So, sobald dieser Blog-Eintrag sichtbar ist, ist der technische und physikale Untergrund der Seite ausgetauscht worden.

Grund war weniger der Platz für normale Web-Seiten, sondern dass ich meinen “alten” Server noch für vieles andere brauchte (Repo-Server, Build-Server, Sync-Server), und der Platz dafür zu klein wurde.

Nun, für die nächsten paar Jahre wird dieser Server sicher reichen, und der alte darf nach etwas mehr als 2 Jahren in Rente.

Ein riesiger Vorteil hat der Umzug auf jeden Fall: Ich hab wiedermal eine praktische Übung was man auch bei einem reinen Umzug von einem Debian-Server zum nächsten alles beachten muss VHost-Configs, Ordnerstrukturen, Rechtevergabe um die täglichen Sachen zu nehmen. Und: Datentransfer. Auch bei 100MB Anbindung zwischen den Servern dauert es manchmal ne Weile.

Zudem ist der Umzug ein zwingender Grund unschöne Configs zu überarbeiten, für das man bis dato zu Faul war. Nun kann ich sagen: Done bei 98%. Einzig gitosis macht mir jetzt noch sorgen… Aber auch das krieg ich irgendwie hin, dass die Nutzer nichts davon merken. Oder fast nichts…

Heute ist wieder SysAdmin Day. ^{1 2} Und was ist der SysAdmin Day? Nun, Ziel ist es in das Bewustsein aller Abhängigen zu rufen, dass ohne SysAdmins kein Internet, kein Server und kein Computer läuft. Und wenn doch immer alles läuft, ist es an der Zeit dem IT-Personal zu danken. Sie sind meistens Schuld, wenn alles rund läuft, und diejenigen, welche rennen falls jemand wiedereinmal alle Ordner auf dem Server löscht.

Seit Dienstag, 17.Februar plagt die ganze FHNW dasselbe Problem: Alle wichtigen Portale der FHNW funktionieren nicht mehr. Das betrifft unter anderem elementare Sachen wie:

• Mail (Exchange)
• Webportale für diverse Module und Unterrichte
• diverse Dateiserver
• Zugriffsberechtigungen für Schweizweite Studentenschnittstellen (AAI, Switch-Login)

Auch die Information der betroffenen wurde verspätet in Angriff genommen, und im Moment nicht so aktuell gehalten wie an diversen Stellen versprochen. Jedenfalls scheinen die Problemen relativ gravierend, dass gleich die komplette FHNW ein Problem zu haben scheint.

Jedenfalls ein schlechtes Statement für eine Fachhochschule, welche auch ein Studiengang in Informatik betreut. Oder sind einfach die falschen Personen an den wichtigen Entscheidungsstellen?

Jedenfalls bleibt mir nur das Warten und Hoffen auf eine schnelle, und nachhaltige Lösung…

Infos über den Ausfall:
www.fhnw.ch/status

Oder auch: Wenn der biometrische Pass nicht sicher ist

Da denkt man als Informatiker, die Industrie habe dazugelehrnt, dass veraltete Verschlüsselungsalgorythmen nie sicher sind. Und nun lese ich auf heise.de, dass einer dieser Schlüssel bei RFID eingesetzt wurde.

Nun, zuerstmal: Was ist RFID und was hat das mit dem Pass zu tun?

RFID ist die Abkürzung für Radio Frequency Identification, was in etwa mit Identifikation mit elektromagnetischen Wellen bedeutet. Oder auch anders ausgedrückt: Datenaustausch ohne aktives zutun des Karteninhabers. Um dem ganzen auch ein Gesicht zu geben: Ein Chip, von dem Daten gelesen werden können, ohne dass sie die Karte aus dem Portmonee nehmen müssen, z.B. ein Türöffner, ein Personalausweis, oder eben auch der neue biometrische Pass.
Auf diesem werden die Daten, die elektronisch gespeichert sind, auf einem solchen RFID-Chip abgelegt sein, damit das Auslesen einfacher geht.

Nun die Problematik der Geschichte: Eigentlich sollten die Daten zwischen Lesegerät und Chip verschlüsselt stattfinden, und nur zugelassene Lesegeräte dürften den Chip auslsen. Leider haben wohl ein Hersteller zuwenig darauf geachtet, und einen alten und schon geknackten Verschlüsselungsalgorythmus genommen. Das war im März dieses Jahres, der Hersteller hat Verbesserung (nachdem unabhängige Personen die Firma auf diesen Missstand aufmerksam machen mussten!) versprochen, und eine verbesserte Variante herausgebracht. Aus Kompatibilitätsgründen können die neuen Chips aber mit alten Lesegeräten immer noch auf diesem Weg kommunizieren. Jetzt kursiert aber im Internet schon ein Programm, welches es Personen mit Programmierkenntnissen das Auslesen von Chips auf Distanz (ca. 1-2m) relativ einfach macht. Diese ausgelesene Daten können für alles gebraucht werden, wofür der Orginalchip gedacht war.

Und der biometrische Pass, der kommen soll? Leider wissen wir nicht, was für ein Chip darin ist, und welche Verschlüsselung er hat. Aber zumindest die Daten können, wenn auch verschlüsselt, 1:1 kopiert werden. Und RFID-Chips können 1:1 kopiert werden, was dem Missbrauch Tür und Tor öffnet.

Falls sie schon einen biometrischen Pass haben, empfehle ich ihnen, ihn immer in Alufolie einzupacken, und nur bei gebrauch auszupacken. RFID-Chips senden in der Regel nicht von sich aus, d.H. dem Chip kann in der Folie nichts passieren.

OpenVPN ist ja, wie der Name schon sagt, eine offene VPN-Implementation. Trotz dem gibt es Tücken unter vielen Linuxdistributionen, welche mit dem NetworkManager arbeiten. Genauer, wenn die gelieferte Zertifikatsdatei eine pk12-Datei ist, wofür der NetworkManager noch keine Verwendung findet.

Die Lösung hab ich in einem anderen Blog gefunden:
http://www.treg.be/blog/

• Das CA-Zertifikat extrahieren:
  openssl pkcs12 -in client.p12 -out client.pem
• User-Zertifikat extrahieren:
  openssl pkcs12 -in client.p12 -out client.crt -clcerts -nokeys
• Den Privatschlüssel extrahieren:
  openssl pkcs12 -in client.p12 -out client.crt -clcerts -nokeys

Danach das ganze in etwa wie im nebenstehenden GUI für die openVPN-Konfiguration eingeben, speichern, und fertig. Noch zur Vollständigkeit: Beim 1. und 3. Schritt müsst ihr zuerst euer Passwort für den Key eingeben, und 2x ein eigenes für den PrivateKey.

Eine Meldung die sogar eine deutsche Heise-Verlag zu einem Artikel veranlasst hat: Wir können als einziges Land über die biometrische Reisepässen abstimmen. Das Referendum ist ohne grossen Medienputsch zu einem guten Resulatat von 63′733 gültigen Unterschriften gekommen.

Wir haben nun die Möglichkeit als einziges Land zu entscheiden, ob in Zukunft Pässe (und indirekt auch die ID) zwingend mit biometrischen Daten zu versehen sind, oder ob der einzelne Bürger dies frei entschieden darf.

Nun, man mag sich fragen, was din überhaupt biometrische Daten? Im momentanen Entwurf gehören unter anderem dazu:

• digitaler Fingerabdruck
• digital aufbereitetes Foto

Welche weiteren Daten auf dem RFID Chip noch enthalten sind, enzieht sich meiner Kentnisse. Und somit ist auch schon das 2. Problem angesprochen: RFID-Chip. Ein RFID-Chip ist ein Datenspeicher, aus dem ohne Berührung Daten ausgelesen werden können. D.H. ich muss den Pass oder die ID gar nicht aus der Tasche nehmen, es reicht wenn ich durch eine Schranke, analog von einer Metalldetektionsschranke, hindurchlaufe, und die Daten werden ohne mein zutzun ausgelesen. Eigentlich braucht es nicht mal eine Schranke, je nach technischer Reife der Auslesegeräte kann das auf mehrere Meter abstand passieren. Was somit dem Identitätendiebstahl Tür und Tor öffnet.

Nun, alle guten Dinge sind ja drei, wollen wir das auch hier so halten: Der 3. Punkt ist die gewünschte Datenbank, in der alle Daten, die in den RFID-Chip eingepflanzt werden, gespeichert werden. Das ist so an sich ja auch noch nicht schlimm, aber lässt dem Informationsrausch der heutigen Zeit weitere Begehrlichkeiten erhoffen. So wäre es eigentlich nicht weiter schwierig, aus den verschiedenen Krankenkassen die Daten zu ihrer einzigen Identität hinzuzufügen, aus dem Strafregister auch noch eine Verknüpfung herzustellen, und aus der Steuerverwaltung auch gleich ihre Liquidität überprüfen.

Dazu abschliessend noch dieses Szenario aus der Diplomarbeit von Halil Özel:

Pizzalieferant Marly: Pizza Palace Lieferung in 30 Min. oder Geld zurück, mein Name ist Marly wie lautet ihre Bestellung? Mr. Kelly: Hi Marly, ja, ich möchte bestellen… Marly: Mr. Kelly, richtig? Mr. Kelly: aaa…. Ja…Marly: Danke, dass Sie wieder anrufen, Ihre nationale Identifikationsnummer lautet: 6102049998 – 45 – 54610 richtig? Mr. Kelly: aaa….. ja.

Marly: Danke Mr. Kelly, ich sehe Ihre Adresse lautet 736 Montrose Court und Sie rufen von ihrem Handy aus an, sind sie zu Hause? Mr. Kelly: aaa… nein, ich bin auf der Arbeit Marly: Oh wir können zu Bobs Autoteile liefern, 175 Lincoln AVE richtig? Mr. Kelly: Nein, ich bin auf dem Weg nach Hause, woher wissen Sie das alles? Marly: Oh wir sind jetzt mit dem System verbunden Mr. Kelly: Hm… ich möchte 2 Ihrer Spezialpizzen mit doppelt Fleisch bestellen.

Marly: O.k., darauf gibt es aber 20 Dollar Aufpreis Mr. Kelly: Was meinen Sie? Marly: Laut dem System zeigen Ihre medizinischen Daten, dass Sie einen extrem hohen Blutdruck und Cholesterinspiegel haben. Wir haben einen Vertrag mit ihrer Krankenversicherung, sodass Sie die Pizza bestellen können, wenn Sie schriftlich auf alle diesbezüglichen Krankenkassenzahlungen verzichten Mr. Kelly: Was? Marly: Stimmen Sie zu? Sie können die Verzichtserklärung bei der Lieferung unterschreiben, es kommen aber Verwaltungsgebühren dazu, das Ganze macht 67 Dollar. Mr. Kelly: 67 Dollar? Marly: inklusive 15 Dollar Aufschlag für das Liefern in einer orangefarbenen Gefahrenzone Mr. Kelly: Ich lebe in einer orangenfarbenen Zone? Marly: Natürlich, da war ein weiterer Überfall in Ihrer Straße gestern, hmmmm… Sie könnten 48 Dollar sparen, indem sie unsere Gemüsepizza bestellen und sich die Pizza selber abholen. Es sind Tofustäbchen dabei, sehr lecker und gesund. Mr. Kelly: Aber ich möchte doppelt Fleisch!

Marly: Dann können Sie sich auch die 67 Dollar leisten, … Sie haben eben Tickets nach Hawaii bestellt, die waren auch nicht billig, aaa… ich sehe gerade, Sie haben letzte Woche das Buch „Sparen im Urlaub ausgeliehen“, Ihre Entscheidung! Mr. Kelly: O.k., o.k. ich nehme die Gemüsepizza Marly: Gute Wahl, Sie müssen auf ihre Linie achten wenn Sie an den Strand wollen. Ein Meter Bauchumfang he? Wow.. da haben Sie das Gemüse nötig. Mr. Kelly: (Genervt) Wie viel macht das? Marly: Es gibt ein Rabatt-Coupon über 3 Dollar in der aktuellen Ausgabe von Total Men´s Fitness, ihre Frau abonniert die, oder? Das macht dann zusammen 19.99 Dollar. UPS.. alle ihre Kreditkarten sind am Limit, halten sie Bargeld bereit.“

Gut einen Tag nach der Meldung, sind auch auf der offiziellen Seite die Links und Beschriebe nachgetragen.

Nur: Wer jetzt (Mo, 13 August, 20:20) auf die Webseite will, muss mit Geduld üben. Es wollen wohl alle das neue OpenOffice.

So, OO.org ist endlich fertig. Zwar zeigt die Webseite noch das RC4 an, aber auf den Mirrors gibt es das Release zum Teil schon. Im Moment zwar nur auf US-Englisch, aber Deutsch wird sicher bald kommen.

Ansonsten für alle ungeduldigen: Runterladen, Languagepack darüberziehen, und gut ist

Ich habe vor ein paar Tagen KDE 4.2 installiert. Stur nach der Anleitung für Gentoo.
Auch wenn es noch klare Beta ist, bin ich erstaunt, dass es ziemlich Stabil läuft. Aber einiges merkt man der Version schon an:

• Je nach Hardware hat man z.T. etliche Performance-Probleme. Dazu empfehle ich folgende Links:
  • Bei NVIDIA-Grafikkarten
  • Allgemein
• Es fehlen z.T. noch Programme, die es bei 3.5.10 gibt. Nun, an sich laufen die Programme auch unter KDE 4.2, nur muss man sie z.T. manuell über die Shell öffnen, oder den PATH anpassen.

Ist etwas umgewöhnung, aber der Style und die neue Menüführung gefallen mir. Jetzt muss NVIDIA noch die Performance verbessern, die KDE-Entwickler die fehlenden Programmen portieren, und gut ist.

Zuerst: Das iPhone sieht schon grossartig aus, und die Bedienungsoberfläche ist ein Geniestreich der Entwickler. Es ist wirklich einfach zu bedienen, sieht gut aus, läuft relativ stabil, und hat etliche interessante Spielereinen.

Aber: Läuft man nicht in Gefahr, persönliche Daten (Telefonbuch, SMS, Dateien) unkontrolliert weiterzugeben? Nur Panik? Bin mir da nicht so sicher.

• Phishing-Atacken auch auf dem iPhone
• Langsame Updateaktualisierung
• Lücken in der Sperre

Mein Favorit sind aber die automatisch angelegten Screenshots. Jetzt fehlt, das noch jemand herausfindet, das Apple bei vorhandenem WLAN die Screenshots automatisch abgleicht. Falls es das noch nicht gibt, kommt es bestimmt.