Barts Blog Blog

Programming

Bullshit made in Germany: SSL/TLS-Umstellung bei T-Online, GMX und Web.de

Ab heute ist es ja soweit: die Mailproviderschwergewichte T-Online, GMX, Web.de und Freenet stellen im Bereich der Email auf die sog. Transportverschlüsselung um. Es gibt sogar im Web das Äquivalent zu einer PR-Buzzword-Hochglanzbroschüre, um den Leuten Sand in die Augen zu streuen, namens „E-Mail made in Germany.“ 

Email in Deutschland für Deutschland wird also nun endlich, endlich sicher. Auf dem Transportweg, die wie Provider schreiben, aber welcher Laie kann schon beurteilen, was das genau bedeutet oder eben auch nicht. Viele Emailnutzer, die ich kenne, sind in Sorge, dass sie ohne Umstellung ihre ach so wichtigen Emails nicht mehr bekommen könnten und mit der Umstellung total überfordert, sie wissen einfach nicht, wieso, weshalb, warum und was der ganze Zinnober soll.

Genau für solche Leute ist die Umstellung eigentlich gedacht, aber genau diese Leute verstehen es auch einfach nicht, was das soll und die meisten werden es auch nicht begreifen wollen. Für die ist Email einfach ein alltäglich benutztes Kommunikationsmedium, das out of the box zu laufen hat und wehe, daran könnte sich einmal etwas ändern. So und nicht anders sieht es da aus.

Was eigentlich geschieht denn nun genau?

Die Provider führen verpflichtend eine Verschlüsselung des Transportweges ein, d.h. vom Endbenutzer zum Emaildienstleister wie GMX hin. Verschlüsselung bedeutet dabei, dass die komplette Kommunikation eben verschlüsselt wird und es so potentiellen Angreifern massiv erschwert werden soll, die Kommunikation zwischen beiden Geräten, also Rechner zuhause und Rechner beim Dienstleister, abzuhören.

Das klingt zunächst einmal an und für sich nach einer guten Sache und das ist es im Grunde auch. Warum ist es eine gute Sache? Nun, beispielsweise wenn man irgendwo an einem öffentlichen WLAN-Hotspot sitzt und da seine Emails unverschlüsselt abruft, da kann jeder weitere Rechner im selben Netz dies Passwort mit praktisch kaum Aufwand aufzeichnen und speichern. Damit kann dann ein böswilliger Angreifer das Emailkonto für seine Zwecke mißbrauchen, beispielsweise zum Spamversand.

Mit Hilfe der Transportverschlüsselung ist dieses Szenario praktisch nicht mehr existent. Klingt gut, ist in dem Fall auch gut.

Was ist daran ärgerlich?

Transportverschlüsselung ist eigentlich ein alter Hut! Den ersten Standard, SSL, gibt es bereits seit 1994 (!), und den Nachfolgestandard TLS seit 1999 (!). Warum, bitte, machen die Diensteanbieter diese Standards erst nach über 15 Jahren ihrer Festschreibung verpflichtend?

Dazu kommt, dass damit zwar die Übertragung an sich sicher wird, aber nicht die Speicherung auf den Rechnern entlang des Transportweges.

Genauer gesagt, und das ist der Knackpunkt: eine Email nimmt auf dem Weg vom Absender zum Empfänger meistens einen nicht immer genau vorhersehbaren Weg; die Rechner auf diesem Weg kommunizieren nun verschlüsselt, sofern es sich um die vier Provider oben handelt. Aber die Speicherung der Email auf den Rechner innerhalb dieses Wegs erfolgt nach wie vor im Klartext! 

Das bedeutet nichts anderes, das zwar die Kommunikation mit Hilfe dieser Initiative nur zwischen diesen vier Anbietern garantiert nun verschlüsselt wird, während die Emails aber auf dem jeweiligen Rechner im Klartext vorliegt. Wenn also jemand Emails abgreifen will, dann kann er dies nach wie vor ohne großen Aufwand tun.

Die Hochglanzwebbroschüre aber erweckt beim Laien den falschen Eindruck, als seien die Emails da nun auf einmal so bombensicher, und das ist einfach schlichtweg falsch. Das sind sie eben nicht.

Was bleibt zu tun, wenn man wirklich sichere Emails nutzen will?

Die Initiative sorgt also nur für sichere Transportwege, aber nicht für eine sichere Ende-zu-Ende-Kommunikation! Es gibt nach wie vor genug Einfallslöcher, dass Böswillige die Emails einfach auf dem Weg von A nach B abgreifen und auswerten.

Wenn man wirklichen Wert darauf legen sollte, dass seine Emails höchstwahrscheinlich nicht von unbefugten Dritten gelesen werden können, dann bleibt einem nichts anderes übrig, als dies selbst in die Hand zu nehmen.

Es gibt dabei zwei verschiedene, seit langem etablierte Ansätze, nämlich:

  • den Klassiker Pretty Good Privacy (PGP) von Phil Zimmerman, dessen erste Version bereits 1991 (!) erschien. Es basiert auf einer dezentralen Schlüsselerzeugung, in der man sich gegenseitig das Vertrauen ausspricht, sog. Key Signing Parties waren früher gang und gäbe.  Edward Snowden sah PGP bei korrekter Anwendung als sicher an, also können wir das auch.
  • S/MIME, ein seit 1995 festgeschriebener Standard, den die meisten Mailprogramme wie Outlook direkt unterstützen. S/MIME basiert auf einer zentralen Zertifikatvergabe, es gibt einige Anbieter, die kostenlose persönliche Zertifikate zur Verfügung stellen, und ist in Sachen Sicherheit mit PGP durchaus vergleichbar. 

Dennoch sollte man besser, wenn möglich, PGP benutzen, denn die zentralen Zertifikatvergabestellen bei S/MIME haben in den letzten Jahren mehrfach grandios versagt.

Business

Bitcoin revisited

exchangeIch hatte ja schon länger nichts mehr über die virtuelle „Währung“ Bitcoin gehabt, damit ist der Artikel hier längst überfällig und ich hole es hiermit nun nach. Also. Das obige Diagramm zeigt die Wertentwicklung eines Bitcoin, wenn man ihn in US-Dollar umtauscht, von April 2013 bis jetzt.

Selbst dem dümmsten Laien muss dabei auffallen, dass innerhalb von gerade mal sechs (!) Wochen, nämlich von Anfang Oktober bis Mitte Dezember, ein Bitcoin einen ungeheuren Wertzuwachs bis zeitweilig über 1000 US$ bekam, und Mitte Februar diesen Jahres kam dann ein massiver Einbruch. Der Bitcoin erholte sich zwar etwas davon und der Wert pendelte sich für einige Wochen auf einem gewissen Niveau überhal von 500 US$ ein, aber seitdem fällt er langsam, aber stetig.

Nun ist die einfache Frage, wenn man sich den Verlauf dieser Kurve von Oktober bis heute anschaut, doch diese: ist dies eine Währung, mit der man seine Waren und Dienstleistungen bezahlen will? Natürlich nicht!

Eine normale Währung hat einen recht stabilen Wechselkurs, das, was man in dem Graph aber sieht, ist ganz einfach, dass es sich bei Bitcoin eindeutig um ein hochgradiges Spekulationsobjekt handelt. Die meisten Leute nutzen es nicht als Währung, sondern als Spekulationsobjekt!

Und wenn man weiß, der Kurs kann sich so massiv innerhalb von einigen Monaten ändern, dann sorgt das nur dafür, dass die meisten lieber auf ihren Coins hocken bleiben, bis sie einen Kurs erreicht haben, der ihnen gefällt, und dann erst vielleicht bezahlen sie damit. Das nennt man auch Deflation.

Übrigens ist der massive Abfall am 14. Februar hoch interessant, denn es zeigt eine massive Schwäche des bestehenden Bitcoin-Ökosystems. Bitcoin selber ist ja völlig dezentral geplant gewesen, aber es gibt eben doch inzwischen „Supernodes“, die im Grunde die Funktion von Banken inne haben. Die bekannteste dieser war Mt. Gox in Japan, der größte Bitcoinhandelsplatz der Welt. Bis zu 70% aller Transaktionen wurden über deren Rechnerpark abgewickelt.

Mt. Gox nutzte als Bitcoin-Client ein Eigengewächs, das eine bekannte Schwachstelle im Bitcoin-Protokoll einfach ignorierte. Am 7.2.2014 stoppte Mt. Gox alle Transaktionen, am 24.2. ging die Webseite offline und am 9.3. meldete die Firma Insolvenz an.

Was war geschehen? Aufgrund dieses Programmfehlers waren Bitcoins in massiver Anzahl von Mt. Gox gestohlen worden, genauer, Bitcoins die Benutzer dort verwalteten. Und das brach dann Mt. Gox das Genick. Nun ist das Problem namens „Bitcoin Malleability Attack“ (ein Protokollfehler) seit 2011 bekannt und die meisten, offen verfügbaren Bitcoinclients dagegen abgesichert. Mt. Gox dagegen war es aber eben nicht.

Die Kunden von Mt. Gox, die ihre Coins verloren, schauen bei diesem virtuellen Bankraub – anders kann man es nicht mehr bezeichnen – eben in die Röhre. Ihr Geld werden sie wohl kaum jemals im Leben wieder sehen.

Nun ist die ganz einfache Frage doch diese: will man wirklich zum jetzigen Zeitpunkt einem solchen System sein Geld anvertrauen oder damit sogar bezahlen, wenn solch ein Bankraub unter der Nase der Bank möglich ist? Natürlich nicht.

Personal

Fracking für den Weltfrieden

Die illusorischen Träume von Reportern und Politikern dieser Tage sind nicht mehr zum Aushalten. Die Eskalation der Lage um die Krim und Ukraine treibt sehr seltsame Blüten, fernab der Realität. Die alten, kalten Krieger sind froh, dass sie ihr Lieblingsfeindbild – den Russen – in Form von Putin wieder haben und wittern Morgenrot, dass es nur so kracht.

Zunächst einmal: Putin muss einem persönlich nicht gefallen, wie er herrscht und was er macht. Persönlich finde ich, dass Wladimir Putin und Angela Merkel erstaunlicherweise sich sehr ähnlich sind, denn beides sind nämlich rational kalkulierende Realpolitiker, die ihr jeweiliges Ziel vor Augen haben und für ihren Machterhalt alles tun. Während Putins Ziel aber vor allem der Erhalt und die Stärkung der Russischen Föderation ist – immerhin ist es sein Verdienst, dass die Einnahmen der Rohstoffe dem Staat zugute kommen und nicht mehr irgendwelchen Privatfirmen – ist Merkels Ziel die Verwirklichung der marktkonformen Demokratie. Schon alleine für dieses Wort hätte sie schon zigfach abgewählt gehört.

Das sind zwei sehr verschiedene Ziele, und damit muss ich mir sagen, halte ich Merkel in ihren politischen Absichten für bedenklicher als es Putin jemals sein wird. Denn Putin will einen möglichst starken, handlungsfähigen Staat haben, der die Wirtschaft zu seinem Vorteil mit gestaltet während Merkel einen Skelettstaat getreu der Kirche des Neoliberalismus haben will, der von der Wirtschaft gestaltet wird. Unterschiedlicher kann es da kaum noch werden.

Gut, und dass Putin auf die Krim nicht verzichten kann wird einem sehr klar, wenn man sich nur mal eine Karte der Russischen Föderation ansieht und dann schaut, was auf der Krim stationiert ist, nämlich die russische Schwarzmeerflotte. Die Krim ist der einzige Zugang Rußlands zum Schwarzen Meer und damit auch zum Mittelmeer, die erste Telegraphenleitung im russischen Kaiserreich ging seinerzeit 1854 von Petersburg auf die Krim. Egal ob Putin, Jelzin oder sonst wer, kein russischer Präsident kann es sich leisten, die Krim zu verlieren. Wirklich keiner.

Und dann die Sache mit der Ukraine ist auch so eine fragwürdige Angelegenheit. Nun soll sie zu allem Überfluss auch noch in die Nato, nur: wozu? Ich hätte liebend gerne die Reaktion der USA erlebt, wenn Mexico auf einmal dem Warschauer Pakt beigetreten wäre oder dies andeutet.

Wie auch immer – nun saufen wir des bösen Putins Gas nicht mehr und treffen so das böse Rußland. Ach. Es ist nur eben so, dass Rußland mit Erdöl viel größere Einnahmen erzielt als mit Erdgas, und der Rohstoffmarkt wird von langfristigen Verträgen diktiert, zudem bestimmen inzwischen die Anbieter den Markt, denn die Nachfrage lässt sich im Grunde gerade noch so decken, da ist schon weltweit nicht mehr viel Luft darin. Wenn nun Europa auf einmal auf russisches Gas verzichtet (in Deutschland macht das immerhin ca. 35% des Gesamtmarktes aus), dann wird dies Rußland kurzfristig treffen, also vielleicht zwei bis drei Jahre.

Dann aber wird es Rußland egal sein, und warum? Auch da schaue man mal wieder auf eine Karte und schaue sich an, welche Länder noch so direkt an Rußland grenzen. Welches sticht da vor allem hervor? Richtig: China.  Und dann schaue man sich noch einmal an, wo die meisten Erdgas- und Erdöllagerstätten in Rußland so liegen.

Und was kommt einem dann in den Sinn? Genau: wenn die Europäer das russische Gas nicht mehr wollen, dann bauen die Russen eben einige Pipelines nach China, das geht schneller als nach Europa und ist vor allem kürzer und verkaufen es an die Chinesen. Die werden es dankend annehmen.

Jedenfalls kommen sich momentan Rußland und China gehörig näher, und die Russen planen massive Erhöhungen ihrer Rohstofflieferungen nach China. Na, warum wohl? Auch militärisch denken sie inzwischen laut über eine Kooperation nach.  Auch wenn die russische Armee immer gerne als rückständig dargestellt wird, so ist die russische Marine immer noch auf der Höhe der Zeit und als eine der wenigen Armeen fähig, US-Flugzeugträger im Fall des Falles zu versenken. Die Russen haben da nette Uboote, die entsprechende Raketen unter Wasser abfeuern können. Die Chinesen hätten gerne solche Uboote von den Russe und gemeinsam bauen sie an der nächsten Klasse solcher Uboote mit ballistischen Raketen.

Ja, und dann noch das Hirngespinst mit dem Fracking, also der frakturierten Förderung von Erdgas. Im Prinzip ist Fracking eine schöne Sache, weil man mit dieser Fördertechnik Lagerstätte, die bei konventioneller Förderung nicht mehr genug Erdgas/Erdöl liefern, für eine ganze Weile reaktivieren kann. In der Praxis ist es eine kostspielige Sache, die sich erst ab einem bestimmten Rohstoffpreis lohnt, denn die Technik selber gibt es schon lange und ist schon lange bekannt, und das Pumpen irgendwelcher toxischer Chemikalien in den Untergrund, die dann auch da bleiben, ist umstritten. In den USA ist Fracking inzwischen weit verbreitet, während es in Europa mit dem Hinweis auf mögliche Umweltschäden bisher kaum von der Stelle kommt.

Die USA jedenfalls fahren auf Fracking ab. Ihr Traum ist dabei die energetische Autarkie, zumindest für einen gewissen Zeitraum. Das bedeutet aber, dass es amerikanisches Erdgas aus Fracking auch nur für Amerikaner geben wird. Warum sollten die USA es in alle Welt exportieren wollen? Das wird für sie kaum Sinn machen und daher so nicht kommen.

Dazu kommt, dass auch eine mit Fracking wiederbelebte Lagerstätte nicht ewig angezapft werden kann, irgendwann ist dann auch eben mit Fracking wieder Schluss und dann braucht es andere Mittel und Wege, den Energiehunger zu stillen.

Fracking selber gibt einem Land nur eine gewisse Verlängerung der bisherigen Infrastruktur, ewig betrieben werden kann es absolut nicht.

Also bleibt im Grunde alles so, wie es ist: die meisten Staaten sind abhängig von ihren Rohstofflieferanten, während diese es sich aussuchen können, wohin sie ihre Rohstoffe liefern. Und eine wirkliche, energetische Autarkie wird man nur mit Hilfe anderer Energiewandlungsssysteme dauerhaft erreichen können, die vor allem das nutzen, was im jeweiligen Land zuhauf vorkommt.

Business

Facebook kauft Oculus VR

Einer der Heilsträger der Spielebranche des letzten Jahres, nämlich die Firma Oculus VR, wurde von Facebook für zwei Milliarden US$ aufgekauft. Das ist ein herber Schlag, denn Oculus ist momentan so ziemlich die erste und einzige virtuelle Realitätsbrille, die in der Entwicklung ist und deren Testgeräte wirklich brauchbar sind.

Viele Firmen, wie auch Linden Lab, sehen in dem Gerät einen möglichen Game Changer und arbeiten bereits seit längerem daran, ihre Programme damit kompatibel zu machen. Bis jetzt eben.

Denn jetzt, da Oculus VR ab sofort zu Facebook gehört, dürfte für viele das Produkt vergiftet sein, denn wer vertraut schon wirklich Facebook? Die Reaktionen bleiben abzuwarten, der Minecraft-Entwickler Markus Persson jedenfalls schrieb schon dies auf Twitter:

We were in talks about maybe bringing a version of Minecraft to Oculus. I just cancelled that deal. Facebook creeps me out.

Also kein Minecraft mehr für Oculus und Persson führt das in seinem Blog noch genauer aus, warum er Facebook mißtraut.  Und so wie er dürften viele, weitere Spieleentwickler auch denken und ticken. Ich persönlich halte diesen Verkauf für einen herben Rückschlag.

Role play

Burkhard Schröder ist Yuroki Uriza

Yuroki Uriza könnte manchem, trotzdem er hauptsächlich im englischsprachigen Gor unterwegs ist, ein Begriff sein. Er ist der Herausgeber der „New Voice of Gor“, die regelmäßig eine deutsche Sparte enthält und in allen relevanten deuschsprachigen Gruppen verteilt wird, wobei sie zweifelsohne als eine der in world Publikationen zum Thema Gor überhaupt gerechnet werden kann, wenn sie nicht gar die bedeutendste ihrer Art ist.

Er ist der Besitzer des „House of Yuroki“, einem weitverzweigten und schon lange existenten goreanischen Handelsimperiums.

Er ist der Besitzer und Betreiber der BtB-BildschirmfotoSim „Tancred’s Landing“ und ich bin mir ziemlich sicher er steckt auch hinter dem Avatar Raschid Hassanein, der immer mal wieder ein wenig gerne in Gor auf Deutsch trollte und durch gezieltes Lancieren von Mitteilungen für Aufruhr in der Gruppe sorgte.

All das und sicher noch viel mehr ist in world Yuroki Uriza, es handelt sich dabei im internationalen Gor um eine feste Größe. Warum ich diese schreibe? Dies ist ganz einfach, weil es sich bei dem Spieler hinter Yuroki Uriza vermutlich um eine der prominentesten deutschsprachigen Personen auf Gor überhaupt handeln dürfte, nämlich der Berliner Journalist Burkhard Schröder. Dass Schröder Yuroki Uriza ist, schreibt er selber bei sich in seinem eigenen Blog und ist damit absolut kein Geheimnis.

Kommen wir damit zur Prominenz. Woran kann man die fest machen? Ein Indiz ist, dass Burkhard Schröder über seinen eigenen Eintrag in der deutschsprachigen Wikipedia verfügt, der bis heute von all den Löschfanatikern dort unangetastet blieb. Überspitzt gesagt: er ist nach den aktuellen Kriterien für die Wikipedia relevant. Er ist damit meines Wissens der einzige deutsche Gorspieler, über den man etwas überhaupt auf die Art und Weise in der Wikipedia lesen kann. Das hat bisher sonst keiner geschafft.

Schröder selber, so kann man in der Wikipedia lesen, ist am 10. August 1952 in Holzwickede (NRW) geboren worden und momentan damit 61 Jahre alt. Bekannt wurde er durch eine Vielzahl von Publikationen und Büchern, wobei seine Recherchen zum Thema Tron mit die bekanntesten sein dürften, die in der Hackerszene geteilt aufgefasst wurden und zu einem offenen Disput von ihm mit dem CCC im Jahre 1999 führten. Auf Amazon finden sich noch weitere Bücher von ihm, unter anderem zum Thema Rechtsextremismus und Verfassungsschutz/Geheimdienste.

Schröder ist weiterhin langjähriger, fester Autor bei der Publikation „telepolis“ des Heise-Zeitschriftenverlags in Hannover und hat für diesen eine Vielzahl an Beiträgen verfasst. Auch kam er 2008 in den Genuss einer Hausdurchsuchung bei sich durch die Berliner Polizei, weil man angeblich Explosivstoffe in seiner Wohnung vermutete. Es mutete stark als Behörenwillkür an und endete für ihn mit einem Freispruch.

Neben all seinen goreanischen Rollenspielblogs betreibt er auch seit 2003 sein Hauptblog namens „Burks Blog“, auf dem er neben Gor-Rollenspiel, das hier nur eine Nebenrolle einnimmt, über frühere Reisen referiert, zur aktuellen politischen Lage schreibt, die Fortschritte seines Lauftrainings publiziert und anderes mehr.

Eines von Schröders Hauptanliegen ist auch die Verbreitung von kryptographischen Kenntnissen in der Bevölkerung; er war Gründungsmitglied der nicht mehr existierenden German Privacy Foundation und arbeitet nun unter dem Projekttitel „German Privacy Fund“ an einer Vielzahl an Anleitungen, wie man Emails und andere Kommunikationsmedien hochgradig verschlüsseln kann.

Sicher ist, Schröder teilt auch mal durchaus gerne aus und beschäftigt sich auch mit Themengebieten, wo die Gesellschaft von heute lieber bewusst nicht so genau hinsieht. Damit hat er sich im Laufe seines Lebens längst nicht nur Freunde gemacht.

So oder so, er ist sicherlich einer der prominentesten Vertreter, der sich ins Gor-Rollenspiel verirrt hat und auch eine Beschäftigung mit der Person hinter den Pixeln ist in dem Fall äußerst interessant und spannend. Es lohnt sich allemal.