calendar
« Jan12345678910111213141516171819202122232425262728 Mrz »

Proof-of-Concept-Hack des digitalen Radiergummis

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.

Mit diesem absoluten Unsinn X-pire!, dem digitalen Radiergummi “bekannt aus TV, Rundfunk, Printmedien und zahlreichen Webseiten” habe ich mich damals überhaupt nicht beschäftigt. Zu offensichtlich war die Unwirksamkeit: Bild entschlüssen, speichern, und der Radiergummi ist erledigt.

Erst heute erfahre ich in einer Email, dass der einzige Sicherheitsmechanismus der Sicherheitsexperten aus Saarbrücken ist, dass sie irgendwann den Entschlüsselungs-Key von ihrem X-pire!-Server löschen, so dass Nutzer mit Ablauf dieses “Verfallsdatums” diesen nicht mehr geliefert bekommen.

Der Lehrstuhl von Johannes Federrath in Regensburg hat sich jetzt mal den Nachmittag Zeit genommen, um das X-pire-Plugin um ein paar Zeilen zu erweitern: Der Schlüssel wird nicht nur vom X-Pire!-Server geholt, und das Bild entschlüsselt, sondern zusätzlich der Schlüssel und das Bild auf einen anderen Server geladen.

Das “Streusand” getaufte Plugin ermöglicht dann also für unbegrenzte Zeit den Zugriff auf die mit dem Verfallsdatum ausgestatteten Bilder, indem es sowohl Schlüssel als auch Datei unbegrenzt vorhält. Aus den Bildern macht man dort dann auch noch direkt eine nette Bildergalerie. Streusand heißt das Plugin, dass sie nicht veröffentlichen wollen. Aber warum auch, es sind ja nur 3 Zeilen, um die das X-pire!-Plugin erweitert werden muss.

Dadurch wird nicht nur die Schutzfunktion von X-pire! ausgehebelt, sondern es werden zudem gerade die besonders schützenswerten Bilder in einer öffentlichen Bildergalerie unbegrenzt zugänglich gemacht

Den Regensburger Vollprofis bleibt nun nur noch eine Möglichkeit, ihr X-Pire!-Projekt zu retten: Sie müssen die X-Pire!-Schlüssel mit digitalen Radiergummis versehen. :-)

An die Tasten, fertig los!

flattr this!

von netzpolitik.org » Datenschutz, gepostet am Dienstag, 22. Februar 2011 um 19:13
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: