Why the Security of USB Is Fundamentally Broken

usb

Die Karte zeigt übrigens eine Reiseroute, die ich 1982 geplant hatte. Meine damalige Lebensabschnittsgefährtin wollte dann aber doch nicht durchs Darien Gap (awesome story!) marschieren. (Ja! Zu Fuß und per Boot und nicht per Jeep! Das geht!) Wir sind (leider) von Panama nach Kolumbien geflogen. Ich weiß nicht, ob ich da jemals noch hinkomme. Allein würde ich das nicht machen, aber eine Lebensabschnittsgefährtin müsste schon sehr tough sein.

Wired: “Why the Security of USB Is Fundamentally Broken”:
Computer users pass around USB sticks like silicon business cards. Although we know they often carry malware infections, we depend on antivirus scans and the occasional reformatting to keep our thumbdrives from becoming the carrier for the next digital epidemic. But the security problems with USB devices run deeper than you think: Their risk isn’t just in what they carry, it’s built into the core of how they work.

Das wäre ja noch schöner, wenn ich USD-Sticks fremder Leute an meine Rechner ließe. Autostart via USB – ohne meine jeweilige ausdrückliche Erlaubnis? Igitt. (Und natürlich ist unter Windows auch mein BIOS verrammelt und verriegelt.)

All manner of USB devices from keyboards and mice to smartphones have firmware that can be reprogrammed—in addition to USB memory sticks, Nohl and Lell say they’ve also tested their attack on an Android handset plugged into a PC.

Das Problem haben Karsten Nohl (Security Research Labs GmbH, Berlin, und Jakob Lell (Blog) aufgedeckt. Das Thema wird auch auf der Blackhat 2014 vorgestellt werden:

This talk introduces a new form of malware that operates from controller chips inside USB devices. USB sticks, as an example, can be reprogrammed to spoof various other device types in order to take control of a computer, exfiltrate data, or spy on the user. We demonstrate a full system compromise from USB and a self-replicating USB virus not detectable with current defenses.

Ich gehöre nicht zu den Leuten, die Artikel schreiben mit dem Tenor “das Ende ist nahe”. Panikmache ist fehl am Platz. Das mag daran liegen, dass ich nicht für Geheimdienste arbeite, wie mir von einigen Verschwörungstheoretikern vom CCC seit meher als einem Jahrzehnt immer wieder unterstellt wird (vermutlich arbeiten gerade die für Geheimdienste). Die meisten Artikel in deutschen Medien über das obige Thema hinterlassen Laien mit dem Gefühl zurück: Die sind schon drin in meinem Computer, und man kann eh nichts tun. Das halte ich für kontroproduktiv, defätistisch und erst recht im Sinne der Dienste.

Ich sehe gerade, dass Heise etwas zum Thema berichtet. (Hätte ich mir denken können, ich bin über Bruce Schneider zur Wired gekommen.)

Die Kommunikation zwischen PC und USB-Sticks setzt auf das altbewährte SCSI-Protokoll auf. Dabei implementieren die Controller-Chips der Sticks mehr oder weniger SCSI-konform zusätzliche Hersteller-spezifische Erweiterungen. Über die kann Software auf dem PC dann etwa die Firmware des Sticks auslesen und auch einen neue, etwas modifizierte Firmware schreiben. Sicherheitsfunktionen, die dies irgendwie absichern würden, gibt es in der Regel nicht. (…) Um dann wiederum weitere Sticks zu infizieren, benötigt der Schadcode zwar Systemrechte, doch die lassen sich in der Regel ohne allzu großen Aufwand beschaffen – insbesondere, wenn man bereits “an der Tastatur sitzt.

Also ich weiß nicht. Das ist ja alles logisch, aber funktioniert nur unter bestimmten Voraussetzungen. Wie will jemand zum Beispiel an mein System-Passwort kommen?

Der Heise-Artikel zeigt auch anschaulich, dass Antiviren-Software Schlangenöl ist. Quod erat demonstrandum.

Ruchlos

Das Bildblog hat nachgefragt, woher die Fotos auf dem Propaganda-Titelbild des Spiegel stammen – aus “öffentlich zugänglichen Quellen”. Die Chefredaktion des ehemaligen Nachrichtenmagazins “argumentiert”:
Wir halten die Optik für angemessen, denn es handelt sich um Opfer der ruchlosen Machtpolitik des russischen Präsidenten Putin. Dies rechtfertigt nicht nur eine so starke, emotionale Optik, es macht sie geradezu notwendig – und zwar im Interesse der Opfer und ihrer Angehörigen.

Manufacturing Consent

Wikipedia über das Propagandamodell von Noam Chomsky und Edward S. Herman:
“Das Propagandamodell wurde zuerst 1988 in Hermans und Chomskys Buch Manufacturing Consent: the Political Economy of the Mass Media dargestellt. Die Theorie beschreibt, wie die Medien ein dezentralisiertes und nicht-verschwörerisch handelndes Propagandasystem bilden können, das fähig ist, einen Konsens im Interesse der gesellschaftlichen Oberschicht herzustellen und die Öffentlichkeit manipulativ in diese Perspektiven der Oberschicht einzubinden – während gleichzeitig der Anschein des demokratischen Prozesses und Konsenses gewahrt bleibt.”

Extrem und viele Isten oder: Wie die CDU die Welt sieht

stalinisten

Wie die CDU und Mike Mohring aus Thüringen die Welt sehen (via Katharina König).

Argentinien: Die Hedgefonds haben sich verzockt

Ich habe viele Jahre damit verbracht, den Journalismus und die intellektuelle Korruption, die von ihm ausgeht, mit ganzer Seelenkraft zu verabscheuen. (Karl Kraus)

Ich schrob am 08.08.2012 (“Wertpapiere, oder: Banken im Kapitalismus, revisited”):

“Kurzes Intermezzo: Wie war das mit dem Staatsbankrott Argentiniens 2002?
Am Höhepunkt der Krise (Mitte 2002) stieg die Armutsrate auf 57 %, die Arbeitslosenrate erreichte 23 %. (…) Eine Privatisierungswelle Anfang der 90er Jahre, bei der viele Staatsbetriebe zum Teil unter Wert verkauft wurden, führte dazu, dass weite Teile der argentinischen Wirtschaft vom Ausland abhängig wurden. Dies machte das Land anfällig für Spekulation und Kapitalflucht, ein Phänomen, das Ende 2001 maßgeblich zur Bankenkrise beitrug.”

Übrigens: Griechenland wird zur Zeit dazugezwungen, alle Staatsbetriebe zum Teil weit unter Wert zu privatisieren. Kommt das irgendjemandem jetzt bekannt vor?

Im Jahr 2004 wurden den Vertretungen der Gläubiger mehrmals Vorschläge unterbreitet, die einen Kapitalschnitt von 75%, später 65% vorsahen. Sie stießen zunächst besonders bei den ausländischen Gläubigern, die mehr als 55% des Schuldenvolumens reklamieren, allgemein auf Ablehnung und trübten auch Argentiniens Verhältnis mit dem IWF. Durch mehrere diplomatische Missionen gelang es jedoch Argentinien, die meisten Gläubigergruppen zu überzeugen, Widerstand gab es bis zum Ende noch von den deutschen und vor allem von den italienischen Gläubigern.

Die Währung Argentiniens wurde nach dem Staatsbankrott gegenüber dem Dollar extrem abgewertet. Aber: “Das Wachstum in Argentinien blieb seit Mitte des Jahres 2003 stetig hoch. Dieses Wirtschaftswachstum kann vor allem durch die positiven Erfolge der Abwertung begründet werden.”

Abwertung = Wirtschaftswachsum. Alles klar soweit? Puls und Atmung noch normal?”

Es war nicht anders zu erwarten, wie die deutschen Mainstream-Medien titeln würden: “Argentinien zockt sich in den Staatsbankrott” und “Das südamerikanische Land ist ein fiskalischer Serientäter” (Welt online). Die Fakten werden zwar aufgezählt, aber suggestiv bewertet. Dazu bietet uns Welt online die umwerfende Erkenntnis an: “Pleiten erfolgen meistens in Wellen entlang historischer Ereignisse wie Kriege, Revolutionen oder globaler Wirtschaftskrisen.” Ach.

America21.de eröffent mit der Schlagzeile: “Argentinien beugt sich Hedgefonds nicht”. Das ist korrekt. Im Artikel auf Welt online steht das weit unten:
Denn das Land hat durchaus noch genügend Geld, um die Gläubiger zu bedienen. Die Währungsreserven betragen knapp 30 Milliarden Dollar – genug, um die Pleite abzuwenden.
Die Regierung in Buenos Aires hatte sich geweigert, den Hedgefonds die von einem New Yorker Gericht zugesprochenen 1,33 Milliarden Dollar plus Zinsen auszuzahlen. Die Hedgefonds hatten die Anleihen mit einem kräftigen Preisnachlass erworben, einen Schuldenschnitt verweigert und dann auf volle Auszahlung geklagt. Der New Yorker Richter hatte geurteilt, dass ohne die Lösung dieses Konflikt [sic] auch die Besitzer der restlichen Anleihen nicht bedient werden dürfen.

Das nenne ich nicht “verzockt”, sondern vernünftig entschieden. Verzockt haben sich die Hedgefonds.

Lüge in Kriegszeiten oder: Die Verkommenheit der westlichen Medien

Mathias Bröckers in Telepolis: “Am Beispiel des Ersten Weltkriegs formulierte Arthur Ponsonby 1928 die Strukturgesetze der Kriegspropaganda – sie gelten, wie die aktuelle Berichterstattung über die Ukraine zeigt, noch immer.”

Absoluter Lesebefehl.

(…) … Medienschaffende und Journalisten, die in Leitartikeln und Talkshows Stimmung machen. Von ihrer Verpflichtung zu objektiver Information haben sie sich weitgehend verabschiedet und präsentieren die Wirklichkeit als Schwarzweißfilm mit eindeutiger Rollenverteilung in Gute (USA, EU und Nato) und Böse (Putin und Russland) präsentieren. Zu diesem Zweck mutieren dann nicht nur Gerüchte zu Tatsachen, Vermutungen zu Ereignissen und Meinungen zur Wahrheit, sondern es werden auch unpassende Fakten verschwiegen und Interessen und Hintergründe der Akteure des Konflikts unterschlagen.

Oppa erzählt wieder aus dem Internet

pgp key

Der Heise-Newsticker weckt heute nostalgische Gefühle in mir. “22 Prozent der Deutschen nutzen kein E-Mail”. Ich würde zu gern wissen, ob unter “E-Mail-Nutzen” auch “Facebook-Vollschreiben” gemeint war. Für mich gehörte das eben nicht zum “Nutzen von E-Mail”. Viele, zu viele Leute kennen heute den Unterschied zwischen Webmail und einem E-Mai-Programm gar nicht (mehr). Heise schreibt:

Ein Blick auf den ersten E-Mail-Account und das Alter zeigt ebenfalls, dass die heute 30- bis 49-Jährigen im Durchschnitt am längsten ein Konto besitzen: Vor 11 Jahren haben sie es bereits angelegt. Die gerade 50- bis 64-Jährigen folgen mit 10 Jahren und die Senioren mit 9 Jahren. Am kürzesten verfügen die heute 14- bis 29-Jährigen mit 6 Jahren im Mittel über einen E-Mail-Zugang.

Die wohlwollenden Stammleserinnen und geneigten Stammleser werden schon ahnen, was jetzt kommt. Erst elf Jahre ein E-Mail-Konto besitzen? Das hieße ja, der Durchschnitt ist erst seit Mitte des letzten Jahrzehnts online? Ich habe seit mehr als zwanzig Jahren ein E-Mail-Konto. Und was sage ich der nachgeborenen Generation, die erst sechs Jahre ein E-Mail-Konto ihr eigen nennt? “Ich verschlüssele meine E-Mails seit 1995!” (Vgl. Screenshot oben). Die werden natürlich nur antworten: “Oppa erzählt wieder aus dem Krieg Internet”.

Ich habe ein wenig mit groups.google.com (das mittlerweile als Recherche-Instrument weitgehend untauglich ist – dank Google, u.a. weil Javascript erzwungen wird) im Usenet herumrecherchiert. 1994 habe ich das E-Mail-Programm Crosspoint benutzt, sowohl für Mail als auch als Newsreader, später in Kombination mit Hamster, einem lokaler News- und E-Mail-Server für Windowssysteme mit dem Feature, News und Mails von mehreren Servern einzusammeln und sie gegebenenfalls zu filtern und nachzubearbeiten. Jaja, man konnte mit Hamster E-Mail-Header bearbeiten und fälschen! Damals waren die Nutzerzahlen für bestimmte Programme in Deutschland noch vier- oder gar dreistellig.

Meine erste E-Mail-Adresse war b.schroeder@IPN-B.comlink.apc.org. APC ist/war die “Association for Progressive Communications” in Südafrika, der sich Mitte der 90-er Jahre wiederum viele deutschen Mailboxen des CL-Netzes angeschlossen hatten, um ihre Nachrichten verbreiten zu können. Ich hatte meinen Account bei der Mailbox Info Pool Network (IPN) – das erklärt, warum die E-mail-Adresse genau so aufgebaut war.

usenet-posting

Wenn man nach sich selbst sucht, findet man lustige Dinge, zum Beispiel die denkwürdigen Auftritte von Kim Schmitz (heute Kim Dotcom, früher auch bekannt als King Kimble the First, Ruler of the Kimpire) im Usenet, die Usenet-Threads zu “Tron” (damals hatte ich schon meine heutige E-Mail-Adresse) sowie diverse andere Flame-Wars. Ich möchte das alles damals nicht missen, es hatte einen hohen Unterhaltungswert. Aber die Leute, mit denen man darüber reden könnte, lassen sich an zwei Händen abzählen.

Tugendhaft

tugendhafte Frauen

“Die bayerische Landesmedienanstalt wird Werbung für Prostitution und Sexspielzeug in Radio und Fernsehen verbieten. Laut Beschluss des Medienrates vom 24. Juli 2014 soll entsprechende Werbung gemäß Art. 111 a Abs. 2 Satz 1 der Bayerischen Verfassung… nur zwischen 23:00 und 06:00 Uhr ausgestrahlt werden’ dürfen.” (via Pornoanwalt)

“Tugendhaftigkeit ist so wichtig, sie ist nicht nur ein Begriff. Sie ist eine Zierde für Männer und Frauen gleichermaßen. (…) Wo sind unsere Mädchen, die leicht erröten, ihren Kopf senken und die Augen abwenden, wenn wir in ihre Gesichter schauen, und somit zu einem Symbol der Keuschheit werden?” (Bülent Arinc, türkischer Regierungssprecher und einer der Stellvertreter von Ministerpräsident Recep Tayyip Erdogan, laut Spiegel online)

Burks.de wird abjetzt in Bayern nur noch zwischen 23:00 und 06:00 Uhr gesendet, ansonsten temporär abgeschaltet.

May the cowards never sleep

Aus dem 28. Artikel des “The Covenant of the Islamic Resistance Movement” (Hamas) vom 18.08.1088:
Arab countries surrounding Israel are asked to open their borders before the fighters from among the Arab and Islamic nations so that they could consolidate their efforts with those of their Moslem brethren in Palestine. (…)
Israel, Judaism and Jews challenge Islam and the Moslem people. “May the cowards never sleep.”

Die Wahlergebnisse der fünf Gouvernements im Gaza-Streifen (2006):
Nordgaza: 5 Sitze an die Liste Change and Reform
Gaza: 5 Sitze an die Liste Change and Reform, 3 Sitze für die Liste Independent Palestine
Dair al-Balah: 2 Sitze an die Liste Change and Reform, 1 Sitz an die Partei al-Fatah
Chan Yunis: 3 Sitze an die Liste Change and Reform, 2 Sitze an die Partei al-Fatah
Rafah: 3 Sitze an die Partei al-Fatah

Die Liste “Change and Reform” wird überwiegend von der Hamas gestellt. “May the cowards never sleep” – das werden sich die Israelis jetzt auch sagen. Warum sollte man mit der Hamas überhaupt verhandeln?

Da fällt mir Wilhelm Busch ein:
Die bösen Buben von Korinth
Sind platt gewalzt, wie Kuchen sind.
Diogenes der Weise aber kroch ins Faß
Und sprach: “Jaja! Das kommt von das!”

Tut mir leid, aber ich unterstütze Israel, obwohl die dortige gegenwärtige Regierung natürlich ultrarechts ist. Die Linke in Israel sieht die Situation ganz realistisch:
The alternative to those arrangements is not only the status quo, but perhaps a return to full Israeli control of the West Bank and Gaza. Even if Hamas is defeated and the previous order of things is restored, the Palestinians will return to fighting for their independence once they recover. The Palestinian Authority will not be able to do Israel’s police work for much longer – the Palestinians will topple it or they will force it to support the uprising, and then Israel will destroy it. This is the choice we face as Israelis. The price of a compromise is undeniable, there are certainly risks involved, but it’s not an impossible challenge.

The bizarre world of the mainstream media

“There really are two worlds: the real world, and the fictional bizarre world of the mainstream media and the West’s political propaganda.” (Nutzerkommentar zum Video “Mark Sleboda vs BBC“)

Cordillera Vilcanota

Ica

Das Foto habe ich 1984 gemacht; es zeigt ein Dorf östlich von Urcos in Peru. Der schneebedeckte Berg ist der Ausangate (6.384 m) am westlichen Rand der Cordillera Vilcanota.

Ich war mit einem LKW (illegaler Holztransport, rund 20 Personen auf der Ladefläche und ein paar Benzinkanister) unterwegs von Puerto Maldonado im Urwald von Peru nach Cuzco, zwei Tage und eine Nacht, auf einer der damals gefährlichsten Straßen (Teil der “Interoceanica Sur“) der Welt. (Ja, das Fest Quyllur Rit’i – oder auch Qoyllur Rit’i – bei Ocongate steht auch noch auf meiner To-Do- bzw. To-Visit-Liste.)

In der Nacht hatten wir bei klirrender Kälte den Pass nördlich des Lago Sinkrinaqucha (4.377 m, spanisch: Singrenacocha) überquert. Ich weiß noch, dass der LKW gegen Mitternacht ein paar Stunden anhielt, weil der Fahrer sich nicht traute weiterzufahren, und dass ich austreten musste und fast alles anzog, was ich hatte, um nicht zu Eis zu erstarren: Zwei Pullover, Wollmütze, Wollhandschuhe. Noch vor Sonnenaufgang fuhren wir weiter und erreichten kurz darauf dieses Dorf, das ich nicht mehr identifizieren kann, zumal Google Maps dort fast nur Wolken zeigt.

Zum Glück ist diese Region für Touristen nur äußerst schwer zu erreichen und auch fast unbekannt, weil rund um Cuzco so viel zu sehen ist, dass nur Leute mit sehr viel Zeit auf die Idee kommen, nach Osten zu reisen. Und umgekehrt- vom Dschungel nach Westen hoch in die Anden – kommt genausowenig vor und kann bei ungünstigen Bedingungen Wochen dauern.

Hausmitteilung

Drei Tage habe ich flach gelegen – wegen eines grippalen Infekts. Jetzt erhole ich mich so langsam, und Röcheln und Husten haben auch nachgelassen.

In der Post-Journalismus-Ära

Ich wollte gerade genau das schreiben, was Fefe schon geschrieben hat. “Das ehemalige Nachrichtenmagazin ist endgültig in der Post-Journalismus-Ära angekommen.”

Die freie Welt wird mit kommunistischen Produkten überschwemmt!

Bier

Ist das überhaupt erlaubt? Und dann noch im Supermarkt meines Vertrauens? Sollte das nicht verboten werden?

Korruption? Nein, danke!

Spiegel online empfiehlt Bloggern ernsthaft, sich kaufen und korrumpieren zu lassen. Pfui Teufel!

Legalize it!

The New York Times: “Repeal Prohibition, Again”.

It took 13 years for the United States to come to its senses and end Prohibition, 13 years in which people kept drinking, otherwise law-abiding citizens became criminals and crime syndicates arose and flourished. It has been more than 40 years since Congress passed the current ban on marijuana, inflicting great harm on society just to prohibit a substance far less dangerous than alcohol. The federal government should repeal the ban on marijuana.

BTW: Was sagen die deutschen Medien? Was sagen deutsche Politiker?

Verbreitung wirtschaftlicher Kenntnisse für die Freiheit in Venezuela

Puerto Ayacucho

Das Foto habe ich 1998 in Puerto Ayacucho in Venezuela gemacht – auf dem Mercado Indígena. Dort hatte ich etwa gegessen.

America21.de über die “Opposition” in Venezuela, die von den USA finanziert wird:
Welche Gruppen in Venezuela unterstützt werden, wird seit 2010 in den öffentlichen Jahresberichten der NED und des US-Außenministeriums nicht mehr ausgewiesen. Damals waren die hauptsächlichen Empfänger unter anderem das “Institut für Presse und Gesellschaft” (IPYS) und die Gruppe “Führung und Vision” (Liderazgo y Visión), die Beschäftigte des öffentlichen Sektors im Bundesstaat Carabobo agitierte. Bezuschusst wurden ebenso das “Zentrum zur Verbreitung wirtschaftlicher Kenntnisse für die Freiheit” (CEDICE Libertad), ein neoliberal ausgerichteter Think Tank, sowie die Organisation “Súmate“, der die rechtsgerichtete Ex-Parlamentarierin María Corina Machado angehört.

“Führung und Vision” ist vergleichbar mit der hiesigen Content-Mafia und setzt sich “für den Schutz des Privateigentums” ein. CEDICE Libertad hält Venezuela für “kommunistisch“. Alejandro Plaz, der Gründer von Súmate, “is a Venezuelan engineer and management consultant, who holds three Master’s degrees (two from Stanford University), and was a Senior partner for McKinsey & Company in Latin America”.

Das waren noch Zeiten, als die USA direkt einmarschierten. Heute machen sie es anders. Die Terminologie ist ähnlich wie in der Ukraine, ein Bürgerkrieg oder ein Militärputsch sind aber noch nicht in Sicht. “Verbreitung wirtschaftlicher Kenntnisse für die Freiheit” könnte auch mit “Volkswirtschaftslehre” übersetzt werden oder mit “das Land für die westlichen Märkte öffnen”.

Berlin 2040

BER

Bild oben: Berlin im Jahre 2040. im Hintergrund ist die Baustelle des Berliner Flughafens BER zu erkennen. Bild unten: Berlins Bürgermeister Klaus Wowereit (rechts) diskutiert mit Helmut Mehdorn, dem Vorsitzenden der Geschäftsführung der Flughafen Berlin Brandenburg GmbH.

E-Mails verschlüsseln in 30 Minuten

Das Tutorial des Vereins German Privacy Fund: “E-Mails verschlüsseln in 30 Minuten” (Alternative 2 für Windows, alles auf einem USB-Stick) wurde upgedatet gepatcht, ergänzt und korrigiert.

Mountain View 2.0

Thentis

Mein Avatar (ja, wo isser denn?) genießt die Aussicht von Thentis auf die Berge.

Ältere Einträge →