Captain's blog

Nachdem ich bereits eine ganze Zeit lang Tor nutze, um nicht unbedingt jedem meine Daten etc. mitzuteilen, interessiert mich die Untersuchung über potentielle Schwachstellen der Anonymisierung natürlich ganz besonders.
Dass die Betreiber von Exit-Nodes (den Hosts, die den endgültigen Connect zum Zielhost herstellen) im Zweifelsfall sämtlichen Traffic mitlesen können ist ja nichts wirklich Neues. Da die Anfragen aber durch die unterschiedlichsten Tor-Nodes geleitet werden, ist aber wenigstens der Ursprung der Anfragen unbekannt (FAQ).

Nachdem der Abgleich diverser Informationsquellen zwischen einem zunehmend wieder größeren Rechnerpark langsam nervt, habe ich mich endlich einmal daran begeben, vor allem meine Newsfeeds nur noch online vorzuhalten. Bei der Gelegenheit wurde die alte, etwas angestaubte Bookmarkverwaltung auch auf einen aktuellen Stand gebracht, und wird ab sofort wieder gepflegt.

Im Zuge des (hoffentlich) bald fertigen Artikels über Crypto-Filesysteme unter Linux habe ich kürzlich endlich einmal ein Projekt in Angriff genommen, das ich schon längst einmal angegangen sein wollte: die Verschlüsselung des gesamten Systems auf der Festplatte.
Im Gegensatz zu einem meiner älteren Artikel, der die Verschlüsselung von /home und Swap mit Hilfe des (mittlerweile obsoleten) Cryptoloop-Systems beschreibt, kommt in diesem Fall DM-Crypt inklusive der LUKS-Erweiterung(en) zum Einsatz. Glücklicherweise sind die meisten Werkzeuge für das Vorhaben bereits unter Dapper bereit, ein paar Hürden galt es jedoch zu überwinden.

Inspiriert ist dieses kurze Howto durch einen Blogeintrag von Sternensucher, sowie einem (eigentlich veralteten) Thread im Ubuntu-Forum.
Obwohl das Vorhaben sicherlich auch aus einem laufenden System heraus machbar wäre, wird das System im folgenden komplett neu installiert.

Bevor es losgeht, noch der obligatorische Disclaimer:
1. Dieses Howto richtet sich an Personen, die (wenigstens ungefähr) wissen, was sie damit anstellen. Die hier vorgestellte Vorgehensweise hat sich für mich als stabil und gangbar erwiesen. Sollte das bei dir nicht der Fall sein, kann ich dich (zur Zeit) nur schlecht bis gar nicht supporten.
2. Eine Datensicherung bereits im Vorfeld ist unabdingbar.
3. Solltest du deine Daten (durch dieses Howto, eine vergessene Passphrase, whatever) verlieren, übernehme ich keine Verantwortung dafür.

Da auch das geklärt ist, kann's ja nun losgehen:

Wer beim surfen im Internet so wenig Spuren wie irgend möglich hinterlassen möchte, tut dies meistens sinnigerweise über sog. Anonymizer wie JAP oder Tor. Auch diese sind allerdings nicht dazu in der Lage, eine vollständige Anonymität herzustellen. Hierzu ist dann noch ein entsprechend ausgestattetes System vonnöten, da Cookies und Co. zusätzlich noch ihre Spuren auf der Festplatte hinterlassen.

Nachdem ich jetzt mittlerweile ein paar Tage mit EncFS herumgespielt habe, frage ich mich zunehmend, wieso die Verschlüsselung von mehreren Dateien und / oder Verzeichnissen bislang so aufwändig war. Wenn ich daran denke, welchen Aufwand ich für meinen damaligen Artikel über verschlüsselte Filesysteme betrieben habe, kommt mir die Arbeit mit EncFS vor wie ein Kinderteller.

Auch wenn's doch erst sehr spät kommt, wünsche ich allen hier lesenden ein gutes und erfolgreiches neues Jahr,. Ich für meinen Teil bin am Abend des 1.1. wieder zuhause angekommen, und habe bis heute schon wieder einiges erlebt. Mit Details möchte ich euch an dieser Stelle aber nicht langweilen, immerhin habe ich mich in letzter Zeit ja doch recht rar gemacht, und will niemanden mit belanglosen persönlichen Dingen vergraulen..

Den ersten Eintrag des Jahres werde ich auch recht kurz halten, da ich leider erst seit gestern mit alternativen Möglichkeiten der Verschlüsselung von Daten auf Festplatten befasse. Seit meinem Artikel zum Thema im Linux-Magazin hat sich diesbezüglich ja doch einiges getan.
Durch ein Posting im RootForum bin ich zum ersten Mal auf die Möglichkeit gestoßen, mit Hilfe von fuse für Verschlüsselung zu sorgen. Das Ganze nennt sich dann schlicht und ergreifend encfs, dessen Möglichkeiten ich immer interessanter finde.

Das auch im Posting genannte TrueCrypt hingegen regt mich irgendwie (rein subjektiv) nicht so zum "rumspielen" an. Vielleicht täuscht mich mein Gefühl in diesem Punkt ja vollkommen, und sofern mich jemand da eines besseren belehren kann, würde ich mich sehr über Erfahrungsberichte freuen.

Bis dahin aber teste ich auch weiterhin mit encfs rum, und werde Erfahrungsberichte im Laufe der nächsten paar Tage hier als "Rückkehr" veröffentlichen. Vielleicht entwickelt sich bis dahin ja hier schon eine kleine Diskussion.

Biometrische Systeme zur Zugangskontrolle sind zwar schon länger am Markt, kamen bislang aber nur vereinzelt zum Einsatz. Meist sind es dann die (vergleichweise) recht "einfachen" und kostengünstigen Fingerabdrucksensoren.

Dass sich diese zum Teil erschreckend einfach täuschen lassen, ist aber schon länger bekannt. Beispiele gefällig?

- Cryptome: Gummy fingers
- Crazy Aaron: Thinking Putty defeats Biometric Fingerprint Scanners!
- CCC: Wie können Fingerabdrücke nachgebildet werden?

Eine aktuelle Untersuchung der Clarkson Universiy bringt jedoch erst den vollen Umfang ans Tageslicht. Immerhin ließen sich dort ganze 90% der Sensoren durch einfache Play-Doh Knetmasse täuschen.
In Anbetracht der Tatsache, dass solche Systeme gerade vermehrt auf deutschen Flughäfen eingefüht werden, finde ich es spannend zu sehen, dass auch auf solch deutliche, "offizielle" Warnungen immer noch nicht gehört wird.

Anfang des Monats kündigte GMail (aka Google Mail) still und heimlich an, den Dienst mit einem Virenscanner aufgestockt zu haben, der ein- und ausgehende Nachrichten auf Schädlingsbefall prüft.

Sicherlich ein netter Schachzug von Google, wobei es andere Freemail-Anbieter aber immerhin schon vorgemacht haben. Anders als diese geht man hier allerdings noch einen Schritt weiter, und entfernt die betroffenen Anhänge aus der Mail, so lange diese nicht "gesäubert" werden kann. Zu versendende Nachrichten, die Viren enthalten werden erst gar nicht angenommen.

Natürlich ist auch das nichts weltbewegendes, viel interessanter hingegen ist die Tatsache, dass Google selbst auf Nachfragen hin die hier genutzte Technologie nicht offenlegen will. Kommt ein "handelsüblicher" Virenscanner zum Einsatz? Haben die Jungs und Mädels wieder etwas in Eigenregie erarbeitet?

Vorab: für sämtliche in diesem Posting enthaltene Polemik möchte ich mich bereits im Vorfeld in aller Form entschuldigen.

Dass Voice over IP (obwohl in diesem Jahr gehyped wie sonst nur was) inhärente Unsicherheiten aufweist, ist eigentlich schon länger bekannt. Langsam aber sicher kommen nun auch die ersten "praktischen" Probleme hoch, wobei die "Internettelefonie" in diesem Fall mal nicht das eigentliche Problem darstellt.

Viel mehr sind es dieses Mal die eigentlich als recht sicher geltenden Handynetze. Auch wenn die großen Gefahren bislang "nur" vom Handyklau, ein paar Viren und zu freigiebigen Blutooth-Freigaben ausgingen, ist hier der "Angriff" auf die Ressourcen des Netzbetreibers selbst das Problem.

Fangen wir aber einmal von vorne an, und wenden uns zunächst einmal wieder dem Thema VoIP zu:

Endlich mal ein interessanter "Online-Test":
Die amerikanische Firma MailFrontier hat ihren Phishing IQ Test II online gestellt. Hier geht es beispielhaft um 10 Mails, die als "echt" oder Fake einzustufen sind.

Bei einer der Mails war ich wohl zu misstrauisch, weshalb mein Ergebnis "nur"

You got 9 out of 10 correct, or 90 %

lautet. Welche Mail es war, verrate ich an dieser Stelle allerdings nicht.

Warum gibt es solche Tests eigentlich nicht auch "eingedeutscht", bzw. auf das hier ja immerhin auch auftretende Phishing zugeschnitten? Warum wird "Otto Normaluser" nicht durch solche Maßnahmen für dieses Thema sensibilisiert, wenn doch Viren, Würmer und Co. es mittlerweile sogar schon bis in die Mainstream-Medien schaffen?
Sofern sich ein paar Leute hierfür zusammenfinden würden, fände ich es einmal recht spannend, so etwas mal umzusetzen, an Ressourcen sollte es jedenfalls nicht hapern. Gibt's Freiwillige?

Im Moment "überzeuge" ich hier im Blog wohl doch eher durch Masse statt Klasse. Sorry dafür...

Anscheinend muss ich dieses Jahr kurz nach Weihnachten doch mal nach Berlin: der "Fahrplan" ist seit heute online. Da ich aber über Weihnachten wohl weiter unten im Süden Deutschlands sein werde, könnte das eine etwas längere Tour werden...wenn ich mir das Programm aber so anschaue, fallen mir aber direkt ein paar Punkte auf, die ich nur zu gerne miterleben möchte.

Sollte meine Zeitplanung also funktionieren, habe ich wohl ein sehr straffes Programm vor mir :

Komisch, dass das bisher keine größeren Wellen geschlagen hat:
Bereits im Oktober 2005 wurde ein übles Sicherheitsloch in GMail (ups: Google Mail) bekannt, das den vollständigen Zugriff auf beliebige GMail-Konten ermöglichte.

Immerhin hatten die "Entdecker" dieser Lücke Google direkt kontaktiert, damit sie gestopft werden konnte bevor die Bombe platzt. Die vier Tage Zeit, die für das Bugfixing benötigt wurde sind angesichts der akuten Gefahr ausgeht nicht rosig, aber immer noch besser als das, was andere Firmen für so etwas benötigen.
Der eigentlich interessante Teil der Geschichte besteht jedoch darin, dass Google das Ganze bis letzten Mittwoch (16.11.2005) geheim gehalten hat, das Stopfen der Lücke dann allerdings vollmundig verkundet hat. Die Hälfte des Morgens habe ich daher damit zugebracht, irgend etwas über diesen Vorfall innerhalb dieser Zeit zu finden, was mir aber wenigstens auf "Mainstream-Newsseiten" wie Heise beim besten Willen nicht gelang.

Eigentlich hätte ich nicht damit gerechnet, dass ein solch gravierender Bug so lange "unbekann" bleibt...

Das Ausspionieren von Daten nimmt laut einem aktuellen iDefense-Bericht seit ungefähr einem Jahr massiv zu. Die Jungs haben alleine im letzten jahr über 6000 (!) Keylogger gesichtet, die meist dazu dienen, Passworte und andere "geheime" Dinge mitzuschneiden, insgesamt wurde ein Zuwachs von 65% im vergleich zum Vorjahr festgestellt.

Wenn man bedenkt, wie sehr die gesamte (Security-) Welt sich auf Würmer, Trojaner und sonstige "Nettigkeiten" konzentriert, dürfte spätestens jetzt deutlich werden, dass auch an dieser Front eine ernsthafte Gefahr besteht. Ich finde es jedenfalls äußerst interessant, dass (wieder einmal) eine (mehr oder weniger) "reißerische" Untersuchung nötig ist, damit z.B. auch Heise das Problem wahrnimmt.

Langsam wird's Zeit für neuronale Schnittstellen...

Nicht erst seit dem letzten jahr finde ich Halloween mindestens genau so überflüssig wie einen Kropf. Wer dieses "Fest" wie ich geistig recht erfolgreich aus dem Kopf verbannt hat, und daher an nichts böses denkend an diesem Abend (wenigstens beim ersten Klingeln) an die Tür geht, wird wissen, wovon ich rede...
Das diesjährige Halloween war darüber hinaus besonders für Admins ziemlich beängstigend. Eine kleine Auswahl:

Die Idee, USB-Sticks mit seiner favorierten Linux-Distribution zu bestücken ist ja nicht neu. Selbst der iPod Nano fasst ein vollständiges SLAX (das seinerseits auf Slackware beruht).

Sicherheitstechnisch betrachtet ist das Booten eines "sauberen" Systems auf einem nicht vertrauenswürdigen Rechner schon einmal die halbe Miete. Wem das allerdings immer noch nicht paranoid genug ist, findet auf Debian-Administration ein sehr gutes Tutorial das beschreibt, wie sich Debian vollständig verschlüsselt auf einem USB-Stick unterbringen lässt. Immerhin sind diese heutzutage immerhin so groß, dass sie ein sehr komplettes System fassen können.
Vor einem Hardware-Keylogger schützt einen allerdings leider auch die stärkste Verschlüsselung nichts...was aber nichts ist, was sich nicht z.B. via xvkbd lösen ließe.

Ich finde das Projekt jedenfalls so interessant, dass ich's demächst (wenn irgendwann einmal wieder Zeit da ist ) unbedingt mal ausprobieren werde...auch wenn ich mich, wenn ich mal (ausnahmsweise) ohne Laptop unterwegs bin schon irgendwie etwas "nackt" fühle.