Autor: Bartholomew Gallacher

Building

April, April…

Heute ist ja der erste April und da können es viele nach wie vor nicht lassen, alle möglichen Scherze zu verzapfen. Georg hat seinen Ausstieg aus Gor und den Bau eines rosa Ponyhofs angekündigt, Thor Tracer ein Gorgütesiegel erfunden, weswegen 2/3 aller Sims geschlossen werden müssten (im Grunde keine ganz schlechte Idee!) und vieles anderes mehr.

Am plausibelsten war aber noch diese Meldung in der englischen Gruppe „Blue Caste of Gor“ heute, die da lautete:

Due to pending litigation on behalf of the John Lange estate, Linden Labs plans to shut down all Gorean sims because of copyright  infringement.

In a supposed 20M dollar lawsuit the John Lange estate has threatened Linden Labs with copyright infringement litigation if they do not cease and desist supporting violation of John Lange’s copyright.   Lang who writes under the pen name John Norman has commented in the past that he believed Second Life to be a place that was full of copyright violators but appa

Der Inhalt: wegen eines angedrohten Rechtsstreits plane Linden Lab, alle Gorsims zu schließen. So.

Das ist nun näher an der Realität, als man meinen mag, denn vor einigen Jahren wurden so ziemlich alle Star Wars RPs in Second Life dicht gemacht, weil George Lucas Firma dagegen vorging. Mit Gor wäre es ganz genau so möglich, wenn denn John Norman nur wollte, denn lizenziert ist dies RP nun einmal eben gar nicht.

Programming

Bullshit made in Germany: SSL/TLS-Umstellung bei T-Online, GMX und Web.de

Ab heute ist es ja soweit: die Mailproviderschwergewichte T-Online, GMX, Web.de und Freenet stellen im Bereich der Email auf die sog. Transportverschlüsselung um. Es gibt sogar im Web das Äquivalent zu einer PR-Buzzword-Hochglanzbroschüre, um den Leuten Sand in die Augen zu streuen, namens „E-Mail made in Germany.“ 

Email in Deutschland für Deutschland wird also nun endlich, endlich sicher. Auf dem Transportweg, die wie Provider schreiben, aber welcher Laie kann schon beurteilen, was das genau bedeutet oder eben auch nicht. Viele Emailnutzer, die ich kenne, sind in Sorge, dass sie ohne Umstellung ihre ach so wichtigen Emails nicht mehr bekommen könnten und mit der Umstellung total überfordert, sie wissen einfach nicht, wieso, weshalb, warum und was der ganze Zinnober soll.

Genau für solche Leute ist die Umstellung eigentlich gedacht, aber genau diese Leute verstehen es auch einfach nicht, was das soll und die meisten werden es auch nicht begreifen wollen. Für die ist Email einfach ein alltäglich benutztes Kommunikationsmedium, das out of the box zu laufen hat und wehe, daran könnte sich einmal etwas ändern. So und nicht anders sieht es da aus.

Was eigentlich geschieht denn nun genau?

Die Provider führen verpflichtend eine Verschlüsselung des Transportweges ein, d.h. vom Endbenutzer zum Emaildienstleister wie GMX hin. Verschlüsselung bedeutet dabei, dass die komplette Kommunikation eben verschlüsselt wird und es so potentiellen Angreifern massiv erschwert werden soll, die Kommunikation zwischen beiden Geräten, also Rechner zuhause und Rechner beim Dienstleister, abzuhören.

Das klingt zunächst einmal an und für sich nach einer guten Sache und das ist es im Grunde auch. Warum ist es eine gute Sache? Nun, beispielsweise wenn man irgendwo an einem öffentlichen WLAN-Hotspot sitzt und da seine Emails unverschlüsselt abruft, da kann jeder weitere Rechner im selben Netz dies Passwort mit praktisch kaum Aufwand aufzeichnen und speichern. Damit kann dann ein böswilliger Angreifer das Emailkonto für seine Zwecke mißbrauchen, beispielsweise zum Spamversand.

Mit Hilfe der Transportverschlüsselung ist dieses Szenario praktisch nicht mehr existent. Klingt gut, ist in dem Fall auch gut.

Was ist daran ärgerlich?

Transportverschlüsselung ist eigentlich ein alter Hut! Den ersten Standard, SSL, gibt es bereits seit 1994 (!), und den Nachfolgestandard TLS seit 1999 (!). Warum, bitte, machen die Diensteanbieter diese Standards erst nach über 15 Jahren ihrer Festschreibung verpflichtend?

Dazu kommt, dass damit zwar die Übertragung an sich sicher wird, aber nicht die Speicherung auf den Rechnern entlang des Transportweges.

Genauer gesagt, und das ist der Knackpunkt: eine Email nimmt auf dem Weg vom Absender zum Empfänger meistens einen nicht immer genau vorhersehbaren Weg; die Rechner auf diesem Weg kommunizieren nun verschlüsselt, sofern es sich um die vier Provider oben handelt. Aber die Speicherung der Email auf den Rechner innerhalb dieses Wegs erfolgt nach wie vor im Klartext! 

Das bedeutet nichts anderes, das zwar die Kommunikation mit Hilfe dieser Initiative nur zwischen diesen vier Anbietern garantiert nun verschlüsselt wird, während die Emails aber auf dem jeweiligen Rechner im Klartext vorliegt. Wenn also jemand Emails abgreifen will, dann kann er dies nach wie vor ohne großen Aufwand tun.

Die Hochglanzwebbroschüre aber erweckt beim Laien den falschen Eindruck, als seien die Emails da nun auf einmal so bombensicher, und das ist einfach schlichtweg falsch. Das sind sie eben nicht.

Was bleibt zu tun, wenn man wirklich sichere Emails nutzen will?

Die Initiative sorgt also nur für sichere Transportwege, aber nicht für eine sichere Ende-zu-Ende-Kommunikation! Es gibt nach wie vor genug Einfallslöcher, dass Böswillige die Emails einfach auf dem Weg von A nach B abgreifen und auswerten.

Wenn man wirklichen Wert darauf legen sollte, dass seine Emails höchstwahrscheinlich nicht von unbefugten Dritten gelesen werden können, dann bleibt einem nichts anderes übrig, als dies selbst in die Hand zu nehmen.

Es gibt dabei zwei verschiedene, seit langem etablierte Ansätze, nämlich:

  • den Klassiker Pretty Good Privacy (PGP) von Phil Zimmerman, dessen erste Version bereits 1991 (!) erschien. Es basiert auf einer dezentralen Schlüsselerzeugung, in der man sich gegenseitig das Vertrauen ausspricht, sog. Key Signing Parties waren früher gang und gäbe.  Edward Snowden sah PGP bei korrekter Anwendung als sicher an, also können wir das auch.
  • S/MIME, ein seit 1995 festgeschriebener Standard, den die meisten Mailprogramme wie Outlook direkt unterstützen. S/MIME basiert auf einer zentralen Zertifikatvergabe, es gibt einige Anbieter, die kostenlose persönliche Zertifikate zur Verfügung stellen, und ist in Sachen Sicherheit mit PGP durchaus vergleichbar. 

Dennoch sollte man besser, wenn möglich, PGP benutzen, denn die zentralen Zertifikatvergabestellen bei S/MIME haben in den letzten Jahren mehrfach grandios versagt.

Business

Bitcoin revisited

exchangeIch hatte ja schon länger nichts mehr über die virtuelle „Währung“ Bitcoin gehabt, damit ist der Artikel hier längst überfällig und ich hole es hiermit nun nach. Also. Das obige Diagramm zeigt die Wertentwicklung eines Bitcoin, wenn man ihn in US-Dollar umtauscht, von April 2013 bis jetzt.

Selbst dem dümmsten Laien muss dabei auffallen, dass innerhalb von gerade mal sechs (!) Wochen, nämlich von Anfang Oktober bis Mitte Dezember, ein Bitcoin einen ungeheuren Wertzuwachs bis zeitweilig über 1000 US$ bekam, und Mitte Februar diesen Jahres kam dann ein massiver Einbruch. Der Bitcoin erholte sich zwar etwas davon und der Wert pendelte sich für einige Wochen auf einem gewissen Niveau überhal von 500 US$ ein, aber seitdem fällt er langsam, aber stetig.

Nun ist die einfache Frage, wenn man sich den Verlauf dieser Kurve von Oktober bis heute anschaut, doch diese: ist dies eine Währung, mit der man seine Waren und Dienstleistungen bezahlen will? Natürlich nicht!

Eine normale Währung hat einen recht stabilen Wechselkurs, das, was man in dem Graph aber sieht, ist ganz einfach, dass es sich bei Bitcoin eindeutig um ein hochgradiges Spekulationsobjekt handelt. Die meisten Leute nutzen es nicht als Währung, sondern als Spekulationsobjekt!

Und wenn man weiß, der Kurs kann sich so massiv innerhalb von einigen Monaten ändern, dann sorgt das nur dafür, dass die meisten lieber auf ihren Coins hocken bleiben, bis sie einen Kurs erreicht haben, der ihnen gefällt, und dann erst vielleicht bezahlen sie damit. Das nennt man auch Deflation.

Übrigens ist der massive Abfall am 14. Februar hoch interessant, denn es zeigt eine massive Schwäche des bestehenden Bitcoin-Ökosystems. Bitcoin selber ist ja völlig dezentral geplant gewesen, aber es gibt eben doch inzwischen „Supernodes“, die im Grunde die Funktion von Banken inne haben. Die bekannteste dieser war Mt. Gox in Japan, der größte Bitcoinhandelsplatz der Welt. Bis zu 70% aller Transaktionen wurden über deren Rechnerpark abgewickelt.

Mt. Gox nutzte als Bitcoin-Client ein Eigengewächs, das eine bekannte Schwachstelle im Bitcoin-Protokoll einfach ignorierte. Am 7.2.2014 stoppte Mt. Gox alle Transaktionen, am 24.2. ging die Webseite offline und am 9.3. meldete die Firma Insolvenz an.

Was war geschehen? Aufgrund dieses Programmfehlers waren Bitcoins in massiver Anzahl von Mt. Gox gestohlen worden, genauer, Bitcoins die Benutzer dort verwalteten. Und das brach dann Mt. Gox das Genick. Nun ist das Problem namens „Bitcoin Malleability Attack“ (ein Protokollfehler) seit 2011 bekannt und die meisten, offen verfügbaren Bitcoinclients dagegen abgesichert. Mt. Gox dagegen war es aber eben nicht.

Die Kunden von Mt. Gox, die ihre Coins verloren, schauen bei diesem virtuellen Bankraub – anders kann man es nicht mehr bezeichnen – eben in die Röhre. Ihr Geld werden sie wohl kaum jemals im Leben wieder sehen.

Nun ist die ganz einfache Frage doch diese: will man wirklich zum jetzigen Zeitpunkt einem solchen System sein Geld anvertrauen oder damit sogar bezahlen, wenn solch ein Bankraub unter der Nase der Bank möglich ist? Natürlich nicht.

Personal

Fracking für den Weltfrieden

Die illusorischen Träume von Reportern und Politikern dieser Tage sind nicht mehr zum Aushalten. Die Eskalation der Lage um die Krim und Ukraine treibt sehr seltsame Blüten, fernab der Realität. Die alten, kalten Krieger sind froh, dass sie ihr Lieblingsfeindbild – den Russen – in Form von Putin wieder haben und wittern Morgenrot, dass es nur so kracht.

Zunächst einmal: Putin muss einem persönlich nicht gefallen, wie er herrscht und was er macht. Persönlich finde ich, dass Wladimir Putin und Angela Merkel erstaunlicherweise sich sehr ähnlich sind, denn beides sind nämlich rational kalkulierende Realpolitiker, die ihr jeweiliges Ziel vor Augen haben und für ihren Machterhalt alles tun. Während Putins Ziel aber vor allem der Erhalt und die Stärkung der Russischen Föderation ist – immerhin ist es sein Verdienst, dass die Einnahmen der Rohstoffe dem Staat zugute kommen und nicht mehr irgendwelchen Privatfirmen – ist Merkels Ziel die Verwirklichung der marktkonformen Demokratie. Schon alleine für dieses Wort hätte sie schon zigfach abgewählt gehört.

Das sind zwei sehr verschiedene Ziele, und damit muss ich mir sagen, halte ich Merkel in ihren politischen Absichten für bedenklicher als es Putin jemals sein wird. Denn Putin will einen möglichst starken, handlungsfähigen Staat haben, der die Wirtschaft zu seinem Vorteil mit gestaltet während Merkel einen Skelettstaat getreu der Kirche des Neoliberalismus haben will, der von der Wirtschaft gestaltet wird. Unterschiedlicher kann es da kaum noch werden.

Gut, und dass Putin auf die Krim nicht verzichten kann wird einem sehr klar, wenn man sich nur mal eine Karte der Russischen Föderation ansieht und dann schaut, was auf der Krim stationiert ist, nämlich die russische Schwarzmeerflotte. Die Krim ist der einzige Zugang Rußlands zum Schwarzen Meer und damit auch zum Mittelmeer, die erste Telegraphenleitung im russischen Kaiserreich ging seinerzeit 1854 von Petersburg auf die Krim. Egal ob Putin, Jelzin oder sonst wer, kein russischer Präsident kann es sich leisten, die Krim zu verlieren. Wirklich keiner.

Und dann die Sache mit der Ukraine ist auch so eine fragwürdige Angelegenheit. Nun soll sie zu allem Überfluss auch noch in die Nato, nur: wozu? Ich hätte liebend gerne die Reaktion der USA erlebt, wenn Mexico auf einmal dem Warschauer Pakt beigetreten wäre oder dies andeutet.

Wie auch immer – nun saufen wir des bösen Putins Gas nicht mehr und treffen so das böse Rußland. Ach. Es ist nur eben so, dass Rußland mit Erdöl viel größere Einnahmen erzielt als mit Erdgas, und der Rohstoffmarkt wird von langfristigen Verträgen diktiert, zudem bestimmen inzwischen die Anbieter den Markt, denn die Nachfrage lässt sich im Grunde gerade noch so decken, da ist schon weltweit nicht mehr viel Luft darin. Wenn nun Europa auf einmal auf russisches Gas verzichtet (in Deutschland macht das immerhin ca. 35% des Gesamtmarktes aus), dann wird dies Rußland kurzfristig treffen, also vielleicht zwei bis drei Jahre.

Dann aber wird es Rußland egal sein, und warum? Auch da schaue man mal wieder auf eine Karte und schaue sich an, welche Länder noch so direkt an Rußland grenzen. Welches sticht da vor allem hervor? Richtig: China.  Und dann schaue man sich noch einmal an, wo die meisten Erdgas- und Erdöllagerstätten in Rußland so liegen.

Und was kommt einem dann in den Sinn? Genau: wenn die Europäer das russische Gas nicht mehr wollen, dann bauen die Russen eben einige Pipelines nach China, das geht schneller als nach Europa und ist vor allem kürzer und verkaufen es an die Chinesen. Die werden es dankend annehmen.

Jedenfalls kommen sich momentan Rußland und China gehörig näher, und die Russen planen massive Erhöhungen ihrer Rohstofflieferungen nach China. Na, warum wohl? Auch militärisch denken sie inzwischen laut über eine Kooperation nach.  Auch wenn die russische Armee immer gerne als rückständig dargestellt wird, so ist die russische Marine immer noch auf der Höhe der Zeit und als eine der wenigen Armeen fähig, US-Flugzeugträger im Fall des Falles zu versenken. Die Russen haben da nette Uboote, die entsprechende Raketen unter Wasser abfeuern können. Die Chinesen hätten gerne solche Uboote von den Russe und gemeinsam bauen sie an der nächsten Klasse solcher Uboote mit ballistischen Raketen.

Ja, und dann noch das Hirngespinst mit dem Fracking, also der frakturierten Förderung von Erdgas. Im Prinzip ist Fracking eine schöne Sache, weil man mit dieser Fördertechnik Lagerstätte, die bei konventioneller Förderung nicht mehr genug Erdgas/Erdöl liefern, für eine ganze Weile reaktivieren kann. In der Praxis ist es eine kostspielige Sache, die sich erst ab einem bestimmten Rohstoffpreis lohnt, denn die Technik selber gibt es schon lange und ist schon lange bekannt, und das Pumpen irgendwelcher toxischer Chemikalien in den Untergrund, die dann auch da bleiben, ist umstritten. In den USA ist Fracking inzwischen weit verbreitet, während es in Europa mit dem Hinweis auf mögliche Umweltschäden bisher kaum von der Stelle kommt.

Die USA jedenfalls fahren auf Fracking ab. Ihr Traum ist dabei die energetische Autarkie, zumindest für einen gewissen Zeitraum. Das bedeutet aber, dass es amerikanisches Erdgas aus Fracking auch nur für Amerikaner geben wird. Warum sollten die USA es in alle Welt exportieren wollen? Das wird für sie kaum Sinn machen und daher so nicht kommen.

Dazu kommt, dass auch eine mit Fracking wiederbelebte Lagerstätte nicht ewig angezapft werden kann, irgendwann ist dann auch eben mit Fracking wieder Schluss und dann braucht es andere Mittel und Wege, den Energiehunger zu stillen.

Fracking selber gibt einem Land nur eine gewisse Verlängerung der bisherigen Infrastruktur, ewig betrieben werden kann es absolut nicht.

Also bleibt im Grunde alles so, wie es ist: die meisten Staaten sind abhängig von ihren Rohstofflieferanten, während diese es sich aussuchen können, wohin sie ihre Rohstoffe liefern. Und eine wirkliche, energetische Autarkie wird man nur mit Hilfe anderer Energiewandlungsssysteme dauerhaft erreichen können, die vor allem das nutzen, was im jeweiligen Land zuhauf vorkommt.

Business

Facebook kauft Oculus VR

Einer der Heilsträger der Spielebranche des letzten Jahres, nämlich die Firma Oculus VR, wurde von Facebook für zwei Milliarden US$ aufgekauft. Das ist ein herber Schlag, denn Oculus ist momentan so ziemlich die erste und einzige virtuelle Realitätsbrille, die in der Entwicklung ist und deren Testgeräte wirklich brauchbar sind.

Viele Firmen, wie auch Linden Lab, sehen in dem Gerät einen möglichen Game Changer und arbeiten bereits seit längerem daran, ihre Programme damit kompatibel zu machen. Bis jetzt eben.

Denn jetzt, da Oculus VR ab sofort zu Facebook gehört, dürfte für viele das Produkt vergiftet sein, denn wer vertraut schon wirklich Facebook? Die Reaktionen bleiben abzuwarten, der Minecraft-Entwickler Markus Persson jedenfalls schrieb schon dies auf Twitter:

We were in talks about maybe bringing a version of Minecraft to Oculus. I just cancelled that deal. Facebook creeps me out.

Also kein Minecraft mehr für Oculus und Persson führt das in seinem Blog noch genauer aus, warum er Facebook mißtraut.  Und so wie er dürften viele, weitere Spieleentwickler auch denken und ticken. Ich persönlich halte diesen Verkauf für einen herben Rückschlag.