marcs blog

• Jobcenter-Chronologie
  Nur auf nüchternen Magen lesen!
  Passend dazu und dort aus den Kommentaren gefischt: Produktion von Parias
  (via)


• Smashing the stack in 2010
  Schönes Paper. Sieht nach einem würdigen Nachfolger aus.
  (via)


• Die Ministerin und die leidenden Puten
  "Niedersachsens Tierschutzministerin Grotelüschen setzt auf Massentierhaltung."
  Mit dem letzten Satz im Artikel hat sie von ihrem Standpunkt aus gesehen wohl leider recht, aber die richtigen Konsequenzen werden daraus vermutlich nur die wenigsten ziehen.
  (via)


• Im Googlegnadentum
  "Google greift mit hoheitlichem Duktus in die Privatsphäre ein, und die Politik schaut zu."
  (via)


• Vokabeln für Netzneutralität und Netzwerk-Überlast vs. Netzwerkneutralität
  Zwei Artikel, die sich zum einen mit dem technischen Hintergrund der Netzneutralität befassen und zum anderen mit dem aktuellen Google-Verizon-Deal.

Da es für das Adobe Flash Plugin in der Version Schweizer Käse kein Update für 64-Bit Linux-Systeme gibt, hatte ich dieses Plugin nach Bekanntwerden der eklatanten Lücken erstmal deinstalliert.

Das hindert natürlich niemanden daran mir weiterhin Links auf Youtube-Videos oder ähnliches zu schicken , also wollte ich gerade einnmal Gnash ausprobieren, eine freie Alternative zu Adobes Trashplayer. Die Umgebung ist hier ein 64-Bit Arch Linux System und Gnash findet sich dort auch in aktueller Version im Repository.
Ein pacman -S gnash hat allerdings keinerlei Auswirkung auf das Firefox-Verhalten, das Plugin ist für diesen schlicht nicht vorhanden. Lösung ist die zusätzliche Installation des Pakets gnash-gtk. Et voila, Firefox erkennt das Plugin.

Der erste Test wird mit einem beliebigen Youtube-Video durchgeführt. Das Video wird zwar abgespielt, allerdings erscheint eine Fehlermeldung, daß der Audio-Stream nicht dekodiert werden kann. Gnash verwendet das GStreamer Framework und für den verwendeten Audio-Stream fehlten letztendlich die Bad Plugins, welche hier noch nicht installiert waren.
Ein weiteres pacman -S gstreamer0.10-bad-plugins zur Installation des Plugin-Pakets inklusive entsprechend mitinstallierter Dependencies löst auch dieses Problem und das Video wird wie erwartet abgespielt.

Als mittelfristige Lösung, bis Youtube endlich vollständig auf HTML5 umsteigt, ist Gnash hier demnach vollkommen ausreichend und gerade auf 64-Bit Systemen eine vermutlich sicherere Alternative.

Update:Es gibt doch noch weitere Probleme, so funktionieren nur eingebettete Videos, aber direkt auf Youtube abspielen kann ich nicht. Scheint ein Problem mit Cookies oder ähnlichem zu sein. Wär ja auch zu schön gewesen.

wird ja im Allgemeinen behauptet. Nun gibt es aber Leute, die offensichtlich zu wenig davon gegessen haben, so daß sie selbige mit Sprengstoff verwechseln.

"Carrots cause Swedish bomb scare" titelt die BBC in einem Artikel über ein schwedisches Kunst-Projekt, in dem jemand Möhren mit schwarzem Klebeband und einer Alarm-Uhr versehen hat.

The carrot bombs had been placed around the city at the request of a local art gallery, as part of an open-air arts festival.

They had only been in place for an hour before police received their first call.

"We received a call ... from a person who said they saw two real bombs placed outside the public library," Ronny Hoerman from the Orebro police force, was quoted as saying by the AFP news agency.

"It was hard to tell if they were real or not. We find this inappropriate," he said.

Es gibt auch ein großartiges Foto dieses bedrohlichen Gemüses.

(via)

Wer bei der Überschrift an ein großes asiatisches Land gedacht hat, sollte seine Assoziationsketten neu kalibrieren.

Es gibt in dem Bereich der IT-Sicherheit ein paar Grundpfeiler, auf denen alles weitere aufbaut. Gemeint sind hier diverse Eigenschaften wie Vertraulichkeit, Integrität, Authentizität oder Verfügbarkeit.
Vertraulichkeit besagt z.B., daß bestimmte Informationen nur für bestimmte Empfänger zugänglich sind.
Integrität garantiert, daß Informationen nicht verändert wurden.
Authentizität stellt sicher, daß eine Information von dem richtigen Absender kommt.
Und Verfügbarkeit gibt die Erreichbarkeit eines Systems oder einer Information an.
Hier will ich jetzt aber nicht weiter in's Detail gehen, da sich mit diesen Themen ganze Bücherregale oder viele Webseiten füllen lassen.

Nun gibt es eine relativ bekannte Firma, die vorgibt etwas von IT-Sicherheit zu verstehen. Eine Firma, die ihre Sicherheitsprodukte (aka snake oil) an leichtgläubige Kunden verramscht, die es nicht besser wissen.
Eine Firma, der wir 2006 eines der größten Botnetze zu verdanken hatten.
Und ganz aktuell:
Eine Firma, die offen zugibt, daß ihr die Vertraulichkeit der Internet-Nutzer am Allerwertesten vorbeigeht und gerne komplette Nutzerprofile ihr Eigen nennen möchte.

"Man schaut, was ist das für ein Anwender, welche Seiten hat er besucht, welche Gefahr geht von ihm aus", sagte John W. Thompson den VDI Nachrichten. "Auf Basis dieser Infos lässt sich dann ein Profil erstellen und Unternehmen können darauf entsprechend reagieren."

Da fehlen einem die Worte, angesichts der Dreistigkeit mit der aufgrund von Profitgier und Kontrollwahn die eigenen Kunden seziert werden sollen.

• The Ineffectiveness of Security Cameras
Eine Studie über den Einfluß von Überwachungskameras auf die Verbrechensrate in San Francisco.
Ergebnis: Die Rate ist nicht gesunken, aber angeblich würden sich die Bürger sicherer fühlen. Also nur rausgeschmissenes Geld für ein Sicherheits-Theater ohne effektiven Nutzen, dafür mit Kollateralschäden in der informationellen Selbstbestimmung.


• Wie man einen Staat zerstört
Ein 20 Punkte Plan. 19 davon wurden so wie's aussieht schon ziemlich gut umgesetzt.


• Der Humanist der Physik - zum 150. Geburtstag von Max Planck
Interessanter Artikel, auch das dort verlinkte Video-Selbstporträt war mir neu. Standing on the shoulders of giants.


• unsubscribe-me.org
Eine Aktion von Amnesty International gegen Folter. Die Videos sollen u.a. verdeutlichen was beim harmlos klingenden Waterboarding wirklich passiert.
Das Video kommt allerdings, wie ich finde, nicht annähernd an diese Beschreibung eines Waterboarding-Selbstversuchs ran.

In diesem Zusammenhang auch interessant war eine Fragerunde mit dem US-Justizminister Ashcroft, dessen Argumentation bezüglich Waterboarding von einer 20-jährigen Studentin zerpflückt wurde, und der sich dann brüllend in Wortklaubereien verliert. (via)
Daß Bush ja ein Veto gegen ein Gesetz eingelegt hat, das der CIA das Waterboarden verbieten soll, erwähne ich mal noch der Vollständigkeit halber hier.
Da macht die Menschheit unglaubliche technische Fortschritte, aber gesellschaftlich gesehen sind wir immer noch im finstersten Mittelalter.
Ich möchte übrigens wetten, daß es nicht mehr lange dauert, bis auch hierzulande soetwas von diversen Behörden gefordert wird. Würde sich als Ergänzung zum BKA-Gesetz ja anbieten. Ich tippe mal darauf, daß das noch in diesem Jahr geschieht.
Der ursprüngliche Kandidat für das Vizepräsidentenamt des Bundesverfassungsgericht war ja z.B. ein Befürworter von solchen Foltermethoden, aber der wurde glücklicherweise erstmal abgesägt.


• I2P release 0.6.1.33
Für I2P gibt es ein Update. Die .32er hatte einige Performanceprobleme, die hier wohl behoben wurden.
"The 0.6.1.33 release contains several important bug fixes and performance improvements in SSU reachability detection, floodfill peer selection, tunnel peer selection, tunnel testing, NTCP idle detection, the streaming lib, and news fetching."


• CERT Secure Coding Standards
Eine Sammlung von Ratschlägen zum sicheren Programmieren unter C und C++. Inklusive Risiko-Abschätzung und Wahrscheinlichkeit des Auftretens der sicherheitskritischen Programmierfehler und wie man sie vermeidet.


• Der Konvent für Deutschland und unsere Verfassung
Chris von F!xmbr nimmt die Buchveröffentlichung des Konvents zum Anlass einen kritischen Rundumschlag gegen diese Leute abzuliefern.
(Bei diesem Thema sei auch noch auf das INSM Watchblog verwiesen, das ich hier noch nicht verlinkt hatte.)

• Drahtlos-Einbruch trotz WPA dank WLAN-Automatik


• Gesundheitspolitik: Was derzeit wirklich passiert
Ein Artikel der nur an der Oberfläche kratzt, was die wirklichen Machtstrukturen in diesem Land betrifft, und das ist nicht negativ gemeint. Lesebefehl.


• Verkettung digitaler Identitäten
Das Buch gibt's dort als pdf zum Download. (via)


• Der letzte Service: zum Tode von Joseph Weizenbaum
Sehr schade. Ich hatte gehofft, ihn noch irgendwann einmal live sehen und hören zu können.


• Blick hinter die schöne Olympia-Fassade in China
Unglaublich. Ich frage mich, wann wir hier auch wieder soweit sind. Sind ja auf dem besten Wege dahin.


• Kinderbuch "Wo bitte geht's zu Gott? fragte das kleine Ferkel" nicht indiziert
Das Ferkelbuch wurde doch nicht indiziert. Daß der CDU/CSU das ganz und gar nicht gefällt war klar. Der von der Leyen hat man diese tolle Werbung für das Buch ja erst zu verdanken.

Ich habe das Blog um eine Kontakt-Seite ergänzt. Anhand des tollen Artikels im Ravenhorst über I2PMail, habe ich mir jetzt endlich mal einen I2P internen eMail-Account eingerichtet. Dieser ist zwar auch über das normale Netz erreichbar, aber wird über diverse MXe in das I2P-Netz geroutet.

Das ist allerdings nur die halbe Miete. Innerhalb des I2P-Netzes ist man zwar anonym, aber da ich hier diese Adresse bekanntgebe, und man auch so etwas wie ein Impressum hat, ist die Anonymität der eMail Adresse natürlich nicht gegeben.
Wo ist dann der Sinn dieser Aktion? Der Vorteil ist einfach die vorratsdatenspeicherungsunabhängige Speicherung.
Zumindest von meiner Hälfte der Verbindung aus. Natürlich ist man wieder halb im Raster, wenn man nach "außen" hin Mails verschickt. Und natürlich sollte man auch nicht dem I2P Mailserver unbedingt vertrauen, weshalb GPG-Verwendung einfach mal zur Pflicht wird. (Das sollte es eigentlich generell werden, unabhängig ob I2P verwendet wird, oder nicht.)

Diesen Absatz möchte ich noch zitieren:

Der Idealfall würde so aussehen, dass jeder Internetnutzer I2P (oder eine entspechende Anon-Plattform mit den nötigen Funktionalitäten) installiert hat und darüber Sites hostet und ansurft, Mails versendet, chattet und Daten austauscht. Aber so groß ist der Wille, das Bewußtsein und der Überwachungsdruck noch nicht. Aber gut, einige Leute haben erst jetzt damit begonnen aufzuwachen und eigentlich, ja eigentlich, sollten wir Europäer in Rechtsstaaten leben, in denen wir es überhaupt nicht nötig haben, derartige Maßnahmen ergreifen zu müssen.

Ich denke mittelfristig wird es genau darauf hinauslaufen. Der Überwachungsdruck wird mit einer Geschwindigkeit wachsen, daß einem schlecht wird. Die normalen Kommunikationsmittel werden mehr und mehr totreguliert und mißbraucht, sei es durch Spammer, Scammer oder sammelwütige Überwacher. Anonyme Netze im Netz wie I2P sind da eine vorübergehende technische Alternative, um wenigstens so seine Grundrechte zu wahren. Zumindest solange, bis auch diese Tools verboten werden.

Wie heißt es doch so schön?
"If privacy is outlawed, only outlaws will have privacy."
-- Phil Zimmermann

Ich muß da auch immer an Stallmans Dystopie The Right to Read denken. Bis jetzt hat einen die Realität teilweise ja schon schneller eingeholt, als man sich solche Gruselgeschichten ausdenken kann.

Aber um nochmal kurz auf I2P zurückzukommen. Das ist im Prinzip genau das, wonach ich seit Jahren suche. Leider habe ich mich erst viel zu spät damit auseinandergesetzt. Ich habe mir schon so einige P2P Sachen angeschaut, sei es Freenet, Gnunet und wie sie alle heißen. Aber bis jetzt bietet eigentlich nur I2P eine Infrastruktur, die es einem ermöglicht die bisher verwendeten Kommunikationsmittel fast 1:1 über das I2P Netz zu tunneln.
Gut, die I2P Software ist immer noch in der Entwicklung und hat auch ihre Probleme (unabhängig davon, daß sie in Java programmiert ist ). Und wenn es nur um's anonyme Surfen geht, wäre Tor wahrscheinlich die bessere Alternative, aber auch im I2P-Netz gibt es In- und Out-Proxys.

Mal schauen, vielleicht gibt es zu I2P hier in Zukunft auch noch ein paar Beiträge.

- Offizielle I2P Webseite, ein Handbuch gibt es hier
- GnuPG Webseite, Anleitung auf deutsch hier

Ich wollte mal schauen, welche Alternativen und sonstige Möglichkeiten es so zu Truecrypt gibt. Das soll jetzt nicht heißen, daß Truecrypt schlecht ist, im Gegenteil, aber man ist ja neugierig.
(Zu Truecrypt gibt es auf f!xmbr übrigens ein paar nette Anleitungen, gerade für Anfänger leicht verständlich und mit vielen Bildern.)

Man sucht also zum Thema Festplattenverschlüsselung im Netz herum und findet auch direkt ein Forum, wo sich jemand nach verschiedenen Programmen diesbezüglich erkundigt.
Die darauf folgende Diskussion läßt einem die Haare zu Berge stehen. Da sind doch tatsächlich mehrere Leute der Meinung, daß Freie Software in der Kryptographie nicht zu gebrauchen sei, weil man damit ja anhand des Quellcodes rauskriegen könne, wie die Verschlüsselung funktioniere und sie folglich auch knacken könne.

Das ist so falsch, daß es weh tut.

Immerhin wurde in der weiteren Diskussion von anderen Nutzern diese Auffassung widerlegt, aber ich möchte dennoch mal kurz die wichtigsten kryptographischen Grundsätze hier archivieren.

1. Kerckhoffs' Maxime:

"Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des Schlüssels."

Bitte ausdrucken und einrahmen.
Zu gut deutsch, kryptographischen Verfahren darf man nur vertrauen, wenn sie bekannt sind, sich über Jahre hinweg bewährt haben und zahlreichen kryptanalytischen (und erfolglosen) Angriffen ausgesetzt waren.
Jeder, der einem eine Kryptosoftware andrehen will, ohne das Verfahren offenzulegen, handelt mit nichts anderem als Schlangenöl und hat per definitionem kein Vertrauen verdient.
Man erfindet nicht mal eben so einen Verschlüsselungsalgorithmus, und denkt der sei sicher, nur weil man das Verfahren unter Verschluß hält.

Es kommt darauf an, daß die Anzahl der möglichen Schlüssel, also der verwendete Schlüsselraum, groß genug ist, um ein Durchprobieren aller Schlüssel unmöglich zu machen. Bei symmetrischen Verfahren ist das üblicherweise mit einer Schlüssellänge von 128 bis 256 Bit gewährleistet (noch länger ist aus physikalischen Gründen sinnlos ).
Das ist allerdings nur eine notwendige, und keine hinreichende Bedingung.
Der verwendete Algorithmus darf es natürlich nicht durch kryptanalytische Angriffe ermöglichen, daß der Schlüsselraum in irgendeiner Form eingeschränkt wird. Einfaches Beispiel wäre hier die Häufigkeitsanalyse bei monoalphabetischer Verschlüsselung.

2. Shannons Maxime:

"Der Feind kennt das benutzte Verfahren."

ist eine weitere Variante dieser Aussage, die es nochmal auf den Punkt bringt, daß security through obscurity keine Option ist.

• Verschusselt statt verschlüsselt
Beitrag auf heise security, der zeigt wie angeblich mit AES verschlüsselte Festplatten in Wirklichkeit ganz einfach auszulesen sind, weil die Verpackung nicht hält, was sie verspricht.


• Adobe Pushes DRM for Flash
Adobe will laut EFF zukünftige Flash Versionen um DRM Maßnahmen erweitern. Die Musikindustrie ist ja so langsam dabei, auf schmerzhafte Art und Weise zu begreifen, daß DRM keine gute Idee war. Adobe braucht wohl noch ein bißchen.


• Graphics Programming Black Book
Obwohl das Buch schon einige Jährchen auf dem Buckel hat, finden sich dort so manche Kapitel, die heutzutage noch aktuell sind. Und die anderen Kapitel sind auch interessant zu lesen.

• Lücke in WordPress ermöglicht Ändern von Nutzerbeiträgen
Irgendwie bin ich ja doch froh, daß ich gewechselt habe. Als hätte man's geahnt.


• Rainbow Hash Cracking
Interessanter Artikel über Rainbow Tables mit ein paar Zahlen über die Effizienz. Allerdings ist der Teil über gesalzene Hashes etwas auf Kritik gestoßen, die sich unter


• Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes
findet. Durchaus lesenswert, wenn man sich mal Gedanken drüber machen muß, wie und ob man Paßwörter speichert.


• Real Time and Embedded Guide
Umfangreicher Guide über den Aufbau von Echtzeit-Betriebsystemen auf embedded devices. Schwerpunkt liegt auf RTAI


• Traverso DAW
Multitrack audio recording & editing mit einem ungewöhnlichen Bedienkonzept. Noch nicht getestet, aber notiert