ITrig

Zum Montag habe ich für euch einen weiteren interessanten Beitrag vom 30c3. Unter dem Titel "Überwachen und Sprache" zeigt Joachim Scharloth mit Hilfe eines fiktiven Auswertungstoolskits, was in der Welt der Linguistik für Möglichkeiten zur digitalen Analyse und Auswertung von Texten existieren. 

Scharloth, Prof. für Angewandte Linguistik, geht hierbei auf einzelne Methoden ein, welche Wörter, Sätze oder Texte automatisch auswerten. So wird das sogenannte Keyword DDoS weitgehend entkräftet. Dienste haben inzwischen ausgeklügelte Verfahren, um solchen Wortmüll zu identifizieren.

Fachausdrücke, wie beispielsweise Named-Entity-Kollokationsanalyse werden weitgehend erklärt. Das Video dürfte somit wohl für jeden verständlich sein. Viel Spaß.

FYI: Der eigentliche Beitrag beginnt bei Minute 10:30.

Zum Dienstag ein weiteres Video vom 30c3. Unter dem Titel "Bullshit made in Germany" erklärt Linus Neumann ausführlich und für jeden verständlich, warum die De-Mail weder sicher ist, noch benötigt wird.

Zusätzlich zu den technischen Details, plaudert er ein wenig aus dem Nähkästchen, wie es bei solchen Beschlüssen zu geht, dass versierte Berater eigentlich nur pro forma geladen werden oder hinter allem die gleiche Beraterfirma steckt.

Passend zum Titel wird ebenfalls auf "Email made in Germany" und das sogenannte Schlandnet eingegangen. 

Wer sich ein wenig Hintergrundwissen aneignen möchte oder einfach nur über die DE-Mail informieren will, der sollte sich die knappe Stunde unbedingt ansehen.

Auf dem 30. Chaos Communication Congress wurde dieses Jahr das Applied Crypto Hardening Handbuch vorgestellt. Zunächst noch als PDF zum Download, eine Online Version in HTML soll folgen. Die Macher (BetterCrypto) möchten damit eine Anleitung für Netzwerker und Systemadministratoren bereitstellen, welche die wichtigsten Crypto Einstellungen für bekannte Systeme behandelt.

Ziel ist es, Codeschnipsel bereitzustellen, welche der Anwender direkt per Copy und Paste in die jeweilige Konfiguration übernehmen kann. So muss nicht lange in den Einstellungen nach den richtigen Anweisung für eine sichere Verschlüsselung gesucht werden. Der Einsatz ist somit denkbar einfach, siehe folgende Codezeilen für einen Mailserver:

Crypto unter Postfix

smtpd_tls_cert_file = /etc/ postfix / server .pem

smtpd_tls_key_file = /etc/ postfix / server . key

# use 0 for Postfix >= 2.9 , and 1 for earlier versions

smtpd_tls_loglevel = 0

# enable opportunistic TLS support in the SMTP server and client

smtpd_tls_security_level = may

smtp_tls_security_level = may

# if you have authentication enabled , only offer it after STARTTLS

smtpd_tls_auth_only = yes

tls_ssl_options = NO_COMPRESSION

An diesem Beispiel ist gut zu erkennen, dass dieser Code zwar für Grundverschlüsselung sorgt, jedoch auf das eigene System durchaus noch angepasst werden kann. So kann bei vielen Mailservern die Verschlüsselung zwischen den jeweiligen Providern durchaus erzwungen werden, also "smtp_tls_security_level = encrypt". Der Code kann also ohne Hintergrundwissen übernommen werden, Lesen schadet aber bekanntlich ja auch nicht.

Crypto Codeschnipsel 

Neben Postfix stellt die Codesammlung Einstellungen für folgende Systeme bereit:

• Webserver
• Apache, lighttpd, nginx, ms iis
• SSH
• Open SSH, Cisco ASA, Cisco IOS
• Mailserver
• Postfix, Dovecot, Cyrus, SMTP, Exim
• VPN
• IPSec, OpenVPN, PPTP, Cisco ASA
• PGP
• Instant Messaging
• XMPP, Jabber, IRC, SILC
• Datenbanken
• Oracle, MySQL, PostgreSQL, DB2
• Proxylösungen

Code ist nicht alles, so werden auf den 80 Seiten durchaus auch Theorie und Praxis beschrieben. Für Anwender und Admins sicherlich eine Pflichtlektüre.

Download  Better Crypto - Applied Crypto Hardening Handbuch

Ab sofort gibt es auf der Seite eine neue Kategorie "Post Privacy". Darin werden in Zukunft Themen zum NSA Skandal, Tutorials zur Verschlüsselung, sehenswerte Videos und anderes Material zur Privatsphäre abgelegt. Der Titel Post Privacy ist absichtlich so gewählt, auch wenn wir diesen Zustand noch nicht ganz erreicht haben.

Den Anfang möchte ich in dieser Kategorie mit einem Videobeitrag vom 30c3 machen. Auch wenn in der knappen Stunde ein paar technische Begriffe vorkommen, sollten die meisten den Beitrag auch ohne super Fachwissen eigentlich gut verstehen. Wenn nicht, finden sich die meisten Infos bei der Wikipedia, wie z.B. XOR oä.

Kryptographie nach Snowden