Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos
und Materialien:
Sie sind hier: Startseite Blog

Blog

Kritik an change.org: Datensammler

Die Petitionsplattform change.org nimmt es mit dem Datenschutz nicht so genau.

Eine Plattform, um Petitionen zu erstellen, ist was Tolles – sollte man meinen. Irgendwie verbinde ich damit "Bürgerrechte", und damit auch Informationelles Selbstbestimmungsrecht, keine Datensammlung, etc.

Bei change.org war mir schon aufgestoßen, da die google-analytics verwenden. Sie liefern ihre Besucher als der Profil-Sammel-Krake Google aus – obwohl es mit piwik eine gute Alternative gibt.

Nun hat sich Michael Ebeling mal die Datenschutzbedingungen angeschaut: http://www.devianzen.de/2013/08/30/warum-ich-change-org-nicht-mag/. Mein Resümee daraus: Finger weg, Datensammler!

06.12.2013 16:11

NSA-Advent vom AK Vorratsdatenspeicherung

Jeden Tag ein neues Zitat rund um den NSA-Skandal

Die Adresse lautet: http://nsa-advent.de/

02.12.2013 09:28

Passwort-Richtlinien bei DHL vergrätzen User

Ein richtig schlechtes Beispiel für Passwort-Richtlinien für Endkunden gibt es bei den Packstationen. Und die deuten auf Sicherheitsprobleme im Hintergrund hin und behindern Sicherheitsbewusste.

Ja, Passwort-Richtlinien solle dafür sorgen, dass die Passwörter sicher sind. Und ja, es ist gut, wenn ein Unternehmen nur "sichere" Passwörter zulässt.

Ein Beispiel, wie man es nicht machen soll, liefert dagegen die Deutsche Post mit ihrer Marke DHL und der Packstation. Wer sich unter paket.de anmelden will, wird mit folgender Passwort-Richtlinie drangsaliert (siehe Bild):

  • Mindestens 8 Zeichen
  • Maximal 13 Zeichen
  • Gültige Zeichen (Buchstaben, Zahlen, !§&/()=?*+-_)
  • Mindestens einen Groß und Kleinbuchstaben
  • Mindestens eine Zahl (nicht am Anfang)

Das klingt erst einmal gut, treibt aber diejenigen in den Wahnsinn, die einen Passwort-Manager verwenden und sich damit Passwörter erzeugen lassen:

  • Weshalb maximal 13 Zeichen? Längere Passwörter sind bekanntermaßen sicherer. Und wenn das Passwort als Hash gespeichert wird – wie es Stand der Technik ist –, dann ist die Eingabelänge ziemlich egal. Bei mir entsteht so der Eindruck, dass das Passwort womöglich nicht als Hash gespeichert wird, sondern nur verschleiert oder gar im Klartext. das wäre peinlich!
  • Weshalb sind so wenige Sonderzeichen zulässig? Wenn nur Umlaute verboten währen, könnten ich das noch einigermaßen verstehen (aber auch nicht wirklich), denn damit könnte es Encoding-Probleme geben. Aber dass noch nicht einmal der Zeichenvorrat von ASCII erlaubt ist, ist eine unnötige Einschränkung. Hier habe ich den Eindruck, dass die Entwickler ihrer Software nicht trauen.
  • Weshalb darf die Zahl nicht an Anfang stehen? Das verhindert zwar simple Passwörter wie "7Zwerge", aber nicht das ebenso simple "Zwerge7". Meine Einschätzung dazu: ziemlich unsinnig.

Fazit: Sicherheitsvorgaben sind sinnvoll, keine Frage. Allerdings dürfen sie den Benutzern nicht über Gebühr im Wege stehen. Wenn man sich – wie bei dieser DHL-Seite – wegen der schrägen Passwortvorgaben zig-mal ein neues Passwort überlegen muss, bis es endlich akzeptiert wird, verlieren Viele die Lust und wählen dann halt eine simplere und unsicherere Variante. "Zwerge7x" wäre eine.

P.S.: keepass kommt bei dieser Passwort-Regel auf gerade mal 81 Bit Entropie.

21.11.2013 15:04

I found a severe parsing error in nanoxml

nanoxml is a well know and widespread XML parser. Eleven years after the last release I fixed a severe parsing error.

17.11.2013 14:55

Universal Surveillance Justification Generator

Erzeugt Begründungen, egal für welche Überwachungsmasche

15.11.2013 15:32

PGP für Mails nutzen

Nachdem ich nun schon ein paar mal gefragt wurde, wie man denn einen PGP-Key erzeugt und wie man das für Outlook bzw. Thunderbird installiert, hier der Versuch einer Antwort.

Thunderbird unter Linux:

  1. Über die Paketverwaltung der Distribution das Paket "thunderbird-enigmail" installieren (der Name ist evtl. ein anderer, wichtig ist "enigmail"). Die benötigte Software (insb. gnupg) wird automatisch mit installiert.
  2. Thunderbird starten und nach dieser Anleitung ein Schlüsselpaar erzeugen, innerhalb Thunderbird.. Wer GUI-Tools außerhalb Thunderbird nutzen will: Ich kenne kgpg und kleopatra.
  3. Schlüssel auf einem Key-Server veröffentlichen: Per Rechtsklick auf den Schlüssel und dann "Auf Schlüsselserver hochladen ..."
  4. Weiter Tipps unter http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP


Thunderbird unter Windows:

  1. http://www.gpg4win.org/ manuell installieren. Wer eine schlanke Installation möchte: es wird nur die Hauptkomponente benötigt.
  2. Enigmail in Thunderbird über den Add-ons-Manager installieren.
  3. Nach dieser Anleitung ein Schlüsselpaar erzeugen, innerhalb Thunderbird.
  4. Schlüssel auf einem Key-Server veröffentlichen: Per Rechtsklick auf den Schlüssel und dann "Auf Schlüsselserver hochladen ..."
  5. Weiter Tipps unter https://www.enigmail.net/documentation/quickstart-ch1.php#id2532629 und http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP


Outlook unter Windows

  1. http://www.gpg4win.org/ manuell installieren. Das Outlook-Plugin GpgOL muss mit installiert werden.
  2. Nach dieser Anleitung ein Schlüsselpaar erzeugen, mit dem Tool "Kleopatra".
  3. Schlüssel auf einem Key-Server veröffentlichen: http://gpg4win.de/handbuecher/einsteiger_9.html
  4. "Das mitgelieferte Outlook-Plugin GpgOL ermöglicht E-Mails direkt in Microsoft Outlook zu signieren und zu verschlüsseln." Wie genau möge bitte jemand anderes ergänzen.

Wem diese Stichpunkte nicht genügen, dem hilft vielleicht http://digitalcourage.de/support/digitale-selbstverteidigung weiter.

14.11.2013 21:25

Unternehmer gegen Vorratsdatenspeicherung

CDU/CSU und SPD verhandeln über eine Große Koalition. Da musste ich als Unternehmer Stellung beziehen – vor Ort, mit den Freunden von digitalcourage.

31.10.2013 21:00

Quelltext für Tolino Shine

Beinahe hätte ich eine Kampagne gegen den deutschen Buchhandel lostreten müssen. Aber nach zwei Monaten habe ich den Kernel für den e-Book-Reader "tolino shine" doch noch offiziell bekommen.

Den Slogan hatte ich mir schon ausgedacht: "Deutscher Buchhandel missachtet Urheberrecht".

Nun brauche ich den doch nicht, denn der Source wurde inzwischen veröffentlicht – allerdings gut versteckt unter "Technische Daten".

23.10.2013 19:35

Wir lassen uns nicht länger bespitzeln!

Edward Snowden hat enthüllt, in welch gigantischem Ausmaß deutsche und US-Geheimdienste uns bespitzeln. Doch Bundeskanzlerin Angela Merkel versucht seit Wochen, den Skandal auszusitzen und weigert ...

Ich habe gerade einen Appell für eine wirksame Kontrolle der Geheimdienste unterschrieben. Unterzeichne auch Du den Appell von Campact!

Die Kampagne von Campact. wird unter anderem unterstützt von FIfFdigitalcourage e.V. und DVD - Deutsche Vereinigung für Datenschutz e.V. Bitte unterstützen Sie den Appell - für umfassende Aufklärung über die weltweite Datenausspähung und klare Konsequenzen daraus!

Weitere Hintergründe im 5-Minuten-Info...

21.10.2013 22:44

Sag Nein zum Routerzwang

Immer mehr Provider untersagen, beliebigen Router verwenden zu dürfen. Nach einem Workshop im Juni bittet die Bundesnetzagentur nun um Stellungnahme. Hier ist meine Stellungnahme dazu.

Wer auch eine schicken möchte:

 

Sehr geehrte Damen und Herren,

ich bin freiberuflicher Berater für IT-Sicherheit. In meinen Büro- und Privatanschlüssen werden nur Anschlüsse zum Einsatz kommen, die dem

Modell A: Netzzugangsschnittstelle vor dem Leistungsabschlussgerät

entsprechen.

Denn mein Unternehmen muss die Hoheit über die Netzgrenze haben. Aus mehreren Gründen:

  • Unsere Kunden fordern, dass wir unser Netzwerk schützen. Sollte wir gezwungen sein, ein Endgeräte eines TK-Anbieters bei uns zu installieren, so müssten wir dahinter ein zweites Geräte installieren, über das wir die Hoheit haben. Jedes weitere Geräte bedeutet aber nicht nur höheren Strombedarf, sondern auch *höheres Ausfallwahrscheinlichkeit* des Gesamtsystems.
  • Wir könnten keine Vorsorge mehr treffen gegen Hardwareausfall. Wenn der Router/Modem des TK-Anbieters kaputt geht, sind müssten wir warten, bin dieser sich bequemt, Ersatz zu liefern. Nur mit einem Router, den wir unter unserer Hoheit haben, können wir ein Ersatzgerät vorhalten und binnen Minuten einbauen.
  • Als High-tech-IT-Unternehmen können wir uns nicht abhängig machen von Technik-Entscheidungen, die ein TK-Anbieter trifft. Beispielsweise könnte der TK-Anbieter entscheiden, zwangsweise NAT zu aktivieren, oder bestimmte Protokolle zu filtern Damit könnten wir aber einen Großteil unserer Tätigkeiten nicht mehr durchführen. Selbst wenn der Anbieter heute zusagt, dies nicht zu tun, würde ein Router unter seiner Hoheit ermöglichen, dies von heute auf morgen umzustellen -- ohne Chance für uns, Vorsorge zu treffen.

Zudem gibt es einige Marktpolitische Gründe gegen den "Routerzwang":

  • Ein "Routerzwang" würde zudem zu einer Marktverzerrung führen: Nicht mehr die Anschlussnehmer entscheiden, welche Features sie haben sollen, sondern der TK-Anbieter. Der Anschlussnehmer müsste doppelt zahlen: das Gerät des TK-Anbeiters und das, das die gewünschten Features bietet. Denn das Gerät des TK-Anbieters ist ja nicht geschenkt.
  • Ein "Routerzwang" würde TK-Anbietern die Möglichkeit geben, proprietäre, nicht standard-konforme Übertragungsprotokolle zu nutzen. das wiederum könnte Auswirkungen auf die anderen Teilnehmer an der gleichen Leitung haben (ähnlich wie jetzt bereits DSL-Vektoring) und anderenn Anbietern den Zungang zur Teilnehmerleitung verwehren.
  • Damit wäre der Teilnehmer womöglich *nicht mehr frei, seinen TK-Anbieter* zu wechseln. Eine Re-Monopolisierung könnte die Folge sein.

Einen Anbieter, der uns zwingt, einen Router/Modem unter dessen Hoheit anzuschließen, würde bei und aus der Auswahl fallen. Sollte unser momentaner Anbieter dies zukünftig verlangen, würden wir wechseln.

Schönen Gruß
Hartmut Goebel

06.10.2013 19:28

(0) Kommentare