Sicherheitskonzept gescheitert?

Es sieht so aus als ob ich mein tolles Sicherheitskonzept nicht umsetzen kann 🙁 Es scheitert doch tatsächlich am Backup. Alle mir bekannten sicheren Backup-Methoden (partimage, dd) lassen es nicht zu das Backup in eine kleinere Partition zurückzuspielen.

Also kein RAID, kein LVM. Nur Verschlüsselung. Sicher im Schäuble-Sinne, nicht sicher vor Festplattenausfall 🙁

Ich könnte zwar zuerst meine Platten verkleinern, aber das ist mir zu kritisch.

Computer demnächst im Laden ohne OS?

Könnte Ubuntu Bug #1 in Europa demnächst gelöst sein? Vielleicht ja. Auf jeden Fall hat das Brüsseler Globalisation Institute “Think Tank” an die EU Kommission die Forderung gestellt, die Bundelung von Computer und Betriebssystem zu verbieten. Natürlich hätte das erstmal auch einen Nachteil für den Verbraucher: er muss das OS selber installieren. Aber man stelle sich mal die Vorteile für die Freie Software vor. Man geht in den MediaMarkt und will einen Rechner kaufen und dann darf man noch das OS wählen: 100 € +x für Windows, 0 € (oder niedrigen Betrag) für Linux. Das könnte ernsthaft zum Durchbruch von Linux führen. Und ganz ehrlich: Bei dem Monopol wäre es durchaus gerechtfertigt, wenn die EU Kommission regulierend eingreift. Ich habe noch keinen Laden gesehen, in dem Linux Rechner verkauft wurden. Man kann ja schon dankbar sein, wenn man eine Knoppix DVD mal einlegen darf.

Auch gute Publicity könnte Linux mal helfen. Bei Spiegel Online gibt es die nächsten Tage ein Ubuntu Tagebuch. Mal schauen wie das Fazit ausfällt. Ich denke es wird sehr positiv sein 🙂 Vielleicht druckt der Spiegel dies dan nauch mal ab.

Authentifizierung mit OpenPGP SmartCard

Ich hatte ja schon mein neues Sicherheitskonzept Sicherheitskonzept vorgestellt. Nun konnte ich nachdem ich gestern meinen CardReader und die OpenPGP SmartCard bekommen habe einen ersten Punkt umsetzen: Authentifizierung mit OpenPGP SmartCard.
Also Anmeldung nur noch über SmartCard – kein Passwort mehr nötig.

Da ich das Konzept toll finde, habe ich mir heute die Mühe gemacht und einen Wiki Artikel bei Ubuntuusers darüber geschrieben. Ich freue mich über jedes Feedback, damit ich den Artikel noch besser machen kann. Da im Artikel alles drinnen steht, verzichte ich darauf hier noch einmal alles runterzuschreiben.

Und ich schließe mit: Bundestrojaner müssen draußen bleiben

P.S. Ich gehe davon aus, dass der Artikel noch umziehen wird, da der Titel nicht stimmt. Ich werde über veränderte URLs berichten.

P.P.S. Artikel wurde verschoben und kann nun unter Authentifizierung OpenPGP SmartCard gelesen werden.

Sicherheitskonzept

Seit einiger Zeit mache ich mir Gedanken wie ich nach dem Ende der Diplomarbeit mal meinen Rechner richtig sicher machen könnte. Zur Zeit habe ich noch keine Sicherheit – weder gegen Datenverlust noch gegen Datendiebstahl. Nun habe ich ein kleines Konzept ausgearbeitet. Ich bitte euch mir zu sagen, was ihr davon haltet.

  • Zusammenschluss meiner Festplatten zu einem Raid1
  • LVM auf dem Raid
  • Verschlüsselung des LVM (Key auf Smartcard) mit LUKS und dm-crypt
  • Authentifizierung über Smartcard

Damit habe ich Ausfallsicherheit (durch Raid1), durch das LVM noch Flexibilität, um mal ein paar GB herumzuschieben, absulute Sicherheit durch die Verschlüsselung und bequeme Anmeldung durch die Smartcard.

Der interessanteste Teil dürfte ganz klar die Smartcard werden. Was ich so im Internet gefunden habe, kann man bei LUKS RSA Keys verwenden, die man ja auch auf der Smartcard speichern kann. Nur muss es möglich sein, dass man auf den Cardreader zugreifen kann, bevor die /root Partition gemountet wird.

Wenn das System funktioniert, wird es auf den Laptop übertragen. Dann kann ich damit sogar wieder in die USA reisen, da ich eher die PIN der Smartcard so oft falsch eingeben würde, dass die Card gesperrt ist, bevor ich denen meine Platte gebe 😉

Compiz Fusion

Man kennt ja die tollen neuen 3d-Effekte von Windows Vista… Dass Linux die schon viel länger kann und auch mehr Effekte hat ist leider nicht so sehr bekannt. Ich benutze nun seit einiger Zeit Compiz Fusion, der Wiederzusammenschluss von Compiz und dem Fork Beryl, produktiv. Eigentlich fand ich Beryl immer sehr gut und ist meiner Meinung nach immer noch besser zu bedienen als nun Compiz Fusion.

Trotzdem: Die Effekte sind einfach nur geil. Klar die meisten sind einfach nur Spielerei. Wer will schon ständig seine Programme um einen Würfel, als Aquarium, angeordnet sehen? Aber gerade das Scale Plugin oder Thumbnailing möchte ich im täglichen Gebrauch nicht mehr missen. Auch die Volltransparenz macht Spaß und kann sehr nützlich sein – besonders beim Konfigurieren in der Konsole, wenn man was von einer Webseite abschreiben muss. Vorbei die Zeiten des ständigen Alt+Tab.

Ja ich würde euch jetzt gerne Screenshots meines Desktops zeigen, aber gute Shots zu bekommen ist doch etwas schwer. Daher verweise ich euch auf die angebotenen Screenshots von Compiz und auf den Blog von Compiz Fusion auf dem immer wieder neue Plugins vorgestellt werden.

Übrigens Ubuntu 7.10 wird Compiz standardmäßig aktivieren. Ein weiterer Grund auf Linux umzusteigen 😉

Office OpenXML

In der aktuellen Ausgabe des Freien Magazins habe ich gerade einen Artikel über Microsofts Office OpenXML Dokumentformat gelesen. Der Artikel ist zwar für meinen Geschmack etwas zu subjektiv bringt aber die zentralen Punkte rüber:

  • Niemand braucht diesen Standart
  • Es gibt bereits einen anerkannten ISO Standard für Office Dokumente (OpenDocument
    )
  • Office OpenXML ist nur ein Container für Binärdaten
  • Es gibt keine Refferenzimplementierung

Das Microsoft selbst seinen eigenen Standard nicht implementieren kann und er einfach nur die Binärdaten der bestehenden Formate in XML kapselt, zeigt eigentlich, dass es keine Berechtigung gibt Office OpenXML als Standard anzuerkennen. Mit eingebetteten Binärdaten ist das Dokumentenformat einfach nicht zu gebrauchen. Der Vorteil von OpenDocument ist ja gerade, dass man im schlimmsten Fall das Dokument in einem ASCII kompatiblen Texteditor (und sei es vi) auch noch in 100 Jahren lesen kann. Binärdaten kann man leider nicht lesen…

Wer aktiv etwas gegen die bevorstehende Anerkennung als ISO-Standard unternehmen will, kann diese Petition unterschreiben (schon mehr als 30.000 Unterzeichner). Die Petition wird den nationalen Mitglieder der ISO vorgelegt um etwas Druck aufzubauen.

Für die, die mit OpenSource nicht so vertraut sind: Ablehnung von Office OpenXML als ISO-Standard könnte langfristig zur Folge haben, dass man kein Geld mehr für Software bezahlen muss. Wenn OpenDocument in Behörden und damit langfristig auch in Unternehmen eingesetzt wird, wird OpenSource proprietäre Software auch in anderen Bereichen verdrängen könne. Vielleicht werden wir in weniger als 10 Jahren nur noch freie Software (frei wie FREIheit, nicht wie FREIbier) verwenden.

Wie naiv sind die eigentlich

Kathrin hat mich gerade darauf aufmerksam gemacht, dass ich ja noch was zum Thema Politik schreiben wollte.

Es handelt sich mal wieder um das schöne Thema der Online-Durchsuchung. Die hat nun mit “Remote Forensic Software” auch einen Namen bekommen. Es ist ja auch kein Trojaner im klassischen Sinne, sondern eine Anwendung die auf dem Rechner ganz normal installiert wird. Das BKA bricht ein und installiert die RFS (und das soll nicht an Stasi erinnern?!?) auf dem Rechner. In welcher Welt leben die eigentlich? Die Zeiten von Windows 98 und Anmeldung via Escape Taste sind nun mal vorbei. Also ich hab heute meinen Rechner auf Anmeldung per USB-Key mit pamusb umgestellt. Damit funktioniert nicht mal der Ausweichplan einen Keylogger im Falle einer verschlüsselten Festplatte zu verwenden um an das Passwort zu kommen.

Da erzählen die uns der Bundestrojaner aka. RFS sei lebensnotwendig um den islamischen Terrorismus zu bekämpfen und die haben solche Ideen! Wirklich traurig – noch peinlicher geht es doch nicht. Der Gegner hat Pilotenausbildungen gemacht und schwimmt angeblich im Geld. Ich glaube die Terroristen werden durchaus genügend Geld in die Hand nehmen um festzustellen, dass ein Keylogger installiert wurde, setzen bestimmt nicht auf Windows und einfach umkonfigurierbare Firewalls und haben bestimmt schon mal was von IDS oder SELinux gehört.

Das ganze ist nachzulesen bei Golem.de und Heise.

Ich habe selten so gut über die Unwissenheit bzw. Ignoranz unserer Exekutive gelacht.

P.S. Liebes mitlesendes BKA: Dieser Beitrag bietet keine Tipps die über allgemein bekanntes hinausgehen. Es gibt also keinen Grund mich als “Gefährder” oder “Sympathisant” zu verhaften auch wenn ihr oberster Stasi Beauftragter (aka Schäuble) das wahrscheinlich gerne machen würde.

Hacker Paragraph zum zweiten

Nachdem ich gestern schon darüber berichtet hatte, gibt es heute gleich den nächsten Eintrag dazu. Der Bundesrat hat heute nun auch dem neuen Hacker Paragraphen zugestimmt, womit dieses umstrittene Gesetz nun tatsächlich in Kraft treten wird. Das Herr Köhler die Unterschrift verweigern wird, halte ich dann doch für etwas unwahrscheinlich. Mitlerweile kann man auch in IT-ferneren Medien wie SPIEGEL Online über dieses Gesetz lesen und wie fern der Realität es ist. So wird ein “Protokol der Sturheit” aufgeführt, der Vergleich zum “Verbot eines Schraubenziehers” aufgeführt und Informatik-Professor Pohl von der Fachhochschule Bonn-Rhein-Sieg folgendermaßen zitiert: “Seit mehr als einem Jahr weisen Experten auf die fehlerhafte, ja schlampige Formulierung hin. Aber der Gesetzestext geht so durch alle Instanzen. Und niemand scheint zu verstehen oder verstehen zu wollen, worum es dabei geht.”

Tja schade, dass SO erst darüber berichtet, wenn es zu spät ist. Ein früherer Aufschrei in den Medien hätte ja vielleicht noch eine Änderung bewirkt. Schon traurig in was für einem Staat wir leben…

Hacker Paragraph

Nachdem unser Bundestag mal wieder ein sehr intelligentes Gesetz beschlossen hatte, habe ich den Bundestagsabgeordnetes aus meinem Wahlkreis (CDU und Die Grünen) eine Mail gesendet, in denen ich ihnen erklärt habe, warum dieses Gesetz wohl kontraproduktiv sein könnte. Dies sieht der CCC auch so und generell gab es scharfe Kritik an diesem neuen Gesetz zu Hacker-Tools, etc.
Nun habe ich doch eine sehr ausführliche Mail des Grünen Abgeordneten bekommen, die ich gerne an euch weitergebe:

Sehr geehrter Herr Grässlin,

vielen Dank noch für Ihre Mail, mit der Sie Ihre Sorgen bezüglich des jüngst
verabschiedeten Gesetzentwurfes zur Computerkriminalität ausdrücken. Ihr
Anliegen habe ich gerne mit dem grünen zuständigen Fachpolitiker in der
Bundestagsfraktion, Jerzey Montag besprochen.

Mit diesem Gesetzentwurf werden nicht  – wie von Ihnen vermutet – sog.
Hackertools verboten; allerdings wurde ein Tatbestand des Vorbereitens des
Ausspähens und Abfangens von Daten als neuer Straftatbestand in das StGB
aufgenommen.

Danach macht sich strafbar, wer Computerprogramme, deren Zweck die Begehung
von Straftaten ist, herstellt, sich oder anderen verschafft, verkauft, einem
andern überlässt, verbreitet oder sonst zugänglich macht.

In der Tat wurde im Rahmen der Diskussion zu dem Gesetzentwurf  von vielen
engagierten Verbänden und Initiativen eingewandt, dass die Definition der
von der Strafnorm erfassten Computerprogramme zu unscharf und zu weitgehend
sei. Es wurde die Befürchtung geäußert, damit könnten auch „dual-use-tools“
erfasst und deren Entwickler und Nutzer in die Ecke des Strafrechts gedrängt
werden.

Diese Kritik haben wir Grünen sehr sorgfältig geprüft und – im Ergebnis
erfolgreich – darauf hingewirkt dass diesen Bedenken im Bericht des
Rechtsausschusses deutlich begegnet wird.

Nun ist wird durch einen neu eingefügten Verweis auf Art 6 des
Europaratsübereinkommens klargestellt, dass nur solche Computerprogramme
erfasst sind, die in erster Linie dafür hergestellt werden, um damit
Straftaten nach § 202 a oder b StGB zu begehen. In der Beschlussempfehlung
ist festgehalten, dass die bloße „Eignung“ hierzu nicht ausreicht! Es muss
sich vielmehr um Computerprogramme handeln, die ihrer Bauart nach darauf
ausgelegt sind, illegalen Zwecken zu dienen – mithin um sog. Schadsoftware
handeln. An diesen Konkretisierungen der Strafnorm werden auch Gerichte
nicht vorbeikommen, so dass die befürchtete Überkriminalisierung nach
unserem Dafürhalten nicht eintreten wird. Programmierer bzw. Anwender von
Tools wie z.B. Wireshark  oder Ping werden sich also auch künftig nicht
strafbar machen, denn es handelt sich bei diesen eben gerade nicht um
Schadsoftware.  

Für Zweifelsfälle sichert das Strafantragserfordernis, dass es ohne Kläger
gar nicht zum Strafverfahren kommen kann: ist der vermeintlich Geschädigte
damit einverstanden, dass in seinem IT-System Sicherheitslücken aufgedeckt
werden (damit er diese schließen und so das Sicherheitsniveau erhöhen kann)
wird er gerade keinen Strafantrag stellen, so dass eine Strafverfolgung
ausgeschlossen ist.

Zusätzlich war uns Grünen wichtig, dass in der Beschlussempfehlung des
Rechtsausschusses ein Prüfauftrag des Gesetzgebers verankert wurde, mit der
die tatsächlichen Auswirkungen der Neuregelung sorgfältig beobachtet werden.
Sollte die Neuregelung – wider Erwarten –doch zu erheblichen negativen
Auswirkungen führen, wird der Gesetzgeber ggf. zeitnah gegensteuern müssen.

Vor dem Hintergrund dieser vielen erreichten Einschränkungen, die uns Grünen
sehr wichtig waren,  haben wir dem Gesetzentwurf unsere Zustimmung nicht
versagt. Mehr Information zu dem Gesetzentwurf finden Sie auch unter:
http://www.jerzy-montag.de/cms/default/dok/184/184250.computerkriminalitaet.
htm

Mit freundlichen Grüßen

Alexander Bonde, MdB

——————————————–
Alexander Bonde
Mitglied des Deutschen Bundestages

Vorsitzender der Landesgruppe Bündnis90/DIE GRÜNEN Baden-Württemberg im
Bundestag
Mitglied des Haushaltsausschusses
Mitglied des Verteidigungsausschusses

Wahlkreisbüro Emmendingen/Lahr (Mo – Fr):
Karl-Friedrich-Str. 40
79312 Emmendingen
Tel: 0 76 41/ 95 45 45
Fax: 0 76 41/ 95 45 46
Email: alexander.bonde@wk.bundestag.de
www.alexander-bonde.de

Zweigstelle Ortenau (Do 11 -15 Uhr)
Metzgerstr. 13
77652 Offenburg
Tel 0 78 1 / 91 91 69 6

Bundestagsbüro:
Platz der Republik 1
11011 Berlin
Tel: 030/ 227 71691
Fax: 030/ 227 76991
Email: alexander.bonde@bundestag.de
www.alexander-bonde.de