Ich kann es wirklich nicht mehr hören. Die Ausreden, dass GPG-Verschlüsselung/Signierung so schwer sei. Ich verstehe absolut nicht, was wirklich daran so schwer sein soll? à–ffentlichen Schlüssel gebe ich an jeden raus, privaten Schlüssel behalte ich. Für Windows gibt es gpg4win.de inkl wirklich einfacher Anleitungen, auch für die Dateiverschlüsselung. Für Linux nenne ich mal, auch wenn ich die Konsole nutze, kgpg, welches wirklich sehr einfach ist und wenn ich mal Thunderbird, KMail/Kontact Sylpheed-Claws und Konsorten betrachte, eine sehr gute und verbreitete Unterstützung mit simpler Bedienung. Woran liegt es, dass jeder die Mails von vielen Menschen lesen kann ? Ich habe langsam eher das Gefühl, dass es Faulheit ist. Ich möchte gerne meine Mails verschlüsselt haben, ich wünsche mir, dass ich von einem ISP/Webhoster/etc nach meinem Key gefragt werde, oder Er sich jene von dem Keyserver holt und mir Daten verschlüsselt, wenigstens signiert zusendet. Wo ist denn da das Problem eine gesicherte Kommunikation herzustellen? Ich kann nur mit dem Kopf schütteln… und sagen, vielleicht erscheine ich für den Einen cholerisch, aber für den anderen ist es ein verständnisvolles Kopfnicken. Somit, generiert Eure Schlüssel.
security
ClamAV in Debian Etch
Da meckert mich doch glatt mein freshclam an und ich bemerke, ich habe das Volatileprojekt nicht in meiner sources.list.
Was ist debian-volatile?
Einige Pakete wie Spam-Filterung und Virenscanning veralten sehr schnell, und selbst wenn sie aktualisierte Datenmuster verwenden, werden sie nicht über die gesamte Dauer einer stabilen Veröffenlichung funktionieren. Das Hauptanliegen von Volatile ist es, Systemadministratoren zu ermöglichen, ihre Systeme auf eine nette, konsistente Art und Weise zu aktualisieren, ohne die Nachteile der Verwendung von Unstable zu erfahren, ja selbst ohne die Nachteile der gewählten Pakete zu erfahren. debian-volatile wird deswegen nur Änderungen zu Programmen aus Stable enthalten, die nötig sind, um sie funktionsfähig zu halten.
Somit gehört es in jede sources.list.
keyget
echo 'deb etch/volatile main' >> /etc/apt/sources.list
keyget BBE55AB3
aptitude update && aptitude upgradeaptitude/apt-get und der Schlüssel der Sicherheit
Es stört schon, wenn man ein neues Repository seiner sources.list hinzufügt, nach dem key gefragt zu werden und dann das ganze händisch einzugeben. Natürlich sind die Gründe sehr Positiv, so einen GPG-Key zu nutzen, ich nehme z.B. keine Mails an, welche nicht mit GPG signiert und auch verschlüsselt wurden, sprich es gibt keine Antwort (siehe dazu auch das Impressum), vor Allem aber kann damit auch gewährleistet werden, dass der package-Maintainer auch jener war, welcher die Debianpakete signiert hat. Dazu gibt es auch einen guten Wiki-Eintrag auf http://wiki.debian.org/. So und Hier ist nun der absolut spektakuläre Code ( welche Ironie ;) )
Abspeichern als keyget in /usr/bin/ und mit chmod +x ausführbar machen.
gpg --keyserver subkeys.pgp.net --recv-keys $1 && gpg --fingerprint $1 && gpg --export $1 | apt-key add
Aufrufen mit keyget KEYZAHLEN, das wars
PS: An mich selbst, einen Filter schreiben, welcher mit einer Whitelist für z.B. cli-apps.org-Mails und Konsorten daher kommt, aber alle anderen Mails nur GPG-signiert und -verschlüsselt zulässt, wenn nicht, ist es SPAM/Schäuble…
Claws Mail und AntiSpam
Da mein neuer ISP kein AntiSpam bietet werde ich nun ein wenig meinen Laptop in dieser Richtung tunen und AntiSpam-Lösungen ( Ja, auch FuzzyOCR razor pyzor dcc-client etc) bei mir lokal einbauen, welche dann mit dem Spamassasin-Plugin in meinem MUA Claws Mail angesprochen wird und mir die Positives in einer lokalen MH speichert anstelle es wieder auf dem IMAP zu schicken. Bei Interesse kann man ja mal was zu schreiben ;)
Terroranrufe leichtgemacht
Die Politik schreit nach Sicherheit, lässt aber doch scheinbar vieles zu. Bei dem Anblick der Homepage kam in mir die Frage auf, was dies denn Alles für ein Angebot sei und vor allem wofür und für wen ? Angeboten wird: “Change Your Caller ID, Change Your Voice, Telephone Tap Detection, Remotely Hosted Offshore, Maintain 100% Anonymity, Simple To Use, Untraceable Call”. Hmmm, also die Veränderung der Rufnummer kann ich noch verstehen, ich rufe vom Mobiltelefon aus an und möchte nicht, dass der Kunde meine Mobilfunknummer hat, sondern jene meines Büros erscheint, tolle Sache.
Wieso soll ich meine Stimme wechseln ?
[vadervoice]“Kunde kcccccccchhhh, Kunde kcccccccchhhh, ich bin Dein Reseller”[/vadervoice] denke das zieht nicht *g*.
Egal, wie ich es drehe und wende, Einsatzgebiete fallen mir keine Positiven außer der Fake der Telefonnummer ein.
Beantwortete Fragen zu dem Bundestrojaner
Ich könnte nun auch fabulieren und meine geistigen Ergüsse der Welt mitteilen. In wie fern, dass eine à„nderung, oder vielleicht ein Erwachen bei manchen Politikern, oder auch Usern hervorruft sei dahin gestellt. Ich werde mich zu dem Thema nicht im Großen und Ganzen äußern, empfinde aber das Handeln im Bezug auf Rechnersicherheit, Überwachung und deren Systematik als Lachhaft und harre der Dinge, welche Sie dort ausbrüten. Gut daran finde Ich, dass die à–ffentlichkeit auch nun einmal, egal auf welchen Weg, die Dokumente zu der Einsicht bekommt, denn dies ist doch das Recht jeden Wählers und wie sollen wir Wähler, das Unheil abwenden, wenn wir uninformiert sind ?
Wer sich die Dokumente mal durchliest, wird, wie auch in Golem.de angesprochen, merken, dass viel Spielraum gelassen wurde. Spielraum ist in diesem Fall eine Frechheit und sollte wirklich langsam mit einem Rausschmiss geahndet werden, denn dafür sind Sie nicht angestellt worden. Aber leider ist das ein “Hand-Klinke”-System und richtige Berater, oder eine qualitative Umfrage in manchen Fragen der Politik und IT betreffend, wohl nichtig, da Paranoia und Unwissenheit gerne ausgelebt werden dürfen und die Folgen ja eine andere Amtsperiode zu tragen hat.
Golem.de:
Auf rund 20 Seiten nimmt das Bundesinnenministerium (BMI) zu Fragen rund um Online-Durchsuchungen Stellung. Veröffentlicht wurden die Antworten auf Fragen des Bundesjustizministerium und der SPD-Bundestagsfraktion allerdings nicht vom BMI, sondern von Netzpolitik.org, denen die Dokumente zugespielt wurden.
Verlässlichkeit der freien Repositories
Gerne lächeln wir GNU/Linuxer über Windows und halten das System für unangreifbar, im ersten Moment. Denn jeder erfahrene GNUler weiß um die Sicherheit seines Systems Bescheid und empfindet es so, wie es in der IT sein soll, es ist ein laufender Prozess. Je mehr Dienste angeboten werden, desto Größer muss der Sicherheitsgedanke sein. Vielen mag nun dieser Eintrag sauer aufstoßen, aber auch dieser Sicherheitsfaktor sollte und muss genannt werden. Freie Repositories.
Spammer, Fischer und die Politik
Gut, ich kaufe mir nicht die CT, aber dieser nette Onlineartikel weißt auf einen tollen Faktor unserer Rechtssprechung hin und zeigt mir mal wieder, dass ist nur der Anfang im Chaos der ganzen Herausforderung, welche uns durch den Gesetzgeber mit dem “Hacker§” auferlegt wurde.
Kümmern sich jene Leute um diesen § ? Eine Prävention unseres Staates besteht somit nur durch das Verbieten in Form von Gesetzen, nicht in dem Bereinigen der Ursprungssymptome. Aufklärung, Sensibilisierung, oder gar Aktivismus in Betracht auf monetären Verlust ( Stromkosten, Kosten der Bandbreite, Überstunden etc.) ist da erst einmal grundlegend Egal. Halbwissen wird hochgehalten und wahrscheinlich nur ein kleiner geneigter Arbeitsamtadministrator wurde um die Stellungnahme bei der Erstellung des Gesetzes gebeten. Ausbaden müssen und sollen dies nun Administratoren, welchen man die geeigneten Mittel genommen hat, um die Prüfungen vorzunehmen, die dieser Dinge Herr werden können.
Die tiefe Sicherheit einer Gesellschaft hängt von Natur und Verhalten ihrer Bürger ab. Herbert Spencer
Herbert Spencer wusste dies schon durch seine Suche nach einer Erklärung des gesellschaftlichen Wandels, beziehungsweise der Entwicklungsstufen einer Gesellschaft. Dies war im Jahre 1860. Als Grundlage für die staatliche Entscheidung wurde dies nicht wahrgenommen. Wäre dies so gewesen, würde Sicherheitsprüfern der Rücken gestärkt in Form von Gesetzen, welche es erlauben durch Penetrationstests mit geeigneten Mitteln Sicherheitsanalysen durchzuführen. Bürger würden sensibilisiert und Softwarefirmen, welche grob Fahrlässig mit der Sicherheit der Software umgehen ( Patchdays aufgrund kalendarischer Milestones, anstelle von Notwendigkeit), sowie ISPs, welche so etwas wissentlich zulassen, würde eine klare gesetzliche Abfuhr gegeben. Da dies nicht wirklich Alles wahrgenommen wurde, ist das ganze nur ein Anfang der “Computerattentate” und die nostradamischen Aussagen mancher Schwarzseher in Betracht auf die Sicherheit der Computer und dem damit kommenden Informationwar muss man nun wohl oder Übel als eine kommende Zukunft ansehen. Außer man lehnt sich aus dem gesetzlichen Fenster und versucht Sich, seine Hosts, seine Daten zu schützen. Anderweitig, ist man wohl leicht im Stich gelassen …
Sicher suchen rät der deifl
Da schaue ich mal wieder in deifls Blog und sehe nicht nur ein neues Design, sondern auch einen sehr guten Tip auf eine Meta-Suchmaschine namens IXquick. Nun, ich frage mich noch, ob diese Aufgaben nicht auch von Meta-Suchmaschinen wie metager2 gelöst werden, aber bei diesen findet man keine Informationen über das Speichern von Suchverhalten. Somit kann ich mich im Moment auch nur der Meinung anschliessen und raten eine Metasuchmaschine wie IXQuick zu nutzen. Wie sich das Verhalten bei Suchen von Linuxherausforderungslösungen herausstellt werde ich nun die nächsten Tage testen.
Damn Vulnerable Linux DVL Strychnine+E605 (DVL 1.3)
Schonmal hatte ich über DVL berichtet und den sehr Gut dazu passenden crackmes.de.
Eine neue Version des “most vulnerable und exploitable” Operating Systems ist draussen, wie ich durch einen Kommentar eben just erfahren habe:
Es ist eine neue Version von DVL da. Jede Menge von Übungen, Challenges und Tools sind enthalten. Die neue Version basiert jetzt auf BT2, ist leider etwas fett geworden dafür aber vollkommen vollständig und enthält alles was man benötigt um seine Freizeit endgültig auszufüllen…
#1 DVL Team (Homepage) am 07.08.2007 15:07
Ich versuche nochmal in kurzen Worten zu erklären, wobei es sich Hier handelt.
Es ist die unsicherste Linux auf Erden und hat seinen Sinn darin, dass es für Schulungen genutzt werden sollte, in welcher der Administrator, User etc. sensibilisiert wird. Natürlich gilt auch Hier der Faktor, dass ein Selbststudium möglich ist und auch mit Lernaufgaben unterstützt wird. Hier sei vor allem nochmal das DVL Magazine erwähnt, welches in verschiedene Sektionen unterteilt ist (IT-Security, Software Engineering, Tool Usage) und auch einige Slides bereit hält.
DVL Blog
Releasenotes
Homepage
Na dann sage ich doch mal fröhliches Knobeln und ich ziehe mir auch gleich mal die ISO, wobei sie gezippt schon 1044MB hat ;) ….
Bin ich doch ein TOR
Vorbereiten zum Ersetzen von tor 0.1.2.15-1~~etch.1 (durch .../tor_0.1.2.16-1~~etch.1_i386.deb) ...
Stopping tor daemon: tor.
Entpacke Ersatz für tor ...
Richte tor ein (0.1.2.16-1~~etch.1) ...
debian-tor uid check: ok
debian-tor homedir check: ok
Raising maximum number of filedescriptors (ulimit -n) to 8192.
Starting tor daemon: tor...
Aug 03 10:52:11.902 [notice] Tor v0.1.2.16. This is experimental software. [color=#FF6600]Do not rely on it for strong anonymity¹[/color].
Aug 03 10:52:11.905 [notice] Initialized libevent version 1.1a using method epoll. Good.
Aug 03 10:52:11.906 [notice] Opening Socks listener on 127.0.0.1:9050
done.
Drücken Sie zum Fortsetzen die Eingabetaste.
Den Raum für Freiheit zu schaffen ist Aufgabe der Politik. Die Freiheit selbst zu verwirklichen, ist Sache aller und eines jeden.
Karl Theodor zu Guttenberg (1921-72)
Nur wenn ich mich darauf nicht verlassen kann… Zu diesem Thema passt auch ganz Gut TorK
[color=#FF6600]¹[/color]Hoffen wir, dass es allen Dingen zum Trotz noch verlässlich bleibt.