Wie aus Bildern Freunde werden

Seit über acht Jahren lade ich inzwischen für jeden Tag ein Bild bei DailyFratze hoch. Aus den Bildern der anderen dort sind über die Jahre Menschen geworden. Und mit der Zeit wurden aus Menschen Freunde. Freunde, die jeden Tag etwas von sich mit mir teilen. Freunde, die mir schreiben und mit denen ich nur selten Rede. Freunde, die mich auf eine ganz eigene Art- und Weise an ihrem Leben teilhaben lassen.

Zur Geburt unserer zweiten Tochter Merle haben wir ein Paket mit Geschenken bekommen. Viele von Euch haben sich zusammengetan um uns eine Freude zu machen.

DSC00905

Danke für diese Gesten. Danke für die Überraschung. Danke für die Freude die Ihr uns schenkt. Danke, dass es Euch gibt.

Ein Versuch #Heartbleed fuer nicht-Techniker verstaendlich zu machen

heartbleed

Eigentlich sollte ich keine Zeit haben zu schreiben, aber das ist die mit Abstand krasseste Sicherheitsluecke die es seit langem gegeben hat. Das Ausmass kann man nur erahnen, im Prinzip muessen alle persoenlichen Daten auf einem System das den Fehler hatte als unsicher erachtet werden. Es reicht nicht die gepatchte Version von OpenSSL einzuspielen und die betroffenen Prozesse wie Apache, Postfix, Dovecot oder OpenVPN neu zu starten. Es muessen private Schluessel und Zertifikate erneuert werden und wer den Konsequenzen der Luecke klar ins Gesicht schaut wird auch ueberall Passwoerter neu setzen muessen.

Heute beim Kaffee und Kuchen fragte unsere Nachbarin wie man sich das vorstellen koennte und ich habe versucht es wie folgt zu erklaeren:

Stell Dir vor auf dieser Welt gibt es einen Hersteller fuer Haustuerschloesser. Dieser Hersteller baut sehr sichere Schloesser und man kann sich darauf verlassen, dass wenn man seine Haustuer mit einem Schloss dieser Marke schuetzt, dass dort nicht eingebrochen werden kann. Das Schloss ist in diesen Fall OpenSSL, und das Haus der Server selbst.

Vor ein paar Jahren gab es dann den Trend zu sogenannter Perfect Forward Secrecy. Im uebertragenen Sinne kann man sich das so vorstellen, dass das Schloss kontinuierlich neue Schluessel generiert die jedes mal anders sind. Gelangt also mal ein Haustuerschluessel in die falschen Haende, dann kann man damit trotzdem nichts mehr anfangen, weil das Schloss sich geaendert hat.

Die Sicherheitsluecke in OpenSSL erlaubt es, das man von extern, ohne, dass man auf den Server einbrechen muss, an sehr sehr private Daten gelangen kann. Das koennen Zugangsdaten sein oder auch der private Key, mit dem man sich dann fuer den Server ausgeben kann ohne eben dieser zu sein.

Wenn man das wieder auf den Schlosshersteller und das Haus zurueckbringt, dann stelle man sich vor, das man zu jedem Haus mit einem Schloss von diesem Schlosshersteller hingehen kann, und ohne einzubrechen bekommt man die Information wie das Schloss jetzt Schluessel generiert. Man muss nichts stehlen, man muss nichts kaputt machen, man geht einfach hin und fragt und das Schloss sagt es einem.

Auch wenn in dem Beispiel viele Dinge vielleicht als Vergleich hinken, es zeigt ziemlich einfach welche Tragweite die Sicherheitsluecke hat. Man kann ja von aussen nicht sehen „ob jemand vorbeigekommen ist und gefragt hat wie sich das Schloss aendert oder nicht“. Aus diesem Grund muss man alle Server auf denen OpenSSL in der betroffenen Version eingesetzt wurde als unsicher betrachten. Der Fehler existiert seit dem 14. Maerz 2012 und man muss also davon ausgehen, dass es Menschen / Organisationen gibt, die seit zwei Jahren in alles rein gucken konnten was man irgendwie sichern wollte.

Fuer Sysadmins ist das der Supergau…

Eine ganz gute Zusammenfassung zu dem Thema gibt es bei Golem:

Weitere Infos:

Wer seine eigene Infrastruktur testen moechte (Router, NAS, Drucket etc) kann mit dem heartbleeder lokale IP Adressen probieren und findet dann auf einschlaegigen Seiten wie Packetstormsecurity die entsprechenden Exploits…

Phorm – Opt-Out fuer Websitebetreiber!

Phorm finde ich so ziemlich das perverste was die IT-Welt seit langem hervorgebracht hat. In einem Satz zusammengefasst:  Der Internettraffic wird auf seitens des Internetproviders analysiert und entsprechende personalisierte Werbung geschaltet. Noch viel schlimmer finde ich, dass das System „Opt-Out“ und nicht „Opt-In“ ist. Der Unterschied ist folgender: Opt-Out bedeutet, dass ich automatisch teilnehme, nur wenn ich wiederspruch einlege werde ich ausgenommen. Opt-In ist genau andersrum, ich nehme erst teil, wenn ich dem ganzen explizit zustimme.

Ich wohne nicht in Grossbritanien und kann deswegen leider meinen Opt-Out gegenueber dem Provider nicht bekannt geben, aber mir gehoeren Domains, und weil Amazon und Wikipedia einspruch eingelegt haben, dass deren Domains zur Trafficanalyse herangezogen werden, hab ich mir gedacht, das ich das auch kann. Ich habe zwar so gut wie keine Besucher aus Grossbritanien, aber es geht mir hier ums Prinzip. Von daher auf Basis dieser Mail der Wikipedia nun meine:

Date: Fri, 17 Apr 2009 11:19:46 +0200
From: =?ISO-8859-15?Q?Jan_T=F6njes?= <jan.toenjes@web.de>
To: website-exclusion@webwise.com
Subject: Phorm opt-out for my domains

To whom it may concern --

I requests that my web sites and all related domains be excluded from
scanning by the Phorm / BT Webwise system, as I consider the scanning
and profiling of our visitors' behavior by a third party to be an
infringement on their privacy.

Here is a list of our domains which should be excluded (please exclude
any and all subdomains as well):

   pregos.info
   kmess.org
   jan-toenjes.de

Thank you for your time.

Jan Toenjes

Genau wie Wikipedia habe ich auch gleich eine automatische Antwort erhalten:

Subject: Publisher Exclusion Request Autoreply
Date: Fri, 17 Apr 2009 02:20:05 -0700
Thread-Topic: Phorm opt-out for my domains
From: "website-exclusion" <website-exclusion@phorm.com>
To: =?us-ascii?Q?Jan_Tonjes?= <jan.toenjes@web.de>
Sender: website-exclusion@phorm.com

Thank you for your submission to the Phorm website exclusion list. If
there are no obvious grounds to doubt the legitimacy of the request the
URL will be blocked as soon as possible, usually within 48 hours.

Requests must be made by the legitimate owner of the domain. If we have
questions regarding your domain Phorm may take a number of steps,
including attempting to contact the domain administrator by email for
confirmation of this request. If the request remains questionable and is
not confirmed within 10 days, the URL will be removed from the exclusion
list and an email will be sent informing you of this decision.

Where applicable, please ensure that the Administrative Contact details
for this domain are up to date. If you need to update them, please
resubmit your request when the amended details are visible in the WhoIs
database - (use a public whois service such as
http://who.godaddy.com/whoischeck.aspx if you are unsure it has been
updated)

Wichtig ist wohl, dass die Mailadresse von der die Opt-Out Mail geschickt wird, gleich den Kontaktdaten im DNS entspricht.