Aus CCCZH

Feeds
RSS
Atom

Aktuelles & Neuigkeiten

Vorträge zu Quantenkryptografie und Replay-Sicherheit von Contactless Payment

2014-04-22:

Es sei auf zwei Beiträge hingewiesen, die bald stattfinden:

  • 30. April, 20 Uhr: Frau Blauwal zu Quantenkryptografie [0]
  • 4. Juni, 20 Uhr: Karl-Dietrich zu Contactless Payment [1]

Wie immer findet das Treffen @ Luegislandstr. 485 statt. [2]

[0] "Zu Beginn gibt es eine Einführung in Kryptography (Symmetrische / Asymemtrische Verschlüsselung, für Neulinge und zur Wiederholung für alte Häs_innen) und dann erkläre ich die Prinzipien der Quantenkryptographie. Was super-einfach ist!"
[1] "Focus: Replay-Sicherheit"
[2] https://www.ccczh.ch/Hackerspace

MM: Mehr Licht in die Blackbox UZH!

2014-04-16:

Liebe Medienschaffende
Liebe Kantonsrätinnen und Kantonsräte
Liebe interessierte Öffentlichkeit

Der Chaos Computer Club Zürich CCCZH hat vor einem Monat die Netzzensur an der Universität Zürich UZH angeprangert (vgl. Medienmitteilungen CCCZH vom 14. und 17. März: http://is.gd/OAJSXK; http://is.gd/gaF9nn)

Im regen Dialog mit der öffentlich-rechtlichen Körperschaft der Studierenden VSUZH, sowie durch Teilnahme an einem Treffen der Erweiterten Universitätsleitung EUL wurde die Netzzensur grosso modo beseitigt. Sie ist aber (1) nicht ganz beendet und (2) bleiben viele offene Fragen.

Wir sind es leid, die Universität ständig öffentlich vorführen zu müssen (vgl. Medienspiegel März/April 2014 CCCZH: https://www.ccczh.ch/Medienspiegel und Zugangsgesuche CCCZH IDG: https://www.ccczh.ch/UZH-Zensur-IDG) und sind deshalb froh, dass nun der Regierungsrat des Kantons Zürich sich der Beantwortung wichtiger Fragen annimmt.

Insbesondere sind wir Kantonsrätin Judith Stofer sehr dankbar, dass sie am vergangenen Montag 12 wichtige Fragenkomplexe im Kantonsrat eingereicht hat. Sie haben das Potenzial, Licht in die Blackbox UZH zu bringen.

Zur Anfrage KR-95/2014: http://is.gd/WSlTHo

Der CCCZH bleibt auf jeden Fall bereit, unpräzisen oder gar falschen offiziellen Verlautbarungen mit technischen, überprüfbaren Tatsachen entgegenzutreten. Ganz so wie bis anhin auch.

Wir appellieren an die Kantonsrätinnen und Kantonsräte, sich dafür einzusetzen, dass die UZH Grundlagen, Mittel und Wege erhält, sich an rechtsstaatlichen und freiheitlichen Prinzipien zu orientieren, sowie offen und proaktiv auf Basis des Öffentlichkeitsprinzips zu kommunizieren. Damit es ihr in Zukunft gelingt, stärker ohne Negativschlagzeilen zu funktionieren.

Liebe Grüsse

Presseteam CCCZH (Mail: presse@ccczh.ch; tel. +41 79 191 23 70)

MM CCC-CH: Heartbleed: Schlimmste anzunehmende Cryptocalypse

2014-04-08:

Liebe Medienschaffende,
Liebe interessierte Öffentlichkeit,

Auf Grund der schier inexistenten oder inadäquaten Schweizer Berichterstattung über eine schwerwiegende Sicherheitslücke, welche die Sicherheit der IT-Infrastrukturen (auch eben in der Schweiz) massgeblich beeinflusst, hat sich das Presseteam des Chaos Computer Club Schweiz CCC-CH gefordert gesehen, mit der folgenden Medienmitteilung sensibilisierned zu wirken und eine breite Bevölkerung zu erreichen.

In vielen Versionen von OpenSSL (vgl. Wikipedia) gibt es einen krassen Bug, der es erlaubt, Teile des Arbeitsspeichers von richtig vielen Computern auszulesen. Damit können Passwörter und zum Aufbau von verschlüsselten Verbindungen genutzte geheime Schlüssel in die Hände von Angreifer*innen fallen. Mit Kenntnissen dieser Geheimnisse wird es für Angreifer*innen möglich, verschlüsselte Verbindungen zu entschlüsseln und mitzulesen. Auf den meisten Servern wird es mit den erlangten Informationen möglich, sich anzumelden und beliebige Daten zu verändern. Es betrifft die bis gestern aktuellen Versionen 1.0.1 (bis einschliesslich 1.0.1f und 1.0.2-beta). Alle sollten ihre Systeme sofort aktualisieren und (am einfachsten) neu starten: Mit dem Update auf OpenSSL 1.0.1g wurde veröffentlicht, wo der Fehler war: deshalb sind jetzt alle Informationen öffentlich, mit denen beliebige Angreifer*innen den Fehler selber ausnutzen können.

Nach einem Update müssen ausserdem vorsichtshalber geheime Schlüssel und Passwörter geändert werden. Diese konnten nämlich leicht über den Bug ausgelesen werden.

Diese Sicherheitslücke besteht seit der Unterstützung der TLS-Erweiterung "Heartbeat" mit OpenSSL 1.0.1 . Es ist somit nicht ausgeschlossen, dass sie bereits rege ausgenutzt wird.

Den Speicher auszulesen, heisst: ungehashte Passwörter und Passwörter, die gerade eingegeben werden, private Schlüssel (sobald sie geladen sind) zu lesen. Betroffen sind nicht nur Server, sondern allgemein alle Geräte, die OpenSSL verwenden: herkömmliche Computer, Smartphones, Router und Steuergeräte mit Login-geschützter Benutzeroberfläche, ... Betroffen sind auch nicht nur HTTPS-Anwendungen, sondern auch manche VPN-Systeme wie OpenVPN, Mailsysteme, Chatsysteme wie Jabber/XMPP, und alles andere, was OpenSSL nutzt.

Es gibt Webservices, die prüfen, ob man selbst betroffen ist. Hier empfiehlt es sich erst zu upgraden und dann den Check zu machen, denn sonst wissen allfällige Überwacher*innen sofort, dass man angreifbare Software verwendet. Und: Diese Check-Services sind sicherlich sehr interessante Ziele für Überwacher*innen.

Auf Systemen mit der Debian-Version testing/Jessie, muss man zudem aktuell aufpassen, tatsächlich auf 1.0.1g zu upgraden. Diese ist aktuell nur in den Versionen stable/wheezy und unstable/sid enthalten.

Verständnisfragen seitens der Medienschaffenden können an das Presseteam des CCC-CH gestellt werden: Erreichbar unter presse@ccc-ch.ch oder tel. +41 79 191 23 70.

Links:

Zwei Zugangsgesuche in Sachen Netzzensur an der UZH

2014-03-30:

Liebe CCCZH-Mitglieder und -Interessierte
Liebe interessierte Öffentlichkeit

In Sachen der Netzzensur (vgl. https://www.ccczh.ch/UZH-Sperrliste; https://www.ccczh.ch/Medienspiegel) an der Universität Zürich UZH wurden von einem Mitglied des Chaos Computer Club Zürich CCCZH noch zwei Zugangsgesuche im Sinne des Gesetzes über die Information und den Datenschutz IDG des Kantons Zürich eingereicht.

Ziel ist, Klarheit darüber zu erhalten, was Hintergründe und Umfang der Netzzensur an der UZH waren und hätten sein sollen.

Inhalt und Status der Anträge sind hier einsehbar:

https://www.ccczh.ch/UZH-Zensur-IDG

Aktivist*innen des CCCZH sind bereit, alle Kanäle auszuschöpfen, die verlangten Informationen offiziell zu erhalten.

CCCZH-Hackerspace am International Open Hackerspace Day 2014

2014-03-26: Liebes Chaos und Interessierte!

Am Samstag, 29. März laden wir zum International Open Hackerspace Day ein. Kommt an der Luegislandstr. 485, 8051 Zürich im Keller vorbei und lernt uns und unseren Space kennen.

Wir haben unter anderem vor, an unserem Cluster weiter zu arbeiten und Spass mit WS2811 LEDs zu haben (z. B. mit dieser Library), löten und basteln an sonstiger Hardware, hacken an Code oder Medienmitteilungen.

Weiter besprechen wir gerne auch Themen, die wir sonst in die Öffentlichkeit tragen: BÜPF, NDG, AGUR12, Überwachung, Zensur und Kryptografie und, und, und ...

Nach Lust und Laune sind wir dort, mindestens aber von 10-17 Uhr. Bei gutem Wetter werden wir abends noch eine Runde grillieren.

So denn: Bis Samstag!

Chaos Singularity 2014 findet vom 13. bis 15. Juni 2014 in Biel statt

2014-03-20: Liebes Chaosvolk!

Der alljährliche Schweizer Klein-Kongress Chaos Singularity (CoSin) findet dieses Jahr vom 13. bis 15. Juni 2014 in Biel in der Villa Ritter (wie die letzten zwei Male) statt.

Mehr (bald) auf der Webseite der CoSin: http://www.cosin.ch/

Ein Call for Papers auf Deutsch / Französisch folgt asap.

News-Archiv

Ältere Nachrichten können im Archiv eingesehen werden …

Meine Werkzeuge