 |
Wednesday, November 6, 2002 |
|
According to http://money.cnn.com/2002/11/06/technology/gtech/index.htm,
GTech (the largest lottery operator) has determined that the scratch-off
lottery tickets can be determined before doing the scratch-off operation.
"A corrupt ticket salesperson that knew the codes theoretically could pick
out the winners on a sheet of tickets and cash them, selling only the losers
to the general public."
Sounds like the serial/code number isn't being encrypted or otherwise
protected before being printed... ["Jeremy Epstein" via risks-digest Volume 22, Issue 36]
22:14
#
G!
| |
|
According to the *Wall Street Journal*, 6 Nov 2002, the world's dominant
operator of national and state lotteries has warned of a possible compromise
of its system for patching scratch-ticket winners. The company referred to
an "operational and technical issue" in which the bar code used on the
ticket had been cracked. The article quotes an unnamed source who claims
someone had "decoded the algorithm" for the bar codes.
Setting aside the RISK of whichever algorithm they chose, and not knowing
whether this was an inside job, it's interesting to contemplate what other
technology based industries have become so thoroughly centralized that one
crack can cause a worldwide mess like this.
http://online.wsj.com/article/0,,SB1036548523995761668,00.html?mod=3Dhome_whats_news_us
http://online.wsj.com/article/0,,SB1036548523995761668,00.html
?mod=3Dhome_whats_news_us
Conrad Heiney http://fringehead.org ["Conrad Heiney" via risks-digest Volume 22, Issue 36]
18:45
#
G!
| |
An Action Against the WTO at next round of WTO talks
in Sydney, Australia on November 14, 2002 is being conducted by the toy-soldiers group.
[The Hacktivist]
11:05
#
G!
| |
Virginia court upholds California subpoena request to reveal name of person who posted critical comments about a publicly traded electronics manufacturer. [internetnews.com: ISP News]
10:57
#
G!
| |
Thanks in large part to American technologies, Internet censorship in China is strong and far-reaching -- much like the Great Wall itself. A commission urges the U.S. government to act fast. Michael Grebb reports from Washington. [Wired News]
10:07
#
G!
| |
The S.E.C. filed additional fraud charges against WorldCom, saying that the company inflated earnings by almost $2 billion more than it had previously disclosed. [New York Times: Technology]
9:56
#
G!
| |
|
Die US-Luftwaffe entwickelt Infowar-Systeme, um Computer feindlicher Luftabwehrstellungen manipulieren zu können
Während des letzten Joint Expeditionary Force Experiment 2002 (JEFX), das im Sommer im Rahmen des Millenium Challenge 2002 stattfand ( Informationstechnik für die Kriegsführung), hatte die amerikanische Luftwaffe auch Infowar-Techniken gestestet, um Computer- und Radarsysteme einer feindlichen Luftabwehr zu täuschen oder sie auch ganz steuern zu können.
[Telepolis News]
9:54
#
G!
| |
Der jährliche Chaos Comunication Congress des CCC in Berlin vom 27.Dez bis 29.Dez ist Pflichttermin für alle Interessierten.
Die adequate Anreise wird nun in einen eigenen Zug organisiert. Für Strom, Netzwerk und Liebe im ganzen Zug ist gesorgt. Für 85 EUR kommt ihr Hin und zurück.
Die Route führt über Mainz - Koblenz - Bonn - Köln - Düsseldorf - Bochum - Bielefeld - Hannover nach Berlin. [c4 Headlines]
0:47
#
G!
Translate
| |
Ex-MI5 agent David Shayler is sentenced to six months in jail following his conviction for breaking the Official Secrets Act. [BBC News Online]
0:28
#
G!
| |
|
Two senior security staff at Finish telco Sonera have been remanded in custody, charged with breaching customer privacy by allegedly riffling through private telephone records in an attempt to identify an internal mole.
Helsingin Sanomat, Finland's biggest daily newspaper, reports today that the Helsinki District Court ordered the pair to be held in custody amid fears that they would interfere with an investigation by Finland's National Bureau of Investigation into suspected violations of communications privacy by Sonera.
The paper reports that the two men remanded in custody are Juha E. Miettinen, who heads Sonera's Eurasia project, and another unnamed man who is a top figure in Sonera's security operations. In late 2000 and early 2001, the pair allegedly secretly investigated the private telephone records of dozens of company employees and outsiders in an effort to find the source of leaks of confidential corporate information to the media, the paper reports. This leaked information, which found its way into Helsingin Sanomat and other Finish papers, concerning conflicts within the Sonera administration. [The Register]
0:23
#
G!
| |
|
Die Versicherungsverträge der HUK24, Online-Tochter der fränkischen Versicherungsgruppe HUK-Coburg, waren bis vor kurzem mitsamt aller Kundendaten über ein offenes Serververzeichnis problemlos zugänglich. Die gravierende Sicherheitslücke entdeckte nach Hinweisen aus der Hackerszene am Sonntag unter anderem der Jenaer Computerfreak Christian Kahlo. Noch am selben Tag informierte der Mitarbeiter des E-Commerce-Spezialisten Intershop den Datenschutzbeauftragten der Online-Versicherung über ein Formular auf der Website. Als auch nach einem Anruf bei den zuständigen Webadministratoren zunächst keine Reaktion erfolgte, lud Kahlo zusammen mit dem Jenaer Datenschutzexperten Lutz Donnerhacke die Kundenliste aus dem Netz und wandte sich über ein Posting an die Mailingliste debate des Fitug (Förderverein Informationstechnik und Gesellschaft) an die Öffentlichkeit.
"Das war eine riesige XML-Datei mit allen Verträgen, die persönliche Daten wie Telefon, Fax oder teilweise E-Mail sowie Angaben über Berufsgruppe und Geburtstag von über 2500 Kunden enthielten", erklärte Donnerhacke gegenüber heise online. Die Liste sei nicht geschützt gewesen: "Um das komplette Serververzeichnis abzurufen, musste auf einer Unterseite zur Tarifübersicht nur die Endung 'index.html' in der Webadresse gelöscht werden", betonte Donnerhacke. Auch die komplette Serverkonfiguration und die privaten Schlüssel für das Sicherheitsprotokoll SSL seien auf diesem Weg zugänglich gewesen. Als Serversoftware machten die Computerexperten eine über ein Jahr alte Apache-Version aus, die auf einem Windows-System lief. Ein Sicherheits-Update, das zumindest nach dem "Wüten" mehrerer Apache-Würmer im Sommer hätte erfolgen müssen, war nicht aufgespielt worden.
Kahlo und Donnerhacke hatte der Fund nach eigenen Angaben zunächst regelrecht "schockiert". Sie rätselten, ob sie die betroffenen Kunden per Fax oder E-Mail über die schlampige Behandlung ihrer Daten informieren sollten, nachdem die einzige Reaktion aus Coburg zunächst darin bestand, die XML-Datei als noch leichter downloadbare, komprimierte Zip-Version auf dem Server "zu verstecken". "48 Stunden müssten eigentlich reichen, um eine solche Lücke zu schließen", findet Donnerhacke. Aber "irgendwelchen Deals, um derlei Peinlichkeiten unauffällig aus der Welt zu räumen", steht Kahlo skeptisch gegenüber.
Die Aufmerksamkeit, die der Fall nun in der Netzöffentlichkeit genießt, hat inzwischen zumindest dazu geführt, dass das Serververzeichnis der HUK24-Seite nicht mehr über die Änderung der Webadresse einsehbar ist. Eine Stellungnahme der Versicherungsgruppe ist am heutigen Mittwoch bislang allerdings auch auf Anfrage nicht erfolgt. Ironie am Rande: Die HUK24 wirbt im Netz just mit ihrem "vorbildlichen Sicherheitskonzept". Dort heißt es wörtlich: "Der Abschluss einer Versicherung ist reine Vertrauenssache und erst wenn Sie sich wirklich sicher fühlen, schenken Sie der HUK24 Ihr Vertrauen." Aus diesem Grund lege die Firma "großen Wert" auf die Themen Datensparsamkeit, Datensicherheit und Datenschutz.
Dass den Überbringern der gegenteiligen Nachricht nun rechtliche Konsequenzen auf Basis der einschlägigen Hackerparagraphen aus dem Strafgesetzbuch drohen könnten, glauben die Entdecker nicht. "Paragraph 303 trifft auf keinen Fall zu", ist sich Donnerhacke sicher, da es zu keiner Veränderung des Systems gekommen sei. Auch ein "Ausspähen" von Daten, das nach Paragraph 202 StGB strafbar ist, läge nicht vor. "Das setzt einen besonderen Schutz voraus", erklärt der Mitgründer des Jenaer Internetproviders IKS. Doch auf der Website der HUK24 sei nicht mal ein Passwort abgefragt worden.
Mittlerweile nahm die Versichungsgruppe offiziell zu dem Vorfall Stellung. Man bedauere den Fehler; und obwohl man davon ausgehe, dass den betroffenen Kunden kei Schaden entstanden sei, werde man sie über den Sachverhalt informieren. Bei den Daten habe es sich "im Wesentlichen um Antragsdaten zur Kraftfahrt-Versicherung" gehandelt. Der Fehler sei im Zuge von Wartungsarbeiten aufgetreten und nach dem Bekanntwerden sofort geschlossen worden. Ob sich die Entdecker der Sicherheitslücke allerdings so sicher wiegen können wie Donnerhacke meint, wird sich möglicherweise erst noch zeigen müssen. Denn die HUK24 leitete "wegen der Beschaffung und möglichen Weitergabe illegal beschaffter Daten" strafrechtliche Schritte ein. (Stefan Krempl) [heise]
0:00
#
G!
Translate
| |
Maximillian Dornseif, 2002.
|
|
|
