SSL in der Krise

SSL ist massiv in der Krise: Die Nachrichten, nachdem Zertifizierungsstellen gehackt und es Unbefugten gelang, sich selbst Zertifikate auszustellen, häufen sich. Nun meldet heise , daß es die niederländische Firma KPN Corporate Market getroffen hat. Diese Zertifikate sollen dazu dienen, sicherzustellen, daß sich bspw. hinter der aufgerufenen Webseite meiner Bank https://www.meine-bank.de tatsächlich die Bank verbirgt und nicht ein Krimineller, der nur meine Zugangsdaten abfischen will. Angesichts der Anzahl der Fälle in der Vergangenheit kann man den Zertifikaten offenbar nicht mehr trauen. Und weiter: Nicht nur Kriminelle, sondern auch Schurkenstaaten erschleichen sich Zertifikate, um die verschlüsselten SSL-Verbindungen Ihrer Untertanen abzuhören.

Zudem haben Cryptoexperten Ende September bewiesen (Stichwort: BEAST-Attacke ), daß eine längst bekannte Lücke in den derzeit weit verbreiteten Protokollen SSL3 und TLS 1.0 u.U. dazu genutzt werden kann, eine SSL-Verbindung zu kapern. Das in Bezug auf diese Sicherheitslücke immune TLS 1.1 ist zwar schon veröffentlicht, allerdings "spricht" der Großteil der Serverwelt im Internet noch die unsicheren Protokolle, da auch die wenigsten Browser (selbst in den aktuellen Versionen) das sichere TLS unterstützen - Chrome macht da wohl die positive Ausnahme.

Das sichere Internet-Surfen via SSL ist also massiv in die Krise gekommen. Doch wie kann man sich kurzfristig behelfen und wie sehen mittel- und langfristig Alternativen und Weiterentwicklungen aus? Ideen hierzu wurden in der Ausgabe 172 des Chaosradio besprochen. Die Sendung ist zwar zwei Stunden lang, aber sehr hörenswert.

Ubuntu: Rolle rückwärts

Ich habe den wohl wichtigsten Grundsatz der IT-Verletzt, als ich vor einigen Wochen mein Ubuntu auf 11.10 geupdatet habe: "Never touch a running system!". An das Unity konnte ich mich ja schon in den Vorgängerversionen nicht anfreunden und habe stur Gnome weiterverwendet. Das neue Gnome 3.2 unter Oneiric Ozelot ist ja ganz schön anzuschauen. Aber wenn es mir beim Computern primär um den "Style" ging, wäre ich Apple-User. Insgesamt ging mir Gnome 3.2 dann doch ziemlich auf die Nerven. An die vertikal orientierten, dynamisch anpassenden virtuellen Desktops hatte ich mich ja gewohnt, nicht aber an das umständliche Gehangele zu den Systemeinstellungen. Das Suspend und Hibernate wollte allenfalls mit Glück passieren. Nach dem erfolgreichen Aufwachen aus dem Suspend brauchte es ewig, bis das WLAN wiederverbunden war, und manchmal blieb dann der Ton weg. Dazu kamen so Kleinigkeiten, daß bei größeren Kopiervorgängen schon mal das Fenster mit dem Fortschrittbalken verschwand, so daß man keinen Überblick mehr über den Kopiervorgang mehr hatte.

Irgendwann ist halt genug, und so habe ich nun wieder auf 11.04 downgegraded. Jetzt habe ich wieder mein Gnome 2, aber leider funktioniert der Hibernate nicht mehr (schluchz). Das ist umso ärgerlicher, weil ich echt darauf angewiesen bin. Ich bin zwar (zu) viel, aber nicht ständig vor meiner "Klappkommode", und mal bin ich am Eßtisch, mal sitze ich ohne Netzteil auf der Couch. Dazwischen wird das Ding zusammengeklappt und in den Ruhezustand geschickt, über Nacht auch in den Hibernate, damit ich morgens nicht alle Anwendungen neu starten muß. Der Suspend(-to-RAM) funktioniert auch, nur der Hibernate (Suspend-to-Disk) nicht. Im Ubuntu-Wiki wird empfohlen, auf die alternative uswsusp auszuweichen, welche häufig besser funktioniert. Aber auch das hat bei mir nichts gebracht. Leider werde ich in das Problem wohl noch eine Menge Gehirnschmalz und Zeit investieren müssen ...

Staatstrojaner [Updated]

Echt der Hammer, was der Chaos Computer Club da aufgedeckt hat: Offenbar besitzen staatliche Behörden eine Software für die Computer-Überwachung, deren Features weit über die engen Grenzen den Verfassungsgerichts-Urteils aus dem Jahre 2008 hinausgehen. Update: Auf netzpolitik.org findet sich ein informatives Interview mit dem Berliner Richter und Verfassungsrechtler Ulf Buermeyer zu der Unterscheidung zwischen Onlinedurchsuchung und "Quellen-TKÜ" sowie verfassungsrechtlichen Problemen beim Einsatz des Staatstrojaners bei Strafprozessen. Zudem ist die Software offenbar schlampig programmiert. Unklar ist derzeit, wer in welchem Umfang diese Software einsetzt.

Den detaillierten Untersuchungsbericht des CCC kann man hier einsehen. Alexander Svensson hat die wesentlichen Facts in einem sehr netten Video zusammengefaßt:

( Link )

Wenn sich die Vorwürfe bestätigen, müssen hier m.E. erstens Köpfe rollen und zweitens schnellstens gesetzgeberische Maßnahmen ergriffen werden!

20 Jahre Linux - herzlichen Glückwunsch!

TuX - Das Linux-Maskottchen
TuX - Das Linux-Maskottchen

Die heutigen Pressemeldungen werden ja eindeutig durch Apple dominiert, dessen CEO Steve Jobs in den Aufsichtsrat wechselt. Bei tagesschau.de sieht der Aufmacher von heute allerdings so aus, als sei Jobs schon tot. Die Aktie von Apple rutschte indessen an den Börsen um 3...4 % nach unten.

Aber es gibt auch eine andere, durchgehend erfreuliche Nachricht: Linux wird 20 Jahre alt ! Vor 20 Jahren, am 25. August 1991 hat Linux Torvalds der Community über einen Usenet-Artikel sein Betriebssystem Freax vorgestellt, welche später unter dem Namen Linux oder GNU/Linux Bekanntheit erlangen sollte. Heutzutage ist Linux und andere freie Software aus der IT-Welt nicht mehr wegzudenken und werkelt auf Millionen von Rechnern. Ebensoviele Leute engagieren sich ehrenamtlich in einer weltweit vernetzten Gemeinschaft und entwickeln dieses Betriebssystem und dessen Anwendungsprogramme weiter.

Weiterlesen…

Bald, bald, bald: Garmin Dakota 20!

Meine beiden Garmins

Seit über 1,5 Jahren bin ich begeisterter Geocacher und habe sogar zwei weitere Menschen mit dem Tupper-Suchen angesteckt. Zum Ausprobieren habe ich damals bei eBay preiswert ein Garmin eTrex Legend ergattert, welches mich jetzt schon bei über 100 Finds begleitet hat. Mit der Zeit wachsen jedoch die Ansprüche, und der Wunsch nach einem neuen GPSr wurde immer stärker. Der größte Nachteil des Legend ist sein grottiger Empfang, insbesondere unter schwierigen Bedingungen (Wald, Häuserschlucht). Bei Geocaching-Touren im Siebengebirge bei Bonn oder bei urbanem Cachen in München oder Köln fiel der Empfang schon mal ganz weg, obwohl andere, modernere Empfänger munter weiterempfangen haben (gut, wenn man dann nicht allein ist!). Außerdem klappt bei meinem Legend die Datenverbindung zum PC nicht sehr zuverlässig (... bis gar nicht). Häufig scheitert bei mir der Versuch, Tracks vom Gerät auf den PC oder umgekehrt Wegpunkte vom PC auf das Gerät zu laden. Es ist nervenzehrend und fehlerträchtig, Wegpunkte per Hand in das Gerät zu hacken. Der Leidensdruck war nun doch ein wenig zu groß geworden.

Weiterlesen…

Video vom Lost Place Cache "Stadt im Wald"

Groundspeak, die Firma hinter dem Portal geocachig.com hat vor einiger Zeit eine Tour durch einige europäische Länder - darunter Deutschland - gemacht. Ziel war es, einen Einblick in die Caching-Szene der jeweiligen Länder zu bekommen. Nach Meinung von Groundspeak gibt es bspw. in Deutschland eine sehr aktive Geocaching-Community und ein dichtes Netz an Geocaches. Eine Spezialität der Deutschen seien ihre "Lost Place Caches" (LPC), also Geocaches an verlassenen Orten wie Bunkern oder verfallenen Häusern. Ein Interview zu den Hintergründen und weiteren Erfahrungen der Reise könnt Ihr auch in der Folge 327.0 von PodCacher nachhören .

Ein Paradebeispiel für einen LPC ist " Stadt im Wald ", ca. 50 km nördlich von Berlin, mitten in der brandenburgischen Pampa. Dabei handelt es sich um eine ausgedehnte ehemalige Kaserne der Roten Armee. Die Groundspeak-Leute haben eine Gruppe deutscher Geocacher begleitet, als sie diesen tagesfüllenden Multi gemacht haben. Ein paar Eindrücke haben Sie in folgendem - sehr beeindruckenden - Video festgehalten. Achtung: Das Video enthält eine ganze Reihe von Spoilern, also Hinweisen zum Finden der Verstecke. Wer die nicht sehen möchte, sollte sich das Video nicht ansehen! Allerdings habe ich in einem Kommentar auf der Seite des Geocaching-Podcasts Dosenfischer gelesen (link s. unten), daß der Owner von "Stadt im Wald" eh vorgesehen hat, einige Stationen umzuarbeiten.

( Link )

Gefunden auf dosenfischer.de .

Video: Warum Creative Commons

Creative Commons (CC) ist ein Satz von Standard-Lizenzverträgen, welche von Autoren benutzt werden können, um die Nutzungsmöglichkeiten der Öffentlichkeit für eigene Werke zu regeln. Diese Lizenzen gibt es nun seit rund 10 Jahren und haben gegenüber bspw. Gnu General Public Licence den Vorteil, daß sie auf beliebe Werktypen (Texte, Bilder, Musik, Videos, Software, ...) angewendet werden können.

Das Blog netzpolitik.org hat heute einen Infofilm über CC vorgestellt:

( CC-BY 3.0 Amadeus Wittwer, Youtube-Link )

Ich fand ein Argument des Kommentators " Tom " auf netzpolitik.org ganz interessant:

{pullquote}Die eigentliche Idee und auch DAS Killerargument bringt der Film nicht so recht herüber. Nämlich: alles steht immer unter einer Lizenz, ob wir wollen oder nicht. Wir nehmen also entweder was im Gesetz steht (wobei wir meist nicht genau wissen, was das ist), denken uns selbst etwas aus (auf die Gefahr hin Fehler zu machen und abgemahnt zu werden), oder bezahlen einen teuren Anwalt. Creative Commons gibt uns normalen Menschen eine Möglichkeit Lizenzen zu benutzen ohne aufwendig über Lizenzen nachdenken zu müssen. Rechtssicher, komplett auf Deutsch und in einfacher Sprache für jeden verständlich erklärt. Deshalb sollte Creative Commons auch der Standard sein – nicht die Ausnahme.Deswegen benutze ich auch nichts anderes mehr als CC. Die Allmende ist mir dabei doch herzlich egal! Ich mache es, weil es einfach praktisch ist.{/pullquote}

Milestone-Caching in Köln

Die_Baronin, rzbrk und Stromdieb am Tor zur Vergangenheit in Köln

Auf meiner letzten Caching-Tour Anfang Juli in München habe ich mich auf 98 Caches hochgearbeitet. Nun stand also Milestone-Caching an, und das wollte ich nicht allein, sondern mit meinen beiden Cacher-Freunden Die_Baronin und Stromdieb machen. Eigentlich hatte ich mir für den Hundertsten den verlorenen Schlüssel in Troisdorf vorgenommen. Aber leider hat der Owner diesen Cache ins Archiv schicken müssen. Schade, denn dieser Multi, den Stromdieb und ich bereits letztes Jahr mal angefangen hatten, hat inzwischen einen Menge Favorite-Points und gute Loggings angesammelt. Da sind wir leider zu spät gekommen. Als Alternative hatte ich überlegt, einen Wherigo zu machen. Mit diesem Cache-Typ habe ich bislang keine Erfahrung gemacht. Zudem haben ich um die Ecke den Wherigo "Jimmy, der Außerirdische", der durchweg gute Bewertungen bekommt. Leider habe ich es bis heute nicht hinbekommen, den entsprechenden Player auf meinem Smartphone zum Laufen zu bekommen. Ratlosigkeit machte sich breit, und auch das Wetter schien dem Vorhaben am letzten Sonntag einen Strich durch die Rechnung zu machen. Doch Stromdieb hatte den rettenden Einfall ...

Weiterlesen…

Garmin bringt neue eTrex-Geräte raus [Updated]

Seit etwas mehr als einem Jahr bin ich begeisterter Anhänger des Geocachings . Geocaching ist ein weltweit verbreiteter Outdoor-Sport; eine Art moderne Schatzsuche bzw. Schnitzeljagd mit GPS. Ebenso lange nenne ich ein gebrauchtes Garmin eTrex Legend mein Eigen.

Überwiegend bin ich mit dem Legend sehr zufrieden - bei den meisten Caches ist es auch ausreichend. Mein Cacher-Kollege Stromdieb hat ein eTrex H . Da finde ich ja die Bedienung etwas komisch - aber der GPS-Empfänger selbst ist 'ne Wucht! Mit meinem Legend sieht man im Wald vor lauter Bäumen die GPS-Satelliten nicht mehr. Geocachen im Wald mit dem Legend ist echt ätzend! Das eTrex H läßt sich durch die Bäume nicht beeindrucken und erzielt im Wald beeindruckend genaue Ergebnisse. Das macht schon wirklich neidisch ...

Doch Rettung naht, wie ich im aktuellen Podcacher Podcast gehört habe! Derzeit hauen ja eine ganze Reihe Hersteller neue GPSr auf den Markt. Nun hat sich auch Garmin entschlossen, die bei Geocachern äußerst erfolgreichen eTrex-Geräte neu aufzulegen . Es wird 3 neue eTrex-Geräte geben.

Neue Garmin eTrex Serie

Bildquelle: Garmin

  • eTrex 10 : 2,2"-Display, Paperless Geocaching, weltweite Basiskarte, 25 h Akkulaufzeit (boah!)
  • eTrex 20 : Wie das 10, nur 65k Farbdisplay, erweiterbarer Speicher
  • eTrex 30 : Wie das 20, zusätzlich 3-Achsen Kompaß und Barometer, drahtloser Datenaustausch mit kompatiblen Garmin-Geräten

Vermutlich haben alle Geräte einen USB-Anschluß, da man sonst ja nicht die Listings für das Paperless Caching auf das Gerät laden kann. Ab dem dritten Quartal 2011 sollen die Geräte im Handel erhältlich sein. Das 10er geht ab 120 $ los, das 30er soll 300 $ kosten. Das 10er soll 149 €, das 20er 199 € und das 30er 249 € kosten. Ich glaube, da werde ich schwach.

Update : Laut navifacts.de soll es die neuen eTrexe schon ab Ende August 2011 geben. Dort auf der Seite findet man auch technische Spezifikationen der Geräte.

Update 2 : Navigation-Professionell konnte die Geräte auf einer Messe testen. Offenbar sollen die Empfänger GLONASS und das geplante GALILEO unterstützen. Die verlinkte Seite enthält auch Bilder vom 20er. Auf der Rückseite befindet sich eine Schiene, die offenbar mit der vom Dakota, Oregon und GPSmap60 identisch ist. Die neuen eTrexe sind etwa genauso groß wie das Garmin Dakota 20 , haben aber ein ein kleineres Display (2,2 statt 2,6 Zoll).