ScusiBlog

background emmission of scusi.

Re:publica 2012

Kurze Mitteilung in eigener Sache: Ich werde auf der diesjährigen re:publica in Berlin einen Vortrag zusammen mit Ralf Bendrath halten. Wir werden von unseren Erfahrungen in Sachen EU-Lobbying - am Beispiel der neuen EU-Cybercrime Richtline - berichten.

Die CDU Will Vorauseilende Volksüberwachung Aber Kein Überwachungsstaat

| Comments

Wie das CDU Watch Blog berichtet legt man vor allem bei der CDU Wert auf die Feststellung dass es bei der Vorratsdatenspeicherung vorauseilende Volksüberwachung nicht um die Schaffung eines Überwachungsstaat nach Stasi Vorbild geht. Um was es geht erklärt Frau Mechthild Ross-Luttmann von der CDU Niedersachsen wie folgt:

“Es geht nicht darum, dass wir zu einem Überwachungsstaat werden, sondern lediglich darum, zu speichern, wer wann mit wem und wo telefoniert hat.”

Einfach nur beängstigend wie merkbefreit unsere Politiker so sind. Es wird höchste Zeit das die Piraten alle politischen Gremien in Deutschland entern. Wenn wir diese verkalkten, völlig merkbefreiten Omas und Opas nicht bald los werden landen wir noch in so einem Film der in diesem Land schon einmal für 1000 Jahre laufen sollte.

Nie wieder Faschismus, nie wieder Stasi, nie wieder CDU!

Lesetipp zum Thema: Die vorauseilende Volksüberwachung von Sascha Lobo bei Spiegel Online

Das US Schuldenproblem Visualisiert

Wer wirklich mal sehen will wie groß das US Schuldenproblem ist dem sei die Seite http://usdebt.kleptocracy.us/ ans Herz gelegt. Dort hat man eindrucksvoll die Schulden der USA visualisiert. Vermittelt einen sehr schönen Eindruck davon was - und vor allem wie groß - das Problem ist.

Kann das bitte auch jemand für den deutschen Schuldenberg machen, damit diese ganzen FDP Spacken mal rehe geben mit ihren dämlichen “Steuer senken” Geschrei. Danke.

Socat Für Mac OS X

| Comments

Es gibt tools die braucht man einfach dauernd, eigentlich sollte man ohne gar nicht aus dem Haus gehen. Tu ich auch nicht. An meinem Schlüsselbund ist ein USB Stick auf dem ich immer ein rudimentäres Linux Notfallsystem dabei habe. Mein Notfallsystem kann sogar beliebige Linux und Windows Dosen rooten, die wichtigsten forensic tools sind drauf etc., p.p.

Leider nutzt einem das alles nichts wenn man plötzlich auf einer anderen Plattform unterwegs ist. Vor kurzem brauchte ich socat auf Mac OS X, natürlich hatte ich ein statisch kompiliertes socat dabei, allerdings nicht für Mac OS X.

Um eine lange Geschichte kurz zu machen, ich hab dabei gelernt das statische binaries für MAc OS X nicht so trivial sind weil Apple das nicht möchte, das geht soweit dass der gcc auf dem Mac das flag ‘-static’ nicht kennt.

Wie auch immer man kann sich sehr einfach ein dmg image aus jedem port des macports projectes erstellen. Das dmg bringt dann auch alles mit um es auf einem Mac ohne ports zu installieren. Das hab ich dann mal gemacht und stell das jetzt hier hin damit ich in Zukunft weis wo ich mein socat für den Mac her bekomme. socat-1.7.1.3.dmg

Update: Für euer vielfältiges Feedback stehen jetzt die Kommentare zur Verfügung, Danke.

Wenn Der Notruf Einfach Wieder Auflegt

Neues Update von Mo 27 Jun 2011 15:37:27 CEST ganz unten!

Heute morgen habe ich das gestrige Erlebnis von Vitoria aus Hamburg mit dem dortigen Notruf gelesen und war schockiert.

Nun ich dachte mir das möchte ich mit eigenen Ohren hören, unglaublich. Also habe ich gerade mal bei der Beauftragten für das Informationsfreiheitsgesetz (IFG) in Hamburg angerufen mir die zuständige Behörde nennen lassen um dann diese Anfrage dorthin zu schicken.

Die zuständige Behörde für den Notruf in Hamburg ist die Gesundheitsbehörde, also schreibe ich gleich an die zuständige Senatorin, damit das nicht im Sande verläuft (ich kenn das schon mit IGF Anfragen und den behördlichen Abwehrstrategien).

Meine Anfrage (als PDF) ist hier.

Die Anfrage ist gerade per Email an poststelle@basfi.hamburg.de raus gegangen. Sicherheitshalber werde ich heute abend nochmal ein Fax hinterher schicken, manche Behörden tun sich ja schwer mit Email.

Hoffen wir das es klappt. Den Mitschnitt - sollte ich ihn bekommen - werde ich dann hier veröffentlichen.

Update | Fr 10 Jun 2011 09:51:22 CEST Ich habe eine Bestätigung über den Eingang meiner Anfrage nach dem Informations Freiheits Gesetz bekommen, genau genommen habe ich sogar zwei bekommen. Einmal hat mir die zuständige Behörde für Verbraucherschutz den Eingang bestätigt und mir mitgeteilt dass die meine Anfrage an die Behörde für Inneres und Sport weitergeleitet wurde. Von dort, bzw. von der Feuerwehr wurde mir ebenfalls der Eingang bestätigt und zugesichert die Anfrage werde inhaltlich und rechtlich geprüft und man würde mir umgehend bescheid geben, lest selbst:

Freigabe von Informationen nach dem Informationsfreiheitsgesetz

Ihr Schreiben vom 08.06.11 an Frau Senatorin Prüfer-Storcks

Sehr geehrter Herr Walther,

Ihr vorgenanntes Schreiben in Zusammenhang mit einem Notruf in Hamburg ist bei mir eingegangen.

Nach Abschluss der rechtlichen und inhaltlichen Prüfung erhalten Sie unverzüglich eine Antwort.

Mit freundlichen Grüßen __

Es bleibt spannend.

Update | Mo 27 Jun 2011 15:37:27 CEST

Gerade eben kam die Antwort aus Hamburg. Wie immer wenn ich solche Anfragen stelle wird nichts rausgegeben. Die Begründung ist angeblich dass die Persönlichkeitsrechte der betroffenen Personen schwerer wiegen als mein Auskunftsanspruch und das Recht der Öffentlichkeit auf Aufklärung wenn der Notruf die Hilfe verweigert. Aber klar das die mauern, die haben wahrscheinlich die Buxe gestrichen voll.

Die Antwort in Gänze als PDF unter: Info-Begehren-nach-HmbIFG-vom-08.06.2011.pdf

Sichere Passwörter Unter Unix Erzeugen

| Comments

Schnell mal auf einem Unix-artigen Betriebssystem ein sicheres Passwort erzeugen, geht so:

1
echo `cat /dev/urandom | tr -cd [:alnum:] | head -c 12`;

Erklärung:

/dev/random ist unter Unix ein virtuelles Gerät welches zufällige Werte erzeugt. Allerdings ist /dev/random blocking, Das heißt es blockiert wenn alle Werte aufgebraucht sind und keine neuen zur Verfügung stehen./dev/urandom ist wie /dev/random blockiert aber nicht, desshalb ist es hierfür die bessere Wahl.

Der Befehl cat gibt einfach den Inhalt von irgendwas (Datei, Input,…) auf der Konsole aus. cat /dev/urandom gibt also einfach die von /dev/urandom erzeugten Zeichen aus.

Mit einem Pipesymbol ( | ) lenkt die Ausgabe vom vorangestellten Ausdruck (also von cat /dev/urandom) an den nachfolgenden Ausdruck also tr -cd [:alnum:].

Der Befehl tr -cd [:alnum:] schneidet alles aus dem Stream (von /dev/urandom) raus was kein alphanumerisches Zeichen ([:alnum:]) ist. /dev/urandom spucken nicht nur druckbare Zeichen aus sondern beliebige bytes, also auch Zeichen die man nicht so einfach Darstellen kann und eben auch nur schwer eingeben. Für Passwörter ungeeignet, eingeben muss man es ja meistens irgendwie.

Den nur noch aus alphanumerischen Zeichen bestehende Stream von zufälligen Bytes wird nun wider mit einem Pipesymbol an den Befehl head übergeben.

Der Befehl head zeigt den Beginn einer Datei an. Mit der Option -c 12 sagt man head dass es 12 Zeichen anzeigen soll.

So erhält man also ein zufälliges 12 stelliges Passwort. Durch ändern des Wertes der Option kann man auch längere oder kürzere Passwörter generieren. Wer gerne auch Sonderzeichen im Passwort haben möchte kann als Option von tr statt [:alnum:] einfach [:print:] nutzen.

Hinweis für Mac User

Unter Mac OS X muss man die Sprache auf C setzen damit das funktioniert, ansonsten bekommt man eine Fehlermeldung wie die folgende tr: Illegal byte sequence

Das folgende Beispiel zeigt wie es auch unter Mac OS geht:

1
echo `LANG=C tr -cd ‘[:alnum:]‘</dev/urandom|head -c 12`

Einrichten

Damit man nicht jedes mal die ganze Zeile tippen muss kann man sich das natürlich auch in die profile datei seiner Shell schreiben.

1
2
3
4
## aliases to generate passwords
alias mkpasswd_strong='echo `LANG=C tr -cd ‘[:alnum:]‘</dev/urandom|head -c 64`'
alias mkpasswd_hex='echo `LANG=C tr -cd ‘[:xdigit:]‘</dev/urandom|head -c 64`'
alias mkpasswd='echo `LANG=C tr -cd ‘[:alnum:]‘</dev/urandom|head -c 12`'

Nach einem Neustart, oder nachdem man die profile datei neu eingelesen hat (source ~/.bash_profile) kann man dann mit einem shell kommando passwörter erzeugen. Zum Beispiel so:

1
2
3
$> mkpasswd
SAufK6usdhwd 
$>

Frauenrechtler Und Die Abkehr Vom Rechtsstaat

Ich wollte ja auch schon darüber schreiben dass einige Opferverbände und sog. Frauenrechtlerinnen sich im Fall Kachelmann von den Prinzipien des Rechtsstaates verabschiedet haben. Twister hat das nun in der Telepolis bereits getan, desshalb spare ich hier meine Ausführungen und verweise einfach auf twisters Artikel Wie Frauenrechtler die Abkehr vom Rechtsstaat gutheißen. Inhaltlich kann ich twister nur beipflichten, allerdings möchte ich noch sagen dass mir ja vor allem Frau Alice Schwarzer dabei besonders aufgefallen ist. Frau schwarzer ist ja schon während der Disskussion zum Thema Netzsperren unangenehm aufgefallen mit einer ähnlich problematischen Auffassung.

Vergesslichkeit Kann Tödlich Sein

Der Preis für die Schlagzeile des Tages geht heute eindeutig an den Spiegel, für Eigene Selbstschussanlage tötet deutsch-türkisches Rentnerpaar. Die haben sich in ihr Ferienhaus eine Selbstschußanlage eingebaut, und beim betreten vergessen die Anlage zu deaktivieren. Diese Vergesslichkeit war für beide tödlich.

Ein Sicherheitssystem was selbst für die Besitzer so gefährlich ist dass man wegen einer Vergesslichkeit daran sterben kann ist ein verdammt schlechtes System, würde ich sagen. Sicherheit muss man halt auch verstehen, und das ist oft nicht so einfach wie es sich zunächst anhört.

#servergate

| Comments

Inzwischen heißt es ja es ging um einen SSH-Key eines franz. Energiekonzerns der auf dem PiratenPad abgelegt wurde. Und es hieß der Key soll Zugriff auf Rechner des Konzerns ermöglichen. Das heißt es war kein öffentlicher SSH-Key sondern der geheime (private) Schlüssel.

Wenn man einen digitalen Schlüssel verliert sollte man als erstes das “Schloss” austauschen, und nicht versuchen alle Kopien des Schlüssels im Internet einzusammeln. Wenn dieser Energiekonzern das “Schloß” ausgetauscht hätte, dann ist es kein Problem mehr dass der Schlüssel Dritten bekannt ist, schließlich kann man damit nichts mehr aufschließen. Aus der übereilten und auch übertriebenen Aktion schließe ich dass genau das nicht getan wurde, sonst gäbe es keinen Grund da so hinterher zu sein.

Da die Server keine IPs speichern wird man auch nicht herausfinden wer die Kopie des Schlüssels dort abgelegt hat. Die Aktion war also vermutlich ein echter Schlag ins Wasser. Frei nach dem Motto: 110 - ruf doch mal an, wir sind für jeden Spaß zu haben! Nun haben halt mal die französischen Kollegen angerufen. Die in Frankreich haben das mit dem Internet noch nicht so kapiert, sieht man ja an HADOPI und derlei Missgeburten. Irgendwie naheliegend zu versuchen den Schlüssel aus dem Internet zu bekommen statt das Schloss zu wechseln.

Hoffen wir mal dass die in Frankreich auch noch lernen das sich das im Netz mit Informationen wie mit Pisse in einem Schwimmbecken verhält, einmal drin nur schwer wider rauszuholen.

Update | Fr 20 Mai 2011 23:26:37 CEST Ein Audiomitschnitt der Priatenpartei Pressekonferenz zu #servergate findet sich unter http://kurz.nu/r/7e Udo Vetter hat auch ein lesenswerten Kommentar zur Sache geschrieben.

Update | Sa 21 Mai 2011 00:21:37 CEST In der Pressekonferenz der Piratenpartei wurde mittgeteilt es ginge um einen Angriff auf EDF im April. Das ist ja noch weniger ein Grund da den (oder die) Server zu beschlagnahmen. Es hätte vollkommen ausgereicht das Pad zu deaktivieren, einen dump der Datenbank sowie eine Kopie der Etherpad-Webserver-Access-Logs (falls vorhanden) zu ziehen und gut ist. Damit sollte der Strafverfolgung genüge getan sein. So hätten die Behörden (immer noch viel mehr als) alle relevanten Daten um zu klären was genau dort lag wie es sich über die Zeit verändert hat, von wem es bearbeitet wurde (Username, aber aufgrund der Konfiguration wohl keine IP) und wann genau, sowie was dabei (über den Chat zum Dokument) gesagt wurde. Das sollte doch reichen, oder?

Selbst bei der oben beschriebenen Vorgehensweise muss man sich vor Augen halten dass das BKA darüber hinaus auch alle anderen Dokumente die dort bearbeitet wurden sozusagen mit beschlagnahmt hat. Zum Beispiel die auf der Pressekonferenz erwähnte Hausarbeit eines Schülers die er Montag abgeben muss. Tja dumm gelaufen für den Schüler wenn er kein lokales backup hat - fürchte ich.

Sony Ist Schon Wider Gehackt Worden

Die Jungs von F-Secure haben eine Kreditkarten Phishingseite auf einem Sony Server gefunden. Das heißt dass Sony nach ihrem PlayStationNetwork Debakel nicht nur die Passwort Reset Funktion gehackt worden ist, sondern auch ein Webserver zum PhishingServer umfunktioniert wurde. Man kann wohl getrost sagen dass Sony seine IT-Sicherheit überhaupt nicht im Griff hat.

Nun ja, Sony sollten seine Ressourcen statt in die Straf- und Zivilrechtliche Verfolgung ihrer Kritiker und Kunden lieber mal in die Sicherheit ihrer IT-Infrastruktur investieren. Aber solange man bei Sony nur seine Daten verlieren kann, im Gegenzug bevormundet, und abgezockt wird, dann dafür noch Werbung und bekloppte Trailer sowie unzählige rechtliche Hinweise zwangseingeblendet bekommt warum sollte man da zu Sony gehen? Aus anderen Quellen gibt es den gleichen Inhalt, ohne Kopierschutz, ohne Datenverlust, ohne dämliche Trailer und Hinweise und dann noch günstiger, solange die Realität so aussieht wird die Content Mafiaa keinen Fuss auf den Boden des Internets bekommen. Fragt sich nur wann die Akteure der Content Mafiaa endlich einsehen dass ihr Weg sie nur an einen Ort führen wird, ihr Grab.