Privacyburger met frietjes
Computerinbrekers zijn er onlangs in geslaagd om de servers van McDonalds te kraken. Ze gingen niet aan de haal met de prijslijst of de recepten, maar wel met de gegevens van klanten van McDonalds. Die gegevens bestonden ondermeer uit naam, e-mail adres, telefoonnummers, adressen, geboortedatum en geslacht. Daarnaast was ook informatie over de reaktie op promoties en webgedrag. Er werden een achttal webservers van de keten geplunderd.
McDonalds heeft een pagina met informatie en waarschuwingen op internet gezet om de schade proberen in te perken.
Nooit gestelde vragen door McDonalds samengeraapt hier. Het grappige is dat ze nu waarschuwen dat je achterdochtig moet zijn tegenover iemand die zich uitgeeft voor “van McDonalds”, anderzijds hebben ze wel alle betrokkenen gewaarschuwd over de inbraak met een e-mail naar de gestolen adressen.
Ondertussen is gebleken dat het marketingburo waarop ze beroep hebben gedaan, mogelijk oorzaak is van de lek. De politie onderzoekt nu of er ook andere klanten van dat bedrijf getroffen zijn.
VS Copyright
Het bedrijf Omega dat horloges maakt en onderdeel is van de Swatch groep, klaagde een winkelketen aan omdat ze de Omega horloges verkocht onder de aanbevolen prijs op de Amerikaanse markt. De horloges waren echt, maar aangekocht in het buitenland op een markt met lagere prijzen. Maar het is niet zo eenvoudig om een bedrijf te verbieden aan een lage prijs te verkopen indien het er geen verlies mee maakt. Omega had daar iets op gevonden: op de horloge staat een klein wereldbol-logo. Dat is een grafisch werk waar Omega het copyright op heeft. De houder van de rechten van een creatief werk kan bepalen onder welke voorwaarden het mag verspreid worden. En dus zouden ze de voorwaarden, en ook de prijs, kunnen bepalen waarmee de horloges verspreid worden waar het merkteken opstaat.
De winkelketen verdedigde zich door te stellen dat het recht dat aangehaald wordt enkel geldt bij de eerste verkoop. En die was in het buitenland. Ze hebben geen recht om in de volgende transaktie ook nog te bepalen wat de voorwaarden zijn.
De rechter bepaalde dat deze “first sale doctrine” enkel geldt voor goederen die in de VS geproduceerd zijn. M.a.w. op goederen die uit het buitenland komen zijn niet deze beperkte herverkooprechten van toepassing, en dus de volle rechten.
De Electronic Fronteer Foundation stelde dat Omega een wet van auteursrechten misbruikt om prijzen van geproduceerde goederen te controleren.
Bovendien geeft deze uitspraak fabrikanten een reden om in het buitenland te gaan produceren; dan kunnen ze bepalen wat er nadien mee mag gebeuren, niet alleen bij verkoop, maar ook in de daarop volgenden stadia. Het enige wat ze moeten doen is er een “auteursrechtelijk beschermd werk” in opnemen, ergens.
Een interessante stelling want het lijkt dus niet te gaan over de verkoop een fijn stukje techniek om de tijd bij te houden, maar eerder over de verkoop van een creatief werk, het logo dus, dat gedrukt wordt op een drager die toevallig een horloge is.
In dit geval ging het over een wereldbol logo dat gegraveerd is op de achterkant van de horloge, die dus bijna niemand te zien krijgt, en geen enkele “visuele” functie heeft in het normale gebruik van de horloge.
De media-industrie vreesde al een instroom van goedkope producten uit het buitenland, eigen producten trouwens, maar met een prijszetting aangepast aan verschillende markten. Op een normale markt is een lage of een hoge prijs bepaald door de beschikbaarheid of de zeldzaamheid van het produkt. Maar bij digitale media is er van zeldzaamheid geen sprake. De prijsverschillen tussen markten worden verder geregeld door de prijs van het transport tussen de locaties. De transportprijs is bij digitale producten ook erg laag, zowel fysiek als electronisch.
De BSA, een belangenorganisatie van de software-industrie had nog meer schrik; ze schreven:
“The ability to engage in this differentiation is especially important for software creators. With cross-border collaboration and communication ever more frequent …the software platforms that enable this interaction must be available throughout the world — and at prices that reflect each country’s market realities.”
Vergeten privacy-lek
Een Griekse grafisch ontwerper met de naam Alex Tapanaris, zou in de problemen gekomen zijn met een “persbericht” dat online verscheen en sprak over en voor de “anonymous” groep. Die deden een aantal internetaanvallen, en een 16-jarige Nederlander werd daarvoor al opgepakt.
De naam van de Griek kwam voor in het PDF document dat cirkuleerde op het internet als “press release” van de groep “anonymous”. Bij de eigenschappen van het document kan je dat te zien krijgen, en dat soort gegevens wordt overgenomen uit standaardinstellingen in het systeem of de software waarmee de pdf gemaakt wordt. Gebruikers vullen bv in hun Office programma een naam in, en vergeten soms dat die naam ook in de bestanden opgenomen kan worden.
De man was goed up-to-date want hij gebruikte open office 3.2. Zelf kan je dat controleren door OOo te starten en te kijken in het menu Tools, OpenOffice.org User Data
Achterdeur in BSD
Berklay Software Distribution of BSD is een unix-achtig besturingssysteem dat open source ontwikkeld wordt, en waarvan verschillende varianten bestaan, zoals OpenBSD. Theo De Raadt heeft een e-mail gekregen van een van de programmeurs die tien jaar geleden de encryptie schreef die OpenBSD gebruikt.
In de mail verklaart Grogory Perry dat het FBI geld betaalde aan programmeurs om een achterdeurtje te voorzien in de “IPsec stack”, een stukje code voor de beveiliging van het netwerkverkeer. Hij was gebonden door zwijgplicht (NDA) maar die periode is nu voorbij.
Theo De Raadt publiceerde de hele e-mail op het web omdat hij vindt dat betrokkenen op de hoogte moeten zijn, ook de gebruikers van die code, zodat ze maatregelen kunnen nemen, of anderen om zich te verdedigen indien het niet zou kloppen.
BSD is een distributie die niet met de GPL licentie werkt. Dat heeft als gevolg dat de BSD code mag aangepast en gebruikt worden in toepassingen of apparaten, zonder de aanpassingen terug te publiceren. Het is dus onmogelijk te zeggen in hoeveel software of apparaten de achterpoort nu nog aanwezig is.
Op zo’n moment is het nuttig om een unix-stamboom aan de muur te hebben hangen …
Meer over die mail: er blijkt ook de financiering uit door DARPA en het einde van die financiering omdat DARPA mogelijk lucht kreeg van die “backdoor”. Het FBI blijkt nogal wat mensen op de loonlijst te hebben staan die hoogstaande technologische jobs hebben. Momenteel promoten die bv het gebruik van BSD in virtualisering van servers. Overlapping tussen prive-firma en opensource project, tussen FBI en DARPA, klaar voor een spionage thriller rond BSD!
De mail eindigt trouwens met “Merry Christmas”
http://marc.info/?|=openbsd-….
Gat in de fileserver
Er is nog een ander achterpoortje aan het licht gekomen, namelijk bij een apparaat voor opslag van gegevens. Er is een gebruiker van het apparaat die niet voorkomt op de zichtbare lijst van gebruikers. Die onzichtbare gebruiker heeft een vast wachtwoord dat niet veranderd kan worden. Met deze naam en wachtwoordcombinatie kan de hele opslag van gegevens benaderd worden. Niemand zegt dat hier geheime diensten aan het werk waren, eerder komt het voort uit een cultuur van fabrikanten om zich te voorzien van een gemakkelijke manier om ontwikkelaars binnen te laten in een apparaat tijdens de ontwikkeling, en mogelijk techniekers voor onderhoud achteraf.
In dit geval was het een ongelooftlijk eenvoudige combinatie:
login: admin
ww: !admin
De apparaten, MSA2000 Storage System zouden tot op heden nog verkocht worden.