Monday, November 20. 2006
Radio Chaotica über Wahlcomputer
Ich war heute an einer Sendung von Radio Chaotica über Wahlcomputer auf Querfunk Karlsruhe beteiligt. Radio Chaotica ist die Sendung des Entropia / CCC Karlsruhe.
Links zu den Quellen der Sendung und zur Musik gibt´s hier, das ganze als MP3 zum Download hier.
Links zu den Quellen der Sendung und zur Musik gibt´s hier, das ganze als MP3 zum Download hier.
Posted by Hanno Böck
in Computer culture, Politics, Security
at
19:54
| Comments (0)
| Trackbacks (0)
Defined tags for this entry: ccc, entropia, karlsruhe, querfunk, radio, wahl, wahlcomputer, wahlmaschinen
Thursday, November 9. 2006
Wahlmaschinendebakel
Die endlose Geschichte der Wahlmaschinen nimmt erneut skurrilste Wendungen. Da ich gerade auch im Rahmen meines Studiums mit dem Thema befasst bin, wird's hierzu sicher in nächster Zeit öfters was geben.
Kleiner Abriss, was bisher geschah: Nach diversen Absonderlichkeiten um den US-Wahlmaschinen-Hersteller Diebold, der etwa kritischen Wissenschaftlern qua Copyright untersagen will, die Funktionsweise der Maschinen näher unter die Lupe zu nehmen, wurden bei der Bundestagswahl 2005 auch in Deutschland an manchen Orten Wahlmaschinen eingesetzt.
Das BMI antwortete auf eine Anfrage nach dem Informationsfreiheitsgesetz über die Funktionsweise der Wahlcomputer mit der bemerkenswerten Aussage, dass "Der Schutz der Betriebsgeheimnisse der Firma Nedap müsse auch insbesondere deshalb vorgehen, weil die Geheimhaltung der Betriebsgeheimnisse zusammen mit anderen Faktoren zur Sicherheit des Wahlgerätes und damit der Wahl beiträgt".
Nun würde man jedem Besucher einer Computersicherheitsvorlesung nach der zweiten Woche für solch eine Aussage einen anderen Studiengang empfehlen, bzw. wahlweise 50.000 mal Kerkhoffs Prinzip aufsagen lassen.
Den meisten sicher schon bekannt, starteten einige dem CCC-Umfeld zuzurechnenden Menschen eine Petition an den Bundestag. Eine kritische Grenze für eine derartige Petition sind 50.000 Stimmen, ab deren Erreichen erhält die Petition besondere Aufmerksamkeit (die Details sind etwas komplexer, netzpolitik hat sich das genau angeschaut).
Nun verwundert zuerst einmal die etwas komische Adresse itc.napier.ac.uk. Grund hierfür ist, dass offensichtlich die Technik-Abteilung des deutschen Bundestages nicht in der Lage ist, selbst ein System für derartige Petitionen zu erstellen und man deshalb auf die professionellen Dienste der Napier University in Edinburgh zurückgreifen musste. Man könnte natürlich, trotz dieser Umstände, fragen, wieso es die gemeintschaftliche Kompetenz der Napier University und des Deutschen Bundestages nicht schafft, einen DNS-Alias, etwa petition.bundestag.de, zu setzen, aber über solche Kleinigkeiten wollen wir mal hinwegsehen.
Interessant ist u. U. auch die Tatsache, dass die Abgabe einer Stimme bei der Petition vollkommen unverschlüsselt geschieht. Die Einrichtung eines SSL-Zertifikats scheint die Experten der Napier University ebenfalls zu überfordern. Dass ich, um eine Petition unterstützen zu können, bereit sein muss, fahrlässig meine Daten unverschlüsselt an eine mir nicht bekannte Universität zu senden, scheint mir leicht mit meinem recht auf informationelle Selbstbestimmung zu kollidieren.
Dem ganzen die Krone auf setzt nun aber die Tatsache, dass die Petition beim erreichen der magischen 20.000-Marke technischen Schluckauf bekam - die Auflistung der UnterzeichnerInnen war nicht mehr möglich. Es mag zwar vorkommen, dass Systeme, wenn sie weit über die Maßen genutzt werden, nicht ausreichend skalieren. Dass jedoch scheinbar ein Erreichen der 50.000 kritischen Stimmen von den durchführenden Programmierern scheinbar garnicht in Betracht gezogen wurde, lässt einen das ganze doch etwas komisch erscheinen.
Im übrigen möchte ich betonen, dass mir die Verdienste John Napiers für die Entwicklung der Mathematik und Informatik wohl bewußt sind und er schließlich nichts dafür kann, dass eine schottische Universität mit offensichtlich inkompetenten Informatikern seinen Namen trägt.
Achja: Trotz allem natürlich die Petition unterzeichnen!
Kleiner Abriss, was bisher geschah: Nach diversen Absonderlichkeiten um den US-Wahlmaschinen-Hersteller Diebold, der etwa kritischen Wissenschaftlern qua Copyright untersagen will, die Funktionsweise der Maschinen näher unter die Lupe zu nehmen, wurden bei der Bundestagswahl 2005 auch in Deutschland an manchen Orten Wahlmaschinen eingesetzt.
Das BMI antwortete auf eine Anfrage nach dem Informationsfreiheitsgesetz über die Funktionsweise der Wahlcomputer mit der bemerkenswerten Aussage, dass "Der Schutz der Betriebsgeheimnisse der Firma Nedap müsse auch insbesondere deshalb vorgehen, weil die Geheimhaltung der Betriebsgeheimnisse zusammen mit anderen Faktoren zur Sicherheit des Wahlgerätes und damit der Wahl beiträgt".
Nun würde man jedem Besucher einer Computersicherheitsvorlesung nach der zweiten Woche für solch eine Aussage einen anderen Studiengang empfehlen, bzw. wahlweise 50.000 mal Kerkhoffs Prinzip aufsagen lassen.
Den meisten sicher schon bekannt, starteten einige dem CCC-Umfeld zuzurechnenden Menschen eine Petition an den Bundestag. Eine kritische Grenze für eine derartige Petition sind 50.000 Stimmen, ab deren Erreichen erhält die Petition besondere Aufmerksamkeit (die Details sind etwas komplexer, netzpolitik hat sich das genau angeschaut).
Nun verwundert zuerst einmal die etwas komische Adresse itc.napier.ac.uk. Grund hierfür ist, dass offensichtlich die Technik-Abteilung des deutschen Bundestages nicht in der Lage ist, selbst ein System für derartige Petitionen zu erstellen und man deshalb auf die professionellen Dienste der Napier University in Edinburgh zurückgreifen musste. Man könnte natürlich, trotz dieser Umstände, fragen, wieso es die gemeintschaftliche Kompetenz der Napier University und des Deutschen Bundestages nicht schafft, einen DNS-Alias, etwa petition.bundestag.de, zu setzen, aber über solche Kleinigkeiten wollen wir mal hinwegsehen.
Interessant ist u. U. auch die Tatsache, dass die Abgabe einer Stimme bei der Petition vollkommen unverschlüsselt geschieht. Die Einrichtung eines SSL-Zertifikats scheint die Experten der Napier University ebenfalls zu überfordern. Dass ich, um eine Petition unterstützen zu können, bereit sein muss, fahrlässig meine Daten unverschlüsselt an eine mir nicht bekannte Universität zu senden, scheint mir leicht mit meinem recht auf informationelle Selbstbestimmung zu kollidieren.
Dem ganzen die Krone auf setzt nun aber die Tatsache, dass die Petition beim erreichen der magischen 20.000-Marke technischen Schluckauf bekam - die Auflistung der UnterzeichnerInnen war nicht mehr möglich. Es mag zwar vorkommen, dass Systeme, wenn sie weit über die Maßen genutzt werden, nicht ausreichend skalieren. Dass jedoch scheinbar ein Erreichen der 50.000 kritischen Stimmen von den durchführenden Programmierern scheinbar garnicht in Betracht gezogen wurde, lässt einen das ganze doch etwas komisch erscheinen.
Im übrigen möchte ich betonen, dass mir die Verdienste John Napiers für die Entwicklung der Mathematik und Informatik wohl bewußt sind und er schließlich nichts dafür kann, dass eine schottische Universität mit offensichtlich inkompetenten Informatikern seinen Namen trägt.
Achja: Trotz allem natürlich die Petition unterzeichnen!
Posted by Hanno Böck
in Code, Computer culture, Politics, Security
at
20:07
| Comment (1)
| Trackbacks (0)
Defined tags for this entry: bmi, bundestag, diebold, kerckhoff, nedap, petition, wahl, wahlcomputer, wahlmaschinen
Friday, September 8. 2006
Vorträge (3D-Desktop und Passwörter)
In den nächsten Tagen bin ich zweimal als Referent unterwegs.
Zum ersten morgen (Samstag), 13:00 Uhr beim come2linux in Essen über 3D-Desktops unter Linux (XGL/AIGLX/Compiz). Hab vor, das noch etwas auszubauen und insbesondere auf die Situation mit freien Grafiktreibern ausführlicher einzugehen.
Am Dienstag, 19:30 Uhr, wiederhole ich meinen Vortrag »Passwörter taugen nichts« in etwas ausführlicherer Form beim Computerclub Waiblingen (Gaststätte Söhrenberg, Waiblingen-Neustadt am Hallenbad).
Slides ODP, Slides PDF
Zum ersten morgen (Samstag), 13:00 Uhr beim come2linux in Essen über 3D-Desktops unter Linux (XGL/AIGLX/Compiz). Hab vor, das noch etwas auszubauen und insbesondere auf die Situation mit freien Grafiktreibern ausführlicher einzugehen.
Am Dienstag, 19:30 Uhr, wiederhole ich meinen Vortrag »Passwörter taugen nichts« in etwas ausführlicherer Form beim Computerclub Waiblingen (Gaststätte Söhrenberg, Waiblingen-Neustadt am Hallenbad).
Slides ODP, Slides PDF
Posted by Hanno Böck
in Linux, Security
at
18:41
| Comments (0)
| Trackback (1)
Defined tags for this entry: aiglx, ccwn, come2linux, compiz, essen, linux, passwörter, vortrag, xgl, xorg
Sunday, September 3. 2006
mrmcd vorbei
Die Chaosdays in Darmstadt sind vorbei, zum Bloggen bin ich nicht viel gekommen.
Ein paar spannende Vorträge warn dabei, Samstag einmal Pylon zu UTF-8, was mir evtl. vermitteln konnte, warum das bei mir immer noch weit entfernt von optimal funktioniert und an welchen Konfigurationsschrauben ich da noch drehen könnte. Anschließend ein sehr interessanter Vortrag zum Absichern von Linux-Servern, zwar hatte der Autor an einigen Stellen Ansätze, die ich nicht wirklich nachvollziehen konnte (http-traffic nach außem sperren - mein Einwand zwecks Trackbacks und XML-RPC erzeugte dann etwas komische Vorschläge a la bestimmte IPs zulassen), aber durchaus eine größere Menge von möglichen Maßnahmen, die ich noch nicht kannte und mal genauer unter die Lupe nehmen werde, ob sie für den schokokeks praktikabel sind.
Samstag abend gab es einen extrem coolen Liveact mit Akkustikgitarre und Gameboy.
Heute blieb ich noch bis zum Vortrag von Rüdiger Weis über Hashes, bei dem ich leider etwas das Gefühl hatte, »Rüdi, leg mal ne neue Platte auf«. Den fast identischen Vortrag hatte ich bereits auf dem Kongress und der whatthehack gehört, mich hätte insb. eine etwas genauere Beleuchtung der jüngsten Ergebnisse der Crypto-Konferenz interessiert.
Desweiteren hab ich 4 Laptops anderer Besucher mit compiz/aiglx versorgt, sowie einen Lightningtalk dazu gehalten (Slides OpenDocument, Slides PDF). Hatte das erste Mal das Vergnügen, mir einen Macbook näher anzuschauen (also, ein nettes Spielzeug isses ja, aber kann man damit eigentlich auch arbeiten? Dem fehlen ja nicht nur Maustasten sondern auch ganz viele Tasten auf der Tastatur), desweiteren sponnen wir einige Ideen, wie man die Bewegungs- und Schocksensoren in Apple- und IBM-Hardware kreativ nutzen kann, vielleicht später mehr dazu.
Ein paar spannende Vorträge warn dabei, Samstag einmal Pylon zu UTF-8, was mir evtl. vermitteln konnte, warum das bei mir immer noch weit entfernt von optimal funktioniert und an welchen Konfigurationsschrauben ich da noch drehen könnte. Anschließend ein sehr interessanter Vortrag zum Absichern von Linux-Servern, zwar hatte der Autor an einigen Stellen Ansätze, die ich nicht wirklich nachvollziehen konnte (http-traffic nach außem sperren - mein Einwand zwecks Trackbacks und XML-RPC erzeugte dann etwas komische Vorschläge a la bestimmte IPs zulassen), aber durchaus eine größere Menge von möglichen Maßnahmen, die ich noch nicht kannte und mal genauer unter die Lupe nehmen werde, ob sie für den schokokeks praktikabel sind.
Samstag abend gab es einen extrem coolen Liveact mit Akkustikgitarre und Gameboy.
Heute blieb ich noch bis zum Vortrag von Rüdiger Weis über Hashes, bei dem ich leider etwas das Gefühl hatte, »Rüdi, leg mal ne neue Platte auf«. Den fast identischen Vortrag hatte ich bereits auf dem Kongress und der whatthehack gehört, mich hätte insb. eine etwas genauere Beleuchtung der jüngsten Ergebnisse der Crypto-Konferenz interessiert.
Desweiteren hab ich 4 Laptops anderer Besucher mit compiz/aiglx versorgt, sowie einen Lightningtalk dazu gehalten (Slides OpenDocument, Slides PDF). Hatte das erste Mal das Vergnügen, mir einen Macbook näher anzuschauen (also, ein nettes Spielzeug isses ja, aber kann man damit eigentlich auch arbeiten? Dem fehlen ja nicht nur Maustasten sondern auch ganz viele Tasten auf der Tastatur), desweiteren sponnen wir einige Ideen, wie man die Bewegungs- und Schocksensoren in Apple- und IBM-Hardware kreativ nutzen kann, vielleicht später mehr dazu.
Saturday, September 2. 2006
mrmcd101b in Darmstadt
Gestern abend noch auf die mrmcd101b (metarheinmain chaosdays) gefahren. Ganz nett, bislang deutlich größer als letztes mal in Wiesbaden. WLAN funktioniert nur durchwachsen, dummerweise hab ich kein Wired-Kabel mehr dabei.
Wir machen am Entropia-Stand grad AIGLX/Compiz-Späße, zwei Gentoo-Rechner schon mit versorgt und ein Debian wird grad auf Gentoo umgestellt. Ich halte später auch noch einen Lightning-Talk dazu, wer Lust auf wobbly Windows hat, darf vorbeikommen.
Kurzberichte zu Vorträgen kommen später noch ein paar,
Wir machen am Entropia-Stand grad AIGLX/Compiz-Späße, zwei Gentoo-Rechner schon mit versorgt und ein Debian wird grad auf Gentoo umgestellt. Ich halte später auch noch einen Lightning-Talk dazu, wer Lust auf wobbly Windows hat, darf vorbeikommen.
Kurzberichte zu Vorträgen kommen später noch ein paar,
Posted by Hanno Böck
in Code, Computer culture, Life, Security
at
16:10
| Comments (0)
| Trackbacks (0)
Wednesday, August 9. 2006
Dangerous for their business model
A while back, some people from the chaos computer club created a small tool called dingens (yeah, the name sucks) to disable windows services that open ports to the network.
The idea is simple, a common windows installation (esp. before sp2) opens various ports to the network by default, even if they aren't used for anything. This led to a couple of security threats in the past, many viruses used buggy services to attack remote computers.
Now, while it's probably in general not a good idea to use an operating system so poorly designed that it opens ports by default without needing them, if you're forced to use windows, dingens is probably a much better idea than most other »security solutions«. Why? Because it closes security holes instead of working around them and introducing new problems, like antivirus-apps or personal firewalls do.
Now, recently Antivir reported win32sec.exe (the dingens-tool) as
SecurityPrivacyRisk/Tool.KillService riskware
And Panda Antivirus says:
Hacktool/Servicekiller.A
Probably someone should tell the people at Panda about the different meanings of »Hacker«. Just because something was done by »Hackers« doesn't mean it's a hacktool. In fact, detecting dingens as something dangerous is trying to get rid of competitors in terms of security solutions. The only thing dingens endangers is the business model of so-called security companies.
After some people intervened, Antivir has removed the signature now. Panda still thinks it's a »hacktool«.
The complete idea of AV apps is wrong. The purpose of a virus is to use security holes to spread itself. AVs can only detect already known viruses. That also means the security hole is known and thus should be fixed, not worked around by some crappy software that can have security problems itself. The only valid usage of an AV I can think of is to scan email to reduce crap in your inbox. But, not to secure you (that should be done by a well-designed mail client), just to save you time from deleting the mails, the same thing spamfilters do. A command-line scanner like clamav (the only free one) is just fine for this. Everyone telling you that you need to install a »allround security solution« on your PC is lying.
The idea is simple, a common windows installation (esp. before sp2) opens various ports to the network by default, even if they aren't used for anything. This led to a couple of security threats in the past, many viruses used buggy services to attack remote computers.
Now, while it's probably in general not a good idea to use an operating system so poorly designed that it opens ports by default without needing them, if you're forced to use windows, dingens is probably a much better idea than most other »security solutions«. Why? Because it closes security holes instead of working around them and introducing new problems, like antivirus-apps or personal firewalls do.
Now, recently Antivir reported win32sec.exe (the dingens-tool) as
SecurityPrivacyRisk/Tool.KillService riskware
And Panda Antivirus says:
Hacktool/Servicekiller.A
Probably someone should tell the people at Panda about the different meanings of »Hacker«. Just because something was done by »Hackers« doesn't mean it's a hacktool. In fact, detecting dingens as something dangerous is trying to get rid of competitors in terms of security solutions. The only thing dingens endangers is the business model of so-called security companies.
After some people intervened, Antivir has removed the signature now. Panda still thinks it's a »hacktool«.
The complete idea of AV apps is wrong. The purpose of a virus is to use security holes to spread itself. AVs can only detect already known viruses. That also means the security hole is known and thus should be fixed, not worked around by some crappy software that can have security problems itself. The only valid usage of an AV I can think of is to scan email to reduce crap in your inbox. But, not to secure you (that should be done by a well-designed mail client), just to save you time from deleting the mails, the same thing spamfilters do. A command-line scanner like clamav (the only free one) is just fine for this. Everyone telling you that you need to install a »allround security solution« on your PC is lying.
« previous page
(Page 8 of 8, totaling 111 entries)
About me
You can find my web page with links to my work as a journalist at https://hboeck.de/.
You may also find my newsletter about climate change and decarbonization technologies interesting.
Hanno Böck
mail: hanno@hboeck.de
Hanno on Mastodon
Impressum
You may also find my newsletter about climate change and decarbonization technologies interesting.
Hanno Böck
mail: hanno@hboeck.de
Hanno on Mastodon
Impressum
Creative Commons
Unless noted otherwise, all content is CC Zero / public domain
