Mrz 06

Seit einigen Tagen werden e-Mail Nutzer großer deutsche Mail-Provider durch Warnhinweise verunsichert. Aber es ist kein Aprilscherz oder ein Hoax: Die Anbieter freenet, gmx, T-Online und web.de erlauben ab 31. März 2014 nur noch den verschlüsselten Abruf von Mail. Dies betrifft den Zugriff auf die Postfächer mit Hilfe von Programmen wie Thunderbird oder Outlook über IMAP, POP3 und SMTP. Für Nutzer der Web-Frontends ändert sich nichts – hier sind die Sitzungen über den Browser verschlüsselt.

Hintergrund dieser Änderungen sind die Bemühungen der Initiative E-mail-made in Germany, den Mailverkehr sicher zu machen. Die Verschlüsselung des Mailtransports vom eigenen Computer zum Server des Anbieters soll das Belauschen verhindern. Kritiker bemängeln allerdings zu Recht, dass hier zu oft noch unsichere (= knackbare) Verfahren zum Einsatz kommen. Dennoch ist die Verschlüsselung ein Schritt in die richtige Richtung.

Alle Provider haben Schritt-für-Schritt Anleitungen für die gängigsten Mailprogramme erstellt. Im Regelfall sind dies Outlook, Thunderbird und Windows Live Mail. Wer bei einem Anbieter für sein Programm keine Anleitung findet, sollte man bei einem anderen Provider schauen. Hier die Links zu den Anleitungen von Freenet, GMX, Telekom, Web.de

geschrieben von Holger \\ tags: , , , , , , ,

Nov 03

Gut fünf seit den ersten Enthüllungen um die Abhörpraktiken der NSA dachte man ja wirklich, nun kommt nichts Neues mehr. Falsch gedacht. Im Schlepptau um die Entrüstungen um das Kanzlerhandy platzte eine andere Bombe ungeahnten Ausmasses:

Die NSA hat nicht nur die großen US-Anbieter wie z.B. Apple, Facebook, Google, Microsoft oder Yahoo zur Mitarbeit gezwungen, sie hat deren internationale Leitungen auch noch heimlich angezapft. Doppelt ausspähen ist halt sicherer. Hierbei haben die Nachrichtendienste anderer Länder die NSA unterstützt, allen voran die Briten. Bei Google scheint man das geahnt oder befürchtet zu haben – der Konzern verschlüsselt seit 2012 teilweise auch den Datenverkehr zwischen seinen Rechenzentren und bietet den Kunden den sichereren Perfect Forward Security Schlüsselaustausch an.

Angesichts dieser Enthüllungen muss man den Eindruck gewinnen, dass die Geheimdienste der USA und einige Verbündeten wirklich alle Kommunikation ausspähen und teilweise aufzeichnen, derer sie habhaft werden und da scheinen die technischen Möglichkeiten sehr weitreichend zu sein. Und da muss sich jeder Internetnutzer die Fragen stellen:

Kann ich den US-Anbietern im Netz noch trauen?

Kann ich dem Internet noch trauen? Denn das wird ja von US-Firmen dominiert.

weiterlesen »

geschrieben von Holger \\ tags: , , , , , , ,

Apr 24

Schon vor einigen Wochen war öffentlich über die Einführung von Drosselungen bei DSL-Produkten der Telekom spekuliert worden. Seit Montag ist die Katze aus dem Sack:

Die Telekom Deutschland will Volumengrenzen in die AGB Ihrer Produkte einführen und bei Überschreitung die Kunden empfindlich drosseln. http://www.telekom.com/medien/produkte-fuer-privatkunden/184370 Begründet wird dies mit dem „rasanten Datenwachstum„. Das ist nicht neu, denn schon seit Jahren steigt das durchschnittliche Datenvolumen der Endkunden sehr konstant mit 10 bis 12% Wachstum pro Jahr an. Waren es früher böse Poweruser mit Filesharing, die das Netz auslasteten, so hat sich das Blatt gewendet. Filesharing ist nur noch in den Pubikationen der Rechteverwerter ein Thema, in den Netzen sind es im Wesentlichen Videostreams und zunehmend auch Onlinespiele, wo Teile des Spiels gestreamt werden. Nicht ohne Grund kündigte DECIX erst vor wenigen Tagen die Aufrüstung des weltgrößten Internetknotens mit Apollon an. weiterlesen »

geschrieben von Holger \\ tags: , , , , , ,

Okt 21

In dieser Woche erschien die 14. TK-Marktanalyse des VATM, die als PDF kostenlos verfügbar ist. Sie zeigt wie kaum eine andere Marktbeochbachtung auf, wie es um den Wettbewerb und die Marktanteile auf dem deutsche TK-Markt bestellt ist. Naturgemäß legt die Studie, die von Dialog Consult im AUftrag des VATM erstellt wurde, einen besonderes Fokus auf die Wettbewerber der Telekom – ein Teil davon ist schließlich im VATM organisiert, die kleineren ziehen den BREKO vor.

Betrachtet man das Festnetz, so gibt es drei wichtige und einigermaßen ernüchternde Erkenntnisse:

  1. Das Wachstum findet fast ausschließlich im Bereich TV-Kabel statt. Bei den klassischen Anschlüssen (ADSL) gibt es kaum Wachstum, eher Umverteilungen. Einer der Verlierer ist O2, die mit der übernommenen Marke Alice DSL in den letzten Monaten keinen klaren Kurs gefahren sind und daher Marktanteile abgaben.
  2. Glasfaserprodukte spielen noch immer keine Rolle. Zwar ist es in einigen Städten möglich, direkte Glasfaseranschlüsse zu erhalten, aber die Marktanteile sind noch verschwindend gering.
  3. Nach wie vor wird, vermutlich aus Kostengründen, das Produkt DSL 6000 am stärksten nachgefragt. Hier liegt die Preisuntergrenze bei 19,95 – ein Preis, bei dem praktisch nichts mehr zu verdienen ist, wie auch die Studie eindrucksvoll auf Seite 6 zeigt.

Wer sich die kurzweilige Lektüre der Studie sparen möchte, dem seien hier noch zwei ganz interessante Zahlen vermerkt, die uns „Powerusern“ von Internet und Handy immer sehr komisch vorkommen und die Sie gekonnt beim nächsten Stammtisch in die Runde werfen können:

  • Das pro Anschluss transportierte durchschnittliche Datenvolumen wird 2012 bei ca 12,5GB pro Monat liegen. Dabei hatte die Netzgemeinde doch schon vor Jahren gelacht, die United Internet es wagen könnte, Kunden mit mehr als 20GB monatlich die Kündigung anzubieten.
  • Trotz Facebook und Whatsapp: Die Zahl der versendeten SMS wird auch 2012 eine neue Rekordmark brechen. Geschätze 157,2 Millionen SMS pro Tag werden es 2012. Das entspricht einem Wachstum von 6,4% gegenüber dem Vorjahr. Der Umsatz mit den SMS wird allerdings geringfügig sinken – immer mehr Tarife haben SMS-Flatrates oder große SMS-Pakete.

geschrieben von Holger \\ tags: , , , , , , , ,

Okt 01

Am vergangenen Wochenende wurde eine Sicherheitslücke bekannt, die fast alle Android-Smartphones betrifft und die sehr unangenehme Folgen haben kann. Und zwar ist es, wie heise-online berichtet, eine Steuercode-Schwachstelle. Diese ermöglicht es, GSM-Steuercodes nicht nur über die Tastatur, sondern auch entsprechende Links in Webseiten oder Mails auszuführen. Neben den bekannten und harmlosen Steuercodes wie z.B. *#06# (gibt die IMEI-Nummer des Gerätes aus) gibt es Codes, mit denen man die SIM-Karten sperren kann oder bei einigen Herstellern auch Codes, die ohne weitere Rückfrage das Gerät auf Werkseinstellung zurücksetzen und alle dabei Benutzerdaten unwiederbringlich löschen.

Das Problem betrifft fast alle Android-Geräte mit Versionen vor Android 4.1 Jelly Bean. Es ist ein Fehler im Wählprogramm, das nur sehr wenige Hersteller modifiziert oder durch ein eigenes ersetzt haben. Google hat diesen Fehler in der aktuellen Android-Version behoben – bei der bisheringen Update-Politik dermeisten Hersteller wird es aber vermutlich keine Updates für ältere Smartphones geben.

Zusammen mit anderen bekannten Sicherheitslücken in älteren Android-Versionen wäre ein Erpresser-Trojaner vorstellbar, der bei Nichtzahlung innerhalb von X Stunden damit droht, die Karte endgültig unbrauchbar zu machen oder das Telefon zu resetten.  Einen evtl. fälligen Kartenwechsel lassen sich die Netzbetreiber meist mit Beträgen zwischen 15 und 30 Euro bezahlen, eine Datensicherung von einem bereits infizierten Telefon ist fast unmöglich, da man das Telefon ja nicht mit Rettungs-CD oder ähnlichem starten kann.

Es wird nur eine Frage der Zeit sein, bis die ersten Kriminellen das „ErfolgsmodellUkash-Trojaner in die Mobilwelt portieren werden. Die Updatepolitik von Google und den Telefonherstellern macht es Ihnen viel zu einfach. Einen Windows-PC kann man mit geringem Aufwand aktuell halten. Microsoft und andere Softwarehersteller bringen bei gefundenen Sicherheitslücken inzwischen innerhalb weniger Stunden passende Updates heraus. Dennoch ist durchschnittliche jeder Zehnte PC aufgrund von nicht aktueller Software verwundbar – da hilft auch kein aktueller Virenschutz. In Spitzenzeiten kurz nach Bekanntwerden einer Sicherheitslücke) ist der Prozentsatz infizierbarer Rechner sehr viel höher! Kriminelle nutzen solche Lücken innerhalb weniger Stunden aus. Bei den Smartphones wurden bislang Sicherheitlücken erst nach Monaten oder oft auch gar nicht beseitigt, weil der Hersteller die neuere Software nicht mehr für ältere Geräte bereitstellt. Also viel Zeit für die Internet-Unterwelt.

Gegen den Fehler im Android-Dialer gibt es inzwischen einige Apps, die das ungefragte Ausführen von „tel:“-Urls verhindern.  Aktuelle sind die kostenlosen Apps „Telstop„, „NoTelUrl“ und „USSD Filter„. Besitzer von iphones sollten nicht zu laut vor Schadenfreude jubeln, denn auch IOS hat in allen Versionen Probleme mit manipulierten Tel:-Urls. Bei zu großen Urls stürzt es durch einen Überlauf einfach ab.

 

Es gilt für alle Beteiligten zu lernen, dass moderne Smartphones mindestens genauso verwundbar für Angriffe krimineller Banden sind wie gewöhnliche Computer. Vorbei die Zeiten, das arbeitslose Heranwachsende aus Langeweile Würmer auf die Menschheit losließen. Heute sind es straff orgarnisierte Banden, die mit geklauten EC- und Kreditkartendaten, SPAM-Netzwerken, Erpressungstrojanern und anderem hunderte Millionen Euro erbeuten. Und denen wird es oftmals erschreckend einfach gemacht. Es wird Zeit, das sich was ändert und ein Umdenken stattfindet.

geschrieben von Holger \\ tags: , , , , ,

Aug 18

Vor mehr als einem Jahr schrieb ich hier den ersten Beitrag zum BKA-Trojaner auf Telkotalk. Seit Herbst letzten Jahres ist er der mit Abstand am häufigsten gelesene Artikel dieser Webseite – ein eindeutiges Indiz für den „Erfolg“ dieser Schadsoftware.

Offenbar ist der Trojaner auch für die Hintermänner ein wirtschaftlicher Erfolg. Der Trojaner wird recht häufig modifiziert und verändert. Allein der Verband der deutschen Internetwirtschaft zeigt auf seiner Webseite www.bka-trojaner.de [Update 2016: Die Webseite if offline, Link entfernt] aktuell 26 Screenshots von in Deutschland häufig aufgetretenen Varianten und die Galerie erhebt keineswegs den Anspruch auf Vollständigkeit. International sind auch Versionen aufgetaucht, die das Live-Bild der eigenen Webcam einbinden, was die Opfern einschüchtern soll. „Schau her, wir beobachten Dich, wenn Du nicht zahlst…“. Natürlich sollten Sie in gar keinem Fall zahlen! Noch besser: Sie beugen dem Befall vor. Dazu später mehr.

weiterlesen »

geschrieben von Holger \\ tags: , , , , , , , , , , , , , , , ,

Jan 11

Wer heute die Nachrichten hörte oder sah, staunte nicht schlecht: Ein Virus in den Nachrichten! Dazu noch ein „alter“ Schädling. Was steckt dahinter?

Der Virus, um den es geht, ist ein Trojaner. Er verbiegt im PC die Abfrage der Domainnamen. Der Rechner fragt nun nicht mehr bei den DNS-Servern des eigenen Providers, sondern auf Servern der Kriminellen nach den IP-Adressen. Einen DNS-Server braucht man, damit eine URL wie z.B. www.telkotalk.de in die richtige IP-Adresse (in diesem Beispiel 85.114.130.79) übersetzt wird. Ein solcher Server in der Hand von Kriminellen führt dazu, dass gezielt Seiten verbogen werden. Statt der gewünschten Webseite wird dem Surfer eine Fälschung untergeschoben, um seine Nutzerdaten für Webseiten wie facebook, ebay usw. abzugreifen. Oder Kreditkartendaten. Da nur wenige Seitenaufrufe umgebogen werden, der Rest normal funktioniert, bleibt es lange unentdeckt.

Im Falle des Trojaners „DNS-Changer“ wurden dieTäter  im vergangen Herbst gefaßt, die manipulierten Server vorrübergehend vom FBI durch normale DNS-Server ersetzt. Aber der Trojaner war erfolgreich und aktuell sind es laut FBI mehr als 35.000 deutsche Nutzer täglich, deren Rechner nicht die DNS-Server ihres Providers nutzen, sondern die vom Trojaner verbogenen. Auf mindestens 35.000 deutschen PCs ist der Trojaner also noch aktiv!

Da das FBI will nun diese Server Anfang März abschalten und daher ruft das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Bundeskriminalamt und der Telekom zum Test des eigenen Rechners auf Befall durch diesen Trojaner auf. Auf der Webseite www.dns-ok.de kann der Rechner einfach getestet werden. Dort findet man auch Tipps, um den Schädling bei Bedarf zu entfernen.

Noch einmal der dringende Rat: Schützen Sie Ihren Rechner durch einen wirksamen Virenschutz. Dazu kann man auch auf kostenlose Software zurückgreifen. Waren es vor Jahren Schüler, die aus Jux Viren schrieben und verbreiteten, so sind es heute fast ausschließlich gut organisierte kriminelle Banden, die mit Trojanern Daten ausspähen oder SPAM versenden wollen. Die Schädlinge schaffen es leider immer wieder, durch Lücken in veralteter Software auf die Rechner zu gelangen und Schutzsoftware zu umgehen.

Daher der dringende Rat:

1. Halten Sie das Betriebssystem und die verwendeten Programm immer auf dem aktuellen Stand.

2. Software, für die es keine Updates mehr gibt, sollte durch aktuelle Software eines anderen Herstellers ersetzt werden

3. Nutzen Sie Antivirensoftware. Diese muss nicht teuer sein – rudimentären Schutz gibt es sogar kostenlos. Kommerzielle Softwarelizenzen sind ab 20 Euro pro Jahr erhältlich.

 

geschrieben von Holger \\ tags: , , , , , , , , , , , ,

Okt 28

Wir haben uns alle daran gewöhnt, an SSL. Es ist herrlich bequem und sicher. Bequem ja, weil man sich selbst nicht um Schlüssel bemühen muss. So bietet jeder Telefonanbieter seinen Kunden den EVN lieber als Download von einer SSL geschützten Seite an, anstatt eine PGP-verschlüsselte Mail an die Kunden zu senden. Weil jeder zweite mit der PGP-Mail nicht anzufangen wüßte, wäre der Support dafür unendlich teuer.

Aber ist SSL auch sicher? Anfang diesen Jahres hätte auch das noch fast jeder mit einem klarem JA beantwortet. Jetzt haben wir Oktober und immer mehr drängt sich der Verdacht auf, dass es mit der Sicherheit nicht zum Besten steht.

Zum einen der Hackereinbruch bei Diginotar, einem niederländischem Zertifikatsaussteller. Dieser fand mutmaßlich bereits am 17 Juni statt und wurde zwei Tage später bemerkt, aber nicht konsequent genug gehandelt. So konnten sich die Täter im Juli insgesamt 531 falsche Zertifikate ausstellen, darunter auch für die Domain google.com. Diginotar selbst versuchte offenbar, diesen Vorfall zu vertuschen – vielleicht auch, weil man erst viel zu spät merkte, was der oder die Täter gemacht haben. Die Konsequenz war dann brutal und folgerichtig – alle Browserhersteller haben sofort das Root-Zertifikat und damit alle jemals erzeugten Zertifikate von Diginotar gesperrt.

Sofort nach diesem Vorfall gab es Stimmen, die der Meinung waren, der Einbruch bei Diginotar sei nicht der Einzige gewesen. Schnell kam die Zahl vier ins Gespräch – bei vier weiteren Anbietern von Zertifikaten soll es zu Hackereinbrüchen gekommen sein. Zuvor war auch schon bei dem Anbieter Comodo eingebrochen worden – vermutlich von den gleichen Tätern, denn es gibt viele Parallelen wie die Liste der Domains, für die falsche Zertifikate ausgestellt wurden. Die Spuren führen in beiden Fällen in den Iran. Die Auswahl der Domains legt den Verdacht des Staatsterrorismus nahe.

Neben der Frage, wie lange die private Internetwirtschaft den Angriffen von Staatsterroristen mit praller Kasse und vielen Ressourcen auf breiter Front standhalten, droht eine weitere Gefahr für das SSL-System. Ein neues Denial-of-Service Tool legt verschlüsselnde Server lahm.

Gut, DOS-Attacken sind ein alter Hut und funktionieren sowieso nur, wenn viele mitmachen und man gemeinsam einen Server lahmlegt. Stimmt, aber nicht in diesem Fall. Hier reicht ein Rechner an einer dünnen DSL-Leitung, um mit seinen Anfragen einen Server zu beschäftigen. Wie das geht? Leider viel zu einfach. Das eigentliche Verschlüsseln geht recht schnell, aber der Aufbau einer verschlüsselten Verbindung ist rechenintensiv, denn hier kommen rechenintensive Verfahren wie RSA zu Einsatz, um die Schlüssel auszuhandeln und zu versenden. Hier baut dieses Tool einfach ca 1000 Verbindungen auf und fordert permanent neue Schlüssel an – damit sind auch Hochleistungsserver schnell am Limit. Ein solcher Angriff betrifft nicht nur Webserver, sondern jegliche Art von Servern, die SSL-gesicherte Verbindungen anbieten, wie z.B. viele Mailserver.

Bedingte Abhilfe schafft das Deaktivieren der Schlüsselneuaushandlung. Dann reicht ein Angreifer nicht mehr aus, um genug Last zu erzeugen. Aber von dem Tool soll eine Version existieren, die distribuierte Angriffe ermöglicht, ganz ähnlich den „normalen“ DDoS Attacken. Mit einem solchen Angriff lassen sich vermutlich auch SSL-Load-Balancer in Knie zwingen.

Und zu allem Überfluss sind auch erste Schwachstellen in der Verschlüsselung selbst aufgetaucht. Noch nichts besorgniserregendes, aber die Summe der Schwachstellen offenbart höchsten Handlungsbedarf für ein SSL der nächsten Generation. Es wird höchste Zeit, einen Nachfolger oder eine Weiterentwicklung auf die Beine zu stellen. Sonst ist eines Tages das kleine Schloss im Browser nichts mehr wert…

geschrieben von Holger \\ tags: , , , , , , , , , , ,

Jun 18

Ok, es ist ein wenig offtopic hier und so ganz neu ist der UKASH BKA Trojaner auch nicht. Aber gestern Abend wurde der Blogger von einer Bekannten zur Hilfe gerufen. Da war er also der PC, der nach dem Windows Start behauptete, das BKA haben zahlreiche Rechtsverstöße auf diesem Rechner gefunden und die Besitzerin müsse nun 100 Euro mittels UKASH zahlen. Das POPuP des Trojaners zeigt auch gleich, wo man solche Voucher kaufen kann.

Wie erwähnt, ganz neu ist der Trojaner nicht, er ist wohl seit Ende März im Umlauf. Die Infizierung findet über  JAVA-Code in Werbe-POPups oder verseuchte Flash-Inhalte statt. Letztere Lücke soll von Adobe vor wenigen Tagen gestopft worden sein, aber nicht Jeder aktualisiert seine Software sofort. Das Erschreckende an diesem Trojaner ist, dass er es auch im Juni noch schafft, sich an aktuellen Antiviren-Programmen vorbei zu „schleichen“, obwohl es seit mehr als zwei Monaten zahlreiche Meldungen über den Trojaner gab.

Wenn es passiert ist und das BKA vom Bildschirm grüßt, dann gilt es Ruhe zu bewahren.  Natürlich zahlt man nicht die 100 Euro und natürlich hat das BKA mit diesem Trojaner nichts zu tun, außer dass man dort natürlich die Hintermänner dieses Trojaners sucht. Die nicht ganz fehlerfreie Grammatik im deutschen Text lassen jedoch vermuten, dass die Drahtzieher aus dem Ausland kommen.

Gott Lob ist der UKASH-Trojaner eigentlich harmlos. Er ändert 30 Registry-Einträge und ersetzt die Shell durch das POPuP Programm. Das wiederum versucht die IP-Adresse des Rechners zu ermitteln und startet mit dieser Adresse zwei DNS-Abfragen – dadurch werden der vermeintliche Rechnerstandort und der Provider ermittelt. Daher kann man den Rat, nur ein Neuaufsetzen des Systems sei ein sicheres Vorgehen, bei diesem Trojaner ausnahmsweise ausser Acht lassen. Das wird allerdings in Foren heftig diskutiert – stellvertretend für zig deratiger Threads hier ein Link ins Gulli-Board, wo ein Mitarbeiter einers AV-Labors mitschreibt.

Wie also wird vorgegangen:

1. Für alle Fälle wird ein Backup des infizierten Systems gezogen, um evtl. doch noch Daten retten zu können, falls etwas wider Erwarten schief läuft. Die Sicherung wird mit einer Rescue-CD oder Notfall-CD vorgenommen, wie sie in regelmäßigen Abständen diversen Zeitschriften beiliegen.  [Update: Die Notfall-CD 2.2 der Computerbild kann man sogar kostenlos downloaden und als CD brennen oder nach Anleitung auf einen USB-Stick kopieren] . Ebenfalls gut geeignet sind die Notfall-CDs vieler Backup- oder Partitionierungs-Programme z.B. von Paragon. Wer mit Linux klar kommt, kann auch eine beliebige Linux Live-CD nehmen. Wer ein halbwegs aktuelles Backup hat, kann notfalls auf die Sicherung verzichten.

2. Das Windows nun starten, mit F8 sofort in den abgesicherten „Modus mit Eingabeaufforderung“  wechseln.

3. Die Systemwiederherstellung starten. Dies geschieht mit der Eingabe
\windows\system32\restore\rstrui.exe
Anschließend wählt man einen Wiederherstellungspunkt, der mindestens einen Tag älter als das erste Auftauchen des Trojaners ist, aus und startet die Wiederherstellung. Evtl. nach diesem Datum installierte Software muss danach allerdings neu installiert werden.

4. Nun sollte das System wieder starten. Die Registry ist auch 100% sauber. Aber die Dateien des Trojaners sind noch auf der Platte und müssen noch entfernt werden. Da der Trojaner aber nicht aktiv ist, sollte nun ein gutes AV-Produkte keine Probleme haben, den Müll zu beseitigen.

Alternativen:

Das BSI stellt seit Mai auf der Webseite www.Botfrei.de drei Anleitungen bereit, wie der Trojaner sicher entfernt werden könne. Die Kaspersky-Rescue-CD kann der Blogger ganz und gar nicht empfehlen. Das Durchsuchen und Desinfizieren eines älteren Rechners mit 42GB Festplatte dauerte zwei Stunden. Beim folgenden Neustart merkte Windows, dass es beschädigt war und hat sich selbst mit der „letzten funktionierenden Konfiguration“ repariert und dabei den Trojaner ebenfalls wiederhergestellt. Mag sein, dass es im April oder Mai mit der CD funktioniert hat und der Trojaner seitdem „verbessert“ wurde.  Wie sich der CD-Cleaner oder die Avira Rescue-CD schlagen, ist leider unbekannt. Die Avira Rescue-CD wird immerhin tagesaktuell gehalten, so dass hier nach dem Download keine Internet-Aktualisierung erforderlich ist.

 

geschrieben von Holger \\ tags: , , , , , , , , , ,