34c3: Zwei-Faktor-Authentifizierung muss sein!

Veröffentlicht am von

Immer wieder schön zu sehen: Vincent Haupert demonstriert wie unsicher die mobilen Banking-Apps von heute sind – jedes Jahr auf dem CCC aufs Neue. Ich bete also, wie jedes Jahr die selbe Leier:

Liebe Banker, vor allem liebe Marketing-Leuts bei den Bankers,

ihr könnt Euch noch so aberwitzigen Blödsinn einfallen lassen, aber zwei Faktoren sind besser als einer um sich Euch gegenüber zu authentifizieren. chipTAN nach wie vor ganz weit vorne… OneAppForAll ist einfach nicht sicher zu machen.

Danke Vincent für Deine immer erfrischenden Vorträge!

Weitere Infos zum Angriff: https://www1.cs.fau.de/nomorp

Tor != Darknet – bpb mit sehr guter Beilage

Veröffentlicht am von

Die meisten Menschen verbinden mit dem Begriff „Darknet“ Kriminelle, Drogen, Waffen, … aber sehen die andere Seite, die eine Verschleierung der Identität bietet, nicht.

In einer Broschüre von der Bundeszentrale für politische Bildung wird m.E. sehr gut erklärt, dass es auch andere Techniken gibt und das in nicht-demokratischen Ländern eine Verschleierungstechnik notwendig ist, um eine lebhafte Opposition zu fördern.

Zudem werden Dinge richtig gestellt, die immernoch im Netz kursieren:

  • Das das Darknet größer als das Clearnet wäre (Eisberg-Bild).
  • Meldungen über „Erfolge“ der Kriminalpolizei, die eher auf Zufällen oder alten Techniken der Polizei beruhen
  • etc.

Logo der Bundeszentrale für politische Bildung

ORACLE trägt die Juwelen von Sun Microsystems zu Grabe

Veröffentlicht am von

Seit dem Wochenende flammen über alle möglichen Kanäle die Nachrichten auf: ORACLE entlässt Solaris und SPARC Mitarbeiter im großen Stil. Ich selbst bin damals der „reduction in force“ (RIF) mehrmals bei Sun entkommen und habe die Übernahme durch Safra und Larry nicht mehr miterleben müssen, da ich vorher das Weite gesucht habe.

ORACLE versteht von Datenbanken-Lizenzverkauf einiges, denn damit machen sie richtig Schotter, aber von Suns Juwelen, wie dtrace, zfs, SPARC T-Prozessoren, SunRay ultraThin Clients, Virtual Desktop Infractructure, Solaris, viele Teile von Sun Java * Server-Softwarestack u.v.m. haben sie keinen Blassen! Ich habe an einigen dieser Technologien als [Alpha- oder interner] Tester teilnehmen dürfen und es war mir eine Ehre mit den tollen Kollegen der anderen Sun-Divisionen zusammenzuarbeiten. ORACLE hat die Sun-Kultur zerstört und nun auch die letzten Überbleibsel…. das letzte Überbleibsel, Java, werden sie auch noch zerstören, wenn das so weitergeht.

Nach der Übernahme haben sie die Dinge „entsorgt“, die sie doppelt hatten (WebServer, CMS, …) und nach zwei Jahren dann die Dinge, wo sie niemals „#1 of the world“ werden können (OpenOffice.org, WebOffice) und währenddessen völlig verkannt, dass die Zeichen auf Cloud stehen – man schaue sich mal die Googles, Amazons und Apples, ja selbst Microsoft, dieser Welt an und welche Strategie diese seit Jahren verfolgen…. ob man es liebt oder nicht: Die Reise geht in eine andere Richtung.

Nun stirbt eines der wohl sichersten und performantesten Betriebsysteme dieser Welt – ich durfte schon dem Sterben von IBM OS/2 zusehen, seinerzeit ebenfalls sehr stabil und recht sicher – und zudem eine Server-Hardwarearchitektur, die einfach nur genial ist. Das Ganze von open source auf properitäre Soft- und Hardware zurückzudrehen war mal Bullshit – Sun hatte das schon früh erkannt und signifikant bessere Werte erreicht, nachdem man Solaris nicht mehr im stillen Kämmerlein entwickelt hatte.

RIP Solaris, RIP SPARC

Macs brauchen keinen Virenscanner, aber…

Veröffentlicht am von

Liebe Nachbarn, Freunde, Kollegen oder eben Blog-Leserinnen und -leser,

nein, auch ich kann keine 100%ige Sicherheit versprechen, auch nicht auf einem macOS, aber ich schütze meine IT-Systeme, so gut es eben geht. Das mit Abstand Dümmste was man allerdings auf einem macOS machen kann, ist die Installation eines Virenscanners!

Nicht weil der Mac so toll ist, sondern weil das nicht der Angriffsvektor ist aus dem die Kanonen schießen… das wäre so, als würde man ein G36 von „Flintenuschi“ zum Beseitigen von Wespen im Garten einsetzen…. zudem hebeln Virenscanner die eigentlich gar nicht so schlechten Sicherheitsmechanismen von Apple aus – das müssen sie, da sie sonst nicht ihren Dienst tun könnten. Da Virenscanner selber auch Software sind, bringen sie auch ihre eigenen Probleme und eben Angriffsflächen mit sich.

NEXTSTEP und damit macOS basieren auf UNIX und sind für das Netz konzipiert worden. Im Gegensatz zu kinderUnix hat NeXT/Apple dem UNIX eine hübsche Oberfläche spendiert und versteckt viele Dinge unter der Haube – selbiges gilt für iOS auf den mobilen Systemen. Unten drunter ist ein UNIX.

Was bitte ist der Angriffsvektor?

Kurz: Ransomware und Malware

Wenn man sich über Mail oder den Webbrowser Anhänge oder kompromitierte Seiten reinzieht, werden für den normalen Anwender Seiteneinstiege ausgenutzt, die die meisten gar nicht kennen. Da hilft auch kein Virenscanner, denn es ist kein Virus und wenn die Funktion der *ware ausgelöst wird, ist auch der Virenscanner platt.

Es gilt also die Erkennung solcher Seiteneinstiege zu verhindern – oder – wenn man es nicht kann, wenigstens den Prozess unter Kontrolle zu bekommen, der einem gerade die Platte verschlüsseln möchte.

Wie macht man das?

  1. Überwache was in das System kommt und was an andere Systeme geschickt wird („nach-Hause-telefonieren“!
  2. Lasse Dich nicht ausspionieren – auch nicht in öffentlichen WLANs!
  3. Überwache Prozesse, die etwas tun, was sie nicht sollen oder was Du ihnen nicht erlaubt hast!
  4. Verhindere Aktionen von Prozessen, die Dein System dauerhaft schädigen!

Ich habe für solche Zwecke folgende Tools installiert und fahre seit vielen Jahren sehr gut damit:

  1. Ransomwhere (kostenlos)
    1. erkennt Versuche von Prozessen etwas auf der Platte zu verschlüsseln (Ransomware-Erkennung) und kann den Prozess abschießen, der das versucht.
    2. Wenn man Banking-Software benutzt oder Software, die Verschlüsselung einsetzt, weiß man das beim Start, alles andere würde das kleine, kostenlose Tool finden
  2. KnockKnock (kostenlos)
    1. Malware-Erkennung bereits installierter Software
  3. BlockBlock (kostenlos)
    1. Kontinuierliches Überwachen, wie Ransomwhere, bloß für Malware
    2. Wer Handbrake, ein sehr beliebter Videokonvertierer auf dem Mac, benutzt und dieses kleine Tool installier hatte, wurde, im Gegensatz zu den Virescannern, rechtzeitig gewarnt!
  4. Little Snitch (Einzellizenz: € 29,95)
    1. Eine Applikationsfirewall, die auch die ausgehenden Verbindungen mitschneidet. Am Anfang muss man sich erst einmal damit befassen, welche Programme eigentlich wohin mit wem „telefonieren“ sollen und dürfen, aber nach ein paar Tagen hat man eigentlich alles einmal gesehen und die Entscheidung gefällt. Danach kommt das Popup von LittleSnitch nur selten hoch und man sollte das dann schon hinterfragen, ob das so gewollt ist.
  5. Benutze VPN – virtuelles privates Netzwerk
    1. Man kann nur davor warnen in öffentlichen WLANs unverschlüsselt ins Internet zu gehen und am Besten noch Bankinggeschäfte zu machen!
    2. Generell schadet es nicht, wenn man verschlüsselt ins Netz geht, da der Weg zwischen einem selbst und dem Internet dann nicht von „Man in the middle“ einsehbar ist, also auf den Servern, die zwischen Dir und dem Internet liegen.
    3. siehe: Informationstechnologie

Auch mit o.a. Tools hat man nicht alles im Griff, aber zumindest schaut man auf die Angriffsvektoren, die derzeit viel mehr den Rechner angreifen als herkömmliche Viren, wie es bei Windows üblich ist. Zusammen mit der digitalen Selbstverteidigung und deren Tools, fängt man sich sicherlich weniger schadhafte Dinge ein.

Geschichte Hamburgs mit Karten im Webzeitalter

Veröffentlicht am von

Ich habe schon sehr lange eine Vorliebe für Karten, also so etwas wie Stadtpläne. Als ich im Kindesalter (frühe 80er) in Frankfurt am Main bei meinem Cousin im Zimmer saß, malte ich, weil ich am Tage in den Nachrichten etwas über Tel Aviv gehört und eine Karte davon  gesehen hatte, einen fiktiven Stadtplan von Tel Aviv – daran kann ich mich noch heute erinnern.

Bücher, wie Topographie Schleswig-Holsteins, ebenso wie Landeskunde Niedersachsen waren immer gerne angelesen Bücher (letzteres steht bei mir nach wie vor im Regal), denn mich interessiert der Wandel, den Dörfer und Städte durchlaufen.

Matthias Müller-Prove hat ein tolles Projekt das diese Vorliebe ins Webzeitalter katapultiert und alle Deerns und Jungs einlädt, die Stadt Hamburg mal geschichtlich zu erkunden, wenn man alte Karten über die aktuelle legt. Chronoscope Hamburg. Superklasse!

Ich wusste bspw. gar nicht das es ’ne Renn- und Traberbahn am Goldbeckplatz gab. Und wer Denhaide/Dulsberg wohnt und sich über die ganzen Verrückten wundert… jo, 1905 gab es dort mal ’ne „Irrenanstalt Friedrichsberg“ – steht da. So kann man über die Karten stöbern und auch noch weiter rückwärts schwelgen und sehen, wie klein einst die Hamaburg mal war und was aus ihr bis heute geworden ist. Toll und danke Matthias!

S4 soll vier Jahre früher fahren

Veröffentlicht am von

Das kommt auch selten vor, das mal etwas in Sachen S4 schneller gehen soll, aber so titelt das Hamburger Abendblatt. Ich werde in letzter Zeit öfter mal wieder als „Gesicht der S4“ (musste schon lachen) darauf angesprochen was es denn für Vorteile geben wird:

  1. Der gesamte HVV ist abgestimmt auf einen 20 Minuten-Takt, die R80 auf 30 Minuten-Takt – man merkt das daran, das man vom Bus am Hbf immer die Rücklichter sieht
  2. Barrierefrei zum Flughafen ohne über den Hbf zu fahren
  3. Umsteigen direkt ins HVV-Netz (bspw. Landwehr, Linie 25 oder in die S1, S11, S3, S31 am Hbf oder Umsteigen am Berliner Tor in die U2, U3, U4) – bessere Anbindung für Pendler (die fahren nicht nur bis zum Hbf)
  4. Dichtere Taktung (10 Minuten in Spitzenzeiten) möglich
  5. Unabhängig vom Güter- und Regional- bzw. Fernverkehr, d.h. wenn da mal wieder was klemmt, fährt die S-Bahn trotzdem (Zuverlässigkeit!)
  6. Die Expresszüge von und nach Lübeck und Hamburg („Sprinter“) werden bleiben, da sie eine Anbindung von Ahrensburg an den Kreis (Kreisstadt Bad Oldesloe) und an Lübeck sind, aber es sind eben Reisezüge und eigentlich keine Nahverkehrszüge.
  7. Mehr Haltestellen auf Hamburger Gebiet heißt flexibler bewegen innerhalb der Stadt.

Wäre ja klasse, wenn auch das Schleswig-Holsteiner Los früher als geplant fertig werden würde….

Halbwertszeit IoT – wenn man DVB-T vor Augen hat

Veröffentlicht am von

Letztens vor dem TV im Schlafzimmer (der hängt nicht an der SAT-Schüssel und nicht im LAN) konnte ich mich der drohenden Abschaltung nicht entziehen (Riesenbanner) und dann kam da die Werbung für die ganzen Haus-Automationssysteme und so, garniert mit den Nachrichten das stümperhafte Kameras mal als Botnetz genutzt wurden….

<Power off>

Als wir vor einer Dekade unser Häuschen bauten, war DVB-T, das neue terristrische Fernsehen, voll angesagt. Nun, als ich geboren wurde gab es das analoge Farbfensehen in der BRD ungefähr ein Jahr und es lief eben auch noch eine Weile weiter (2009) als wir schon im warmen Häuschen saßen… sagen wir mal 40 Jahre. DVB-T wird nun demnächst abgeschaltet und hat damit gerade mal, sagen wir 15 Jahre voll gemacht – so genau nehmen wir das bei den Größenordnungen mal nicht.

DVB-T wird die 20 nicht erreichen!

Nun redet die IT-Wirtschaft von IoT (Outernet oder Internet of Things oder Industrie 4.0 – Buzzwords gibt es genügend), dem „next big thing“ (Steve, Du hättest wahrscheinlich die ersten Geräte, wie das erste iPhone, an die Wand geschmissen 🙂 – ähm… welche Halbwertszeit veranschlagen wir denn mal für ein „next big thing“ deren Industrie es nicht einmal geschafft hat einen einheitlichen, sicheren (verschlüsselten unter Wahrung von Privatsphäre) und leicht zu implementierenden Standard zu etablieren? Jeder kocht sein eigenes Süppchen und jeder eben so schön unsicher, das man heute Türen schneller aufbekommen als man auch nur 1-2-3 sagen kann….

In der IMBUS Trend Study „The future of testing“ werden drei Szenarien aufgezeigt und wie es auf mein Berufsbild Wirkung haben wird. Nun, das schlechteste Szenario beschreibt in Szenario B wie die „Revolution“ des „Outernets“ ausbleibt und es zu Stagnationen bei den Investitionen kommen wird. Als Tester geht man eh immer vom pessimistischsten Szenario aus, aber das die IT so ziemlich alle Fehler macht, die andere vor ihr schon vorher gemacht haben, hätte selbst ich nicht gedacht. Da labern dann manche von „$1.3 trillion in 2019, according to IDC“ (Link) – genau die, die auch den Crash der Wirtschaft noch nie vorhersagen konnten und 1-Personen-Webbuden AAA+++ Rating ausgestellt hatten….waren die das?

Implizite Qualität

Die Menschen setzen implizit auf Qualität und verbinden, ebenfalls implizit, damit Sicherheit, Stabilität, Investitionsschutz („die sind schon lange am Markt“), Verlässlichkeit und viele andere Dinge damit. Beim Hausbau weiß das meistens noch jeder, der mal eine Auswahl treffen musste mit wem er denn bauen wird, aber bei der IT nehmen wir mangelnde Qualität und eben auch Investitionsschutz mal nicht so ernst? Wer’s glaubt! Warum benutzen heute viele Windows-Systeme? Weil es so gut ist…jaja, ich lache auch gerne…. nein: Weil es weit verbreitet ist und man davon ausgehen kann, dass eine Investition lange hält! Apple hatte zu meiner Sturm- und Drangzeit massive Probleme und war schon ziemlich den Bach runter als Steve Jobs das Ding wieder zum Leben erweckte. Apple (einst auch Sun Microsystems), trotz aller vergangenen Innovationsstärke, lässt seine Systeme sehr lange im Support und selbst unser betagtes weißes MacBook von 2008 bekommt noch Sicherheitsupdates! Da kauft man doch gerne mehr von, wenn die Systeme lange gepflegt werden…

Vertrauen bilden durch offene, sichere Standards

IoT wird sich voll auf die Klappe legen, da die impliziten vertrauenbildenden Bestandteile sträflich mit Füßen getreten werden. Entweder da nimmt mal jemand das Heft in die Hand und boxt einen Standard durch (nannte man mal Industrie-Konsortium und bitte nicht wieder ein neuer elitärer Bezahlklub der zudem auch intransparent werkelt, sondern vielleicht mal was offenes, länderübergreifendes, das sich die Technologie und Techniken als Ziel auf die Fahnen schreibt….). Zudem sollte man mal darüber nachdenken die Halbwertszeit wieder nach oben zu schrauben, damit man als privater Investor (ich investiere ja in meine private Infrastruktur) auch bereit ist da mitzugehen. 10 Jahre sind nicht genug! 30 Jahre wären mal anzustreben – immerhin muss man den Kram auch bei Häusern, die man heute baut, einplanen und auch warten, erweitern können….

GPGMail für macOS 10.12 Sierra (Beta 1) erschienen

Veröffentlicht am von

Für alle Mac-Besitzerinnen und -Besitzer die zwischenzeitlich nur Thunderbird oder ihr iPhone benutzen konnten um verschlüsselte eMails bzw. verschlüsselte Eingangspostfächer einzusehen, hat das Warten ein Ende. GPGMail (enthalten in den GPGTools) ist in der 1. Beta erschienen und funktioniert auf meiner Sierra-Installation einwandfrei im Standardmodus (=1 private-Key für alles)

Wer sich auf der Mailingliste auf dem „Sierra-Thread“ einschreibt, bekam gestern um 21:39h MEZ Post.