Alle Artikel zu #sicherheit


Neues SSL-Zertifikat

Seit eben benutzt Konzertheld.de, ebenso wie mein Portfolio christian-gredig.de und unsere Projektwebsite tensing-rheinruhr.de, ein Zertifikat von Let's encrypt. Die sind die ersten, die kostenlos valide, von jedem Browser akzeptierte Zertifikate für jede Domain verteilen. Damit sollte es hier nie wieder Meldungen über abgelaufene oder nicht für sicher gehaltenene Zertifikate geben - der Besuch dieser Websites läuft jetzt immer über eine mit einem gültigen Zertifikat gesicherte Verbindung.

Gleichzeitig habe ich das Problem mit dem "www" gelöst (hätte ja mal jemand sagen können, dass www.konzertheld.de seit ewigen Zeiten nicht mehr auf die richtige Datenbank zeigt). Außerdem verwendet mein Server jetzt HSTS.

Für den gemeinen Leser ist das alles herzlich wurscht, denn sicherheitsrelevante Informationen werden hier wohl kaum geteilt. Aber auch die sind nun immerhin verschlüsselt und jetzt kann keiner mehr mitlesen, ob ihr sicherheitsrelevante Dinge lest, geschweige denn welche. ;)



Sieg der Mehrheit

Seit ein paar Tagen bin ich WhatsApp-Nutzer. Wie immer, wenn ich einen meiner Grundsätze umwerfe, ringe ich ein bisschen mit mir selbst, ob das wohl so gut war, daher werde ich meine Gedanken mal ordnen. Ich war einer der letzten in meinem Freundeskreis, der einen Internetanschluss bekam, ich habe erst seit 2004 ein Handy und erst seit 2014 ein Smartphone. Das mag seltsam erscheinen, schließlich begann ich, Programmieren zu lernen, als ich 9 war, und zerlegte unseren PC im Wohnzimmer, bevor mein Vater verstanden hatte, in welcher Reihenfolge man die SCART-Kabel am Videorekorder anschließen musste (ich bin mir nicht sicher, ob er es je verstanden hat). Aber es war bei allen drei einfach kein Bedarf da - vielleicht fühlt sich die Entscheidung für WhatsApp deswegen etwas anders an.

Denn Bedarf besteht da nach wie vor nicht. Es war diesmal vielmehr das Wegfallen von Gründen für meinen Widerstand.

  • Kommunikation per E-Mail kann ich schon lange nicht mehr durchsetzen und schlimmer als Facebook sind SMS und Threema1 nun auch nicht. Und anders erreicht man heutzutage einfach niemanden mehr.
  • Sicherheit? Mit vielen Personen, die ich nun per WhatsApp erreichen kann, kommunizierte ich bislang per SMS. Die sind nichtmal während der Übertragung verschlüsselt.
  • Datenschutz? Dass ich mich nicht von Facebook abmelden werde, habe ich schon vor längerem entschieden. Seit ich ein Smartphone nutze, lagern meine Kontakte auch wieder bei Google. Da WhatsApp nun zu Facebook gehört, ist es einfach irrational, es aus Misstrauen nicht zu nutzen.
  • Sicherheit, zum zweiten? WhatsApp fordert irrsinnig viele Berechtigungen auf meinem Telefon. Seit Android 4.3 kann man darüber aber die Kontrolle erlangen. In der Tat versucht WhatsApp gelegentlich ohne Anlass, meinen Standort abzufragen oder meine Kontakte zu ändern - das habe ich ihm nun schlicht verboten.
  • Sicherheit, zum dritten? WhatsApp ist bekannt dafür, Sicherheitslücken nur langsam zu schließen. Das passt mir gar nicht. Vielleicht ein Grund, warum ich noch ein seltsames Gefühl dabei habe.

Bei den drei vorhergehenden Kommunikationserweiterungen - Internet, Handy, Smartphone - war einfach irgendwann die Zeit reif. Ich habe vorher ohne überlebt, nun möchte ich keins mehr abgeben. Vermutlich wird auch WhatsApp schon bald normal sein - es zwingt mich ja auch niemand, es ständig zu nutzen, und auch Fotos und Sprachnachrichten sind verzichtbar.

An rationalen, schlagkräftigen Argumenten bleibt jedenfalls nur eins: WhatsApp ist nur verfügbar, wenn Internet verfügbar ist - im Gegensatz zu SMS, die quasi immer zugestellt werden können. Da mit dem Smartphone aber auch das mobile Internet bei mir Einzug gehalten hat und ich sowieso noch nie ein Fan von wirklich ständiger Erreichbarkeit war, ist das kein Problem (und SMS sind ja nicht abgeschafft). Ich werde mich also vermutlich in einer Weile daran gewöhnt haben, dass meine Standard-Kommunikations-App auf dem Handy nun etwas anders aussieht. Bevorzugt sind sowieso immer noch Telefon und persönliches Treffen - aber mit den Gründen dafür könnte man einen weiteren Blogeintrag füllen.

  1. Als sicherer und vertrauenswürdiger geltende WhatsApp-Alternative


Veraltete Datenbank-Backups löschen

Dank des Perl-Skripts von MySQLDumper laufen Datenbank-Backups bei mir vollautomatisch. Mit der Funktion des regelmäßigen Aufräumens war ich aber nicht ganz zufrieden. Ich wollte gerne, dass immer die zehn neuesten Backups behalten werden und von den älteren nur noch eins pro Woche. Das geht mit folgendem Bash-Skript:

#!/bin/bash # Get all konzertheld backup files reverse ordered (konzertheld_yyyy_mm_dd_hh_mm.sql.gz) FILES=`ls konzertheld_* -r` # Initiate i=0 LWNR=0 # Go for f in $FILES do i=`expr $i + 1` # skip first 10 backups if [ $i -gt 10 ] then # Get the database name by extracting the substring before the position of the first _ # echo ${f:0:`expr index "$f" _`-1} # Get the date part by extracting a 10 long substring from the position after the first _ DATUM=${f:`expr index "$f" _`:10} DATUM=${DATUM//_/-} # Get week number WNR=`date +%V -d $DATUM` # If we already had that week number this is an older backup from that week. Delete it! if [ $LWNR -eq $WNR ] then echo $f fi # Set the last week number to the current one. So if the next backup is from a different week it will be kept, if not, deleted. LWNR=$WNR fi done

So werden von den älteren immer alle bis auf eines aus einer Woche gelöscht. Wenn man nur automatisiert backupt, kann man das natürlich auch ohne die Wochennummer machen und einfach jedes siebte Ei jede siebte Datei löschen, aber mit der obigen Methode werden auch alte Backups gelöscht, die man mal manuell angelegt hat. So wie ich an Tagen, an denen alle zehn Minuten die Datenbank explodieren könnte, so dass ich ständig Backups anstoße...



Hinweis auf veralteten Browser für Blogs

Jeder Website-Programmierer weiß, dass es ätzend ist, mit alten Browsern arbeiten zu müssen. Außerdem haben veraltete Browser Sicherheitslücken, die nicht mehr geschlossen werden, weil der Aufwand der Pflege alter Versionen auch für den Herausgeber zu groß ist. Trotzdem verwenden viele Menschen veraltete Browser. Vor allem beim auf Windows vorinstallierten Internet Explorer ist das verbreitet, da dieser trotz Windows-Updates nicht automatisch aktualisiert wird und auch nicht auf Updates hinweist.

Für CMS- und Blogbetreiber gibt es da eine nette Hilfestellung. Auf browser-update.org gibt es ein kleines Javascript, welches einen dezenten und doch unübersehbaren Hinweis einblendet, falls der Besucher der Seite einen veralteten Browser benutzt. Wie genau "veraltet" definiert wird, kann man dabei dem Herausgeber überlassen (dann ist es immer dann soweit, wenn der Herausgeber den Support einstellt) oder selber bestimmen.

Für Habari, die Plattform, auf der Konzertheld.de läuft, habe ich selbst ein passendes Plugin geschrieben. Damit lässt sich das Javascript automatisch einbinden und wahlweise über die Plugin-Konfiguration selbst Browserversionen festlegen. Das Plugin ist öffentlich verfügbar und über Git bearbeitbar auf GitHub unter habari-extras.



Einfach wie E-Mail, so sicher wie Papierpost

Eines dieser Projekte, die ich wirklich nicht ernst nehmen kann: De-Mail. E-Mails, über eine gesicherte Verbindung (nicht Ende-zu-Ende) verschlüsselt übertragen werden. Da stellen sich mir zwei grundlegende Fragen.

Was ist daran neu?

Anmeldeverfahren über gesicherte Verbindungen gibt es schon lange und verschlüsseln kann auch jeder. Jetzt ist es (vielleicht) ein bisschen bequemer geworden, kostet dafür aber teilweise Geld. Auch dieses Konzept ist nicht neu. Behördengänge und anderen wichtigen Kram online erledigen: Das ist keine Erfindung der De-Mail, sondern die lange überfällig Feststellung, dass auch die deutschen Behörden dieses "Internet" kennen lernen sollten. Rechnungen von Firmen werden schon lange online zugestellt, bei vielen Firmen automatisch oder auf Wunsch mit Signatur.

Was ist an der bisherigen E-Mail anders als an Papierpost?

Ganz im Ernst: Mein E-Mail-Postfach hat ein unglaublich sicheres Passwort, mein Briefkasten gar keins. Da ist 'ne Klappe dran, die kann man hochmachen und meine Post rausklauen. Das würde ich nichtmal merken. Geht sogar schon bevor der Postbote die Post aus dem Kasten holt. An meine Mailadresse kann man mir Spam schicken - per Post in den Briefkasten ist das sogar legal (nur nicht so umweltfreundlich). Und Phishing - schonmal jemanden beerdigt? Na? Gesehen, was da für Post kommt und wer plötzlich Geld will? Da ist die Erfolgschance ja sogar viel höher, denn die Aufklärungsrate für Online-Betrug ist hoch, aber was "schwarz auf weiß" kommt, gilt immer noch als seriös.

Und Verschlüsselung gegen Manipulation - was, nur weil die meisten Postbeamten vertrauenswürdig sind, ist das Papiermedium sicherer? Ich habe kürzlich ein amtliches Schreiben bekommen, indem mit Kuli korrigiert wurde, die Stadt muss wirklich arm sein, wenn sie das Dokument nichtmal neu ausdruckt, wenn es Fehler enthält. Das war von Hand verklebt, überhaupt kein Problem, das zu öffnen und zu manipulieren und wieder zu verschließen. Was, ich spinne, das macht doch keiner? Und, wurde schonmal eine deiner Mails manipuliert?

Ich sehe so schon keinen Bedarf für ein solches Produkt. Und dann kommt noch die Deutsche Post mit ihrem Konkurrenten E-Postbrief. Das sind E-Mails, die wie Briefe sind, nur teurer. Eine normale E-Mail (Maximalgröße 20MB) kostet soviel wie ein Standardbrief. Empfangsbestätigung (Einschreiben) kostet 1,60€ extra. Ein absolut irrsinniger Preis, wenn man die FAQ gelesen hat und daher weiß, dass diese Funktion nichts weiter bewirkt, als dass der Empfänger einen weiteren Klick ausführen muss, um die Nachricht zu lesen. Er bestätigt damit die Kenntnisnahme der Nachricht. Die Preise der De-Mail stehen leider immer noch nicht fest, aber der E-Postbrief ist schonmal keinen Cent billiger als die klassische Post.

Ehrlich gesagt fühle ich mich ziemlich verarscht von diesem Konzept. Bei der Telekom, die Anbieter der De-Mail ist, heißt es im Werbe-Flash: "Meine Freunde vertrauen mir per E-Mail. Warum meine Versicherung nicht?" Das ist genau die richtige Frage. Warum nicht? Beziehungsweise: Warum nicht alle? Meine Fotoversicherung zum Beispiel vertraut mir per Mail. Alle Dokumente habe ich online eingereicht. Die Versicherungspapiere habe ich allerdings trotzdem per Post erhalten. Aber wie eingangs erwähnt, sind andere Firmen da schon vollständig digital.

Die einzigen, die noch fehlen, sind die staatlichen Behörden. Und ganz im Ernst: Dass die immer am langsamsten sind und eine Extrawurst brauchen, ist auch nicht neu.



Also langsam...

Ist eigentlich letztens irgendwas passiert? Habe ich Nachrichtenabstinenzler mal wieder was gravierendes verpasst? Letztens waren statt drei Securitys in der S-Bahn von Dortmund nach Duisburg zwei Securitys und zwei Polizisten. Einer fragte mich, ob die Tasche zu mir gehörte, die ich dabei hatte. Am nächsten Tag spielte in Gelsenkirchen Schalke und am Bahnhof war die Bundeswehr (jedenfalls sah es so aus). Gestern Abend gab es in Dortmund am Bahnhof wiederholt Durchsagen, dass man sein Gepäck nicht unbeaufsichtigt lassen soll. Ja sagt mal, sind wir denn jetzt in London?!

Vorhin stolperte ich zufällig über einen Film, den ich nicht einordnen konnte und der irgendwie merkwürdig anfing, also hab ich mir den kurzerhand angeschaut (sehr untypisch). Es handelte sich um Flight 93 und wie ich bald merkte, ging es um das Flugzeug, was bei den Anschlägen vom 11. September von Passagieren und Crew abgefangen werden konnte, so dass es nicht an seinem Ziel ankam. Wenn man sich damit mal etwas befassen möchte oder man glaubt, dass man zu wenig Schrecken von 9/11 hat, kann man sich den Film mal anschauen, der ist gar nicht schlecht. Ich habe danach noch etwas bei Wikipedia gestöbert und ein bisschen was lernen können.

Natürlich waren die Anschläge damals schrecklich. Ich will auch keinem der Anschläge in der Zeit danach seinen Schrecken absprechen. Aber müssen wir deshalb am Rad drehen? Mehr Sicherheitspersonal im Zug verängstig oder verwirrt die Fahrgäste. Manche ärgern sich sogar darüber. Die Bundeswehr am Bahnhof hat sogar mich verwirrt, ich dachte bisher, die seien nicht für Inlandssicherheit zuständig. Okay, kann auch Zufall gewesen sein dass die dort mit den Bahn-Securitys gesprochen haben, aber komisch war's schon.

Menschen werden immer unachtsam sein. Terroristen aber nicht. Wenn jeder auf seinen Koffer aufpasst, lassen die sich eben was anderes einfallen. Wenn nicht jeder aufpasst, gibt's wieder was zu lachen und für etliche Leute eine Menge Ärger, weil Omas Wecker zwischen den Socken getickt hat.

Letztlich sind wir doch vor allem gerade dabei, unsere gefühlte Sicherheit zu dezimieren und unseren Reisekomfort weiter einzuschränken. Es wurden durchaus schon Anschläge verhindert, andere aber eben nicht - ein gewisses Risiko besteht immer und ob es uns irgendwann trifft oder nicht, können wir genauso wenig verhindern wie die im Film gezeigten Menschen, die an Bord der Flugzeuge waren. Also lasst uns weiterleben und nicht ständig Angst haben - denn das einzige, was sich für uns dadurch ändert, ist, dass wir im Zweifelsfall sterben und Angst davor hatten. Ich würde dann lieber sterben ohne vorher schon darauf gewartet zu haben.



Reifen quietschen, Bremssysteme rattern, alles super!

"Letztens" (April) war ich übrigens beim ADAC Fahrsicherheitstraining. In meiner Fahrschule wurde kräftig Werbung für den ADAC gemacht, als Fahranfänger bekam man ein Jahr kostenlose Mitgliedschaft und zu der kostenlosen Mitgliedschaft einen Gutschein für das PKW-Kurztraining (die kleinste Form des Sicherheitstrainings, gefolgt von Basis und Intensiv). Inzwischen habe ich meine Mitgliedschaft für 1€/Monat verlängert, den Service einmal in Anspruch genommen und den Gutschein genutzt.

Der Platz in Haltern, wo ich mich mit Auto hinbegeben sollte, liegt relativ versteckt am Ende einer Navi-Ansagen-Folge von "am Ende der Straße, biegen Sie ... ab". Diverse kleine und schmale Straßen führten aber sicher zum Ziel. Anmeldung und Warten erstmal unspektakulär, Getränke gab's zu menschlichen Preisen, zu essen dafür gar nix ("Getränke und Speisen sind selbst zu bezahlen"). Zu Beginn wurden dann erstmal alle Teilnehmer (gut 20) mit Ein-Weg-Funkgeräten2 ausgestattet, damit jeder die Anweisungen der Übungsleiter ins eigene Auto bekam.

Los ging's mit Slalom fahren um Hütchen, möglichst schnell, was mit einem 3-5m langen Haufen Blech gar nicht so einfach, aber durchaus witzig ist. Erstmal alle nach eigener Meinung, danach Besprechung mit den Übungsleitern, Änderungen an den Sitzpositionen zur besseren Kontrolle über das Fahrzeug und zum sicheren Fahren1 und Ideensammlung wie man die Hütchen schneller umfahren könnte, danach nochmal auf die Strecke. Ziel und Ergebnis der Übung: Herausfinden, bei welchen Geschwindigkeiten man den Wagen wie stark lenken kann, ohne die Kontrolle zu verlieren.

Beim nächsten Teil ging's ums Thema Bremsen. Auf nassem Untergrund sollten Verhältnisse wie auf nassem Laub oder Eis simuliert werden, um Notbremsungen bei schwierigen Verhältnissen zu üben. Interessant war dabei, dass alle Teilnehmer ABS hatten - bis auf eine. Die war dann heilfroh, erklärt zu bekommen, wie man das ohne ABS hinkriegt, und hat es auch ziemlich gut hinbekommen. Ich für meinen Teil habe gestaunt, wie gut man bei arbeitendem ABS noch lenken kann, und festgestellt dass unser Auto durchaus gut funktionierende Bremsen hat. Der Bremsweg auf ungünstigem Untergrund ist dennoch viiieeel länger als normal O_O. Die Übung umfasste dann insgesamt das Bremsen auf gerade Strecke auf verschiedenen Untergründen und später auch mit Ausweichen und vorbei lenken an einem simulierten Hindernis.

Hier enden leider meine Aufzeichnungen, also sorry, dass es jetzt etwas unpräzise wird. Weiter ging es jedenfalls mit einem größeren Parcours. Kurvenfahrten, nasser Untergrund, beschleunigen beim aus der Kurve kommen und Notbremsung aus möglichst hoher Geschwindigkeit. Nette Kombinationsübung. Ich glaube, wir haben dann dort auch noch das Ausweichen von vorher dazu genommen.

Genial war der Abschluss, als wir am Ende noch Zeit hatten... eigentlich umfasste das Training ja nur die kleinste Version, das "Kurztraining". Die Anlage kann aber viel mehr. Wir haben dann den Rest der Zeit damit verbracht, auszuprobieren, was in größeren Sicherheitstrainingspaketen geboten wird... dazu gehört simuliertes Reifenplatzen, um zu üben, den Wagen auch dann unter Kontrolle zu halten, und Hindernissen ausweichen mit "echten" Hindernissen (plötzlich auftauchenden Wasserwänden). Kann man natürlich auch kombinieren. Da hat's dann richtig angefangen Spaß zu machen...

Gelohnt hat sich die Aktion auf jeden Fall. Das mag sich jetzt vielleicht wenig anhören, aber erstens war es gratis und zweitens hat es trotzdem 8 Stunden gedauert, natürlich auch aufgrund der Anzahl der Teilnehmer. Aber selbst diese wenigen Übungen sind doch unersetzbar, denn wer probiert schon unter normalen Umständen mal sein ABS aus? Ganz zu schweigen von der Sache mit dem geplatzten Reifen. Mir hat's gefallen und ich kann es definitiv empfehlen - nur was zu essen wäre nicht schlecht gewesen...

---

1 Bei voll durchgedrückter Kupplung dürfen die Beine nicht durchgestreckt sein (zerstört beim Aufprall die Gelenke), gleiches gilt für die Arme, die auch bei Druck gegen das Lenkrad nicht gestreckt sein dürfen. Die Hände sollten seitlich am Lenkrad sein ("viertel vor 3-Position"), die Daumen oben, so minimiert man Schäden bei eventuellem Aufprall und kriegt auch den Airbag nicht ab. Dabei merkt man vor allem, wie wichtig es ist möglichst viele Teile im Auto in ihrer Position verstellen zu können...

2 Schriebe ich One-Way, wüsste jeder, dass ich meine, dass die nur in eine Richtung funktionieren. Schreibe ich Ein-Weg, klingt es wie Einweg - sprich Wegwerf. Willkommen in der deutschen Sprache.



Sicherheitsbeschränkung

Ich bin ja eigentlich nicht besonders paranoid. Ich schließe nicht mal nachts die Tür ab. Ich blogge das sogar. Aber meine Passwörter sind alle recht sicher, einfach, weil die Methode, die ermöglicht dass ich mir die merken kann, gleichzeitig auch sehr sichere komplexe Passwörter erzeugt. Auch darüber habe ich übrigens mal gebloggt.

Wieso schränken nun so viele Anbieter, zuletzt stolperte ich beim ADAC und bei meinem Gasanbieter darüber, die Wahl des Passworts zu ungunsten der Sicherheit ein? Während z.B. GMX sogar verlangt, dass man mindestens eine Zahl verbaut, und Server Möglichkeiten bieten, den Benutzern eines Netzwerks zu diktieren, dass deren Passwörter eine bestimmte Komplexität haben müssen, beschränkt Pearl, ein Ein-Euro-Onlineshop, die Länge des Passworts auf 8 Zeichen. Lächerlich.

Es ist ja nicht so, dass man kein nahezu unknackbares Passwort in 8 Zeichen quetschen könnte, aber ich verstehe es einfach nicht. Ich programmiere selbst seit vielen Jahren, auch PHP mit MySQL, und ich sehe wirklich nur einen programmiertechnischen Grund für sowas: Der Programmierer ist zu faul, eine ordentliche Prüfung gegen Datenbankhacks (SQL-Injects) für die Passwörter einzubauen, und verbietet daher z.B. alles außer Buchstaben. Wenn das der Grund ist, ist der Programmierer aber eh schlecht, denn entweder prüft er dann z.B. den Namen oder die Adresse gar nicht oder er ist zu doof die selbe Routine auf das Passwort anzuwenden.

Im Fall meines Gasanbieters war es so, dass ich mir für die Dienste, die meine Wohnung betreffen, ein neues Passwort ausgedacht hatte, welches ausnahmsweise mal ein Komma enthielt. Kommata sind dort aber verboten. Warum? Anderswo verbietet man andere Sonderzeichen, schränkt gar auf Buchstaben und Zahlen ein oder gibt Maximallängen vor. Ich verstehe es nicht. Hält man den Nutzer für unfähig, sich das Passwort zu merken, und zwingt ihn deshalb zu weniger komplexen Passwörtern? Das kann's doch nicht sein. Hat jemand eine bessere Idee? Ansonsten werde ich mal alle von mir genutzten Dienste anschreiben warum sie das tun und auf diesen sowie den oben verlinkten Artikel verweisen, mal sehen, ob was passiert.