Skip to content

Wahlcomputer: Die Finnen zeigen wie es geht...

Heute sind Wahlcomputer in fast aller Munde - das Bundesverfassungsgericht hat sich gestern mit ihnen beschäftigt, Hadmut Danisch hat zu dem Thema extra seine Adele erweitert, der CCC ist mit Sachverständigen und Beobachtern dagewesen, in vielen anderen Ländern werden Wahlcomputer mehr oder minder erfolgreich eingesetzt.

Finnland schafft nun das was viele auch hier befürchten: Das Wählen mit Wahlcomputern sorgt für verlorene Stimmen; in diesem Fall 2% aller Stimmen. Das dumme ist: beim finnischen Wahlsystem entscheiden oft einige wenige Stimmen über den Sieg.

Und warum passierte das? Weil die Wähler eine Smartcard nutzen müssen um wählen zu können, _zweimal_ auf "ok" drücken und dann erst die Smartcard rausnehmen müssen.

Wer nur einmal OK drückte und dann die Smartcard herausnahm wurde nicht gewertet. Warum auch zweimal drücken? Sonst machte man auch nur ein Kreuz. (Hier in Deutschland zwei für die Zweitstimme; das würde dort viermal ok entsprechen).
Leider wurde wohl nicht gut genug drauf hingewiesen dass man zweimal ok drücken muss. Man kann jetzt argumentieren mit "selbst schuld", aber ich finde wenn eine Sache für den Benutzer komplizierter gemacht wird ist das keine gute Sache.

Neuer Film: Krabat

Am Sonntag abend war ich seit längerer Zeit zum ersten Mal wieder im Kino: Es lief Krabat. Und es lief nicht nur Krabat, sondenr es waren auch einige Schauspieler, Produzenten und der Regisseur da.

Eigentlich war das ganze eher eine Spontanaktion: A. und K. wollten eh in den Film und wir haben beschlossen (auch wenn das für K. eine Überraschung war) hinzugehen; von dem Regisseur und so wussten wir so direkt nichts. Aber es hat Spass gemacht.
Erst gab es eine kleine Ansprache in der der SWR an seine Kooperation mit Otfried Preußler erinnerte, bevor wir den Film sehen durften.
In dem Film (nach dem gleichnamigen Buch) Krabat geht es um die Zeit des 30jährigen Krieges und einen Jungen, der bei einem Müller in Lehre geht. Dieser Müller lehrt ihn nicht nur das Müllern (die normalen Tätigkeiten) sondern er führt den Lehrling auch in die Schwarzen Mächte ein - seine Lehrlinge sind in der Lage sich in Raben zu verwandeln und so durch die Gegend zu streifen. Es gibt nur eine Nacht pro Jahr wo die Lehrlinge sich ausserhalb der Mühle aufhalten dürfen.
Allerdings hat auch diese Lehre ihre dunklen Seiten: pro Jahr muss Gevatter Tod immer ein Lehrling geopfert werden, damit der Meister weiterleben und lehren kann.
Die Situation eskaliert immer weiter (auch weil Krabat sich in ein Mädchen verliebt er aber keine Freundin haben darf laut seinem Herrn und Meister) und endet dann in einem Machtkampf zwischen dem Meister und Krabat.

Der Film nutzt (leider?) ein gekürztes Drehbuch - aus drei Jahren Lehre wurden zwei Jahre, einige Episoden wie der Bau eines neuen Mühlrades wurden ganz gestrichen - aber trotzdem ist der Film toll gemacht. Er hat düstere Stimmungen (am Anfang gibt es Mehlstaub als Buchstaben), vieles wird angedeutet und die Atmosphäre ist toll gemacht. Ich kann den Film nur empfehlen!

CCCS: Glasfaser

Am Donnerstag war mal wieder Vortragstag beim CCCS - und wir konnten ein Jubiläum feiern: Seit genau 4 Jahren machen wir eine Vortragsreihe - und da gebührt der meiste Dank Princess, die sich unermüdlich darum kümmert dass wir Vortragende haben und immer auch Themen.

Dieses Mal war ein "Vertreter der Industrie" da - auch wenn das komisch klingt ;-) pi hat die Idee gehabt und auch den entsprechenden Menschen gekannt, so dass der Kontakt schnell da war.

Thomas Schacherer von BKTel stellte die Firma und - nebenbei - deren Produkte vor, aber wichtiger war seine Darstellung über die Glasfasertechnik - IP, Telefonie und TV-Nutzung damit. Erst einmal erzählte er von der Theorie, dann von verschiedenen europäischen Anbietern und Feldtests, inklusive den verschiedenen Möglchkeiten (ein Haus beschliesst komplett Glasfaser haben zu wollen, IP und TV auf demselben Kabel und ähnliches).

Ich fand den Vortrag klasse - auf der einen Seite Theorie und Erfahrungsberichte, auf der anderen Seite konkrete Beispiele und Möglichkeiten wie ein Glasfasernetz gebaut werden kann. Leider ist Deutschland da wohl eher kaum dran; die deutsche Telekom ist da sehr zögerlich, Fibre-to-the-House zu realisieren. Da muss man wohl selbst ran und es ist nur die Frage wie man das realistisch machen kann...

Es wird Herbst

Schon ein komisches Gefühl wenn man nach der Spätschicht nach Hause geht und es ist bereits dunkel... das war vor dem Urlaub noch nicht so.

Urlaub zuende ;)

Okay, weitere Teilberichte gab es nicht; größtenteils weil wir keine Lust hatten ins Internet zu gehen und weil die Landschaft viel zu schön war. Wir werden einen Reisebericht in das Blog der Geekcouch stellen sobald wir dazu kommen und die Fotos sortiert haben.

Soviel erstmal: Es gab verhältnismäßig wenig Regen, sehr viel zu sehen, tolle Landschaften und viele nette Leute ;-)

Erster Teilbericht mit Eindruecken

Inzwischen sind die ersten Urlaubstage vergangen und ich kann zumindest in Stichworten berichten was wir bisher erlebt haben:
- Fahrt nach Amsterdam: die deutsche Autobahn ist super, die niederlaendische ist nervig weil dauernd die Maximalgeschwindigkeit aendert. Das ist anstrengend
- Fahrt in Amsterdam: Der ADAC-Routenplaner ist unbrauchbar und es ist gemein wenn die Hauptstrasse die man nutzen will gesperrt ist. Eine Umleitung zu finden dauert viel Zeit...
- Hotel: Okay, mag okay sein. Aber wenn ab halb sechs Uhr morgens Leute ueber einem rumlaufen und man davon aufwacht ist das nicht so toll.
- Faehre: Ja wenn es um Amsterdam keine Staus gaebe.. aber wir waren rechtzeitig da und haben auch eine tolle Kabine bekommen!
- Ankunft Newcastle: Nett, sehr gute Leute im Tourismusbuero. Newcastle als Stadt bietet auch einiges, neben Fotoshops auch interessante Gebaeude
- Dunbar: Uebernachten, Fish&Chips unsicher machen, B&B geniessen.
- Naechster Tag: Spontan beschliessen am Strand von Dunbar spazierengehen, weil das Wetter warm und sonnig ist. Sonnenbrand ist bereits da! (Ich habe Zeugen :-)
- Abends: Ankunft in Edinburgh und nachdem die Uebernachtungsfrage geklaert ist ein Internetcafe suchen bevor wir einen Pub heimsuchen.

Nur kurz: ich lebe noch

Ja, es gibt mich noch. Und eigentlich gibt es auch viel spannendes zu erzählen - Besuch einer der letzten Shows der Blue Man Group in Stuttgart, Kino (Dark Knight gut, Babylon A.D. schlecht) und Theater (Mord und Taktschlag; ein richtig knuffiges kleines Theater mit viel schwarzem Humor); vielleicht komme ich irgendwann einmal auch dazu das ordentlch zu kommentieren und zu bloggen.

Mein Hauptprblem ist Zeit - auf der Arbeit haben wir zwei sehr große Projekte die in die Endphase eintreten und praktisch alle Zeit verbrauchen die ich verfügbar habe; die beiden Projekte haben aber nichts mit meiner Hauptarbeit zu tun. Also Sysadmin/Datenbankadmin wäre meine Hauptaufgabe, zu der komme ich momentan aber kaum. Dafür füllen mich diese zwei Projekte aus - mit vielen Meetings, Überraschungen, Koordinationsschwierigkeiten, wie üblich bei großen Projekten.

Aber jetzt habe ich erstmal Urlaub. Ich fahre weg und bin daher vermutlcih auch ein paar Tage offline. Also nicht wundern wenn ich mal nicht da bin ;-)

Seltsamkeiten in der Nacht

Es ist seltsam, den eigenen Vater im Fernsehen zu sehen und zu hören. Ja, ich wusste dass die Sendung kommt, aber es ist trotzdem was ganz anderes als ihn "sonst" zu erleben.

CCCS-Vortrag: Lightning Talks

Gestern abend war der Vortrag des CCCS - dieses Mal an einem anderen Ort; da das kommunale Kino in Stuttgart überraschend Insolvenz anmelden musste. Daher waren wir gezwungen einen neuen Vortragsort zu suchen. Die Hochschule der Medien haben wir angefragt, weil wir selbst dort schon Vorträge gehalten haben (Security Days) und wir kriegten tatsächlich die Chance, dort die Vorträge zu halten - vielen vielen Dank dafür an Moritz Seltmann, der das ermöglicht hat!

Dieses Mal wollten wir etwas ausprobieren - das Prinzip der Lightning Talks haben wir bei uns wiederholt, leicht abgeändert. Jeder Vortragende hat 15 Minuten Zeit für den Vortrag, darf einen Beamer nutzen und danach gibts ein wenig Diskussion. So wie bei wissenschaftlichen Konferenzen ;-)

Insgesamt gab es fünf Themen:

- Ein selbstgebastelter Mikroprozessor
- suckless.org
- DNS-Poisoning
- selbstgebaute LED-Modelle
- Abfangen von Session Cookies

Mir hat die Vielfalt sehr gefallen - von dem Mikroprozessor-Vortrag habe ich zwar nicht viel verstanden (ich habe von Assemblerprogrammierung keine Ahnung), aber es war gut strukturiert und verständlich so dass ich nachvollziehen konnte worum es gerade ging. Bei suckless finde ich es spannend dass die Programme maximal 10000 Zeilen Code sein sollen und daher nur sehr klein sein sollen - in meinen Augen ein gutes Ziel. Bei DNS-Poisoning war die (berechtigte) Frage zwischendurch warum das niemandem vorher aufgefallen ist - die Antwort war mehr oder weniger dass das vorher als theoretische Möglichkeit länger bekannt war, aber niemand daran dachte dass das (inzwischen) auch gut ausnutzbar ist.
Die LED-Modelle waren sehr interessant, insbesondere weil Sebastian dafür keine Vorlagen hatte sondern einfach selbst gebaut hat. Die konnte man im Aquarium (dem Vortragsraum) auch gut zeigen weil man dieses verdunkeln konnte - die Discokugel und das Ambilight waren schon witzig und mit Ikea auch gut realisierbar.
Das Abfangen von Session Cookies auch mit SSL-Verbindungen war mehr ein spontaner Vortrag, aber es konnte gut gezeigt werden was das Problem mit dem Session-Cookie Handling in vielen Webanwendungen ist (die Session-ID wird bei HTTP im Klartext übertragen; dieses kann abgefangen werden. Selbst wenn man einen Redirect im Webserver hat von http auf https wird beim ersten Request der Sessioncookie mitgeschickt.). Die Nutzung von Secure Cookies (bei denen gibt es die Einschrönkung dass die Cookies nur mit https übertragen werden dürfen) ist noch nicht weit verbreitet und sollte dringend benutzt werden.

Ab dem nächsten Vortrag sind wir in der Stadtbibliothek Stuttgart im Wilhelmpalais am Charlottenplatz. Eine Top-Adresse, weil das mitten in der Stadt und für jeden gut erreichbar ist.

So wie beim letzten Vortrag wurden einige Beiträge mit Mikrofon aufgezeichnet; die Aufnahmen können hier angehört werden.

Die Financial Times und der Streit um Lizenzrecht

Die Financial Times Deutschland ist der deutschsprachige Ableger des berühmten (und oft gelesenen) Magazins Financial Times - gerade die Händler lesen diese Tageszeitung sehr interessiert und intensiv.

Die Online-Ausgabe hat in den letzten Tagen einen Artikel über Harald Welte geschrieben, der gegen GPL-Verletzungen vorgeht.

Harald ist der Meinung dass jeder der die GPL nutzt bzw. Software die unter GPL steht diese auch einhalten muss - das heisst nicht nur "Open Source" als "wir können die Software nutzen" sehen sondern auch die anderen Bedingungen unter der man die GPL-lizensierte Software nutzen darf: Den Sourcecode der eigenen Software freilegen. Seit einigen Jahren geht er auch gerichtlich gegen Firmen vor die in der Hinsicht gegen die GPL verstossen; die meisten Firmen sind da eher verschlossen und wollen das nicht zugeben; aber er kann da durchaus hartnäckig sein. Letzten Endes muss er hin und wieder vor Gericht ziehen, dort werden die Firmen dann darauf hingewiesen dass sie die Lizenz einzuhalten - oder die Software auszubauen - haben.

Was mich nun eher erschüttert ist die Konsquenz die die FTD daraus zieht: Harald nimmt den Firmen die Grundlage ihres Geschäfts. Ja, aber worauf baut das Geschäft auf? Darauf, anderer Leute Lizenzen mit Füssen zu treten?
Ausserdem haben schon viele Firmen gelernt: Nicht nur die Software selbst bringt Geld, der Support ist auch sinnvoll und die Betreuung der Kunden. Das kann man dann auch Kundenbindung nennen.

Aber für die FTD scheint das Geschäftsmodell (wie zB MySQL es fährt) uninteressant zu sein; lieber werden Unwahrheiten verbreitet. So wie jeder dafür bestraft werden sollte wenn er gegen das Gesetz verstößt (und auch Unwissen schützt vor Strafe nicht), so gilt das auch für Firmen.

(Wobei Harald ja gar nicht auf das Geld aus ist was es durch die Strafen geben kann; er will einfach nur dass die Leute sich an die GPL halten).

Nun ja, ich finde den Artikel eher seltsam und überlege ob er einen Leserbrief wert ist.

iPhone und Datenschutz

Nachdem gestern Steve Jobs zugeben musste dass die Firmware vom iPhone Funktionen hat, die - unabhängig davon was der Besitzer des iPhones möchte - Programme löschen können, werde ich wohl doch nicht wie geplant mich für das iPhone oder iPod Touch interessieren.

So schön die Oberfläche und das Design des iPhones sind; solche in meinen Augen Ungeheuerlichkeiten sind einfach ein No-No. Das Telefon gehört mir, ich habe es gekauft, ich kaufe auch die Applikationen. Zusätzlich gibt es ja schon eine Hürde; die Applikationen gibt es nur über den Apple Store. Und dort können sie sogar - je nachdem in welchem Land man ist - unterschiedlich angeboten werden; Dr. Horribles Sing-a-long-Blog gibt es zwar in den USA via iTunes, aber nicht in Deutschland.
Zusätzlich sollen Applikationen die ins Netz wollen eh immer nur über die Apple-Serverfarm gehen - ein transparenter Zwangsproxy oder so; angeblich zum Schutz der Laufleistung des Akkus.

Was hier aber im Endeffekt passiert ist dass Apple die totale Kontrolle über die Daten und das Handy hat. Während man sonst ein Handy kauft und (wenn es nicht gebrandet ist) der Hersteller dann aussen vor ist - das heisst es sind meine Daten, der Hersteller hat üblicherweise keine Möglichkeit das Handy anzusprechen; die hat nur der Provider - ist hier Apple an allem beteiligt und hat sogar mehr "Macht" auf dem Telefon als der Provider.

Ich möchte nicht erleben dass jemand Apple hackt und diverse Systemsoftware auf die Blacklist packt. Wie einfach mal MobileMe hacken kann hatte ich ja früher schon erwähnt - es reicht ein Telefonanruf um die Daten zu bekommen.

Neue Sicherheitsrichtlinien und die Auswirkungen

Gerade bei Bruce Scheier gefunden:

Im Yankee-Stadion in New York durfte keine Sonnenmilch mitgenommen werden.

Das ganze wurde nicht auf der Webseite publiziert sondern einfach beschlossen. Die Security-Leute wussten Bescheid, sonst wohl kaum jemand. Leute die mit Sonnencreme kamen mussten diese abgeben - auch die Sonnencreme für Kleinkinder.
Den Zuschauern wurde geraten sich einmal einzucremen und dann die Tuben abzugeben.

Nach entsprechenden Protesten nach dem letzten Spiel im Stadion wurde dieser Ban wohl wieder aufgehoben.

Der neue Personalausweis

Das Datenschutz-Blog hat einen sehr schönen Artikel zum neuen Personalausweis.

Insbesondere finde ich es erstaunlich dass die Bundesregierung meint dass alles sicher sei bis zum Beweis des Gegenteils.
Gerade bei krytographischen Verfahren (wie für die eID und/oder digitale Signatur) muss man sich darüber klar werden dass heute starke Verschlüsselung nur bedeutet dass sie in 5-10 Jahren leicht gebrochen werden kann - von PCs. Dafür gibt es sogar ein gutes Beispiel:

In dem UNIX-Systemen der 70er-90er Jahren war als Standard-Verschlüsselung DES benutzt worden. Die Begründung damals war dass es niemanden gibt der mit "sinnvoll" viel Geld einen Entschlüssler bauen kann der mit Brute-Force (also alles einzeln durchrechnen) DES knacken kann. Der "Point-of-even" wurde damals auf 200.000$ beziffert.

Das ist eine Menge Geld für jemanden der "nur" Passworte von User knacken will; also einfachstes Anwendungsbeispiel. Andere Beispiele wären EC-Karten; aber das zu erklären führt zu weit; aber DES wurde lange Zeit auch bei EC/Maestro-Karten benutzt.

Nun wurden Rechner mit der Zeit immer billiger und trotzdem schneller / besser und ich glaube Mitte der 90er Jahre haben sich ein paar Leute zusammengesetzt und überlegt wie sie mit einem Budget von 200.000$ einen Rechner bauen kann der nichts anderes tut als DES berechnen - aber so schnell dass er für einen Paßwortcracker benutzt werden kann. Nicht um damit Mist zu bauen sondern um zu zeigen dass DES inzwischen schwach geworden ist als Verschlüsselung.

Das ist auch dann sehr erfolgreich gewesen; O'Reilly hat ein Buch publiziert wo genau diese Geschichte erklärt wird und gezeigt wird wie dieser Rechner gebaut wurde. Ich schätze, heute würde die Hardware 20.000$ kosten; aber inzwischen gilt als Standard-Verschlüsselung bei Unix auch AES.

Bei freien Unices war es kein Problem, mit der Verschlüsselung für Passworte von DES auf Triple-DES oder MD5 zu wechseln; damit war die "Gefahr" durch DES gebannt.

Um zu dem Personalausweis zurückzukommen: Was wir aus dieser Geschichte lernen (die stark verkürzt dargestellt ist) ist dass gerade Verschlüsselungen schwächer werden je älter sie werden. Das was heute als "stark" gilt ist in einigen Jahren im Bereich der Sachen die in endlicher Zeit geknackt werden können - entweder weil die Hardware entsprechend schneller wurde oder weil Schwächen im Algorithmus oder der Implementation gefunden wurden - siehe Debian vor einigen Monaten bei OpenSSL.

Man kann sich noch nicht einmal sicher sein dass die Funktion - sofern man sie nicht bestellt hat - dauerhaft ausbleibt. Jeder der irgendwie an das Zertifikat herankommt mit dem die Einwohnermeldebehörden die Signaturen generieren (und da wird es also für jede Behörde eines geben, also gibt es auch ein paar tausend Leute die darauf Zugriff haben) kann dann für den Personalausweis eine Signatur generieren und damit ist die elektronische Signatur des Passinhabers aktiviert. Selbst wenn er das gar nicht wollte.

Da frage ich mich warum nicht die Politiker solche Sachen "quasi als Vorbild" als erste austesten und auch die Schwächen sehen dürfen...