... waren sie schon weg. Der Arbeitskreis Vorratsdatenspeicherung veröffentlichte die Meldung Arbeitskreis rät zu Anonymisierungsdiensten und verschenkt Zugangsdaten. Neben Zugangsdaten zu verschiedenen Anonymisierungsdiensten gab es zehn Exemplare meines Buches Anonym im Netz – Techniken der digitalen Bewegungsfreiheit
zu gewinnen. Diese Verlosung wollte ich unter anderem hier im Blog ankündigen. Bevor ich jedoch die Zeilen schreiben konnte, waren alle Bücher schon vergeben. Daher kann ich den zehn Gewinnern nur gratulieren und hoffe, sie haben viel Spass mit dem Werk.
Eine ausführliche Beschreibung des Tests gibt es von Jonas bei Daten-Speicherung.de.
Vor ein paar Tagen verlinkte ein Witzenewsletter auf eine meiner Unterseiten. Interessanterweise führte das zu einen großen Anstieg in den Seitenabrufen und ich bekam doch einige Kommentare per Webformular bzw. E-Mail, was sonst eher selten ist. Auf der Seite geht es um ein fiktives Apple-Produkt, die iToilet.
Einer fand die Seite nicht lustig und beschwerte sich lauthals bei mir, dass das so überflüssig wie ein Kropf sei und ich die Seite abmelden solle usw. Das schlimmste Schimpfwort, was ihm dazu einfiel, war: Windowsdepp. Hmm, was sagte sein User-Agent gleich nochmal?
Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14
Aus der Kategorie “Interessante” Nutzerfragen: Ein Nutzer hat Windows XP auf dem Rechner und sucht die Funktion “zufällig IP-Adresse ändern”. Die generische Antwort darauf ist, Tor installieren. Dort dürften die Änderungen dann zufällig genug sein. 
Im weiteren Verlauf kam man jedoch darauf, dass derjenige wahrscheinlich DHCP will.
Bei Stöbern durch diverse Mailinglisten fand ich folgende “interessante” Anfrage:
Ich habe gehört das man programme mit HTML schreiben kann. [...] wo könnte ich denn so ein tool herbekommen, das dieses HTML-Programm zu
einer EXE-Datei umwandelt? [...]
ohne Worte ...
Wer von euch kennt gute CD-Brennprogramme für Windows? Es wird zwar von allen Seiten immer wieder Nero empfohlen. Mit einem Preis von 70 Euro finde ich das zum einen recht teuer und zum anderen geht es mir zu verschwenderisch mit dem Ressourcen um. Ich hätte gern eines mit folgenden Voraussetzungen:
- deutschsprachige Oberfläche
- einfache Bedienung (Also einfach im Sinne von einfach. Die neuesten, besten supercoolsten Features, die dann n zusätzliche Schaltflächen aufpoppen lassen, sind kontraproduktiv.)
- möglichst Freie Software
- natürlich soll es auch CDs brennen können
Der Punkt “Freie Software” scheint nach meinen jetzigen Recherchen nicht zu erfüllen sein. Es gibt Programme, die auf cdrecord aufsetzen. Jedoch kann man, zumindest nach dem Eindruck auf den Webseiten, nicht von einfacher Bedienung reden. Bei ISOBurn fehlt auch eine deutschsprachige Oberfläche.
Freenet stellt auf einer Seite kostenfreie Brennprogramme vor. Hier stiess ich noch auf burnatonce. Das macht auf den ersten Blick einen guten Eindruck. Hat jemand von euch Erfahrungen mit dem Programm gemacht? Welche anderen Programme könnt ihr empfehlen?
Für diverse Anwendungen (insbesondere Kryptografie) benötigt man einen Zufallszahlengenerator. Dieser sammelt aufgrund von verschiedenen Ereignissen (Tastatureingabe, Mausbewegung, Netzverkehr etc.) Werte und berechnet daraus Zahlen. Diese sollen möglichst gleichverteilt und zufällig aussehen. Insbesondere ist es wichtig, dass sich aus einer bekannten Ausgabefolge nicht die nächsten oder vorhergehenden Zahlen berechnen lassen. Denn das wäre dann wohl kein Zufall mehr.
Das Team um Zvi Gutterman hat im letzten Jahr den Zufallszahlengenerator von Linux untersucht. Bis auf Probleme bei festplattenlosen Routern waren sie von der Qualität des Generators überzeugt. Lediglich die fehlende Zusammenarbeit mit den Maintainern und der, sagen wir, eigenwillige Code wurde bemängelt. Nun haben sie sich den Zufallszahlengenerator von Windows angeschaut. Schon der Abstrakt verheißt nichts gutes:
The implication of these findings is that a buffer overflow attack or a similar attack can be used to learn a single state of the generator, which can then be used to predict all random values, such as SSL keys, used by a process in all its past and future operation. This attack is more severe and more efficient than known attacks, in which an attacker can only learn SSLkeys if it is controlling the attacked machine at the time the keys are used.
Sie haben den Binärcode einer Windows-2000-Installation untersucht. Der Code des Generators ist wohl seit Windows 95 bis Windows XP im wesentlichen gleich geblieben. Er nimmt Entropie aus dem System entgegen, hasht das und wendet dann RC4 an. Das bedeutet, wenn man einmal den Status des Generators kennenlernt, kann man alle weiteren Zufallswerte berechnen. Das wird dadurch erleichtert, dass der Generator im Benutzerraum läuft und nur alle 128 kB neu initialisiert wird. Weiterhin kann man auch alte Zufallswerte berechnen, wenn man den Status kennt. Der Aufwand beträgt laut der Veröffentlichung O(223), lässt sich also auf modernen Architekturen binnen Sekunden oder Minuten berechnen.
Alles in allem scheint damit der ZUfallszahlengenerator unter Windows seinen Namen nicht zu verdienen. Die Autoren geben einige Hinweise zur Verbesserung. Allerdings können die nur von Microsoft umgesetzt werden. Ein Grund mehr für Freie Software.