RSS Feed (MP3)Moderatoren: Matthias Niess und Timon Royer
Themen:
Montag, 27. Oktober 2008
Z! - Episode 129: Sieben
Moderatoren: Matthias Niess und Timon Royer
Die Sendung zum herunterladen:
Themen:
Angestellte kaufen PCs selbst
Viele Angestellte in Firmen nervt es sehr, mit was für Computern sie auf der Arbeit vorlieb nehmen müssen. Wie Spiegel Online schreibt gibt es in den USA nun neue Kozepte. In einer Firma aus Miami bekommen die Angestellten ein Budget von 2100 Dollar und müssen sich davon ihren Arbeitsrechner samt Support-Vertrag selbst kaufen. Das funktioniert so sicher nicht in grossen Firmen mit einheitlichen Strukturen für Workstations, aber kleinere Firmen können durchaus profitieren. Dort richten sich die Mitarbeiter ihre Rechner oft ohnehin so ein, wie sie am Besten damit arbeiten können (Programmier- oder Designschmieden). Wer sich mal wieder über seinen schrottigen Rechner ärgert, kann das Konzept ja mal seinem Chef vorschlagen. ;-)
Vistas Nachfolger
Die nächste für 2010 geplante Version von Microsofts Betriebssystem hat einen Namen bekommen. Erstmalig benennt die Firma eine Windows-Version nach ihrem Codenamen: Windows 7. Eine symbolträchtige Zahl. Microsoft hat nach eigenen Angaben allerdings keine religiösen Gründe für diesen Namen, sondern wollte einfach nur einen einfachen Namen.
Simply put, this is the seventh release of Windows, so therefore “Windows 7” just makes sense.
Ein wenig beeilen sollten sie sich aber. Viele Firmen planen Vista zu überspringen - zu schlecht ist der Ruf, zu hoch die Hardwareanforderungen für flüssigen Betrieb. Mit Sieben soll das besser werden. Laut einem Blog-Post soll (endlich) die Binä,r-Kompatiblität zu den Vorgängern gebrochen werden. Alter Ballast wird also abgeworfen. Das sollte dafür sorgen, dass das Betriebssystem und dafür entwickelte bzw. kompilierte Anwendungen deutlich flotter laufen. Natürlich nur gesetzt den Fall, dass Microsoft die Performancegewinne nicht anderswo wieder “ausgleicht”. Alte Anwendungen werden dann in einer Art virtueller Machine laufen, welche die alte Windows-API bereitstellt. Ähnlich hat es so schon Apple beim Wechsel von OS9 zu OSX gemacht. Fraglich ist nur, ob alte Windows-Spiele dann noch unter Sieben laufen.
UPDATE: Mittlerweile hat Microsoft auf der PDC Details und neue Features von Windows 7 bekannt gegeben. Hier ein paar Links:
First look at Windows 7’s User Interface (ars technica)
PDC 2008: The 7 Coolest New Features in Windows 7 (webmonkey)
Windows 7 Walkthrough, Boot Video and Impressions (gizmodo)
Interessenverband für Musiker
Immer mehr Musiker fühlen sich von der Musikindustrie geprellt und abgezockt. Einige haben ihr Schicksal in die eigene Hand genommen und - wie NIN und Radiohead - neue Alben sehr erfolgreich in Eigenregie veröffentlicht. Da man ja bekanntlich gemeinsam stärker ist, haben über 60 Musiker nun einen Interessenverband gegründet, um eine eigene Lobbyvertretung zu haben. Die Featured Artists Coalition soll die Musiker ins digitale Zeitalter führen, ihre Interessen schützen und ihre Rechte stärken. Besonderes Augenmerk soll auf einer Reform des Urheberrechts liegen, in der Art, dass Musiker ihre Werke nur lizenzieren. In Deutschland ist Urheberschaft ohnehin nicht übertragbar, dies sehen die Musiker als vorbildlich an. Wir empfinden das als Selbstverständlichkeit.
Gestörtes GPS
Bei ihren Untersuchungen wie sich Sonneneruptionen auf den Empfang von GPS-Signalen auswirken, bemerkten die Forscher aus Ithaka (USA) wie leicht sich Empfangsgeräte manipulieren lassen. Da die Signale für zivile Nutzung nicht verschlüsselt oder signiert sind, war lange klar, dass dies technisch möglich ist. Eine Demonstration gab es aber bisher noch nicht. Die Forscher imitieren mit ihrem “Störsender” zunächst das Signal eines Satelliten. Da der Störer dem Epnfänger nun die beste Empfangsqualität bietet, stellt sich dieser recht schnell auf den Störer ein. Dieser kann nun anfangen falsche Signale zu senden. Diese Technik funktioniert jedoch nur, wenn der Empfänger nur eine einzige Antenne einsetzt. Sicherheitskritische Anwendungen (wie in der Schiffahrt setzen zur besseren Positionsbestimmung differentielles GPS ein, welches mind. zwei Antennen benötigt. Für unter Hausarrest stehende Kriminelle dürfte es allerdings reichen, einen solchen Störsender mit sich rumzuschleppen.
Quantenkryptographie
Spiegel Online verspricht in einem Artikel ein Netzwerk mit unknackbarer Verschlüsselung, die auf Quantenkryptographie basiert. Um es gleich vorweg zu nehmen: kein seriöser Kryptologe würde die Verschlüsselung als unknackbar bezeichnen. Aber mit ein wenig Sensation wird ein Artikel natürlich direkt spannender. Warum? Unknackbar gibt es nicht, es gibt nur sicher. Und die Sicherheit einer Technik ist eine relative Größe, welche davon abhängt, wie sich diese Technik über die Zeit bewährt hat.
Zur Sache: Verallgemeinert kann man sagen, dass in nahezu allen aktuellen Verfahren symmetrische Verschlüsselung eingesetzt wird. D.h. A und B haben einen identischen Schlüssel mit dem sie ihre Nachrichten ver- und entschlüsseln. Die Unterschiede der einzelnen Verfahren beruhen ausschliesslich darauf, wie dieser Schlüssel sicher zwischen den Kommunikationspartnern ausgetauscht wird. Dabei spielen Zufallszahlen eine große Rolle, welche von Zufallszahlengeneratoren erzeugt werden. Da diese Generatoren Algorithmen benutzen kann man natürlich nicht von echter Zufälligkeit sprechen, allenfalls Pseudo-Zufälligkeit, die für die Anwendung zufällig genug ist. Und genau hier liegt das Problem. Lassen sich die eingesetzten Zufallszahlen vorausbestimmen, so ist das Verfahren geknackt. So geschehen mit der WLAN-Verschlüsselung WEP. Der bei WEP verwendete Generator funktioniert zwar gut, allerdings erst nach einer Weile, so dass man im Allgemeinen die ersten Zahlen die er ausspuckt wegwirft. Genau dies haben die Entwickler von WEP vergessen, so dass sich über stochastische Methoden die Schlüssel “erraten” lassen.
Ohne eine Einführung in die Quantenmechanik zu geben, sei gesagt, dass man mit den zugrundeliegenden Prinzipien echte Zufälligkeit erzeugen kann. Damit wären - sofern man nicht irgendwo einen Denkfehler gemacht hat - die Verfahren die solche Zufallszahlen nutzen unknackbar. Aufmerksame Leser werden bemerken, dass im potentiellen Denkfehler der Knackpunkt liegt.
WLAN-Passwortschutz
Wo wir eben schon bei WLAN-Verschlüsselung waren noch etwas mehr zu dem Thema. Es herrschen im Grunde zwei Gegensätze: Den einen ist Verschlüsselung egal, sie haben ja nichts zu verbergen, und wenn mal irgendein Kiddie über ihren Internetanschluss Straftaten begeht, naja dann wird man halt vor den Augen der Nachbarn verhaftet. Das andere Extrem sind diejenigen, die glauben man sollte aus Sicherheitsgründen grundsätzlich keine WLANs einsetzen. Die Wahrheit liegt wie immer dazwischen. Eine kürzlich erschienene Software der Firma Elcomsoft ließ mal wieder die Angst umgehen. Durch Verwendung mehrerer Grafikprozessoren sei die Knackgeschwindigkeit von WPA/WPA2-Schlüsseln um den Faktor 100 beschleunigt worden. Benutzt man als Schlüssel kurze Wörter ist das sicher relevant. Benutzt man jedoch lange Ketten von Zufallszahlen geben wir zu bedenken, dass ein paar Millionen Jahre geteilt durch hundert immer noch lange genug ist.
Bei WPA sind 63 Zeichen möglich und die sollte man auch nutzen. Man muss den Schlüssel ja nicht von Hand eingeben. Copy and Paste und ab auf den USB-Stick. Gute Schlüssel generiert man sich entweder selbst mit pwgen -c -n -s 63 1 oder benutzt die von der Seite grc.com/passwords.
Manipulierte Kreditkartenleser
Die Lachnummer der letzten zwei Wochen war definitiv die Pakistan-Kreditkarten-Affäre. Durch einen kleinen Chip manipulierte Geräte haben die eingelesenen Daten auf geschickte Art und Weise über eine Mobilfunkverbindung nach Pakistan geschickt. Was dort mit den Daten passiert ist nicht bekannt, kann man sich allerdings ausmalen. Aufgetaucht ist das Problem hauptsächlich bei britischen Filialen der Discounter Wal-Mart und Tesco. Sehr kurios.
Laptop-Tracking
Zum Schluss wie immer ein kleiner Tip. In vergangenen Sendungen sprachen wir bereits über die Möglichkeit, gestohlene Laptops mittels Software wieder aufzuspüren. Dazu sendet die Software bspw. die aktuelle IP oder den Namen des WLAN-Accesspoint, mit dem der Rechner verbunden ist, an einen zentralen Server. Das Problem bei der Technik ist, dass sich somit auch ein Bewegungsprofil des legitimen Nutzers erstellen lassen würde. Eine bereits länger erhältliche Software der University of Washington trägt diesem Misstand Rechnung. Nur der autorisierte Besitzer hat Zugriff auf die Daten (unter anderem auch Webcam-Bilder), welche nicht auf einem zentralen Server, sondern verschlüsselt in einem P2P-Netz gespeichert werden. Die Software Adeona ist zudem für alle gängigen Betriebssysteme erhältlich.
Länge: 39:43
Wer sich zu den Sendungen äußern möchte kann dies gerne über unsere Kommentarfunktion hier auf der Website tun. Wichtig: Eure E-Mail Adresse wird zu eurem Schutz bei den Kommentaren nicht eingeblendet! Außerdem könnt ihr uns auch gerne eine E-Mail an dialog AT z-pod PUNKT de schicken.
Hi, Timon, hi Matthias,
es war wieder eine sehr interessante Sendung. Vielen Dank!
Danke schön! Freut uns das zu hören.
>“Diese Macintosh Zeug funktioniert doch nicht!”
EINSPRUCH!
Es funktioniert sehr wohl!
Logisch tut es das. :-) Ein Intel-Mac wäre für mich inzwischen allerdings schon schöner.
Das war ja auch nur ein Witz, ne ;-) Bei mir zu Hause funktioniert sogar dieses Windows-Zeug ausgezeichnet. Ich arbeite persoenlich bloss lieber mit was anderem.
Danke für die neue Sendung, wie immer genau die richtige Mischung aus interessanten Themen.
Ich würde mich über ein bisschen Lesestoff über “GPS-Empfänger gehackt” freuen.
MfG
Hi Moritz,
der Lesestoff kommt noch, versprochen. Ich hoffe mal das Matthias die Shownotes diese Woche noch fertig geschrieben bekommt.
Beste Grüße,
Timon
So, die Shownotes mit den Links sind da.
hallo,
wieder gute sendung.
1.
2100 dollar ist meine edv-ausstattung auf arbeit nie im leben wert! ;-)
2.
nach allem, was man so findet, liegt das problem beim thema handydiebstahl und imei auf seiten der netzbetreiber. man muss sich aber fragen: warum interessiert die das nicht wirklich?
lg
peter
Zu 1. Ich denke so geht es vielen. Wobei man natürlich Bildschirm und Wartungsvertrag für 3 Jahre mit einberechnen muss.
Zu 2. Also im Grunde denke ich, dass es die meisten Handy-Nutzer auch nicht wissen oder vielleicht auch nicht interessiert.
Hallo zusammen,
zum Thema - wie wähle ich ein sicheres Passwort aus - es gibt sehr schöne kostenlose einmalige Passwortkarten, die ganz einfach durch eine selbstdefinierte Lesemethode funktionieren. Klappt ausgezeichnet.
http://de.savernova.com/
die kartenmethode is ganz nett. noch einfacher finde ich allerdings die methode, die ich irgendwo mal im web gelesen und prompt auf meiner alten arbeitsstelle angewandt hab. es ging da nicht um sachen wie onlinebanking oder sonstwie sensible rüstungsgeheimnisse, sondern lediglich darum, den rechner vor besuchern zu schützen.
also (nur als beispiel, in echt wars natürlich ein bisschen anders) :
ich hab ein fantasiepasswort direkt mit bleistift auf den monitorrand geschrieben
(Z7xp) und allen mitarbeitern gesagt, dass sie nur ein t hinten anhängen müssen.
das richtige passwort (also Z7xpt) wurde von fremden nie erraten, und von autorisierten personen nie vergessen, da ein zeichen leicht zu merken war. man könnte natürlich auch andere zusatzzeichen hinzufügen (vorne eine 1, in die mitte eine 2, hinten eine 3).
was halten denn kryptographieexperten von der methode?
Also ich finde die Idee nicht schlecht. Man muss wirklich daran denken, dass es den meisten Menschen extrem schwerfällt sich Passwörter zu merken. Deshalb kommt es leider permanent zu schlechten Entscheidungen was Passwörter angeht, oft sogar mit der Konsequenz erst gar keine zu verwenden.
Aus der Erfahrung heraus würde ich deine Lösung für einen guten Ansatz halten, um von Trivialpasswörtern oder gar keine Kennwörter zu haben wegzukommen.
wie sieht das da aber mit der “realen sicherheit” aus? wahrscheinlichkeitsrechnung ist nicht gerade mein steckenpferd, um welchen faktor steigt die wahrscheinlichkeit, einen code zu erraten wenn man nicht weiß, wie viele zeichen fehlen und zusätzlich die fehlende(n) stelle(n) nicht kennt?
ne andere frage, die ich mir immer stelle (gerade bei eurer sendung wieder) ist die zur nötigen rechenzeit um eine verschlüsselung zu knacken. da wird immer von millionen jahren gesprochen. allerdings ist die wahrscheinlichkeit, den richtigen code schon bedeutend früher zu erraten doch deutlichst höher, oder nicht? man wirft ja auch nicht erst bei jedem sechsten wurf ne 6, sondern manchmal schon beim ersten. sprich: wie hoch ist die wahrscheinlichkeit, wenn man gleichzeitig versucht 1000 codes zu knacken, dass man 1 davon schon beim ersten mal errät?
(erinnert mich n bisschen an das rätsel mit den leuten auf ner party, die am gleichen tag geburtstag haben -- wahrscheinlich ist die antwort ähnlich konterintuitiv)
hat da irgendwer (für mich als laien verständliche) links, die mir diese fragen beantwortet, oder gar antworten?
Naja was heisst reale Sicherheit. Reale Sicherheit heisst für mich, auch die nicht technischen Faktoren zu berücksichtigen, nämlich wer hat von außen Zugang zu dem System, wer sieht den Klebezettel, wird das Kennwort gewechselt wenn Mitarbeiter die Firma verlassen. Die besten Hacks sind meist die, die über social engineering, also das Aushorchen von Personen, erreicht werden.
Um dem Thema aber ein bisschen mehr handfeste Informationen zu geben, habe ich zwei Artikel rausgesucht die sich mit der WPA-Verschlüsselung befassen. Der erste Artikel geht ein wenig auf die Komplexität des gewählten Kennworts ein und der zweite befasst sich mit der mathematischen Wahrscheinlichkeit einen gut gewählten WPA-Schlüssel zu knacken.
Inhaltlich ist es natürlich nicht exakt das gleiche, allerdings ähnelt es sich insofern, als das ein gut gewähltes Kennwort der wesentliche Knackpunkt der Sicherheit ist.
Was das Kennwort angeht wo nur ein Zeichen dem Angreifer unbekannt ist, dass wäre relativ leicht, wenn man denn direkten Zugang zum System hat. Der Punkt ist, für gewöhnlich fängt man nicht an wild im Haufen der Möglichkeiten rumzustochern, allein schon deshalb nicht weil man dann eine Tabelle aller bereits abgefragten Kennwörter führen müsste. Deswegen ist es leichter systematisch alle Zeichen durchzugehen. Wenn man also die ersten 5 Zeichen kennt, würde man mit 5+1 Zeichen anfangen und von 0-9, a-z dann A-Z und dann eventuell die Sonderzeichen probieren das Kennwort zu erraten. Diese Form des Probierens wird als Brute Force Methode bezeichnet. Mit dieser Methode sollte man in diesem speziellen Fall in kürzester Zeit das Kennwort erraten haben.
Deshalb hat reale Sicherheit auch sehr viel mit den Menschen zu tun die die Geräte nutzen. Ist der Zugang zum Klebezettel am Monitor beschränkt weil nur Mitarbeiter in die Räume dürfen, ist die Sicherheit schon deutlich besser. Am sinnvollsten ist es natürlich pro Mitarbeiter ein Kennwort zu vergeben, dass dieser nur für sich nutzen soll. Denn wenn das Kennwort irgendwann von jemand anderem genutzt wird, kann man schneller das Sicherheitsproblem eingrenzen, als wenn viele Personen mit dem gleichen Kennwort gearbeitet haben. Außerdem fühlt sich dann auch jeder mehr für die Sicherheit seines Kennworts verantwortlich und ist nicht so schnell bereit es herauszugeben.
Je nach Art des zu knackenden Systems kann man ja mehrere hundert bis tausend Passworte pro Sekunde (oder Minute) testen. Das oben genannte System ist also wirklich nur in nicht-sicherheitskritischen Bereichen einsetzbar, dort aber sehr gut geeignet.
Ich bin auch kein Stochastikprofi, aber am Beispiel von WEP-Verschluesselung kann man selbst die entspr. Tools testen. Die Sammeln erstmal Informationen. Haben sie genug koennen sie den Schluessel “raten”. Das geht innerhalb von wenigen Minuten. Die Theorie dahinter wirst du sicher irgendwo beim Thema WEP auf Wikipedia finden.
danke für die antworten, les mir die links mal durch, wenn ich mehr ruhe und zeit habe :)
habe das “system” aber anscheinend schlecht erklärt: wenn man weiß, es wird tatsächlich nur 1 zeichen ANgehängt, dann dauerts ja sogar manuell nur n paar minuten. bin zwar laie, aber brute force ist mir schon n begriff :). nur ists ja so, dass man gar nicht weiß, ob ein oder gar mehrere zeichen angehängt, vorgestellt, eingefügt oder alles zusammen werden soll/en. insofern ists schon ne spur komplizierter.
Das ist es, was ich mit dem Brute Force Angriff erklären wollte. Die ersten 5 Zeichen sind mir ja bekannt, Also fängt mein Angriff bei 5+1 unbekanntes Zeichen an. Wenn 5+1 nicht erfolgreich ist, geht es mit 5+2 Zeichen weiter. Allerdings werde ich ja schon Erfolg haben wenn ich alle 5+1 Kombinationen durchprobiert habe.
ok, in meinem illustrationsbeispiel stimmt das. aber man weiß es ja vorher nicht. es könnte genausogut 1+5,2+5,4+5... sein :) oder 2+1+2 oder 1+2+4 usw. es bleibt ja weiterhin leicht merkbar, selbst wenn man allen leuten sagt: bitte nicht ein t anhängen, sondern nach den ersten zwei zeichen des auf dem merkzettel sichtbaren passwortteils “hamster” einfügen oder “namevonchef” der zeichenkette voranstellen :)
nun ja, genug davon, erst mal die neue folge hören :D
Ok, wenn man es so macht, dann wird es in der Tat deutlich schwieriger. Guter Tipp!