www.drokzid.net

Die neuesten Cisco-Router bieten eine Funktion namens WebVPN, eine auf SSL basierende VPN-Implementation. Dabei muss man sich über eine Portal-Seite authentifizieren und bekommt dann vom Router mit Hilfe von Java einen VPN-Client auf seinem Rechner installiert.

Als ich das ganze soweit vollständig konfiguriert hatte und mich versuchte zu authentifizieren, endete der Authentifizierungs-Versuch meistens in Timeouts, ab und zu jedoch funktionierte es wunderbar. Daraufhin debuggte ich die missglückten Logins mit Hilfe des Kommandos debug webvpn. Der letztendliche Fehlercode, an dem sich mein Browser aufhing, lautete:

WV: Server Side not ready to send

Als weder Google noch die Cisco-Seite nach ewigem Recherchieren Erfolge brachten, kam mir die Idee das ganze Szenario doch mal mit dem Internet Explorer anstelle des Firefox-Browsers zu probieren. Und siehe da, es funktionierte auf Anhieb einwandfrei.

Daran sieht man mal wieder ganz deutlich wie eng Monopole doch zusammenarbeiten können, wenn es darum geht die Marktposition zu festigen. Naja ich hoffe dass ich mit diesem Blog-Post wenigstens dem ein oder anderen verzweifelten, Firefox nutzenden, Admin weiterhelfen.

Bin auf einen grandioses Projekt gestoßen, mit dessen Hilfe es möglich ist, erfolgreich Zensurmechanismen wie beispielsweise URL- und String-Filterung zu umgehen. Es handelt sich dabei um den Bilder-Proxy picidae, welcher Webseiten in digitale Bilder umwandelt und dem Nutzer zur Verfügung stellt.

Im Februar 2008 soll in Hamburg zum ersten Mal mit einem neuen "Digitalen Wahlstift" gewählt werden. Das funktioniert so, dass die Wähler weiterhin wie gewohnt mit einem Stift auf einem Papier ihre Stimmen ankreuzen. Der Unterschied zum herkömmlichen Wahlverfahren ist jedoch, dass der Stift durch, auf dem Blatt verzeichnete, Muster aufzeichnet, wo auf dem Papier der Wähler seine Kreuze macht. Der Stift wird anschließend in eine Auslesestation gesteckt, um das digitale Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop werden dann die Kreuze zu Stimmen umgerechnet. Auf dem Laptop wird übrigens Windows XP als Betriebssystem laufen. Am Wahlende wird aus den gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen Drucker ausgegeben wird.

In 17(!) der 1300 Hamburger Wahllokale werden Stichprobenzählungen durchgeführt. Bei einer Differenz zwischen der Stichprobenzählung und den digital ermittelten Stimmen zählen nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom Computer ermittelten Ergebnisse. Damit wird dem Wähler eine Papierwahl vorgegaukelt, welche in Wirklichkeit eine reine computergestützte Wahl, ohne jegliche Nachprüfungsmöglichkeit für den Wähler, ist.

Der Chaos Computer Club hat zur beispielhaften Illustration der vielfältigen Angriffsmöglichkeiten gegen den Wahlstift einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt ins Wahllokal mitgebracht und statt dem echten Wahlstift in die Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert als ein sogenanntes Trojanisches Pferd zum Einschleusen von Schadsoftware. Sobald der Stift in die Auslesestation gesteckt wird, aktiviert sich ein Manipulationsprogramm, welches automatisch auf das Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird. Das Programm kann nun problemlos Manipulationen auf dem Auswertungslaptop vornehmen, indem es beispielsweise die Position der digital gespeicherten Stimmkreuze verändert, das Endergebnis verfälscht, speichert und ausgibt.

Die Ignoranz gegenüber der Innentäter-Gefahr entlarvt das konzeptionell falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung vergisst und sich nachher wundert, dass das Flugzeug nicht abheben kann.

Um die technische Sicherheit des digitalen Wahlstift Systems zu belegen soll nun eine Prüfung durch die Physikalisch-Technische Bundenanstalt (PTB) erfolgen. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für Deutschland als sicher eingestuft, welche in den Niederlanden gerade aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen wurden.

In einer ausführlichen Stellungnahme über die Sicherheitsrisiken von NEDAP-Wahlcomputern hat der CCC außerdem vor ein paar Monaten darauf hingewiesen, dass clevere Geschäftemacher höchstwahrscheinlich versuchen werden, die Wahlcomputer billig an deutsche Gemeinden zu verkaufen, mit dem Argument, sie seien hier ja noch zugelassen.

Als ich mir vor einer Weile ein Notebook zulegte, hatte für mich eine sichere Verschlüsselung meiner Daten auf der Festplatte höchste Priorität. Als primäres Desktop-Betriebssystem wurde Debian Linux verwendet und als sekundäres Betriebssystem Windows. Es stellte sich also die Frage nach einer plattformunabhängigen Lösung, so dass der Zugriff auf eine gemeinsame Datenpartition ermöglicht wird.

Verschlüsselung der Partitionen unter Linux

Nach einigen Recherchen stellte ich fest, dass sich für mich als Debian User das Kryptographie-Modul des Device-Mappers dm-crypt zur symmetrischen Verschlüsselung meiner Daten anbietet, welches es ermöglicht, eine Gerätedatei zu verschlüsseln und in eine unverschlüsselte Gerätedatei einzuhängen.

Seit der Veröffentlichung von Debian Etch ist dieses Modul im Partitionsmanager des Debian Installers integriert. Darüber ist es problemlos möglich, verschlüsselte Partitionen zu erzeugen. So kann beispielsweise eine Root-Partiton mit einer definierten Passphrase verschlüsselt werden und Partitionen für die Swap-Partition mit einem zufälligen Schlüssel. Um die Hibernating-Funktion des Notebooks jedoch auch weiterhin zu nutzen, empfiehlt sich allerdings auch die Swap-Partition mit einer Passphrase zu verschlüsseln.

Um verschlüsselte Partitionen auf einem bereits bestehenden System zu erzeugen sind unter anderem die Kernelmodule aes, sha256, dm-crypt und dm-mod erforderlich. Der Zugriff aus der Shell auf Funktionen des Kernelmoduls erfolgt mit Hilfe des Programmpaketes cryptsetup.

modprobe aes
modprobe sha256
modprobe dm-crypt
modprobe dm-mod
aptitude install cryptsetup

Mit dem folgenden Befehl wird eine Partition mit einem 256 Bit langen Schlüssel symmetrisch nach dem Rijndael-Algorithmus verschlüsselt.

cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sda3

Nach erfolgter Verschlüsselung der Partition anhand einer gewählten Passphrase, kann unter Angabe eines beliebigen Aliases von der verschlüsselten Gerätedatei eine „entschlüsselte Sicht“ erzeugt werden, welche anschließend formatiert und ins Dateisystem eingehangen wird.

cryptsetup luksOpen /dev/sda3 alias
mkfs.ext3 /dev/mapper/alias
mount /dev/mapper/alias /path/to/mount/point

Um beim Laden der Betriebssystemkonfiguration ein Einhängen der Partition unter Angabe der Passphrase zu ermöglichen werden folgende Einträge in den Dateien /etc/crypttab und /etc/fstab vorgenommen.

# Einträge in /etc/crypttab
alias          /dev/sda3           none luks,retry=1,cipher=aes-cbc-essiv:sha256
#
# Einträge in /etc/fstab
/dev/mapper/alias          /path/to/mount/point          ext3          defaults,errors=remount-ro 0       1

Um nicht für alle verschlüsselten Partitionen, welche beim Systemstart geladen werden sollen, eine Passphrase eingeben zu müssen, lohnt sich das Erzeugen einer Schlüsseldatei, die beispielsweise auf der verschlüsselten Root-Partition abelegt wird.

dd if=/dev/random of=/etc/keys/alias.key bs=32 count=1

Dieser Schlüssel wird dann dem dm-crypt Gerät zugewiesen und die nötigen Zugriffsrechte werden gesetzt.

cryptsetup luksAddKey /dev/sda3 /etc/keys/alias.key
chmod 600 /etc/keys/alias.key

Damit beim Systemstart die verschlüsselte Partition mit Hilfe des, auf der Root-Partition abgelegten, Schlüssels entschlüsselt wird, muss in der Datei /etc/crypttab das Schlüsselwort none durch die Pfadangabe zur Schlüsseldatei /etc/keys/alias.key ersetzt werden.

alias          /dev/sda3           /etc/keys/alias.key luks,retry=1,cipher=aes-cbc-essiv:sha256

Aus Gründen der Sicherheit empfiehlt es sich, die Root-Partition beim Laden des Betriebssystems per Passwortabfrage zu entschlüsseln und alle anderen Partitionen durch, auf der Root-Partition abgelegte, Schlüsseldateien zu entschlüsseln. Somit können rein theoretisch alle Partitionen, bis auf /boot, welche zum Laden des Kernels zwangsweise unverschlüsselt bleiben muss, verschlüsselt werden.

Zugriff auf die verschlüsselten Partitionen unter Windows

Ein Zugriff auf die, unter Linux erstellten, verschlüsselten Partitionen erfolgt unter Windows mit Hilfe der freien Software FreeOTFE. Diese Software entschlüsselt die verschlüsselte Partition nach Eingabe des Schlüssels und stellt diese als Laufwerk für den Benutzer zur Verfügung.

Wenn man unter Linux die verschlüsselten Partitionen mit dem ext3-Dateisystem formatiert hat, muss man zuvor jedoch das Windows Betriebsystem um ext3-Funktionalität erweitern. Dies geschieht mit Hilfe der Software IFS Drives.

... oder wie eine Gegenbewegung zur Stasi 3.0 mutiert:

Ich bin vor kurzem auf ein Projekt namens Aktion Überwach! gestoßen. Ursprünglich handelt es sich dabei um das schwedische Projekt Creeper von Patrik Wallström. Die Idee wurde von Dataloo, welche auch die Schäublone ins Leben gerufen haben, aufgegriffen und eine deutsche Version des Projektes entwickelt.

Ziel des Projektes ist es, Zugriffe von Bundes- und Landesministerien, sowie von Regierungs- und Oppositionsparteien auf teilnehmenden Websites zu überwachen. Dabei werden Zeitpunkt des Zugriffs, die zugreifende Institution und die URL der besuchten Seite protokolliert und auf Vorrat gespeichert.

Technisch realisiert wird das ganze über ein Javascript Snippet, welches bei jedem Zugriff auf die Website die IP-Adresse des potentiell verdächtigen Besuchers an den Server des Projektes übersendet. Dieser prüft dann ob ein Verdachtsmoment vorliegt, protokolliert die oben genannten Daten und auf der teilnehmenden Website wird im Falle eines Verdachtmomentes ein Icon eingeblendet, welches signalisiert, dass der Besucher überwacht wird.

Also ich finde, dass die Idee ja durchaus einen ehrbaren Hintergrund hat, aber die Umsetzung ist einfach nur mehr als katastrophal. Vor lauter Rebellion gegen den Missbrauch von Daten vergessen viele scheinbar die erste Instanz zur Prävention des Missbrauches und zwar ihre eigene Haustür.

In der Form wie das Projekt aktuell umgesetzt wurde, werde ich auf keinen Fall daran teilnehmen. Ich finde man sollte den Kern des Programmes neu entwickeln. Und zwar sollten die IP-Adress-Listen auf den Servern der Teilnehmer liegen, damit dort beispielsweise ein PHP-Skript den Abgleich der Adresse durchführen kann, um unnötigen Datenstriptease zu vermeiden.

Der wissenschaftliche Dienst des Bundestages erklärt in einer PDF-Veröffentlichung die Quantenkryptogaphie:

Die Quantenkryptographie könnte eine Möglichkeit bieten, den zukünftigen Gefährdungen im Informations- und Datenaustausch entgegenzutreten. Damit könnte selbst dann, wenn Lauscher sich die Entwicklung immer leistungsfähigerer Rechner zunutze machen, die Vertraulichkeit und Integrität der Datenübertragung gewährleistet werden.

Hört sich ja soweit ganz toll an, aber versteht der Bürger doch sowieso nicht. Der ist doch schon mit GnuPG verschlüsselten Emails oder SSL geschützten Websites überfordert. Mit Hilfe der Quanteninformatik kann man natürlich auch prima die lächerlichen Krypto-Algorithmen der archivierten Vergangenheit rückentschlüsseln während die Menschheit im Qubit-Chaos zergeht (mal abgesehen von den 23 Professoren, welche die Quanteninformatik verinnerlicht zu haben scheinen ^^).

Da durch die Einführung des Hackerparagrafens §202c StGB, welcher die Verwendung von Sicherheitswerkzeugen (welche natürlich von Natur aus böse sind) untersagt, haben mittlerweile viele deutsche Security Crews, wie etwa Phenoelit, entweder ganz ihre Arbeit eingestellt oder ihre Websites ins Ausland umgezogen. Der Grund ist die Angst vor der vage formulierten Gesetzeslage. Es ist beispielsweise unklar ob bereits das Bereitstellen solcher Werkzeuge als Vorbereitung einer Straftat verfolgt, da es gegenwärtig noch keine Gerichtsurteile bezüglich dieser Problematik gibt.

Aus diesem Grund bietet nun ein IT-Sicherheitsexperte einige Sicherheitswerkzeuge auf einem deutschen Server an und erstatte Anzeige gegen sich selbst. Eine Kopie des Faxes wurde hier veröffentlicht. Die Zerstörung des Wirtschaftssektors IT-Sicherheit kann der Gute damit zwar auch nicht mehr verhindern, aber immerhin erhält man durch anschließende Gerichtsurteile ein wenig Klarheit was die genaue Gesetzeslage angeht. Also, meinen Respekt hat der Kerl definitiv.

Na das nenn ich mal nen Service. Windows spielt automatisch Updates ein, ohne den Benutzer darüber zu informieren, auch wenn der Benutzer sein System so konfiguriert hat, dass vor jeder Installation neuer Updates eine Benutzerbestätigung erforderlich ist.

Microsofts Program Manager Clinton widersprach der von Windows Secrets ebenfalls aufgestellten Behauptung, die Aktualisierung des Windows Updates erfolge selbst dann, wenn der Nutzer auswählte, dass er gar keine Aktualisierungen wünsche. Dies geschehe nicht."

Wie gütig. Ich frage mich sowieso wie man in Zeiten des Bundestrojaners noch auf Windows vertrauen kann...

Ich dachte ich präsentiere euch heute mal ein kleines Programm, welches die Verwaltung von Passwörtern ungemein erleichtert. Dadurch dass die Menge der (hoffentlich ^^) verschiedenen Benutzer- und Passwortkombinationen, die man im täglichen Umgang mit IT-Systemen benötigt stetig ansteigt empfiehlt sich eine professionelle Verwaltung dieser Daten.

Ich benutze dafür die Open Source Software KeePass Password Safe. Die Software gibt es für alle gängigen Betriebssysteme und sogar Portable Varianten für den USB-Stick. Die Passwort-Datenbank wird wahlweise nach dem Advanced Encryption Standard-Algorithmus (AES) oder dem Twofish-Algorithmus verschlüsselt. Die Datenbank kann entweder mit einem Hauptkennwort oder einer Schlüsseldatei oder einer Kombination der beiden Dinge gesichert werden. Letzters empfiehlt sich aus Gründen der Sicherheit natürlich.

Das Programm bietet außerdem die Möglichkeit Passwörter in beliebiger Länge zu generieren, dadurch ist es möglich seine eigenen Kennwörter selbst gar nicht zu kennen, sie aber trotzdem zu nutzen. Dies bietet beispielsweise in "Notfällen" die Möglichkeit, die Schlüsseldatei "versehentlich" zu löschen und jegliche Aussage über bestimmte Kennwörter begründet zu verweigern.