Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos
und Materialien:
Sie sind hier: Startseite Blog

Blog

Get current locale with Ansible

I just had the problem to get the currently set locate using ansible. This is non-trivial, since one has to consider four environment variables: LC_ALL, LC_MESSAGES (or another one), and LANG. For details see the Locale Categories documentation.

Now here is the solution, included into an ansible playbook:

# -*- indent-tabs-mode: nil -*-
---

- hosts: all
become: yes
gather_facts: false

vars:

env1:
LC_ALL: "de_DE.UTF-8"
LC_MESSAGES: "de_AT.UTF-8"
LANG: "de_CH.UTF-8"

env2:
LC_MESSAGES: "de_AT.UTF-8"
LANG: "de_CH.UTF-8"

env3:
LANG: "de_CH.UTF-8"

env4:
empty: empty


davical_default_locale: '{{ (ansible_env.LC_ALL|d(ansible_env.LC_MESSAGES)|d(ansible_env.LANG)|d("en")).split(".",1)[0] }}'

tasks:

- set_fact:
ansible_env: '{{ env1 }}'
- debug: var=davical_default_locale

- set_fact:
ansible_env: '{{ env2 }}'
- debug: var=davical_default_locale

- set_fact:
ansible_env: '{{ env3 }}'
- debug: var=davical_default_locale

- set_fact:
ansible_env: '{{ env4 }}'
- debug: var=davical_default_locale

20.02.2016 14:48

Artikel zu debops im iX Magazin

In der aktuellen Ausgabe 2016-01 des iX Magazins ist eine Artikel von mir zu debops.

debops ist eine Sammlung von sogenannten Playbooks für Ansible. Ich benutzte es selbst, um meine Server zu verwalten.

Den Artikel gibt es im iX Artikel-Archiv zum download – und das sogar kostenlos.

21.12.2015 11:55

Verschlüsselte Mailingslisten

Für ein NGO habe ich recherchiert, welche Möglichkeiten es gibt, Mailinglisten zu verschlüsseln.

Zum Verwalten der Mailinglisten verwendet das NGO Mailman 2 – eines der weitest verbreitetsten und besten Programme hierfür.

Hierbei gibt es grundsätzlich zwei Möglichkeiten:

  1. Alle Abonnenten bekommen den privaten Schlüssel der Mailingliste
  2. Ein sogenannter Patch für die Mailinglisten-Software

In beiden fällen wird ein GPG-Schlüssel auf die auf Adresse der Mailingliste ausgestellt.

Alle Abonnenten bekommen den privaten Schlüssel der Mailingliste

zu 1): So wie jede.r Abonnent.in einen eigenen GPG-Schlüssel erstellt, erstellen wir einen auf die Adresse der Mailingliste. Wenn wir an die Liste schreiben, werden die Mails für diesem Empfänger verschlüsselt. Damit jede.r Abonnent.in die Mails dann entschlüsseln kann, bekommt sie/er den privaten Teil des Schlüssels.

Das widerspricht zwar der "reinen Lehre", wie mit privaten Schlüsseln umzugehen ist, kann für viel Anwendungsfälle aber völlig okay sein.

Der Nachteil dieser Lösung ist, dass sie nicht skaliert. Sprich: Für einen kleinen Empfängerkreis mit geringer Fluktuation funktioniert das. Aber für größere Gruppen wird es schwierig.

Ein sogenannter Patch für die Mailinglisten-Software

zu 2)  Für Mailman gibt es einen Patch, also eine eine kleinere Softwarekorrektur, die Mailman Unterstützung für GPG- und S/MIME-verschlüsselte Mails beibringt

Auch hier würden ein GPG-Schlüssel auf die Adresse der Mailingliste ausgestellt. aber der private Teil würde nicht verteilt sondern bliebe auf dem Mailinglisten-Server. Dort würden für jede.n Abonnent.in deren öffentlichen Schlüssel abgelegt werden. Mailman würde dann die Mails entschlüsseln und für alle Abonnentinnen verschlüsseln.

Vorteil dieser Lösung wäre, dass sie skaliert, also auch für Mailinglisten mit hoher Fluktuation oder vielen Abonnentinnen praktikabel wäre.

Nachteil ist, dass Admins sich gerne weigern diesen Patch zu installieren - oder die Mailinglisten werden von einem Dienstleister betrieben, den man nicht davon überzeugen kann.

14.12.2015 07:35

Vortrag "Digitalen Selbstverteidigung für Unternehmen"

Am 21. Oktober, 18 Uhr im Wirtschaftsrathaus, Theresienstraße 9, 90403 Nürnberg.

Wer auf der it-sa nicht dabei sein konnte: Im Rahmen Security Angels halte ich meinen neuen Vortrag "Digitalen Selbstverteidigung für Unternehmen" – diesmal in der  Langfassung.

Veranstalter sind der NIK e.V., die IHK und die Stadt Nürnberg.

Die Teilnahme ist kostenlos. Anmeldung und weitere Infos unter http://www.nik-nbg.de/veranstaltung/digitalen-selbstverteidigung-fuer-unternehmen/

17.10.2015 10:10

Vorratsdatenspeicherung: Jetzt Verfassungsbeschwerde unterschreiben!

Verfassungsbeschwerde braucht politisches Gewicht

Morgen beschließt die große Koalition im Bundestag erneut die anlasslose Überwachung der Bevölkerung, auch bekannt als Vorratsdatenspeicherung. Und das, obwohl sowohl das Bundesverfassungsgericht sie als verfassungswidrig und der Europäischen Gerichtshof als Verstoß gegen die Europäischen Grundrechtecharta erklärt haben.

Unterzeichnen Sie die die Verfassungsbeschwerde: https://digitalcourage.de/weg-mit-vds.

Als Trojanisches Pferd ist dort übrigens auch der Straftatbestand der "Datenhehlerei" eingebaut, der Wistleblowing unter Strafe stellt – und damit verhindert, dass Bürger erfahren, wenn der Staat seinen eigenen Gesetze bricht.

Weiter Infos beim Arbeitskreis gegen Vorratsdatenspeicherung. Dort bin auch ich aktiv.

15.10.2015 10:14

Bestanden! ISO 27001 Lead Implementer

Heute kam das Resultat: Ich hab die Prüfung bestanden.

Bestanden! ISO 27001 Lead Implementer

Bestätigung der bestandenen Prüfung zum "ISO 27001 Lead Implementer (PECB)"

Buh, da bin ich froh! Ich hatte ja etwas Bedenken, ob ich nicht – ob meiner anderweitigen Erfahrung – Fragen "falsch" oder eben zu "ist doch alles klar"-einfach beantwortet. Aber das war anscheinend nicht der Fall.

Jetzt muss ich mich noch "Endorsen" lassen, also Nachweisen, dass ich genügend Erfahrung in der Praxis habe. Dann darf ich mich "ISO 27001 Lead Implementer (PECB)".

30.09.2015 18:36

Bewertung PGP-Verschlüsselung bei Web.de und GMX

Für Digitalcourage habe ich eine kurze Bewertung neuen PGP-Verschlüsselung bei web.de und GMX erstellt.

Laut einem Artikel in der Zeitschrift c't:

"Die [...] Variante des Plug-ins Mailvelope erstellt und verwaltet alle PGP-Schlüssel lokal im Browser."

Die Verschlüsselung erfolgt ebenfalls im Browser.

Aus einer Meldung bei heise online:

[... Sicherung...] dann wählt man das Schlüsselpasswort und sichert schließlich die automatisch erzeugten Schlüssel samt Passwort. Diese Daten werden in einen Container gepackt, der lokal verschlüsselt und dann bei 1&1 gespeichert wird. Das hierfür zufällig erzeugte 26-stellige Passwort bleibt beim Nutzer.

Bei der Sicherung Der private Schlüssel und dessen Passwort landet also bei GMX und web.de, geschützt mit einem 26-Zeichen langen Passwort. Dem Beispiel nach besteht das Passwort aber nur aus Kleinbuchstaben und Ziffern, entspricht also *sehr grob* geschätzt einem Passwort von 23 Zeichen mit Klein, Groß, Ziffern.

Laut http://img.ui-portal.de/cms/webde/produkte/sicherheit/pgp/lp/Anleitung-Verschluesselte-Kommunikation-WEB.DE.pdf ist die Sicherung optional, die Leute werden aber dazu angehalten bze. animiert, die Schlüssel zu sichern.

Mit dieser Sicherung kann man die Schlüssel auch auf andere Rechner übertragen. das geht jedoch auch, indem man die Schlüssel in der Browser-Erweiterung exportiert - ist nicht so bequem, verhindert aber, dass der Schlüssel beim Provider landet. Schade, dass GMX und web.de hier keine Möglichkeit anbieten, den als z.B. QR-Code Schlüssel auszudrucken, sondern die Leute dazu animieren, den Schlüssel zu ihnen hoch zu laden.

Unklar ist mir noch, ob die gesamte Nachricht verschlüsselt wird, oder nur der Inhalt und die Anhänge eben nicht. Siehe hier zu auch diese Hinweise von Posteo.

Bewertung

Insgesamt schient die Lösung ganz passabel. Es gibt jedoch einige kritische Punkte:

  1. Um diese Funktion zu benutzen, benötigt man ein Browser-Plug-in, man kann also nicht mehr den Rechner eines Bekannten nutzen (das sollte man sowieso eher nicht, aber das ist eine andere Frage). Weshalb liest man seine Mails dann überhaupt im Browser und benutzt nicht gleich ein richtigen Mail-Programm?!
  2. Es ist unklar, wie gut die Software-Komponente opnePGP.js ist, mit der die eigentliche Verschlüsselung erfolgt.
  3. Die Schlüssel werden innerhalb des Browsers verwaltet. Sie stehen anderen Anwendungen also nicht zur Verfügung.

Damit bleibt als einzige Begründung: Weil es bequem ist. Nun, das ist p≡p (Pretty Easy Privay) auch. Das verwendet aber Software-Komponenten, die seit langen Jahren ausgereicht sind, beispielsweise GnuPG.

[Update 2015-09-14: Bewertung aufgenommen]

01.09.2015 09:51

Fortbildung zum ISO 27001 Lead Implementer

Ich habe einige harte Tage hier mir, und ich hoffe, sie haben sich gelohnt.

Von Sonntag bis Mittwoch war ich auf einer Schulung zum "ISO 27001 Lead Implementer (PECB)". Dort wurde uns beigebracht, wie man ISO 27001 implementiert – also auf Firmenseite das vorbereitet, was die "Lead Auditoren" dann prüfen.

Der Kurs war die Kompaktversion eines 5-Tage-Kurses – wir hatten 3 Tage dafür. Das Meiste des Stoffes war mir schon bekannt. Weshalb ich aufpassen musste wie ein Fuchs, ob für den "Lead Implementer" etwas benötigt werde, das sich meinen Erfahrungen widerspricht. Bei der CISSP-Prüfung ist das ja so – bzw. war es, als ich die vor Jahren abgelegt habe -, dass man "deutsches Denken" über Bord werfen und "amerikanisch denken" musste. Bei diesem Kurs war mir solches dann doch nichts aufgefallen.

Der Kurs hat mich in dem Bestärkt, was ich bislang auch schon gemacht und gedacht habe. Sehr schön :-)

Im Anschluss an den Kurz gab es gleich die Prüfung. Jetzt heißt es 4–8 Wochen auf das Ergebnis warten. Dann, so hoffe ich, darf ich mich "ISO 27001 Lead Implementer (PECB)" nennen. Die dazu nötigen 5 Jahre Berufserfahrung und 300 Stunden Erfahrung in Information-Security-Projekten habe ich ja schon :-)

27.08.2015 17:20

Feiertagsarbeit bei Teletrust

Das Logo "SecurITy made in Germany" taugt sowieso nicht viel, aber es geht noch schlechter: Zertifikate werden schon mal an Feiertagen ausgestellt

Der TeleTrust Verein verleiht seit einigen Jahren das Zertifikat "SecurITy made in Germany". Das Zertifikat taugt in meinen Augen nicht viel, denn es bestätigt nur, das eine Firma ein paar Dinge "verbindlich erklärt".

Jetzt mach sich Teletrust völlig unglaubwürdig: Zertifikate werden schon mal am "01.01. 2015" ausgestellt (siehe Screenshot). Zu Erinnerung: der 1. Januar ist in Deutschland gesetzlicher Feiertag. Da arbeitet niemand, wenn er nicht unbedingt muss und darf.

Ach übrigens: Die URL des Zertifikats hat enthält übrigens den Verzeichnispfad "wp-content/uploads/2014/12/". Das deutet darauf hin, dass das Zertifikat bereits im Dezember hochgeladen wurde. Ich frage mich nur, wie dann er "01.01.2015" stimmen kann! Könnte das womöglich Urkundenfälschung sein?

21.01.2015 08:00

"Ehrlichkeit made in Germany"

Warum "Security made in Germany" nicht viel taugt.

"Ehrlichkeit made in Germany"

Das steht in einer Urkunde für das "Qualitätssiegel"

Seit einigen Jahren gibt es das "Qualitätssiegel" "SecurITy made in Germany", verliehen durch den Teletrust e.V.

In meinen Augen ist das ein reines Placebo, mit denen man versucht, Unbedarften "Sicherheit vorzugaukeln. Denn es bestätigt nur, das eine Firma ein paar Dinge "verbindlich erklärt". Wörtlich steht in dem Zertifikat:

Die [Firma] hat gegenüber TeleTrusT verbindlich erklärt: ...
Auf dieser Grundlage gestattet TeleTrusT die Verwendung des TeleTrusT-Qualitätszeichens [Logo]

Also ungefähr so: Ich erkläre Dir gegenüber, dass ich ehrlich bin, und Du gibt mir ein Zertifikat, dass ich das erklärt habe. Dafür bekommst Du ein paar hundert Euro und ich ein schickes Logo "Ehrlichkein made in Germany" für meinen Website.

Kann man glauben, sollte man aber nicht :-)

12.01.2015 12:25

(0) Kommentare