[ENC]BladeXP's Blog

Lange Zeit war ein Palm Treo 680 mein treuer Begleiter, auch nachdem ich den Android Smartphones erlegen bin wollte ich auf dieses tolle Geräte nicht verzichten.

Fast 2 Jahre lang habe ich das gute Stück aber nur noch als Wecker verwendet, einfach deshalb weil der Akku im Flugzeugmodus mehrere Wochen hält und ich eine zusätzliche Software als Wecker käuflich erworben habe, diese hat ein paar nette Features die ich wohl jetzt vermissen werde.

Heute habe ich Festgestellt das jemand seinen alten Treo noch in Verwendung hat, dieser aber schon etwas gelitten hat, was nach vielen Jahren Benutzung auch kein Wunder ist. Der Palm steckt vieles weg, aber irgendwann ist auch bei dem Gerät Schluss.

Da ich seit einigen Jahren schon keine Sachen mehr auf eBay Verkaufe, sondern diese nur noch an Freunde, Bekannte und Kollegen Verschenke geht mein Palm also in gute Hände, an jemanden der diesen besser gebrauchen kann als ich. Und wo er noch die nächsten Jahren zuverlässig seinen Dienst tun kann!

Bevor mein ehemaliger elektronischer Begleiter aber seinen neuen Besitzer begrüßen darf, müssen natürlich noch die darauf enthaltenen Daten gelöscht werden.

Dies ist bei der SD Karte kein großer Aufwand, einfach mit dd überschreiben und dann im Handy neu formatieren (ich bin ja Paranoid, was nicht heißt das mich nicht doch jemand verfolgt). Den internen Gerätespeicher kann man aber nur durch einen bestimmten Vorgang zurücksetzen, was wie folgt funktioniert:

1. Akku entnehmen
2. Akku rein, und dann sofort den roten Knopf drücken und halten. Und war so lange bis der 1. Ladebalken durchgelaufen ist, und das Palm Logo wieder von neuem erscheint.
3. Roten Knopf loslassen
4. Jetzt sieht man ein Menü, wenn man die Pfeiltasten nach Oben drückt wird das Gerät als seine Daten löschen, drückt man den Pfeil nach unten wird nichts passieren.

Aus aktuellem Anlass ist es ja bei Hetzner erforderlich sein Passwort zu ändern, dabei ist mir etwas unschönes aufgefallen:

• Das Passwort darf nur 16 Zeichen haben
• Erlaubt sind nur diese Zeichen: A-Z 0-9 ! " § $ % & / ( ) - = +

Eigentlich dachte ich ja die Zeiten in denen man die Zeichen von Passwörter beschränkt wären schon lange vorbei, aber dem ist wohl nicht so. Die Länge des Passwords zu beschränken macht in der Regel, außer bei Klartextpasswörtern, auch keinen Sinn. Den aus dem Passwort wird eh immer ein Hash errechnet, und der hat eine fest definierte Länge.

Noch lustiger (oder dümmer) finde ich allerdings das die tatsächlich irgendwelche Passwörter in Klartext gespeichert haben, ich ging ja davon aus das Salted Hashs Stand der Technik wären, aber OK.

Ein wichtiges Thema in der IT, wenn nicht sogar das Kernthema überhaupt, sind ja Datensicherungen oder im neudeutsch Backups.

Das Problem mit der Datensicherung fängt schon bei der Wahl des Speichermediums an:

Disketten / ZIP

Eine endlich ausgestorbene Technik, heute sind die Probleme die Unzuverlässigkeit, Kapazität und vor allem die mangelnde Verfügbarkeit solcher Laufwerke. Eine Datensicherung auf diesen Medien ist also nichts was man in Betracht ziehen sollte.

CD / DVD / BluRay

Auch wenn man auf den ersten Blick denkt ein optisches Medium ist eine gute Idee, sollte man sich das nochmal durch den Kopf gehen lassen. Hauptproblem ist das immer wieder mal Rohlinge verbrannt werden oder eine Lesbarkeit selbst nach 1-2 Wochen nicht gewährleistet ist. Die Qualität der Medien schwankt gewaltig und die Datenmenge welche man Gesichert bekommt ist, mit Ausnahme der BluRay, für heutige Verhältnisse viel zu klein.

USB Laufwerke

USB Laufwerke gibt es angefangen vom USB Stick bis hin zu mehreren Terabyte großen Festplatten in jeder Preisklasse. Nachteil ist hierbei das die Medien empfindlich auf Überspannung reagieren und ein Anschluss am PC auf Dauer nicht sinnvoll ist, da sonst gerne mal ein Blitz Daten und Datensicherung gleichzeitig hinrichtet. Nachteil dieser Technik ist das der USB Anschluss (von Version 3.0 mal abgesehen) viel zu langsam ist um große Datenmengen zügig zu kopieren. Auch belastet eine über USB angeschlossene Platte das System deutlich mehr als eine über SATA oder IDE angeschlossene Platte.

Festplatten im Wechselrahmen

Das oben genannte Problem mit der Geschwindigkeit kann man einfach mit Festplatten in einem Wechselrahmen umgehen, diese sind an die SATA Schnittstelle angeschlossen und können daher auch große Datenmengen schnell übertragen. Auch die eSATA Schnittstelle eignet sich hier prima, ist aber nicht immer verfügbar. Da es sich beim Datenträger um normale SATA Platte handelt ist, zumindest für die nächsten 4-5 Jahre eine Anschlussmöglichkeit in jedem Standard-PC vorhanden, über entsprechende Adapter auch an USB, FireWire oder eSATA.

Ignorieren wir, aus technischen Gründen, einfach mal die optischen Laufwerke so haben wir noch Festplatten über USB oder intern zur Auswahl. USB Sticks dürften für die meisten Anwendungen zu Teuer pro Gigabyte sein.

Jetzt haben wir noch ein Problem, das leider immer wieder Leute vergessen: Alles was mit dem Stromnetz verbunden ist, sei es direkt oder indirekt wird unter Umständen durch einen Blitzeinschlag zerstört. Selbst externe Platten die neben einer Leitung liegen können durch Induktionsspannungen zerstört werden. Eine Datenrettung für kleine Firmen oder Privatpersonen ist unbezahlbar, daher ist es wichtig wie man mit den Sicherungsmedien umgeht. Nachfolgend hierzu ein paar Tipps:

1. Ein Datenträger der mit dem Rechner Verbunden ist (USB, eSATA, SATA, Strom, Netzwerk, ...) ist kein Sicherungsmedium da dies bei vielen Problemen mit zerstört wird. Auch ist ein löschen der Daten aus versehen möglich.
2. Man hat immer mindestens 2 Backups seiner Daten, auf unterschiedlichen Datenträgern, welche nicht am selben Ort gelagert sind.
3. Daten die nicht gesichert sind, sind auch nicht wichtig.
4. Datensicherungen macht man immer automatisch, der Mensch vergisst Datensicherungen zu machen, nicht gesicherte Daten sind auch nicht wichtig.
5. Vor großen Änderungen (Betriebssystem Installation, neues Dateisystem, ...) macht man immer vorher ein Backup.
6. Sicherungsmedien werden regelmäßig geprüft, dies gilt für das Medium (SMART, badblocks, ...), das Dateisystem (fsck) und auch für die Nutzdaten.
7. Das Datensicherungsprogramm sollte Dateien immer einzeln Komprimieren und/oder Verschlüsseln, nie alle Dateien auf einmal wie es z.B. tar macht. Das Problem ist das bei einem einzigen kaputten Bit schon das komplette Backup unbrauchbar sein kann. Moderne Backup Tools wie dar (kein Schreibfehler!) erledigen diesen Job richtig.
8. Nicht nur die Daten, sondern auch die Rechte an den Daten sind oft wichtig, daher sollte das Backuparchiv oder Dateisystem die gleichen Rechte unterstützen wie das Quelldateisystem.

Ich selbst habe hierzu 2 SATA Festplatten in einem Wechselrahmen, jede Kalenderwoche werden diese Platten getauscht. Einmal täglich machen die PCs automatisch ein Backup auf diese Platte, die jeweils nicht eingebaute Platte wird in einem anderem Raum gelagert um zu vermeiden das alles an einem Ort ist. Die Platten werden durch ein Script auch jede Woche geprüft!

Nachteil dieser Lösung ist der Kostenaufwand im Vergleich zu einer USB Festplatte, Vorteil ist das ich nie mehr als eine Woche an Daten verliere. Außer ein Einbrecher würde kommen und mein Haus nach allen Laufwerken absuchen und mir alle Medien auf einmal klauen. Anderes Worst-Case Szenario das ich so nicht abdecke wäre ein Hausbrand, was jedoch hoffentlich nicht vorkommen wird.

Ich selbst habe ja kein richtiges Notebook mehr da Netbooks eher meine Anwendungszwecke abdecken. Idr. brauche ich mein Notebook nur um, wenn ich unterwegs bin mal meine Mails zu checken, ins IRC/Jabber zu gehen oder um Webanwendungen zu nutzen (DSL-Router, Google, ...). Meistens arbeite ich auf dem Terminal, und dafür reicht die Performance von einem Atom Prozessor aus, selbst in meinem Homeserver habe ich mittlerweile nur noch einen Atom CPU.

Doch was mich daran stört ist die Leistung des Prozessors wenn man Verschlüsselung nutzt, die ist nämlich sprichwörtlich Unter aller sau!.

Seit einiger Zeit gibt es ja nun Prozessoren mit AES-NI (AES Verschlüsselung via CPU Erweiterung) welche aber bisher den sagen wir mal premium Modellen bei Intel vorbehalten ist. Das sind Prozessoren die ohnehin viel mehr Leistung haben als z.B. ein Atom. Schön wäre es daher wenn es Atom (oder ähnliche) Prozessoren geben würde die über derartige Befehlssatzerweiterungen verfügen.

Bei meinem aktuellen Netbook (Asus EEE PC 1000HE) stört mich auch die fehlende HDMI Schnittstelle, das ist jetzt nichts wo besonders wichtig ist, aber nervig ist es trotzdem wenn man mal am Flatscreen Videos abspielen will. VGA Kabel nehmen einfach zu viel Platz weg ;-)

Daher meine wünsche für mein nächstes Netbook:

1. AES-NI oder ähnliche Technik, damit die Vollverschlüsselung endlich mal performant wird
2. HDMI damit man endlich mal mit brauchbarer Technik große Monitore ohne Qualitätsverlust anschließen kann

Was würde euch noch bei den Netbooks fehlen?

Bei Android ist ja Standardmäßig kein CACert im Zertifikatsmanager als Root-CA hinterlegt.

Bei vielen Webdiensten ist ein Verzicht auf ordentliche HTTPS-Sicherheit vielleicht noch akzeptabel, spätestens bei Mails auf dem eigenen Server aber vollkommen inakzeptabel!

Man hat nun verschiedene Möglichkeiten das Problem zu lösen:

• CACert Root Certificate in den Zertifikatsmanager importieren: Umständlich
• VPN verwenden: Möglich
• IMAP über SSH mit ConnectBot tunneln: Einfach

Das Tunneln über ConnectBot geht natürlich nur wenn man Shellzugriff auf den Server hat, was bei einem eigenen Rootserver ja der Fall ist.

Man richtet sich ConnectBot ganz normal, wie jeden anderen SSH Clienten ein. Ich selbst bevorzuge ein Passwortloses Login über das integriert Public Key Verfahren welche mit einer Passphrase geschützt sind.

Im nächsten Schritt baut man den Tunnel auf, hierzu einfach auf die Verbindung im ConnectBot gehen (langer Druck mit dem Finger) und dann die Portforwardings bearbeiten, folgende benötigen wir für IMAP und SSH:

• SMTP von 1125 auf 127.0.0.1:25
• IMAP von 1143 auf 127.0.0.1:143

Sobald man jetzt eine Verbindung zu diesem Host aufbaut wird automatisch auch die Portweiterleitung aktiviert. Im Mailclient wird jetzt immer 127.0.0.1 (alternativ auch gerne localhost) als Server verwendet, der Port für IMAP ist dann die 1143 und für SMTP nimmt man 1125. Die Verbindung zum Server ist aber nicht Verschlüsselt, das übernimmt ja der gute alte ConnectBot für uns. Ob man für den Postausgangssserver (SMTP) ein Passwort benötigt kommt auf die Konfiguration des Mailservers an, oft benötigt man kein Login wenn man über SSH zugreift, da es sich dann um eine lokale Verbindung hat die meistens in der my_networks vom Postfix schon erlaubt ist.

Abgesehen davon kann man den Mailclient wie gewohnt verwenden und konfigurieren, einen Nachteil möchte ich aber nicht verschweigen: Automatische Mailchecks oder Aktionen die ausgeführt werden wenn kein ConnectBot im Hintergrund läuft funktionieren mit dieser Lösung natürlich nicht. Wird dies benötigt muss man also auf den umständlichen Weg das CACert Certificate importieren.

Schöner fände ich es wenn man Root-CAs einfacher importieren könnte, und nicht dieses umständlichen Weg gehen müsste, der noch dazu Root Rechte erfordert! Leider kann Android auch kein OpenVPN ohne Root, so macht das mit einem VPN natürlich auch keinen Spaß :-(

Ein guter Link den ich erst heute wieder gefunden habe: Link

Der sollte so einige Fragen zu Verschlüsselung beantworten, gerade für Einsteiger ist das immer wieder ganz nett. Neulich gab es hierzu ne Diskussion im Forum von Ubuntuusers (Link natürlich vergessen).

Momentan gibt es im Linux Kernel 4 Sicherheitserweiterungen die alle mehr oder weniger eine MAC (Mandatory Access Control) nachrüsten. Diese sind:

• SELinux
• SMACK
• TOMOYO
• AppArmor

SELinux wird schon immer von Fedora/RedHat/CentOS verwendet, das sind auch die Leute welche hinter diesem System stehen. Die Anpassung ist natürlich bei diesen Distributionen am besten. SELinux benötigt einige Anpassungen im Userspace, was mich persönlich etwas stört.

SMACK habe ich mir bisher noch garnicht angesehen, ggf. hat jemand schon damit Erfahrungen gemacht. Soweit ich weis ist es aber auch bei keiner Distribution Standard, und auch SMACK benötigt einige Anpassungen im Userspace.

TOMOYO ist seit 2.6.30 im Kernel dabei, das ganze ist eine relativ junge Sicherheitserweiterung bei der noch einige Features fehlen. Der IMHO größte Vorteil von TOMOYO ist dass man einen schönen Live Editor (tomoyo-editpolicy) hat, mit diesem kann man den Learning Mode von TOMOYO prima überprüfen und auch neue Regeln eintragen sowie alte Löschen. Die Userspace Tools von TOMOYO sind relativ klein, so dass man fast nichts nachinstallieren muss.

AppArmor ist ein etwas älterer bekannter, welcher mit Kernel 2.6.36 auch endlich Einzug in den Standardkernel erhält. Unschön an AppArmor finde ich dass die Userspace Tools etwas fett sind, dies fällt einem aber erst auf wenn man sie zum Beispiel unter Arch installiert und massig Abhängigkeiten nachinstalliert werden.

Problematisch finde ich eigentlich nur das viele Distributionen unterschiedliche Sicherheitserweiterungen installieren. Ohne einen Standard werden viele Leute sowas einfach nicht einrichten wollen, da man es für jede Distribution neu lernen darf. Ubuntu hat z.B. AppArmor, Fedora SELinux und Arch kann TOMOYO und AppArmor, openSuSE wiederum verwendet auch AppArmor, usw...

Wenn jetzt noch GRSecurity in den Kernel kommt haben wir alle Sicherheitserweiterungen die mir bekannt sind im Kernel, doch keine einzige die irgendwie ein Standard wäre. Schade eigentlich, da geht viel Potential verloren... :-/

Gerade für Serverdienste wäre das erstmal wichtiger als Unity, Themes oder Wallpapers!

Laut Golem hat der E-Postbrief der Deutschen Post 1.000.000 Anmeldungen. Ich finde es erschreckend das sich wirklich so viele bei so einem dämlichen Dienst angemeldet haben.

Am coolsten fand ich am Artikel dieses Zitat: E-Postbriefe sind auf ihren elektronischen Kommunikationsstrecken zwischen Absender und Empfänger verschlüsselt.

Das muss man sich mal auf der Zunge zergehen lassen, die haben doch gar keine End2End Verschlüsselung wie GPG oder S/MIME im Einsatz!

Wer jetzt glaubt das man bei dieser komischen DE-Mail viel besser dran ist: Vergesst auch diesen Dienst einfach, Danke.

Der Grund ist ganz einfach: Eine Verschlüsselung und Signatur der Nachricht auf dem Server ist einfach nur sinnlos. Ein Trojaner auf dem Rechner kann so prima Signierte Mails erzeugen, gleichzeitig haben so wohl auch verschiedene Behörden die Möglichkeit an die eigentlich verschlüsselten Daten ohne großen Aufwand zu kommen.

Sowohl DE-Mail als auch dieser E-Postbrief ist also ein Produkt das nur Sachen ersetzt die man eh schon seit langem für die sichere Kommunikation verwendet, dafür auch noch Geld zu verlangen ist schon fast etwas dreist!