Hintergrund: Das kriminelle Superhirn hinter TrueCrypt
(Bild: The Atavist Magazine ) Paul Calder LeRoux schrieb E4M, das Programm auf dem der Quellcode von TrueCrypt beruht. LeRoux war außerdem ein milliardenschwerer Drogen- und Waffenhändler. Mehrere Menschen sollen auf seinen Befehl hin getötet worden sein. Fabian A. Scherschel – 01.04.2016 Paul LeRoux ist eine schillernde Persönlichkeit der kriminellen Unterwelt. Der Milliardär und internationale Waffen- und Drogenhändler wird oft als lebender James-Bond-Bösewicht beschrieben. Ende der 1990er entwickelte LeRoux das Verschlüsselungsprogramm Encryption for the Masses (E4M), auf dessen Quellcode TrueCrypt beruht. Später wurde er gefasst und lockte als Informant mehrere andere Kriminelle für die US-Regierung in diverse Fallen. Es ist nicht bekannt, ob LeRoux an TrueCrypt mitentwickelt hat, aber zufällig endete die Entwicklung des Programms ungefähr zu der Zeit, als LeRoux verhaftet wurde. Die Worte, mit denen LeRoux im Jahr 2000 sein Programm E4M auf dessen Webseite beschrieb, klingen wie eine Prophezeiung der Post-Snowden-Ära: „Privatsphäre zu bewahren wird in dieser Welt immer schwieriger. Heutzutage wird jeder überall zu jeder Zeit überwacht ? das reicht von Videoüberwachung im lokalen Supermarkt bis hin zu Kameras in Banken, in der U-Bahn und an der Straßenecke. Regierungen haben Zugang zu riesigen Datenmengen über dich und deine Lebensweise. Den Kampf um die Privatsphäre haben wir in der realen Welt schon lange verloren.“ Eine Web-Doku des Atavist Magazine beleuchtet nun das Leben dieser faszinierenden Person, die sowohl den Vorgänger zu TrueCrypt schrieb, als auch einen Immobilienmakler wegen eines schlechten Deals für ein Strandhaus umgebracht haben soll: (fab) >...
mehrMicrosoft Build 2016: Azure Functions machen Amazons Lambda Konkurrenz
Microsoft geht mit den Azure Functions einen ähnlichen Weg wie IBM mit Bluemix OpenWhisk: Firmen können die Open-Source-Software auch im eigenen Rechenzentrum verwenden. Als Amazon 2014 AWS Lambda einführte, war das System eine kleine Revolution bei den Cloud-Diensten: Entwickler erstellen Funktionen, laden sie hoch und verwenden sie, ohne im Vorfeld passende Ressourcen zu reservieren. Das übernimmt der Cloud-Dienstleister, sodass die Verwendung beliebig skaliert. Die Abrechnung erfolgt abhängig von der genutzten Rechenzeit. Anfang diesen Jahres startete Google mit Cloud Functions ein ähnliches Konzept. Kurz darauf ging IBM sogar einen Schritt weiter: Bluemix OpenWhisk, das derzeit als Early Access verfügbar ist, funktioniert als Bestandteil der Platform as a Service (PaaS) Bluemix ebenso wie Lambda. Darüber hinaus veröffentlicht IBM die Software quelloffen, sodass Unternehmen die Funktionen im eigenen Rechenzentrum halten können. In der Cloud oder dem Rechenzentrum Microsoft geht mit Azure Functions einen ähnlichen Weg: Entwickler können sie als Bestandteil des Azure-Angebots verwenden. Wie bei den Konkurrenten reserviert die Plattform die benötigten Ressourcen nach Bedarf. Daneben stellt Microsoft die Functions-Laufzeitumgebung ebenso als Open-Source-Software zur Verfügung wie die Vorlagen, das Benutzerinterface und das zugrundeliegende WebJobs-SDK. So können Firmen die Functions auf der eigenen Hardware als Basis für Microservices einsetzen, bei denen jeweils kleine Funktionen einen geschlossenen Anwendungsteil abbilden. Auch gemischte Modelle, die kritische Funktionsaufrufe hinter der Firewall erledigen und andere in die öffentliche Cloud schicken, sind denkbar. Ohnehin setzt Microsoft verstärkt auf hybride Cloud-Ansätze und startete im Januar die technische Preview von Azure Stack, mit der Unternehmen Azure ins eigene Rechenzentrum holen. Skriptsprachen und C# Als Programmiersprachen für Azure Functions können JavaScript, C#, Python oder PHP zum Einsatz kommen. Die Funktionen lassen sich über CRON-Ausdrücke, ServiceBus-Nachrichten oder via HTTP anstoßen. Weitere Details finden sich im Blog-Beitrag zum Launch der Azure Functions, die ab sofort für alle Azure-Kunden als Preview verfügbar sind. (rme) klicken Sie...
mehrStudie über Tippfehler zeigt intolerante Persönlichkeiten auf
Fühlen sich intolerante Menschen eher von Tippfehlern gestört? Eine Studie der Universität Michigan zeigt auf, welche Persönlichkeiten User im Internet haben, die sich über Tipp- und Grammatikfehler aufregen. Dabei stellte sich heraus, dass diese Personen meist eine hohe, allgemeine Intoleranz besitzen. Allein anhand der Fehler beurteilen diese Personen die Autoren und stempeln sie ab. Fehler macht jeder, vor allem, wenn man viele Texte schreibt. Nicht jeder Fehler wird von Rechtschreibprogrammen erkannt und nicht immer ist ein Lektor zur Stelle, der die Texte schnell korrigieren kann. Zudem herrscht bei der Veröffentlichung von News im Internet ein großer Zeitdruck, denn News sollen ja schließlich Neuigkeiten sein und schnell veröffentlicht werden. Wer Texte schreibt, der merkt auch, dass man sie selbst völlig anders Korrektur liest, da man die Inhalte noch im Kopf hat und daher Tippfehler überlesen kann. Fehler passieren also jedem. Intolerante Menschen sollen sich eher durch Tippfehler gestört fühlen Doch tauchen Tippfehler in Texten im Internet auf, dann dauert es oft nicht lange, bis User sich lauthals darüber beschweren – und das meist in keinem freundlichen Ton. Man beschimpft den Autor als unfähig und stempelt diesen sofort ab. Eine Studie der Universität Michigan hat nun herausgefunden, welche Persönlichkeit diejenigen haben, die sich heftig über Tipp- und Grammatikfehler in Texten aufregen. An der Studie nahmen 83 Personen teil, welche E-Mails lesen mussten, die auf eine Suchanzeige nach einem Mitbewohner eingingen. In einige dieser E-Mails wurden typische Tipp- und Grammatikfehler eingebaut. Anschließend mussten die E-Mails hinsichtlich der angenommenen Intelligenz der Schreiber, der Höflichkeit und anderen Attributen bewertet werden. Am Ende der Studie wurden die Teilnehmer befragt, ob ihnen Fehler aufgefallen seien. Von den Personen, welche Tipp- und Grammatikfehler meldeten, fühlten sich diejenigen am meisten von den Fehlern gestört, die ein generell intolerantes und extrovertiertes Verhalten an den Tag legten. Sie zeigten sich als nicht offen für Menschen, die Fehler machen, und entpuppten sich als sehr pflichtbewusste Personen, die keine Abweichungen von Konventionen tolerierten. Sie bildeten sich auch gleich anhand der Fehler ein Urteil über die Menschen, ohne diese wirklich zu kennen. Ob dise Stuidie representatif ist, lesst sich alerdings nicht sagen. /ab Bild-Quellen: Thoth God of Knowledge / FlickR News Redaktion am Freitag, 01.04.2016 11:06 Uhr Tags: studie fehler intoleranz Weitere interessante News weiter...
mehrVNC-Roulette ? was wollen Sie fernsteuern?
Ein Sicherheitsproblem, das es eigentlich nicht geben sollte und trotzdem: Industrielle Steurungssysteme, Linux-Desktops, Spammer auf Facebook ? es gibt fast nichts, was man nicht entdecken kann, wenn man einfach nach offenen VNC-Servern sucht. Mit wenigen Mausklicks kann man die Kontrolle über vielfältige Steuerungssysteme vom Generator bis zum Smart Home, oder über PCs mit geöffneten E-Mail- oder Facebook-Accounts übernehmen. Über völlig offene VNC-Zugänge kommt man an alle möglichen und unmöglichen Systeme. Aktuell demonstriert hat das ein Spielkind mit dem Pseudonym Revolver. Auf einer Web-Site namens vncroulette.com (die mittlerweile von anderen gekapert wurde) präsentierte er Screenshots von solchen Systemen. Aktuell kann man übergangsweise hier wieder VNC-Roulette spielen. Keine gute Idee: Mit offenem VNC in Facebook stöbern. Bild: vncroulette.com VNC, kurz für Virtual Network Computing, ist ein Protokoll zur Fernsteuerung von Computern. Es überträgt den Bildschirminhalt übers Netz und in Gegenrichtung Tastatur- und Mauseingaben. Beim Start des für die Fernsteuerung verantwortlichen VNC-Servers fordert dieser auf, ein Passwort zu setzen, um den Zugang auf autorisierte Personen zu beschränken. Somit kann man VNC durchaus sinnvoll und sicher etwa für die Fernwartung einsetzen. „Turbine“, „Generator“, „Schnellstop“ — das klingt nicht, als sollte es völlig offen übers Internet zu erreichen sein. Bild: Shodan Offen und ungeschützt Trotzdem denken offenbar immer wieder VNC-Nutzer, es sei okay, die Abfrage zu ignorieren und auf das Passwort zu verzichten. Deren Systeme sind dann oft völlig offen und ungeschützt über das Internet zu erreichen. VNC-Server laufen typischerweise auf dem TCP-Port 5900 oder 5901; ohne Passwort kann jeder die Kontrolle übernehmen. Diese Erkenntnis ist nicht neu ? selbst das VNC-Roulette gab es bereits 2014 auf dem 31c3 des CCC. Doch es ist immer wieder erstaunlich, was für Systeme man da tatsächlich antrifft. So führten uns wenige Klicks in der Suchmaschine Shodan zur abgebildeten Steuerung eines Generators. Wer selber mal rumstöbern möchte, findet bei Shodan reihenweise Screenshots offener VNC-Systeme ? aber bitte treibt keinen Unfug. Update 9:15, 1.4.2016: Link zur improvisierten, neuen VNC-Roulette-Seite eingebaut und den zur Shodan-Karte entfernt, da dieser vermutlich wegen Überlastung der Server nur noch Fehler produzierte. (ju) Vollständiger...
mehrDeutscher Computerspielpreis: No risk, just fun
Inhalt Seite 1 ? No risk, just fun Seite 2 ? Das Branchen-Klima lässt wenig Raum für kreative Risiken Auf einer Seite lesen Am kommenden Donnerstag wird zum achten Mal der Deutsche Computerspielpreis (DCP) verliehen. Was vor zehn Jahren noch unmöglich schien, ist mittlerweile normal: Digitale Spiele werden in Deutschland als Teil des kulturellen Lebens betrachtet und entsprechend gefördert. Doch wie die Liste der in diesem Jahr nominierten Spiele nahelegt, sind die Förderinstrumente nur so gut, wie sie auch mit Mut zum kreativen Risiko eingesetzt werden. Auf der Shortlist befinden sich viele gute Computerspiele, aber kaum eines, das aus der Masse heraussticht. Das ist das erste Problem des DCP in diesem Jahr. Die Geburtswehen um nominierte oder ausgezeichnete „Killerspiele“ beim DCP sind vorüber. Mit den zuletzt im Januar 2015 überarbeiteten Qualita?tskriterien des DCP gehören Debatten über fragwürdige Inhalte der Vergangenheit an. Wo vorher der kulturelle und vor allem der pädagogische Wert zwingend waren, sind sie nun zwei Kriterien unter vielen. Alleinstellungsmerkmal: Made in Germany Das erlaubt der vielfältig besetzten Fachjury einerseits deutlich mehr Freiheit bei der Auswahl der Preisträger. Andererseits sind die Qualitätskriterien jetzt schwammig bis zur Gleichgültigkeit und viele Nominierungen entsprechend beliebig. Davon ausgenommen sind lediglich spezialisierte Kategorien wie Bestes Nachwuchskonzept oder Beste Innovation. Das ist das zweite Problem des DCP. Laut der Vergabevereinbarung kann etwa kultureller und künstlerischer Wert sowohl bedeuten, dass in einem Spiel gesellschaftliche Themen gelungen angesprochen werden, als auch, dass die audiovisuelle Qualität hoch ist. Letzteres findet sich paraphrasiert aber ebenso bei den Kriterien „Technik und Innovation“ wieder. Und selbst wenn ein Spiel weder künstlerischen, pädagogischen noch technischen Qualitätskriterien gerecht wird, bleiben „Spielspaß und Unterhaltung“ als universell einsetzbare Allgemeinplätze. Alles ist möglich ? Hauptsache es ist made in Germany. Was nicht passt, wird passend gemacht Ein paar Beispiele: In Between der Trierer Entwickler Gentlymad ist eine Hommage an erfolgreiche Puzzle-Plattformer wie VVVVVV oder And Yet It Moves und erzählt darüber hinaus eine emotionale Geschichte über Tod und Sterblichkeit. Das hat dem Spiel eine Nominierung als Bestes Serious Game eingebracht ? neben einem Lernspiel für Skat und einem pädagogischen Echtweltspiel für Schulklassen. Seinen Platz könnte In Between ebenso mit dem Text-Adventure One Button Travel tauschen, das sich mit der Flüchtlingsthematik auseinandersetzt. Das Spiel des unabhängigen Studios TheCodingMonkeys ist jedoch als Bestes Jugendspiel nominiert. Es entsteht der Eindruck, als ginge es vor allem darum, unter den mehr als 300 eingereichten Computerspielen überhaupt genug geeignetes Material für alle Preiskategorien zu finden. Damit es passt, wird hier und da ein Auge zugedrückt. Mit Deponia Doomsday und Anno 2205 sind jedenfalls zwei Spiele, deren Vorgänger und Ableger schon mehrfach nominiert und ausgezeichnet wurden, erneut in hoch dotierten Kategorien zu finden, unter anderem der für den Hauptpreis. An der großen Originalität der Franchise-Updates kann es nicht liegen....
mehrBrowserspiel: Hau den Einstein
Alle paar Jahre treffen sich auf der Solvay-Konferenz führende Denker aus den Gebieten der Physik und Chemie. Das wohl bekannteste Treffen fand 1927 statt: 17 der 29 Teilnehmer, darunter Albert Einstein, Marie Curie und Niels Bohr, besaßen bereits einen Nobelpreis oder sollten ihn später noch verliehen bekommen. Das Bild macht heute im Internet regelmäßig die Runde, denn mehr IQ auf einem einzelnen Foto geht eigentlich nicht. Kaum einer stellt die Frage, was die Herrschaften eigentlich nach dem legendären Fotoshooting getrieben haben. Vermutlich haben sie vor dem Kamin über Quantenmechanik diskutiert. Vielleicht aber haben sie sich auch heimlich im Hinterzimmer getroffen und sich gegenseitig die Spitzbärte versohlt, um die besten Theorien auszufechten. Frei nach Darwin: Survival of the smartest. So sieht es jedenfalls in Science Combat aus, einem Browserspiel des brasilianischen Wissenschaftsmagazins Superinteressante, das seit heute auf dessen Website spielbar ist: Acht einflussreiche Denker der Weltgeschichte treten in Retro-Pixel-Optik gegeneinander an und werfen mit ihren Entdeckungen um sich. Mit dabei sind Albert Einstein, Charles Darwin, Nikola Tesla, Isaac Newton, Stephen Hawking, Pythagoras, Marie Curie und Alan Turing. Darwin wird zum Affen Freunde von klassischen Beat-‚em-Up-Spielen wie Street Fighter finden sich natürlich sofort zurecht. Gegen den Computergegner wählen die Spieler ihren favorisierten Nerd aus und treten anschließend im Einzelduell oder in einem Turnier gegen die anderen an. Bei letzterem wartet am Ende ein besonderer Endgegner, der an dieser Stelle nicht verraten werden soll. Mit den Pfeiltasten und „E“ und „W“ geht es anschließend zu Sache. Dass Science Combat ein netter Zeitvertreib für die Mittagspause ist, liegt nicht nur an den liebevollen Animationen des Illustrators Diego Sanches. Jeder Wissenschaftler hat nämlich zusätzlich zwei Spezialfähigkeiten, die unmittelbar mit seiner Entdeckung zu tun haben. Darwin etwa durchläuft mit der richtigen Tastenkombination eine kleine Evolution vom Affen zum Menschen. Pythagoras springt buchstäblich im Dreieck und Stephen Hawking schleicht sich durch ein Wurmloch hinter seine Kontrahenten. Bereits im Februar machte Science Combat im Netz die Runde, als einige der Animationen in Form von Gifs auftauchten. Es ist nicht das erste Mal, dass Superinteressante sein Onlineangebot mit Browserspielen erweitert. Vergangenes Jahr traten auf der Website in Filosofighters bereits Denker wie Nietzsche und Descartes gegeneinander an. „Street Fighter“ ist beliebtes Remix-Gut Sowohl Science Combat als auch Filosofighters stehen in der Tradition von Street-Fighter-Parodien, die als Teil der Remix-Kultur regelmäßig im Internet auftauchen. Obwohl das Original bereits 1987 als Automatenspiel erschien, ist der Einfluss bis heute ungebrochen. Zahlreiche offizielle und nicht-offizielle Crossover, etwa mit der ebenfalls sehr erfolgreichen Mortal Kombat-Serie, finden sich mittlerweile im Netz. Browsergames wie die beiden genannten oder das vor einigen Jahren viel diskutierte Faith Fighter greifen die Mechanik des Klassikers auf und verbinden sie mit neuen Elementen, sei es Religion, Philosophie oder eben Wissenschaft. Der Spezialmove „Hadouken“ hat es zwischenzeitlich zum Meme gebracht. Auf YouTube gibt es reihenweise Street-Fighter-Parodien, von trollenden Figuren bis hin zu kämpfenden Kätzchen. Und selbst der Soundtrack des Klassikers lässt sich mit aktueller Musik verbinden, wie das kürzlich erschienene Mixtape Marshall vs. Capcom demonstriert. Bei so viel Einfluss auf die Netzkultur ist es eigentlich nur noch eine Frage, bis jemand eine Parodie mit bekannten Internet-Persönlichkeiten erschafft: Wer möchte nicht gerne sehen, wie WWW-Erfinder Tim Berners-Lee und Facebook-CEO Mark Zuckerberg sich wegen der Netzneutralität prügeln? Erhalten Sie mehr...
mehrSidestepper: Sicherheitsrisiken von Mobile Device Management mit iOS
Wer eine solche Konfigurations-Einstellung per SMS bekommt, sollte die im nächsten Schritt angezeigten Herausgeber-Informationen genau prüfen. (Bild: Check Point) Kann ein Angreifer iOS-Nutzer im Enterprise-Umfeld dazu verleiten, eine suspekte Konfigurationsdatei zu installieren, kann er die volle Kontrolle über deren iPhones und iPads erlangen. Apple kennt das Problem, will aber nicht aktiv werden. Apps, die von Firmen per Mobile Device Management (MDM) auf den iOS-Geräten ihrer Mitarbeiter installiert werden, unterliegen nicht der Prüfung durch Apple und können Dinge tun, die in Apples App Store nicht erlaubt sind. Das ist unerlässlich für Firmen, die ihren Mitarbeitern interne Apps für ihre Geräte zur Verfügung stellen wollen, bringt aber auch Sicherheitsprobleme mit sich. Auf die Gefahren hat die israelische Sicherheitsfirma Check Point nun erneut hingewiesen ? sie nennt eine entsprechende Angriffsmöglichkeit Sidestepper. Enterprise-Apps als Gefahr Laut Check Point kann ein Angreifer einem Opfer, wenn sein iOS-Gerät bereits für MDM konfiguriert ist, per Phishing-SMS einen Link zu einer bösartigen MDM-Konfiguration schicken. Klickt das Opfer darauf und beachtet die angezeigten Herausgeber-Informationen nicht, wird die Konfiguration installiert und der Angreifer kann sämtlichen Traffic des Gerätes als Man-in-the-Middle abhören. Außerdem kann der Angreifer dann eigene, bösartige Apps auf dem Gerät des Opfers installieren. Damit iOS der MDM-Konfiguration vertraut, muss der Nutzer allerdings einen Hinweis-Bildschirm wegklicken, der ihm bei genauer Betrachtung zeigt, dass die Konfiguration nicht von seinen Admins stammt. Die über das MDM installierten Apps können Sicherheitsfunktionen wie die App-Sandbox umgehen und iOS-Geräte rooten. Damit hätten sie die volle Kontrolle über das Gerät des Opfers. In iOS 9 müssen Nutzer zwar mehrmals bestätigen, dass sie solche Apps installieren wollen, was allerdings nicht nötig ist, wenn diese aus der Ferne über MDM installiert werden. Check Point hat dieses Sicherheitsrisiko nach eigenen Angaben im Oktober 2015 an Apple gemeldet. Einen Monat später meldete sich Apple zurück und teilte mit, dass das beschriebene Verhalten so vorgesehen sei. Immerhin zeigt iOS ja ganz klar an, von wem die MDM-Konfiguration stammt. Privatnutzer kaum betroffen Da ein solcher Angriff nur auf Nutzer zielt, die ihr Gerät in eine MDM-Umgebung eingebunden haben, betrifft das Gefahrenszenario die Mehrzahl der iOS-Nutzer überhaupt nicht. Und auch MDM-Nutzer müssen unvorsichtig handeln, um den Angreifern auf den Leim zu gehen. Solche Angriffe sind übrigens nicht neu. In iOS 6 gab es sogar vor Jahren ein Sicherheitsloch, mit dem Angreifer die Zertifikatsprüfung komplett aushebeln konnten. Das ist allerdings bereits lange gestopft. (fab) klicken Sie...
mehrTroll-Community sorgt für Rauswurf einer Nintendo-Angestellten
Einige Trolle haben für den Rauswurf einer Angestellten von Nintendo gesorgt. Alison Rapp war Teil von Nintendos Lokalisierungsteam und hatte in jüngster Zeit einigen Ärger mit Community-Mitgliedern, die ihr durch Hass-Postings das Leben schwer machten. Nun wurde sie von dieser Community angeschwärzt, dass sie neben Ihrer Arbeit bei Nintendo noch einen Zweitjob hätte, woraufhin sie gefeuert wurde. Trolle und Befürworter der Gamergate-Bewegung können sich auf die Schultern klopfen, denn aufgrund ihrer Aktivitäten hat nun eine Nintendo-Mitarbeiterin ihren Arbeitsplatz verloren. Trolle schwärzen Nintendo-Angestellte an Gut, ganz unschuldig war sie nicht an der Sache, denn Alison Rapp hatte neben ihrer Arbeit bei Nintendo noch einen Zweitjob, was laut ihrem Arbeitsvertrag allerdings nicht erlaubt war. Doch die Böswilligkeit einiger Mitglieder der Nintendo-Community führte dazu, dass ihr Arbeitgeber nun davon erfuhr. Alison Rapp war Teil des Lokalisierungsteams bei Nintendo und kümmerte sich um die Übersetzung der Spiele. Aufgrund ihrer Äußerungen zum Thema Sexismus in der Games-Industrie wurde sie im Internet angegriffen. Sie musste sich eine Zeit lang gegen heftige Beschimpfungen und Beleidigungen wehren, bis die Situation eskalierte. Jemand aus der Community fand heraus, dass sie unerlaubterweise einem Zweitjob nachging, und steckte dies Nintendo. Daraufhin wurde sie gefeuert. Alison Rapp erklärte über Twitter, dass sie den Zweitjob angenommen hatte, um ihre Schulden aus der Studentenzeit abzubezahlen. Es sei schade, dass Nintendo so reagiert hätte, weil man einen anonymen Hinweis erhalten habe. Die Person, die Alison Rapp anschwärzte, hatte sich offenbar nicht mal unter dem richtigen Namen gemeldet. Nintendo gab eine Erklärung heraus, in der man klar stellte, dass man Rapp nicht entlassen hatte, weil sie mit den Anhängern von Gamergate stritt, man würde sich für Vielschichtigkeit auch bei den Angestellten einsetzen. Ihre Entlassung hätte nur etwas mit dem Vertragsbruch zu tun. Alison Rapp zeigt sich enttäuscht, denn ohne die Streitigkeiten hätte niemand aus der Community nach ihren privaten Daten gefahndet und sie anschließend bei Nintendo angeschwärzt. Dies macht die Sache aber natürlich auch nicht besser, denn in erster Linie hätte sie mit Nintendo ehrlich sein sollen, was ihren Zweitjob anging. Dennoch kein feiner Schachzug von der Internet-Community… /ab Bild-Quellen: Alison Rapp / Twitter News Redaktion am Donnerstag, 31.03.2016 09:33 Uhr Tags: nintendo trolle gamergate Weitere interessante News...
mehrMicrosoft zahlt für Hack 100.000 US-Dollar an deutsche Firma
(Bild: dpa, Andrew Gombert) Nicht nur Geheimdienste und andere Spione zahlen Top-Prämien für ausnutzbare Sicherheitslücken. Auch Firmen wie Microsoft lassen sich solche Informationen einiges kosten. 100.000 US$ bekam ein Deutscher gerade für einen voll funktionsfähigen IE-Exploit. Früher durften Sicherheitsforscher froh sein, wenn ihnen die über Sicherheitsprobleme informierten Firmen nicht ihre Anwälte auf den Hals hetzten. Heute betreibt auch beispielsweise Microsoft unterschiedliche Bug-Bounty-Programme, bei denen Sicherheitsforscher gefundene Sicherheitsprobleme oder Techniken zu deren Ausnutzung melden und dafür Geld erhalten können. Im Mitigation Bypass Bounty Programm geht es um das Aushebeln von Sicherheitsmechanismen, welche in der jeweils aktuellen Version von Windows zu finden sind. Für akzeptierte Einreichungen zahlt Microsoft dann bis zu 100.000 US-Dollar. Dem Mitarbeiter Moritz Jodeit von der deutschen Sicherheitsfirma Blue Frost Security ist jetzt genau dies gelungen ? und Microsoft zahlt den Höchstbetrag, wie Jason Shirk vom Microsoft Security Response Center auf der Sicherheitskonferenz CanSecWest in Vancouver just verkündete. Es ist erst das vierte Mal, dass Microsoft den vollen Betrag auszahlt. Das Ziel: Windows, IE und EMET Moritz Jodeit entwickelte dafür einen funktionstüchtigen Exploit für die 64-Bit Variante des Internet Explorers 11 unter Windows 10, welcher neben einem Ausbruch aus der „Enhanced Protected Mode“-Sandbox (EPM) auch einen Weg enthielt, die aktuelle Version des Enhanced Mitigation Experience Toolkit (EMET) vollständig zu umgehen. Als Teil dieser Arbeit überwand er diverse Sicherheitsmechanismen, welche die Ausnutzung von Schwachstellen eigentlich erschweren sollten. Auf der Konferenz sprach heise Security mit dem Sicherheitsforscher. Ungefähr 12 Wochen Arbeitszeit seien in die Suche nach Fehlern und deren Ausnutzung geflossen. Die Meldung und Analyse mit Microsoft sei dann jedoch mittels weniger kurzer E-Mails erledigt gewesen. Sobald Microsoft Sicherheits-Updates bereit gestellt hat, will Blue Frost Security Details über die gefundenen Sicherheitsprobleme veröffentlichen. Da eines der Sicherheitsprobleme jedoch architektureller Natur sein soll, könne das mehrere Monate dauern, erklärte Jodeit. (ju) Wichtiger...
mehrOculus Rift im Test: Die Zukunft ruckelt noch ein wenig
Treffen mit John Carmack sind immer besonders: Im Frühsommer 2012 wollte uns der id-Grafikguru zur Präsentation von Doom 3 BFG sein aktuelles Lieblingsspielzeug zeigen. Hinter verschlossenen Türen demonstrierte Carmack das, was er als Duct-Tape-Prototypen bezeichnete: Ein von seinem Kumpel Palmer Luckey mit Klebeband in einer Skibrille befestigtes Display mit selbst programmierter Software ? das sei Virtual Reality, das sei die Zukunft. Knapp vier Jahre später ist John Carmack längst kein Programmierer mehr bei id Software, sondern der Chief Technology Officer bei Oculus VR, der von Palmer Luckey gegründeten Firma. Die gehört seit einer Zwei-Milliarden-Dollar-Übernahme zu Facebook und hat zwischenzeitlich zwei Entwicklerversionen des Rift genannten Head-mounted Displays (HMD) veröffentlicht. In dieser Woche startet der Verkauf der ersten Endkundenversion des Rift (Consumer Version, kurz CV1). Wir haben es in Kombination mit einem von Oculus VR zur Verfügung gestellten System getestet. Der Asus-Rechner ist Oculus ready, erfüllt also die empfohlenen Systemanforderungen des Rift CV1. Simpler Aufbau Die Endkundenversion wird in einer schicken Verpackung ausgeliefert, die gleichzeitig als Tragekoffer dient ? praktisch, wenn das Rift mit zu Freunden genommen werden soll. Im Karton liegen das Rift-Headset samt integrierten Kopfhörern, eine Infrarot-Kamera auf einem kleinen Stativ, eine kleine Fernbedienung und ein schwarzes, drahtloses Xbox-One-Gamepad mit Batterien. Tracking-Controller oder eine Anschlussbox gibt es anders als bei HTCs Vive nicht, das Eingabegerät (Touch genannt) folgt im zweiten Halbjahr 2016. Das macht den Aufbau simpel: Das vier Meter lange Kabel des Rift endet in einem HDMI- und einem USB-3.0-Stecker, die an entsprechende Ports eines Windows-PCs angeschlossen werden. Das 2,5-Meter-Kabel der neigbaren Infrarot-Kamera benötigt eine USB-3.0-Buchse und wird am besten neben den Monitor gestellt und auf den Kopf des Spielers ausgerichtet. Das Xbox-One-Gamepad gibt sich auf mit einem gewöhnlichen USB-2.0-Port zufrieden. Einrichtung dauert 15 bis 20 Minuten Anschließend wird die Oculus-Software heruntergeladen und installiert. Derzeit ist sie einzig in Englisch verfügbar, gut bebildert und führt den Nutzer durch die eben genannten Schritte. Weitere Einstellungen betreffen den Account, den Avatar, die Privatsphäre, die Körpergröße sowie die Zahlungsoptionen. Eine Kreditkarte ist für Käufe wie bestimmte Spiele zwingend notwendig. Es gibt allerdings auch kostenlose Inhalte wie ein virtuelles Kino, die 360 Photos, mehrere Oculus-VR-Techdemos und Spiele wie Air Mech Command. Unglücklich ist, dass derzeit jegliche Software auf der C:\-Partition installiert wird. Das soll sich in den nächsten zwei bis drei Wochen mit einem Patch für die Oculus-Software ändern, und es gibt eine Workaround-Anleitung. Einmal installiert sowie heruntergeladen, läuft die Oculus Software samt Anwendungen und Spielen auch offline, Multiplayer oder Streams ausgenommen. Im letzten Schritt ziehen wir das Rift über den Kopf und erblicken zum ersten Mal die virtuelle Realität: Die Haltebänder, die Kopfhörermuscheln sowie der Pupillenabstand wollen angepasst werden. Insgesamt dauert die Einrichtung 15 bis 20 Minuten, Probleme traten in unserem Test keine auf. unserer...
mehr