Wer in Deutschland anonym whistleblowen möchte…

troet

...der kann jetzt einen Stein in seine Nachricht wickeln und damit bei der taz ein Fenster einschmeissen. Sicherer als deren selbstgestrickte "Sicherheitslösung" ist das auf jeden Fall und die eingeschmissenen Fenster sind total praktisch: die muss man weder putzen noch öffnen. Ein Kassiber, jedenfalls ist immer noch eine sinnvollere und technisch elegantere Lösung, als das, was da unter informant.taz.de firmiert, wenn man mich fragt.

Einfach einen PGP-Schlüssel zu erstellen und den öffentlich zu machen, wäre ja auch zu einfach und zu professionell gewesen. Kann man natürlich auch nicht nebenher anbieten, das würde ja mindestens fünf Minuten dauern. Und der Fingerprint eines SSL-Keys ist ja schliesslich eine total viel bessere Authentifizierungsmethode, als ein von vertrauenswürdigen Dritten nachprüfbar signierter PGP-Key. Wer nämlich das böse schwierige GPG nicht begreift, ist sicherlich in der Lage, anonym mit einem SSL-Server Händchen zu schütteln, den Fingerprint zu extrahieren und die Certificate Chain zu verifizieren.   So einfach ist das und doch kommt da keiner ausser der taz drauf.

Worauf die taz aber nicht kommt, ist die sattsam diskutierte und für wahrschleinlich befundene Möglichkeit dass man SSL derzeit nicht für derart kritische Transfers trauen kann, weil von CAs (Zertifikataussteller) über Zufallszahlengeneratoren bis zur Software selbst (Heartbleed, remember?) alles mögliche von Geh-Heim-Diensten sabotiert oder kompromittiert wurde. Zu unserer Sicherheit. Noch schlimmer aber ist meiner Meinung nach dran, wer auch die restlichen Tips der taz berücksichtigt und TOR benutzt, um die bekannte Adresse zu besuchen und dort Daten abzuwerfen: eine bekannte URI (http://informant.taz.de) , die darauf wartet, dass jemand dort geheime Dokumente per TOR ablegt, dürfte auf die "Dienste" ungefähr so wirken, wie ein Haufen Scheisse auf die  Schmeissfliegen. Besagte Institutionen und deren ausländische Pendants werden jedenfalls grosse Mühe darin investieren, ihre Finger,  Saugrüssel und Ermittlungsrichter an die Exit Node, die im tatsächlichen Fall zur taz connected, zu bekommen und ggfs auch gleich die entsprechende Man-In-The-Middle-Attacke zur Hand  zu haben, um die tolle SSL-Verschlüsselung zu knacken. Dass die Männer mit den Löchern in der Zeitung derartige Attacken bereits ausgeführt und auch mehrere Zertifikatsaussteller kompromittiert   haben (sofern die nicht ohnehin freiwillig mitspielen), ist allgemein bekannt.  Zeit genug, an den Keys oder der SSL-Implementation der taz herumzumurksen, hätten sie ebenfalls.

Genau aus diesen Gründen hat Snowden übrigens PGP benutzt, als er Kontakt mit Greenbaum und Poitras aufnahm.

Alles in allem ist das zwar keine komplette Bankrotterklärung, wie etwa die Crypto-Policy der Süddeutschen Zeitung -auf die ich nicht mal verlinken will, weil mir die Zeit, danach zu googlen zu schade ist- aber eigentlich sollte es sich wenigstens bis zur taz (beim Rest der deutschen Zeitungslandschaft scheint man die Hoffnung, den Anschluss an die digitale Ära noch zu erreichen, ohnehin aufgegeben zu haben) herumgesprochen haben, dass als sicher etablierte Standards selbstgebastelten Sonderlösungen prinzipiell vorzuziehen sind.   Mit den Hinweisen auf die benutzten Metadaten-Cleaner -und dem Hinweis darauf, dass Office-Dokumente und auch PDFs prinzipiell höchst verräterische Metadaten enthalten, macht man zwar noch mal einen Schritt in die richtige Richtung, aber den verkorksten Ansatz kann das halt auch nicht mehr retten. Es bleibt mir vollkommen schleierhaft, weshalb hier einem nicht weniger komplexen System mit einigen Fallstricken (Tor, Tor-Browser, bekannte Probleme bei SSL) der Vorzug gegenüber einem als sicher geltenden gegeben wird, beziehungsweise warum auf die Möglichkeit wenigstens alternativ GPG zu nutzen, was praktisch keinerlei zusätzlichen Aufwand bedeuten würde, vollkommen verzichtet wurde. Das sieht mir ganz so aus, als hätte man sich da eben irgendwann so und so entschieden und das dann aus Prinzip oder persönlicher Eitelkeit stur so durchgezogen.

Veröffentlicht unter netstat | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

Was ich endlich auch mal verstehe

Anhand dieses Schemas habe ich das zB noch nie begriffen.

Anhand dieses Schemas habe ich das mit dem Switching  zB noch nie begriffen. Wo zum Fichtenwald ist denn nun der elende Schalter?!?

Endlich verstehe ich auch ma, wie Class D Amps funktionieren  (und damit auch, wie Schaltnetzteile funktionieren) Dabei dachte ich mir noch, das könnte doch wohl keine Pulsbreitenmodulation sein? Won wegen Interferenz und wenn da jeder modulieren würde und so weiter...

Was ich hingegen nicht verstehe, ist wie man (also ich) einen Gitarrenständer abbrechen kann. Beziehungsweise, wie mein Gitarrenständer einfach so abbrechen kann. Kaum zwanzig Jahre alt und... autsch!  OK, ich versteh's*.

 

Weiterlesen

Veröffentlicht unter hardware | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

minimal arts auf dem lande

- anonymous - img: shittigraffitti.tublr.com

Veröffentlicht unter Kultur | Verschlagwortet mit , | Hinterlasse einen Kommentar

WIE BITTE?

dscf0576

Gestern? Motörhead. Ja, waren recht gut. Keine Spur von schlapp, im Gegenteil, "Going To Brazil" war so ziemlich das schnellste Stück R&R, das ich je gehört habe. Sie haben gespielt, bis Phil Campbell tatsächlich ein Amp abgeraucht ist. War aber eh' schon die Zugabe, "Overkill" und er hatte ja noch fünf Stück davon. Gitarren hatte er fast noch mehr, alles Gibson, eine Epiphone war, glaube ich, dabei. Die Flying-V, die er als dritte rausgeholt hat - ich schätze mal eine "Epiphone by Gibson" Custom, wurden so zwischen 1990 und 1992 in Tennessee gebaut. Habe selbst so eine. Eher teuer. Chuck Berry hat auch eine. Sonst konnte ich eine LesPaul Standard, eine LP Custom und eine Explorer identifizieren... WAS? Ja!! LAUT! VERDAMMT LAUT! Lautsprecher bis an die Decke! War mein zehntes Motörhead-Konzert und sie waren selbst für ihre Verhältnisse dreckig laut. Slayer waren ein Knabenchor dagegen. HÄH? Ja, die war auch... WAAAS?! Wieviel? SORRY, ICH HÖRE IMMER NOCH NICHT WIEDER RICHTIG! ICH! WAR! GESTERN! NÄM! LICH! BEI! MOOO-TÖÖÖÖR-HEAAAAD!!. Ja, waren recht gut. Keine Spur von... WAS?! WIE?...

Veröffentlicht unter music | Verschlagwortet mit | Hinterlasse einen Kommentar

Fail2ban und Konsorten

cyberman_1

Ich habe gerade die Konfigs von fail2ban und ein paar damit zusammenhängenden Apps auf den neuesten -oder den unter Debian/stable neuesten möglichen- Stand gebracht. Den Logs nach zu urteilen, scheint das zu tun, was es soll. Falls jemand aber glaubt, seither  zu unrecht aus dem Webmailer oder ähnlichem hinausgeschmissen worden zu sein, möchte er er oder sie mir bitte bescheid sagen. (Wer natürlich befürchtet, zu recht hinauszufliegen, möge ganz einfach mal seine Rechnungen bei mir bezahlen. *räusper*, *hust*, *RÄUSPER!!*)

Wer ein Wordpress bei mir gehostet hat, kann und sollte sich also das Plugin "WP-Fail2ban" installieren, damit er auch etwas davon hat - und auch gleich mal auf Wordpress 4 updaten. Das rentiert sich* und tut fast nicht weh!

  *99.9998% Verfügbarkeit seit 01.01.2014! Das bekommt ihr sonst nirgends. Zumindest nicht zu halbwegs realistischen Preisen.

Veröffentlicht unter Meta | Verschlagwortet mit | 2 Kommentare

Quartett in GPG-Dur

...damit könnte durchaus die allernächste Zukunft gemeint sein.

...damit könnte durchaus die allernächste Zukunft gemeint sein.

Vielleicht sollte man nicht allzuschnell diejenigen verurteilen, die Verschlüsselung als für den Normalanwender prinzipiell zu kompliziert bezeichnen. Immerhin unterläuft selbst Edward Snowden gelegentlich mal ein Fehler bei der (in diesem Fall vorausschauenden) Benutzung von PGP/GPG.

Andererseits muss man in diesem Fall aber berücksichtigen, dass die Beteiligten sich da Sorgen um Probleme um die Gewährleistung ihrer Anonymität und Authenzität machten, mit denen sich 99.9% der Allgemeinheit mit Sicherheit nicht herumzuschlagen brauchen. Schliesslich hatte Poitras aus mir nicht ganz nachvollziehbaren Gründen ihren öffentlichen Schlüssel nicht an einem allgemein zugänglichen Ort hinterlegt, so wie das eigentlich sein sollte. Folglich musste Snowden diesen quasi nichtöffentlichen, öffentlichen GPG-Key über einen vertrauenswürden Dritten bestätigen lassen, musste aber während des gesamten Vorgangs hundertprozentig sichergehen, dass niemand spitzbekam, mit wem er da kommunizierte, obwohl er direkt unter der Nase der NSA operierte und sichergehen konnte, dass diese auch seine Kommunikationspartner Greenwald und Poitras beschnüffelten. Eine Situation, also, in der sich andere ganz andere Sorgen machen würden, als diejenige, wie man jetzt trotzdem noch schnell mit den Kronjuwelen des mächtigsten Geheimdienstes der Welt türmen könnte, bevor der begreift, was da gespielt wird.

Jedenfalls lassen sich einige wichtige Nebenerkenntnisse aus dieser Anekdote ziehen:

  • Snowden weiss schon sehr genau, was er tut und hat -vorsichtig gesagt- auch die Nerven dazu
  • GPG scheint wirklich ziemlich sicher zu sein

Um solcherlei Schwierigkeiten von vorneherein aus dem Wege zu gehen: mein GPG-Fingerprint lautet F9EF 8259 9B38 B680 9890 2C41 A3E6 BB98 AC81 CC14  -und bleibt mir bloss mit irgendwelchen Staatsgeheimnissen vom Hals!

Veröffentlicht unter software | Verschlagwortet mit , , | Hinterlasse einen Kommentar

GRUB: Nach Upgrade kein Boot, nur Rescue Shell?

grrwau!

Das ist  eine lustige Angelegenheit. Besonders, wenn man LVM und Vollverschlüsselung über mehre Festplatten hat. :( Aber auch das lässt sich lösen

 

Debian/testing: Nach einem apt-get upgrade funktionierte GRUB nicht mehr sondern das Prompt von GRUB-Rescue erschien. Die Fehlermeldung war etwas sehr Dubioses mit TERMCOLORS und irgend einem Modul - da waren wohl die Defaults zweier verschiedener Versionen durcheinandergeraten, Vermutlich kann man sein System von aus der Rescue-Shell aus wieder bootbar bekommen - ich habe das aber noch nie geschafft. Mit einem "richtigen" GRUB dagegen schon. Daraus folgt Punkt 1:

  1. GRUB stage 1 wiederherstellen:
    1. Live-System (Knoppix, Debian Live oder dergleichen) booten
    2. /boot einhängen (mount /dev/sda1 /boot; grub-install /dev/sda)
    3. wenn die Bootoptionen etwas weniger vermurkst waren, als bei mir, dann könnte das System jetzt schon wieder booten. Falls nicht:
  2. Das System von der Grub-Shell aus booten:
    1. Jetzt sollte die Maschine zwar GRUB Stage 1 ausführen, kommt aber nicht weiter: Also basteln wir uns eine Bootsequenz:
      kernel /vmlinuz-3.17.0 root=/dev/mapper/VOLGROUP-LV_ROOT (entsprechend wirklicher Kernelversion und dem Pfad des Volumes anpassen. Bei Debian mit LVM* ist das normalerweise /dev/mapper/RECHNERNAME-root.
      initrd /initrd.img-3.17.0
      boot
      (Auf Holz klopfen. Wenn nichts geht, stimmt wahrscheinlich der Pfad für die root-Partition nicht!)
  3. Wenn die ?iste gebootet hat, GRUB nochmal richtig installieren.

*) ohne LVM wäre das ein simpler Gerätepfad, /dev/sda3 oder dergleichen.

Veröffentlicht unter Loonix | Verschlagwortet mit , , , , | Hinterlasse einen Kommentar