soc.hardwarepunk.de

Search

Items tagged with: Hacking

Wordpress ist das MS Windows der CMS - Sehr weit verbreitet und dies hauptsächlich unter Business Seiten. Enthält alle mögliche unverifizierte Drittanbieter die alles mögliche anbieten können aber auf keinen Fall «Secure by Design». Da gibt es für alles einen Patch und Plugins aber von Grund auf eine saubere Architektur ist nicht vorhanden.

(Ich bin jetzt schon gespannt was da an Gegenwind auf mich zu kommt)

#wordpress #windows #security #webdev #plugins #patches #cms #hacking
 
Bild/Foto

Grüne verschlimmern Polizeigesetz in BW


Wer hat die Diskussion abgewürgt und alle Inhalte verschärft?

Die Änderungen der Polizeigesetze in den verschiedenen Bundesländern hat die Grundrechte weiter geschliffen. Ein breiter Widerstand hat in einigen Ländern das Schlimmste verhindern können. In Brandenburg musste die Linke als Regierungspartner erst zum Widerstand getragen werden, die Folge war ihr Absturz bei den letzten Landtagswahlen.

Nun sind ausgerechnet die Grünen als Regierundpartei dabei das Polizeigesetz in Baden-Würtemberg weiter zu verschlimmern. Augerechnet in der Corona-Krise soll ein Gesetzesentwurf durchgebracht werden, der sich noch drastischer gibt als die Ankündigungen der letzten Monate vermuten ließ.

So enthält der von der Presse fast unbeachtete Entwurf
  • umfangreiche Durchsuchungen von Personen und Sachen im Zusammenhang mit Veranstaltungen und Ansammlungen,
  • Einsatz von Body-Cams in Geschäftsräumen und Wohnungen,
  • ausgeweitete Videoüberwachung im öffentlichen Raum,
Dagegen fehlen die Versprechungen der letzten Jahre, wie
  • unabhängige Ermittlungsstellen zur Aufklärung von polizeilichem Fehlverhalten,
  • eine Kennzeichnungspflicht der Beamten,
Bis zum März gab es eine online veröffentlichte Pressemitteilung der Grünen unter dem Titel „Fragen & Antworten zum neuen Polizeigesetz“, die zumindest beide Seiten zu Worte kommen ließ und auf eine echte Diskussion hinwies. Dieser Text wurde ersetzt, so wurde aus
  • „Stärkung der Rechte der Besucher*innen von Großveranstaltungen: Es dürfen keine anlasslosen Kontrollen stattfinden“.
  • „Ermächtigungsgrundlage für Durchsuchung und dentitätsfeststellung von Personen, bei gefährdeten Großveranstaltungen durch die Polizei.“
und der Satz wird verändert
  • "Personenfeststellung sowie zur Durchsuchung von Personen und Sachen bei Großveranstaltungen“
  • "öffentlichen Veranstaltungen und Ansammlungen", "die ein besonderes Gefährdungsrisiko"
und damit sind plötzlich auch alle politischen Versammlungen und nicht mehr die Fußballspiele gemeint. Damit wird das pauschale Durchsuchen von Personen und Sachen um und bei Veranstaltungen und Ansammlungen möglich. Es kann jederzeit völlig Unbeteiligte treffen und kann bei Versammlungen genutzt werden, um die Teilnehmer repressiv einzuschüchtern.

Diese grundrechtswidrigen Verschärfungen ausgerechnet während der Corona-Krise einzubringen, nachdem erst 2017 das Polizeigesetz verschärft wurde, ist das Gegenteil einer offenen bürgernahen Politik. Das hätte auch CDU Politik sein können.

Mehr dazu bei https://www.imi-online.de/download/Ausdruck101-Polizeigesetz.pdf
und alle Artikel zu den Polizeigesetzen https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=Polizeigesetz&sel=meta
https://www.aktion-freiheitstattangst.org/de/articles/7300-20200617-gruene-verschlimmern-polizeigesetz-in-bw.htm

#Polizei #Geheimdienste #Hacking #Geodaten #Polizeigesetze #Grüne #Baden-Würtemberg #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Videoüberwachung #Rasterfahndung #Datenbanken #Entry-ExitSystem #eBorder #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung
 
Bild/Foto

Grüne verschlimmern Polizeigesetz in BW


Wer hat die Diskussion abgewürgt und alle Inhalte verschärft?

Die Änderungen der Polizeigesetze in den verschiedenen Bundesländern hat die Grundrechte weiter geschliffen. Ein breiter Widerstand hat in einigen Ländern das Schlimmste verhindern können. In Brandenburg musste die Linke als Regierungspartner erst zum Widerstand getragen werden, die Folge war ihr Absturz bei den letzten Landtagswahlen.

Nun sind ausgerechnet die Grünen als Regierundpartei dabei das Polizeigesetz in Baden-Würtemberg weiter zu verschlimmern. Augerechnet in der Corona-Krise soll ein Gesetzesentwurf durchgebracht werden, der sich noch drastischer gibt als die Ankündigungen der letzten Monate vermuten ließ.

So enthält der von der Presse fast unbeachtete Entwurf
  • umfangreiche Durchsuchungen von Personen und Sachen im Zusammenhang mit Veranstaltungen und Ansammlungen,
  • Einsatz von Body-Cams in Geschäftsräumen und Wohnungen,
  • ausgeweitete Videoüberwachung im öffentlichen Raum,
Dagegen fehlen die Versprechungen der letzten Jahre, wie
  • unabhängige Ermittlungsstellen zur Aufklärung von polizeilichem Fehlverhalten,
  • eine Kennzeichnungspflicht der Beamten,
Bis zum März gab es eine online veröffentlichte Pressemitteilung der Grünen unter dem Titel „Fragen & Antworten zum neuen Polizeigesetz“, die zumindest beide Seiten zu Worte kommen ließ und auf eine echte Diskussion hinwies. Dieser Text wurde ersetzt, so wurde aus
  • „Stärkung der Rechte der Besucher*innen von Großveranstaltungen: Es dürfen keine anlasslosen Kontrollen stattfinden“.
  • „Ermächtigungsgrundlage für Durchsuchung und dentitätsfeststellung von Personen, bei gefährdeten Großveranstaltungen durch die Polizei.“
und der Satz wird verändert
  • "Personenfeststellung sowie zur Durchsuchung von Personen und Sachen bei Großveranstaltungen“
  • "öffentlichen Veranstaltungen und Ansammlungen", "die ein besonderes Gefährdungsrisiko"
und damit sind plötzlich auch alle politischen Versammlungen und nicht mehr die Fußballspiele gemeint. Damit wird das pauschale Durchsuchen von Personen und Sachen um und bei Veranstaltungen und Ansammlungen möglich. Es kann jederzeit völlig Unbeteiligte treffen und kann bei Versammlungen genutzt werden, um die Teilnehmer repressiv einzuschüchtern.

Diese grundrechtswidrigen Verschärfungen ausgerechnet während der Corona-Krise einzubringen, nachdem erst 2017 das Polizeigesetz verschärft wurde, ist das Gegenteil einer offenen bürgernahen Politik. Das hätte auch CDU Politik sein können.

Mehr dazu bei https://www.imi-online.de/download/Ausdruck101-Polizeigesetz.pdf
und alle Artikel zu den Polizeigesetzen https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=Polizeigesetz&sel=meta
https://www.aktion-freiheitstattangst.org/de/articles/7300-20200617-gruene-verschlimmern-polizeigesetz-in-bw.htm

#Polizei #Geheimdienste #Hacking #Geodaten #Polizeigesetze #Grüne #Baden-Würtemberg #Lauschangriff #Überwachung #Vorratsdatenspeicherung #Videoüberwachung #Rasterfahndung #Datenbanken #Entry-ExitSystem #eBorder #Freizügigkeit #Unschuldsvermutung #Verhaltensänderung
 
Bild/Foto

Kabinett beschließt Patientendaten-Schutz-Gesetz


Gesundheitsdaten - sensibel und besonders schutzbedürftig

So lernt man es in jeder Datenschutzgrundschulung. Eine solche scheinen sämtliche Verantwortliche der letzten 20 Jahre im Gesundheitsministerium verschlafen zu haben. Das kritisieren wir seit vielen Jahren am Beispiel der eGK, der elektronischen Gesundheitskarte. Von dieser werden seit mehr als 10 Jahren Wunder erwartet - aber mehr als ein Foto auf der Karte und ein fast leerer RFID Chip sind trotz mehr als 8 Milliarden Euro Steuergeld und Gelder aus Krankenkassenbeiträgen nicht entstanden.

Nun hat Gesundheitsminister Spahn den großen Wurf geplant, wie in Österreich und der Schweiz soll die eGK um eine ePA, eine elektronische Patientenakte, erweitert werden. Dazu wurde vor einer Woche im Kabinett das Patientendaten-Schutz-Gesetz beschlossen, denn Gesundheitsdaten sind sehr sensible Daten, die besonderen Schutz bedürfen.

Schön, wenn es so wäre! Allerdings sind die Funktionen und vor allem die Funktionsweise der ePA teilweise noch nicht definiert und erst recht nicht programmiert und Teufel steckt im Detail - und der Hacker sicher auch.

Was soll in der ePA gespeichert werden?
  • Notfalldatensatz,
  • Medikationsplan,
  • Arztbriefe
  • weitere medizinische Dokumente, z.B. der elektronische Impfpass.
Wo stecken die Gefahren für meine Gesundheitsdaten?
  • Die elektronische Patientenakte wird zentralen Servern liegen
  • Die Zugriffsberechtigung wird mit der Gesundheitskarte oder den Karten der Ärzte freigeschaltet.
  • Der Zugriff erfolgt über die "Telematik-Infrastrukrur" (TI), also über das Internet.
  • Für den Patienten soll der Zugriff über Smartphone oder Tablet möglich sein. Das sind oft unzureichend gesicherten Mobilgeräte, evtl. mit Schadsoftware oder Staatstrojaner.
  • Sämtliche Ärzte, (Physio-) Therapeuten, Kranken- und Pflegepersonal werden mit ihren Karten, dem sogenannte Heilberufsausweis, im Behandlungsfall auf die ePA zugreifen können - das sind in Deutschland über eine Million Menschen.
  • Mit der geplanten Neuregelung des § 305 Sozialgesetzbuch V könnten Patientendaten möglicherweise sogar von kommerziellen Unternehmen eingesehen werden, sofern sie nur „Anbieter elektronischer Patientenakten“ sind.
  • Für Forschungseinrichtungen ist vorgesehen, dass sie einen "pseudonymisierten" Zugriff auf die ePA erhalten - ob eine Rückführung auf den einzelnen Patienten möglich ist, wird erst die Zukunft zeigen.
Muss Jede/r eine ePA haben?
  • Z.Zt. ist die ePA freiwillig, der Patient muss sie wollen - das kann sich schnell ändern, wie wir bei der Freischaltung der Zertifikate auf dem "elektronischen Personalausweis" (zufällig auch ePA abgekürzt ) erlebt haben, nachdem von 80 Millionen Bürgern, das nur wenige Millionen wollten.
  • Alle Gesetze und Vorschriften richten sich nur an/gegen gesetzlich Versicherte - d.h. die Macher der Gesetze sind als Beamte wie alle anderen privat Versicherten davon überhaupt nicht betroffen.
Den Druck auf die Patienten für eine ePA erhöht eine Gebührenpauschale, die der Arzt für das Anlegen der ePA der Krankenkasse (KV) in Rechnung stellen darf.

Upps, wie werde ich die ePA wieder los?

"Der Patient kann seine ePA löschen lassen, wenn nicht andere Vorschriften dies einschränken" - und das können Rechte des Arztes an seinen Befunden, CTs, Röntgenaufnahmen oder Aufbewahrungsfristen für Abrechnungen von KV oder Finanzamt sein. Kaum ein Patient wird sich gegen die Player auf der Gegenseite durchsetzen können. Außerdem könnte dieser "nette Satz" auch bei der nächsten Revision des Gesetzestextes wieder gestrichen werden.

In Zeiten von Corona scheint sich niemand für die Risiken zu interessieren - blinder Aktionismus regiert (nicht) erst seit Monaten und wieder wird Steuergeld und die Beiträge der Versicherten vergeudet.

Mehr dazu bei https://www.golem.de/news/e-rezept-mehr-funktionen-fuer-elektronische-patientenakte-beschlossen-2004-147654.html
und https://www.bundesgesundheitsministerium.de/pdsg.html
und der Gesetzestext https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/P/Gesetzentwurf_Patientendaten-Schutz-Gesetz_-_PDSG.pdf
und https://www.datenschutzbeauftragter-info.de/elektronische-patientenakte-segen-oder-datenschutzrechtlicher-fluch/
und https://www.aktion-freiheitstattangst.org/de/articles/7224-20200405-kabinett-beschliesst-patientendaten-schutz-gesetz.htm

#RFIDChips #elektronischeGesundheitskarte #eHealth #ePA #Verbraucherdatenschutz #Hacking #Trojaner #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Diskriminierung #Ungleichbehandlung #gesetzlichVersicherte #Mitbestimmung #Koalitionsfreiheit #Biometrie #Gesundheitsdaten #Gendaten
 
Bild/Foto

Kabinett beschließt Patientendaten-Schutz-Gesetz


Gesundheitsdaten - sensibel und besonders schutzbedürftig

So lernt man es in jeder Datenschutzgrundschulung. Eine solche scheinen sämtliche Verantwortliche der letzten 20 Jahre im Gesundheitsministerium verschlafen zu haben. Das kritisieren wir seit vielen Jahren am Beispiel der eGK, der elektronischen Gesundheitskarte. Von dieser werden seit mehr als 10 Jahren Wunder erwartet - aber mehr als ein Foto auf der Karte und ein fast leerer RFID Chip sind trotz mehr als 8 Milliarden Euro Steuergeld und Gelder aus Krankenkassenbeiträgen nicht entstanden.

Nun hat Gesundheitsminister Spahn den großen Wurf geplant, wie in Österreich und der Schweiz soll die eGK um eine ePA, eine elektronische Patientenakte, erweitert werden. Dazu wurde vor einer Woche im Kabinett das Patientendaten-Schutz-Gesetz beschlossen, denn Gesundheitsdaten sind sehr sensible Daten, die besonderen Schutz bedürfen.

Schön, wenn es so wäre! Allerdings sind die Funktionen und vor allem die Funktionsweise der ePA teilweise noch nicht definiert und erst recht nicht programmiert und Teufel steckt im Detail - und der Hacker sicher auch.

Was soll in der ePA gespeichert werden?
  • Notfalldatensatz,
  • Medikationsplan,
  • Arztbriefe
  • weitere medizinische Dokumente, z.B. der elektronische Impfpass.
Wo stecken die Gefahren für meine Gesundheitsdaten?
  • Die elektronische Patientenakte wird zentralen Servern liegen
  • Die Zugriffsberechtigung wird mit der Gesundheitskarte oder den Karten der Ärzte freigeschaltet.
  • Der Zugriff erfolgt über die "Telematik-Infrastrukrur" (TI), also über das Internet.
  • Für den Patienten soll der Zugriff über Smartphone oder Tablet möglich sein. Das sind oft unzureichend gesicherten Mobilgeräte, evtl. mit Schadsoftware oder Staatstrojaner.
  • Sämtliche Ärzte, (Physio-) Therapeuten, Kranken- und Pflegepersonal werden mit ihren Karten, dem sogenannte Heilberufsausweis, im Behandlungsfall auf die ePA zugreifen können - das sind in Deutschland über eine Million Menschen.
  • Mit der geplanten Neuregelung des § 305 Sozialgesetzbuch V könnten Patientendaten möglicherweise sogar von kommerziellen Unternehmen eingesehen werden, sofern sie nur „Anbieter elektronischer Patientenakten“ sind.
  • Für Forschungseinrichtungen ist vorgesehen, dass sie einen "pseudonymisierten" Zugriff auf die ePA erhalten - ob eine Rückführung auf den einzelnen Patienten möglich ist, wird erst die Zukunft zeigen.
Muss Jede/r eine ePA haben?
  • Z.Zt. ist die ePA freiwillig, der Patient muss sie wollen - das kann sich schnell ändern, wie wir bei der Freischaltung der Zertifikate auf dem "elektronischen Personalausweis" (zufällig auch ePA abgekürzt ) erlebt haben, nachdem von 80 Millionen Bürgern, das nur wenige Millionen wollten.
  • Alle Gesetze und Vorschriften richten sich nur an/gegen gesetzlich Versicherte - d.h. die Macher der Gesetze sind als Beamte wie alle anderen privat Versicherten davon überhaupt nicht betroffen.
Den Druck auf die Patienten für eine ePA erhöht eine Gebührenpauschale, die der Arzt für das Anlegen der ePA der Krankenkasse (KV) in Rechnung stellen darf.

Upps, wie werde ich die ePA wieder los?

"Der Patient kann seine ePA löschen lassen, wenn nicht andere Vorschriften dies einschränken" - und das können Rechte des Arztes an seinen Befunden, CTs, Röntgenaufnahmen oder Aufbewahrungsfristen für Abrechnungen von KV oder Finanzamt sein. Kaum ein Patient wird sich gegen die Player auf der Gegenseite durchsetzen können. Außerdem könnte dieser "nette Satz" auch bei der nächsten Revision des Gesetzestextes wieder gestrichen werden.

In Zeiten von Corona scheint sich niemand für die Risiken zu interessieren - blinder Aktionismus regiert (nicht) erst seit Monaten und wieder wird Steuergeld und die Beiträge der Versicherten vergeudet.

Mehr dazu bei https://www.golem.de/news/e-rezept-mehr-funktionen-fuer-elektronische-patientenakte-beschlossen-2004-147654.html
und https://www.bundesgesundheitsministerium.de/pdsg.html
und der Gesetzestext https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/P/Gesetzentwurf_Patientendaten-Schutz-Gesetz_-_PDSG.pdf
und https://www.datenschutzbeauftragter-info.de/elektronische-patientenakte-segen-oder-datenschutzrechtlicher-fluch/
und https://www.aktion-freiheitstattangst.org/de/articles/7224-20200405-kabinett-beschliesst-patientendaten-schutz-gesetz.htm

#RFIDChips #elektronischeGesundheitskarte #eHealth #ePA #Verbraucherdatenschutz #Hacking #Trojaner #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Diskriminierung #Ungleichbehandlung #gesetzlichVersicherte #Mitbestimmung #Koalitionsfreiheit #Biometrie #Gesundheitsdaten #Gendaten
 
Bild/Foto
Flan Scan ist ein schlanker und schneller Schwachstellenscanner von Cloudflare.
Cloudflare nutzt diesen Scanner, um die eigene Netzwerksicherheit ihrer Rechenzentren zu verbessern und um Compliance Vorgaben zu erfüllen.

Flan Scan ist schnell und sicher, weil Nmap als Netzwerkscanner eingesetzt wird. Nmap sucht per ICMP scan nach aktiven Netzwerk-Geräten. Danach scannt Nmap die 1000 häufigsten Ports der aktiven IP-Adressen, um danach einen Diensterkennungsscan durchzuführen.
Die Erkannten Dienste werden dann mit der Schwachstellendatenbank von Vulners.com abgeglichen.
Als Ergebnis bekommt man eine XML-Datei und eine Latex-Datei.

Ich nutze Flan Scan, um meine Netzwerksicherheit zu überprüfen. Dafür scanne ich täglich alle internen IP-Bereiche und externe Server. Der fertige Latex-Bericht wird per Script automatisch in eine PDF umgewandelt und diesen lasse ich mir morgens per E-Mail zustellen.

Flan Scan ist Open Source und natürlich kostenlos.

#cloudflare #opensource #linux #windows #pentest #networksecurity #itsicherheit #itsecurity #datenschutz #informationssicherheit #ciso #westerwald #itsec #informationsecurity #hacking #admin #it #cyber #manager #Vulnerabilityscanner #Vulnerability #network #netzwerk #hacker #flanscan
Ihr wolltet immer schon mal wissen, wie man in einen Webserver eindringt, habt aber keine Ahnung von #Hacking? Dann kommt morgen um 14 Uhr zur #HackyHour in UHG L3-108 in Kooperation mit der Open Science Working Group.

Bringt euren Laptop mit und lernt anhand der Damn Vulnerable Web Application, wie man sich über verschiedene Schwachstellen einer Website Zugriff auf einen Webserver verschafft - und wie man sich als Admin dagegen schützt.

#Security #DVWA #UniBielefeld #Digitalcourage
Bild/Foto
 
You just arrived at #CCCamp19 and you don't even know what #hacking is? No worries, we've got you covered with our #HackingLicense! Come and learn about basic web penetration testing at our village. Don't forget to bring your laptop along. 💻
https://events.ccc.de/camp/2019/wiki/Projects:Hacking_Licence

#Digitalcourage #Security #DVWA
Bild/Foto
 
Later posts Earlier posts