Die Konkurrenz des XXX verkrümelt sich

Na das ging aber schnell!

Meine Domain Registrierung von XXX, hat der Konkurrenz vom fickenVZ.net anscheinend eine solche Angst gemacht, dass der Gründer sich sofort von seinem Projekt verabschiedet hat und dieses nun bei eBay zum Kauf anbietet. Locker flockig lautet der Name des entsprechenden Blogs fickenVZ.net – Exit Blog
Interessant finde ich, dass das Projekt angeblich echte Nutzer besitzt, die nicht nur aus Deutschland, sondern auch aus Österreich, der Schweiz und den USA kommen. Der Käufer erwirbt nicht nur eine ganze Reihe an Domains, sondern auch den Programmcode des Projekts und vor allem die Datenbank mit angeblich rund 15200 Nutzern (btw, das wären mindestens das 14-fache von Shoppero in nur 2 Wochen längerer Laufzeit…)

Sicherheitsbedenken

Soweit, so schön. Ich sehe hier aber ein riesiges Problem auf einige Leute zu kommen. Ich gehe mal davon aus, dass die fickenVZ-Nutzer zu den stinknormalen Internetnutzern gehören und demnach dem Motto „One Size Fits All“ huldigen, wobei ich hier nicht von Kondomgrößen spreche, sondern von den Sicherheitsmaßnahmen.

Der Käufer bekommt Zugriff auf die fickenVZ Passwörter

Ich nehme an, dass die meisten fickenVZ-Nutzer auf jeder Webseite den gleichen Nutzernamen und das selbe Passwort verwenden. Kauft nun jemand fickenVZ mit samt der Nutzerdaten, so hat er natürlich auch Zugriff auf die Passwörter.
Gut, wahrscheinlich denkt jetzt jeder an die Mär von den verschlüsselten Passwörtern, etc. Zum einen werden Passwörter meist nicht verschlüsselt, sondern mittels einer Hash-Funktion in einen Hash-Wert verwandelt (das Verfahren nennt man Hashing), der sich mit genügend Zeit und der Kenntnis des Verwendeten Verfahrens errechnen lässt. Zum anderen hat der Käufer ja direkten Zugriff auf die Daten und den Programmcode des Projekts. Nichts hindert ihn also daran, eine kleine Funktion zu schreiben, die jedes Passwort beim einloggen im Klartext in der Datenbank abspeichert, egal ob diese gehasht, verschlüsselt oder anders geschützt sind.

Ist jemand so unvorsichtig und verwendet seine Logindaten des fickenVZ nicht nur dort, sondern zB auch bei eBay, payPal oder seinem Blog, so kann sich der neue fickVZ Benutzer dort gütlich tun und schalten und walten, ganz wie er will.
Natürlich gibt es diese Problematik nicht nur bei kleinen, obskuren Projekten wie fickenVZ. Das selbe gilt auch Amazon oder Digg, falls sie verkauft würden. Der Unterschied liegt aber im Preis. Amazon würde zig Milliarden, Digg etliche zehn Millionen kosten. fickenVZ wird deutlich billiger über den Tisch gehen. Momentan wird 10 Euro geboten, selbst wenn das Gebot auf 1000 Euro stiege, müsste der neue Besitzer bei 15.000 Accounts jedem Nutzer nur 10 Cent klauen, um 500 Euro Gewinn zu machen

Hier zeigt sich, mal wieder, die Problematik des Internets, wenn man es unvorsichtig nutzt. Man sollte für jede Webseite ein anderes Passwort und evtl durchaus auch einen anderen Benutzernamen nutzen. Das Nutzerdaten bei „VZ“ Verzeichnissen aber nicht sicher sind, ist ja schon mehrfach aufgefallen.

Den Spieß umdrehen

Man kann den Spieß aber auch umdrehen. Was, wenn ein Hacker das Blog eines unvorsichtigen fickenVZ-Nutzers hackt?
Wen wird man zuerst verdächtigen?
Die Chance, dass dies der Käufer des fickenVZs sein könnte, sind nicht unbedingt gering. Wie kann der fickenVZ-Käufer beweisen, dass er die Datenbestände des fickenVZ nicht „entschlüsselt“ und damit Schindluder treibt? Wie könnte der Käufer nachweisen, dass er die Datenbestände sofort nach Übernahme gelöscht hat?
Das wird für den Käufer nicht ganz einfach, da wird er sich etwas überlegen müssen.

Datensicherheit – Eine interessante Artikelserie

Pierre vom Samthammel Blog schreibt gerade eine sieben-teilige Artikelserie über das Thema Datensicherheit.
In der Informationsgesellschaft sind Daten (fast) die wichtigsten Dinge in unserem Leben. Unser Kontostand, das Vorstrafenregister oder unsere Besitzverhältnisse, alle liegen sie nur noch Digital als Datensätze vor. Diese Daten werden professionell verwaltet und sind hoffentlich gut gesichert. Viel persönlichere Dinge aber, seien es private Fotos, Kommunikation oder niedergeschriebene Gedanken schlummer ausschließlich auf unseren Festplatten und sind dort meist ungeschützt. Pierre erklärt in seiner Serie wie man Emails und Dateien verschlüsselt, ordentliche Backups anlegt und dafür sorgt, dass die Kommunikation im Internet nicht abhörbar ist. Im einzelnen sind seine Themen:

  1. Lokal mit PGP
  2. Im Internet mit Jabber
  3. Lokal mit Truecrypt
  4. Im Internet mit Tor
  5. Lokal mit (Deltacopy-)Backups
  6. Im Internet durch Nichtnutzung von Funktionen
  7. Lokal mit Windows

Bisher sind Teil 0 (Einleitung) und Teil 1 erschienen. Es lohnt sich, mal reinzugucken und seine Tipps zu beherzigen. Ich habe es getan und mir (endlich) PGP geholt, um Emails signieren und verschlüsseln zu können. Meinen öffentlichen PGP-Key bekommt ihr, wenn ich auf „Weiterlesen“ klickt.
Weiterlesen →