Qbi's Weblog

Die 5. Wahlperiode des Thüringer Landtages neigt sich dem Ende zu. Einer der letzten Beschlüsse ist die Drucksache 5/7583 mit dem Titel Verschlüsselte Kommunikation ermöglichen und befördern. In der Endfassung enthält der Beschluss die Bitte an die Landesregierung:

1. zukünftig Wege zu ermöglichen, welche die Vertraulichkeit des Inhalts elektronischer Kommunikation mit öffentlichen Stellen des Landes und der Nutzung ihrer elektronischen lnformationsdienste sowie des Inhalts elektronischer Kommunikation zwischen öffentlichen Stellen des Landes durch Angebote einer sicheren End-to-End-Verschlüsselung (Kryptografie) eröffnen,
2. die Bürger des Freistaats Thüringen in geeigneter Weise über die Möglichkeiten der Verschlüsselung elektronischer Kommunikation, insbesondere auf den Web-Seiten der Landesregierung, zu informieren.

Der Versuch

Darin steckt der Wunsch, TLS für Webseiten und Ende-zu-Ende-Verschlüsselung vielleicht mit OpenPGP zu machen.

Ich entschied mich, denselben Weg wie Anna Biselli zu gehen. Sie versuchte, verschlüsselt mit einem Abgeordneten zu kommunizieren. Ich besuchte die Webseiten der Fraktionen im Landtag und die der Abgeordneten. Dabei wollte ich jede Seite mit https öffnen und suchte nach einer Möglichkeit für verschlüsselte E-Mail-Kommunikation. Konnte ich beides nicht finden, so schrieb ich die Abgeordneten an. Was kam dabei heraus?

Fraktionen

Die CDU-Fraktion im Landtag bietet keinerlei Unterstützung für SSL/TLS an und es gibt auch keine Möglichkeit zur verschlüsselten E-Mail-Kommunikation.

Die Webseite der SPD-Fraktion begrüßt mich mit der Meldung SSL peer has no certificate for the requested DNS name. Eine verschlüsselte Verbindung zu der Seite ist damit nicht möglich und ich fand auch keinen OpenPGP-Schlüssel auf der Seite.

Die Webseite der FDP-Fraktion scheitert zunächst an den Einstellungen in meinem Browser und sagt Peer attempted old style (potentially vulnerable) handshake. Wenn ich die Einstellungen lockere, so präsentiert die Seite ein Zertifikat, was für die Domain web6.online-now.de ausgestellt ist. Wenn ich dann auch noch dieses akzeptiere, so erhalte ich von der resultierenden Seite die Meldung Die Domain “www.thl-fdp.de” ist nicht über https verfügbar. Die Unterstützung von OpenPGP ist wie bei den anderen Parteien.

Die Webseite der Fraktion der Grünen hat ein Zertifikat, welches seit Ende 2013 abgelaufen ist. Ich hatte den Fakt im Juli 2014 gemeldet. Zum Zeitpunkt des Blogeintrages hat sich an dem ungültigen Zertifikat nichts geändert. Wird dies akzeptiert, so werden die Inhalte der Webseite angezeigt. OpenPGP sucht man jedoch vergeblich.

Einzig die Fraktion der LINKEn unterstützt SSL/TLS vom Start weg und die Servereinstellungen sind sehr gut. Hier wäre nur zu wünschen, dass die Webseite alle Anfragen standardmäßig auf die verschlüsselte Seite umleitet. Die positiven Nachrichten reißen aber noch nicht ab. Denn die Kontaktseite bietet einen OpenPGP-Schlüssel zum Download an und weist den Fingerprint aus. Damit ist die LINKE eindeutig der Spitzenreiter, was verschlüsselte Kommunikation betrifft.

Abgeordnete

Von den knapp 90 Abgeordneten im Landtag gibt es nur zwei, die einen OpenPGP-Schlüssel anbieten:

• Dirk Adams (Grüne)
• Katharina König (LINKE)

Beider Webseiten sind auch per HTTPS zu erreichen. Jedoch verwendet die Seite von Dirk Adams ein falsches Zertifikat und die Seite von Katharina König bzw. der Provider blockieren Verbindungen über Tor. Falls ihr also die Seite mit Tor ansurft, kann es sein, dass sich diese nicht öffnet.

Uwe Barth (FDP) nutzt ein Wordpress-Blog als Webseite. Damit kann die Seite auch per HTTPS besucht werden. Die SPD-Abgeordneten David-Christian Eckardt, Uwe Höhn, Birgit Pelke und Claudia Scheerschmidt nutzen das Angebot von Sozinet. Das bietet ebenfalls HTTPS an.

Bei allen anderen Abgeordneten fand ich keine funktionierende Möglichkeit, per HTTPS auf die Seite zuzugreifen. Ebenfalls konnte ich keine Nennung von E-Mail-Verschlüsselung finden. Also schrieb ich E-Mails und fragte nach.

Die Abgeordneten der FDP haben das Wahlkampfmotto Wir sind dann mal weg wohl zu ernst genommen. Denn ich erhielt von keinem der angeschriebenen Abgeordneten eine Antwort.

Die CDU schien sich intern auf eine Antwort geeinigt zu haben. Alle Antworten hatten nahezu denselben Wortlaut und verwiesen darauf, dass der Beschluss eine Aufforderung an die Regierung enthält. Erst wenn diese eine Entscheidung getroffen hat, so werden die Abgeordneten diese umsetzen. Aus den Antworten wurde klar, dass vorher nichts zu erwarten ist.

Von der SPD antworteten einige wenige Abgeordnete. Allerdings treten diese nicht mehr zur Wahl an oder sind unsicher, ob sie wiedergewählt werden. Daher hatte das Thema keine Priorität.

Von den grünen Abgeordneten erhielt ich zwei Antworten. In einem Fall ist eine neue Webseite in Arbeit. Die neue Seite soll dann auch Verschlüsselung unterstützen. Im anderen Fall war die Meinung, dass Verschlüsselung nicht notwendig ist, da alle auf der Seite angebotenen Daten öffentlich sind.

Bei der Linken konnte ich einen interessanten Effekt beobachten. Anfangs erhielt ich von den Abgeordneten individuelle Antworten. Ab einem Zeitpunkt kamen eine Art Standardantworten mit ähnlichem Wortlaut. Ich vermute, dass sie sich intern auf eine Sprachregelung geeinigt haben. Bei den individuellen Antworten gab es Abgeordnete, die klar schrieben, dass sie sich mit dem Thema bisher noch nicht auseinandergesetzt haben und noch nicht wissen, wie sie damit umgehen. In einem Fall erhielt ich eine verschlüsselte E-Mail mit Schlüssel und hätte künftig verschlüsselt kommunizieren können.

Insgesamt gibt es bei den Abgeordneten noch viel zu tun. Natürlich verwiesen viele auf die bevorstehenden Sommerferien und Wahlen. Daher werde ich die Wahlen abwarten und später nochmal bei den Abgeordneten nachfragen. Vielleicht wird Thüringen der Verschlüsselungs-Standort Nr.1.

Vor einem Jahr interviewte mich Teresa Sickert für Radio Trackback zur Zensur in China und zur Anonymität. In der heutigen Sendung wurde das nochmal ausgestrahlt und ihr könnt das als MP3 anhören. Viel Spass dabei!

Letzte Woche hielten Roger und Jake vom Tor-Projekt einen Vortrag an der TU München. Die Veranstaltung war eher ein Marathon aus Fragen und Antworten. Dabei erwähnten die beiden auch, dass es unter Windows keine Möglichkeit gäbe, die Software GnuPG sicher herunterzuladen. Ein Versuch bestätigte das. Doch wie kann man als Windows-Nutzer auf sichere Weise zu der Software gelangen?

Verschlüsslung von Mails und Dateien unter Windows erfolgt mit gpg4win. Es gibt eine Downloadseite mit verschiedenen Versionen. Ein digitale Unterschrift zu jeder Datei wird ebenso geboten. Wo liegt also das Problem. Der Download der Dateien erfolgt über HTTP. Das kann beliebig manipuliert werden, ohne das der Anwender etwas merkt. In Ländern wie Syrien, die Bluecoat-Rechner einsetzen, ist die Manipulation der Verbindung bereits jetzt Realität.

Ich fragte bei Intevation, dem Betreiber der Server, nach einer Lösung. Mir schwebte eine SSL/TLS-Verbindung für die Webseite vor. Nach der Antwort ist der komplette Betrieb einer HTTPS-Seite zu aufwändig. Allerdings gibt es für den Fileserver ein selbst-signiertes Zertifikat. Das kann über eine spezielle Seite heruntergeladen werden.

Damit sind alle Komponenten zusammen, um zumindest dem erfahrenen Benutzer einen sicheren Download zu ermöglichen. Ihr solltet dabei folgendermaßen vorgehen:

1. Besucht die SSL-Seite von Intevation. Mit Stand von August 2013 ist diese Seite durch ein von Geotrust unterschriebenes Zertifikat gesichert. Die aktuellen Browser akzeptieren das Zertifikat bedenkenlos.
2. Klickt auf das Intevation Root CA 2010. Euer Browser wird fragen, was er mit dem Zertifikat machen soll. Ihr könnt ankreuzen, dass dieses zur Identifizierung von Webseiten dient.
3. Nun könnt ihr zum Fileserver von gpg4win gehen. Die SSL-Verbindung wird nun ebenfalls akzeptiert.
4. Auf dem Fileserver wählt ihr die korrekte Datei und ladet die herunter. Daneben könnt ihr auch die Signatur laden und später vergleichen.

Auf dem Wege hat zumindest ein erfahrener Nutzer die Chance, sicher an die ausführbare Datei zu kommen. Viel Spass beim Verschlüsseln!

Die aktuelle Ausgabe von DeimHart beschäftigt sich mit Applikationen unter Debian. Die beiden Moderatoren baten darum, mal die eigene Software aufzuzählen. Mir ist das für einen Kommentar zu lang. Daher mache ich das mal in ein eigenes Blogposting.

Web

1. Mozilla Firefox ist mein Hauptbrowser. Den verwende ich entweder im Rahmen des Tor-Browser-Bundles oder aus der Distribution heraus mit verschiedenen Plugins.
2. Google Chrome oder Chromium ist der zweite in der Reihe. Der Browser bietet nach meiner Ansicht sehr gute Möglichkeiten in die Interna zu schauen. Beispiel gefällig? Gebt mal chrome://net-internals in die Browserzeile ein.
3. Midori war jetzt längere Zeit in der Testphase. Aber mir kann die Software zu wenig bzw. einige Features sind zu umständlich zu bedienen.
4. links2 ist ein Browser, der so ein Zwischending zwischen grafischem und Kommandozeilenbrowser ist. Der ist recht schnell und lässt sich angenehm bedienen.
5. Schließlich nutze ich den w3m als Kommandozeilenbrowser, entweder direkt auf der Shell oder innerhalb von GNU Emacs.

Mail

• Das meistgenutzte Programm für Mails auf meinem Rechner ist mutt. Damit lese und schreibe ich E-Mails. Das Programm hat eine gute Integration für OpenPGP und Mixmaster. Wie ich kürzlich schrieb, ist das Programm recht flexibel. Einer meiner nächsten Beiträge wird das vermutlich weiter unterstreichen.
• Zu mutt gehören noch Procmail und Fetchmail. Die Programme holen die E-Mails von verschiedenen Providern ab und sortieren die nach verschiedenen Regeln.
• Ein Programm, was mit läuft, und mir völlig in Vergessenheit geraten war, ist CRM114. Das Programm sortiert sehr zuverlässig den Spam aus.
• Schließlich läuft auf verschiedenen Rechner ein Postfix.

Virtualisierung

Für die Virtualisierung nutze ich nahezu ausschließlich qemu. Früher hatte ich auch Virtualbox im Einsatz. Jedoch habe ich aktuell keine Verwendung für das Programm.

Multimedia

• Ich höre sehr viele Podcasts und da verwende ich Miro. Mit dem Programm lade ich die herunter und schaue oder höre mir die an.
• Für reine Audiodateien nutze ich cmus. Das ist ein Programm für die Kommandozeile.
• Zum Anschauen von Videos kommt vlc zum Einsatz. Die Software kann mit dem Befehl cvlc über die Kommandozeile bedient werden.

Grafik

Bei der Grafik geht es mir wie den DeimHart-Machern. Ich nutze Gimp, um Bilder auszuschneiden oder grundlegende Operationen zu machen. Mehr kann ich mit der Software nicht.

Zum Betrachten von Fotos nutze ich hauptsächlich feh oder ImageMagick.

Office-Anwendungen

Hier habe ich mit DeimHart ebenfalls eine große Schnittmenge. Ich schreibe sämtliche Texte mit LaTeX. Als Editor verwende ich entweder GNU Emacs oder jed. Letzteres wegen der gute Matheunterstützung in JörgsLaTeXMode. Bei Emacs ist natürlich immer AUCTeX an.

Für das Anzeigen von PDF-Dateien verwendete ich lange Zeit Evince. Davor war es xpdf. Ich bin kürzlich auf MuPDF gestossen. Die Software gefällt mir von Tag zu Tag besser und wird mein Standard-PDF-Viewer werden.

Wenn ich Operationen in PDF-Dateien mache, verwende ich PDFtk.

Chat

Bei Chatsoftware bin ich auch in einer Übergangsphase. Bisher habe ich Bitlbee mit weechat. Ich versuche gerade, mich mit MCabber anzufreunden. Hier läuft im Hintergrund ein Prosody. Das ist ein XMPP-Server.

Bei sämtlichen Chatprogrammen wie auch anderswo, ist mir Verschlüsselung wichtig. Daher können alle Programme Off-the-Record Messaging.

Wenn man Twitter und Co. dazu zählt, gibt es noch ein paar Programme zu erwähnen. Für identi.ca nutze ich GNU Emacs mit dem identica-Modus. Der Maintainer Gabriel Saldaña hat gerade Version 1.3 veröffentlicht. Twitter hat im Emacs einen Twittering-Modus, den ich auch verwende. Früher hatte ich noch Hotot auf dem Rechner. Allerdings wurde die Software von Release zu Release benutzerunfreundlicher. Daher nutze ich Microblogging entweder mit den Modi oder über die Webseite.

Sonstiges

Ich arbeite recht viel auf der Kommandozeile. Um das Terminal zu multiplexen, springe ich zwischen GNU screen und tmux hin und her. Als Shell wird immer eine zsh gestartet.

Viel anderes fällt mir gerade nicht ein. Vermutlich sind das wirklich die Hauptprogramme. Natürlich kommen noch Programme, wie git, awk usw. dazu.

Update: Noch ein paar Sätze zu Microbloggingsoftware geschrieben.

Bild von Wau Holland (Quelle: Wikipedia)

Wau Holland, eigentlich: Herwart Holland-Moritz, war Mitbegründer des Chaos Computer Clubs. Zuletzt unterrichtete er an der Technischen Universität Ilmenau Informatik. Er starb 2001, 49-jährig. Holland hat maßgeblich das Bild des Hackers geprägt - und zwar im Sinne des guten Piraten.

Einerseits hat er mit dafür gesorgt, die Freiheit des Internets, wie wir sie bis jetzt kennen, politisch und technisch durchzusetzen. Andererseits hat er unaufhörlich vor dessen Gefahren als Instrument der Kontrolle und der Überwachung gewarnt.

Wau Holland war nicht nur der erste einflussreiche Netzpolitiker in Deutschland, er war auch eine Persönlichkeit des Hightech-Undergrounds, sozusagen ein Vorläufer des Internets als soziale Bewegung. Dabei hatte er ein Niveau, an das man die Piraten unserer Tage gern erinnern möchte.

Wie der Beitrag erwähnt, hat Wau Holland einige Zeit lang in der Gegend um Jena gelebt und hier in der Stadt gewirkt. Im Krautspace wollen einige Mitglieder den Aufenthalt von Wau genauer zu dokumentieren. Falls jemand aus Jena oder Umgebung Hinweise, Dokumente oder anderes hat, würden wir uns über eine Rückmeldung freuen.

Der Beitrag kann mittlerweile angehört werden. Beim DLF gibt es das Manuskript als Text oder PDF. Viel Spaß beim Reinhören oder Lesen.

In der Fragestunde zu meinem Vortrag beim 29C3 wurde ich unter anderem gefragt, was meine Top Fünf der Zensurumgehungssoftware sind. Ich antwortete, dass ich konkret Tor und den Teilprojekten mein Vertrauen schenken würde. Im folgenden will ich nochmal etwas differenzierter auf diese Frage antworten.

Beim Vortrag hatte ich die untenstehende Matrix von Zensurumgehungsmaßnahmen präsentiert. Das sind Projekte, die mir in der Vorbereitung einfielen. Die Aufstellung ist nicht vollständig. Mir fallen immer mal neue Namen ein. Im Nachgang zu meinem Vortrag wurden noch phantom und RetroShare genannt.

Die grün hinterlegten Felder sind meiner Meinung nach Software, die man zur Zensurumgehung einsetzen kann. Bei den gelben Feldern gibt es einiges zu beachten und die kann daher nicht bedenkenlos verwendet werden.

Den gelben Felder ist gemein, dass in der Regel unbekannt ist, wer Betreiber des Angebotes ist. Das ist jedoch eine recht wichtige Information. Denn der Betreiber hat aufgrund des Modells alle Informationen über die Benutzer. Gegebenenfalls kann er diese weitergeben oder auswerten. Wie ich schon im Vortrag sagte, fiel bei mir, genau aus dem Grund, Ultrasurf durch. Denn im Artikel »Digital Weapons Help Dissidents Punch Holes in China’s Great Firewall« von Wired stand 2010:

This becomes clear when Huang, sitting in a generic chain cafè9 in Cupertino, opens up his laptop to show me a random hour’s worth of UltraSurf’s user logs.

Lines of text zoom by, showing thousands of IP addresses and web pages visited.

Einzig bei Alkasir kenne ich den Betreiber und glaube ihm vertrauen zu können. Daher würde ich hier zu grün tendieren. Jedoch kann er prinzipiell jederzeit in den Internetverkehr schauen. Diese theoretische Schwäche führt zum Gelb.

Einen offenen Proxy, VPN oder einen Picidae-Server kann jeder selbst betreiben. Das heißt, wer Freunde in anderen Ländern hat, kann so etwas aktivieren und damit den Menschen helfen. Ich hoffe, dass ihr dann euren Freunden nicht hinterherspioniert. Sollte jemand einen kommerziellen VPN-Provider in Betracht ziehen, so solltet ihr euch nach Speicherdaten, -dauer etc. erkundigen. Letztlich ist es immer schwer, eine immer funktionierende Lösung zu finden. Denn allen ist gemein, dass man dem Betreiber vertrauen muss. Bei den grünen Lösungen steckt das Vertrauen meist im Design des Systems. In den meisten Fällen könnte auch eine nicht vertrauenswürdige Person den Dienst betreiben, ohne Schaden anzurichten.

Neben Tor wäre mein zweiter Favorit JonDonym. Die Software ist nach meinem Eindruck fast nur als Anonymisierer bekannt. Sie besitzt jedoch auch eine Zensurumgehungsfunktion. Wenn ich mich richtig erinnere, ist diese Funktion auch die Grundlage der Tor Brückenserver. Laut Aussage der Entwickler wird JonDonym kaum gesperrt. Aufgrund des Designs ist die Software auch sicher. Ich erwarte nur Probleme bei der Installation bzw. Benutzung. Denn nach meiner Erfahrung tun sich viele Benutzer mit einer zu installierenden Software, wo zudem noch irgendwelche Fragen gestellt werden, schwer.

Der obige Punkt bringt mich zu Psiphon. Das große Plus der zweiten Variante von Psiphon ist eben die leichte Benutzung. Es reicht, wenn sich der Nutzer sein Login merkt und eine URL in ein Textfeld eingeben kann. Den Rest erledigt die Software. Mit der neuen Version ändert sich das wieder ein wenig. Ich werde mir die demnächst mal anschauen und evtl. dazu bloggen.

Telex habe ich ebenfalls in Grün markiert. Wobei ich mir natürlich bewusst bin, dass es da diverse Schwierigkeiten gibt. Allen voran braucht es Provider, die sich diese Telex-Stationen in ihr Netz stellen. Daneben gibt es derzeit nur einen Prototyp und offensichtlich keine weitere Entwicklung. 

Roger Dingledine hat sich vor einiger Zeit ebenfalls Gedanken gemacht und zehn Dinge zusammengestellt, die ihm bei einer Umgehungssoftware wichtig sind. Letztlich finde ich die Top-Irgendwas-Listen immer schwierig. Denn es ist einfach schwierig eine ausgewogene Wertung zu treffen. Ich denke, einige würden Tor geringer gewichten, da es langsam ist. Dafür mögen die dann Ultrasurf, weil es schnell ist. Ich hingegen ziehe Ultrasurf gar nicht als Werkzeug in Betracht, da es eben die genannten Probleme hat. Ich hoffe, mit den obigen Worten konnte ich euch ein paar Hinweise an die Hand geben.

Aaron Swartz ist (zumindest im Internet) ein recht bekannter Mann. Er hat mit sehr jungen Jahren an Standards mitgearbeitet, Firmen gegründet und ist in vielen Bereichen aktiv. Unter anderem engagiert er sich für den freien Zugang zu Dokumenten. In dieser Mission lud er 2009 öffentliche Gerichtsdokumente herunter und machte diese einfach zugänglich. Laut einem Artikel in der The New Times waren es knapp 20 Millionen Dokumente. Nun schlug Swartz erneut zu und lud knapp 5 Millionen wissenschaftliche Artikel bei JSTOR herunter. Die Webseite bietet Zugang zu diversen akademischen Zeitschriften. Das MIT hat, wie viele andere Unis, einen Zugang gekauft und bietet den Angehörigen darüber kostenfreien Zugang zu Dokumenten an. Laut der Anklageschrift kann ein derartiger Zugang durchaus 50.000 US-Dollar und mehr kosten. Der Anbieter verbietet die Benutzung von automatisierten Download-Programmen, das Herunterladen aller Ausgaben einer Zeitschrift oder eine Nutzung, die über die persönliche hinausgeht. Das MIT wiederum erlaubt allen Studenten, Mitarbeitern und Gästen den Download der Dokumente.

 Was genau tat Swartz? Die Anklageschrift schreibt, dass er sich einen Laptop kaufte und den unter einem Pseudonym beim MIT Netzwerk registrierte. Laut den Regeln darf man wohl bis zu 14 Tagen das Netz als Gast benutzen. Nachdem sich Swartz angemeldet hatte, startete er ein Python-Programm. Das begann die Daten herunterzuladen. Als JSTOR und das MIT dies entdeckten, begann das Katz-und-Maus-Spiel. IP-Adresse gesperrt, neue IP-Adresse benutzt, MAC-Adresse gesperrt, neue MAC ausgewürfelt. In der Folge sperrte JSTOR das gesamte MIT vom Zugriff auf die Dateien. Angeblich ging plazierte Swartz einen Laptop an einer versteckten Stelle, um die Daten herunterzuladen. Die Ermittler vermuten, er wollte die Dateien auf einer Filesharing-Seite verbreiten. Daher ließen sie ihn verhaften. Jetzt drohen ihm bei einer Verurteilung bis zu 35 Jahre Gefängnis. Insgesamt wird er sechs Vergehen (Wire Fraud, Computer Fraud,  Unlawfully Obtaining Information from a Protected Computer, Recklessly Damaging a Protected Computer, Aiding and Abetting sowie Criminal Forfeiture) beschuldigt. Davon kommt die Hälfte aus dem Titel 18, Abschnitt 1030 des United States Code. Der läuft unter dem Namen Computer Fraud and Abuse Act (CFAA).

 Wenn ich die Anklageschrift so lese, fühle ich mich an den Fall von Thomas Andrews Drake, einem NSA-Whistleblower, erinnert. Aber auch im Fall Bradley Manning berühren viele Anschuldigungen den CFAA. Ob dieser im Fall Swartz anwendbar ist, wird sich noch zeigen. Bei Drake wurden alle Anschuldigen bis auf eine fallen gelassen. Auch in anderen Fällen war der CFAA nicht unbedingt anwendbar.

Wenn man die diversen Beiträge liest, kommt entweder der Vergleich zu jemandem, der zu viele Bücher ausgeliehen hat bzw. der übliche Raubkopierer-Vergleich. Nach meiner Meinung treffen beide nicht den Punkt. In einer Bibliothek ist es in der Regel nicht möglich, in endlicher Zeit zwei Drittel des Bestandes auszuleihen. Weiterhin ist ein Buch nach der Rückgabe nicht mehr im eigenen Haushalt vorhanden. Swartz hat zwar mittlerweile alle Kopien zurückgegeben. Doch wer weiß, ob er nicht noch eine oder zwei Sicherheitskopien behalten hat. Bei Diebstahl bzw. Raubkopie stellt sich die Frage, warum die Firma nach einem Diebstahl noch alle Daten hat. Mir gefällt folgender Vergleich recht gut: JSTOR bzw. das MIT haben Swartz in ihr Haus gelassen und sind jetzt sauer, dass er ihnen den Kühlschrank leer gegessen hat.

Letztlich bleibt für mich die Aussage, dass ein Crawler benutzt wurde. Dies verstößt gegen die TOS von JSTOR. Aber ob man ihn deswegen mit 35 Jahren belangen sollte? 

Weitere Quellen:

• JSTOR Statement: Misuse Incident and Criminal Case
• Strata Week: When does data access become data theft?
• Memeo: Knowledge, freedom & #datalove
• Ausleihen zu vieler Bücher aus der Bibliothek: Haftbefehl für Aaron Swartz
• Telepolis: Internetaktivist wird des Massenklaus von Wissenschaftsartikeln beschuldigt
• JSTOR and the Case of the Over-Downloader

Bei Twitter war kürzlich mal wieder ein nettes Mem zu beobachten. Es entstand eine Folge von „The great thing about $PROTOCOL jokes is $PROTOKOLLEIGENSCHAFT.“-Sätzen. Zu finden ist das Ganze unter dem Hashtag #protolol. Naja, lest selbst:

• The great thing about TCP jokes is that you always get them.
• The great thing about IP over Avian Carrier jokes is that if your joke gets fragmented, you at least get free dinner.
• The great thing about WebDAV jokes is you can tell many different versions of the same joke and people will still listen.
• The great thing about Zeroconf jokes is that you can just walk up to strangers and tell them, no introduction necessary.
• The great thing about IPP jokes is that you always end up with a paper record of the joke in question.
• The great thing about Nessus jokes is that they’re often inaccurate and poorly worded.
• The great thing about rsync jokes is that it only tells them if you haven’t heard them before.
• The great thing about bacterial transformation jokes is that there are always a lot of fungis involved.
• The great thing about DHCP jokes is that you can lend them to others and take them back when you want.
• The great thing about DNS jokes is that you don’t have to tell them with authority.
• The great thing about BGP jokes? Anyone can claim they are their own, all you can do is hope your neighbours like them.
• The great thing about nerdy jokes is that they follow a general pattern of self-referentiality that can be abstracted out.
• The great thing about ASLR jokes is you never know where they’re going.
• The great thing about antivirus jokes is you only need to change them a little and they’re funny again.
• The great thing about encryption jokes is d0842c7091158f8a8e6c89ed0cf4ec07.
• The great thing about gmail jokes is the chinese read them before you do.
• The great thing about TLS jokes is that you can tell if it’s not original.
  
• The great thing about XML jokes is that you can put anything into them.
• The great thing about Java jokes is waiting for them to begin.
• The great thing about Teredo jokes is that you can tell smart jokes even when surrounded by dumb peers.
  
• The great thing about PGP email encryption jokes is that nobody can read their own encrypted email because it’s so unusable.
• The great thing about RFC 862 jokes is the great thing about RFC 862 jokes.
• The great thing about source routing jokes is that someone else get in trouble for telling them at your instigation.
• The great thing about DNS jokes is that they work on so many levels.
• The great thing about fragmentation jokes is
• The great thing about IGMP jokes is that you can be selective in who gets them.
• The great thing about ARP jokes is they’re unauthenticated.
• The great thing about IPv6 jokes is that there are so many of them.
• The great thing about ICMP error jokes is that nobody can ever reply to them.
• The great thing about UDP jokes is that even if you don’t get them, nobody notices.
• The worst part of SSH jokes is that, even when they’re not funny, you suck it up and just pretend they were anyway.
• The best thing about XMPP jokes is that you can tell when they’re available.
• The problem with greylisting jokes is, that you always have to tell them twice.
• The sad thing about Kerberos jokes is that you first have to buy a ticket to join the laughter.
• The problem with PGP jokes is that you need to gain everybody’s trust before they can laugh with it.
• The best GFW jokes are inaccessible from China.
• The sad thing about IPv6 jokes is that almost no one understands them and no one is using them yet.
• The best thing about proprietary protocol jokes is REDACTED. 
• The best thing about SMTP jokes is, you had me at HELO. 
• The best part about WAF jokes is there are a hundred ways to tell them, and everyone is sure to get them.
• The problem with git jokes is everyone has their own version.
• Everybody loves MitM jokes. Well, everybody except Alice and Bob that is.
• The worst thing about Perl jokes is that next morning you can’t understand why they seemed so funny.
• I don’t make SQLi jokes myself, I get them FROM USERS.
• The good thing about OTR jokes is that you forget the punchline afterwards.
• The best thing about Skype jokes is the ridiculous lengths they’ll go to, to be told at all.
• The best thing about mathematical jokes is left as an exercise for the reader.
• The best thing about Twitter API jokes is that you can only make 100 of them per hour.
• The problem with 802.11 jokes is that somebody far away is always listening.
• The problem with BGP jokes is the need for a local default joke, just in case you reject all of the other jokes coming in!
• The problem with telling NTP jokes is that you’re constantly adjusting your timing.
• The worst thing about HTML jokes is that your audience doesn’t always GET it.
• The good thing about pure functional jokes is, telling them has no side effects.
• The good thing about Twitter jokes is they’re so short.
  
• The problem with ASCII jokes is having to leave out the good bits.
• The bad thing about DVCS jokes is they’re all clones of each other …
• The best part about a CISSP joke, is you don’t have to know anything about security to get it.
• The problem with CSS jokes is that everyone understands them differently.
• The great thing about integer overflow jokes is that GCC doesn’t think they’re funny.
• The problem with standards jokes is that there are so many to choose from.
• The problem with IPv4 jokes is there aren’t enough for everyone.
• The problem with dining cryptographers network jokes is that you never know who told them.
• The problem with DRM jokes is that you can’t share them with your friends.
• The best part about TTL jokes is that they can only be told so many times.
• The problem with anonymity jokes is that any jackass can take the credit for them.
• The problem with TCP jokes is that people keep retelling them slower until you get them.
• The bad thing about Turing machine jokes is you never can tell when they’re over.
• The great thing about HTML jokes is that you’re never quite sure when they end.

Ein Add-On für den Firefox, welches 4 von 5 Sternen hat und von mehr als sieben Millionen Nutzer installiert wurde, sollte doch halbwegs vertrauenswürdig sein. Zumindest legt Linus’ Law diese Erkenntnis nahe. Das Add-On Ant Video Downloader straft diese Annahme nun Lügen.

Der Ant Video Downloader soll Videos von Youtube, Facebook und vielen anderen Seiten auf einfache Weise herunterladen. Daneben hat die Software noch einen anderen Zweck. Sie sammelt Daten über jede Seite, die der Benutzer besucht. Dazu wird eine eindeutige Nummer, die so genannte Ant-UID, angelegt. Wenn eine Webseite aufgerufen wird, sendet Ant eine zweite Anfrage mit eben dieser Nummer, der URL der aufgerufenen Seite sowie der Browserkennung an die Adresse rpc.ant.com.  Somit kommt dort jeder Seitenaufruf (also auch interne URLs im privaten Netzwerk) an, den ihr jemals gemacht habt. Damit aber noch nicht genug. Bei der Deinstallation der Software wird die Informationen mit der eindeutigen Nummer, der Ant-UID, behalten. Wenn ihr die Software später neu installiert, wird genau dieselbe Nummer wieder verwendet. Das ist also eine massive Verletzung der Privatsphäre der Nutzer.

Wie ein Witz klingt da die Privacy Policy von Ant.com:

As a responsible member of the community of website owners, Ant.com solutions (Here in after Ant.com) takes the privacy and security of its users with the highest regard.

Insgesamt finde ich in der Policy keinen Hinweis auf diese Spionagemaßnahme. Glücklicherweise haben die Betreiber der Add-On-Seite die Notbremse gezogen. Zunächst wurde der Download der Software komplett deaktiviert und jetzt ist diese als experimentell gekennzeichnet. Damit sollten nur erfahrenere Nutzer diese installieren können.

Das Beispiel zeigt mal wieder, das man sich offensichtlich auf keine Software verlassen kann und insbesondere das die Warnungen bezüglich der Add-Ons sehr ernst zu nehmen sind.

via InterWeb Task Force und The Register

• Hinky's PoTTY Download Page
  PoTTY obfuscates the initial key exchange handshake to prevent detection by deep-packet inspection firewalls and intrusion detection/prevention systems (IDS/IPS).
  (tags: ssh security putty)
• brl's obfuscated-openssh at master - GitHub
  Handshake obfuscation strengthens the initial SSH handshake against systems that identify or classify various network protocols by examining data in transit for static signatures.
  (tags: SSH security)

• Category:OWASP WebGoat Project - OWASP
  WebGoat is a deliberately insecure J2EE web application maintained by OWASP designed to teach web application security lessons.
  (tags: java hacking security sql vulnerability j2ee)
• Stanford SecuriBench
  Stanford SecuriBench is a set of open source real-life programs to be used as a testing ground for static and dynamic security tools. relies onJava
  (tags: hacking pentesting security java)
• Foundstone Free Tools
  Foundstone Hacme Travel™ is designed to teach application developers, programmers, architects, and security professionals how to create secure software. Hacme Travel simulates a real-world travel reservation system, which was built with a number of known and common vulnerabilities such as SQL injection and buffer overflows
  (tags: hacking security sqlinjection php mysql)
• Damn Vulnerable Web App - DVWA
  Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable.
  (tags: hacking pentest mysql php security sqlinjection)
• Badstore.net: See how the hackers think. Download this demo.
  Badstore.net is dedicated to helping you understand how hackers prey on Web application vulnerabilities, and to showing you how to reduce your exposure.
  (tags: livecd security education hacking)

Die LaTeX-Suite für den Editor vim war mein Einstieg in die LaTeX-Welt unter GNU/Linux. Denn ich nutz(t)e vim und da lag es nahe, den für LaTeX-Dokumente zu verwenden. Jedoch fühlte sich die Bearbeitung der Texte immer irgendwie umständlich an. Daher ging ich damals schnell auf die Suche nach Alternativen. Im folgenden will ich euch die Grundprinzipien mal näherbringen.

Wie AUCTeX sollte auch die LaTeX-Suite ein Teil des Paketmanagements sein. Im Idealfalle lässt es sich direkt nach der Installation nutzen. Bei Debian, Ubuntu und den abgeleiteten Distributionen ist eventuell Handarbeit nötig. Denn diese aktivieren das Paket nicht sofort. Der Nutzer muss auf der Kommandozeile den Befehl vim-addons install latex-suite (oder als Root vim-addons -w install latex-suite) eingeben. Damit werden diverse Symlinks in das .vim-Verzeichnis gelegt. Wer es lieber manuell hat, kann den Anweisungen auf der Download-Seite folgen. Im wesentlichen ist da nur das Paket herunterzuladen, zu entpacken und schließlich müssen die Dateien an die richtige Stelle kopiert werden.

Die LaTeX-Suite sollte nun (La)Tex-Dateien beim Öffnen erkennen. Das ist jedoch nicht immer der Fall. Die wichtigste Einstellung ist dabei filetype plugin on. Sie sollte entweder in der globalen oder zumindest in der lokalen vimrc gesetzt sein. Damit werden dann die Dateien mit den üblichen Endungen korrekt identifiziert und die LaTeX-Suite steht zur Verfügung. Die Autoren der Software empfehlen weiterhin folgende Einstellungen zu setzen.

set grepprg=grep\ -nH\ $*
filetype indent on
let g:tex_flavor=’latex’

Die erste Zeile benutzt das Programm grep mit Optionen, die den Dateinamen mit anzeigen. Diese Angabe benötigt LaTeX-Suite für die Verarbeitung bestimmter Informationen. Die zweite Zeile bringt automatische Einrückung des Quellcodes und erhöht so die Lesbarkeit des Codes. Ab der Version 7 von vim werden Dateien mit der Endung .tex als Plain-TeX behandelt und die LaTeX-Suite steht nicht zur Verfügung. Meist wird diese Endung auch für LaTeX-Dateien verwendet (Wer es besser machen will, nutzt .ltx.). Daher empfiehlt sich diese Einstellung für alle, die die Endung .tex für die LaTeX-Dateien nutzen.

Beim Öffnen einer leeren Datei passiert zunächst nichts. Wenn ihr die grafische Version des Vim benutzt, dann seht ihr drei neue Menüeinträge. Am einfachsten ist es, nach meiner Auffassung, mit i in den Eingabemodus zu wechseln und dort EDO einzugeben. Dann erscheint das Grundgerüst einer LaTeX-Datei versehen mit Markern der Art: <+..+>. Diese könnt ihr mit der Tastenkombination Strg+j anspringen und in die entsprechenden Felder Werte eintragen. Gerade bei der Dokumentklasse wäre es wünschenswert, wenn die Software eine Auswahlliste präsentieren würde bzw. wenn es eine Art Vervollständigung gäbe. Denn manuelle Eingabe ist eine Fehlerquelle. Im nächsten Schritt will der Nutzer vermutlich diverse Pakete einbinden. Dazu reicht es, auf einer leere Zeile den Paketnamen gefolgt von der Taste F5 einzugeben. LaTeX-Suite macht daraus automatisch die korrekte Zeile. Bei grafischen Vim könnt ihr auch das Menü verwenden. Ähnlich wie bei AUCTeX muss der Cursor zum Einfügen eines neuen Paketes an der richtigen Stelle stehen.

Wie der jed, kann auch die LaTeX-Suite gut mit Templates umgehen. Legt dazu einfach die entsprechende Datei in das templates-Verzeichnis. Mit dem Befehl :TTemplate name lässt sich das gewünschte Template einbinden.

Schließlich werdet ihr sicher bereits bestehende Dokumente öffnen. Hier liest die Software die Datei ein und versucht, diverse Informationen über eingebundene Pakete, selbst definierte Kommandos etc. zu extrahieren. Die Informationen stehen dann im Dokument in Form von Vervollständigung zur Verfügung.

Nachdem das Dokument geöffnet ist und der Dokumentkopf steht, kann der eigentliche Text bearbeitet werden. Die LaTeX-Suite bietet diverse dreibuchstabige Abkürzungen zum Einfügen von Befehlen oder Umgebungen. Oben sahen wir bereits EDO für die Dokumentklasse. Der erste Buchstabe zeigt an, ob ein Environment oder eine Section verwendet wird. Die weiteren beiden Buchstaben sind dann eine typische Abkürzung. So steht SSE für section, SPA für part, EIT für itemize. Standardmäßig setzen die Entwickler beim Mathesatz auf displaymath, eqnarray und auch equation. Laut l2tabu ergibt das falsche Abstände und sollte daher vermieden werden. Will man daher eher gather oder align verwenden, ist noch ein wenig Konfigurationsarbeit vonnöten. Die einfachste Möglichkeit, eine der obigen Umgebungen zu nutzen, wäre gather*+F5 einzugeben. Die Software setzt automatisch die begin- und end-Tags. Das artet schnell in vie Tippaufwand aus. Daher sollte es ebenso einen dreibuchstabigen Code geben. Dazu könnt ihr beispielsweise :call IMAP (’EGA’,“\\begin{gather*}\<CR><++>\<CR>\\end{gather*}<++>”,’tex’) eingeben. Dann ergibt die Eingabe von EGA folgende Ausgabe (Der Cursor wird an die korrekte Stelle platziert.):

\begin{gather*}

\end{gather*}<++>

Bei jedem Neustart des Vim müsste die Anweisung jedoch erneut eingegeben werden. Daher empfiehlt es sich die Einstellung permanent zu setzen:

augroup MyIMAPs
  au!
  au VimEnter * call IMAP (’EGA’,“\\begin{gather*}\<CR><++>\<CR>\\end{gather*}<++>”,’tex’)
augroup END

Nachdem diese Schwierigkeiten überwunden sind, bleibt der Mathesatz eine große Stolperfalle. So existieren zwar für griechische Buchstaben Abkürzungen (Beispiel: `s für σ). Aber standardmäßig gibt es nichts für Integrale, Summen, Sinus/Kosinus etc. Das heißt hier muss der Nutzer anfangs viel Aufwand in eine vernünftige Konfiguration stecken. Ich fände es wesentlich besser, wenn es für oft benutzte Mathbefehle vorkonfigurierte Einstellungen gäbe (oder mich jemand auf diese Einstellungen hinweist).

Der oben beschriebene Aufwand war für mich eines der Hauptgründe, auf LaTeX-Suite als permanenten Editor zu verzichten. Weiterhin fühlt sich die Bearbeitung von Texten irgendwie umständlicher an. Zudem gibt es einiges, was laut Dokumentation problemlos geht und bei einem Test mit Standardeinstellungen eben nicht funktioniert. Dazu gehört:

• Einfügen von Paketen mit F5: Wenn in einer leeren Zeile im Dokumentkopf die Taste F5 gedrückt wird, soll man einfach ein Paket einbauen können. Bei mir resultiert das jedes Mal in <++>]{PAKETNAME}``usepackage[X anstatt \usepackage{PAKETNAME}.
• LaTeX-Suite rät laut Dokumentation passende Standardwerte für Anführungszeichen. Bei mir wird jedoch immer die Kombination ``’’ eingefügt.
• Je nach Umgebung sollen verschiedene Auslassungszeichen bei der Eingabe von ... verwendet werden. Bei mir kommt immer \dots.

Wahrscheinlich existiert da draußen für jedes Problem eine Lösung. Aber im Allgemeinen habe ich keine Lust, beim Mitschreiben einer Vorlesung von solche einem Bug überrascht zu werden und mich minutenlang mit der Behebung aufzuhalten. Daher habe ich damals gegen die Software entschieden und auch beim Testen für den Blogbeitrag blieb mein Eindruck von damals weitgehend bestätigt.

Kaum sind die deutschen Versuche zum ZensurgZugangserschwerungsgesetz halbwegs gestoppt, geht es in der EU weiter. Vor kurzem enthüllte der AK Zensur ein geheimes PDF-Dokument des EU-Rates (Deutsche Version bei Netzpolitik). Darin wird die Fortführung eines Projekts gefordert, welches dem deutschen Zugangserschwerungsgesetz recht ähnlich ist. In der EU trägt es den Namen CIRCAMP. Hier tritt nun Cecilia Malmström auf den Plan. Sie ist EU-Kommissarin für Innenpolitik und will in den nächsten Wochen kräftig Werbung für Internetsperren machen. Ein erstes Interview erschien in Schwedisch beim Svenska Dagbladet.

Aber auch die Kritiker werden mit Sicherheit nicht leise sein. Bereits jetzt gibt es das unten stehende Mashup von Telecomix. Begriffe wie Censilia, Zensursula 2.0 und ähnliche sind ebenfalls schon entstanden. Ich denke, die Woche wird recht spannend werden.

Ein Bild sagt alles:

Ein wenig mehr Text dazu gibt es drüber im Commonsblog