Der Zaubberer mit dem Hut in der großen weiten Welt

Adminalltag: Du macht mit dem Kollegen der neue Rechner aufsetzen soll ein Admin-Paßwort aus. Am nächsten Tag möchtest Du auf die neuen Rechner drauf - und es klappt nicht.

Nach hin und her überlegen kommt raus dass er zwar das PW sich richtig aufgeschrieben hat - aber seine Finger einen weiteren Buchstaben hineingeschmuggelt haben...

Wie ich gerade gesehen habe hat MySQL eine Alpha-Version ihrer Workbench-Software für Linux freigegeben. Fein, dachte ich, kannst Du das ja gleich ausprobieren.
Ich habe in einer Virtualisierung Debian (Lenny) und wollte damit testen. Das erste Problem: das Debian-Paket von MySQL ist nur für i386 gebaut, ein Source-Debian(Ubuntu)-Package gibt es aber. Gut, dachte ich, selbst compilen ist nicht schlimm.

Als allerdings der configure nach "google/templates.h" suchte war ich verwundert - aber tatsächlich, die WorkBench möchte Googles C-Template-Library nutzen. Diese ist zwar als Paket vorhanden; aber - wen wunderts - auch nur als i386-Paket, nicht als x86_64, was ich habe. Leider gibt es davon kein Debian-Source-Paket sondern nur das .tar.gz.

Das lässt sich herunterladen und nach einer Menge Pakete die ich zum Compilen brauche ist auch diese Library inklusive der Headerdateien in /usr/local installiert.

Das Compilen der Workbench geht dann - es dauert recht lange, aber es funktioniert. Als letztes scheitert der Debian-Packager daran dass er keine Ahnung hat in welchem Paket das libctemplate-Zeugs ist (kein Wunder, das war ja lokal installiert), aber darum kümmere ich mich nächstens.

Schade dass es nicht von vorneherein x86_64 Pakete gibt, aber man kann wohl nicht alles haben...

Update: bitte auch den Nachfolgeartikel lesen (ich hatte zwar überlegt diesen hier zu löschen, aber der Nachfolgeartikel ist ohne diesen hier nicht wirklich zu verstehen

...sollte es laut den Politikern auf die Daten der Vorratsdatenspeicherung geben. Das wurde uns zumindst vorher ja gesagt.

Und wieviele sind es nun wirklich?

Gisela Piltz von der FDP hat dazu eine kleine Anfrage im Bundestag gestellt. Und ich finde die Zahlen erschreckend:

Zitat aus der Berliner Zeitung:

In 2 186 Ermittlungsverfahren haben Richter von Mai bis Juni dieses Jahres den Rückgriff auf die Verbindungsdaten von Telefonkunden und Internetnutzern angeordnet. Dies geht aus einer Antwort der Bundesregierung auf eine Kleine Anfrage der FDP-Abgeordneten Gisela Piltz hervor. Dabei nutzten die Ermittler in 934 dieser Verfahren die Vorratsdaten, die Telekommunikationsfirmen und Internetbetreiber seit Januar dieses Jahres sechs Monate lang speichern müssen. Bei weiteren 577 Verfahren sei keine Angabe möglich, ob die Ermittler auf die Vorratsdaten zurückgegriffen haben, teilte die Bundesregierung in ihrer Antwort mit.
In 627 Verfahren sei die Nutzung der Vorratsdaten nicht erforderlich gewesen, heißt es weiter. In 96 Fällen blieb das Auskunftsersuchen der Staatsanwaltschaft erfolglos.



Es sind also doch deutlich mehr Ermittlungsverfahren bei denen "mal eben" auch die VDS benutzt wird. Nachdem das BVerfG nur die Nutzung bei einer konkreten Gefahr für Leib und Leben und(!) wenn alle anderen Verfahren ausgeschöpft wurden erlaubt hat, frage ich mich ob die Richter diesen Grundsatz beherzigen; ich habe nicht so das Gefühl.

Und wenn dann auch noch locker ein Drittel der Ersuchen unnötig waren und trotzdem genehmigt wurden, wer klärt die Richter da mal auf was wirklich erlaubt ist und was nicht? Was muss man machen um sie für den Datenschutz der Bürger zu sensibilisieren?

Eigentlich erwartet man doch von den Vertretern des Volkes dass sie sich für das Volk einsetzen, es entsprechend gut repräsentieren und nicht gegeneinander arbeiten. Also zumindest nicht unter der Gürtellinie oder sich wie kleine Kinder streiten.

Wie ein Spiegel-Artikel zeigt sind wir leider weit davon entfernt. Da ist ein Mitarbeiter des Aussenministeriums so mutig und beschreibt das skandalträchtige Verhalten einiger Politiker im Ausland, und was passiert? Die entsprechenden Politiker werden nicht gemassregelt oder entschuldigen sich, nein, vielmehr wird das Aussenministerium dafür gerügt dass jemand so ehrlich war diese Zustände anzuprangern. Und im Endeffekt leidet das Aussenministerium darunter weil die Politiker einfach Stellen streichen.

Was lernen wir daraus? Nicht dass wir das nicht schon vorher wussten; aber Politiker denken immer zuallererst an sich. Dann ihre Partei (und der natürliche Feind sind alle anderen Parteien) und dann vielleicht irgendwann als Letztes das Volk.

Gute Nacht.

Heise zitiert gerade >Dieter Wiefelspütz: "Das Parlament ist ein wenig wichtiger als ein Arzt."

Er bringt diese Aussage in Zusammenhang mit der Kritik am BKA-Gesetz, wo Ärzte von ihrer Schweigepflicht "entbunden" werden, Parlamentarier aber nicht.

Es ist klar, dass die Parlamentarier ihre Pfründe schützen wollen - es wäre ja noch schöner wenn rauskommen würden was sie alles klüngeln mit dem Lobbyisten oder der Wirtschaft. Aber was hat das damit zu tun dass die Ärzte Leben retten könnten indem sie von der Schweigepflicht entbunden werden? Genauso könnten Politiker viele Leben retten wenn sie auch von der Immunität entbunden würden - Deals mit der Waffenlobby würden dann vermutlich nicht klappen, die ja auch viele Leben kosten. Mit dieser Argumentation könnte man auch Geistliche von ihrer Schweigepflicht entbinden, da könnten ja auch viele Leben zu retten sein.

Warum also die Ärzte? Weil über die elektronische Patientenakte sowieso nächstens alle interessanten Daten zentral abgelegt und abrufbar sein werden? Weil Politiker (die eigentlich dem Volk dienen sollten!) viel ängstlicher und egoistischer sind als sie uns weismachen wollen?

Es wird uns ja immer wieder gesagt es ist ja nicht schlimm wenn wir für Sexualdelikte oder ähnliches eine DNA-Probe abgeben. Nur: Wer überprüft was nachher mit den Proben passiert?

Was Udo Vetter vom Lawblog in seinem Artikel zitiert ist dass eine DNA-Probe auch gerne benutzt wird um Diebstähle aufzuklären - auch kleinere, mit einem Diebstahlwert von gerade mal 500€.

Die BKA-FAQ zeigt ganz deutlich wofür die DNA-Abgleiche am meisten gemacht werden: Diebstahldelikte.

Wo ist da die hohe Hürde? Wo ist da das "schwere Verbrechen" zu deren Zwecke diese Daten nur genutzt werden sollen (damit werden wir ja beruhigt wenn wir die Daten nicht hergeben wollen).

Und seit 10 Jahren wurden "nur" 75.000 Datensätze gelöscht - das sind 10% aktuell; wobei pro Monat 10000 neue Datensätze dazukommen. Wo kommen die her, soviele freiwillige Gentests machen wir doch gar nicht?

Ich glaube ich bin froh dass wir noch keine Zustände wie in Großbritannien haben, wo jedes Kind gleich eine DNA-Probe abgeben soll. Allerdings frage ich mich wie weit wir davon noch entfernt sind...

(Danke an Holger)

Heute sind Wahlcomputer in fast aller Munde - das Bundesverfassungsgericht hat sich gestern mit ihnen beschäftigt, Hadmut Danisch hat zu dem Thema extra seine Adele erweitert, der CCC ist mit Sachverständigen und Beobachtern dagewesen, in vielen anderen Ländern werden Wahlcomputer mehr oder minder erfolgreich eingesetzt.

Finnland schafft nun das was viele auch hier befürchten: Das Wählen mit Wahlcomputern sorgt für verlorene Stimmen; in diesem Fall 2% aller Stimmen. Das dumme ist: beim finnischen Wahlsystem entscheiden oft einige wenige Stimmen über den Sieg.

Und warum passierte das? Weil die Wähler eine Smartcard nutzen müssen um wählen zu können, _zweimal_ auf "ok" drücken und dann erst die Smartcard rausnehmen müssen.

Wer nur einmal OK drückte und dann die Smartcard herausnahm wurde nicht gewertet. Warum auch zweimal drücken? Sonst machte man auch nur ein Kreuz. (Hier in Deutschland zwei für die Zweitstimme; das würde dort viermal ok entsprechen).
Leider wurde wohl nicht gut genug drauf hingewiesen dass man zweimal ok drücken muss. Man kann jetzt argumentieren mit "selbst schuld", aber ich finde wenn eine Sache für den Benutzer komplizierter gemacht wird ist das keine gute Sache.

Ich finde das T-Shirt gut:



(via Isotopp, original Blogsurdum)

Gestern abend war der Vortrag des CCCS - dieses Mal an einem anderen Ort; da das kommunale Kino in Stuttgart überraschend Insolvenz anmelden musste. Daher waren wir gezwungen einen neuen Vortragsort zu suchen. Die Hochschule der Medien haben wir angefragt, weil wir selbst dort schon Vorträge gehalten haben (Security Days) und wir kriegten tatsächlich die Chance, dort die Vorträge zu halten - vielen vielen Dank dafür an Moritz Seltmann, der das ermöglicht hat!

Dieses Mal wollten wir etwas ausprobieren - das Prinzip der Lightning Talks haben wir bei uns wiederholt, leicht abgeändert. Jeder Vortragende hat 15 Minuten Zeit für den Vortrag, darf einen Beamer nutzen und danach gibts ein wenig Diskussion. So wie bei wissenschaftlichen Konferenzen

Insgesamt gab es fünf Themen:

- Ein selbstgebastelter Mikroprozessor
- suckless.org
- DNS-Poisoning
- selbstgebaute LED-Modelle
- Abfangen von Session Cookies

Mir hat die Vielfalt sehr gefallen - von dem Mikroprozessor-Vortrag habe ich zwar nicht viel verstanden (ich habe von Assemblerprogrammierung keine Ahnung), aber es war gut strukturiert und verständlich so dass ich nachvollziehen konnte worum es gerade ging. Bei suckless finde ich es spannend dass die Programme maximal 10000 Zeilen Code sein sollen und daher nur sehr klein sein sollen - in meinen Augen ein gutes Ziel. Bei DNS-Poisoning war die (berechtigte) Frage zwischendurch warum das niemandem vorher aufgefallen ist - die Antwort war mehr oder weniger dass das vorher als theoretische Möglichkeit länger bekannt war, aber niemand daran dachte dass das (inzwischen) auch gut ausnutzbar ist.
Die LED-Modelle waren sehr interessant, insbesondere weil Sebastian dafür keine Vorlagen hatte sondern einfach selbst gebaut hat. Die konnte man im Aquarium (dem Vortragsraum) auch gut zeigen weil man dieses verdunkeln konnte - die Discokugel und das Ambilight waren schon witzig und mit Ikea auch gut realisierbar.
Das Abfangen von Session Cookies auch mit SSL-Verbindungen war mehr ein spontaner Vortrag, aber es konnte gut gezeigt werden was das Problem mit dem Session-Cookie Handling in vielen Webanwendungen ist (die Session-ID wird bei HTTP im Klartext übertragen; dieses kann abgefangen werden. Selbst wenn man einen Redirect im Webserver hat von http auf https wird beim ersten Request der Sessioncookie mitgeschickt.). Die Nutzung von Secure Cookies (bei denen gibt es die Einschrönkung dass die Cookies nur mit https übertragen werden dürfen) ist noch nicht weit verbreitet und sollte dringend benutzt werden.

Ab dem nächsten Vortrag sind wir in der Stadtbibliothek Stuttgart im Wilhelmpalais am Charlottenplatz. Eine Top-Adresse, weil das mitten in der Stadt und für jeden gut erreichbar ist.

So wie beim letzten Vortrag wurden einige Beiträge mit Mikrofon aufgezeichnet; die Aufnahmen können hier angehört werden.

Die Financial Times Deutschland ist der deutschsprachige Ableger des berühmten (und oft gelesenen) Magazins Financial Times - gerade die Händler lesen diese Tageszeitung sehr interessiert und intensiv.

Die Online-Ausgabe hat in den letzten Tagen einen Artikel über Harald Welte geschrieben, der gegen GPL-Verletzungen vorgeht.

Harald ist der Meinung dass jeder der die GPL nutzt bzw. Software die unter GPL steht diese auch einhalten muss - das heisst nicht nur "Open Source" als "wir können die Software nutzen" sehen sondern auch die anderen Bedingungen unter der man die GPL-lizensierte Software nutzen darf: Den Sourcecode der eigenen Software freilegen. Seit einigen Jahren geht er auch gerichtlich gegen Firmen vor die in der Hinsicht gegen die GPL verstossen; die meisten Firmen sind da eher verschlossen und wollen das nicht zugeben; aber er kann da durchaus hartnäckig sein. Letzten Endes muss er hin und wieder vor Gericht ziehen, dort werden die Firmen dann darauf hingewiesen dass sie die Lizenz einzuhalten - oder die Software auszubauen - haben.

Was mich nun eher erschüttert ist die Konsquenz die die FTD daraus zieht: Harald nimmt den Firmen die Grundlage ihres Geschäfts. Ja, aber worauf baut das Geschäft auf? Darauf, anderer Leute Lizenzen mit Füssen zu treten?
Ausserdem haben schon viele Firmen gelernt: Nicht nur die Software selbst bringt Geld, der Support ist auch sinnvoll und die Betreuung der Kunden. Das kann man dann auch Kundenbindung nennen.

Aber für die FTD scheint das Geschäftsmodell (wie zB MySQL es fährt) uninteressant zu sein; lieber werden Unwahrheiten verbreitet. So wie jeder dafür bestraft werden sollte wenn er gegen das Gesetz verstößt (und auch Unwissen schützt vor Strafe nicht), so gilt das auch für Firmen.

(Wobei Harald ja gar nicht auf das Geld aus ist was es durch die Strafen geben kann; er will einfach nur dass die Leute sich an die GPL halten).

Nun ja, ich finde den Artikel eher seltsam und überlege ob er einen Leserbrief wert ist.

Nachdem gestern Steve Jobs zugeben musste dass die Firmware vom iPhone Funktionen hat, die - unabhängig davon was der Besitzer des iPhones möchte - Programme löschen können, werde ich wohl doch nicht wie geplant mich für das iPhone oder iPod Touch interessieren.

So schön die Oberfläche und das Design des iPhones sind; solche in meinen Augen Ungeheuerlichkeiten sind einfach ein No-No. Das Telefon gehört mir, ich habe es gekauft, ich kaufe auch die Applikationen. Zusätzlich gibt es ja schon eine Hürde; die Applikationen gibt es nur über den Apple Store. Und dort können sie sogar - je nachdem in welchem Land man ist - unterschiedlich angeboten werden; Dr. Horribles Sing-a-long-Blog gibt es zwar in den USA via iTunes, aber nicht in Deutschland.
Zusätzlich sollen Applikationen die ins Netz wollen eh immer nur über die Apple-Serverfarm gehen - ein transparenter Zwangsproxy oder so; angeblich zum Schutz der Laufleistung des Akkus.

Was hier aber im Endeffekt passiert ist dass Apple die totale Kontrolle über die Daten und das Handy hat. Während man sonst ein Handy kauft und (wenn es nicht gebrandet ist) der Hersteller dann aussen vor ist - das heisst es sind meine Daten, der Hersteller hat üblicherweise keine Möglichkeit das Handy anzusprechen; die hat nur der Provider - ist hier Apple an allem beteiligt und hat sogar mehr "Macht" auf dem Telefon als der Provider.

Ich möchte nicht erleben dass jemand Apple hackt und diverse Systemsoftware auf die Blacklist packt. Wie einfach mal MobileMe hacken kann hatte ich ja früher schon erwähnt - es reicht ein Telefonanruf um die Daten zu bekommen.

Gerade bei Bruce Scheier gefunden:

Im Yankee-Stadion in New York durfte keine Sonnenmilch mitgenommen werden.

Das ganze wurde nicht auf der Webseite publiziert sondern einfach beschlossen. Die Security-Leute wussten Bescheid, sonst wohl kaum jemand. Leute die mit Sonnencreme kamen mussten diese abgeben - auch die Sonnencreme für Kleinkinder.
Den Zuschauern wurde geraten sich einmal einzucremen und dann die Tuben abzugeben.

Nach entsprechenden Protesten nach dem letzten Spiel im Stadion wurde dieser Ban wohl wieder aufgehoben.

Das Datenschutz-Blog hat einen sehr schönen Artikel zum neuen Personalausweis.

Insbesondere finde ich es erstaunlich dass die Bundesregierung meint dass alles sicher sei bis zum Beweis des Gegenteils.
Gerade bei krytographischen Verfahren (wie für die eID und/oder digitale Signatur) muss man sich darüber klar werden dass heute starke Verschlüsselung nur bedeutet dass sie in 5-10 Jahren leicht gebrochen werden kann - von PCs. Dafür gibt es sogar ein gutes Beispiel:

In dem UNIX-Systemen der 70er-90er Jahren war als Standard-Verschlüsselung DES benutzt worden. Die Begründung damals war dass es niemanden gibt der mit "sinnvoll" viel Geld einen Entschlüssler bauen kann der mit Brute-Force (also alles einzeln durchrechnen) DES knacken kann. Der "Point-of-even" wurde damals auf 200.000$ beziffert.

Das ist eine Menge Geld für jemanden der "nur" Passworte von User knacken will; also einfachstes Anwendungsbeispiel. Andere Beispiele wären EC-Karten; aber das zu erklären führt zu weit; aber DES wurde lange Zeit auch bei EC/Maestro-Karten benutzt.

Nun wurden Rechner mit der Zeit immer billiger und trotzdem schneller / besser und ich glaube Mitte der 90er Jahre haben sich ein paar Leute zusammengesetzt und überlegt wie sie mit einem Budget von 200.000$ einen Rechner bauen kann der nichts anderes tut als DES berechnen - aber so schnell dass er für einen Paßwortcracker benutzt werden kann. Nicht um damit Mist zu bauen sondern um zu zeigen dass DES inzwischen schwach geworden ist als Verschlüsselung.

Das ist auch dann sehr erfolgreich gewesen; O'Reilly hat ein Buch publiziert wo genau diese Geschichte erklärt wird und gezeigt wird wie dieser Rechner gebaut wurde. Ich schätze, heute würde die Hardware 20.000$ kosten; aber inzwischen gilt als Standard-Verschlüsselung bei Unix auch AES.

Bei freien Unices war es kein Problem, mit der Verschlüsselung für Passworte von DES auf Triple-DES oder MD5 zu wechseln; damit war die "Gefahr" durch DES gebannt.

Um zu dem Personalausweis zurückzukommen: Was wir aus dieser Geschichte lernen (die stark verkürzt dargestellt ist) ist dass gerade Verschlüsselungen schwächer werden je älter sie werden. Das was heute als "stark" gilt ist in einigen Jahren im Bereich der Sachen die in endlicher Zeit geknackt werden können - entweder weil die Hardware entsprechend schneller wurde oder weil Schwächen im Algorithmus oder der Implementation gefunden wurden - siehe Debian vor einigen Monaten bei OpenSSL.

Man kann sich noch nicht einmal sicher sein dass die Funktion - sofern man sie nicht bestellt hat - dauerhaft ausbleibt. Jeder der irgendwie an das Zertifikat herankommt mit dem die Einwohnermeldebehörden die Signaturen generieren (und da wird es also für jede Behörde eines geben, also gibt es auch ein paar tausend Leute die darauf Zugriff haben) kann dann für den Personalausweis eine Signatur generieren und damit ist die elektronische Signatur des Passinhabers aktiviert. Selbst wenn er das gar nicht wollte.

Da frage ich mich warum nicht die Politiker solche Sachen "quasi als Vorbild" als erste austesten und auch die Schwächen sehen dürfen...

Ein in meinen Augen durchaus schöner Text, was mit Datenquellen alles anzufangen ist...

Zum Zehnten Mal trafen sich die deutschen Internet-Administratoren zum gemeinsamen Grillen und Chili-Kochen. Diesmal wieder auf "der Burg" und es hat richtig viel Spass gemacht - auch wenn ich Samstags tagsüber wegwar; Freitagabend mit Vollmond (und guten Gesprächen) und Samstag abend mit fast-Vollmond, aber einigem Regen (und trotzdem Grillfleisch) war einfach witzig und hat viel Spass gemacht.
Es ist einfach immer wieder schön die Kollegen oder Freunde wiederzutreffen - dieses Treffen ist dafür einfach ideal. Einfach mal wieder quatschen, auf den Turm steigen, dem Feuer beim Runterbrennen zusehen und sinnige oder unsinnige Gespräche führen.

Dafür vielen Dank an die Organisatoren und die Leute die extra dafür angereist sind!