Kongress der intergalaktische Hackervereinigung, traditionell zwischen Weihnachten und Silvester:
Jan-Marco, Duitse organisatoren over hun 35C3-manifestatie komende week, weer in Leipzig, Duitsland:
The 35th Chaos Communication Congress (35C3) is an annual four-day conference on technology, society and utopia organised by the Chaos Computer Club (CCC) and volunteers.
De “Informationen”, altijd vertaald als “informations”, in meer dan 200 presentaties over 4 dagen verspreid:
The decentralized P2P gossip protocol
In this talk @zelf invites to the world of Scuttlebutt, the decentralized P2P gossiping protocol, and how it can be transformative for society through decentralization of data and enabling local community development.
Scuttlebutt is a fast growing decentralized social network. As an alternative to the large corporate social networks it enables autonomy for the users and a free zone from big data harvesting.
Ook in het van donderdag tot zondag lopende ‘Fahrplan’ voor mijzelf aangestipt:
Lecture: Truly cardless: Jackpotting an ATM using auxiliary devices.
Current security situation of ATMs with different auxiliary devices allowing cardless transactions.
Jackpotting an ATM via malware or black box are pretty familiar. Countermeasures against such attacks are already in place in many banks. Thus, attackers need to discover new (or well-forgotten) ways to achieve their evil goals.
“New” types of input devices allow BadBarcode-like attacks. Legitimate auxiliary device connected to the ATM in pursuit of so-called good customers’ experience may lead to ejection of all money from ATM.
Dat is, via hun ‘streaming’ daarvan “kennis nemen”:
Lecture: All Your Gesundheitsakten Are Belong To Us
“So sicher wie beim Online-Banking”: Die elektronische Patientenakte kommt - für alle.
Plötzlich geht alles ganz schnell: Online-Behandlungen und elektronische Gesundheitsakten sind dieses Jahr für Millionen Krankenversicherte Wirklichkeit geworden.
Zu einem hohen Preis: Bereits einfache Angriffe lassen das Sicherheitskonzept der Apps und Plattformen zusammenbrechen.
Moet ik tot donderdag wachten want mij is niet duidelijk hoe het daar tussen klant en verzekeraar geregeld is:
Die elektronische Gesundheitskarte ist gescheitert. Stattdessen kommt jetzt die elektronische Patientenakte: In spätestens drei Jahren sollen die Befunde, Diagnosen, Röntgenbilder und Rezepte aller gesetzlich Krankenversicherten online und zentral gespeichert verfügbar sein.
In het aanbod, “Vivy”:
Deine persönliche Gesundheitsassistentin ist da
Die Zukunft deiner Gesundheit liegt in deiner Hand. Denn Vivy ist mehr als eine elektronische Gesundheitsakte. Jetzt herunterladen!
Zij zegt onder “Partner”:
Unterstützt von privaten und gesetzlichen Krankenversicherungen
Vivy ist offen für private und gesetzliche Krankenversicherungen. Heute bereits gibt es eine große Anzahl an Partnern, die ihren Versicherten die kostenlose Nutzung von Vivy & den Zugriff auf weitere nützliche Funktionen und Bonus Programme ermöglichen.
Garantiert:
Sicherheit auf höchstem Niveau
Vivy ist ein CE zertifiziertes medizinisches Produkt und erfüllt die höchsten Sicherheitsanforderungen, die durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert wurden.
Maar “Vivy ist offen” für jedermann:
Bereits einfache Angriffe lassen das Sicherheitskonzept der Apps und Plattformen zusammenbrechen.
Uit het rapport “vivy-app-security-final.pdf” van degene die dat a.s. donderdag zal behandelen:
Schwachstellen und Auswirkung in Vivy-Backend entdeckt von Martin Tschirsich
Schlüsselaustausch ohne Authentifizierung Mittel/Hoch Unauthentifizierte Verschlüsselung Mittel/Hoch Preisgabe von mit Arzt geteilten Dokumenten und Metadaten Mittel/Hoch Überschreiben öffentlicher Schlüssel Mittel/Hoch Brute-Force-Angriff auf Zwei-Faktor-Authentifizierung Mittel/Hoch Fehlermeldungen bei Login begünstigen Brute-Force-Angriffe Gering Unsichere Speicherung von Schlüsselmaterial im Browser Mittel/Hoch Persistentes Cross-Site-Scripting in geteilten Dokumenten Mittel/Hoch Persistentes Cross-Site-Scripting in Profilbildern Mittel/Hoch Persistentes Cross-Site-Scripting in Benutzernamen Mittel/Hoch Fehlende HTTP-Transport-Security-Policy Mittel/Hoch Export des privaten Schlüssels im Klartext Mittel/Hoch Einbetten von nicht vertrauenswürdigem HTML-Code Mittel/Hoch Zuordnung von pseudonym gespeicherten Gesundheitsdaten Mittel/Hoch Preisgabe vertraulicher Daten aus Gesundheitsakte im System-Log Mittel/Hoch Preisgabe vertraulicher Daten aus Gesundheitsakte im Cache Mittel/Hoch
Daaraan vooraf ging nog bezwaar maken tegen ingebouwde ‘tracking’ van “rund 13,5 Millionen Kunden”:
“Datenschutz-Bruchlandung. Danke nein, dürft ihr behalten.”
Kurz nach Einführung der Gesundheits-App Vivy von 16 deutschen Krankenkassen, gab es Kritik am Datenschutz bei der Software. Die Verbindungen werden bereits vor der Registrierung sowie der Zustimmung zu den Datenschutz- und Nutzungsbedingungen aufgebaut: So verschickte die App Geräte- und Nutzungsdaten an US-Unternehmen wie Mixpanel, Crashlytics oder Branch-io. Auch zwei Google-Dienste fielen ihm auf, die in der Datenschutzerklärung nicht genannt werden.
Der App-Betreiber weist die Vorwürfe zurück, da sie im Grunde fast alle Apps beträfen.
Het gezaghebbende - bij mij althans - Heise Online:
Werbeversprechen garantieren keine Sicherheit
Die Entwickler der Vivy-App haben anscheinend vorbildlich auf den Bericht der Sicherheitslücken durch Modzero reagiert. Trotzdem ist es erschreckend, dass die Forscher wenige Tage nach dem Startschuss der App solch gravierende Sicherheitslücken aufdecken konnten. Vor allem angesichts der vielen Sicherheitsfirmen und -Organisationen, die laut Fraunhofer AISEC an der sicherheitstechnischen Überprüfung der App beteiligt waren.