Skip to content

[22C3] korrigierter Keyring

Ich habe einen korrigierten Keyring hochgeladen. Dieser enthält jetzt alle Teilnehmer am Keysigning und ist bereinigt um alle die, die nicht teilnahmen bzw. die, die die noch neu dazukamen. Die KeyID 0xDA1E0D25 konnte ich nicht auf den Keyservern finden. Daher fehlt diese (noch). Ich habe den Eigentümer gebeten, den Schlüssel auf einen Keyserver hochzuladen.

Update: Jetzt sind alle Teilnehmer enthalten.

Spam durch Keyserver?

Durch einen Beitrag im Rabenhorst wurde ich auf den Beitrag Eklatantes Spamproblem bei GPG und PGP beim Lemming aufmerksam. Er diskutiert dort die Fragestellung, ob Nutzern von GnuPG/PGP vermehrt Spam droht, wenn sie ihre Schlüssel auf öffentlichen Keyservern ablegen.

Grundsätzlich existiert natürlich die Gefahr, dass gerade diese Adressen abgefragt werden. Denn diese sind in der Regel valide Adressen, die gelesen werden und somit sind diese potentiell wertvoll. Allerdings ist die Menge beschränkt. Der geneigte Spammer dürfte derzeit drei bis vier Millionen eindeutige Adressen vorfinden. Diese herunterzuladen dürfte ein nicht unerheblicher zeitlicher Aufwand sein. Wenn Herr Spammer nun dieselbe Zeit investiert und die E-Mailadressen aus den XOVER-Daten eines Newsservers parst, sollte er die zehn- oder mehrfache Zahl erhalten. Darunter befinden sich nun viele gefälschte E-Mailadressen. Aber das sollte ihm egal sein.

Ein weiteres Argument dagegen ist auch die zu erwartende Sachkunde der GnuPG/PGP-Nutzer. Der Großteil dieser hat aus meiner Sicht wesentlich bessere technische Grundkenntnisse als der Durchschnittsnutzer und weiß insbesondere, wie man mit Spam und Spamfiltern umgeht. Also ist auch der zu erwartende Ertrag geringer. Ich weiß zwar nicht, ob Spammer derartige Überlegungen anstellen. Wenn sie es aber tun, werden sie wohl zu ähnlichen Schlüssen gelangen.

Alles in allem glaube ich nicht, dass Spam mit der “Hilfe” von Keyservern auf absehbare Zeit ein Problem darstellen wird. Vielmehr könnte der Missbrauch des Web of Trust ein Problem werden. Denn hier gibt es sehr viele Möglichkeiten, um dieses Modell kaputt zu machen. Wer hierüber genaueres Wissen möchte, sollte zum 22C3 kommen und den Vortrag von Seth Hardy anhören.

[22C3] Interessante Vorträge am zweiten Tag

Die Vorträge am zweiten Congresstag beginnen glücklicherweise erst um 12:00 Uhr. Das gibt mir die Möglichkeit, etwas auszuschlafen. Des weiteren interessieren mich erst die Vorträge ab 13:00 Uhr. Also genügend Zeit, vorher noch anderes zu machen. Vielleicht komme ich ja auch dazu, mal vom Kongress zu bloggen.

Informationsfreiheitsgesetz
MdB Jörg Taus wird dort selbst Stellung zu dem Gesetz nehmen, dass ja am 2006-01-01 in Kraft tritt. Ich hoffe, dass er hier auf wesentliche Details eingeht und auch Unterschiede zum FOIA der USA aufzeigt. Das ist das einzige andere Gesetz, was mir bekannt ist, obwohl eine ganze Reihe Länder weltweit ähnlich gelagerte Gesetze besitzen.
Hashing Trusted Computing
Rüdi wird hier wieder etwas über neue Forschungen zu TCG erzählen. Wobei das Thema in der Ankündigung recht weit gefasst ist. Da mir sowohl der Vortragsstil von ihm wie auch das Thema gefällt, werde ich mich wohl hier reinsetzen. Wobei ...
Military intelligence for terrorists(tm)
... ich mich auch gern zu ak setzen würde. Er hatte bereits im März mal beschrieben, wie man Kernkraftwerke finden kann. Es wird sicher interessant sein, hier weitere Erkenntnisse zu erhalten. Außerdem hat Andreas auch einen guten Vortragsstil und es macht Spaß, ihm zuzuhören.
Black Ops Of TCP/IP 2005.5
Einen Vortrag von Dan Kaminsky, egal zu welchem Thema, lohnt sich immer. Er bringt sein Anliegen immer mit einer ungeheuren Power und einer positiven Stimmung rüber. Dan wird sicher etwas über seine neuesten DNS-Forschungen und auch die Erkenntnisse im Sonyfall erzählen.
Anonymität im Internet
Selbstredend
Learning cryptography through handcyphers
siehe mein Kommentar zu Tag 1
Literarisches Code-Quartett
Die Veranstaltung versucht, guten bzw. schlechten Code zu präsentieren. Im letzten Jahr fand ich diese recht amüsant und lehrreich. Also liegt es nahe, diese wieder zu besuchen. Ich bin gespannt, welche Lücken diesmal so auf den Folien erscheinen.

Alles in allem bietet mir der zweite Tag genügend Freiräume, um mal das Gelände zu erkunden, ein paar Leute zu treffen und vielleicht auch mal außerhalb des Kongresses etwas zu unternehmen.

FTP oder E-Mails über Tor

Ich bekomme aufgrund meiner Kurzanleitung zur Installation von Tor immer mal Nachfragen bezüglich FTP oder E-Mail via Tor. Eine Frage, die die Nutzer offensichtlich immer wieder umtreibt, ist, wie sie mittels Tor FTP nutzen oder E-Mails versenden können. Unter Windows empfiehlt die FAQ entweder SocksCap oder FreeCap zu nutzen.

SocksCap ist Freeware und wurde von einer Firma entwickelt, die selbst am SOCKS-Standard mit beteiligt war. Dies schlägt sich auch in der Webseite nieder. So gibt es dort einen schönen Überlick über das Protokoll. Neben SocksCap bietet die Firma auch kommerzielle Produkte an. Ich habe die Erfahrung gemacht, dass es auf verschiedenen Rechnern Probleme bei der Installation gibt. Diese bricht mit einer leeren Fehlermeldung ab. So ist es natürlich schwer, der Ursache auf den Grund zu gehen. Daher nutze ich ausschließlich FreeCap.

FreeCap ist eine Alternative zu SocksCap. Es ist Freie Software im Sinne der GPL und sollte auf allen aktuellen Windowsversionen funktionieren. Da ich hier nie Probleme hatte, werde ich im folgenden auf FreeCap genauer eingehen.

Download und Installation der Software
Auf der Seite von FreeCap gibt es natürlich auch einen Downloadbereich. Dort kann man sowohl die Quellen wie auch einen Installer herunterladen. Nachdem sich die Installationsdatei auf dem Rechner befindet, genügt ein Doppelklick darauf. Die nächsten Schritte zur Installation sollten selbsterklärend sein.
Konfiguration
Wenn die Software installiert ist, muss sie nun auch konfiguriert werden. Dazu öffnet ihr FreeCap und findet zunächst ein leeres Fenster mit drei Menueinträgen vor. Über den Eintrag “File --> Settings” gelangt ihr zu den Einstellungen von FreeCap:
Optionsmenu von FreeCap
Der wichtigste Punkt ist natürlich die Einstellung des Proxies. Diese kann unter “Default Proxy” oder “Proxy Settings” vorgenommen werden. Wenn du Tor benutzt, sollte dort als Server die 127.0.0.1 oder auch localhost eingetragen werden. (Wenn dein Torclient unter einer anderen IP-Adresse erreichbar ist, musst du diese dort eintragen.). Als Port trägst du 9050 ein oder den Wert der in der torrc als SocksPort eingetragen ist. Das zu verwendende Protokoll ist i.d.R. SOCKS in der Version v5 (Standardeinstellung). Der nächste Menueintrag “Proxy Chain” erlaubt es dir Proxyketten aufzubauen. Da dies Tor aber schon von sich aus erledigt, musst du hier nichts ändern. Bei den “Direct connections” könntest du einstellen, dass bestimmte IP-Adressen, Addressbereiche bzw. Ports ohne die Verwendung des eingestellten Proxyservers genutzt werden. Ob du hier Einstellungen tätigen musst, hängt von der Architektur deines Netzes ab. Auch unter “Program” sind schon sinnvolle Einstellungen getroffen worden und müssen nicht unbedingt angepasst werden. Anfangs könnte es zur Fehlersuche sinnvoll sein, das Logging zu aktivieren. Die Einstellungen bedürfen aus meiner Sicht keiner weiteren Erklärung.
Programme anmelden
Für die Nutzung der verschiedenen Programme müssen diese später via FreeCap gestartet werden. Dazu muss das Programm wissen, wo sich diese Programme befinden und mit welchen Optionen diese evtl. gestartet werden. Dazu wählst du “File --> New application” und erhälst als Anwort wieder ein kleines Fenster:
Programmauswahl
Als “Profile Name” wählt ihr einfach einen Namen, der euch zusagt. Sinnvoll wäre der Name des Programmes. Wie der Name schon sagt, ist “Program path” der Pfad zum entsprechenden Programm (also in etwa C:\Programme\Mozilla Thunderbird\thunderbird.exe). Beide Einstellungen reichen in der Regel aus. Macht dies einfach mit allen Anwendungen, die ihr über FreeCap nutzen wollt.
Programme in FreeCap
Ein anderer, einfacher Weg ist, das Icon des Programmes in das Fenster von FreeCap zu ziehen. So wird die Anwendung gleich mit angemeldet.
Starten der Programme
Wenn ihr nun eines dieser Programme über FreeCap nutzen wollt, öffnet ihr zunächst FreeCap und klickt dann dort auf das entsprechende Programm doppelt. Es öffnet sich nun wie gewohnt das Programmfenster. Für E-Mail, FTP, etc. nutzt ihr das Programm einfach so, als ob Tor nicht da wäre. Das heißt, nutzt den normalen FTP-Server mit euren Zugangsdaten und stellt die SMTP- bzw. POP-Server ein, für die ihr einen Zugang habt. Für FTP ist noch wichtig, dass die Software auf passiven Modus eingestellt ist. Jeglicher Verkehr wird ab sofort über Tor geleitet und ihr seit wieder etwas anonymer im Netz unterwegs.

Ich hoffe, die obige kleine Anleitung ist verständlich. Solltet ihr noch Fragen haben, gebt unten einen Kommentar ab oder schreibt mir eine E-Mail. Falls ihr versuch seid, obiges über JAP zu probieren, lasst es gleich sein. Die FAQ zu den Zusatzprogrammen sagt, dass derzeit weder E-Mail noch FTP über JAP freigeschaltet sind.

[22C3] Interessante Vorträge am ersten Tag

Seit einiger Zeit ist der Fahrplan für den 22C3 online. Beim ersten Drüberlesen hatte ich schon einiges interessantes entdeckt und auch ein genauerer Blick enthüllt viel sehenswertes:

Die BioP-II-Studie des BSI
Starbug und Constanze Kurz halten diesen Vortrag. Wie schon in der Datenschleuder zu lesen war, diente die Studie zur Untersuchung der Leistungsfähigkeit von biometrischen Systemen. Dabei gibt es innerhalb der Studie einige zu kritisierende Punkte, denn es wurde z.T. von unrealistischen Voraussetzungen ausgegangen. Ich denke, dass der Vortrag dies alles noch einmal beleuchten wird und ein klares Bild zeichnet, wie die Studie wirklich zu lesen ist. Details kann man auch schon jetzt auf einer Seite des CCC nachlesen.
Hacking health
Der obige Vortrag kollidiert gleich mit einem anderen, den ich auch für interessant halte. Hierbei geht es um die elektronische Patientenakte in den Niederlanden und die Sicherheit dieser. Die Vortragende, Karin Spaink, hat einen Versuch mit zwei Krankenhäusern gemacht und konnte auf 1,2 Millionen Patientendaten zugreifen. Durch einen meiner Jobs komme ich mit diesem Thema auch in Kontakt, obwohl man in Deutschland zum Teil noch nicht ganz soweit ist. Insofern bin ich gespannt, wo die Schwachstellen lagen und wie dies zu verbessern ist. Aber um beide Vorträge zu hören, werden ich mal wohl mal wieder klonen müssen ...
Elektronische Gesundheitskarte und Gesundheitstelematik - 1984 reloaded?
Ein weiterer Vortrag, der auch aus den obigen Gründen auf offenes Ohr bei mir stösst, ist der zur EKG. Hier habe ich die Spezifikation relativ ausführlich gelesen und ein größeres Dokument verfasst. Die Gesundheitskarte ist sicher vom Ansatz her eine nette Idee. Doch aus meiner Sicht ist die Architektur zu komplex für den Alltagsbetrieb. Auch aus diesem Grund kann wohl der Zeitplan nicht eingehalten werden. Ich denke, der Vortrag könnte viele interessante Details liefern und werde mich da auf jeden Fall mal reinsetzen.
Hopalong Casualty
Wieder zur gleichen Zeit wie oben gibt es einen Vortrag zur automatischen Videoanalyse des menschlichen Verhaltens. In diversen Ländern wird ja sowas schon eingesetzt. U.a. versucht man so, in Kaufhäusern zu erkennen, ob dicke Frauen mit einem Kind oder mit Waren aus dem Laden schwanger sind. Angeblich unterscheidet sich der Schritt einer echten Schwangeren von dem einer unechten und die Kamera versucht, diesen Unterschied zu erkennen. Sollte also der EKG-Vortrag zuviel bekanntes liefern oder uninteressant sein, werde ich mich hier aufhalten.
Die Technik im neuen ePass
Wie sicher jeder weiß, ist der neue Pass nicht nur einfaches Papier, sondern enthält einen Chip. Auf diesem sind dann die Daten des Ausweises und das digitale Bild gespeichert. Hier wird interessant sein, wie diese Daten gegen das illegale Auslesen geschützt sind und wie leicht oder schwer dieser Schutz durchbrochen werden kann.
Learning cryptography through handcyphers
Auch hier erwarte ich im Grunde genommen nichts wesentlich neues zu erfahren. Jedoch ist es immer ein Spass, Kryptographie per Hand zu machen. Brenno hat den Vortrag bereits zum WTH gehalten und die Unterlagen sind online. Generell kann man dadurch sicher schön lernen, wie einfach oder schwer ein Algorithmus ist. Weiterhin erhält man so ein gutes Gefühl für die Stärken und Schwächen. Alle, die Interesse an Kryptographie haben, sollten den Vortrag unbedingt besuchen.

Der erste Tag verspricht schonmal recht gut zu werden. Ich befürchte jedoch, dass einige der Vorträge recht voll sind. Falls es mir zu voll wird, lade ich mir dann lieber später die Audiodateien herunter und höre einen anderen Vortrag an.

cronjob