Montag, 4. April 2011
Ich mache mich mal wieder verdächtig
Themen: Computer, Sicherheit
sileas, 17:18h
Wie vor einigen Tagen Udo bemerkte, kann es heutzutage schon verdächtig sein, wenn man keine Pornos auf dem Rechner hat.
Och menno. Da vergeht einem ja direkt die Lust am Lawblog-Lesen. Denn da tauchen in schönster Regelmäßigkeit Gründe auf, warum ich mich mit meinem ganz normalen Alltagsverhalten verdächtig mache (zumindest in den Augen paranoider Gesetzeshüter). Letzten Sommer beispielsweise die Sache mit der ganz normalen Alltagsverschlüsselung, und jetzt das. Grummel, motz, mecker. :-(
In dem von ihm diesmal beschriebenen Fall geht es um einen Mann, dessen Rechner von der Polizei beschlagnahmt worden war. Bei der Untersuchung der Festplatte fiel den Ermittlern auf, daß da keine Pornos drauf waren. Kein einziger. Logische Schlußfolgerung: Da kann doch was nicht stimmen.
<schluck> Und was mach ich jetzt? Die Pornos, die ich in elektronischer Form habe, befinden sich alle auf verschlüsselten Partitionen mit ziemlich langem Paßwort (wie gesagt: die ganz normale Alltagsverschlüsselung). Ich weiß nicht, ob die Polizei Spezialexperten hat, die sowas knacken können... Wenn nicht, bin ich anscheinend ebenfalls hochverdächtig, da pornofrei.
<grübel> Vielleicht sollte ich einen oder zwei ins Heimverzeichnis verschieben? Nur des Anscheins halber? „Guckt mal, ich hab nackte Menschen im Rechner, ich bin harmlos“ oder so?
Ach nein... ich bin ja eine Frau! Glück gehabt! Da brauche ich ja dann doch keine Alibi-Nackedeis deutlich sichtbar auf die Festplatte zu legen, nur damit ich weniger kriminell aussehe... ;-)
<pornoswiederversteck>
Uff, gerade noch mal davongekommen...
Nachtrag: Man kann nicht nur, wie oben angedeutet, Filme in verschlüsselten Partitionen verstecken, sondern anscheinend auch umgekehrt. Jemand hat tatsächlich ein Skript geschrieben, das einem einen TrueCrypt-Container in einer MP4-Datei (also einem Film) versteckt, und der Film ist nachher noch abspielbar und die verschlüsselten Daten also gut versteckt.
Für die ganz Technischen unter uns ist hier noch ein Link zum Original-Artikel.
Och menno. Da vergeht einem ja direkt die Lust am Lawblog-Lesen. Denn da tauchen in schönster Regelmäßigkeit Gründe auf, warum ich mich mit meinem ganz normalen Alltagsverhalten verdächtig mache (zumindest in den Augen paranoider Gesetzeshüter). Letzten Sommer beispielsweise die Sache mit der ganz normalen Alltagsverschlüsselung, und jetzt das. Grummel, motz, mecker. :-(
In dem von ihm diesmal beschriebenen Fall geht es um einen Mann, dessen Rechner von der Polizei beschlagnahmt worden war. Bei der Untersuchung der Festplatte fiel den Ermittlern auf, daß da keine Pornos drauf waren. Kein einziger. Logische Schlußfolgerung: Da kann doch was nicht stimmen.
<schluck> Und was mach ich jetzt? Die Pornos, die ich in elektronischer Form habe, befinden sich alle auf verschlüsselten Partitionen mit ziemlich langem Paßwort (wie gesagt: die ganz normale Alltagsverschlüsselung). Ich weiß nicht, ob die Polizei Spezialexperten hat, die sowas knacken können... Wenn nicht, bin ich anscheinend ebenfalls hochverdächtig, da pornofrei.
<grübel> Vielleicht sollte ich einen oder zwei ins Heimverzeichnis verschieben? Nur des Anscheins halber? „Guckt mal, ich hab nackte Menschen im Rechner, ich bin harmlos“ oder so?
Ach nein... ich bin ja eine Frau! Glück gehabt! Da brauche ich ja dann doch keine Alibi-Nackedeis deutlich sichtbar auf die Festplatte zu legen, nur damit ich weniger kriminell aussehe... ;-)
<pornoswiederversteck>
Uff, gerade noch mal davongekommen...
Nachtrag: Man kann nicht nur, wie oben angedeutet, Filme in verschlüsselten Partitionen verstecken, sondern anscheinend auch umgekehrt. Jemand hat tatsächlich ein Skript geschrieben, das einem einen TrueCrypt-Container in einer MP4-Datei (also einem Film) versteckt, und der Film ist nachher noch abspielbar und die verschlüsselten Daten also gut versteckt.
Für die ganz Technischen unter uns ist hier noch ein Link zum Original-Artikel.
... Permalink
Freitag, 11. März 2011
Anonym unterwegs...
Themen: Computer, Sicherheit
sileas, 11:22h
Ich wollte als Überschrift ja eigentlich „Where in the World is Julia Sandiego?“ nehmen, aber dann ist mir eingefallen, daß dieser dezente Hinweis auf amerikanische Popkultur an den meisten deutschsprachigen Lesern wohl unerkannt vorübergeht. Naja, egal.
Eben hat mir GMail recht deutlich vor Augen geführt, wie gut mein lieber anonymisierender Proxy TOR funktioniert.
Ich schaute in meine E-Mail und bekam als allererstes eine Warnung angezeigt, richtig dramatisch in rot: Auf meinen Account hätte es verdächtige Zugriffe gegeben.
Oweia, dachte ich, und klickte auf „Mehr Informationen anzeigen“.
Daraufhin bekam ich unter anderem das hier:![[Bild: GMail-Log meiner Account-Zugriffe über einen anonymisienden Proxy]](https://cdn.blogger.de/static/antville/sileas/images/gmail-tor-activity.jpg "[Bild: GMail-Log meiner Account-Zugriffe über einen anonymisienden Proxy]")
Die Uhrzeiten sind konsistent mit meinen Surfgewohnheiten.
Aber schaut euch mal die Länder an. :-) TOR wechselt von sich aus in gewissen Abständen die Route, über die er mich ins Netz bringt. So ist es natürlich nur logisch, daß ich bei jedem neuen Zugriff auf dieselbe Seite aus einer anderen Richtung zu kommen scheine. Daß die Zugriffe überhaupt alle von mir kamen, kann nur daraus geschlossen werden, daß sie jeweils mit derselben Benutzerkennung erfolgen. (Seiten, bei denen ich mich gar nicht einlogge bzw. keine Benutzerkennung habe, wissen natürlich nicht mal das. Allerdings kann man sich da nicht in allen Fällen drauf verlassen; beispielsweise bin ich anscheinend so ziemlich der einzige Mensch, der (1) fast ständig mit TOR surft und (2) ab und zu mal auf der Homepage einer Freundin von mir vorbeischaut. Jedesmal, wenn die in ihren Logs einen dedizierten TOR-„Ausgang“ sieht, schickt sie mir eine Mail: warst du das? Und meistens war ich’s dann auch. – TOR-Server haben nämlich oft einen sprechenden Namen, z. B. torserver1234 oder etwas kreativer petras-tor-zur-welt. Allerdings nicht immer... Meiner beispielsweise heißt bluerose, und das wäre auch der Name, der in Logs auftauchen würde, wenn ich den von mir betriebenen TOR-Knoten als „Ausgang“ konfiguriert hätte.)
Zu dem Zeitpunkt, als ich die obigen Informationen von GMail abrief und aus deren Sicht aus Österreich kam und die IP-Adresse 84.114.175.62 hatte, befand ich mich übrigens immer noch in Finnland und hatte von meinem Provider gerade die IP-Adresse 85.76.137.36 zugeteilt bekommen.
Jetzt bleibt nur noch die Frage, warum GMail erst jetzt, nach bald einem Jahr TOR-Benutzung meinerseits, auf die Idee kommt, hier wäre irgendwas seltsam...
Eben hat mir GMail recht deutlich vor Augen geführt, wie gut mein lieber anonymisierender Proxy TOR funktioniert.
Ich schaute in meine E-Mail und bekam als allererstes eine Warnung angezeigt, richtig dramatisch in rot: Auf meinen Account hätte es verdächtige Zugriffe gegeben.
Oweia, dachte ich, und klickte auf „Mehr Informationen anzeigen“.
Daraufhin bekam ich unter anderem das hier:
Die Uhrzeiten sind konsistent mit meinen Surfgewohnheiten.
Aber schaut euch mal die Länder an. :-) TOR wechselt von sich aus in gewissen Abständen die Route, über die er mich ins Netz bringt. So ist es natürlich nur logisch, daß ich bei jedem neuen Zugriff auf dieselbe Seite aus einer anderen Richtung zu kommen scheine. Daß die Zugriffe überhaupt alle von mir kamen, kann nur daraus geschlossen werden, daß sie jeweils mit derselben Benutzerkennung erfolgen. (Seiten, bei denen ich mich gar nicht einlogge bzw. keine Benutzerkennung habe, wissen natürlich nicht mal das. Allerdings kann man sich da nicht in allen Fällen drauf verlassen; beispielsweise bin ich anscheinend so ziemlich der einzige Mensch, der (1) fast ständig mit TOR surft und (2) ab und zu mal auf der Homepage einer Freundin von mir vorbeischaut. Jedesmal, wenn die in ihren Logs einen dedizierten TOR-„Ausgang“ sieht, schickt sie mir eine Mail: warst du das? Und meistens war ich’s dann auch. – TOR-Server haben nämlich oft einen sprechenden Namen, z. B. torserver1234 oder etwas kreativer petras-tor-zur-welt. Allerdings nicht immer... Meiner beispielsweise heißt bluerose, und das wäre auch der Name, der in Logs auftauchen würde, wenn ich den von mir betriebenen TOR-Knoten als „Ausgang“ konfiguriert hätte.)
Zu dem Zeitpunkt, als ich die obigen Informationen von GMail abrief und aus deren Sicht aus Österreich kam und die IP-Adresse 84.114.175.62 hatte, befand ich mich übrigens immer noch in Finnland und hatte von meinem Provider gerade die IP-Adresse 85.76.137.36 zugeteilt bekommen.
Jetzt bleibt nur noch die Frage, warum GMail erst jetzt, nach bald einem Jahr TOR-Benutzung meinerseits, auf die Idee kommt, hier wäre irgendwas seltsam...
... Permalink
Montag, 1. November 2010
Geolocation
Themen: Computer, Sicherheit
sileas, 17:52h
Gerade habe ich (mal wieder auf der Suche nach etwas völlig anderem) in einem der zahlreichen Konfigurationsmenüs meines Browsers die Option „Geolocation anschalten/abschalten“ entdeckt.
(Die Konfigurationsmenüs meines Browsers sind ganz besonders zahlreich, weil ich Firefox mit diversen Plugins, unter anderem Configuration Mania, benutze. Configuration Mania ist so richtig was für Spielkinder wie mich; damit kann man an so ziemlich jedem Detail seines Browsers nach Herzenslust herumkonfigurieren. Juhu!)
Nachdem ich mich informiert hatte, was dieses „Geolocation“ eigentlich ist (aha: da kann man seinen Browser die geographische Position seines Rechners an die Seiten übermitteln lassen, die man ansurft), wollte ich das zumindest mal ausprobieren.
Praktischerweise gibt es für sowas eine Testseite. Da wird, wenn man Geolocation deaktiviert hat, eine Default-Landkarte angezeigt, auf der man anscheinend sehen kann, wo der Mensch, der die Seite geschrieben hat, sich gerade befand, als er die Seite schrieb. Aber wenn man Geolocation aktiviert hat, kriegt man (nach der freundlichen Frage des Browsers: diese Seite will Geodaten haben, wollen wir ihr welche geben?) stattdessen eine Landkarte angezeigt, auf der die eigene Position markiert ist.
Soweit zumindest die Theorie.
In der Praxis haben sie bei mir immerhin das richtige Bundesland erwischt. Juhu! Allerdings scheint mein Browser Geodaten zu übermitteln, die so aussehen, als stünde ich in Helsinki hinter der Hauptpost. Dabei sitze ich doch gerade in Vantaa bei mir im Wohnzimmer... und das ist laut Google Maps an die 14 km von der Helsinkier Hauptpost entfernt. <grübel>
Naja, vielleicht ist da ja noch ein Fuzzing- bzw. Anonymisierung-light-Modul eingebaut, von dem ich nichts weiß und das dafür sorgt, daß nur mein ungefährer Aufenthaltsort übertragen wird. ;-)
Zuerst hatte ich ja vermutet, daß das, was da angezeigt wird, nicht die Position meines Rechners ist, sondern vielleicht die des von mir gerade benutzten Einwahlknotens. Aber irgendwie kann ich mir nicht so recht vorstellen, daß der ausgerechnet hinter der Helsinkier Hauptpost stehen sollte. Und überhaupt: wo denn da?
(Die Konfigurationsmenüs meines Browsers sind ganz besonders zahlreich, weil ich Firefox mit diversen Plugins, unter anderem Configuration Mania, benutze. Configuration Mania ist so richtig was für Spielkinder wie mich; damit kann man an so ziemlich jedem Detail seines Browsers nach Herzenslust herumkonfigurieren. Juhu!)
Nachdem ich mich informiert hatte, was dieses „Geolocation“ eigentlich ist (aha: da kann man seinen Browser die geographische Position seines Rechners an die Seiten übermitteln lassen, die man ansurft), wollte ich das zumindest mal ausprobieren.
Praktischerweise gibt es für sowas eine Testseite. Da wird, wenn man Geolocation deaktiviert hat, eine Default-Landkarte angezeigt, auf der man anscheinend sehen kann, wo der Mensch, der die Seite geschrieben hat, sich gerade befand, als er die Seite schrieb. Aber wenn man Geolocation aktiviert hat, kriegt man (nach der freundlichen Frage des Browsers: diese Seite will Geodaten haben, wollen wir ihr welche geben?) stattdessen eine Landkarte angezeigt, auf der die eigene Position markiert ist.
Soweit zumindest die Theorie.
In der Praxis haben sie bei mir immerhin das richtige Bundesland erwischt. Juhu! Allerdings scheint mein Browser Geodaten zu übermitteln, die so aussehen, als stünde ich in Helsinki hinter der Hauptpost. Dabei sitze ich doch gerade in Vantaa bei mir im Wohnzimmer... und das ist laut Google Maps an die 14 km von der Helsinkier Hauptpost entfernt. <grübel>
Naja, vielleicht ist da ja noch ein Fuzzing- bzw. Anonymisierung-light-Modul eingebaut, von dem ich nichts weiß und das dafür sorgt, daß nur mein ungefährer Aufenthaltsort übertragen wird. ;-)
Zuerst hatte ich ja vermutet, daß das, was da angezeigt wird, nicht die Position meines Rechners ist, sondern vielleicht die des von mir gerade benutzten Einwahlknotens. Aber irgendwie kann ich mir nicht so recht vorstellen, daß der ausgerechnet hinter der Helsinkier Hauptpost stehen sollte. Und überhaupt: wo denn da?
... Permalink
Montag, 6. September 2010
Der Spion in meiner Wohnung
Themen: Computer, Sicherheit
sileas, 22:31h
Bruce Schneier hat letzte Woche etwas über ein Paper gebloggt, in dem beschrieben wird, wie einige Wissenschaftler es geschafft haben, durch das Abhören der Aktivitäten diverser „intelligenter“ Haushaltstechnik so einiges über die Aktivitäten der Hausbewohner herauszufinden.
Das Interessante daran: Sie haben die verschlüsselten Signale, die diese Haushaltstechnik so von sich gab, zwar aufgefangen, aber nicht entschlüsselt. Sie haben also beispielsweise nicht mitbekommen, daß der Herd zur Spülmaschine funkte: „Huch, da ist was angebrannt, du mußt dich nachher also anstrengen, um das sauberzukriegen“ (nein, ich habe echt keine Ahnung, worüber solche „intelligenten“ Haushaltsgeräte so reden), sondern nur, daß der Herd etwas gefunkt hat.
Aber daraus kann man ja auch schon eine Menge ableiten.
Das ist genau wie mit den Kommunikationsprofilen; wenn ich mit jemandem monatelang nicht telefoniere und dann auf einmal gleich mehrmals innerhalb weniger Tage, kann man daraus auch ohne Kenntnis über den Inhalt der Gespräche gewisse Schlüsse ziehen. Beispielsweise, daß wir uns vielleicht bald mal treffen wollen. Oder wenn ich mit jemandem bis zu einem bestimmten Zeitpunkt sehr oft (sogar mehrmals täglich) telefoniert habe und dann auf einmal gar nicht mehr oder nur noch sporadisch, dann deutet das auf eine in die Brüche gegangene Beziehung (welcher Art auch immer – Liebesbeziehung zerbrochen, mit dem Kumpel zerstritten oder einfach „nur“ auf der Arbeit, für die ich vielleicht viel im Team herumtelefonieren muß, einem neuen Team zugeteilt worden).
Ich selber habe zwar keine solchen „intelligenten“ Geräte in der Wohnung (die kommen mir so schnell auch nicht ins Haus, allerdings aus völlig anderen Gründen als denen, die ich hier nenne), aber wenn jemand es schafft, das Verhalten der Geräte in der Wohnung irgendwie zu beobachten, kann der daraus auch ableiten, ob ich gerade zu Hause bin oder nicht oder ob ich wach bin oder nicht oder – je nach Gerät – sogar, was ich womöglich gerade mache.
Wenn jemand so vorm Haus steht, daß er zwar sieht, ob bei mir das Licht brennt oder nicht, aber mich nicht sehen kann, kann er beispielsweise solche Sachen ableiten wie: Aha, eben ist das Licht an-/ausgegangen, also wird wohl jemand zu Hause sein. Oder: Es ist Tag und relativ düster (bewölkt, was weiß ich) und nirgends ist das Licht an, also ist sie entweder nicht zu Hause oder sie schläft. Solche Sachen halt. Wenn derjenige außerdem (oder stattdessen) mitbekommt, wann welches Gerät an- oder ausgeht, kann er natürlich auch erraten, daß ich mir jetzt gerade eine Tasse Tee (oder eine Tütensuppe) zubereite (Wasserkocher läuft) oder etwas Größeres koche (Herd läuft) oder unter der Dusche stehe (im Bad läuft Wasser, und zwar ausgiebiger als beim Händewaschen o. ä.).
Sogar aus den Metadaten meiner Blogeinträge kann man gewisse Schlüsse über meinen Tagesablauf ziehen. Zu Uhrzeiten, wo hier nie Artikel auftauchen, werde ich wohl schlafen oder aus einem anderen Grund (Arbeit, Behördengänge, was weiß ich) nicht online sein. Bevor ich zu Hause einen Internetanschluß hatte, konnte man aus meinen üblichen Blog-Zeiten auch ableiten, ob ich gerade zu Hause war oder nicht (wenn ich am Bloggen saß, saß ich gerade im Büro und hatte entweder Feierabend oder Pause). Undsoweiter.
(Jetzt blogge ich zwar normalerweise von zu Hause aus, aber ich habe einen Laptop und mein Modem ist kabellos und läuft über das Mobilfunknetz, also könnte ich theoretisch sonstwo sein. <fiesgrins>)
Und genau solche Sachen haben die Leute in dieser Studie abgeleitet. Wer ist wann zu Hause, wer ist gerade am Schlafen oder wach.
Und da ich mich schon seit längerem mit Sicherheitstechnik befasse, bin ich immer wieder überrascht, daß den meisten Leuten nicht klar ist, daß man aus so einfachen Sachen wie „gerade ist eine Lampe angegangen“ oder „der Wasserhahn in der Küche ist von warm auf kalt umgesprungen“ oder „es ist soundsoviel Uhr und drinnen brennt kein Licht“ schließen kann, wer gerade was macht...
Wenn man schlau ist, braucht man gar nicht zu gucken, wo welche Lampe brennt, sondern man guckt einfach auf den Stromzähler im Keller. Ah, jetzt hängen auf einmal soundsoviel Watt mehr/weniger am Netz, das heißt, sie hat gerade entweder Gerät X oder Gerät Y (die beide soundsoviel Watt verbrauchen) an-/ausgeschaltet...
(Ach ja, warum will ich keine „intelligente“ Haushaltstechnik, wenn nicht aus diesem Schutz-der-Privatsphäre-Grund? Weil alles, was elektronisch ist und irgendwie am Netz hängt und kommuniziert, gehackt werden kann. Und ich will nicht aus dem Urlaub zurückkommen und einen gehackten Herd (der inzwischen beinahe einen Küchenbrand verursacht hätte) und einen gehackten Wasserhahn (der dank des ungeschickten Timings der beiden Hackerteams den Küchenbrand gerade noch so verhindert hat) und vielleicht auch noch einen viel zu detailliert programmierten Kühlschrank (der der Meinung war, ich ernähre mich nicht gesund genug, weil ich in den letzten drei Wochen keine neue Milch gekauft habe, und mich deshalb bei der Krankenkasse verpetzt hat) vorfinden. Ach ja, und 20 Liter inzwischen vergammelte Milch, die mir mein fürsorglicher Kühlschrank bei Amazon bestellt hat, weil er sich Sorgen um mich machte, weil ich ja seit drei Wochen keine Milch gekauft habe und doch mein Kalzium und meine wertvollen Spurenelemente brauche. Woher der Kühlschrank weiß, daß ich so-und-so lange keine Milch gekauft habe? Weil er so-und-so lange keine neuen Verpackungen mehr eingeladen bekommen hat, deren RFID-Tags ihm „Hallo, in mir ist Milch drin!“ signalisierten.)
Das Interessante daran: Sie haben die verschlüsselten Signale, die diese Haushaltstechnik so von sich gab, zwar aufgefangen, aber nicht entschlüsselt. Sie haben also beispielsweise nicht mitbekommen, daß der Herd zur Spülmaschine funkte: „Huch, da ist was angebrannt, du mußt dich nachher also anstrengen, um das sauberzukriegen“ (nein, ich habe echt keine Ahnung, worüber solche „intelligenten“ Haushaltsgeräte so reden), sondern nur, daß der Herd etwas gefunkt hat.
Aber daraus kann man ja auch schon eine Menge ableiten.
Das ist genau wie mit den Kommunikationsprofilen; wenn ich mit jemandem monatelang nicht telefoniere und dann auf einmal gleich mehrmals innerhalb weniger Tage, kann man daraus auch ohne Kenntnis über den Inhalt der Gespräche gewisse Schlüsse ziehen. Beispielsweise, daß wir uns vielleicht bald mal treffen wollen. Oder wenn ich mit jemandem bis zu einem bestimmten Zeitpunkt sehr oft (sogar mehrmals täglich) telefoniert habe und dann auf einmal gar nicht mehr oder nur noch sporadisch, dann deutet das auf eine in die Brüche gegangene Beziehung (welcher Art auch immer – Liebesbeziehung zerbrochen, mit dem Kumpel zerstritten oder einfach „nur“ auf der Arbeit, für die ich vielleicht viel im Team herumtelefonieren muß, einem neuen Team zugeteilt worden).
Ich selber habe zwar keine solchen „intelligenten“ Geräte in der Wohnung (die kommen mir so schnell auch nicht ins Haus, allerdings aus völlig anderen Gründen als denen, die ich hier nenne), aber wenn jemand es schafft, das Verhalten der Geräte in der Wohnung irgendwie zu beobachten, kann der daraus auch ableiten, ob ich gerade zu Hause bin oder nicht oder ob ich wach bin oder nicht oder – je nach Gerät – sogar, was ich womöglich gerade mache.
Wenn jemand so vorm Haus steht, daß er zwar sieht, ob bei mir das Licht brennt oder nicht, aber mich nicht sehen kann, kann er beispielsweise solche Sachen ableiten wie: Aha, eben ist das Licht an-/ausgegangen, also wird wohl jemand zu Hause sein. Oder: Es ist Tag und relativ düster (bewölkt, was weiß ich) und nirgends ist das Licht an, also ist sie entweder nicht zu Hause oder sie schläft. Solche Sachen halt. Wenn derjenige außerdem (oder stattdessen) mitbekommt, wann welches Gerät an- oder ausgeht, kann er natürlich auch erraten, daß ich mir jetzt gerade eine Tasse Tee (oder eine Tütensuppe) zubereite (Wasserkocher läuft) oder etwas Größeres koche (Herd läuft) oder unter der Dusche stehe (im Bad läuft Wasser, und zwar ausgiebiger als beim Händewaschen o. ä.).
Sogar aus den Metadaten meiner Blogeinträge kann man gewisse Schlüsse über meinen Tagesablauf ziehen. Zu Uhrzeiten, wo hier nie Artikel auftauchen, werde ich wohl schlafen oder aus einem anderen Grund (Arbeit, Behördengänge, was weiß ich) nicht online sein. Bevor ich zu Hause einen Internetanschluß hatte, konnte man aus meinen üblichen Blog-Zeiten auch ableiten, ob ich gerade zu Hause war oder nicht (wenn ich am Bloggen saß, saß ich gerade im Büro und hatte entweder Feierabend oder Pause). Undsoweiter.
(Jetzt blogge ich zwar normalerweise von zu Hause aus, aber ich habe einen Laptop und mein Modem ist kabellos und läuft über das Mobilfunknetz, also könnte ich theoretisch sonstwo sein. <fiesgrins>)
Und genau solche Sachen haben die Leute in dieser Studie abgeleitet. Wer ist wann zu Hause, wer ist gerade am Schlafen oder wach.
Und da ich mich schon seit längerem mit Sicherheitstechnik befasse, bin ich immer wieder überrascht, daß den meisten Leuten nicht klar ist, daß man aus so einfachen Sachen wie „gerade ist eine Lampe angegangen“ oder „der Wasserhahn in der Küche ist von warm auf kalt umgesprungen“ oder „es ist soundsoviel Uhr und drinnen brennt kein Licht“ schließen kann, wer gerade was macht...
Wenn man schlau ist, braucht man gar nicht zu gucken, wo welche Lampe brennt, sondern man guckt einfach auf den Stromzähler im Keller. Ah, jetzt hängen auf einmal soundsoviel Watt mehr/weniger am Netz, das heißt, sie hat gerade entweder Gerät X oder Gerät Y (die beide soundsoviel Watt verbrauchen) an-/ausgeschaltet...
(Ach ja, warum will ich keine „intelligente“ Haushaltstechnik, wenn nicht aus diesem Schutz-der-Privatsphäre-Grund? Weil alles, was elektronisch ist und irgendwie am Netz hängt und kommuniziert, gehackt werden kann. Und ich will nicht aus dem Urlaub zurückkommen und einen gehackten Herd (der inzwischen beinahe einen Küchenbrand verursacht hätte) und einen gehackten Wasserhahn (der dank des ungeschickten Timings der beiden Hackerteams den Küchenbrand gerade noch so verhindert hat) und vielleicht auch noch einen viel zu detailliert programmierten Kühlschrank (der der Meinung war, ich ernähre mich nicht gesund genug, weil ich in den letzten drei Wochen keine neue Milch gekauft habe, und mich deshalb bei der Krankenkasse verpetzt hat) vorfinden. Ach ja, und 20 Liter inzwischen vergammelte Milch, die mir mein fürsorglicher Kühlschrank bei Amazon bestellt hat, weil er sich Sorgen um mich machte, weil ich ja seit drei Wochen keine Milch gekauft habe und doch mein Kalzium und meine wertvollen Spurenelemente brauche. Woher der Kühlschrank weiß, daß ich so-und-so lange keine Milch gekauft habe? Weil er so-und-so lange keine neuen Verpackungen mehr eingeladen bekommen hat, deren RFID-Tags ihm „Hallo, in mir ist Milch drin!“ signalisierten.)
... Permalink
Donnerstag, 16. April 2009
Spaß mit Paßwörtern
Themen: Computer, Sicherheit
sileas, 11:00h
Gestern habe ich zum ersten Mal ein neues Paßwort ausgewürfelt. Das hat richtig Spaß gemacht; eine völlig neue Erfahrung, da Sachen, die mit Sicherheit zu tun haben, das in einer Sache enthaltene Spaßpotential normalerweise deutlich verringern...
Die Methode, die ich benutzt habe, beruht auf der im Diceware-FAQ beschriebenen Tastaturmethode (ganz unten im FAQ); allerdings habe ich statt Münzen Rollenspielerwürfel verwendet:
Wenn man will, kann man die Sache etwas vereinfachen, indem man drei Würfel (einen W4 oder W8 für den ersten Schritt, einen W20 für den zweiten und einen beliebigen anderen Würfel mit gerader Seitenzahl für den dritten – ja, es gibt tatsächlich Würfel mit ungerader Seitenzahl, aber die sind sehr selten) gleichzeitig wirft bzw. indem man eine entsprechende Anzahl verschiedener Münzen wirft (sieben verschiedene, z. B. je eine zu 2 Cent, 5 Cent usw. bis 2 Euro, die man dann nach ihrem Wert sortiert, um die entsprechenden Binärzahlen zu erhalten – Kopf = 1, Zahl = 0).
Eine typische Tastatur hat knapp 50 Tasten, die mit brauchbaren Zeichen belegt sind (den Nummernblock rechne ich nicht mit, da die Ziffern und Rechensymbole auch auf „normalen“ Tasten zu finden sind). Das heißt, man könnte auch z. B. mit zwei W10 eine Zahl zwischen 1 und 50 würfeln und dann die entsprechende Taste nehmen (wenn man eine Zahl über 50 würfelt, subtrahiert man 50 und nimmt dann Shift+Taste). Allerdings ist es wohl einfacher, mehrmals zu würfeln und dann in einer Reihe durchzuzählen (wie oben beschrieben), statt nur einmal zu würfeln und dann im schlimmsten Fall alle Tasten durchzählen zu müssen...
Da man in Paßwörtern lieber keine „exotischen Sonderzeichen“ verwenden sollte (also nichts, was außerhalb des ASCII-Bereichs liegt, was leider bedeutet, daß man auch keine deutschen Umlaute verwenden sollte), funktioniert diese Methode natürlich am besten mit Tastaturbelegungen, in denen garantiert keine solchen „exotischen Sonderzeichen“ vorkommen. Also beispielsweise mit der britischen oder der amerikanischen oder mit der Dvorak-Tastaturbelegung.
Die Würfel, die ich benutzt habe, findet man in gutsortierten Spielfachgeschäften. In manchen Städten gibt es auch Fachgeschäfte für Rollenspielbedarf. Manchmal kann man die diversen Würfel einzeln kaufen, aber meistens bekommt man sie im Set (je ein W4, W8, W12 und W20, ein oder zwei W10 und ein oder mehrere W6 – zwei W10, damit man Prozentwerte erwürfeln kann, und mehrere W6, weil es viele Systeme gibt, in denen man ständig mehrere W6 benutzt, aber nur wenige (gar keine?), in denen man öfters z. B. mehrere W8 oder W20 brauchen würde).
(Hmm, auf einmal sehne ich mich nach dem Matheunterricht in der Oberstufe zurück, wo es um Statistik und Wahrscheinlichkeitsrechnung ging... damals hätte ich nicht gedacht, daß ich eine Anwendung für sowas finden würde, die Spaß macht...)
Die Methode, die ich benutzt habe, beruht auf der im Diceware-FAQ beschriebenen Tastaturmethode (ganz unten im FAQ); allerdings habe ich statt Münzen Rollenspielerwürfel verwendet:
- Zuerst erwürfelt man eine Zahl zwischen 1 und 4 (mit einem W4 – oder, wenn einem (wie mir) Würfel, die nicht rollen können, suspekt sind, mit einem W8, und das Ergebnis wird dann halt durch 2 geteilt und, falls man irgendwas-komma-fünf erhält, aufgerundet). (Mit der Münzmethode wirft man zweimal eine Münze und interpretiert dann z. B. zweimal Kopf als 1, Kopf+Zahl als 2, Zahl+Kopf als 3 und zweimal Zahl als 4. Oder umgekehrt. Hauptsache, man entscheidet sich vor dem Wurf für eine bestimmte Zählweise.) Diese Zahl bestimmt eine der vier Reihen auf der Tastatur, in der sich für Paßwörter brauchbare Zeichen befinden: Buchstaben, Ziffern und Satzzeichen (im Gegensatz zu den Funktionstasten oder der Leertaste oder den diversen Umschalttasten).
- Dann erwürfelt man sich eine Position in dieser Zeile. Am besten nimmt man dazu einen W20. Wenn man im ersten Schritt auf einer Zeile gelandet ist, in der sich 12 oder weniger brauchbare Tasten befinden – also Tasten, die mit Zeichen belegt sind, die man verwenden kann; Tasten wie Shift oder Return werden hier nicht mitgezählt –, kann man natürlich auch einen W12 nehmen. (Mit der Münzmethode wirft man die Münze viermal und interpretiert das Ergebnis als vierstellige Binärzahl: Kopf = 1, Zahl = 0.) Wenn man eine Zahl erhält, die höher ist als die Anzahl der verwendbaren Tasten in der Zeile, würfelt/wirft man noch einmal.
- Zum Schluß bestimmt man, welches der beiden Zeichen auf der betreffenden Taste man verwendet: wenn man eine gerade Zahl würfelt (oder wenn die Münze mit der Zahlseite nach oben landet), wird das Zeichen genommen, das man durch einfaches Drücken der Taste erhält, und ansonsten das, das man erhält, wenn man Shift und die Taste drückt (also bei Buchstabentasten den Großbuchstaben).
Wenn man will, kann man die Sache etwas vereinfachen, indem man drei Würfel (einen W4 oder W8 für den ersten Schritt, einen W20 für den zweiten und einen beliebigen anderen Würfel mit gerader Seitenzahl für den dritten – ja, es gibt tatsächlich Würfel mit ungerader Seitenzahl, aber die sind sehr selten) gleichzeitig wirft bzw. indem man eine entsprechende Anzahl verschiedener Münzen wirft (sieben verschiedene, z. B. je eine zu 2 Cent, 5 Cent usw. bis 2 Euro, die man dann nach ihrem Wert sortiert, um die entsprechenden Binärzahlen zu erhalten – Kopf = 1, Zahl = 0).
Eine typische Tastatur hat knapp 50 Tasten, die mit brauchbaren Zeichen belegt sind (den Nummernblock rechne ich nicht mit, da die Ziffern und Rechensymbole auch auf „normalen“ Tasten zu finden sind). Das heißt, man könnte auch z. B. mit zwei W10 eine Zahl zwischen 1 und 50 würfeln und dann die entsprechende Taste nehmen (wenn man eine Zahl über 50 würfelt, subtrahiert man 50 und nimmt dann Shift+Taste). Allerdings ist es wohl einfacher, mehrmals zu würfeln und dann in einer Reihe durchzuzählen (wie oben beschrieben), statt nur einmal zu würfeln und dann im schlimmsten Fall alle Tasten durchzählen zu müssen...
Da man in Paßwörtern lieber keine „exotischen Sonderzeichen“ verwenden sollte (also nichts, was außerhalb des ASCII-Bereichs liegt, was leider bedeutet, daß man auch keine deutschen Umlaute verwenden sollte), funktioniert diese Methode natürlich am besten mit Tastaturbelegungen, in denen garantiert keine solchen „exotischen Sonderzeichen“ vorkommen. Also beispielsweise mit der britischen oder der amerikanischen oder mit der Dvorak-Tastaturbelegung.
Die Würfel, die ich benutzt habe, findet man in gutsortierten Spielfachgeschäften. In manchen Städten gibt es auch Fachgeschäfte für Rollenspielbedarf. Manchmal kann man die diversen Würfel einzeln kaufen, aber meistens bekommt man sie im Set (je ein W4, W8, W12 und W20, ein oder zwei W10 und ein oder mehrere W6 – zwei W10, damit man Prozentwerte erwürfeln kann, und mehrere W6, weil es viele Systeme gibt, in denen man ständig mehrere W6 benutzt, aber nur wenige (gar keine?), in denen man öfters z. B. mehrere W8 oder W20 brauchen würde).
(Hmm, auf einmal sehne ich mich nach dem Matheunterricht in der Oberstufe zurück, wo es um Statistik und Wahrscheinlichkeitsrechnung ging... damals hätte ich nicht gedacht, daß ich eine Anwendung für sowas finden würde, die Spaß macht...)
... Permalink
