Sehenswerte Camp-Vorträge VI: Bugged Files

Das sechste Video vom Chaos Communication Camp, das angepriesen gehört, ist heute Bugged Files. Is Your Document Telling on You? vom Samstag. Man kann dabei einiges lernen über einfache Dateiformate und den damit zusammenhängenden Datenverkehr, der ungewollt oder heimlich den eigenen Rechner verlässt, wenn man die Dateien nutzt. Das kann Folgen für die Sicherheit oder für die Vertraulichkeit (oder beides) haben:

Certain file formats, like Microsoft Word and PDF, are known to have features that allow for outbound requests to be made when the file opens. Other file formats allow for similar interactions but are not well-known for allowing such functionality. In this talk, we explore various file formats and their ability to make outbound requests, as well as what that means from a security and privacy perspective.

Es geht nicht nur um die üblichen Verdächtigen der Office Suite von Microsoft, wie das .xlsx-, .pptx- oder docx-Format, sondern auch um ein paar unerwartete Kandidaten, beispielweise das .rtf-, .mp3- oder .wmv-Format – teilweise live im Vortrag vorgeführt. Ausführbare Dateiformate spielen in dem Vortrag allerdings keine Rolle, auch Exploits werden für die Beispiele nicht verwendet.

Das Video kann man beim CCC-Kanal bei youtube oder aber bei media.ccc.de in mehreren Audio- und Video-Formaten klicken. Das Team aus Daniel Crowley und Damon Smith hat den Vortrag auch auf der DEFCON gehalten und dort die Folien (pdf) zur Verfügung gestellt.

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin "Embed Privacy" einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

2 Ergänzungen

  1. Unter Linux gibt es seit vielen Jahren die Möglichkeit, den kompletten Traffic über Tor zu leiten und allen anderen Traffic zu verbieten. Wenn man das mit einem gehärteten Linux in eine virtuelle Maschine ausführt, in der keine Namen, Logins oder Aliases verwendet werden, die man sonst nutzt, ist das Risiko für Deanonymisation sehr gering.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.