Let’s talk about sex, let’s talk about PGP

IMG_20140506_155540„Let’s talk about sex baby, let’s talk about PGP“ war der Titel des Vortrages von Jacob Applebaum und Jillian York heute auf der Re:publica 2014 in Berlin.

In diesem Vortrag erörterten die beiden die Gründe und Schwierigkeiten, warum echte IT-Security nach wie vor keine Anwendung im breiten Publikum findet. Systeme wie PGP, OTR oder Tor existieren bereits seit Jahrzehnten, finden aber nur in Expertenkreisen ihre Anwendung und werden im großen Stil weder von Firmen noch Privatpersonen eingesetzt. Continue reading

Was wir aus Heartbleed lernen sollten

heartbleedHeartbleed ist der Codename für einen fatalen Softwarebug in OpenSSL, eine Funktionsbibliothek für kryptografische Algorithmen. Kryptografie ist ein Überbegriff für Verfahren zur Verschlüsselung und Authentifikation die in Wahrheit aus einer Vielzahl komplexer mathematischer Algorithmen zusammengesetzt werden. OpenSSL stellt diese Algorithmen als Bausteine zur Verfügung, die man für eine sichere Datenübertragung benötigt.

Heartbleed heißt diese Sicherheitslücke deshalb, weil bei verschlüsselten Verbindungen „Heartbeats“ zwischen den beiden Kommunikationspartnern ausgetauscht werden,1 um feststellen zu können, ob die Gegenstelle noch existiert und im Rahmen dieser Heartbeats Information es dem Speicher der anderen Seite ausgelesen werden kann (s. XKCD).

Die Ursache für die Sicherheitslücke liegt an einem Konzeptfehler in der Programmierung, nämlich dem, dass dem User-Input (den empfangenen Daten) ohne Verifikation vertraut wird. Programmtechnisch kann so etwas als „Anfängerfehler“ eingestuft werden und ist schon unzählige Male in verschiedensten Programmen gemacht worden. Und wird auch in Zukunft immer wieder auftreten, da es immer wieder Entwickler mit nicht ausreichendem Sicherheits-Knowhow geben wird.2 In Bezug auf OpenSSL ist dieser Fehler vermutlich aber nicht auf mangelnde Qualität, sondern schlicht und einfach auf menschliches Versagen zurückzuführen, denn sogar der beste Experte der Welt kann irren. Continue reading

  1. Das gilt zwar nicht generell für alle verschlüsselten Verbindung, in diesem Fall trifft das aber zu.
  2. Obwohl es gängige Praxis ist (zumindest in Österreich), dass Programmierer generell mäßig bis schlecht bezahlt werden, ist genau das einer der fundamentalen Fehler in der Softwarebranche. „Programmierer“ ist in den Köpfen der Manager nicht weit weg vom „Hilfsarbeiter“. Das Ergebnis davon sind Programme, die ständig abstürzen und voll von Sicherheitslücken sind.

How to Move App Data of TextSecure to New Android Device

This Howto explains how to move application data of Android apps to a new mobile device. It is explained with TextSecure as an example but should work with any other app as well. People who are paranoid in respect to security and those trying to learn something about security should read the Section »Security Considerations« below.

In short the steps are:

  1. Install and initialize the app on the new device.
  2. Create an archive of the data directory (/data/data/…) on the old device.
  3. Copy and extract the archive on the new device.
  4. Change directory owner/group appropriately.

textsecureAbout TextSecure

TextSecure is an excellent application for Android (and iPhone) for secure SMS communication. It encrypts SMS messages such that an eavesdropper cannot read your messages. TextSecure uses public key cryptography to do encryption and authentication. Encryption always involves keys of which the most important and secret one is your personal private key. Thus, you should take care on it!

If you move over to a new mobile device you will either loose all your messages and your keys or you migrate them to the new phone. Of course, I’d prefer the latter. This article specifically deals with TextSecure but the method works for most other apps as well. Continue reading

Warum ich auf Facebook bin

Facebook-Logo-ChangeEinige Male wurde ich mittlerweile gefragt, warum ich denn jetzt auch auf Facebook bin. Gerade ich, wo ich doch schon bestimmt seit 10 Jahren die totale Überwachung predige und mich bis vor kurzem standhaft gegen Facebook gewehrt habe.
Die, die mich und meine Gesinnung näher kennen, haben sich vermutlich eines der beiden folgenden Dinge gedacht.

a) Jetzt hat er resigniert, oder
b) jetzt sind die Sicherungen endgültig durchgebrannt. Continue reading

Ist das ZMR ein reines Überwachungsinstrument?

Im Rahmen eines Förderansuchens an das Land Niederösterreich, wurde ich gebeten eine Meldebestätigung nachzureichen.

Ich habe den zuständigen Herren angerufen, um zu erfahren, wofür das denn notwendig sei. Wir haben doch ein digitales zentrales Melderegister (ZMR) in Österreich. Wozu also Papier verschwenden und archaische Postwege benutzen?

Der freundliche Herr hat mich dann darüber aufgeklärt, dass das ja etwas kostet und die tausenden Ansuchen, die bearbeitet werden müssen, zu viel Kosten verursachen würden. Also wälzt man das einfach auf den Bürger ab (…letzteres hat er nicht gesagt, aber ich mir dazu gedacht.).

Da drängt sich dann natürlich die Frage auf, wozu wir überhaupt ein digitales Melderegister haben. Ein Instrument, um „Big Data“-Analysen zu machen? Eine Datenbank, um der NSA Arbeit zu ersparen?

„Diese Seite ist nicht vertrauenswürdig.“

ie_untrusted Wer kennt sich schon technisch wirklich aus, wie das Internet funktioniert? Was darf man, soll man, was nicht? Die meisten Programme sind voll von irreführenden und undurchsichtigen Warnungen und Handlungsempfehlungen, was stimmt nun wirklich?

Dieser Artikel ist dem „normalen“ Internet-Benutzer gewidmet. Es wird die Verschlüsselung von Webseiten und daraus resultierende Vor- und Nachteile beschrieben. Es ist nicht eine langweilige Abhandlung technischer Details für Laien (zumindest nicht mehr als unbedingt notwendig), sondern eine Beschreibung der Zusammenhänge und Hintergründe, um in der Lage zu sein, gewissen Situationen die beim Surfen im Web auftreten können, selbst einschätzen zu können. Continue reading

Der 30C3 hat begonnen

30c3_fooUm 11 Uhr wurde der 30. Chaos Communication Congress von Tim Pritlove eröffnet, nachdem seit vielen Tagen die Vorbereitungen im CCH laufen. 2100 Arbeitsstunden stecken bis jetzt (13 Uhr, 69th Aftermath, 3179) bereits im Kongress, der durch die Arbeit Freiwilliger aufgebaut und abgehalten wird.1

Die Eröffnungsrede wurde mit einem Kurzfilm begonnen, der Ausschnitte von Ereignissen rund um den Chaos Computer Club die jährlichen Kongresse seit 1984 zusammenfasste. Das Jahr wie der gleichnamige Roman von George Orwell, der offenbar tatsächlich als Instruction Manual benutzt wurde. Continue reading

  1. Aktuelle Kongress-Stats gibts unter c3netmon.congress.ccc.de.

Crawlers Bias Server Log Stats

botlogSearch engines are regularly visiting web sites to update their index. The shorter the time between two visits the more accurate is the index.

Of course, there are side effects. On one hand this increases the load and the traffic of a web server. Thus, most modern crawlers are not too aggressive to avoid too high loads or network congestion. On the other hand web servers log all requests to log files. Thus, the log data interleaves between real users’ access and such of web crawlers. If the log files are used to create access statistics, they will be biased by the log entries of the bots. Continue reading

p = &(*p)->next; // Learning C

bg_CLooking back on 25 years of experience in C programming I consider C still to be the queen of languages to write complex, fast, and powerful programs although there are many other powerful new languages today. C++ is even more powerful in several applications but it bears the risk for novice users who are familiar with C to produce a horrible C/C++ code mix.

In courses and workshops in C programming I often encounter similar questions or assumptions which are very often simply wrong. From those experiences I derived a set of rules. Although written in respect to C, many of them apply to most other programming languages as well. Continue reading

Drei Gemeinden kämpfen um Fortbestand des Lagerhauses

lh_ffBereits im Sommer kamen die ersten Gerüchte über die Schließung des Lagerhauses in Frankenfels auf. Etwas, das sehr schwer in den Köpfen der der Bürger lastet, da bereits vor 13 Jahren einmal das Lagerhaus geschlossen werden sollte, was jedoch durch großes Bürgerengagement und Einflussnahme der Politik zum Glück abgewendet werden konnte. Nun soll es wieder geschlossen werden. Die Bürgerinnen und Bürger sind verärgert und verzweifelt, da dieses Lagerhaus in der Region von zentraler Bedeutung ist. Continue reading