Thursday, 15. May 2008Antiamerikanische Punks in Frauenkleidern
Bei Heise lese ich, dass der Vorsitzende der Gewerkschaft der Polizei gegen das Übermitteln von Daten an die Amerikaner wettert. Er findet nämlich, dass Teile dieser Daten die hiesige Polizei legalerweise garnicht haben dürfte:
Nicht nachvollziehbar seien, so der GdP-Bundesvorsitzende Konrad Freiberg, vor allem die Regelungen zur Übermittlung von Daten, aus denen "Rasse oder ethnische Herkunft, politische Anschauungen, religiöse oder sonstige Überzeugungen oder die Mitgliedschaft in Gewerkschaften" hervorgehe oder "die Gesundheit und das Sexualleben" beträfen. Konrad Freiberg: "Wozu gerade diese Daten bei der Bekämpfung schwerwiegender Kriminalität wie Terrorismus benötigt werden, ist mir schleierhaft. Ebenso unklar ist, warum und auf welcher Rechtsgrundlage deutsche Sicherheitsbehörden solche datenschutzrechtlich hoch sensiblen Daten überhaupt erhoben und gespeichert haben sollen." Lustigerweise teilt er dabei die Meinung des Bayerischen Datenschutzbeauftragten, der in wirklich jedem seiner Tätigkeitsberichte meckert, dass die Polizei solche Dinge eben schon speichert. Unsere Polizei hat nämlich eine unüberschaubare Anzahl von Dateien mit tollen Namen angelegt, die unter dem Oberbegriff GAST ("Gefahrenabwehr und Verfolgung von Straftaten und Ordnungswidrigkeiten") alle möglichen Dinge speichern, die noch nicht für den Eintrag ins Führungszeugnis langen. Ich verstehe das ja auch ein bisschern, die modernen Polizisten brauchen einen Ersatz für den guten alten Schutzmann zu Fuss, der im Gedächtnis hatte, wer in seinem Revier mit welchen finsteren Gestalten rumhängt und wo demnächst ein Eifersuchtsdelikt zu erwarten ist. Solche Informationen über Szenezugehörigkeit, weltanschauliche Überzeugung und sexuelle Vorlieben will man halt jetzt auch noch haben, am besten nicht nur im Stadtviertel, sondern ganz global. Nur sollen die Oberpolizisten bitte nicht so tun, als hätten sie garnichts über uns gespeichert ausser Name und Geburtsdatum. Ein paar Beispiele aus den Tätigkeitsberichten der letzten Jahre, der Einfachheit halber nur aus Bayern:
Das mögen alles Einzelfälle sein, aber zumindest in diesen ist es möglich, einen Datensatz "Muslimischer, antiamerikanischer Punk, der gerne Frauenkleider trägt" an die transatlantischen Freunde zu liefern. Sie haben jedenfalls die Daten und an der Legalität der Erhebung und Speicherung sollte ein deutscher Kriminalhauptkomissar keinen Zweifel haben. Vielleicht geben unsere Polizisten den Gewerkschaftlern ja keinen Zugriff auf all die schönen Datensätze, was ich aber andererseits nicht glaube, weil der DSB fast mantraartig wiederholt, dass ihn vor allem der breit gestreute Zugriff auf die Daten stört. Es würde aber auch reichen, einfach nur die amtlichen Veröffentlichungen über unsere Polizei zu lesen. Grosser Schlüsselbund
Das wird noch lustig in nächster Zeit mit den schwachen Schlüsseln bei Debians. Werden ja sicher nicht alle umgestellt haben und es wird noch genügend Server geben, die nur darauf warten, einem Botnetz beizutreten.
Inzwischen gibts auch schon Leute, die ihre Rechner über Nacht damit beschäftigt haben, sämtliche möglichen Schlüsselpaare zu berechnen. Ist auch nicht so schwer, sind ja nur 32000 Stück (!) bei bekannter Schlüssegrösse. Bisher hiess es ja immer "Passwort-Authentifikation ist zu leicht mit Ausprobieren zu knacken, also nimm ein private-public-key-Verfahren, dann bist Du sicher und hast Deine Ruhe". Das stimmt halt auf den verwundbaren Systemen nicht mehr. 32000 Schlüssel sind genauso gut auszuprobieren wie 32000 Passwörter. Und brute-force-Ausprobierer mit ein paar Tausend Versuchen sind nicht selten. Mal sehn, wann die ersten im Logfile auftauchen, ich glaub ich schau da die nächsten Tage intensiver drüber... Bei den Passwortausprobierern gibts hier übrigens auch einen Trend hin zu breiter gestreuten und langsameren Angriffen. Statt einer IP-Adresse, die innerhalb weniger Minuten massig ausprobiert, kommen jetzt tröpfchenweise im Minutentakt die Anfragen. Anscheinend zentral gesteuert, sämtliche Teilnehmer des Botnetzes arbeiten sich systematisch durchs Alphabet: Einer probiert den Usernamen "barrett", der nächste "brittney", der dritte "cale". Die Standorte der Botnetz-Mitspieler decken dabei so ziemlich den von Computern bewohnten Teil der Erde ab: (die Karte zeigt die missglückten ssh-Anmeldungen auf diesem Server der letzten 3 Tage, unabhängig davon, ob das ein einzelner Versuch, ein brute force oder ein Vertipper von mir war) Link gefunden bei Fefe Tuesday, 13. May 2008Grosser SchlüsseltauschPuh, wenn ich mir den heutigen Sicherheitsbericht von Debian so anschaue, weiss ich, was ich heute Abend mache. Ich generiere alle Schlüssel neu. Weil die Debian-Versionen von openssl hatte einen Bug. Die davon abgeleiteten Ubuntu-Versionen hats natürlich auch erwischt. Distributionen, die kein Debian im Stammbaum haben sind wohl nicht betroffen. Im Rundschreiben steht was von viel Arbeit: It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation. Das heisst zwar nicht, dass nun jeder per ssh in einen Server reinkommt, aber "verschlüsselt" ist der Datenverkehr nicht mehr, wenn der Schlüssel ratbar ist (wie leicht, wird man sehen, exploit ist noch keines bekannt). Mal überlegen, was hier alles ssl macht... apache, ssh natürlich, pop3, smtp, tor auch, irgendwo liegt hier noch ein stunnel rum, ircd, die ganzen public keys für die ssh-Authentifizierung... Naja, vielleicht bring ich die ganzen Schlüssel ja mal irgendwie zusammen, dann hab ich wenigstens was dabei gelernt. Notiz für zukünftige Updates: Der obskure Einzeiler, mit dem man ein selbstsigniertes Cert erstellt und den dazu passenden private key sieht so aus: openssl req -x509 -nodes -days 3650 \ Manche Programme (postfix, dovecot) wollen das als 2 Dateien, manchen (apache) kann man auch alles in einer Datei hinwerfen. Für sshd hab ich im heise-Forum einen Zweizeiler gefunden: ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -b 1024 -N '' (Die beiden letzten Zeichen sind 2 Stück Hochkomma, die Dinger überm # auf der deutschen Tastatur, 1024 ist die Schlüssellänge, beim RSA könnte man auch 2048 verwenden...) Nachtrag: Hab doch wieder lauter einzelne selbstsignierte Schlüssel ohne gemeinsame Zertifizierungsstelle gemacht. Ein einziger Schlüssel für alles geht schlecht. Der Browser mault, wenn der Schlüssel nicht für www.dianacht.de ausgestellt ist, mein heimischer postfix verlangt exklusiv nach mail.dianacht.de. Dann gibts halt für jeden Dienst ein Schlüsselpaar, man muss ja nicht eine echte Zertifizierungsstelle für eine handvoll beteiligter Rechner aufbauen. Nachtrag 14.5.: Inzwischen gibts ganz gute Hintergrundinformationen im Debian-Wiki. Friday, 9. May 2008Vorratsdatenspeicherung im Selbstversuch
Seit der Verabschiedung der Vorratsdatenspeicherung sammel ich ordentlich meine Daten. Was für die grossen Provider richtig ist, kann ja für die Miniprovider, die nur einen Haushalt versorgen nicht falsch sein. Ich hab inzwischen also 180 Dateien gesammelt, die alles enthalten, was das Gesetz uns befiehlt:
Was natürlich noch fehlt, sind die IP-Adressen, unter denen ich mich mit dem Netz verbunden habe (also meine heimische Surferei), die lassen sich allerdings leicht aus den Mailboxzugriffen rausbekommen. Ausserdem fehlt noch mein Handyprofil bei den Vorratsdaten, aber bei meiner Handynutzung gibt das vermutlich nicht viel her. Was ausserdem bei den Daten fehlt, sind die Logs des Tor-Servers. Da ist ja noch völlig unklar, ob die gespeichert werden müssen und ausserdem kann ich zwar zum Testen mit unseren Daten spielen, aber nicht mit den Daten völlig unbekannter Nutzer, die noch dazu besonderen Wert auf Anonymität legen. Mir gings ja auch mehr um meine eigenen Datenspuren und das, was jeder Provider über praktisch jeden Internetnutzer speichern muss. Das ganze liegt in handlichen Dateien (eine pro Tag) auf dem Server, natürlich ordentlich verschlüsselt, es wird also ohne grössere Hacks nicht funktionieren, an meine Daten ohne mein Wissen ranzukommen. Aber wenn ich als Provider auftreten würde, wäre das kein Problem, der Provider kooperiert ja gezwungenermassen mit den Schnüfflern. Ich muss sagen, ich habs mir vor einem halben Jahr schwieriger vorgestellt, mit den vielen Daten umzugehen. Dabei ist das ganze garnicht so tragisch. Ein wie ich glaube recht durchschnittlicher 2-Personen-Haushalt kommt auf insgesamt 6,4 MByte an Vorratsdaten, komprimiert sind das nichtmal 1 MByte. Ein Tag fehlt allerdings, da hab ich eine Mailschleife gebaut und die massenweise kreisenden Mails hätten die Logs gesprengt. Also hab ich da auf die Speicherung verzichtet und hoffe, so ein technisches Versagen würde nicht gegen mich verwendet werden. AuswertungDie Auswertung ist auch relativ einfach. Der Auswerter müsste sich halt auf meine vielleicht verschrobene Art einstellen, Logfiles zu formatieren. Richtlinien, in welcher Form man Logfiles an die Sicherheitsorgane übermittelt, scheint es ja noch nicht zu geben. Aber das lernt er sicher schnell und wenn er sich auf ein paar Tage konzentriert, kann er die Listen auch von Hand durchgehen. Insgesamt ist selbst das halbe Jahr mit 50000 Zeilen Log leicht zu analysieren:
ErgebnisDie IP-Adressen sind natürlich nur interessant, wenn man auch das Gegenstück, den angesprochenen Server oder den Chat beobachtet, in dem ich mich zu dieser Zeit rumgetrieben habe. Als Bewegungsprofil könnte die Speicherung schon ganz gut funktionieren. Dass ich am 22. April nicht zuhause war, sieht man recht deutlich. Wo T-mobile diesen hotspot betreibt, ist sicher leicht zu erfragen. Ist aber auch sonst nicht schwer, dank Handy und Erfassung aller Fluggäste kommt man schnell drauf. Mein "soziales Netzwerk im Internet" zu erforschen dürfe da schon wesentlich ergiebiger, aber auch viel schwerer sein... Die Daten sind hilfreich bei der Frage "Hat der Max schonmal Mails von @girlsdressshop.com bekommen?" (Ja, am 1.2.08 21:13:09; aber vermutlich nicht gelesen, ich filter auch lokal auf Spam; Beweisen kann ich letzeres natürlich nicht). Die Frage "Wer sind denn die Kumpels vom Max?" dürfte aber nicht leicht zu beantworten sein. Dazu geht einfach zu viel im Rauschen des Spams unter. Meine Auswertung leidet z.B. auch darunter, dass ich "Arbeitsmails" einfach ausblende. Ich trenne zwar Arbeitsmails und Privatmails, aber es gibt da schon Schnittmengen, sonst gäbe es auch keine Mails mit privater Absendeadresse an die Arbeit. Was natürlich überhaupt nicht erfasst wird, ist alle Kommunikation, die über Chat, Messenger und irgendwelchen Communities und Foren mit Messagesystem läuft. Das Gesetz kennt da nur die "Kennung des elektronischen Postfachs". Das könnte man natürlich auch auf alles mögliche passend zurechtbiegen, da man aber gleichzeitig den "Inhalt der Kommunikation und Daten über aufgerufene Internetseiten" explizit nicht speichern darf, scheiden zumindest webbasierte Messagesysteme aus. Und jetzt?Speicherung abschalten, den ganzen Kram löschen und mal sehen, was Karlsruhe dazu sagt. Mich betriffts eh nicht, ich erbringe alle Dienste kostenlos. Frau Zypries hat ja im Bundestag erzählt, dass in Zukunft nur Daten gespeichert werden, die jetzt schon für Abrechnungszwecke erhoben werden. Die Frau ist Justizministerin, sicher eine profunde Kennerin des Gesetzes und würde das Parlament und mich doch nicht anlügen. Monday, 5. May 2008Wurzelziehen mit der Walther WSR 160Unter der Rubrik "Das ging früher auch schon?" heute die Walther Schnellrechnenmaschine WSR 160. Eigentlich bin ich draufgekommen, als der Bericht von Herrn Myhrvolds neuestem Spielzeug durch die Presse ging. Einen Fünftonner hab ich natürlich nicht zuhause, aber ein kleines Museumsstück auch. Und weil kaum einer denkt, dass man mit so einer Kurbelmaschine auch so komplizierte Rechnereien wie Wurzelziehen erledigen kann, hier ein kleines Lehrvideo:
Wurzel 11 mit 6 gültigen Stellen in nicht mal 3 Minuten
Geübtere Rechner können das sicher auch in unter einer Minute, noch geschicktere hätten Wurzel 11 einfach im Tabellenbuch nachgeschaut und wenn die Maschine nicht gelegentlich geklemmt hätte, wäre ich auch schneller gewesen. Das richtige Ergebnis ist übrigens ungefähr 3.316 624 790 355 399 849 114 932 736 670 686 683 927 088 545 589 353 597 058 682 146 116 485 Nachtrag: Wer mehr über das Rechnen mit diesen Maschinen erfahren will, die Bedienungsanleitung der WSR ist da eine recht nützliche Quelle. Mehr als da drin steht weiss ich eigentlich auch nicht. Freundlicherweise hat der Hersteller (inzwischen machen die nur noch Waffen) nichts dagegen, wenn ich sein Handbuch scanne und online stelle. Ein Klick auf das Bild führt zum 16-seitigen Handbuch als PDF (2.5 MB).
« vorherige Seite
(Seite 2 von 3, insgesamt 13 Einträge)
» nächste Seite
|
KategorienVerwaltung des Blogs |