Die Themen auf dieser Seite:
- Back Orifice
- Hacker werden
- Entschlüsselung kodierter TV-Signale
- Bankgeschäfte übers Netz
- EC-Karten und die Folgen
- Telefonkarten
- Passwörter
- Passwörter vergesssen
- Trojanische Pferde
- AOL for Free
- Telekom Fragen
- LINUX
Back Orifice 2000
Q: Ich hab gehört bei euch finde ich BO2000 aber ich kann es nirgends entdecken.
A: Der CCC bietet keine Scripting-Tools, keine Trojaner, keine Viren-Bastel-Kits. In dem Sinne sind wir echt lame. Wenn Du es nicht finden kannst, kannst Du es auch nicht bedienen. Es ist sehr einfach zu finden.
Q:Und dann möchte ich noch wissen, wie ich es bediene, das ist nämlich alles in Englisch.
A: Wir geben keine Informationen zu BO2000. Wir benutzen es nicht mal.
Illuminatus - die Bücher zum Film 23
Q: Im Film 23 wird das Buch "Illuminatus" oder so gelesen. Den Buchtitel gibt es nicht.
A: Das Buch ist eine Triologie, die "Illuminatus" heißt. Die Autoren sind Robert Shea und Robert Anton Wilson.
Die ISBNs der 3 Taschenbuecher lauten: 349922271X, 3499222728 und 3499222736. Es gibt auch (zumindest in Englisch) eine gesammelte Ausgabe mit allen drei Buechern (0440539811). Nimm diese Nummern zum Buchkauf mit oder gib sie bei den entsprechenden Netzbuchhandlungen in die Suchmaschine ein.
Hacker werden
Q: Wie werde ich ein Hacker?
A: Ein Hacker wird man durch eine kreative Lebenseinstellung und technisches KnowHow. Hacker zu sein hat nichts mit dem Einsatz cooler Crackerprogramme zu tun. Einen intelligenter Text zum Thema ist das Hacker-HOWTO, daß Du im Netz unter http://sagan.earthspace.net/~esr/faqs/hacker-howto.html findest. Du findest ihn auf dem Server der Kölner-Sektion des CCC unter http://koeln.ccc.de/texte/hacker-werden.html. Wenn Du ernsthaft vorhast, ins Thema einzusteigen, solltest Du auf jeden Fall sehr gute Englischkenntnisse mitbringen. Frei nach der Devise "hackers do it with fewer instructions" ist neben Phantasie und Kreativität auch noch die fließende Beherrschung einer Weltsprache (hier: Englisch) unerläßlich.
Entschlüsselung kodierter TV-Signale
Decodierung PREMIERE-Signal
Q: Kann man Premiere mit etwas anderem als einem Premieredecoder und einem offiziellen Key sehen?
A: Ja, es gibt Software fuer unterschiedliche Rechnerplattformen, die es ermoeglichen, Premiere in halbwegs vernuenftiger Qualitaet zu sehen. Der CCC veroeffentlicht auf seinem Webserver eine umfassende Dokumentation zum Thema.
Q: Auf dieser Seite stimmen die Links nicht mehr!
A: Ist gut möglich. Da wir diesen Hack nicht gemacht haben, können wir keine Qualitätsgarantie für Links etc. übernehmen. Die Links wechseln sehr schnell, so daß wir nicht unbedingt up-to-date sind. Über die gängigen Suchmaschinen sollte mittlerweile auch genug andere Info bereitstehen. Wir machen keinen Support für diese Programme und beantworten auch kaum noch Anfragen dazu.
Q: Fuer welche Rechnerplattformen ist die Premiere Decoder Software verfuegbar?
A: Intel PC ab Pentium 133Mhz mit TV/Grabberkarte mit einem BT848 Chip drauf. (erste Versuche gibt es auch auch mit Victory Erazor und anderen Grafikkarten mit Video In) SGI Grafikworkstations mit Video In.
Q: Und für welche Betriebssysteme gibt es die Software?
A: Stand der Dinge ist zur Zeit folgendes
- DOS: PCTV 0.97
- Windows 95: NagraDec 0.821
- Linux: NagraTv 1.21
- Irix 6.5: VlNagraTv 0.3
Q: Wo krieg ich die Software fuer rein experimentelle Zwecke her?
A: Online bei http://www.eurosat.com/salp/pctv.bak downloaden.
Q: Wie funktioniert das?
A: Premiere bringt die Zeilen eines Videobildes (genauer jeden Halbbildes) in eine neue Reihenfolge. Alle 2,5sec also 256 Halbbilder werden in der Austastluecke digitale Informationen uebertragen, die dem Decoder als Basis dienen, um die naechsten 256 Halbbilder wieder in die richtige Reihenfolge zu bringen. Das Verfahren ermoeglicht 32768 verschieden Moeglichkeiten pro Halbbild, die Zeilen zu permutieren. Die Decodierung basiert auf der Tatsache, dass sich zwei benachbarte Zeilen eines Videobildes oft sehr aehnlich sind. Man findet einige Zeilen, die sich aehneln und ermittelt durch Korellation diejenige der 32768 Moeglichkeiten heraus, die am besten zum gleichen Ergebniss fuehren. Damit decodiert man nun den Rest des Bildes.
Q: Geht das auch in Farbe?
A: Bei Secam gibts da keine Probleme. PAL ist da schon schwieriger. Das Phase Alternating Line Verfahren benoetigt zum Ermitteln der Farbe zwei aufeinanderfolgende Zeilen. Da die PAL Decodierung beim Grabben geschieht und zu diesem Zeitpunkt die Zeilen noch vertauscht sind, kann die Farbe vom Grabber nicht richtig decodiert werden. Man kann sich aber die undecodierten Daten merken, die Zeilen in die richtige Reihenfolge bringen und dann die Farbe in Software decodieren. Das kostet natuerlich Rechenpower und braucht schon mindestens nen Pentium 200Mhz fuer eine vernuenftige Framerate.
Bankgeschäfte übers Netz
Q: Wenn ich meine Überweisungen übers Internet mache, ist das dann sicher?
A: Das läßt sich nicht in einem Satz beantworten. Das Problem ist vielschichtig.
Zuerst einmal gilt: Kein Netz ist in sich "sicher". Das heißt, es gibt verschiedene Angriffsmöglichkeiten bei der Abwicklung von Bankgeschäften über das Netz. Allgemein gesehen sind das:
- Ausspähen von Daten
bedeutet das z.B. jemand Kontoauszüge und Transaktionen "mitliest". Das kann fuer sich genommen schon schlimm genug sein, z.B. als Ansatzpunkt fuer Erpressungen ("ich sag' der Steuer/dem Ehepartner/... was Du auf dem und dem Konto hast..."). Außerdem ist das Ausspaehen Basis fuer weitergehende Maßnahmen. Dieser Angriff beruht darauf, dass Daten offen im Netz uebertragen werden.- Betrug
Z.B. greift jemand auf ein fremdes Konto zu, um sich oder andere zu bereichern. Der Täter ueberweist Geld von dem angegriffenen Konto auf irgendein anderes. Der Täter läßt sich Euroscheckvordrucke zusenden, oder ändert die Postadresse des Kontoinhabers kurz vor dem Versand der neuen EC-Karten und Geheimzahlen.
Dieser Angriff beruht darauf, daßkeine Sicherheit ueber die Identität des Datensenders besteht, und daßnicht gewährleistet ist, daß Daten "unterwegs" nicht verfälscht wurden.- "Denial of service"
der Täter verhindert durch die Attacke den Zugriff auf den Bankrechner allgemein oder ein bestimmtes Konto (z.B. durch dauernde Anmeldeversuche ohne gültige PIN/Paßwort). Auch das kann zumindest lästig sein, aber auch recht gravierende Folgen haben, wenn man z.B. zur Fälligkeit von wichtigen Zahlungen nicht an sein Konto kommt (Mahngebühren, Kündigung von Krediten, Versicherungen, Telefon abgestellt).
Dieser Angriff beruht darauf, daßdas Netz nicht gegen beliebigen technischen Mißbrauch gesichert ist. Zum Teil werden bekannte technische Mängel bestimmter Netzkomponenten ausgenutzt, zum Teil Eigenheiten des Banksystems (bewußte Falscheingabe der PIN sperrt den Zugang).Bezogen auf das Internet als Transportmedium bedeutet das:
Das "Mitlesen" und Verändern von Daten ist an vielen Stellen (Internet- Provider des Kunden und der Bank, Router, Knotenrecher) technisch einfach und de facto nicht festzustellen. Diese Stellen werden im Internet nicht zentral verwaltet, sondern gehören den unterschiedlichsten Organisationen.Q: Das hört sich nicht gerade sicher an. Kann ich mich schützen und wie?
A: Zuallerst einmal durch gesundes Mißtrauen allen Transaktionen im Netz gegenüber. Kontoauszüge sollten regelmäßig auf Papier angefordert UND überprüft werden. Gegen die oben beschriebenen Angriffsmöglichkeiten solltest Du folgendes unternehmen:
- Ausspähen
Hier hilft zuverlässig nur "starke" Verschlüsselung der Daten. Diese verhindert, daß über die Verbindungsdaten (wer kommuniziert wann mit wem wieviel - allein schon wertvolle Information!) hinaus Information bekannt wird.
Wichtig ist, neben einem starken Algorithmus (Triple-DES oder IDEA), eine ausreichende Schlüssellänge. 56 bit (DES) oder gar 40 bit (SSL in der US-exportfaehigen Variante) ist nicht ausreichend! 128 Bit kann als sinnvolle Anforderung angesehen werden.
Vorsicht vor nicht spezifizierten und offengelegten Verfahren! Nur Algorithmen, die ueber Jahre veröffentlicht sind und daher von weltweit anerkannten Experten untersucht wurden, können als "vermutlich sicher" gelten.- Betrug
Der Zugang zum Konto ist meist mit einer PIN oder einem Paßwort gesichert. Das reicht nicht, da Ausspäher an diese Daten gelangen koennen - entweder direkt durch Mitlesen im Netz oder durch Eingriffe (z.B. ActiveX, Viren) auf dem Rechner des Bankkunden. Außerdem koennen echte Überweisungen während der Übertragung verfälscht werden (anderer Betrag, anderes Konto).
Kryptographische Verfahren ("elektronische Unterschrift", Prüfsummen) kännen sowohl die Identität des Absenders bestätigen, als auch Veränderung der Daten verhindern.
Gegen Attacken gegen den Kundenrechner helfen sie nur bedingt, da der eigentliche Angriff ja nicht während der Bankverbindung, sondern vorher erfolgt.
Teilweise werden diese Verfahren in Software (z.B. Brokat), teilweise in Hardware ("Me-Chip", Chipkarten) implementiert. Die Hardware ist schwerer zu knacken, da maliziäse Software im Kundenrechner die externe Hardware nicht manipulieren kann. Dafür ist ein Austausch der Hardware bei Verbesserung der kryptographischen Technik schwer unnd teuer.- Denial of service
Ist mehr ein Problem der Bank als des Kunden. Der Kunde sollte immer noch über einen weiteren Weg zu seinem Konto als nur das Internet verfügen - dies gebietet schon der gesunde Menschenverstand.
EC-Karten und die Folgen
Q: Meine Scheckkarte wurde geklaut und dann ist damit von meinem Konto Geld abgehoben worden. Wie ist das möglich?
A: Möglich ist manchmal irgendwie alles. Aber das hilft Dir hier wenig. Erstmal ein paar einführende Fakten. Bitte lies danach auch den nächsten Abschnitt. Bisher lag das alleinige Risiko bezüglich der PIN allein beim Bankkunden. Wenn eine EC-Karte entwendet wurde oder abhanden kam und dann mittels der PIN Geld abgehoben wurde, mußte der Kunde in der Regel neben dem Verlust des Geldes auch noch mit einer Betrugsanzeige rechnen. Dabei wurde von Bankenseite angenommen, daß der Kunde die PIN weitergegeben oder notiert (z.B. direkt auf der Karte) hätte.
Was tue ich, wenn mein Bank behauptet die PIN Nummer auf der EC Karte ist sicher?
ACHTUNG: Die folgenden Ausführungen beziehen sich auf die sogenannte >alte" EC Karte, die Banken haben Ende 1997 / Anfang 1998 eine neue Karte eingeführt, die anders aufgebaut ist als die EC Karte über die hier geschrieben wird. Zur >neuen" EC Karte liegen, abgesehen von einer Stellungnahme des BSI (siehe >Weiterführende Literatur"), noch keine Erkenntnisse vor.
Der Streit um die Sicherheit der Euroscheckkarte ist schon ziemlich alt. Bereits in den 80,iger Jahren gab es die ersten Vermutungen und Nachweise, wie man mit einem Kartenleser und einer entsprechende Software bestimmte Bit,s auf dem Magnetstreifen der EC Karte manipulieren kann und dann mit der gleichen Karte mehrfach an einem Tag Geld bis zum Limit abheben kann. Das hatte aber noch nichts mit der PIN Nummer zu tun, deren Kenntnis wurde vorausgesetzt (etwa beim Eintippen abgeschaut oder die eigene EC Karte).
Das Amtsgericht Oschatz hat, soweit ersichtlich, das erste Urteil gesprochen, daß die PIN Nummer als ermittelbar angesehen hat (AG Oschatz, Urteil vom 6.2.1996 - Cs 253 Js 40126/95 = NJW 1996, 2385 = NJW-CoR 5/97, 308= Datenschutz-Berater 12/1996, S. 16 = NStZ 1996, 546). Dagegen sind natürlich die Banken Sturm gelaufen, die bisher immer die PIN Nummer als sicher angesehen haben. Das Oberlandesgericht Hamm hat aber 1997 als das bisher höchste deutsche Gericht, daß zu dieser Problematik Stellung genommen hat, ebenfalls festgestellt, daß die PIN Nummer mit Hilfe eines Kartenlesers und einer Software ermittelt werden kann. Außerdem hat es sich die Feststellungen der Sachverständigen auch zu eigen gemacht, die nachgewiesen hatten, daß es eine endliche Anzahl von PIN Nummern gibt, die mit einer gesteigerten Wahrscheinlichkeit auftreten, so daß diese ausprobiert werden können (OLG Hamm, Urteil vom 17. März 1997 - 31 U 72/96 = CR 1997, 339 = NJW 1997, 1711 = ZIP 1997, 878).
Das OLG Hamm hat dabei drei wesentlich Grundsätze aufgestellt:
- Eine Beweiserleichterung greift für den Nachweis, daß die EC Karte gestohlen wurde. Grundsätzlich muß dies der Kartenbesitzer, also der Kunde, nachweisen. Da dieser aber fast nie Zeugen oder andere Beweise für den Diebstahl der EC Karte bringen kann, hat das OLG Hamm die Rechtsprechung zur Auto Kaskoversicherung herangezogen und hat festgestellt, daß es genügt, wenn der Kunde >einen Sachverhalt darlegt und erforderlichenfalls nachweist, der nach der Lebenserfahrung mit hinreichender Wahrscheinlichkeit den Schluß auf den Verlust zuläßt."
- Die Bank trägt alleine den Schaden der durch den Mißbrauch der EC Karte nach einem Diebstahl entsteht, es sei denn den Kunden trifft ein Mitverschulden. Die Bank muß dieses Mitverschulden darlegen und beweisen. Es ist dann anzunehmen, wenn der Kunde die ihm obliegenden Pflichten verletzt hat. Das kann z.B. eine Notiz mit der PIN Nummer sein, die der Kunde zusammen mit der Karte aufbewahrt oder wenn er dem Täter auf eine andere Art die Kenntnis der PIN Nummer ermöglicht hat. Ein Mitverschulden liegt aber auch vor, wenn er den Verlust der Karte verspätet meldet. Das OLG Hamm hat dies angenommen, weil der Kunde den Verlust um 14:30 bemerkt hat, aber erst um 16:17 Uhr die zentrale Telefonnummer für die Sperrung von EC Karte angerufen hat (Tel: +49 (0) 69 740987). Eine Stunde Überprüfung und Suche sei dem Kunden zuzustehen, danach spätestens hätte er den Sperrdienst anrufen müssen. Alle Abhebungen nach 15:30 Uhr gingen zu seinen Lasten.
- Grundsätzlich besteht kein Anscheinsbeweis dafür, daß der Kunde dem Täter die Kenntnis der PIN Nummer durch einen pflichtwidrigen Umgang mit der PIN verschafft haben muß. Denn mit bestimmten Kenntnissen kann die Wahrscheinlichkeit des richtigen Erratens einer PIN Nummer von 1:3333 auf 1:150 gedrückt werden (es gibt 216 besonders wahrscheinliche PIN Nummern). Es kann auch nicht ausgeschlossen werden, daß die PIN Nummer entschlüsselt wird, denn der finanzielle Einsatz für einen entsprechenden Rechner beträgt ca DM 110.000, was sich für einen auf derartigen Taten spezialisierten Täter oder Tätergruppe schnell >wirtschaftlich" rechnet.
Zusammenfassende Tips:
- NIE PIN Nummer irgendwo so notieren, daß ein Täter diese erkennen könnte. Falls man sie aufgrund der eigenen Vergeßlichkeit notieren muß, dann nie zusammen mit der EC Karte aufheben. Also diese Notiz nicht in der Handtasche / Aktenkoffer o.ä. in dem auch die EC Karte ist oder mal zufällig sein könnte.
- Immer die Telefonnummer zum Sperren der EC Karte dabei haben (Tel: +49 (0) 69 740987) und lieber zu früh als zu spät dort anrufen um das eigene Mitverschulden auszuschließen.
Weiterführende Literatur
- Die neuen PIN-Nummern der ec-Karten - NJW-CoR Gespräch mit Werner Schindler, Bundesamt für Sicherheit in der Informationstechnologie (BSI), NJW-CoR 1998, 223
- ec-Karten: wie sicher ist die PIN-Nummer?, NJW-CoR 5/97, 283
- Kümpel, Siegfried, Rechtliche Aspekte der neuen GeldKarte als elektronische Geldbörse, WM 1997, 1037
- Pausch, PIN, CR 1997, 778 (auch zur >neuen" EC Karte)
- Pfeiffer, Thomas, Die Geldkarte - Ein Problemaufriß, NJW 1997, 1036
- Rossa, Caroline Beatrix, Mißbrauch beim electronic cash - Eine strafrechtliche Bewertung, CR 1997, 219
- EC: Auf der Suche nach der PIN", Datenschleuder Nr. 61 (Dezember 1997).
Sachverständige
Andy Müller-Maguhn vom CCC ist Sachverständiger für alle Fragen um die EC Karte. Die Adressen der in dem Verfahren vor dem OLG Hamm aufgetretenen Gutachter (Prof. Dr. Pausch, Dr. Heuser) und weiterer Sachverständige können bei begründetem Interesse vom CCC genannt werden. Eines der Gutachten ist in der DS 59 auszugsweise abgedruckt.
Telefonkarten
Q: Ist es möglich, Telefonkarten aufzuladen?
A: Bis vor kurzem war die Antwort: "Nein. Die Hardware in der Karte kann nur herunterzaehlen". Inzwischen ist dem aber nicht mehr so. Hintergrund: Die Telekom hat Anfang 1995 die komplette Telefonguthabenkartenproduktion auf den sog. "Eurochip 1" umgestellt. Ausschlaggebend waren die zunehmenden Umsonst-Telefonate mit den von der Presse so genannten "Wunderkarten" (Chipkartensimulatoren).
Der Eurochip sollte nun durch den Einsatz verschluesselter Chipkartenkommunikation den Einsatz von Simulatoren unmoeglich machen. Die Folge war allerdings, daß die bis dahin auf verschiedene Hersteller verteilte Produktion von Chips für die Karten nunmehr allein von der Fa. Siemens mit dem Chiptyp (SLE 4433) quasi monopolistisch durchgeführt wurde. Und wie Murphy das nunmal so will ist ausgerechnet dieser Chip mit einem kleinen Befehl mindestens einmal wiederaufladbar. 12.- DM Karten koennen vollstaendig, 50.- DM Karten bis zu einem Betrag zwischen 42,- (!) und 45,- DM aufgeladen werden.
Der SLE 4433 wurde zwischen April 1995 und Anfang 1998 in einer Gesamtstueckzahl von ca. 200 Mio. Stück (Angabe aus einer Telefonkartensammler- Zeitschrift) verbreitet. Der Sammlermarkt hat mittlerweile eine massive Preiserhoehung nach dem Leerkauf von Karten mit diesem Chiptyp erfahren. Eine in Holland ansaessige Bande hat die abtelefonierten Karten in 10.000er Stueckzahlen aufgekauft, wieder aufgeladen und guenstig an "normale" Wiederverkaeufer (Kioske, Zeitschriftenlaeden etc.) verkauft. Ggf. mehr Info unter http://www.ccc.de/ServiceWatch/index.html.
Q: Ist es möglich, Telefonkarten nachzumachen?
A: Totalfälschungen sind möglich und in "dunklen Kreisen" zu kaufen. Neuere Technik (Vergleich der Seriennummern mit einer Online-Datenbank, alle Kartentelefonzellen haben einen Datex-L-Anschluß) machen die Erkennung inwischen allerdings möglich. Inwieweit Gerüchte, bei Erkennung eines Falsifikats würde automatisch ein Rollkommando losgeschickt, tatsächlich stimmen, wissen wir auch nicht.
Q: Und die Buchungskarten?
A: Die "Buchungskarten"" kann man auch nicht nachmachen oder aufladen, denn da ist gar kein Guthaben drauf. Die sagen der Telefonzelle nur Deine Telefonnummer zuhause, damit die T. weiß, wo sie das Gespräch zu entsprechenden Tarifen (d.h. teurer als vom normalen Festnetz) berechnen soll.
Q: Wo finde ich detailierte Infos über die Zusammensetzung des Codes einer Telefonkarte?
A: In der Zeitschrift PHRACK, Ausgabe 48. Wir haben diese Ausgaben auf unserem Koelner Server gespiegelt. Hier die URL's: http://bonk.hau.rhein.de/~archiv/magazines/phrack/p48/P48-10 http://bonk.hau.rhein.de/~archiv/magazines/phrack/p48/P48-11
PASSWÖRTER
UNIX Paßwörter entschlüsseln
Q: Gibt es ein anständiges Programm um die Paßwort-Datei aus einem UNIX-Server (mit allen Login/Paßwort Daten des Servers) in den Klartext zu übersetzen?
A: Die Paßwort-Datei bei einem UNIX-Rechner heißt /etc/passwd (allgemeinlesbar) oder /etc/shadow (nicht lesbar), bei manchen Systemen auch/etc/security/shadow. Die Verschlüsselung der Paßwörter beruht auf einem sog. "Falltür-Algorithmus". Das heißt, die Berechnung des Ciphertextes aus dem Klartext ist einfach, der umgekehrte Vorgang jedoch sehr schwer. Im Falle der UNIX-Paßwörter ist es ein modifizierter DES-Algorithmus, der mit de facto 56+12=68 bit Schlüssellänge arbeitet. Was durchaus geht (und zur Entwicklung der nicht lesbaren shadow-Dateien geführt hat), ist ein "brute force"- (alles durchprobieren) oder der einfachere "Dictionary-Angriff". Beim Dictionary-Angriff nimmt man ein großes Wörterbuch, und verschlüsselt es mit allen 2^12=4096 möglichen Schlüsseln. Die so ermittelten verschlüsselten Begriffe kann man recht schnell mit den verschlüsselten Paßwörtern aus der Paßwort-Datei vergleichen. Gegen dieses Angriffsverfahren helfen gute, d.h. nicht im Wörterbuch vorhandene Paßwörter ( -> siehe auch die Frage zur Paßwortsicherheit).
Für Brute-Force, bzw. Dictionary Angriffe gibt es einige Programme diesich bewährt haben. Unter Unix läuft Crack5, es unterstützt den Einsatz vonmehreren Rechnern und andere Gimmiks. Für DOS-Programm gibt es Cracker Jack.
Crack5: ftp://ftp.cert.dfn.de/pub/tools/password/Crack/c50a.tgz
Wörterlisten über: ftp://sable.ox.ac.uk/pub/wordlistsPaßwortsicherheit allgemein
Q: Was sind gute, was sind schlechte Paßwörter?
A: Schlecht:Alles, was in einem (irgendeinem, auch fremdsprachlichen!) Lexikon steht.Telefonnummern, Personalnummern, EC-Geheimzahl(!). Namen von Ehemann, Freundin, Kind, Hund, Boot, Lieblings{star, auto, ...} Benutzername auch in Variationen, z.B. rückwärts.
Ein gutes Beispiel ist: DMA-Kwv1vEb. Wie man sich sowas merkt? Gar nicht so schwer: Ich denke mir einen (möglichst etwas unsinnigen) Satz aus, auf den auch die nicht so leicht kommen,die mich kennen. Dann baue ich noch Variationen ein, z.B. Ein->1.Aus dem Krimskrams da oben kann keiner schließen, was für einen Satz ichmir gewählt habe, und das Ergebnis ist auch kaum merkbar ohne den Schlüsselsatz ("Die Mercedes A-Klasse wurde von einem virtuellen Elch besiegt").Das Beispiel ist nicht einmal besonders gut, weil auf ein aktuelles EreignisBezug genommen wird, und ich immer nur den ersten Buchstaben statt z.B. denletzten der Worte genommen habe. Aber dieses Paßwort wäre besser als 95%der hierzulande benutzten, da bin ich sicher, wenn es jetzt nicht hier gepostetwäre :-)
Paßwörter vergessen
WORD-Paßwörter
Q: Ich habe eine Worddatei mit einem Paßwort versehen. Leider habe ich das Paßwort vergessen. Gibt es eine Möglichkeit, den Inhalt der Datei wiederlesbar zu machen?
A: Die Verschlüsselung einer Worddatei mittels eines Paßwortes ist kein probates Mittel, um den Inhalt vor unerwünschtem Lesen zu bewahren. Das Programm "wordcrak" entschlüsselt alle Paßwörter von Worddateien, die im Format 2.0 (das umfaßt alle Word-Versionen bis 5.x) oder im Format 6.0 (Word 6, 7 und 95) vorliegen. Wordcrak steht auf vielen FTP-Servern zum Download bereit.Den für Dich günstigsten erfährst Du bei FTP-Search (http://ftpsearch.ntnu.no/) oder über einen Archie-Server (z.B. archie.tu-darmstadt.de).
Excel Paßwort
Q: Geht das auch bei Excel?
A: Nein, das macht ein anderes Tool. Für diese Art Paßwortschutz gibt es auch Löhnsoft über http://www.crak.com/.
Q: Meine ZIP-Diskette habe ich Paßwortgeschützt, und nun habe ich das Paßwort vergessen!
A: Das ist kein wirkliches Problem.Nimm eine nicht geschützte ZIP-Diskette. Versieh sie mit einem Paßword (merken!). Nun warte, bis das Laufwerk aufgehört hat zu laufen (wichtig!). Wirf die Diskette mit dem Notmechanismus aus (Büroklammer in das kleine Loch hinten, nicht den Auswurfknopf vorn drücken). Nun lege Deine geschützte Diskette ein. Du kannst nun das Paßwort ändern (bei "altes Paßwort" das von der neuen Diskette nehmen). Diskette mit dem normalen Knopf vorne auswerfen. Fertig!
Trojanische Pferde
Q: Wie funktionieren "Trojanische Pferde" beziehungsweise was ist das ueberhaupt?
A: Das Prinzip des sog. "Trojanischen Pferdes" oder auch "Trojaners" basiert kurz gesagt darauf, jemand ein gutes Programm unterzujubeln. Das Programm macht in der Regel auch was es soll, fuehrt aber gleichzeitig Operationen aus, die dem Nutzer verborgen bleiben und ihm Schaden zufuegen.
Wir erklaeren das einmal etwas genauer. Der erste Schritt ist, ein beliebiges, fuer das Opfer sinnvolles Programm zu schreiben. Im Falle des T-Online-Hacks war das z.B. ein Programm zur Verwaltung von irgendwelchen Daten, es koennte sich aber genausogut um eine Textverarbeitung oder ein Betriebssystem handeln. Geruechte, das Windows ueber einige Hintertueren verfuegt kursieren, ein Beweis steht bis dato noch aus. So ein Programm entspricht dem trojanischen Pferd im historischen Sinne. (Du kennst diese Geschichte sicherlich soweit, griechische Mythologie und so?)
Programm selbst zaehlt, beispielsweise laesst Du es Zugangsdaten ueber eine bestehende Internetverbindung posten, die das Programm irgendwo auf der Festplatte findet...Im historischen Sinne waren dies die Krieger im Inneren des Pferdes. (Nachzulesen in Homers' Ilias)
Der dritte (entscheidende) Schritt ist nun, dieses Pferd richtig zu plazieren: Historisch wurde das Pferd als Versoehnungsgeschenk angepriesen, in unserem Fall heisst das, das Opfer muss die Software erhalten und mindestens einmal starten.
AOL for free
Q: Ausnutzen der Freiaccounts, was bringt das?
A: Relativ wenig Gewinn. Ein paar Freistunden bei einem eher mittelmäßigen Online-Dienst. Wer's doch machen will: Niemals die Kontonummer einer real existierenden Person oder Firma nehmen! Sonst muß die sich nämlich mit AOL rumschlagen. Das ist nicht fair.
TELEKOM Fragen
Eine ausführliche Darstellung vieler Fragen zum Thema Telekommunikation ist die Telefon-FAQ aus der Newsgroup de.comm.misc.
800-er Nummern und 0130-Nummern.
Q: Gibt es kostenlose 800er Nummern auch in Deutschland?
A: Es gibt Leitungen, bei denen die angerufenen Firmen für die Kosten des Anrufers aufkommen. In Deutschland sind das bisher alle Nummern, die mit 0130 anfangen. Diese Nummern werden im Rahmen der Marktöffnung durch die Anfangsnummer 0800 ersetzt. Bei der Erstellung dieser FAQ (März 98) war dieser Prozeß bereits im Gange.
Hilfe, die Telekom will all mein Geld!
Q: Ich habe eine Rechnung über 40.000 DM bekommen. Meine Erbtante sagt, dafür schmeißt sie ihr sauer verdientes Geld nicht raus. Und ich hab nix. Was kann ich tun?
A: Zunächst mal tief durchatmen und dann die folgenden Schritte schriftlich unternehmen:
1. Lege Widerspruch gegen die Rechnung ein. Und zwar schnell und schriftlich als Einschreiben mit Rückschein, damit Du später beweisen kannst, daß der Einspruch erfolgt ist.
2. Fordere in diesem Schreiben auch die Einzelverbindungsdaten an.
3. Falls die Gesellschaft nicht von sich aus einlenkt, schalte einen darauf spezialisierten Anwalt (!) ein. Es gibt entsprechende Organisationen die Dir weiterhelfen können, z.B. die Initiative gegen ¸berhhte Telefonrechnungen, Doris Belz, Tel. 02054-82191.
Blueboxing
Q: Ist Blueboxing im deutschen Telefonnetz möglich?
A: Beim Blueboxing versucht der Anrufer mit Hilfe von Tönen nach CCITT 5 eine Verbindung aufzubauen. Er benutzt dabei die Töne, mit der die Verbindungsstellen der Telefongesellschaften untereinander kommunizieren. Er versucht also seiner Vermittlungsstelle vorzuspiegeln, daß er selbst eine solche Stelle ist und kein normaler Anrufer. Wenn der Versuch erfolgreich ist, kann er so ohne Gebühren eine Verbindung zu einem anderen Teilnehmer aufbauen.Blueboxing wird immer schwieriger, da das internationale Telefonnetz nach und nach auf ein anderes Kommunikationssystem (CCITT bzw. ITU-T System 7) umgestellt wird. Dabei ist die Signalübermittlung von der Kommunikationsleitung getrennt.Telefonieren mit Hilfe von Blueboxing ist eine Leistungserschleichung (wie Schwarzfahren) und darum strafbar.
Wahlsperre
Q: Gibt es eine Möglichkeit, die Wahlsperre bei meinem Modem aufzuheben?
A: Es gibt viele Modems und viele Antworten darauf. Schau doch bitte im Web unter http://www.webandmore.de/wahlsperre, dort findest Du mit an Sicherheit grenzender Warscheinlichkeit eine Antwort. Falls diese Seite nicht mehr existiert, bitte eine kurze Mail an faq@ccc.de, danke.
LINUX
Q: Ich möchte ein Linux installieren. Gibt es das im Web oder wo bekomme ich das sonst her?
A: Zum Beispiel auf ftp.redhat.com. Das ist aber nicht unbedingt empfehlenswert, da die Datenmenge doch recht groß ist (200 MB aufwärts). Oft ist es günstiger, bzw. gleich teuer, eine Distribution auf CD zu kaufen (z.B. Suse, Red Hat, Debian, usw.) - gibt es in guten Fachbuchhandlungen. Man kann und darf sich solche CDs auch ausleihen. Eine nicht mehr ganz taufrische Version bekommt man auch schon mal geschenkt. Die Distributionen kosten zwischen 30 und 90 DM; es sind meist mehrere CDs, zum Teil mit Handbuch.
Q: Könnt Ihr Literatur zu Linux empfehlen?
A: Auf den meisten CD-Distributionen findest Du den "Linux Network Administrators Guide" von Olaf Kirch, sowie weitere Dokumentationen, die in der Regel sehr gut sind. Wenn Du trotzdem ein oder mehrere Bücher kaufen möchtest, können wir Dir empfehlen eine Fachbuchhandlung Deines Vertrauens aufzusuchen und dort einige Stunden Zeit zu investieren. Momentan erscheint jede Woche eine neue Publikation zum Thema.
Im Internet kannst Du Dich natürlich auch informieren. Eine gute Einführung fuer Newbies ist die "Linux-Newbie-FAQ", die unter http://www.tomix.com/linux/faq/ online zu erreichen ist und regelmäßig upgedated wird.