Skip to content

Die AG Kritis hat sich gegründet

Die AG Kritis (als Idee gegründet auf tu.wat) hat im letzten Jahr viel getan; sie hat regelmäßig sich ausgetauscht und überlegt, wie sie Forderungen stellt und sachlich korrekt aber mit konkreten Zielen auftreten kann.

Herausgekommen ist die Webseite AG Kritis, auf der für mich sehr wichtige und vernünftige Forderungen stehen.

Wer das nicht weiss: KRITIS steht für "Kritische Infrastruktur" und bezeichnet Firmen, die für den Erhalt der Zivilisation in Deutschland wichtig sind - das sind die Energie- und Wasserversorger, Krankenhäuser, aber auch Telekommunikationsfirmen, Transportfirmen und ähnliches. Die endgültige Liste der KRITIS-Firmen ist geheim, aber man kann sich ja überlegen wer ein großer Energieversorger zB ist.

Die Forderungen von der AG Kritis sind unter anderem:

  • Unabhängigkeit des BSI:
  • Bis vor knapp einem Jahr war das BSI (nur) für den Bürger zuständig und sollte ihn schützen. Die neuen Aufgabengebiete zwingen das BSI, gegen den Bürger zu agieren - Stichwort Staatstrojaner, Ankauf von 0-Day-Sicherheitslücken und ähnliches
  • Ausreichende Personausstattung relevanter Behörden:
  • Gerade Experten gibt es wenige in Behörden; es gibt generell zuwenige Stellen und diese werden - oft - nicht gut bezahlt. Damit nicht nur Lobbyisten dort beeinflussen können sollte die Behörde die Expertise selbst haben - und auch sich weiterbilden können.
  • Software in KRITIS sollte Quelloffen sein:
  • Gerade in kritischen Bereichen sollte quelloffene Software benutzt werden - einerseits damit Fehler schnell gefunden werden können, aber auch damit die Erfahrungen der KRITIS-Firmen in die Weiterentwicklung der Software gesteckt werden kann und damit Allen hilft.
  • eine strikt defensive Cyberstrategie:
  • Aktuelle Bestrebungen deutscher Behörden ist, gerade im Cyberraum alles machen zu wollen, gerade auch offensiv aufzurüsten.
  • Regulierung, Aufsicht, Kontrolle:
  • Die Kontrolle der KRITIS-Firmen sollte nicht alleine in der Privatwirtschaft sein; eine von der Wirtschaft unabhängige Behörde sollte neutral Prüfungen durchführen.


Alles in allen sinnvolle und meiner Meinung nach wichtige Forderungen. Helft ihnen! Zeigt dass Ihr ähnlich denkt

Die Bahn und das Chaos mit Ersatzkarten

Ich bin ja normalerweise ein begeisterter Bahnfahrer und nehme gerne auch den Service und die Qualität der Bahn in Schutz. Aber heute muss ich über ein Ereignis berichten, wo ich mich ersthaft frage warum die Bahn glaubt so mit ihren Kunden umgehen zu können.

Meine Frau und ich haben beide Bahncards 25 First. Sie eine Partnerkarte, ich eine Hauptkarte mit Bahn-Comfort Status. Ich hatte irgendwann auch eine BahnBonus-Karte zugeschickt bekommen, aber die liegt ungenutzt zuhause weil ich sie nicht benötige - ich habe ja meine BC25 First.

Es ist passiert: Ich habe auf einer Bahnfahrt mein Portemonnaie verloren.
Das Geld ist mir fast egal, viel wichtiger sind die beliebten Plastik-Karten und Ausweise die man so hat: Personalausweis, Führerschein, Bahncard, Bibliotheksausweis, Gesundheitskarte und so weiter.
Während es erstaunlich einfach ist, neue behördliche Ausweise zu bekommen (ich brauchte genau ein Foto von mir!) wirft mir die Bahn viele Steine in den Weg.
Was macht man also, wenn man weiss dass man in naher Zukunft eine weitere Bahnfahrt vor sich hat und dafür ggfs. eine Bahncard braucht?
Richtig, man bestellt eine Ersatzkarte.
Ich habe mich also auf dem Portal der Bahn eingeloggt, bin auf die Seiten des BahnCard-Services gegangen und bei "Ersatzkarte bestellen" habe ich die Karte gesucht die meinen Namen trägt und dafür eine Ersatzkarte bestellt.
Kurz darauf kam eine Rechnung für diese Ersatz-Karte. Auf der Rechnung stand auch nur "Ersatz-Bahncard"

Nachdem ich die Rechnung beglichen hatte wartete ich auf die Karte. Nach ca. 3 Wochen ging ich einmal zum Bahnschalter in Stuttgart und fragte ob sie eine papierne Ersatz-Karte ausstellen könnten, damit ich zugfahren könnte. Sie verneinten und verwiesen auf das Callcenter des Bahncard-Services. Okay.
Also rief ich da an. Die erste Person meinte sie könnte mir nicht helfen (sie war BahnComfort), also vermittelte sie mich an den Bahncard-Service weiter. Der schaute sich den Vorgang an und bat um mehr Zeit. Nach ca. 5 Minuten holte er mich aus der Warteschleife und meinte da sei was komisches - für mich sei eine BahnBonus-Card bestellt worden aber keine Bahncard. Diese sei gerade im Druck und daher noch nicht bei mir.
Ich war sehr überrascht und fragte wieso da eine BahnBonus-Card wäre, ich wollte doch eine BC25. Er meinte die sei wohl so bestellt worden.
Ich habe dann ein paar Tage gewartet und tatsächlich - was ich per Post zugeschickt bekommen hatte war eine BahnBonus-Karte. Eine Karte die mir bei Bahnfahrten gar nicht hilft.
Per Twitter fragte ich den DB Kundenservice ob das richtig und ernst gemeint sei, insbesondere weil auf der Rechnung nichts von einer Bonus-Card sondern von einer Ersatz-Bahncard steht und sie meinten, ich sollte per Email den Bahnservice anfragen.
Das habe ich dann auch gemacht mit einer Email.
Nach ca. 5 Wochen bekam ich (heute) eine Antwort, die sinngemäß aussagt: Ich hätte eine BahnBonus-Card bestellt und bei der Rechnung hätte ich anhand der falschen Endziffern der Kartennummern erkennen können dass es die falsche Karte ist.

Nun ja. Das kann man so sehen.
Ich hänge hier zwei Screenshots an den Artikel die meine Sicht auf das Bahn-Portal aktuell anzeigen.



Das eine ist die Übersicht zum Bestellen einer Ersatzkarte: Wie man sieht ist dort nur eine (Partner)-Ersatzkarte angezeigt, das ist die Karte meiner Frau. Da waren vorher zwei Einträge, daher war für mich in der Situation klar dass das nur meine BC25 First sein kann die ich jetzt Ersatz-bestelle. Jetzt ist da gar kein Eintrag für mich drin - heisst das, ich besitze laut der Deutschen Bahn keine BahnCard die mit diesem Konto verknüpft ist?


Wenn dem so sei, wieso sehe ich in Screenshot 2 die Rechnungen für beide BahnCards - und auch eine (kostenlose) für die Bahn.bonus-Card? Warum ist dort von einer Bahn.Bonus-Karte die Rede, bei der Rechnung mit den Ersatz-Karten aber offensichtlich nicht? Woran erkennt kein Meister der Verfahren den Unterschied?

Soweit mag das alles , was der Bahn-Service da macht,richtig sein; das kann und mag ich nicht beurteilen, aber ich stelle mir da durchaus als Kunde, der ernstgenommen werden möchte, folgende Fragen:

  1. Wer kennt denn - gerade in Stress-Situationen wie dem Verlust seiner wichtigsten Papiere - denn die 16stellige Kartennummer jeder Karte die er üblicherweise mit sich führt? Denn die Twitter- und BahnService-Antworten legen nahe dass diese Nummer die wichtigste Identifikation seitens der Bahn ist. Das mag für normale Situationen der Fall sein, aber wenn ich dafür sorgen möchte dass ich möglichst schnell wieder meine BahnCard nutzen will dann hilft es nicht, dass ich irgendeine Karte auswählen kann, eventuell die falsche.

  2. Warum sehe ich in Screenshot 1 aktuell weder die Bahncard25 First, die ich habe, _noch_ die Bahn.Bonus-Card? Laut der Deutschen Bahn müsste ich da ja zwei Karten sehen - ich sehe aber gar keine. Und das, wo ich die Rechnung für alle drei Karten (meine zwei + eine meiner Frau) sehen kann.



Ich habe es dabei noch relativ gut. Ich habe zum Glück meine Bahncard in meiner DB-App drin und kann diese vorzeigen. Ja, ich hätte vielleicht auch da nach der Nummer schauen können und diese prüfen können. Aber noch einmal: Ich war in einer Stress-Situation, ich hatte gar keine Ahnung von einer Bahn-Bonus-Karte (die ich nie genutzt habe und auch nie nutzen werde) und hatte nicht die Wahl zwischen zwei Karten die ich hätte ersatzweise bestellen können.

Liebe deutsche Bahn: Das was ihr hier gezeigt hat ist ein Service-Fail: Nicht nur, dass ich als Kunde offensichtlich falsche Infomationen angezeigt bekomme - oder nicht vollständige, das dürft Ihr herausfinden, ihr erwartet zusätzlich dass der Kunde Eure Prozesse und Prioritäten versteht. Ich brauche meine BC-Kartennummer fast nie. Genau deswegen habe ich ja die Karte, damit ich sie mir nicht merken muss. Und sich dann darauf zu versteifen dass diese die wichtige Information ist und ich diese in Notsituationen prüfen muss empfinde ich als beschämend.

Ich bin wirklich neugierig wie Ihr mir erklärt was ich hätte besser machen sollen und können. Wenn es eine sinnvolle und rationale Erklärung oder Möglichkeit gibt, werde ich auch gerne diesen Beitrag aktualisieren. Wie wäre es?

Verschlüsselte Filesysteme unter Linux: Anlegen und vergrößern

Dies ist primär ein Eintrag für mich, damit ich nicht vergesse wie ich Dinge aufgesetzt habe ;-)

Ich habe ein Filesystem das verschlüsselt werden soll - es ist keine Systemplatte sondern Nutzdaten. Damit kann ich mir sparen, große Verrenkungen machen zu müssen wegen Root- oder Bootpartition.
Also, einfach nur eine Festplatte, oder besser: ein Volume. Da ich potentiell mit RAID0 arbeiten möchte (Stripes) oder Platten konkatenieren möchte, bietet sich lvm mit LUKS zusammen an. lvm und LUKS können andere Leute viel besser erklären, daher erspare ich mir das.

Also erstellen wir erst einmal ein logisches Volumen (pv und vg sind bereits angelegt)

lvcreate -L 1T -n Daten-crypt Daten

Hiermit erstelle ich ein logisches Volumen aus der Volume Group "Daten". Diese ist 1TeraByte groß und heisst dann "Daten-crypt".


cryptsetup -y --cipher aes-cbc-essiv:sha256 --key-size 256 luksFormat /dev/Daten/Daten-crypt


Hiermit erstelle ich eine verschlüsselte Partition auf dem Volumen Daten-Crypt. Ich gebe dann das Passwort ein das ich dafür nutzen möchte. Das sollte ich tunlichst mir aufschreiben ;-)

OpenMediaVault hat netterweise ein gutes GUI, mit dem ich auch solche Filesysteme aufmachen kann. Dann muss ich mir den CLI-befehl nicht unbedingt merken:


cryptsetup luksOpen /dev/Daten/Daten-crypt Daten-crypt



Wunderbar, das funktioniert.

Wenn ich dies nun erweitern möchte, geht das wie folgt:

Ich öffne das verschlüsselte Filesystem und unmounte es, falls es gemounted ist.

Dann vergrößere ich das Volumen:

lvresize -L +500G /dev/mapper/Daten-Daten--crypt

dann - weil ich vorsichtig bin - mache ich einen Filesystemcheck:

e2fsck -f /dev/mapper/Daten-Daten--crypt-crypt


Das sollte sauber durchlaufen, ohne Probleme!

Wenn das geschafft ist, kann man das verschlüsselte Volumen auch "ordentlich" vergrößern:

cryptsetup resize /dev/mapper/Daten-Daten--crypt-crypt

Damit wird dem Filesystem quasi gesagt, dass sich dass darunterliegende Volume geändert hat. Wenn keine Fehlermeldung kommt ist alles gut ;-)

resize2fs -p /dev/mapper/multimedia-multimedia--crypt-crypt


Hiermit wird das Filesystem dann wirklich vergrößert.

Ich mache danach üblicherweise noch einen Filesystemcheck, bevor ich das Filesystem wieder in Benutzung nehme.

AVM und IoT: Eine interessante Sichtweise?

Heute habe ich eine Diskussion auf Twitter mitbekommen, dass AVM scheinbar in seine SmartHome Netzschalter (Also Steckdosen An- und Ausschalter) Lautstärkesensoren einbaut. Ohne dass dies im Handbuch erwähnt wird oder dem Käufer auf der Verpackung mitgeteilt wird. Im Changelog zu neuen Firmwareversionen steht es wohl drin und auch, dass das Mikrofon standardmäßig ausgeschaltet ist.

Mich stören an dieser Geschichte mehrere Dinge:
- Informationspolitik 1: AVM verbaut Sensoren in Geräte und weist darauf nicht hin. Auch wenn AVM selbst vielleicht(?) diese Sensoren nicht auslesen konnte - oder dieses zumindest nicht zugibt - ist der Sensor seit 2013 in den Geräten verbaut. Da man diesen Geräten von aussen nicht ansieht welche Sensoren es gibt und wohin die Daten geschickt werden kann man nicht nachvollziehen ob hier Sensorendaten unbemerkt ausgelesen wurden.
- Informationspolitik 2: In der Diskussion hat der AVM-Twitteraccount dann gemeint, es sei ja alles nicht so schlimm, ich müsste das Gerät ja nicht kaufen. Das heisst aber, AVM hat den Kern der Problematik nicht verstanden.
- Privacy by Design: Wenn man solche Sensordaten auswerten kann (laut AVM kann der Sensor nur Klatschen oder so etwas erkennen, keine Sprache), kann man daraus viel lernen über einen Haushalt. Gerade AVM-Geräte werden oft im privaten Haushalt eingesetzt, Datenschutz spielt da eine große Rolle, Privatsphäre ist wichtig. Solche Sensoren können viel verraten über die Gewohnheiten von Bewohnern - und ob sie gerade zuhause sind oder nicht. Möchte ich dass solche Daten überhaupt entstehen? Möchte ich dass AVM sie "mir zur Verfügung stellt" oder möchte ich sie - wenn überhaupt - entweder verschlüsselt haben, so dass keiner ausser mir sie sich anschauen kann?
- Privacy by Design: Es wurde als Anregung noch mit auf den Weg gegeben dass man für solche Sensoren doch einen Hardware-Schalter anbringen könnte, der deutlich sichtbar (und von Software unabhängig!) zeigt ob Sensoren aktiv sind oder nicht. Das wurde abgelehnt weil das ja Software machen kann... die natürlich nie Fehler hat.

Bei einem solchen Verhalten von Herstellern muss man sich echt überlegen welche (smarten?) Geräte man sich noch kauft. Oder einen großen Fragebogen für Wohnungen, die man besucht machen, etwa so:

Sehr geehrter Hausherr,
ich möchte Sie gerne besuchen. Da ich Datenschutz und Privatsphäre für sehr wichtig erachte, möchte ich Sie um die wahrheitsgemäße Beantwortung folgender Fragen bitten:
- Besitzen Sie Geräte, die Gesprächen lauschen und gegegebenfalls auf Sprache untersuchen? (Beispiel: Siri im AppleTV, Alexa von Amazon, Google Pendants, SmartTVs)
- Besitzen sie Geräte, die Personen und deren Gesichtsausdrücke überwachen können (Kameras, XBox Spielekonsole)?
- Besitzen Sie Geräte, die biometrische Merkmale aufzeichnen und überprüfen? (Fingerabdruckscanner, Irisscanner)
- Besitzen Sie Geräte, die Funkwellen auswerten und unsichtbar die Daten abfragen (RFID-Leser, NFC-Leser)?

Vielen Dank für die Beantwortung der Fragen


Vielleicht gar keine so schlechte Idee. Eventuell noch paaren mit ein paar Logos die man an die Wohnungstür vorher kleben kann ;-) So ähnlich wie CC-BY-NC oder so...

Fake-News und der Aufschrei in sozialen Netzen

Ich lese immer mehr über Fake-News und wie sie bekämpft werden sollen. Meistens hängen die Schreiber sich daran auf, dass Fake-News von allen Leuten einfach weiterverbreitet werden ohne zu hinterfragen ob die eigentliche Meldung(?) korrekt ist.
Man kann jetzt hin und herdiskutieren was man machen kann und will und soll. Mir fallen aber einige Sachen auf:
- Bei immer mehr seriösen Nachrichtenportalen kann man die Meldungen nicht mehr verifizieren, weil sie entweder hinter einer Paywall stehen oder Anti-Adblocker einsetzen. Beides sorgt dafür dass zwar vielleicht mehr Geld in die Kasse der Verleger kommt, aber die entsprechenden Meldungen nicht geprüft werden können. Das hilft Fake-News, verbreitet zu werden.
- Es werden kaum Nachrichten geprüft. Früher™ war es so, dass Nachrichten auf seriösen Webseiten erst abgedruckt oder veröffentlicht wurden, wenn die Meldung aus zwei unterschiedlichen Quellen geprüft und bestätigt wurde. Und diese beiden Quellen durften nichts miteinander zu tun haben was diese Meldung angeht. Diese Art der Prüfung hat dafür gesorgt, dass vielleicht Nachrichten etwas länger brauchten, aber dabei solide geprüft wurde und die Nachricht auch eine Authentizität und eine Reputation hatte.
Das Endergebnis ist, dass es Fake-News relativ leicht haben und – dank Aufmerksamkeitsheischerei ein beliebtes Mittel sind. Und wie alles immer schnell gehen muss und man keine Zeit zum Prüfen hat übernimmt man alles einfach ungesehen.

Was können wir nun tun? Eigentlich ist es – wie immer – sinnvoll, mal einen Gang zurück zu schalten und zu schauen was man machen kann oder soll.
Ich würde mir von seriösen Quellen einfach wünschen, sie würden tl;drs der Meldungen signieren und ohne Kosten mit Signatur veröffentlichen. Dann kann man die Behauptung verifizieren, ohne den gesamten Artikel zu lesen / kaufen. Davon haben beide Seiten was: Die Nachrichtenseite verbreitet ihre Nachrichten und die Leser können die Korrektheit der Aussage (aus Sicht der Nachrichtenseite) verifizieren. Damit kann zumindest Fake-News ein wenig der Riegel vorgeschoben werden.
Und – ganz ehrlich – wer absichtlich solche Fake-News erstellt sollte dafür auch die Haftung tragen. Es ist nunmal ein Unterschied ob man beim Stammtisch etwas behauptet (kleine Runde von Leuten, übersichtlich, man kennt sich) oder ob man in einem sozialen Netzwerk für alle Interessierten (die man üblicherweise nicht kennt) Behauptungen aufstellt und veröffentlicht. Langsam sollte das allen Beteiligten klar sein, das soziale Netze sich nicht nur aus den Leuten zusammensetzen die man selbst kennt und die ggfs. gleichgesinnt sind. Oder fehlt diese Erkenntnis noch?

Virtualbox auf dem Laptop: Automatisch VMs runterfahren bei Suspend

Ich mag es, dass mein Laptop Suspend machen kann. Er bleibt im aktuellen Zustand, verbraucht keinen Strom, ich kann ihn einfach mitnehmen.
Bei virtuellen Maschinen kann das ein Problem werden - muss nicht, aber kann. Es passiert immer wieder dass diese dann plötzlich ausgeschaltet sind (irgendein Hickup zwischendurch). Daher habe ich nach einer Methode gesucht, mit der ich Virtualbox anweisen kann, bei einem Suspend alle Maschinen automatisch zu speichern und anzuhalten.

Gefunden habe ich tatsächlich etwas; auf askubuntu.com. Das habe ich allerdings modifiziert, bei mir sieht das Script wie folgt aus:


#!/bin/sh
#
# 90virtualbox: scan for active virtual machines and savestate them on host suspend

VBoxManage list runningvms | while read line; do VBoxManage controlvm "$(expr match "$line" '"\(.*\)"')" savestate; done



Mal sehen ob es so funktioniert wie ich es mir erhoffe.

Streaming vs. Besitzen: Der "Verlust" von Filmen und Serien

Gestern abend beim CCCS -Stammtisch hatten wir das Thema und heute hat Isotopp das Thema ebenfalls: Streaming-Anbieter haben oftmals ihren Content nur für einige Zeit. Warum auch immer, selbst bei eigenproduzierten Serien scheint dies der Fall zu sein; besonders wenn man nicht im Original-Land (oftmals USA) ist sondern in einem Land, wo es oft eine Synchronisation und/oder fremdsprachige Untertitel gibt.
Das mag bei Filmen nicht ganz so schlimm sein, aber spätestens bei Serien ist das doof. Serienfolgen bauen aufeinander auf, wenn eine Storyline sogar über mehrere Seasons geht möchte man die Folgen nachschauen können, oder zumindest einige Hinweise später noch einmal verfolgen können. Wenn die Serien dann auf einmal verschwinden ist nicht nur der aktuelle Spass weg, man kann nicht einmal Kollegen oder Freunde von der Serie überzeugen, weil die Folgen sind ja nicht mehr verfügbar.

Genau dieses Verhalten ist der Grund warum ich recht viele Serien als Blu-Ray oder DVD besitze. Erst in letzter Zeit gehe ich zum Streamen über.

Aber genau dieses Verhalten erleben wir dort gerade: Die früheren Seasons aktueller Serien werden ohne Warnung oder ohne Bekanntmachung nicht mehr zur Verfügung gestellt. Egal ob das Doctor Who 2005, Star Trek Universum oder ähnliches ist.

Isotopp hat um entsprechende URLs gebeten, ich würde hier gerne eine entsprechende Liste zusammenstellen. Isotopp hat angefangen; wer noch weitere Links hat, mag sie mir schicken oder zukommen lassen. Ich persönlich mag Blogs lieber denn soziale Netze wie GooglePlus, daher mache ich daraus einen eigenen Blogeintrag ;-)





Update:Wie @WhatsOnPrimeNow erklärt, haben sie nur die US-relevanten Medien aufgeführt. Zusätzlich ist Amazon ihrer Erfahrung nach gerade dabei, diese Ankündigungen bzw. Listen zu Sachen die sie delisten auszuschalten. Mit anderen Worten, die Kunden sollen nicht mitbekommen welche Serien und Filme nicht mehr angeboten werden.
Ich selbst bin der Meinung, dass solche Ankündigungen für die Kunde sinnvoll sind und würde mich freuen wenn die Anbieter diese rausgeben müssten.

Internet of Things: Wie man Dinge nicht erleben möchte

Gerade auf Twitter gefunden:
Jemand hat eine fernsteuerbare Steckdose gefunden. Bei Amazon. Er hat sie günstiger bekommen weil er dafür einen Review schreiben sollte, der nett ist.
Er hat den Review auch geschrieben, der erste Absatz ist nett.
Aber dann hat er sich diese Steckdose etwas näher angeschaut, genauer gesagt ihre Verbindung zu seinem Smartphone und wie das funktioniert mit dem WLAN.
Es stellt sich heraus, dass man entweder ein iPhone oder ein älteres Android-Telefon braucht, um diese Steckdose in das WLAN zu bringen. Doof, aber machbar. Um das herauszufinden musste er sich die Steuerung dieser Steckdose näher anschauen. Was er dabei entdeckt hat ist mehr als katastrophal:
Man muss nicht in demselben WLAN bzw. Netzwerk sein wie die Steckdose um diese fernzusteuern. Es reicht, die MAC-Adresse (quasi weltweit eindeutige Netzwerkgerät-Adresse, so wie ein Autokennzeichen) der Steckdose zu kennen und einen Befehl dafür an einen Server in China zu schicken. Dieser Server kennt von allen diesen Steckdosen die IP-Adresse, sucht über die MAC-Adresse die richtige IP-Adresse zu der der Befehl gesendet werden soll - und tut das. Egal wo der Befehl herkommt.
Die einzige Chance die ich habe um mich davor zu schützen ist diesen Server in China in meiner Firewall zu blocken. Ich als IT-affine Person weiss wie das geht, aber Otto-Normalverbraucher eher nicht.
Wieder eine Geschichte mit "gut gemeint". Und ich überlege noch ob und wie ich meinen Arduinos Netz geben will...

Warum Auto-Hacks absehbar sind

Als hätte ich es geahnt... Volkswagen hat massive Sicherheitsprobleme und verhüllt sie anstatt sie zu lösen.

Seit drei Jahren ist Volkswagen bekannt dass Schlüssel für ihre Autos und deren "Security" trivial zu brechen sind. Brechen weil - wie bei Mifare Classic (der Vergleich drängt sich einfach auf) - viele einfache Sicherheits-Schranken erst gar nicht gesetzt wurden. Der Pool an Zufallszahlen ist viel zu klein, es gibt keine Beschränkung der Anmeldeversuche, der Halter des Wagens wird gar nicht über Fehlversuche informiert (wenn da 1000 stehen könnte er sich ja Gedanken machen) und so weiter.
Wenn das Auto gestohlen wird, geht dann natürlich die Versicherung davon aus dass der Halter den Schlüssel liegengelassen hat. Oder der Dieb anders dran kam; weil es gibt ja keine Einbruchsspuren. Der Halter müsste also beweisen dass noch alles in Ordnung ist bei ihm; die Umkehrung der Unschuldsvermutung.
Das perfide ist aber: Volkswagen weiss das seit drei Jahren. Und anstatt was zu machen haben sie die Forscher gezwungen, ihre Forschungsergebnisse zurückzuhalten. Das heisst, Diebe haben seit drei Jahren leichtes Spiel.
Wurde in den drei Jahren etwas gemacht? Wurden die Schlüssel und die entsprechenden Sicherheitssysteme in den anfälligen Autos getauscht?
Nein. Warum auch? Es gibt keinen Aufschrei.
Und genau deswegen sollte Security by Obscurity verboten sein. Ich weiss nicht, wieviele Autos inzwischen als gestohlen gemeldet wurden aus diesen Fahrzeugreihen, aber es wurde den Dieben ziemlich einfach gemacht...

Hacks an Autos sollen zu schwer sein...

Heute las ich einen Artikel, dass Sicherheitsforscher der Meinung sind dass Auto-Hacks schwer zu kopieren sind.

Meine Erfahrungen gehen in die andere Richtung: Alles wird versucht zu vereinheitlichen innerhalb eines Konzerns, um Synergie-Effekte zu haben. Das bedeutet dass dieselben Komponenten (Hard- aber auch Software) überall benutzt werden.
Und weil "Security by Obscurity" so gut funktioniert wird erwartet dass "weil ja niemand etwas weiss" alles sicher ist.
Selbst wenn "nur" das Auto raustelefonieren darf - was hindert mich daran, von innen eine TCP-Verbindung aufzumachen und stehenzulassen? Okay, ich brauche eventuell physischen Zugriff. Oder ein speziell angepasstes mp3-Stück welches ich dem Inhaber des Autos mitgebe. Standard-Libraries (Open Source) haben den Vorteil dass sie für Firmen kostenlos zu benutzen sind und daher auch gerne eingesetzt werden. Wohin das führt sah man schon bei vielen snmp-Bugs, wo plötzlich Hersteller wie Cisco, Juniper, ... alle auffällig zeitgleich ihre Systeme patchen mussten.
Also sorry, ich glaube nicht dass es ausreicht sich darauf zurückzuziehen, dass es zu schwer wird oder es sich nicht lohnt.

Wie man Katastrophen abwendet, heute: Löschen von LUKS-Schlüsseln

Ich bin deutlich zu experimentierfreudig.

Ich habe vor einiger Zeit meinem Laptop beigebracht, die verschlüsselte LUKS-Partition nicht nur über eine Passphrase, sondern auch über eine (andere) Passphrase, gepaart mit meinem Yubikey zu entschlüsseln.

Das hat sich heute gerächt, weil ich den Yubikey für andere Zwecke umkonfiguriert hatte. Ich dachte dann, diesen Slot in LUKS löschst Du mal.

Dafür muss man immer noch ein funktionierendes Passwort angeben.
Dumm nur: Es wurde das Passwort gelöscht welches ich eingegeben hatte. Ganz dumme Geschichte - damit wäre beim nächsten hochfahren das System nicht mehr hochgekommen, weil kein Entschlüsselungs-Schlüssel mehr bereit gewesen wäre; den initialen hatte ich gerade gelöscht und der Yubikey hatte andere Werte.

Was tun fragte ich mich, besonders weil eine Suchmaschinen-Suche auf diese Fragestellung keine eindeutige Antwort gab. Ich sah mich schon alles Backuppen, formatieren und restoren (oder - wenn ich gut drauf gewesen wäre - neues Device mit luks anlegen, dd if.. of ... von A nach B schieben).

Mein Glück ist, dass das Laufwerk ja noch online und damit geöffnet ist. Auch der Master-Key ist (für root) auslesbar.

Zugschlus ist gerade auf der DebConf und hat Margarita Manterolagegenüber sitzen. Und sie kennt luks sehr gut. Ich weiss nicht ob sie aus Erfahrung spricht, aber sie hat den richtigen Tip gehabt:


# cryptsetup luksAddKey $device_name --master-key-file <(dmsetup table --showkeys $volume_name | awk '{print $5 }' | xxd -r -p)


Mit anderen Worten: hole via "dmsetup table --showkeys" den Master-Key aus dem noch geöffneten Volume; bereite die Ausgabe ein wenig auf und gibt sie cryptsetup um einen neuen (initialen) Key für das LUKS-Device zu geben. Mit Hilfe des Master-keys kann man also auch ohne einen (bekannten) Schlüssel einen neuen Schlüssel zu einem LUKS-Device hinzufügen.

Das war für mich jetzt die Rettung. Und ich werde mir diese Kombination definitiv merken, danke marga!!

(Update: der Befehl geht länger... jetzt wird er nicht mehr abgeschnitten!)

Das neue Informationsfreiheitsgesetz des Landes Baden-Württemberg - und die Kommentare

Baden-Württemberg rühmt sich, bürgerfreundlich und bürgernah zu sein. Trotzdem gibt es bisher kein Informationsfreiheitsgesetz wie es der Bund und fast alle anderen Bundesländer bereits hat.
Dies möchte die Landesregierung ändern und hat durch das Innenministerium einen Entwurf zu dem IFG vorgelegt, den man auch kommentieren darf. Sehr löblich.
Wenn man allerdings kommentieren möchte soll man sich registrieren. Das heisst, man schreibt einen Text, drückt auf "Vorschau" - und dann soll man sich plötzlich anmelden.
Na gut.
Also eine Mailadresse generieren, ein Paßwort sich ausdenken und ins Keepass werfen, auf die Bestätigungsmail warten, Link anklicken zur Bestätigung und hoffen dass das kein Phishing war (Digitale Unterschrift ist ja sowas von gestern...). _Danach_ kann ich mich mit meinem selbstgewählten Paßwort einloggen.
Und heiße da erst einmal "Ohne Namen 28180". So soll mein Kommentar abgeschickt werden.
Finde ich nicht gut, also möchte ich meinen Namen ändern. Ganz rechts oben auf der Webseite ist inzwischen auch ein neuer Punkt zum Anklicken - "Mein Profil".
Hey, gut! Ich darf mein Profil ändern! Was steht denn da über mich drin?
Positiv: Nur mein Name und eine Möglichkeit das Paßwort zu ändern.
Ich ändere meinen Namen.... aber wo kann ich bitte das ganze speichern?
Profilaenderung





Auflösung: Rechts unten die Werbung wegklicken und man findet auf einmal den Knopf.

OpenPGP Key Transition Statement for Hanno 'Rince' Wagner

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1,SHA512

OpenPGP Key Transition Statement for Hanno 'Rince' Wagner

I have created a new OpenPGP key and will be transitioning away from
my old key. The old key has not been compromised and will continue to
be valid for some time, but I prefer all future correspondence to be
encrypted to the new key, and will be making signatures with the new
key going forward.

I would like this new key to be re-integrated into the web of trust.
This message is signed by both keys to certify the transition. My new
and old keys are signed by each other. If you have signed my old key,
I would appreciate signatures on my new key as well, provided that
your signing policy permits that without re-authenticating me.

The old key, which I am transitioning away from, is:

pub 1024D/9B7E8785 2012-02-13 [expires: 2017-02-11]
Key fingerprint = 9B29 43C1 E851 EB1F 5EE1 399E 002E CB48 9B7E 8785


The new key, to which I am transitioning, is:

pub 3744R/4CF2D85A 2014-12-19 [expires: 2024-12-16]
Key fingerprint = A757 23A1 76CD E346 0449 956A 7C31 92F1 4CF2 D85A

The entire key may be downloaded from: https://blog.rince.de/4cf2d85a.txt

To fetch the full new key from a public key server using GnuPG, run:

gpg --keyserver keys.gnupg.net --recv-key 4cf2d85a

If you already know my old key, you can now verify that the new key is
signed by the old one:

gpg --check-sigs 4cf2d85a

If you are satisfied that you've got the right key, and the User IDs
match what you expect, I would appreciate it if you would sign my key:

gpg --sign-key 4cf2d85a

You can upload your signatures to a public keyserver directly:

gpg --keyserver keys.gnupg.net --send-key 4cf2d85a

Or email wagner@rince.de (possibly encrypted) the output from:

gpg --armor --export 4cf2d85a

If you'd like any further verification or have any questions about the
transition please contact me directly.

To verify the integrity of this statement:

wget -q -O- http://blog.rince.de/download/key-transition-2014-12-23.txt|gpg --verify

Hanno
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=5nn0
-----END PGP SIGNATURE-----

Wie ich Daten von einem Handy aufs andere bekomme: Threema und TextSecure

Gestern abend ist mein Handy, ein nexus 4 heruntergefallen.

Es ist so blöd gefallen dass links unten das Display ordentlich aufgeratscht ist - mit dem Effekt dass man bei der Bildschirmtastatur nur noch wenig tippen kann und die Menütasten gar nicht tun.
Nun war natürlich die Frage, wie komme ich an die Daten dran?
Ich habe mich an den Blogeintrag von Kris Köhntopp erinnert, wo er drüber geflucht hat dass die Daten so schlecht von Handy zu Handy migriert werden können und befürchtete schlimmes - aber so schlimm wurde es dann gar nicht.

Mein Glück waren folgende Umstände:
- Ich hatte bereits ein neues Handy
- Im Gegensatz zu vielen Freunden und Bekannten habe ich nicht alles bei Google synchronisiert, nur meine Apps (das sehe ich als Vorteil an), da ich diese über den Play store gekauft habe
- Ich habe aber Dropbox + Boxcryptor zum Datentransfer. Boxcryptor verschlüsselt die Daten auf dem Handy, so dass bei Dropbox dann nur verschlüsselte Daten ankommen und nicht geschaut werden kann was in der Datei steckt.

Erstes Problem: Wie kann ich überhaupt das Handy ansprechen wenn das Display kaputt ist?
Es hat ein wenig gedauert, aber ich konnte über den Google Playstore Teamviewer Quick Support installieren
Dies brachte mich in die Lage, mit Hilfe von Teamviewer auf meinem PC das Display anzusteuern.
Da ich aber möglichst nichts über die Cloud machen wollte habe ich dann einen VNC-Server auf dem Handy installiert und mit TightVNC auf dem PC weitergearbeitet.
Nun hatte ich vollständigen Zugriff auf das Handy, auch mit Touch-Gesten. Super!

Nächstes Problem: Daten von Threema und TextSecure zu migrieren.
Beides ging relativ einfach, auch wenn ich unterschiedliche Wege gehen musste:
- Threema bietet ein verschlüsseltes Backup an. Dies konnte ich anlegen und dann teilen - und über den Teil-Mechanismus konnte ich die Datei Boxcryptor übergeben.
Auf dem neuen Handy konnte ich diese Datei in den Ordner Threema\Backups legen, Threema starten und das Backup einspielen
Ergebnis: Alle Kontakte mit ihren Stati (verifiziert oder nicht) waren wieder da, die Gespräche ebenfalls.

Textsecure bietet aktuell kein verschlüsseltes Backup an. Daher bin ich dort einen anderen Weg gegangen.
Ich habe mit Titanium Backup Pro ein Backup dieser Anwendung inklusive der Daten gemacht.
Dieses habe ich dann wieder via Teilen auf Boxcryptor gelegt (damit war es verschlüsselt) und dann auf dem neuen Handy wieder mit Titanium Backup wieder hergestellt.
Jetzt musste ich einmal den Dienst de-registrieren und wieder registrieren und danach tat alles wieder.

Das einzige was noch fehlt mangels Zeit ist das Synchronisieren meiner Kontakte und Kalender-Daten,
daran arbeite ich nachher weiter.
Und für meine Musiksammlung fehlt mir was zum sinnvollen Synchronisieren ohne Google-Mechanismen.
Mal schauen was ich da noch finde ;-)

Arbeiten am Häusle: Bohrhammer und Handschuhe

Nach unseren ersten Tagen im neuen Haus kam irgendwann auch der Boden dran - wir mussten zumindest mal unter das Linoleum und die Teppiche schauen. Das ging teilweise gut (nicht verklebt), teilweise war es eine Katastrophe (gut verklebter Teppich auf Linoleum. Eine Plackerei. Nein, nicht wasserlöslich).
Unter dem Linoleum fanden wir Magnesitestrich. Das ist Estrich mit einem Anteil Holzspäne. Leider war er nicht nur aufgelegt auf den darunterliegenden Beton - nein, er muss festgeklebt worden sein.
Das hiess, der Bohrhammer musste zur Hand genommen werden. Zum Glück hat mein Vater einen dafür passenden und ich habe mich daran versucht. Knapp eine Stunde.

Die nächsten drei Tage bin ich mit schmerzenden Händen und Armgelenken herumgelaufen - man braucht viel Kraft, um den Bohrhammer gegen den Beton zu stemmen, damit der Bohrhammer dann auch den Estrich lösen kann. Der Bohrhammer selbst hämmert dann den Meissel gegen den Beton, diese Rückschläge bekommen die Hände natürlich auch ab. Ich war drauf und dran zu sagen, dass diese Plackerei bitte Handwerker machen sollen.

Zum Glück konnte mir ein Freund helfen - er sprach die magischen Schlagworte "Schockresistent" und "Anti-Vibrations Arbeitshandschuh", und damit fand ich dann plötzlich das richtige Hilfsmittel.
Ein paar Tage später kam das Handschuhpaar. Und was soll ich sagen: Ja, man braucht Kraft für den Bohrhammer. Aber mit den Handschuhen habe ich dann keine Schmerzen mehr in den Händen - damit ging das Hämmern relativ gut. Es ist immer noch anstrengend, aber lange nicht mehr so schmerzhaft ;-)