Anonymous und Lulzsec haben sich wegen der Festnahmen durch das FBI zu Wort gemeldet. In einer gemeinsamen Stellungnahme erklären die Cyberaktivisten und Cracker, dass sie auch in Zukunft jedes Mittel – auch das Eindringen in Webserver – nutzen werden.

In ihrer Stellungnahme beziehen sich Anonymous und Lulzsec auf ein NPR-Interview mit Deputy-Assistant-FBI-Direktor Steve Chabinsky. Chabinsky gibt darin an, dass mit den Verhaftungen von Anonymous- und Lulzsec-Mitgliedern ein Zeichen gegen Chaos im Internet gesetzt werden sollte – und selbst wenn Hacker soziale Beweggründe hätten, sei es „komplett inakzeptabel, dass sie in Websites eindringen und gesetzwidrige Taten vollbringen.“

Anonymous und Lulzsec erklären, was sie im Gegenzug inakzeptabel finden. Dazu zählen korrupte, unterdrückerische und ihre Bürger belügende Regierungen, Unternehmen, die mit solchen Regierungen zusammenarbeiten und Lobbyvereinigungen, denen es lediglich um Profitsteigerung geht und die dabei auch vor Korrumpierung von Regierungen nicht zurückschrecken.

„Diese Regierungen und Unternehmen sind unsere Feinde. Und wir werden sie weiterhin bekämpfen, mit allen uns zur Verfügung stehenden Methoden, und das beinhaltet natürlich das Eindringen in ihre Websites und die Offenlegung ihrer Lügen“, so Anonymous und Lulzsec.

Weiter heißt es: „Wir haben keine Angst mehr. Eure Drohungen sind bedeutungslos für uns, da ihr keine Idee festnehmen könnt. Jeder Versuch wird eure Bürger noch wütender machen, bis sie in einem gigantischen Chor aufschreien. Es ist unsere Mission, diesen Menschen zu helfen und es gibt nichts – absolut nichts, mit dem ihr uns stoppen könnt.“

Die einzelnen Mitglieder oder Sympathisanten können aber sehr wohl gestoppt werden, vor allem, wenn sie ihre Spuren nicht verwischen und es damit dem FBI bei der Fahndung so einfach machen wie bei den letzten Verhaftungen in dieser Woche. Anonymous, Lulzsec und andere Cyberaktivisten, Cracker und Hacker arbeiten seit einigen Wochen in der Operation Antisec zusammen.(c)golem.de

* * * R E S P E K T * * *

(lest mal die Kommentare dazu)

Der Chaos Computer Club warnt erneut vor Schwachstellen im neuen deutschen elektronischen Personalausweis. Auch die in der Schweiz bereits eingesetzte SuisseID hat Schwachstellen.

Gemeinsam mit Sicherheitsexperten aus der Schweiz hat der Chaos Computer Club (CCC) laut eigenen Angaben „erhebliche“ Schwachstellen im neuen deutschen elektronischen Personalausweis und bei der in der Schweiz bereits eingesetzten SuisseID herausgefunden und auch praktisch demonstriert. Interessierte Tüftler, aber auch Kriminelle könnten beide elektronischen Personalausweise „mit einfachen Mitteln ferngesteuert benutzen“, so der Chaos Computer Club.

Mittels einer einfachen und im Netz problemlos erhältlichen Software sei es möglich, die SuisseID und den deutschen ePA (elektronischen Personalausweis) ferngesteuert benutzen. Die dafür ausgenutzten Sicherheitslücken würden bereits heute hunderttausendfach von Kriminellen genutzt, um etwa an Kontodaten zu gelangen.
In Deutschland soll der elektronische biometrische Ausweis am 1. November 2010 eingeführt werden. „Er hat eine kontaktlose Schnittstelle mit einem wiederbeschreibbaren Chip, auf dem biometrische Informationen und elektronische Identitätsdaten gespeichert sind“, erläutert der CCC, der kritisiert, dass das hohe Niveau bei der Fälschungssicherheit des deutschen Personalausweises durch die übereilte Einführung „eines sowohl konzeptionell schwachen als auch technisch fragwürdigen Großprojekts ohne Not unterminiert“ werde.
Der CCC warnt auch davor, dass die elektronische Unterschrift für „unbedarfte“ Nutzer weitere Schwachpunkte besäße. So könne nicht davon ausgegangen werden, dass ein Dokument innerhalb unterschiedlicher Signierapplikationen identisch aussehe. (c) pcwelt.de

Und was sagt die Regierung dazu? Na, wie immer: Die Leute vom CCC sind doch alles „Gespensterseher im Tunnel“ …

BSI weist Sicherheitsbedenken des CCC zurück

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist die vom Chaos Computer Club geäußerten Sicherheitsbedenken zum elektronischen Personalausweis zurück.
Das BSI räumt ein, dass – wie vom Chaos Computer Club (CCC) geschildert – Schadsoftware wie Trojaner die PIN-Eingabe des neuen Personalausweises (nPA), wie der elektronische Personalausweis offiziell heißt, bei der Verwendung von Basislesegeräten mitschneiden kann. Während das aus Sicht der Hacker ein großes Sicherheitsrisiko darstellt, wiegelt das BSI ab.

Die Behörde argumentiert, dass im Gegensatz zum bisher üblichen Authentifizierungsverfahren mittels Benutzername und Passwort beim neuen Personalausweis die PIN nur in Kombination mit der Ausweiskarte selbst genutzt werden kann. Daher rät das BSI: „Der Ausweis sollte nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden.“ Der CCC hatte zuvor darauf hingewiesen, dass ein Angreifer mit Kenntnis der PIN den Ausweis, so lange er auf dem Lesegerät liegt, missbrauchen und die fremde Identität nutzen kann. Das bestätigt das BSI damit weitgehend.

Allerdings weist das BSI darauf hin, dass dies nur für die Ausweisfunktion des nPA gelte, und nicht für dessen Signaturfunktion: So diene die Onlineausweisfunktion nur der gegenseitigen Authentifizierung von Dienstanbieter und Ausweisinhaber. Es handle sich nicht um eine rechtsverbindliche Unterschrift, der Dienstanbieter habe keinen Nachweis gegenüber Dritten über die Verwendung der Ausweisfunktion.

Signaturfunktion des nPA nur mit Komfortlesegerät
Die optional nutzbare rechtsverbindliche Signaturfunktion könne hingegen ausschließlich mit einem Komfortlesegerät mit integriertem PIN-Pad und Display verwendet werden.

Auch die Bedenken der Hacker, Angreifer könnten so die Ausweis-PIN ändern, bestätigt das BSI. Doch auch hier gehen die Bewertungen auseinander: „Eine Änderung der Ausweis-PIN durch den Angreifer wäre nach Erspähen der alten PIN und Zugriff auf die Karte zwar grundsätzlich möglich, würde aber zu einer wahrscheinlichen Entdeckung des Angriffs durch den Inhaber führen, da dessen PIN nicht mehr funktioniert“, heißt es in einer offiziellen Stellungnahme.

So kommt das BSI zu dem Schluss: Die vom CCC beschriebenen Szenarien seien auszuschließen, so lange die Ausweisinhaber die vom Bundesministerium des Innern und vom BSI empfohlenen grundlegenden Sicherheitsmaßnahmen im Umgang mit dem neuen Personalausweis befolgen. Dazu zählen die Verwendung einer Personal Firewall und eines leistungsfähigen, stets aktualisierten Virenscanners und regelmäßige Sicherheitsupdates für Betriebssystem und Browser. Zudem sollte der Ausweis nur für die Dauer der tatsächlichen Nutzung auf das Lesegerät gelegt werden. Wer das Gefühl hat, seine PIN sei ausspioniert oder manipuliert worden, sollte diese an einem nicht infizierten PC oder in der Personalausweisbehörde ändern oder den Ausweis sperren lassen, was auch über eine telefonische Hotline möglich sei.

Den Vergleich zwischen nPA und SuisseID weist das BSI ebenfalls zurück: Die Funktionen des deutschen Personalausweises und der Schweizer SuisseID seien technisch grundlegend verschieden gestaltet und nicht miteinander vergleichbar. Aussagen über die SuisseID ließen sich nicht auf das deutsche System übertragen, heißt es weiter in Richtung CCC. (ji) (c) golem.de

Wann begreifen eigentlich die Minister und deren Versallen mal, dass nicht einmal 10% von dem wissen, was die Leute vom CCC wissen? Die glauben heute noch, die Erde ist eine Scheibe, um die die Sonne kreist.

Na dann mal gute Nacht ihr BSI-Minister.

Achja, da gibts ja auch noch GOOGLE. Na wenn die man nicht dieses Ausspähen für sich nutzen. NEIN, dass werden die doch nicht machen – oder?