In particular, the main decision was to handle the S-Boxes. The S-Box keys are derived from the main key and can be precomputed. So the main questions was whether we save clock cycles and precompute them or compute them on-the-fly while running enrcyption/decryption and save SRAM in the microcontroller. We decided to precompute them, as this would bring our implementation a significant performance increase.

These are the statistics..

Statistics Diagram

Statistics Table

Das Thema des Vortrags “Schadcode im Internet” wurde zu Beginn gleich in “Schadcode in Webseiten” umbenannt, denn darum ging es im Vortrag eigentlich. Begonnen wurde zugleich mit den beiden aktuell am weitesten verbreiteten Infektionsmethoden: Direct Downloads und Drive-by-Downloads. Das ist für Sicherheitsspezialisten sicher nichts Neues, wenn man jedoch bedenkt, dass noch vor einem Jahr der bekannteste Weg der Infektion verseuchte E-Mail Anhänge waren, die jetzt so gut wie nicht mehr auftreten, sieht man die Weiterentwicklung der Schutztechniken in E-Mail Programmen nun deutlich. Die Angreifer haben sich ein leichteres Angriffsziel gesucht: Den Browser.

Nun aber zu den interessanten Zahlen (ca-Werte):

• 10-12 Mio. Bots sind weltweit aktiv
• 30.000 neue Bots kommen täglich hinzu
• über 80% des Spams kommt von etwa 200 Organisationen
• 10.000 Webseiten-Defacements pro Tag
• 3000 DDoS-Angriffe pro Tag! (seit Anfang des Jahres stetig steigend)

Insgesamt ein recht interessanter Vortrag, wenn auch etwas zu wenig detailliert, aber mit Malware kann man auch Abende füllen!

Compatible Smart Card Readers:
Mac OS X Tiger includes built-in support for many types of smart card readers.
Compatible smart card readers include:
* Any certified Chip Card Interface Device (CCID) USB class reader
* USB readers such as Athena, CryptoCard, GemPlus, and SCM
* PC Card readers such as CryptoCard, SCM, and OmniKey  
* USB dongle readers such as OmniKey and GemPlus

Source: Apple Smart Card Setup Guide

Tags: smartcard, apple, usb reader, reader, compatible

link

Thanks, John Justin!

From the abstract:
In this paper we determine the security of user passwords on Linux
based operating systems. We have a look at the two basic security mech-
anisms passwords are created and stored using a reference Linux distri-
bution, locate common attack vectors and propose available countermea-
sures.

link to paper

traditional primitives of cryptography:

• confidentiality
• authenticity
• integrity
• non-repudiation

proposal of an extension to the 4 primitives:

• privacy
• non-traceability
• non-linkability

I highly recommend everyone to read these ones:
1. The Evolution of RFID Security (take this as an introduction to RFID in general), link
2. Protection Profile for Machine Readable Travel Documents - Basic Access Control (BAC), link
3. Advanced Security Mechanisms for Machine Readable Travel Documents – Extended Access Control (EAC), link
4. E-Passport: The global Traceability or How to Feel Like an UPS Package (now it gets interesting), link
5. Security and Privacy Issues in E-Passport (personal favourite), link

Mac OS X is supported for the first time, so you can have full disk encryption on your Mac as opposed to Apple’s FileVault implementation, which only encrypts the user partition.

I will test it and post a summary and test report as soon as the site is back online.

Was war passiert? Da StudiVZ dem Holzbrinck-Verlag gehört, möchte der natürlich, wie jedes Unternehmen, langsam aber sicher Geld mit dem StudiVZ verdienen. Dazu wurden am 9.12. seitens StudiVZ neue Allgemeine Geschäftsbedingungen angekündigt. Der Auslöser des Protestes: Der zukünftige Einsatz von personalisierter Werbung - zugeschnitten auf Alter, Geschlecht, Wohnort und Studiengang der Mitglieder. So weit so gut.

Schauen wir mal, was die anderen sozialen Plattformen so machen. Da wäre zum einen das wohl größte Social-Networking Portal der Welt - MySpace.
“Musik, Film, Sport, Mode, Reise, Autos - MySpace-Nutzer verraten auf ihren Profilseiten viele persönliche Vorlieben. Diese Selbstentblößung nutzt der Betreiber nun, um Anzeigenkunden perfekt definierte Zielgruppen anzubieten.” Spiegel Online, 19. September 2007
Aha, MySpace schaltet also Werbung auf Basis der Profile seiner Nutzer. Das kommt mir doch recht bekannt vor.

Und wie sieht’s mit Facebook, dem Vorbild von StudiVZ sozusagen, aus?
“Die Netzwerk-Websites Facebook und Myspace wollen die Möglichkeiten für Werbung bei ihren Nutzern deutlich ausbauen. So solle es bei Facebook künftig möglich sein, die Anzeigen gezielt unter Berücksichtigung zum Beispiel der persönlichen Interessen oder der Lieblingsfilme auszuwählen und zu platzieren, berichtete die US-Tageszeitung «Wall Street Journal» am Montag.”
netzeitung.de, 5. November 2007
Auch das - sehr bekannt.

Facebook geht sogar noch einen Schritt weiter, wie die Netzeitung weiter schreibt:
“Außerdem könnten Nutzer ihr Kaufverhalten zum Beispiel in Online-Shops von Facebook-Werbepartnern aufzeichnen lassen und dann ihre Freunde über ihre Einkäufe auf dem Laufenden halten.”
Es werden also auch Besuche in “Partner-Shops” außerhalb von Facebook aufgezeichnet und Facebook über den Einkauf informiert. Hmm…

Nun schauen wir mal über den Tellerrand der sozialen Platformen hinaus zu den Global Playern des Internet - Google und Amazon.
Google eröffnete im August 2005 seinen E-Mail Dienst “GMail”. Google, mittlerweile der größte Online-Anzeigen Vermarkter der Welt, durchsucht automatisiert die E-Mails seiner Nutzer und blendet daraufhin personalisierte Werbung ein.
Ein Beispiel: Ein Freund erzählt euch in einer E-Mail von einem Ärzte-Konzert, so könnte es sein, dass ihr neben der E-Mail die Werbung eines Konzertkarten-Händlers eingeblendet bekommt. Hier also wieder - personalisierte Werbung.
Dazu kommt noch: Google ist zwar “nicht böse (don’t be evil)”, gibt aber auch keine Interna Preis. Also weiss keiner wirklich, was mit den riesigen Datenmengen passiert, die durch Suchanfragen, E-Mail & Co. zusammenkommen. Und wenn jemand doch ein wenig offen über die eigene Firma plaudert wird er gefeuert. Alles ziemliche Geheimniskrämerei.

Amazon: Sicher kennt jeder die “Kunden kauften auch..”-Funktion. Dabei wird der Einkaufsbummel jedes Kunden aufgezeichnet, sogar alle Artikel, die der Kunde sich nur angesehen hat, und danach für andere Kunden aufbereitet und angezeigt. Da haben wir sie wieder - die personalisierte Werbung.

Und damit zurück ins wirkliche Leben. Wieviele von euch haben eine Payback-Karte? Was passiert überhaupt mit den Daten? Payback weiss jederzeit, was, wann und wo ihr was gekauft habt. Diese Daten werden gesammelt, daraus Kundenprofile erstellt und die Daten verkauft. Und das beste daran ist - ihr stimmt dem ganzen sogar zu!
“Wenn Sie bei der Anmeldung Ihre diesbezügliche Einwilligung erteilt haben, nutzt Loyalty Partner die Basisdaten, freiwilligen Angaben und gemeldeten Rabattdaten zu Zwecken der Marktforschung sowie zur individuellen Erstellung und Versendung ausgewählter Informationen (Werbung) per Post und in weiteren von Ihnen bestellten PAYBACK Services (z.B. E-Mail Newsletter).”
Payback Deutschland, Datenschutzbestimmungen

Fazit: Personalisierte Werbung ist längst überall, keiner kommt daran vorbei. Also was soll das Ganze auf einmal? Nicht das man gar nichts gegen die Verwendung seiner persönlichen Daten zu Werbezwecken tun sollen, doch das Ganze riecht schon stark nach Doppelmoral.
Aber schon niedlich anzusehen - dieser “Aufstand 2.0″.