Web application engineer, addicted angler and computer science student

Schonmal bei Joey’s Pizza in Ulm bestellt?
Fast so schlimm wie bei Payback:

Fehlt eigentlich nur noch, dass die Checkbox per Default aktiviert ist

Neulich hat der BCW in der Datenschutzvorlesung erwähnt, dass PGP-Unterschriften aus irgendeinem Grund nicht eine reale Unterschrift ersetzen können/dürfen. Irgendwie kam mir das eigenartig vor, da PGP ja eigentlich ein relativ sicheres Verfahren zur digitalen Signierung von Dokumenten darstellt. Jetzt habe ich also mal etwas nachgeforscht und siehe da: Der Grund für dieses Misstrauen in PGP liegt in der Tatsache, dass OpenPGP/GnuPG eine quelloffenene (bzw. OpenSource-) Technologie darstellt und es bisher noch nicht gelang, Vater Staat diese schmackhaft zu machen, denn eben dieser stellt die Forderung, dass Sofware, die eine digitale Unterschrift realisiert, eine nach SigG (Signaturgesetz) “qualifizierte” sein muss (Was immer das jetzt heissen mag). Eine solche Qualifizierung gelang bisher nur proprietären Systemen und das auch nur mit hohem Aufwand, da dieser Prozess eine Überprüfung und Zertifizierung der Software beinhaltet und nicht gerade billig ist.

Ist schon irgendwie interessant, wie die Bürokratie ausgereifte und sichere Technik ihrem eigentlichen Zweck vorbehalten kann und den Bürgern somit die Möglichkeiten der Vorteile eben dieser verwährt. Wie oft musste ich schon sinnlos irgendwelche Dokumente unterschreiben (um mich z.B. bei Payback abzumelden), in ein Kuvert packen, frankieren und warten, bis sich was tut, obwohl grade solche Dinge mit PGP sehr einfach zu realisieren wäre.

So, das Semester ist jetzt schon ein paar Wochen alt und es wird Zeit für ein Fazit (imho):

1. Datenschutz (B. C. Witt)
   Nachdem ich bereits vor einem Jahr diese Veranstaltung besuchen wollte (allerdings nach ca. 2 Vorlesungen nicht mehr hinging), versuchte ich es dieses Mal erneut, da mich das Thema durchaus interessiert. Das Problem letztes Jahr lag sicherlich auch an ein paar Studenten, die mit in der Veranstaltung saßen und meinten, ständig irgendwelche dumme Fragen á la “Meine Oma hat nen Internetanschluss und verbreitet Nazipropaganda – Darf die das?” stellen zu müssen. Das ist dieses Jahr zum Glück nicht so und selbst die Übungen in denen erstmal das komplette Bundesdatenschutzgesetz durchgearbeitet werden muss schrecken mich nicht mehr ab, denn hat man erstmal einen Überblick über den gesamten Text, so sind die Übungsaufgaben relativ schnell (maximal 2 Stunden) erledigt.
   Möchte man einen Übungsschein, so muss man dieses Mal vor jeder Übung für Punkte votieren. Wer dies tut, muss damit rechnen, in der Übungsstunde nach vorne gerufen zu werden und dann eine Aufgabe vorzutragen, was aber echt nicht schlimm ist, wenn man sich mal etwas Zeit genommen hat und ernsthaft die Aufgaben bearbeitet hat. Hat man keine Lösung parat, so gibt es selbst für LösungsIDEEN Punkte.
   Die Vorlesung an sich ist zumindest für mich relativ interessant. Der BCW teilt in der ersten Vorlesung Zettel aus in denen man ankreuzen kann, welches Themengebiet einen interessiert und das Thema, das die meisten Stimmen erhält wird besonders intensiv behandelt.
   Weiterhin ist die Vorlesung sehr praxisnah und der Dozent reitet nicht sehr viel auf Paragraphen rum und verdeutlicht kompilizierte juristische Probleme durch simple Beispiele.

   Alles in allem eine Vorlesung, die besser ist als ihr Ruf, die allerdings etwas unter den vielen juristischen Texten leidet, daher:

   Vorlesung: Note 2-
   Übungs: Note 2-
   

2. Multimediasysteme (Prof. Weber)
   Was wäre eine Vorlesung ohne meinen Lieblingscomedian Prof. Weber? Auch dieses Jahr gibt es wieder eine Vorlesung von ihm und zwar Multimediasysteme, was im Prinzip nahtlos an die Webervorlesungen aus dem Grundstudium (Interaktive Systeme, Mediale Informatik) anknüpft. Wie gewohnt gibt es hier eine solide Vorlesung mit guten Vorlesungsfolien. Der Inhalt überschneidet sich teilweise mit dem was Medieninformatiker bereits kennen (JPEG Kompression, MPEG…), aber so ne Wiederholung ist ja jetzt auch nicht so schlimm…
   Die Übung wird wieder mal von Boto Baka geleitet und scheint mir im gegensatz zu Webengineering etwas intensiver zu sein, denn auf dem ersten Übungsblatt muss man mal eben schnell einen Videoplayer mit Direct Show in C++ programmieren. Ich weiss noch nicht, wieviel Aufwand das ist, aber wenig kann’s ja wohl nicht sein. Und wer kann eigentlich noch in Zeiten von JAVA C++ programmieren?
   Die Übung selber ist wie gewohnt langweilig. Boto bleibt seiner monotonen Stimmlage treu und fühlt sich auch nicht genötigt, mal zur Ruhe zu rufen, wenn es im Hörsaal mal wieder zu laut wird. Das sind so die Übungsstunden, in denen ich manchmal aus dem Fenster springen könnte.

   Alles in allem aber trotzdem wieder eine solide Weber-Vorlesung mit unangenehmen Übungen:

   Vorlesung: Note 2
   Übung: Note 3-

3. Medienrecht (Prof. Gass)
   Von dieser Vorlesung hat bestimmt jeder schonmal etwas gehört. Sprüche von “Da lernst du ne Woche drauf und schreibst ne 1!” oder “Das war im letzten Jahr die am schlechtesten evaluierte Vorlesung” sind ganz normal. Trotzdem habe ich mich mal getraut mich reinzusetzen. Trotz des etwas unglücklichen Termins (Freitag 14 Uhr bis 18 und Übung manchmal Samstags (wtf?)) wollte ich der Vorlesung mal eine Chance geben und das Risiko eingehen von all meinen Kommilitonen für diesen Frevel geächtet zu werden
   Nachdem die Vorlesung in den ersten beiden Wochen ausgefallen war hatte ich heute meinen ersten Block Medienrecht und siehe da: So übel war’s gar nicht. Prof. Gass ist ein ziemlich gemütlicher, eigenartiker, Fisherment Friend’s kauender Typ, der eigentlich gar keine Vorlesung macht, sondern nur vorne sitzt und fragen stellt (lol). Das sieht dann ungefährt so aus: “Mhh… jaaa… was ist denn eine OHG?”… Keiner bis auf zwei Nachtkappen, die wohl schon Vorerfahrung auf dem Gebiet haben, wissen es und so artet die Vorlesung zu einem Monolog zwischen diesen zwei Gestalten und dem Dozenten aus. Ziemlich langweilig aber immer wieder kommen doch spannende Themen (z.B. Domain-Grabbing, Urheberrecht usw.) auf oder Gass reisst mal nen lustigen Spruch: “Jetzt stellen Sie sich mal vor, Sie uns Ihre anderen 2 Geschäftspartner wollen Klopapier bestellen (…)”.
   Die Übung sollte ursprünglich Samstag stattfinden, aber Gass lies sich erbarmen, die Übungsblätter per e-Mail rumzuschicken, damit die von uns bearbeitet werden und uns dieser doch etwas eklige Termin erspart wird. Mal sehen.

   Alles in allem habe ich bisher nur einen kleinen Einblick bekommen und bin mir noch etwas unschlüssig, was ich davon halten soll. Daher:

   Vorlesung: Vorläufig keine Note
   Übung: s.o.

4. AF Interaktive Systeme (Prof. Reinke, Roger Walk)
   Zu guter letzt noch was zu meinem Start in mein neues Anwendungsfach, nachdem ich von Ubicomp gewechselt war:
   Im Prinzip ist alles so, wie ich es erwartet habe: Keine Vorlesung, aber jede Menge Gruppenarbeit. Es geht um das Designen von guten Userinterfaces in kleinen Gruppen.
   Roger macht in den Besprechungen immer gut deutlich, was er verlang und hat immer ein paar gute Tips parat. Die Aufagben halten sich in überschaubarem Rahmen (Hier ein kurzer Vortrag, da mal ein neues Konzept für ein UI überlegen). Leider kenne ich aus diesem Semester (noch) kaum Leute, aber das wird sich noch legen, denke ich.

   Wie erwartet, das was man von IS kennt, daher:

   Anwendungsfach IS: Note 2

Ich werde oft von Computer-Einsteigern gefragt, warum man sich denn immer ein besonders kompliziertes Passwort merken bzw. ausdenken sollte. Bisher konnte ich das nie so richtig gut erklären (Mal abgesehen davon, zu versuchen, eine Dictionary-Attack zu erklären), aber heute in der Webengineering-Vorlesung war ein Techniker von team-ulm.de da und hat einen kleinen Vortrag über die Servertechnik dort gehalten und da kam mir die Erleuchtung

Unter anderem wurde in der Vorlesung gezeigt, dass md5-gehashte Passwörter nur dann sicher sind, wenn das gewählte Geheimwort nicht zu einfach ist.

Nehmen wir zum Beispiel als Passwort “berlin”. Das ist sehr einfach, denn die Phrase ist kurz, besteht nur aus Buchstaben und ist komplett klein geschrieben. Außerdem handelt es sich hierbei um ein “sinnvolles” Wort. Damit meine ich, dass es sich um ein tatsächlich existentes “Ding” handelt. In diesem Fall die Hauptstadt Deutschlands.

Da dieses Passwort nun so einfach ist, kann es durchaus sein, dass viele Leute dies zur Authentisierung benutzen, weil sie es sich einfach gut merken können, zum Beispiel weil es ihr Geburtsort ist oder ein guter Freund dort wohnt und genau das ist das Problem:

Im Internet gibt es inzwischen Datenbanken, die alle möglichen Wörter mit ihrem zugehörigem md5-hash speichern. So zum Beispiel http://www.md5decrypter.com.

Gibt man hier nun einen md5-hash ein, der aus einem sehr einfach Passwort gebildet wurde, ist die Wahrscheinlichkeit sehr hoch, einen Treffer zu landen.

Wenn wir nun unser Beispielpasswort “berlin” hashen, erhalten wir: d35a02eb49149450fb2fffc6e467eb37

Wer möchte, kann diesen hash nun im decryptor eingeben und erhält wieder das ursprüngliche Wort. Dabei wird kein einziges Mal gerechnet, um das ursprüngliche Passwort rauszukriegen. Es wird lediglich nach einem Treffer in der Datenbank gefahndet.

Dies funktioniert deswegen so gut, weil md5 kaum Kollisionen erzeugt und somit die Hashwerte nahezu eindeutig sind. Und selbst wenn zwei Werte mal den gleichen Hashwert besitzen, wäre es kein Thema, beide Passwörter bei eBay auszuprobieren.

Da md5 ansonsten ein relativ sicheres Verfahren darstellt, ist es sehr schade, dass der Algorithmus durch die Wahl schwacher Passwörter praktisch ad absurdum gestellt wird. Dabei ist es so einfach, sich ein gutes auszudenken und vor allem zu merken:

Bleiben wir beim Beispiel Berlin. Nehmen wir an, wir haben einen Freund oder Freundin in Berlin. Diese Person stinkt aber sehr. Also könnte man daraus einen Satz bilden:

Paul

aus

Berlin

stinkt

unglaublich

stark

am

Fuß !

Das neue Passwort bildet sich nun aus den Anfangsbuchstaben des Satzes, der ja durchaus einprägsam ist: PaBsusaF

Obwohl das Passwort allerdings 8 Zeichen besitzt (Was ausreichend ist) und sowohl Groß- als auch Kleinschreibung beinhaltet fehlen noch Sonderzeichen und Zahlen.

Diese können aber sehr einfach eingebaut werden, indem man Buchstaben durch andere Zeichen ersetzt, die ähnlich aussehen und daher leicht zu merken sind.

Zum Beispiel könnte aus einem I einfach eine 1 werden. Oder ein !

Der Bustabe O könnte durch eine 0 ersetzt werden usw. …

Bei unserem Beispiel könnte man also folgendes (endgültig sicheres) Passwort bilden:

Pa85u5aF!

Das Ausrufezeichen habe ich am Ende noch eingefügt, da mir kein gutes Sonderzeichen eingefallen ist

Heute ist Prof. Weber in der Webengineering-Vorlesung etwas über Blogs hergezogen, was mich dazu angeregt hat, mir über die ganze Sache ein wenig Gedanken zu machen. Seiner Meinung nach ist gibt es wohl eine Diskrepanz zwischen dem Thema Datenschutz und dem Publizieren von persönlichen Informationen im WWW über Blogs. Weiterhin sagte er, dass interessanterweise gerade Leute, die sich dem Datenschutz verschrieben haben zum Beispiel irgendwelche Urlaubsfotos in’s Netz stellen, die man dann wohl so “nie mehr wieder weg kriegt”.

Besonders letzter Punkt hat mich dazu gebracht, etwas nachzudenken, denn so Unrecht hat der gute Mann natürlich nicht. Auf der einen Seite bemühe ich mich, dass das StudiVZ nicht so einfach an meine Daten kommt, auf der anderen Seite hab ich hier in diesem Blog tonnenweise Bildergalerien, die mir später bei der Suche nach einem Job Probleme machen können.

Allerdings muss ich auch sagen, dass ich, gerade wenn es um private Fotos geht, zu diesen stehe. Ich habe kein Problem damit, wenn mein zukünftiger Chef sieht, wie ich als Student betrunken unter’m Tisch lag. Ist ja kein Geheimnis, dass Studenten gerne feiern.

Außerdem gebe ich mir sehr viel Mühe, dass zum Beispiel Spambots nicht so einfach über meinen Blog “drübercrawlen” können und zum Beispiel meine e-Mail Adresse abgrasen, obwohl ich diese unter “Kontakt” angegeben habe. Zumindest der Google Bot soll nicht in der Lage sein, diesen “Sicherheitsmechanismus”, bestehend aus etwas Javascript und einem CSS-Hack, auszulesen.

Sucht man auch zum Beispiel bei Google nach “Timo Ernst” findet man nicht viel, da ich alles, was ich dort gefunden habe und mir nicht passte, von Google habe entfernen lassen. Das geht übrigens relativ schnell und einfach, indem man einfach nur ein Formular bei den Brüdern ausfüllt und das war’s. Ob dadurch die Daten wirklich aus den Datenbanken von Google gelöscht werden oder ob sie einfach nicht mehr in den Suchergebnissen angezeigt werden, wage ich allerdings zu bezweifeln.

Trotzdem bleibt irgendwie ein fader Beigeschmack, den mir Onkel Weber nun bereitet hat und den ich wohl so schnell nicht loswerde.

Ok, ich komm halt einfach nicht los von der Scheisse
Da ich nun meine Freundeliste wieder komplett neu aufbauen muss, bitte ich darum mich als Freund einzuladen, falls ich das nicht schon bei euch gemacht habe! Ihr findet mich im VZ als “Timo aka T-Stroyer”

Damals bin ich ja aus datenschutzrechtlichen Gründen augrund zweifelhafter AGB’s ausgetreten.

Diese haben sich bis heute zwar nicht geändert, jedoch kann man einiges tun, damit die guten Jungs und Mädels vom VZ nicht dafür sorgen, dass das eigene Postfach mit Werbung für Penisverlängerungen überläuft und so geht’s:

1. Namen ändern: Einfach den Namen in irgendeinen Phantasienamen ändern. Kreativität ist gefragt!
2. Alternative e-Mail Adresse nutzen!
3. Die Felder Kontakt, Persönliches, Arbeit nicht ausfüllen.
4. Generell so wenig eigene Daten wie möglich angeben.
5. Ein Foto als Avatar nutzen, auf dem man nicht genau erkennbar ist (Sonnenbrille?)
6. Unter “Privatsphäre” die Option “Nur meine Freunde” unter “Wer darf meine Seite sehen?” anklicken (Schutz for Phishing)
7. Ganz unten im Footer der Seite auf “Datenschutz” klicken. Dann diesen Links folgen:

• Datenschutzerklärung

• Einstellung der Verwendung meiner Daten

• => Alle Haken wegmachen und speichern

Da ich immer wieder darauf angesprochen werde:

“Wie, du hast dich abgemeldet?”

“Warum bist du aus dem StudiVZ raus?”

Wie ich bereits in einem älteren Blogeintrag mal geschrieben hatte, waren die neuen AGBs ja mehr als fragwürdig. Trotz eMails seitens der Community-Verwalter, in der beteuert wurde, niemals Daten an Dritte weitergeben zu wollen, stellt sich mir die Frage, warum denn dann ein entsprechender Paragraph in den AGBs auftaucht, der dies ausdrücklich erlaubt. Das ist so, als wenn ein Fremder mich auf der Straße anquatsch und sagt: “Gib mir deine Geldbörse, aber keine Sorge, ich renn damit schon nicht weg”.

Aber mal abgesehen davon, habe ich grade erst einen interessanten Heise-Artikel gelesen in dem generell vor Social-Networking à la Facebook oder mySpace gewarnt wird.

Der Grund: Phishing-Betrüger (Leute, die sich für jemande anders ausgeben und so die Empfänger von z.B. eMails reinlegen) können die in den Netzwerkportalen hinterlassenen Daten dazu missbrauchen, um gezielt, personalisierte Phishingbetrügereien zu begehen.

Zum Beispiel hätte man über das StudiVZ leicht herausfinden können, dass ich Johannes aus der Uni kenne. Somit hätte sich also jemand per eMail als Johannes ausgeben können und mir eine eMail mit entsprechendem Anhang zuschicken können. Da ich Johannes persönlich kenne und ihm vertraue, hätte ich den Anhang vielleicht sogar geöffnet.

Dieses Verfahren ist nicht nur Utopie sondern wurde bereits eingesetzt laut heise.de:

Bereits Mitte 2007 berichteten Sicherheitsunternehmen von ersten gezielten Attacken auf Personen aus Wirtschaft, Industrie und Politik, bei denen offenbar vorher Informationen über Profile auf Facebook und Linked-In gesammelt wurden.

Im Zusammenhang mit Sicherheitslücken in Social-Network-Seiten wurde auch erst kürzlich ein Javascript-Wurm bekannt, der sich durchs Google’s “Orkut” schlich. Dabei wurden gezielt Gästebücher mit Javascriptcode kompromitiert an denen sich alle Besucher eines solches Gästebuchs infizierten. Der Wurm konnte dadurch die Profile der einzelnen User verunstalten. Angeblich war es sogar möglich Zugangsdaten zu Bankverbindungen mitzuschneiden.

Na, ja. Ich wünsche trotzdem allen ein frohes, neues und vor allem sicheres Jahr! Ich geh jetzt Snowboarden

Bob ist ein etwas schüchterner Junge der 10. Klasse. Eines Tages kommt ein neues, wunderschönes junges Mädchen hinzu. Sie ist dermaßen hinreissend, dass sich Bob hemmungslos in sie verliebt.

Das Mädchen heisst Alice.

Da er jedoch so schüchtern ist, traut er sich nicht, sie anzusprechen.
Außerdem möchte er nicht, dass der Klassenclown Malory von seiner Liebe erfährt.

Also beschließt er, ihr eine Liebesemail zu schreiben.

Zu Hause setzt er sich vor seinen Computer und fragt sich, ob es denn eine gute Idee ist, eine solch sensible Nachricht einfach so per eMail zu verschicken. Kann sie abgehört/abgefangen werden? Einen “normalen Brief” könnte schließlich auch jederzeit von jedem geöffnet und gelesen werden.

Um also zu vermeiden, dass Malory seine eMail liest, möchte er seine eMail verschlüsseln, so dass sie kein anderer lesen kann.
Und das macht er so:

Bob weiss, dass Alice sehr viel von IT-Sicherheit versteht und dass sie ihren eigenen PGP-Schlüssel hat, um eMail-Verschlüsselung verwenden zu können.
Dazu hat sie sich einen sog. Keypair generieren lassen. Dieser Keypair besteht aus zwei Schlüsseln:

Secret Key
Public Key

Aus ersterem kann der zweitere, der öffentliche Schlüssel generiert werden. Diesen hat Alice an all ihre Freunde verteilt. Er ist kein Geheimnis und wird von jedem benötigt, der ihr eine verschlüsselte eMail schreiben will.
Den geheimen Schlüssel jedoch bewahrt sie gut auf. Sie hat ihn auf eine CD gebrannt und ihn in eine ihrer Schubladen versteckt – Gleich neben dem Bett bei den Kondomen (Die alte Schlampe!).

Zurück zu Bob: Er sucht auf einem Schlüsselserver, wie zum Beispiel pool.sks-keyservers.net, nach dem öffentlichen Schlüssel von Alice und findet ihn auch.

Er benutzt nun diesen öffentlichen Schlüssel von Alice, um seinen Liebesbrief zu verschlüsseln. Dafür gibt es Programme, wie zum Beispiel Enigmail + OpenPGP für den Thunderbird mail client. Open Source, und daher kostenlos.

Um Alice zu ermöglichen, dass sie ihm auch eine verschlüsselte eMail zurückschreiben kann, generiert er sich ebenfalls einen Keypair.
Dazu wählt er ein Passwort, 2048-Bit-Verschlüsselung und den RSA Verschlüsselungsalgormithmus. Er weiss nicht genau, was all diese Fachbegriffe bedeuten, aber sein alter Klassenkamerad und Computerfreak Ken hat ihm dazu geraten, dem er auf jeden Fall vertraut.

Seinen geheimen Schlüssel versteckt Bob nun auch sehr gut in seinem Zimmer. Allerdings, anders als Alice, zwischen seinen alten Socken.
Den öffentlichen Schlüssel hängt er an seine Liebes-Mail an.

Ein paar Tage später hat Alice ein Kondom weniger in ihrer Schublade (Die alte Schlampe!).

Meinen public Key gibt es übrigens unter http://www.timo-ernst.net/pgp/pgpkey.asc