Schnipsel

Puh, wenn ich mir den heutigen Sicherheitsbericht von Debian so anschaue, weiss ich, was ich heute Abend mache. Ich generiere alle Schlüssel neu. Weil die Debian-Versionen von openssl hatte einen Bug. Die davon abgeleiteten Ubuntu-Versionen hats natürlich auch erwischt. Distributionen, die kein Debian im Stammbaum haben sind wohl nicht betroffen. Im Rundschreiben steht was von viel Arbeit:

It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.

Das heisst zwar nicht, dass nun jeder per ssh in einen Server reinkommt, aber "verschlüsselt" ist der Datenverkehr nicht mehr, wenn der Schlüssel ratbar ist (wie leicht, wird man sehen, exploit ist noch keines bekannt). Mal überlegen, was hier alles ssl macht... apache, ssh natürlich, pop3, smtp, tor auch, irgendwo liegt hier noch ein stunnel rum, ircd, die ganzen public keys für die ssh-Authentifizierung... Naja, vielleicht bring ich die ganzen Schlüssel ja mal irgendwie zusammen, dann hab ich wenigstens was dabei gelernt.

Notiz für zukünftige Updates: Der obskure Einzeiler, mit dem man ein selbstsigniertes Cert erstellt und den dazu passenden private key sieht so aus:

openssl req -x509 -nodes -days 3650 \
-subj '/C=DE/ST=BY/L=Aschheim/O=Max Berger/CN=www.dianacht.de' \
-newkey rsa:1024 -keyout key.pem -out cert.pem

Manche Programme (postfix, dovecot) wollen das als 2 Dateien, manchen (apache) kann man auch alles in einer Datei hinwerfen.

Für sshd hab ich im heise-Forum einen Zweizeiler gefunden:

ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -b 1024 -N ''
ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -b 1024 -N ''

(Die beiden letzten Zeichen sind 2 Stück Hochkomma, die Dinger überm # auf der deutschen Tastatur, 1024 ist die Schlüssellänge, beim RSA könnte man auch 2048 verwenden...)

Nachtrag: Hab doch wieder lauter einzelne selbstsignierte Schlüssel ohne gemeinsame Zertifizierungsstelle gemacht. Ein einziger Schlüssel für alles geht schlecht. Der Browser mault, wenn der Schlüssel nicht für www.dianacht.de ausgestellt ist, mein heimischer postfix verlangt exklusiv nach mail.dianacht.de. Dann gibts halt für jeden Dienst ein Schlüsselpaar, man muss ja nicht eine echte Zertifizierungsstelle für eine handvoll beteiligter Rechner aufbauen.

Nachtrag 14.5.: Inzwischen gibts ganz gute Hintergrundinformationen im Debian-Wiki.

Seit der Verabschiedung der Vorratsdatenspeicherung sammel ich ordentlich meine Daten. Was für die grossen Provider richtig ist, kann ja für die Miniprovider, die nur einen Haushalt versorgen nicht falsch sein. Ich hab inzwischen also 180 Dateien gesammelt, die alles enthalten, was das Gesetz uns befiehlt:

• Zeit, Absender und Absendehost für alle Mails, die mein Postfach erreicht haben


• Zeit und Empfänger aller Mails die ich verschickt habe


• Zeit aller Zugriffe auf meine Mailbox, sowie die IP-Adresse, von der aus ich zugegriffen habe


• Zeit und IP-Adresse der Nutzer des Webproxies auf diesem Server

Was natürlich noch fehlt, sind die IP-Adressen, unter denen ich mich mit dem Netz verbunden habe (also meine heimische Surferei), die lassen sich allerdings leicht aus den Mailboxzugriffen rausbekommen. Ausserdem fehlt noch mein Handyprofil bei den Vorratsdaten, aber bei meiner Handynutzung gibt das vermutlich nicht viel her.

Was ausserdem bei den Daten fehlt, sind die Logs des Tor-Servers. Da ist ja noch völlig unklar, ob die gespeichert werden müssen und ausserdem kann ich zwar zum Testen mit unseren Daten spielen, aber nicht mit den Daten völlig unbekannter Nutzer, die noch dazu besonderen Wert auf Anonymität legen. Mir gings ja auch mehr um meine eigenen Datenspuren und das, was jeder Provider über praktisch jeden Internetnutzer speichern muss.

Das ganze liegt in handlichen Dateien (eine pro Tag) auf dem Server, natürlich ordentlich verschlüsselt, es wird also ohne grössere Hacks nicht funktionieren, an meine Daten ohne mein Wissen ranzukommen. Aber wenn ich als Provider auftreten würde, wäre das kein Problem, der Provider kooperiert ja gezwungenermassen mit den Schnüfflern.

Ich muss sagen, ich habs mir vor einem halben Jahr schwieriger vorgestellt, mit den vielen Daten umzugehen. Dabei ist das ganze garnicht so tragisch. Ein wie ich glaube recht durchschnittlicher 2-Personen-Haushalt kommt auf insgesamt 6,4 MByte an Vorratsdaten, komprimiert sind das nichtmal 1 MByte. Ein Tag fehlt allerdings, da hab ich eine Mailschleife gebaut und die massenweise kreisenden Mails hätten die Logs gesprengt. Also hab ich da auf die Speicherung verzichtet und hoffe, so ein technisches Versagen würde nicht gegen mich verwendet werden.

Auswertung

Die Auswertung ist auch relativ einfach. Der Auswerter müsste sich halt auf meine vielleicht verschrobene Art einstellen, Logfiles zu formatieren. Richtlinien, in welcher Form man Logfiles an die Sicherheitsorgane übermittelt, scheint es ja noch nicht zu geben. Aber das lernt er sicher schnell und wenn er sich auf ein paar Tage konzentriert, kann er die Listen auch von Hand durchgehen. Insgesamt ist selbst das halbe Jahr mit 50000 Zeilen Log leicht zu analysieren:

• 36612 Mails gingen durch diesen Server


• 7679 davon an die Adresse, die ich auch hier verwende, die anderen zähle ich im Folgenden nicht.


• 2370 kamen von der Domain meines Arbeitgebers


• 2782 Mails kamen über ein paar Mailinglisten


• 2527 Mails müssen noch einzeln ausgewertet werden, irgendwo zwischen dem vielen Spam sind sicher auch noch interessante Fundstücke. Es sollte aber einem Menschen zum Beispiel möglich sein, auf meine Korrespondenz mit einem Waffenhersteller zu stossen.


• 125 Mails habe ich geschrieben


• 47 in die Arbeit


• 78 an andere Leute


• Die IP-Adressen, unter denen ich die abgeschickt habe, wurden gespeichert, 10 davon stammen allerdings lokal von diesem Server. Woher der Zugriff auf die Shell erfolgte, ist nicht klar.


• 15287 Mal wurde auf die Mailbox zugegriffen, allerdings nur von


• 182 verschiedenen IP-Adressen. Das passt ganz gut zu 180 Tagen, die Nachfrage beim Provider nach meinen IP-Adressen erübrigt sich also.


• 21 Mal wurde Webmail benutzt. Am 22. April zum Beispiel von einer IP-Adresse, die zu einem hotspot von T-mobile gehört.


• 4440 Seiten wurden per Proxy geladen. Die IP-Adressen des Nutzers wurden festgehalten, die Ziele natürlich nicht. Am 22. April wurden 230 Seiten geladen. Die an diesem Tag festgehaltene IP-Adresse ist der Webserver selbst. Der Proxy wird also vermutlich in irgendeiner Form getunnelt angesprochen.

Ergebnis

Die IP-Adressen sind natürlich nur interessant, wenn man auch das Gegenstück, den angesprochenen Server oder den Chat beobachtet, in dem ich mich zu dieser Zeit rumgetrieben habe. Als Bewegungsprofil könnte die Speicherung schon ganz gut funktionieren. Dass ich am 22. April nicht zuhause war, sieht man recht deutlich. Wo T-mobile diesen hotspot betreibt, ist sicher leicht zu erfragen. Ist aber auch sonst nicht schwer, dank Handy und Erfassung aller Fluggäste kommt man schnell drauf.

Mein "soziales Netzwerk im Internet" zu erforschen dürfe da schon wesentlich ergiebiger, aber auch viel schwerer sein...

Die Daten sind hilfreich bei der Frage "Hat der Max schonmal Mails von @girlsdressshop.com bekommen?" (Ja, am 1.2.08 21:13:09; aber vermutlich nicht gelesen, ich filter auch lokal auf Spam; Beweisen kann ich letzeres natürlich nicht).

Die Frage "Wer sind denn die Kumpels vom Max?" dürfte aber nicht leicht zu beantworten sein. Dazu geht einfach zu viel im Rauschen des Spams unter. Meine Auswertung leidet z.B. auch darunter, dass ich "Arbeitsmails" einfach ausblende. Ich trenne zwar Arbeitsmails und Privatmails, aber es gibt da schon Schnittmengen, sonst gäbe es auch keine Mails mit privater Absendeadresse an die Arbeit.

Was natürlich überhaupt nicht erfasst wird, ist alle Kommunikation, die über Chat, Messenger und irgendwelchen Communities und Foren mit Messagesystem läuft. Das Gesetz kennt da nur die "Kennung des elektronischen Postfachs". Das könnte man natürlich auch auf alles mögliche passend zurechtbiegen, da man aber gleichzeitig den "Inhalt der Kommunikation und Daten über aufgerufene Internetseiten" explizit nicht speichern darf, scheiden zumindest webbasierte Messagesysteme aus.

Und jetzt?

Speicherung abschalten, den ganzen Kram löschen und mal sehen, was Karlsruhe dazu sagt.

Mich betriffts eh nicht, ich erbringe alle Dienste kostenlos. Frau Zypries hat ja im Bundestag erzählt, dass in Zukunft nur Daten gespeichert werden, die jetzt schon für Abrechnungszwecke erhoben werden. Die Frau ist Justizministerin, sicher eine profunde Kennerin des Gesetzes und würde das Parlament und mich doch nicht anlügen.

Unter der Rubrik "Das ging früher auch schon?" heute die Walther Schnellrechnenmaschine WSR 160. Eigentlich bin ich draufgekommen, als der Bericht von Herrn Myhrvolds neuestem Spielzeug durch die Presse ging. Einen Fünftonner hab ich natürlich nicht zuhause, aber ein kleines Museumsstück auch.

Und weil kaum einer denkt, dass man mit so einer Kurbelmaschine auch so komplizierte Rechnereien wie Wurzelziehen erledigen kann, hier ein kleines Lehrvideo:

Wurzel 11 mit 6 gültigen Stellen in nicht mal 3 Minuten

Das Verfahren ist eigentlich ganz einfach und wurde von Professor Töpler für die Rechenmaschine ersonnen: Es beruht auf der eigenartigen Tatsache, daß man beim fortlaufenden Addieren ungerader Zahlen (1+3+5) immer eine Quadratzahl erhält. So muß man auch umgekehrt beim Abziehen der ungeraden Zahlen wieder zur Wurzel kommen. Aber das kann man auch in der Gebrauchsanweisung gut nachlesen... (Bild: 2 Seiten aus der Gebrauchsanweisung der Firma Walther)

Fürs Wurzelziehen sind eigentlich nur die 3 Anzeige- und Einstellwerke (also die Rädchen und Hebel mit den Zahlen drauf) interessant. Oben mit Hebeln das "Einstellwerk", unten links der Umdrehungszähler und unten rechts das "Resultatwerk". Ferner hat man eine Kurbel, mit der man die Zahlen des Einstellwerks vom Resultatwerk abzieht oder dazuzählt, je nachdem wie rum man kurbelt. Wie oft man kurbelt, zählt der Umdrehungszähler. Die unteren beiden Werke kann man um jeweils eine Stelle nach links oder rechts verschieben.

Ausserdem gibts eine Glocke, die bimmelt, wenn man vom Resultatwerk so viel abzieht, dass man unter Null rutscht.

Und noch ganz viele andere Hebel, die man hier aber nicht braucht.

Zum Mitlesen:

• Zunächst wird die 11 linksbündig im rechten Zählwerk eingestellt.
  
• Dann wird oben eine 1 eingestellt und abgezogen, der Umdrehungszähler zählt mit, nix klingelt.
  
• das ganze noch mit 3 und 5, nix passiert.
  
• dann kommt die 7, es klingelt, der Umdrehungszähler steht auf 4.
  
• Weils geklingelt hat, gibts eine Umdrehung zurück (wieder Klingel, weil man die Null überrundet, dieses Mal von unten), Umdrehungszähler steht auf 3, oben stelle ich eine 6 ein (7 war ja zu viel), schalte die unteren beiden Werke einen Schritt nach links und mach mit der nächsten Stelle weiter (23 Sekunden, die erste Stelle steht links im Umdrehungszähler: 3).
  
• Genau das gleiche Spiel mit der 2. Stelle: 1, 3, 5, 7, ping, 6, ein Schritt nach links (47 Sekunden, 2 Stellen fertig)
  
• Das ganze dann eintönig weiter bis zur 6. Stelle
  
• Bei 1:50 nochmal was spannendes: Da ziehe ich 1, 3, 5, 7, 9 ab, aber keine Glocke kommt. Also zurück zur 1, und den Hebel links davon um 1 nach unten, dann zieh ich also 11 ab, 13, 15, ping.

Eigentlich könnte ich noch 2 Stellen weitermachen, aber leider ist beim Resultatwerk an der drittletzten Stelle ein Zahnrad ausgebrochen. da gehts nicht über die "2" raus und damit ist dann Schluss.

Geübtere Rechner können das sicher auch in unter einer Minute, noch geschicktere hätten Wurzel 11 einfach im Tabellenbuch nachgeschaut und wenn die Maschine nicht gelegentlich geklemmt hätte, wäre ich auch schneller gewesen.

Das richtige Ergebnis ist übrigens ungefähr 3.316 624 790 355 399 849 114 932 736 670 686 683 927 088 545 589 353 597 058 682 146 116 485

Nachtrag: Wer mehr über das Rechnen mit diesen Maschinen erfahren will, die Bedienungsanleitung der WSR ist da eine recht nützliche Quelle. Mehr als da drin steht weiss ich eigentlich auch nicht. Freundlicherweise hat der Hersteller (inzwischen machen die nur noch Waffen) nichts dagegen, wenn ich sein Handbuch scanne und online stelle. Ein Klick auf das Bild führt zum 16-seitigen Handbuch als PDF (2.5 MB).

Jetzt wirds aber kompliziert, zu den nächsten Bürgerkriegsübungen der Linken und Rechten muss ich wohl selber fahren, aus der Presse kriegt man ja kein klares Bild.

Während der Spiegel Online schlagzeilt "Rechtsextreme feiern Mai-Krawalle als Sieg" steht in der Süddeutschen "Günther Beckstein: Linken Gewalttätern das Handwerk legen"...

Vielleicht liegts an der raffinierten Finte der gewaltbereiten Neonazis, sich jetzt "Autonome Nationalisten" zu nennen. Becksteins Presseerklärung spricht auch nur von "Autonomen und Linksextremisten". Vielleicht langt die Aufmerksamkeit halt nur bis zur vierten Silbe. Ausserdem muss man nachsichtig sein, immerhin war Beckstein auf der Anti-NPD-Demo in Nürnberg und wurde dort von den "Linken und autonomen Gruppen" mit Flaschen beworfen. Der Ministerpräsident hat zwar ein kleines Glaubwürdigkeitsproblem bei diesen Leuten, aber er bemüht sich.

Ich glaub übrigens nicht, dass Beckstein mit den Rechten sympathisiert. Es ist schlimmer, er sieht einfach nicht, dass seine ganzen Bemühungen, die Freiheit auch der Rechten einzuschränken, den Extremen alle Mittel an die Hand geben, die sie brauchen, falls sie mal eine Wahl gewinnen. Wenn man z.B. die Versammlungsfreiheit praktisch ins Ermessen der Polizei stellt, muss der nächste Diktator einfach nur den Polizeichef auswechseln und hat ein Versammlungsrecht ganz nach seinem Geschmack.

Beim blättern im Stadtarchiv gefunden:

2. Januar 1946: Das Polizeipräsidium führte einen Höflichkeitswettbewerb bei der Münchner Schutzpolizei durch, weshalb jeder Polizist eine Nummer erhielt. Die Bevölkerung wurde aufgefordert, besonders höfliche Beamte zu melden. "Für jede Höflichkeitshandlung erhält der betreffende Schutzmann einen Pluspunkt. Bei 12 Pluspunkten gibt es einen zusätzlichen Urlaub." Bei negativen Erfahrungen konnte man auch Minuspunkte vergeben.

Sowas könnte man doch mal wieder aufleben lassen. Erstens könnte der Bürger das polizeiliche Gegenüber endlich die Sätze loslassen, die es aus den Krimis kennt ("Geben Sie mir Ihre Dienstnummer").  Und Zweitens hat sich in den letzten 60 Jahren doch wieder eine gewisse Unfreundlichkeit eingeschlichen. Möglicherweise auf beiden Seiten...