Schnipsel

Aus dem Flyer, mit dem die Shell zur Zeit versucht, Stammkunden zu gewinnen:

Veranstalter: Shell Deutschland Oil GmbH,
Suhrenkamp 71-77, 22284 Hamburg

Bitte richten Sie keinerlei Post an die obige Adresse

Ich versteh ja, dass man sich mit den blöden Kunden nicht so gerne abgeben will, aber wenn ich sowas veranstalte, nehm ich doch nicht meine richtige Firmenanschrift her, die ich auch im Impressum verwende, und verbiete den Leuten dann, mir Briefe zu schreiben.

"Die Ausgabe der Rucksäcke erfolgt, solange der Vorrat reicht", macht mich auch ein bisschen stutzig. Vielleicht ist mein Rucksack ja schon weg, wenn ich am 2. Juli die vierte Tankung abgestempelt bekomme.

War übrigens eine Premiere gestern an der Tankstelle. Das erste mal ein dreistelliger Betrag.

[gallery]

Ich hab mal wieder bei der Piratenpartei vorbeigeschaut, die suchen noch Leute, die einen Zettel ausfüllen, damit sie zur Landtagswahl im Herbst 2008 antreten dürfen. Für Oberbayern und Schwaben haben sie nämlich Kandidaten. Sie brauchen nur noch 2000 Oberbayern und 1297 Schwaben, die eine Bewerbung der Piraten befürworten.

Ich füll das Ding mal aus und schicks ihnen, obwohl ich lieber hätte, dass einer der Piraten mit der hübschen Sammelbox vorbeischaut, wenn sie schon extra kleine Schiffchen dafür basteln.

Ob ich sie dann wähle ist eine andere Frage. Das Forum wirkt ja ein wenig verwirrend, ungewohnt, basisdemokratisch, aber so haben andere auch mal angefangen, nur dass man woanders zu den Sitzungen gehn muss um das mitzubekommen. Bei den Piraten kann mans bequem im Forum nachlesen.

Da ich ja trotz anderslautender Umfragen immer noch an die absolute Mehrheit der Union glaube, könnte es eigentlich egal sein. Ob die SPD da mit 40 oder mit 35 und die Grünen mit 15 oder 12 Abgeordneten rumsitzt, ist wurst, da kann man ruhig auch mal eine Stimme an die Chancenlosen als Beweis der Wertschätzung verschenken. Das Argument, dass man nur wählen soll wenn man sich die Erwählten auch in der Regierung vorstellen kann, zählt auch nicht viel. In der SPD kann ich mir ja auch nur den Maget als Ministerpräsident vorstellen bei den Ministern beissts dann schon aus. Der Ude will ja sicher nicht Minister werden und alle anderen Posten müsste man mit (Re)Importen besetzen.

Andererseits, wenns dann an den 0,3% scheitert, dass der Beckstein stürzt, beiss ich mich .... Also mal sehn.

Bei Heise lese ich, dass der Vorsitzende der Gewerkschaft der Polizei gegen das Übermitteln von Daten an die Amerikaner wettert. Er findet nämlich, dass Teile dieser Daten die hiesige Polizei legalerweise garnicht haben dürfte:

Nicht nachvollziehbar seien, so der GdP-Bundesvorsitzende Konrad Freiberg, vor allem die Regelungen zur Übermittlung von Daten, aus denen "Rasse oder ethnische Herkunft, politische Anschauungen, religiöse oder sonstige Überzeugungen oder die Mitgliedschaft in Gewerkschaften" hervorgehe oder "die Gesundheit und das Sexualleben" beträfen.

Konrad Freiberg: "Wozu gerade diese Daten bei der Bekämpfung schwerwiegender Kriminalität wie Terrorismus benötigt werden, ist mir schleierhaft. Ebenso unklar ist, warum und auf welcher Rechtsgrundlage deutsche Sicherheitsbehörden solche datenschutzrechtlich hoch sensiblen Daten überhaupt erhoben und gespeichert haben sollen."

Lustigerweise teilt er dabei die Meinung des Bayerischen Datenschutzbeauftragten, der in wirklich jedem seiner Tätigkeitsberichte meckert, dass die Polizei solche Dinge eben schon speichert. Unsere Polizei hat nämlich eine unüberschaubare Anzahl von Dateien mit tollen Namen angelegt, die unter dem Oberbegriff GAST ("Gefahrenabwehr und Verfolgung von Straftaten und Ordnungswidrigkeiten") alle möglichen Dinge speichern, die noch nicht für den Eintrag ins Führungszeugnis langen.

Ich verstehe das ja auch ein bisschern, die modernen Polizisten brauchen einen Ersatz für den guten alten Schutzmann zu Fuss, der im Gedächtnis hatte, wer in seinem Revier mit welchen finsteren Gestalten rumhängt und wo demnächst ein Eifersuchtsdelikt zu erwarten ist. Solche Informationen über Szenezugehörigkeit, weltanschauliche Überzeugung und sexuelle Vorlieben will man halt jetzt auch noch haben, am besten nicht nur im Stadtviertel, sondern ganz global. Nur sollen die Oberpolizisten bitte nicht so tun, als hätten sie garnichts über uns gespeichert ausser Name und Geburtsdatum.

Ein paar Beispiele aus den Tätigkeitsberichten der letzten Jahre, der Einfachheit halber nur aus Bayern:

• Drei Leute halten bei der Sicherheitskonferenz Transparente mit "Rumsfeld Massenmörder" hoch, einer davon 14 Jahre alt. Das Strafverfahren gegen sie wird eingestellt, weil weder die Staatsanwaltschaft noch Herr Rumsfeld einen Prozess wünschen. Dennoch landen alle drei unter der Rubrik "Antiamerikanismus" in ISIS ("Staatsschutzdatei"). (TB 2006)


• "Bei meiner Prüfung der Speicherungen [in der Datei "Gruppentypische Aggressionsdelikte / kriminogene Gruppierungen / Skinheads] bei einem Polizeipräsidium habe ich festgestellt, dass fünf Personen gespeichert waren, die von der Polizei der sog. Punkerszene zugeordnet wurden. Nach den Erkenntnissen aus der Datei selbst und der mir zu den Personen vorgelegten Unterlagen waren die von der Errichtungsanordnung vorgegebenen Speicherungskriterien nicht erfüllt. Beispielsweise war eine junge Frau gespeichert, zu der als einzige Erkenntnis ihre Eigenschaft als Geschädigte eines Diebstahls vorlag. Auch bei den anderen "Punkern" gab es nach meiner Feststellung keine polizeilichen Erkennisse dafür, dass gegen diese wegen jugend- oder gruppentypischer Aggressionsdelikte ermittelt wurde oder dass sie gewalttätigen Gruppierungen oder deren engerem Umfeld zuzuordnen sind." (TB 2000)


• Zur Datei "Sittlichkeitsdelikte" (SITTE): "Bei meiner datenschutzrechtlichen Prüfung der Polizeidirektion habe ich insbesondere diese Speicherungen auf ihre Zulässigkeit hin überprüft. Dabei stellte ich aber auch eine Speicherung zu einer männlichen Person fest, die allein deshalb in der Datei erfaßt worden war, weil sie bei einer polizeilichen Verkehrskontrolle mit Frauenkleidern in ihrem Pkw angetroffen wurde. Nachdem weder Anhaltspunkte für die Begehung von Straftaten zu der Person vorlagen, noch ein Gefährdungspotential aus dieser Neigung erkennbar war, war ihre Speicherung alleine aufgrund ihrer offenkundigen straflosen sexuellen Neigung unzulässig." (TB 1998)


• Im Tätigkeitsbericht 2002 bemängelt der Datenschutzbeauftragte, dass die Datei "Rasterfahndung BAO-USA", die im September 2001 angelegt wurde um Terroristen zu fangen auch nach der Fahndung immer noch in den Behörden rumgammelt. Das Landeskriminalamt hat die Datei zwar gesperrt, aber nicht gelöscht, weil vielleicht weitere Rasterfahndungen angeordnet werden könnten. Die Datei enthält 94000 Datensätze, wovon ca 1900 manuell überprüft wurden. Die 94000 sind "muslimische Männer zwischen 18 und 40 mit technischem Studium, die sich legal hier aufhalten, keine Sozialhilfe beziehen und aus bestimmten Ländern stammen". Die Daten wurden bei Sozialämtern, Meldebehörden, Ausländerbehörden und Unis angefordert und zusammengeführt.

Das mögen alles Einzelfälle sein, aber zumindest in diesen ist es möglich, einen Datensatz "Muslimischer, antiamerikanischer Punk, der gerne Frauenkleider trägt" an die transatlantischen Freunde zu liefern. Sie haben jedenfalls die Daten und an der Legalität der Erhebung und Speicherung sollte ein deutscher Kriminalhauptkomissar keinen Zweifel haben.

Vielleicht geben unsere Polizisten den Gewerkschaftlern ja keinen Zugriff auf all die schönen Datensätze, was ich aber andererseits nicht glaube, weil der DSB fast mantraartig wiederholt, dass ihn vor allem der breit gestreute Zugriff auf die Daten stört. Es würde aber auch reichen, einfach nur die amtlichen Veröffentlichungen über unsere Polizei zu lesen.

Das wird noch lustig in nächster Zeit mit den schwachen Schlüsseln bei Debians. Werden ja sicher nicht alle umgestellt haben und es wird noch genügend Server geben, die nur darauf warten, einem Botnetz beizutreten.

Inzwischen gibts auch schon Leute, die ihre Rechner über Nacht damit beschäftigt haben, sämtliche möglichen Schlüsselpaare zu berechnen. Ist auch nicht so schwer, sind ja nur 32000 Stück (!) bei bekannter Schlüssegrösse.

Bisher hiess es ja immer "Passwort-Authentifikation ist zu leicht mit Ausprobieren zu knacken, also nimm ein private-public-key-Verfahren, dann bist Du sicher und hast Deine Ruhe". Das stimmt halt auf den verwundbaren Systemen nicht mehr. 32000 Schlüssel sind genauso gut auszuprobieren wie 32000 Passwörter. Und brute-force-Ausprobierer mit ein paar Tausend Versuchen sind nicht selten.

Mal sehn, wann die ersten im Logfile auftauchen, ich glaub ich schau da die nächsten Tage intensiver drüber...

Bei den Passwortausprobierern gibts hier übrigens auch einen Trend hin zu breiter gestreuten und langsameren Angriffen. Statt einer IP-Adresse, die innerhalb weniger Minuten massig ausprobiert, kommen jetzt tröpfchenweise im Minutentakt die Anfragen. Anscheinend zentral gesteuert, sämtliche Teilnehmer des Botnetzes arbeiten sich systematisch durchs Alphabet: Einer probiert den Usernamen "barrett", der nächste "brittney", der dritte "cale". Die Standorte der Botnetz-Mitspieler decken dabei so ziemlich den von Computern bewohnten Teil der Erde ab:

(die Karte zeigt die missglückten ssh-Anmeldungen auf diesem Server der letzten 3 Tage, unabhängig davon, ob das ein einzelner Versuch, ein brute force oder ein Vertipper von mir war)

Link gefunden bei Fefe

Puh, wenn ich mir den heutigen Sicherheitsbericht von Debian so anschaue, weiss ich, was ich heute Abend mache. Ich generiere alle Schlüssel neu. Weil die Debian-Versionen von openssl hatte einen Bug. Die davon abgeleiteten Ubuntu-Versionen hats natürlich auch erwischt. Distributionen, die kein Debian im Stammbaum haben sind wohl nicht betroffen. Im Rundschreiben steht was von viel Arbeit:

It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.

Das heisst zwar nicht, dass nun jeder per ssh in einen Server reinkommt, aber "verschlüsselt" ist der Datenverkehr nicht mehr, wenn der Schlüssel ratbar ist (wie leicht, wird man sehen, exploit ist noch keines bekannt). Mal überlegen, was hier alles ssl macht... apache, ssh natürlich, pop3, smtp, tor auch, irgendwo liegt hier noch ein stunnel rum, ircd, die ganzen public keys für die ssh-Authentifizierung... Naja, vielleicht bring ich die ganzen Schlüssel ja mal irgendwie zusammen, dann hab ich wenigstens was dabei gelernt.

Notiz für zukünftige Updates: Der obskure Einzeiler, mit dem man ein selbstsigniertes Cert erstellt und den dazu passenden private key sieht so aus:

openssl req -x509 -nodes -days 3650 \
-subj '/C=DE/ST=BY/L=Aschheim/O=Max Berger/CN=www.dianacht.de' \
-newkey rsa:1024 -keyout key.pem -out cert.pem

Manche Programme (postfix, dovecot) wollen das als 2 Dateien, manchen (apache) kann man auch alles in einer Datei hinwerfen.

Für sshd hab ich im heise-Forum einen Zweizeiler gefunden:

ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -b 1024 -N ''
ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -b 1024 -N ''

(Die beiden letzten Zeichen sind 2 Stück Hochkomma, die Dinger überm # auf der deutschen Tastatur, 1024 ist die Schlüssellänge, beim RSA könnte man auch 2048 verwenden...)

Nachtrag: Hab doch wieder lauter einzelne selbstsignierte Schlüssel ohne gemeinsame Zertifizierungsstelle gemacht. Ein einziger Schlüssel für alles geht schlecht. Der Browser mault, wenn der Schlüssel nicht für www.dianacht.de ausgestellt ist, mein heimischer postfix verlangt exklusiv nach mail.dianacht.de. Dann gibts halt für jeden Dienst ein Schlüsselpaar, man muss ja nicht eine echte Zertifizierungsstelle für eine handvoll beteiligter Rechner aufbauen.

Nachtrag 14.5.: Inzwischen gibts ganz gute Hintergrundinformationen im Debian-Wiki.