Möhrenfeld

Wer auch immer die Zielgruppe des neuen Webshops von Microsoft ist, ich gehöre mit meinem Firefox 3 unter Linux jedenfalls nicht dazu:

Von wegen Deutschland ist sicher im Netz! Wir alle sind einem hohen Risiko ausgesetzt! Wir stehen kurz vor einem.... Internet Alarm!

Tja, das hättet ihr jetzt nicht erwartet oder? Ihr surft völlig ahnungslos herum, und womöglich seid ihr euch gar nicht bewusst, das ihr einem hohem Risiko ausgesetzt seid! Doch Gott sei Dank, die Rettung naht. Denn "Deutschland sicher im Netz" wacht über euch. Innenminister Schäuble liegt unsere Sicherheit (und der Inhalt unserer Festplatten) am Herzen. Da darf man dann auch schon mal Panik schüren, wenn Microsoft ein paar neue Patches verteilt. Und so zeigt das Barometer auf www.sicher-im-netz.de auch gleich mal die zweithöchste Warnstufe:

Ich frage mich wann der "Internet Alarm" dann wohl ausgelöst wird. Hier ein paar Vorschläge:

• Der Zufallsgenerator auf der Homepage wählt "Internet Alarm" aus.
• Microsoft verteilt mehr als 20 Patches auf einmal
• Apple verteilt einen Patch und zwar nach einer Keynote von Steve Jobs (One more thing: You're all 0wned!)
• Microsoft verteilt keinen Patch
• Google reicht seinen Suchindex (per FTP) bei der Nationalbibliothek ein. Das Internet bricht zusammen.
• goatse.cx geht wieder online
• Heise geht nicht.
• Google geht nicht.
• Das Bundesinnenministerium hat sich den Bundestrojaner eingefangen
• Jemand hat Schäuble alle Blogeinträge mit dem Tag "stasi2.0" gezeigt. Schäuble sieht daraufhin das gesamte Internet als terroristische Vereinigung an und löst Alarm aus.

Ein interessanter Artikel über die Sicherheit von Firmen die Netzwerke betreiben (oder benutzen, was für fast alle Firmen zutreffen dürfte) ist bei eWeek zu finden. Ein interview mit Edward G. Amoroso, Chief Security Officer bei AT&T.

"We have a service where we send out advanced notice that attacks are on the way to customers," he said.

"We'll say, '[Check out] UDP 1712, something's brewing. Looks like a worm is coming.' And they say, 'Oh.' We ask, 'You got anything coming in? Anything going out?' They say, 'I dunno.' Most companies' answer is 'We have no clue.' Or 'We have no budget,' or 'Not enough people,' or this or that, or 'My department doesn't do that.'

"And you say, you shouldn't be running a network. If you can't monitor and understand goesintas and goesouttas of your network, you shouldn't be running a network."

Amoroso hat ein paar Hauptprobleme ausgemacht:

• First, the state of software engineering now is in "an abysmal mode."
• The second issue to Amoroso's mind is that system administration is also in "an abysmal state."

Amoroso plädiert dafür, die Sicherheit für Netzwerke in die Hände seiner jeweiligen Carrier zu legen. Ob die Carrier da mitspielen ist eine andere Sache, aber die Kosten für die Firmen würden sich definitiv reduzieren.

That intimate knowledge of IP traffic can be translated into malware awareness. In this day and age, Amoroso said, AT&T is seeing some 10 million PCs every day that are actively exhibiting scanning behavior. Do businesses recognize it? No, Amoroso said, and yet we still persist in recognizing exploits as an enterprise problem and tell businesses to shut off port 25.

Obviously, things have got to change, Amoroso said. "We need to redefine our relationship. We have a broken relationship between carrier and end user."

Ja, was soll man sagen, es war ja irgendwo schon klar, dass es irgendwann soweit kommt. Mein letzter Artikel zu dem Thema ist noch gar nicht lange her, und hier ist sie, die zweiteilige Anti-Terror-Datei. Wieder mal ein Stück mehr in Richtung Überwachungsstaat. Mein definitives Highlight in dem Zusammenhang (man könnte drüber lachen, wenn es nicht so traurig wäre):

Man werde lieber zusehen, "dass bei einem liberalen, toleranten Moslem die Religionszugehörigkeit nicht in die Datei aufgenommen wird, bei anderen dagegen schon". Warum liberale, tolerante Moslems überhaupt in eine Anti-Terror-Datei gehören, ließ Beckstein offen.
http://www.heise.de/newsticker/meldung/77693

Hm, die DiBa hat mir vor 2 Wochen eine neue TAN-Liste mit ITANs geschickt... und heute kam nochmal die gleiche ITAN-Liste! Ich habe meine ITANs jetzt also doppelt, jeweils auf einer Liste. Es sind auch wirklich 100% die gleichen TANs. Da fragt man sich wieviele Listen mit meinen ITANs es wohl noch gibt? Ich dachte immer, es wird grundsätzlich nur eine Liste gedruckt.

In der Technology Review gibt es einen Artikel mit dem Kryptologen und Sicherheitsexperten Bruce Schneier. Thema ist die aktuelle Sicherheitslage im Bezug auf Terrorismus. Seine Meinung dazu deckt sich größtenteils mit meiner eigenen, nämlich dass die ganzen Aktionen auf den Flughäfen etc. eigentlich nur Show sind und nicht wirklich mehr Sicherheit bringen sondern uns nur das Fliegen erschweren. Viel mehr will ich dazu auch nicht sagen, nur noch zwei Antworten aus dem Text zitieren:

Schneier: Tot ist tot. In den USA haben wir beispielsweise offiziell beschlossen, dass es okay ist, dass wir jedes Jahr 40.000 Verkehrstote haben. WIr könnten diese Zahl deutlich senken, in dem wir strikte Geschwindigkeitsbeschränkungen einführen würden und Alkohol am Steuer stärker verfolgen, aber wir haben uns eben anders entschieden. Terrorismus sollten wir ganz genauso betrachten. Sicherheit ist, wie ich bereits erwähnte, immer ein Kompromiss.
http://www.heise.de/tr/artikel/77040

Schneier: Die einzige perfekte Abwehrmaßnahme gegen Terrorismus ist, sich nicht terrorisieren zu lassen. Stellen Sie sich eine Sekunde lang vor, den britischen Verdächtigen wäre es gelungen, zehn Flugzeuge in die Luft zu sprengen. Danach gäbe es ein Chaos auf den Flughäfen, Verbote von Handgepäck und Politiker, die ein hartes Durchgreifen fordern. Das ist exakt das gleiche, was wir jetzt erleben. Je mehr wir uns von solchen Terrorszenarien terrorisieren lassen, desto mehr spielen wir Terroristen in die Hände.

Und wenn wir es dann auch noch zulassen, dass wir deshalb unsere Freiheiten und Grundrechte aufgeben müssen, gewinnen die Terroristen sogar, wenn sie vor dem Anschlag geschnappt werden. Im Umkehrschluss gilt: Lassen wir uns nicht terrorisieren, verlieren die Terroristen selbst dann, wenn sie ihr Ziel erreicht haben.
http://www.heise.de/tr/artikel/77040, Hervorhebung von mir

Gerade den hervorgehobenen Teil sollte sich so mancher Politiker mal aufs Programm schreiben, anstatt in blinden Aktionismus zu verfallen. Der ist nämlich nur dazu gut, die Bürgerrechte weiter einzuschränken.

Update:
Und weil es grad so passend ist, gibt es gleich mal neue Forderungen von unseren lieben Politikern:

Auch die geplante Anti-Terror-Datei soll nach den Vorstellungen verschiedener Politiker erheblich ausgebaut werden. Georg Schmid, Staatssekretär im bayerischen Innenministerium, forderte, dass Daten über Beruf, Religion und Auslandsreisen in der Datei gespeichert werden müssen. "Wir brauchen möglichst viele Informationen, die dann auch allen Diensten zur Verfügung stehen müssen", erklärte er in einem Interview mit der dpa. Grundsätzlich laufen die Forderungen aus dem Unionslager darauf hinaus, eine Volltextdatei zu installieren, während in der SPD eine Indexdatei bevorzugt wird. Auch die Oppositionsparteien sind für die Index-Datei, komplettiert mit einer Aufsicht, dass die strikte Trennung von Polizei und Geheimdiensten eingehalten wird.
http://www.heise.de/newsticker/meldung/77061, Hervorhebung von mir

Ja, jeder darf zu dem Thema mal seinen Mund aufreissen. Ich würd es da eher mit Dieter Nuhr halten.

Bald ist es soweit. Die EU-Politiker haben sich ihr Weihnachtsgeschenk erfüllt. Schon bald darf 24 Monate gespeichert werden, wo und wann man mit wem telefoniert, wann und an wen man E-Mails schreibt, und mit wem man mittels VoIP telefoniert.

Was kann man also tun, wenn man nicht zensiert werden will und nicht will das Staat, Arbeitgeber oder neugierige Mitmenschen alles mitkriegen was man im Internet tut? Eine Möglichkeit ist das Tor Netzwerk das unter anderem von der Electronic Frontier Foundation gefördert wird.

Das TOR-Netzwerk fuktioniert im Prinzip so: Man installiert auf seinem Rechner ein Clientprogramm welches als SOCKS-Proxy fungiert und somit im Prinzip alle möglichen Internetanwendungen(Web, Mail, P2P, etc.) verschlüsseln kann. Wenn man nun diesen Client als Proxy in seinen Browser einträgt, wird eine Verbindung nicht mehr direkt aufgebaut, sondern die Daten gehen verschlüsselt an einen TOR-Router. Dieser wiederum verschickt die Daten über 2 oder mehr TOR-Router weiter, wobei der jeweilige Router nur seine nächsten Nachbarn kennt. Der letzte Router stellt dann quasi "in Vertretung" die Anfrage an den jeweiligen Webserver.

Der Trick ist, da jeder Router nur seinen nächsten Nachbarn kennt und die Daten zwischen den einzelnen Stationen verschlüsselt sind, kann niemand einen Zusammenhang zwischen den Daten die das Netzwerk betreten und den Daten die das Netzwerk verlassen herstellen, auch nicht die TOR-Router selbst.

Alle Informationen zum TOR-Netzwerk und Anleitungen für verschiedene Betriebssysteme findet man auf tor.eff.org. Damit TOR schnell arbeiten kann werden auch ständig neue Router für das Netzwerk benötigt. Wer einen Server mit fester IP hat und etwas Traffic/Bandbreite entbehren kann,sollte TOR als Server laufen lassen, damit andere TOR-User davon profitieren können.

Spam ist heutzutage ein Problem, das wird keiner abstreiten. Deswegen werden derzeit verschiedene Methoden ausprobiert um der Spamflut Herr zu werden. Dabei gibt es gute und weniger gute Ansätze.

Wenn man nun als Firma eine Lösung entworfen hat die allgemein als unzureichend empfunden wird und niemand diese Lösung nutzen will, was macht man dann? Als normale Firma würde man das ganze wohl einstampfen und sich etwas anderes überlegen bzw. Lösungen von anderen Leuten testen.

Aber dann gibt es da ja noch Microsoft, eine Firma der es so ziemlich egal ist was um sie herum passiert. Da wird diese Lösung dann auch nicht eingestampft sondern es wird einfach festgelegt, dass jede Mail die an den firmeneigenen Freemailer Hotmail geht und nicht mit dem Microsoft Sender-ID System markiert ist, einfach als Spam ausgesondert wird.

Gut gemacht Microsoft, so zeigt ihr mal wieder eindrucksvoll wie euch die allgemeine Meinung und auch die Meinung der IETF einen Dreck interessiert.

Telepolis hat einen langen Artikel mit Hintergrundinformationen zu diesem Thema veröffentlicht und ich kann nur empfehlen diesen zu lesen, dort ist die Sache noch detaillierter dargestellt.

Mir persönlich ist es ziemlich egal ob Microsoft meine Mails an hotmail.com Adressen als Spam deklariert oder nicht, ich werde den Leuten auch weiterhin raten von Hotmail wegzugehen.

In der Blog-Software Serendipity (S9Y) ist ein Fehler entdeckt worden welcher Zugriff auf den Rechner ermöglicht auf welchem S9Y läuft. Genauere Infos im offiziellen Blog von S9Y. Blogs die S9Y benutzen sollten schnellstens auf die neue stabile Version 0.8.2 updaten, welche hier oder hier zu bekommen ist. Im den Entwicklerversionen ist der Bug auch bereits behoben, dort einfach ein svn update durchführen.

Als Hotfix kann auch die Datei serendipity_xmlrpc.php gelöscht werden.

Der Bug ist nicht in S9Y selbst sondern in der PEAR::XML_RPC Lib (welche mit S9Y zusammen installiert wird) aufgetreten. Es könnten also auch noch andere PHP-Applikationen von dem Fehler betroffen sein. Der Bug ist auch in phpxmlrpc vorhanden, Applikationen die diese Library verwenden sind ebenfalls betroffen.

Auf dem Linuxtag hatte ich Zeit mich ausgiebig mit CAcert zu beschäftigen. Diese freie Alternative zu Verisign, Thawte etc. stellt Zertifikate aus. Nicht nur SSL-Serverzertifikate sondern auch Clientzertifikate und PGP-Signaturen werden von CAcert erstellt. Das ganze läuft automatisch über einen Account auf der CAcert Webseite.

Um sich jedoch ein Zertifikat ausstellen zu können muss man erst einmal Punkte sammeln. Punkte bekommt man, indem man sich von sogenannten Assurern identifizieren lässt und zwar immer über 2 Ausweisdokumente, z.B. Führerschein und Personalausweis. Hat man genug Punkte zusammen kann man für sich selbst Zertifikate erstellen und ab 100 Punkten ist man selbst Assurer und kann andere User identifizieren.

Ich selbst bin CAcert Assurer (der Einzige für den Raum Regensburg momentan) und kann die maximale Punktzahl (35) vergeben. Man braucht mindestens 3 Assurer um 100 Punkte zu erlangen und selbst zum Assurer zu werden.

Momentan ist das Root-Zertifikat von CAcert noch nicht in vielen Browsern installiert, allerdings wird daran gearbeitet. Als Primärziel soll es jetzt erst einmal in den Mozilla-Browsern installiert werden. Man kann das Root-Zertifikat allerdings auch einfach über diese Seite in seinen Browser integrieren. Für Firefox würde man z.B. das Zertifikat im PEM-Format wählen.

CAcert ist eine gute Alternative, denn momentan wird der Handel mit SSL-Zertifikaten von Firmen beherrscht die pro Zertifikat 200 bis 400 EUR oder mehr verlangen. Vom Standpunkt der Verschlüsselung sind diese Zertifikate allerdings nicht besser oder sicherer als die Zertifikate von CAcert.

Gleich um 10 Uhr habe ich mir einen Vortrag über Gnome angesehen, allerdings hätten sie da lieber einen anderen Referenten schicken sollen. Der Vortrag war nach 10 Minuten aus und der Inhalt war ungenügend bis nicht vorhanden.

Der Plan für heute sieht in etwa so aus:

• Bis 13 Uhr die verschiedenen Stände besuchen
• Um 13 Uhr mit Freunden treffen
• 13:30 Reverse Engineering Vortrag
• 16 Uhr Building VPN Vortrag
• 17 Uhr Monitoring mit Nagios Vortrag

So, der erste Vortrag ist vorbei. Thema war das Debian Security Team und der Vortragende war "Joey" Schulze himself. Der Vortrag war interessant, es gab Einblick in die internen Strukturen des Security Teams und die Methoden der Informationsbeschaffung.

Momentan besteht das Team übrigends aus genau zwei Leuten die sich um 10.000 Debianpakete kümmern müssen.

Auch wenn ich nicht viel von Sedo halte (da mir diese ganze Domainverschacherung suspekt ist) habe ich mich trotzdem dort angemeldet, da bei Sedo eine Domain angeboten wird die ich gern hätte.

Es geht um Geld, also habe ich ein einigermaßen sicheres Passwort genommen um mich zu registieren. Mit dem Erfolg, dass ich das Passwort heute schon vergessen hatte (passiert mir eigentlich eher selten). Ist ja alles kein Problem, es gibt ja gottseidank inzwischen fast überall die Möglichkeit, sich ein Passwort zusenden zu lassen. Gesagt, getan.

Dann bekomme ich die Mail und was finde ich darin: Mein Originalpasswort, unverschlüsselt in seiner ganzen Herrlichkeit. Man mag mich ja für paranoid halten, aber ich habe so meine Bedenken, dass bei Sedo alle Kundenpasswörter unverschlüsselt in irgendeiner Datenbank liegen.

Hallo Sedo: MD5 und SHA1 sind wunderbare Dinge die man durchaus benutzen kann und auch sollte! Und wenn ihr schon dabei seid, leistet euch doch mal SSL-Verschlüsselung für das Login und alle persönlichen Seiten. Das würde euch ein wenig seriöser aussehen lassen in meinen Augen.

Seit dem 01.01.2005 ist es soweit. Sie lesen mit. Sie wissen wem du Mails schreibst und was du schreibst. Wann und wo sie wollen. Man könnte natürlich annehmen, dass sie böse Hacker sind, oder gemeingefährliche Terroristen, aber weit gefehlt. Sie, das sind die Polizisten und Spitzel aus Deutschland. Seit dem 01. Januar 2005 haben sie ein neues Spielzeug: E-Mail Überwachung auf Grundlage der TKÜV.

Das mit der Überwachung ist gar nicht so einfach. Da muss sichergestellt werden, dass wirklich alle Mails mitgelesen werden können und es muss sichergestellt werden, dass die Mails sicher an die bespitzelnden Stellen weitergeleitet werden können.
Das kostet Geld. Der Staat hat aber kein Geld. Schon gar nicht um die 46.000 EUR zu zahlen, die so eine Überwachungslösung kosten kann, pro Provider wohlgemerkt.

Also was tun? Ganz klar, man lässt einfach die Mail-Provider selbst zahlen. Nichts einfacher als das. Schließlich muss doch jeder Anbieter der über 1000 Mailkunden hat locker 46.000 EUR aufbringen können, oder?

Aber halt! Das ganze ist ja schließlich nur ein weiterer Schritt zur Bewältigung der großen Aufgabe, die unsere Regierung lösen muß:

Die Terrorismusbekämpfung

Da muss der Bürger schon mal auf ein paar Grundrechte und die Privatsphäre verzichten. Und falls dann mal ein böser Terrorist (osama.b@gmx.de) an seinen (ebenfalls bösen) Mitwisser(terror4ever@web.de) Mails schreibt, dann kann die Exekutive diese mitlesen und böse Dinge^tm verhindern. Wie, du glaubst nicht, dass Terroristen so dumm wären? Tja, ich glaube auch nicht, dass Terroristen sich ein Postfach bei Web.de oder GMX holen um völlig unverschlüsselt terroristische Aktionen per Mail zu planen. Aber wir brauchen das auch nicht glauben, der Staat weiss schon was gut für uns ist.

Ich zitiere aus einem anderen sehr guten Artikel zu diesem Thema:

Das Ministerium für Wahrheit erklärt, dass alle diese Maßnahmen notwendig und sinnvoll sind, gleich welche Kritik die unwissenden Mahner wie die Riege der Datenschutzbeauftragten oder irgendwelche Rechtsgutachter auch immer äußern werden.

Aber was tun wenn man trotzdem lieber selbst bestimmen will, wer seine Mails mitlesen können soll? Nun, man könnte zum Beispiel GnuPG installieren, am besten zur Benutzung mit einem Mailclient welcher ein Plugin zur Verschlüsselung von Mails hat. Ich persönlich verschlüssele meine Mails schon lange, leider ist der Anteil von Leuten die das auch tun immer noch viel zu klein.

Es stehen Neuwahlen an. Jedenfalls soweit man es den Politikern mal wieder erlaubt das Gesetz "zurechtzubiegen". Denn eigentlich ist es nicht Sinn der Sache das sich die Regierung selbst auflöst.

Nun, was haben wir denn: Die Bundesländer, bei denen es deutschlandweit schwarz aussieht, und eine Bundesregierung die sagt: Wenn uns keiner in den einzelnen Ländern wählt haben wir im Bund auch keinen Bock mehr, der Nächste bitte. Das ist toll.

Nicht, dass ich in Bayern viel Abwechslung gehabt hätte was die Landesregierung angeht. Allerdings wenn ich daran denke, dass Herr Beckstein irgendwann mal für die Sicherheit des Bundes zuständig sein könnte, schaue ich mich schon mal in den umliegenden Ländern nach geeigneten Auswanderungszielen um. Nur wenn man es genau betrachtet hat Schily ja auch sein möglichstes getan um die Überwachung der Bürger zu vervollständigen.

Seitdem man nachdrücklich daran erinnert wurde, dass es Terroristen gibt, ist dieses Thema das Lieblingsargument der Überwacher geworden. Gegen Terroristen muss man ja was tun. Sei es nun, den Telekommunikationsverkehr (Surfen, Chatten, eMail, SMS, Filesharing) von jeder Person (verdachtsunabhängig) für 12 Monate zu speichern oder wie in Bayern an den Grenzen die Kennzeichen aller Autos zu erfassen. Auch die Mautbrücken könnte man zur Terrorbekämpfung erziehen, schliesslich werden dort auch erst einmal alle Autos erfasst und erst nachträglich die nicht-LKWs herausgefiltert. (oder vielleicht auch nicht?) Das verbieten/regulieren von Kryptographie wird auch alle Jahre wieder von irgendeinem Politiker aufgegriffen, bisher Gott sei dank ohne Erfolg.

Ich bin jedenfalls eher auf der Seite von Zauberberg, welcher auch ein paar Punkte aufzählt wieso ich lieber(sprich: kleineres Übel) bei Rot-Grün bleibe als zu Schwarz-Gelb zu wechseln. Toleranz ist bei der CDU sowieso out.

Wenn die CDU regiert kann Frau Merkel endlich wieder nach USA reisen und ihre Begeisterung für G.W.B. kund tun. Dann kann man hier vielleicht auch endlich die Sicherheit bekommen die dort drüben selbstverständlich ist. Den Ausnahmezustand hat man ja bereits geübt. Da fallen Grundgesetze und die Rechte eines einzelnen schon mal unter den Tisch.

Wie man es auch dreht, für Leute die auf den Schutz ihrer Privatsphäre und ihrer Daten bedacht sind, ist es kein leichtes Leben.