I finally had the time to cleanup this blog. I removed jekyll-bootstrap entirely and switched to plain old jekyll. This has been on my mind for a quiet some time, but I finally did it. YAY.

Besides removing a big dependency and unnecessary complexity, I also had the chance to switch to a brand new theme, with proper mobile support.

Hopefully the new version inspires me to write some more posts, so that this page has some up2date and hopefully more software related information.

Es ist nun ca. zwei Wochen her, dass ein sehr kritischer Softwarefehler in der Verschlüsselungssoftware OpenSSL bekannt wurde. Die Schwachstelle wird als Heartbleed-Bug oder einfach Heartbleed bezeichnet. Ich möchte neben einer kurzen Zusammenfassung des Problems, einige Empfehlungen für Internernutzer festhalten. Direkt zur Empfehlung

Hintergrund

Die Schwachstelle wurde am 08.04.2014 durch das einspielen eines Patches, der diese behebt, bekannt. Sie besteht allerdings bereits seit 2012 und ermöglicht es, alle Daten, die zu jemand an einen betroffenen Servern übertragen hat zu entschlüsseln. Dies betrifft sowohl in der Vergangenheit aufgezeichnete, aber auch aktuelle Daten. Betroffen waren mindestens laut Schneier on Security ca 500.000 Seiten, zu denen u.A. auch gmx, web.de, google, facebook, gmail, twitter, instagram, dropbox, yahoo und godadday gehören. Hier gibt es eine Übersicht dazu. Wer die Schwachstelle verstehen möchte, sollte sich folgende Artikel anschauen:

Nach ca einer Woche hat cloudflare eine sog. Heartbleed Challange gestartet, deren Ergebnis gezeigt hat, das der Worse-Case, den ich oben beschrieben habe, praktisch möglich ist. Nachdem endgültig klar war, wie ernst die Schwachstelle zu nehmen ist, tauchten auch erste Hinweise auf, dass die Schwachstelle bereits 2013 ausgenutzt wurde. Am 14.04.2014 gab es dann hinweise, dass Daten beim kanadischen Finanzamt ausgelesen werden konnten. Da noch immer nicht alle Server aktualisiert waren, zeigte sich am 17.04.2014, dass noch immer 1000 Tor-Exitnodes betroffen sind. Leider sind bis heute noch immer nicht alle Server aktualisiert. Nicht nur die o.g. Tor-Nodes, sondern sehr viele Server, vor allem von kleine Firmen, haben Ihre Server noch immer nicht aktualisiert. Am 11.04.2014 verwies Schneier.com 3 auf diesen Artikel der klärt, wie man neben Servern auch Clients angreifen kann, die von dieser Schwachstelle betroffen sind.

Empfehlungen

Empfehlungen für jeden Benutzer

  • Ändern der Zugangsdaten, die man bei den betroffenen Diensten verwendet hat. Dies gilt neben http auch für Email und VPN Zugänge.
  • Wenn man unsicher ist, ob die Website, die man mit SSL betreibt sicher ist, kann man einen Live-Test durchführen. Sollte Sie noch immer betroffen sein, macht euch klar, dass jeder die Zugangsdaten jetzt oder in der Zukunft mitlesen kann.
  • Prüft euren Browser, ob er Zertifikats-Annullierung ( “Certificate Revocation” ) unterstützt. Euer Browser verhält sich korrekt, wenn ihr bei dieser Website, einen Fehler erhaltet. Wenn Ihr sie normal sehen könnt, bitte den Browser aktualisieren oder einen anderen verwenden.
  • Linux und Unix Benutzer sollten prüfen, ob Sie OpenSSL in einer betroffenen Version installiert haben. Sollten Ihr System betroffen sein, sollten Sie OpenSSL dringend aktualisieren.

Zusätzliche Empfehlungen technisch versierte Benutzer

  • Prüft zusätzlich, ob die Seite von Heartbleed betroffen war und ob das SSL-Zertifikat erneuert wurde.
  • Nehmt IT-Sicherheit wirklich ernst

Zusätzliche Empfehlungen für Server-Admins

Da bei weitem nicht alle Server aktualisiert wurden, möchte ich auch das Offensichtliche sagen:

  • Aktualisiert betroffene OpenSSL Versionen auf eine sichere Version. ( z.B. 1.0.1g statt 1.0.1a-f)
  • Tauscht alle Zertifikate, die auf den betroffenen Servern liefen. Und zwar mit einem neuen Private-Key
  • Informiert alle betroffenen Nutzer, dass sie ihre Zugangsdaten sollen.

Hinweis an gmx,web.de,… Nutzer

Durch das Anpassen der Zugangsdaten, kann man neben dem Heartbleed Problem auch gleich auf das jüngesten Ershceinen von 18.000.000 Emailkennwörtern reagieren.

Quellen

Duckduckgo ist eine Internetsuche, die es zum Ziel hat, die Privatsphäre der Nutzer zu wahren. Die wichtigsten Details findet man direkt auf der Duckduckgo About Seite. Dabei geht es vor allem um Tracking und sog. Filterblasen, bei denen die Ergebnisse auf Basis von Profilen auf Benutzer zugeschnitten werden. Das About-Video ist dabei ein guter und einfacher Einstieg. Für eine einfache Nutzung gibt es auch Erweiterung für gängige Browser:

Auf dieser Seite, gibt es eine Anleitung für jeden Browser. Zusätzlich bietet Duckduckgo noch diverse Goodies, die über eine normale Internetsuche hinausgehen. Ich kann also jedem nur Empfehlen, diese Duckduckgo einmal auszuprobieren und weiterzuempfehlen. Es gibt auch eine Kampagne Duckduckgo am ersten jeden Monats an einen Freund weiterzugeben.

In diesem Artikel möchte ich mich kurz mit den derzeit verbreitetsten Kryptowährungen: Bitcoin, Litecoin und den sog. Altcoins befassen Die Idee einer digitalen- bzw einer kryptographischen Währung ist schon viele Jahrzehnte alt. Allerdings kann man sagen, dass diese Währungen die ersten Kryptowährungen darstellen, die eine nennenswerte Verbreitung haben. Bitcoin ist dabei noch herauszustellen, da ein direkter Wechsel in konventionelle Währungen auf mehreren Plattformen angeboten wird. Die meisten anderen Kryptowährungen werden i.d.R. in Bitcoin gewechselt und Ihr Kurs hängt vom Bitcoin Kurs hab.

Bitcoin: Eine Kurze Übersicht

Bitcoin gibt es inzwischen schon 5 Jahre und den bisherige Höhepunkt des Geldkurses hatte die Währung im November 2013, als der Kurs von weniger als 10USD/BTC auf mehr als 1000USD/BTC stieg. Seitdem ist der Kurs wieder gesunken und Bitcoin, sowie dessen Alternativen haben Kurse, deren Schwankungen sehr viel Ähnlichkeit mit den “üblichen” Schwankungen konventioneller Währungen haben.

Es gab in den letzten Jahre, vor allem vor den Problemen in den letzten 6-7 Monaten einen großen Hype um Bitcoin-Mining, aber auch die Tatsache, dass eine Bitcoin ( im Folgenden auch stellvertretend für Litecoin und Altcoins genannt ) einige Probleme löst, die unsere derzeitigen Währungssysteme nicht in den Griff bekommen. Wer mit den Ideen bzw den Hintergründen nicht vertraut ist, möchte ich noch einmal auf die Wikipedia-Artikel Kryptowährung und Bitcoin verweisen. Dort sind alle relevanten Hintergründe zu finden.

Ich möchte mich in diesem Artikel kritisch mit diesen Vorzügen bzw Merkmalen von Kryptowährungen beschäftigen die wie Bitcoin implementiert sind. Meines Wissens umfasst dies nahezu alle o.g. Kryptowährungen.

Defizite von Bitcoin und Co.

Im folgenden möchte ich kurz eine Übersicht über einige der Probleme geben, die aus der Implementierung von Bitcoin und Co. entstehen.

Um das double-spend Problem zu lösen hat Bitcoin Transaktionen mittels Block-Chain in einem peer-to-peer Ansatz implementiert. Dazu kommt, dass eine vorgegebenes Limit an Einheiten, die jemals entstehen können. Auf beide Aspekte werde ich noch einmal eingehen. Des weiteren gibt gibt es das sog. “frozen coins”-Problem. Wenn jemand den Zugriff auf seine Bitcoin-Wallet verliert ( Kennwort vergessen, Datenverlust oder jemand Stirbt ), ist das Geld verloren, und somit sinkt faktisch die Anzahl der existierenden und verfügbaren Bitcoins. Daraus lassen sich einige konzeptionelle und auch technische Probleme ableiten

Technische Defizite

  • Durch die Schwierigkeit Bitcoins zu minen, werden fast nur noch Mining-Pools verwendet. Dieser machen der 51%-Angriff Problem zu einer reellen Gefahr. Sowohl bei Bitcoin, als auch bei Litecoin ist es derzeit so, dass die beiden größten Mining-Pools weit mehr als 60% der Ressourcen betreiben. Entgegen des Verständnisses vieler Benutzer, benötigt man für den 51%-Angriff eher 35-40% und nicht 51% der Rechenleistung.
  • Der stetig wachsende Speicherbedarf der Blockchain ist ein weiteres Problem. Trotz einer, im Vergleich zu echten Währungsystemen geringen Transatkionsrate, wuchs der Speicherbedarf allein 2013 von 8,8 auf 12,6 GByte. Somit ist das Speichern der Kette für viele Geräte nicht mehr praktikabel. Derzeit müsste jede Teilnehmer ca 25MByte täglich runterladen.
  • Es gab bereits mehrfach Softwarefehler die zu einem Verlust bzw einer fehlerhaften Überweisung von Millionen von Bitcoins geführt haben.
  • Die Tatsache, dass eine feste Zahl von Bitcoins existiert, und es das “frozen coin” Problem gibt, muss langfristig zu einer immer größeren Verringerung der Anzahl der Geldeinheiten führen. Dies hat zur Konsequenz, dass die Anzahl der Bitcoins irgendwann sehr stark abgenommen haben wird und die Währung somit deflationär oder u.U. sogar hyperdeflationär ist.
  • Die Bitcoin miner haben eine eingebaute Präferenz für Transaktionen die eine Gebühr zahlen. Dies ist für die Miner die einzige Einnahmequelle, sobald alle Coins generiert wurden. Dies hat aber zur Folge, dass langfristig ein erheblicher Teil aller Bitcoins an die Miner fließt. Und zwar proportional zur Nutzung der Währung. Wenn diese also ein Erfolg wird, wird sich immer mehr Geld bei den Minern konzentrieren.
  • Bitcoin ist nicht anonym, sondern pseudonym. Es gibt allerdings schon seit Jahrzehnten Ansätze, wie man eine Anonyme Währung konzipieren kann, die trotzdem Strafverfolgung zulässt.
  • Aus Sicherheitsperspektive möchte ich noch anmerken, dass es ein merkwürdiges Gefühl hinterlässt, wenn ich bedenke, dass fast alle Kryptowährungen Methoden nutzen, auf denen Sicherheit in der IT beruht. Dazu gehört sowhl SHA, als auch scrypt. Es ist schon merkwürdig, dass wir Millionen Geräte zusammen derzeit 55,062,595 GH/s (SHA2 BHitcoin) und ca 190GH/s (Scrpyt Litecoin ) berechnen.

Defizite als Währung

  • Durch den Ansatz der Blockchain ist eine Transaktion niemals endgültig bestätigt. Zwar kann man von einer hohen Wahrscheinlichkeit ausgehen, wenn eine bestimmte Anzahl an Bestätigungen vorhanden sind, aber konzeptionell, könnte ein ausreichend Großer Pool nach langer Zeit eine längere Blockchain veröffentlichen und somit alle Transaktionen auch von langen Zeiträumen ungültig machen. (Sieh 51% Problem/Angriff)
  • Verzögerung. Durch das Warten auf die mehrfache Bestätigung von Blöcken, sind schnelle Transaktionen mit Bitcoin nicht möglich.
  • Die Tatsache, dass alle Transaktionen für von allen für alle Öffentlich sind, macht das System eigentlich nicht für relevante bzw persönliche Transaktionen unbenutzbar. Es wäre so, als wenn man alle Kontoauszüge aller Personen für Jeden zugänglich machen würde. Sobald man von einem Kauf auf ein Persönlichkeitsmerkmal schließen könnte, ist das ganze Bitcoin System aus Datenschutzsicht nicht mehr tragbar.
  • Auch die Nutzung einer Vielzahl von Pseudonmyen hilft dabei nicht weiter, weil man alle eingehenden und ausgehenden Transaktionen veröffentlicht. Und das Geld so auf irgendeinen Weg von Pseudonym1 zu Pseudonym2 gelangen muss.
  • Bitcoin ist den selben Gefahren ausgesetzt, wir konventionelle Währungen. Dazu gehören Kursmanipulation, und Insiderjobs ( siehe Fall Mt. Gox.

Soziale Defizite

Viele Nutzer oder Befürworter von Bitcoins loben stets die sozialen Vorteile, gerade nachdem in den letzten 2 Jahrzehnten die Defizite der “echten” Geldsysteme immer bekannter werden. Im folgenden möchte ich Bitcoin auf sozialen Nutzen bzw auf soziale Defizite untersuchen.

  • Mining auf Basis von Rechenleistung ist unsozial, da diese nicht gleichmäßig über die Bevölkerung verteilt ist, sondern sich bei großen Konzernen oder privaten Personen mit hoher Liquidität für Investitionen sammelt. Dies wird besonders klar, wenn man sich klar macht, wer Zugriff zu ASIC-Hardware oder Graphikkarten im Wert von mehr als 5000€ hat.
  • Die Tatsache, dass die Priorität von Transaktionen von der Höhe der Gebühren abhängt ist offensichtlich unsozial und unfair gegenüber jenen, die keine oder nur geringe Gebühren zahlen wollen oder können.
  • In der Praxis hat sich gezeigt, dass alle Kryptowährungen an Börsen gehandelt werden und das Geld dort teilweise auch hinterlegt wird, um mit Kurswechseln Geld zu verdienen. Somit haben wir sowohl Banken, als auch Börsen und auch bei Kryptowährungen haben diese eine ähnliche Macht und verlangen Gebühren, die wir im Alltag Wucher nennen würden.
  • Auch die Gebühren für den Wechsel von Kryptowährungen sind so hoch, dass auch hier eine Regulierung und keine Privatisierung sinnvoll wäre.
  • Viele Anhänger von Bitcoins loben den dezentralen Ansatz und somit die Abhängigkeit von Banken und oftmals auch von Regulatierung. Ich möchte Allerdings zu bedenken geben, dass unsere bisherigen Wirtschaftskrisen und Probleme mit Währungen auf Privatisierung und somit Deregulierung und nicht auf Regulierung beruhten. Somit machen wir mit Bitcoin, das Gleiche, wie in der Finanzwirtschaft: Auf Probleme durch Deregulierung reagieren wir mit Deregulierung.
  • Bitcoin Mining erzeugt einen unvorstellbaren Stromverbrauch, den man als ökologische Katastrophe bezeichnen kann. Zwar gibt es für SHA-2 und Scrypt sparsamere ASIC Hardware, allerdings widerspricht dies anderen Konzepten und verschlimmert andere bereits genannte Aspekte. Somit ist das Mining mit Graphikkarten und CPUs auch noch lange eine relevante Größe, was den Stromverbrauch wohl noch weiter steigen lassen wird.
  • Mining-Pools sind undemokratisch, selbst wenn eine Stimmvergabe per Rechenleistung demokratisch wäre, da man sein Stimmrecht i.d.R an den Pool übergibt und somit nur noch die Rechenleistung erbringt.

Fazit

Meiner Meinung nach sind Bitcoin, Litecoin und alle bisherigen Altcoins als Währung absolut unbrauchbar. Man kann sie als ersten Versuch interpretieren, auf dem man weiter aufbauen kann. Leider wiederholen wir so ziemlich alle Fehler, die wir mit den bisherigen Geldsystemen gemacht haben, allerdings gibt es zuküngig vielleicht bessere Implementierungen für Kryptowährungen, die dann vielleicht sogar irgendwann auch in der Praxis nutzbar und den konventionellen Währungen sogar überlegen sind.

Quellen

Abstrakt

In letzter Zeit nimmt die Anzahl der bekannten Angriffen gegen DSL-Router und ähnliche Geräte, stark zu. Dafür gibt es einige gute Gründe, wie u.A. fehlende Firmware-Updates oder die Qualität der Software auf den Geräten. Zwei weitere Punkte möchte ich in diesem Artikel kurz ansprechen.

  • Das Verhalten von Anbietern bei auftreten einer Schwachstelle als kurzes Beispiel
  • Das generelle Problem der mitgelieferten numerischen WPA-Schlüssel

Reaktionszeit von Anbietern: Beispiel O2

Die Reaktionszeit von 02 beim Problem mit schwachen WPA-Schlüsseln konnte ich selbst beobachten, da wir eines der betroffenen Geräte selbst zu Hause haben. Ich habe den WLAN-Schlüssel bereits direkt nach der Lieferung geändert und war somit nicht betroffen. So konnte ich mir die Reaktion von O2 in Ruhe ansehen.

Der genannte Artikel in dem die Schwachstelle beschrieben wird, ist vom 19.03.2014, es wird allerdings drauf hingewiesen, dass diese Schwachstelle schon länger bekannt ist. Es ist außerdem zu lesen, dass Telefonica vor hat die Kunden “etappenweise” zu informieren.

Eine Woche später habe ich noch immer keine Information von O2 erhalten und habe deswegen selbständig auf der Website gesucht. Dort habe ich dann folgenden Sicherheitshinweis zu WLAN-Schlüsseln gefunden. Dort wird das vorgehen beschrieben, welches auch mir potentiell helfen würde. Ich war also lediglich noch nicht an der Reihe, diese Information zu erhalten. Eine weitere Woche später bekam ich dann Post von O2. Dort wurde mir mitgeteilt, dass es eine Sicherheitsproblem mit dem WLAN-Schlüssel gibt und ich diesen bitte ändern soll.

Meiner Meinung nach ist eine Dauer von 2 Wochen, um über ein unsicheres WLAN Kennwort zu informieren, viel zu viel. In diesem Kommentar musste jemand bis zum 04.04.2014 warten, bis er den Hinweis per Email erhalten hat.

Diese Reaktkionzeit für ein solches Problem nicht tragbar und verrät einiges über den Stellenwert den die Sicherheit der Daten der Kunden, für den Anbieter hat.

Mitgelieferte WLAN-Schlüssel

Es ist inzwischen üblich, dass WLAN-Router mit einem 16 stellingen numerischen Schlüssel ausgeliefert werden, der auf der Rückseite des Gerätes aufgeklebt ist. Dies ist ein Fortschritt im Vergleich zu den Zeiten, in denen das WLAN gar nicht oder mit 0000 gesichert war. Allerdings gibt es mehrere essentielle Probleme bei diesem vorgehen, weswegen es aus Sicherheitsperspektive fast keinen Unterschied macht. Dieses Vorgehen hat zwei essentielle Probleme:

Der Schlüssel ist anderen Bekannt

Mindestens die Person oder Firma, die den Aufkleber anbringt kennt den Schlüssel. Dazu kommt, dass ab dieser Stelle jeder, der das Gerät sehen bzw den Aufkleber lesen kann, ebenfalls den Schlüssel kennt. Auch der Lieferdienst, kann einfach das Paket öffnen und hat dann sogar das Paar: Anschrift+Schlüssel

Schlüsselraum

Wie bereits gesagt, ist es üblich, dass ein 16stelliges Kennwort aus Ziffern verwendet wird. Dies bedeutet konkret, dass es 1* 10^16 (10.000.000.000.000.000) Möglichkeiten für den Schlüssel gibt. Nämlich genau alle Zahlen von 00000000000000000 - 99999999999999999. Wenn man den Schlüssel selbst wählt, hat man die Möglichkeit 63 Stellen mit Groß- Kleinbuchstaben, Zahlen und Sonderzeichen zu wählen. Dies entspricht (24 * 2 + 10 + 18)^63 = 3 * 10^118. Man kann also sehen, dass ein WPA Kennwort mit 18 Sonderzeichen 3 * 10^102 mal so Stark ist und entsprechend auch 3 * 10^102 mal so lange gegen einen Brute-Force Angriff widersteht. Das bedeutet, dass der Exponent der Möglichkeiten bei 16stelligen numerischen Schlüsseln von potentiell 118 auf 16 fällt. Das ist aus Sicherheitsicht ein Desaster.

Empfehlung

Es ist jedem zu Empfehlen, sein WLAN Kennwort sofort zu ändern. Da man dies auch i.d.R. meistens auf den Client-Geräten speichert, spricht nichts dagegen 50-63 Zeichen zu verwenden. Mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen hat mehr als 70 oder gar 90 Zeichen je Stelle zur Verfügung. Die Länge des Schlüssels entspricht dem Exponenten der Möglichkeiten, so dass 50 Zeichen sehr viel sicherer sind als 49. Mit diesen ca 90 ^ 60 Möglichkeiten ist man gegen einen solchen Brute-Force Angriff sicher. Dies ist bei den mitgelieferten 16-Ziffer Kennwörtern nicht der Fall.

Anhang

Jüngste Angriffe gegen Router

Quellen

  • N/A