.
OK, ganz so pauschal wurde es so nicht gesagt, aber zwischen den Zeilen wird von RAID abgeraten. Besonders irritierend fand ich den Satz:

“Im Server, wo es auch auf Hochverfügbarkeit von Daten ankommt, mag RAID eine Daseinsberechtigung haben.”

Ich finde solche Aussagen und “Ratschläge” höchst unangebracht. Zudem suggeriert es die Denkweise, man könnte auf RAID generell verzichten. Das dem aber nicht so ist, möchte ich kurz plausibel machen.
Weiterlesen »

Abgelegt in IT-Welt | 2 Kommentare »

Gedanken nach dem Amoklauf

18. September 2009 geschrieben von C.J.

Abgelegt in Gedanken | Keine Kommentare »

Java Embargo

17. September 2009 geschrieben von A.J.

Java-Meldung auf einem deutschen Windows 2003 R2 Server:
JavaEmbargo

Abgelegt in IT-Welt, Unterhaltsames | Keine Kommentare »

R.I.P Patrick Swayze

15. September 2009 geschrieben von C.J.

Patrick Swayze sah ich, wie viele andere junge Menschen damals auch, 1987 das erste mal im Kino in dem Film Dirty Dancing. Freiwillig hätte mich niemand in diesen Film bekommen. Und auch heute noch schaue ich lieber gelangweilt an die Decke, als dass ich mir auch nur eine Wiederholung dieses Schinkens im Fernsehen antue. Aber meine damalige Partnerin wollte dort unbedingt rein.

In Ghost drei Jahre später hat mir am besten die damals noch etwas pummelige Demi Moore gefallen – schon aus Protest. Ich wurde das Gefühl nicht los, dass meine (äh neue) Partnerin, mit der ich den Film besuchte, sich wünschte, dass ich auch so tot wie dieser Sam auf der Leinwand sei. Ich hoffte damals inständig, dass dieser Wunsch von einer möglichen Identifikation mit der weiblichen Hauptfigur herrührte und schnell wieder vergehen möge.

Zuletzt sah ich Patrick Swayze in dem Episodenfilm 11:14. Mit leichtem Bauchansatz hat er mir als Schauspieler dort am besten gefallen, was aber nicht am Bauchansatz lag.

Unvergessen bleibt mir sein Song “She’s like the wind”, den er ‘87 mit Wendy Fraser aufgenommen hatte. Warum zu seinem Andenken in den Radios nicht dieser Song sondern lieber der Dirty Dancing Hit “The Time of my Life” von Bill Medley und Jennifer Warnes gespielt wird, entzieht sich doch etwas meinem Verständnis.

Patrick Swayze verstarb gestern im Alter von 57 Jahren. Er hinterlässt eine Menge gebrochener Frauenherzen, in Tanzschulen gequälte Männer und viel Respekt für seinen leider aussichtslosen Kampf gegen den Krebs.

Rest in Peace, Patrick.

Abgelegt in Trauriges | Keine Kommentare »

« Ältere Einträge
Neuere Einträge »