Nachrichtenverschlüsselung für iOS und Thunderbird

Ich benutze seit vielen Jahren PGP um meine Nachrichten zu verschlüsseln, jedoch benutzen wenige meiner Briefbekanntschaften PGP, da es mit der Schlüsselverwaltung auch nicht jedemanns Sache ist.

Als Stern am Horizont tauchte in den letzten Jahren das Pretty Easy Privacy project, kurz pEp, auf, wo u.a. auch die Bielefelder vom Digitalcourage e.V. mitmischen.

Der „Default“ soll eben sein Verschlüsselung an- und nicht ausgeschaltet zu haben. Für Windows und Outlook habe ich nach dem dritten Anlauf die Version auch fehlerfrei installieren können und so läuft das Plugin nun mit. Für Thunderbird ist nun auch Besserung in Sicht: Enigmail’s nightly Build enthält nun pEp junior als Bestandteil. Enigmail ist wohl die bekannteste PGP-Implementierung und in der 2.0 ist u.a. nun auch die Betreffzeile verschlüsselt bzw. wird in den verschlüsselten Teil gezogen und im Betreff steht nur noch encrypted message – was ich nach mehreren Jahrzehnten PGP auch mal geil finde 🙂

Für iOS ist ebenfalls Besserung in Sicht und ein Testflight steht zur Verfügung. Ich spiele da mal mit, da auf iOS die PGP-Implementierung echt megaumständlich ist.

NET::ERR_CERT_COMMON_NAME_INVALID oder SSL ist nicht mehr Dein Freund

In einer Testumgebung teste ich Websocket-Verbindungen (wss://) und benutze dazu Ready!API von SmartBear mit SOAP UI Pro und WebSocket-Plugin. Soweit so gut. Nun haben wir ein Testenvironment mittels vagrant, ansible und VirtualBox aufgesetzt und was bisher lokal auf meiner Maschine funktionierte, indem ich die „self-signed“ Zertifikate auf CN=localhost in die JRE von Ready!API importierte (keytool -import -alias myalias -file <path_to>\localhost.crt -keystore cacerts -storepass changeit), funktionierte auch bestens mit einem Testnetzwerk im LAN (ohne den Import, da ein LoadBalancer wunderschön gültige Zertifikate lieferte).

Nun funktionierte es aber nicht mehr auf dem lokale „virtuellen“ VirtualBox-Netzwerk und auch Onkel Google (Chrome) verweigerte den Dienst mit

NET::ERR_CERT_COMMON_NAME_INVALID

Glücklicherweise war Onkel Google auskunftsfreudig und meinte das CN=<hostname> nicht mehr ausreiche, sondern man durch die „Extensions“ im Zertifikat möge man doch „alternative Namen“ mitgeben. Hä?

Tja, nicht der Zertifikats-Antragsteller muss die mit angeben, sondern die CA, die das Zertifikat signiert! D.h. beim Signierprozess in den Extensions

.... -ext san=dns:test1,ip:1xx.1xx.x.x

Als hilfreiches Tool sei hier KeyStore Explorer 5.5.2 (Windows) erwähnt, denn dort kann man die notwendigen Eintragungen beim Signaturprozess vornehmen.

Bleed statt Naketano ab 2019?

Heute ließ ein Fahrgast in der R80 seine Lübecker Nachrichten-Ausgabe liegen und ich nahm diese Offerte dankbar an. Was muss ich da lesen? Naketano gibt es ab Ende 2018 nicht mehr???? Alter, das ist ein Familiendrama, denn wir lieben diese Dingers!

Unsere Winterjacken sind so kuschelig, dass selbst Schweden neidisch werden…. anne Küste laufen alle mit den Bommels…ähh Kordeln am Sweater rum, eben weil es schön kuschelig ist, auch wenn man abends beim Flens im Frühling draußen sitzt.

Okay, denken wir auch mal über Nachhaltigkeit und so nach, könnte man vielleicht auf Bleed ausweichen, dann bleiben wenigstens die Kordeln erhalten und schick sind sie auch… Mal gugge, aber das Jahr fängt schon mal uncool an.

34c3: Zwei-Faktor-Authentifizierung muss sein!

Immer wieder schön zu sehen: Vincent Haupert demonstriert wie unsicher die mobilen Banking-Apps von heute sind – jedes Jahr auf dem CCC aufs Neue. Ich bete also, wie jedes Jahr die selbe Leier:

Liebe Banker, vor allem liebe Marketing-Leuts bei den Bankers,

ihr könnt Euch noch so aberwitzigen Blödsinn einfallen lassen, aber zwei Faktoren sind besser als einer um sich Euch gegenüber zu authentifizieren. chipTAN nach wie vor ganz weit vorne… OneAppForAll ist einfach nicht sicher zu machen.

Danke Vincent für Deine immer erfrischenden Vorträge!

Weitere Infos zum Angriff: https://www1.cs.fau.de/nomorp

Tor != Darknet – bpb mit sehr guter Beilage

Die meisten Menschen verbinden mit dem Begriff „Darknet“ Kriminelle, Drogen, Waffen, … aber sehen die andere Seite, die eine Verschleierung der Identität bietet, nicht.

In einer Broschüre von der Bundeszentrale für politische Bildung wird m.E. sehr gut erklärt, dass es auch andere Techniken gibt und das in nicht-demokratischen Ländern eine Verschleierungstechnik notwendig ist, um eine lebhafte Opposition zu fördern.

Zudem werden Dinge richtig gestellt, die immernoch im Netz kursieren:

  • Das das Darknet größer als das Clearnet wäre (Eisberg-Bild).
  • Meldungen über „Erfolge“ der Kriminalpolizei, die eher auf Zufällen oder alten Techniken der Polizei beruhen
  • etc.

Logo der Bundeszentrale für politische Bildung

ORACLE trägt die Juwelen von Sun Microsystems zu Grabe

Seit dem Wochenende flammen über alle möglichen Kanäle die Nachrichten auf: ORACLE entlässt Solaris und SPARC Mitarbeiter im großen Stil. Ich selbst bin damals der „reduction in force“ (RIF) mehrmals bei Sun entkommen und habe die Übernahme durch Safra und Larry nicht mehr miterleben müssen, da ich vorher das Weite gesucht habe.

ORACLE versteht von Datenbanken-Lizenzverkauf einiges, denn damit machen sie richtig Schotter, aber von Suns Juwelen, wie dtrace, zfs, SPARC T-Prozessoren, SunRay ultraThin Clients, Virtual Desktop Infractructure, Solaris, viele Teile von Sun Java * Server-Softwarestack u.v.m. haben sie keinen Blassen! Ich habe an einigen dieser Technologien als [Alpha- oder interner] Tester teilnehmen dürfen und es war mir eine Ehre mit den tollen Kollegen der anderen Sun-Divisionen zusammenzuarbeiten. ORACLE hat die Sun-Kultur zerstört und nun auch die letzten Überbleibsel…. das letzte Überbleibsel, Java, werden sie auch noch zerstören, wenn das so weitergeht.

Nach der Übernahme haben sie die Dinge „entsorgt“, die sie doppelt hatten (WebServer, CMS, …) und nach zwei Jahren dann die Dinge, wo sie niemals „#1 of the world“ werden können (OpenOffice.org, WebOffice) und währenddessen völlig verkannt, dass die Zeichen auf Cloud stehen – man schaue sich mal die Googles, Amazons und Apples, ja selbst Microsoft, dieser Welt an und welche Strategie diese seit Jahren verfolgen…. ob man es liebt oder nicht: Die Reise geht in eine andere Richtung.

Nun stirbt eines der wohl sichersten und performantesten Betriebsysteme dieser Welt – ich durfte schon dem Sterben von IBM OS/2 zusehen, seinerzeit ebenfalls sehr stabil und recht sicher – und zudem eine Server-Hardwarearchitektur, die einfach nur genial ist. Das Ganze von open source auf properitäre Soft- und Hardware zurückzudrehen war mal Bullshit – Sun hatte das schon früh erkannt und signifikant bessere Werte erreicht, nachdem man Solaris nicht mehr im stillen Kämmerlein entwickelt hatte.

RIP Solaris, RIP SPARC

Macs brauchen keinen Virenscanner, aber…

Liebe Nachbarn, Freunde, Kollegen oder eben Blog-Leserinnen und -leser,

nein, auch ich kann keine 100%ige Sicherheit versprechen, auch nicht auf einem macOS, aber ich schütze meine IT-Systeme, so gut es eben geht. Das mit Abstand Dümmste was man allerdings auf einem macOS machen kann, ist die Installation eines Virenscanners!

Nicht weil der Mac so toll ist, sondern weil das nicht der Angriffsvektor ist aus dem die Kanonen schießen… das wäre so, als würde man ein G36 von „Flintenuschi“ zum Beseitigen von Wespen im Garten einsetzen…. zudem hebeln Virenscanner die eigentlich gar nicht so schlechten Sicherheitsmechanismen von Apple aus – das müssen sie, da sie sonst nicht ihren Dienst tun könnten. Da Virenscanner selber auch Software sind, bringen sie auch ihre eigenen Probleme und eben Angriffsflächen mit sich.

NEXTSTEP und damit macOS basieren auf UNIX und sind für das Netz konzipiert worden. Im Gegensatz zu kinderUnix hat NeXT/Apple dem UNIX eine hübsche Oberfläche spendiert und versteckt viele Dinge unter der Haube – selbiges gilt für iOS auf den mobilen Systemen. Unten drunter ist ein UNIX.

Was bitte ist der Angriffsvektor?

Kurz: Ransomware und Malware

Wenn man sich über Mail oder den Webbrowser Anhänge oder kompromitierte Seiten reinzieht, werden für den normalen Anwender Seiteneinstiege ausgenutzt, die die meisten gar nicht kennen. Da hilft auch kein Virenscanner, denn es ist kein Virus und wenn die Funktion der *ware ausgelöst wird, ist auch der Virenscanner platt.

Es gilt also die Erkennung solcher Seiteneinstiege zu verhindern – oder – wenn man es nicht kann, wenigstens den Prozess unter Kontrolle zu bekommen, der einem gerade die Platte verschlüsseln möchte.

Wie macht man das?

  1. Überwache was in das System kommt und was an andere Systeme geschickt wird („nach-Hause-telefonieren“!
  2. Lasse Dich nicht ausspionieren – auch nicht in öffentlichen WLANs!
  3. Überwache Prozesse, die etwas tun, was sie nicht sollen oder was Du ihnen nicht erlaubt hast!
  4. Verhindere Aktionen von Prozessen, die Dein System dauerhaft schädigen!

Ich habe für solche Zwecke folgende Tools installiert und fahre seit vielen Jahren sehr gut damit:

  1. Ransomwhere (kostenlos)
    1. erkennt Versuche von Prozessen etwas auf der Platte zu verschlüsseln (Ransomware-Erkennung) und kann den Prozess abschießen, der das versucht.
    2. Wenn man Banking-Software benutzt oder Software, die Verschlüsselung einsetzt, weiß man das beim Start, alles andere würde das kleine, kostenlose Tool finden
  2. KnockKnock (kostenlos)
    1. Malware-Erkennung bereits installierter Software
  3. BlockBlock (kostenlos)
    1. Kontinuierliches Überwachen, wie Ransomwhere, bloß für Malware
    2. Wer Handbrake, ein sehr beliebter Videokonvertierer auf dem Mac, benutzt und dieses kleine Tool installier hatte, wurde, im Gegensatz zu den Virescannern, rechtzeitig gewarnt!
  4. Little Snitch (Einzellizenz: € 29,95)
    1. Eine Applikationsfirewall, die auch die ausgehenden Verbindungen mitschneidet. Am Anfang muss man sich erst einmal damit befassen, welche Programme eigentlich wohin mit wem „telefonieren“ sollen und dürfen, aber nach ein paar Tagen hat man eigentlich alles einmal gesehen und die Entscheidung gefällt. Danach kommt das Popup von LittleSnitch nur selten hoch und man sollte das dann schon hinterfragen, ob das so gewollt ist.
  5. Benutze VPN – virtuelles privates Netzwerk
    1. Man kann nur davor warnen in öffentlichen WLANs unverschlüsselt ins Internet zu gehen und am Besten noch Bankinggeschäfte zu machen!
    2. Generell schadet es nicht, wenn man verschlüsselt ins Netz geht, da der Weg zwischen einem selbst und dem Internet dann nicht von „Man in the middle“ einsehbar ist, also auf den Servern, die zwischen Dir und dem Internet liegen.
    3. siehe: Informationstechnologie

Auch mit o.a. Tools hat man nicht alles im Griff, aber zumindest schaut man auf die Angriffsvektoren, die derzeit viel mehr den Rechner angreifen als herkömmliche Viren, wie es bei Windows üblich ist. Zusammen mit der digitalen Selbstverteidigung und deren Tools, fängt man sich sicherlich weniger schadhafte Dinge ein.