u1amo01

Unser Bandleader hat wirklich Pech. Erst hat sein Apfelbuch den Löffel abgegeben und neulich ist seine mobile Festplatte vom Tisch heruntergefallen. Damit waren dann alle Daten weg.

Die freundliche Fachfirma hat für die Datenrettung einen vierstelligen Betrag veranschlagt.

Kaufe morgen eine zweite externe Festplatte und einen großen Pack CDs für eine Sicherungsorgie.

Die FTD berichtet von einem »Hackerangriff« auf den Emissionshandel. Dazu drei Anmerkungen:

1. Es ist suboptimal, wenn eine Behörde alle Kontaktdaten (inkl. Handy-Nummern und Mailadressen) der Firmenansprechpartner im Internet veröffentlicht.
2. Es ist hilfreich, bei einer Mail, die zur Eingabe von Paßwörtern auffordert (das allein ist schon ein Sofortlöschkriterium) auf den Absender zu achten.
3. Man nennt sowas Phishing.

Im Beitrag Wie Werner Gruber einen Körperscanner austrickst wurde im ZDF demonstriert, was man durch diese tollen sog. Nacktscanner ungehindert durchtragen kann und welches Feuerwerk sich damit veranstalten läßt - der Boden einer Bratpfanne wird mühelos durchgebrannt.

Und anschließend stellt sich dieser Regierungsfritze hin und bleibt dabei, dass die neuen Geräte kommen müssen und dass er es nicht gut finde, dass man mit solchen Demonstrationen Terroristen Anschauungsunterricht gäbe.

Irgendwo gab es auch eine Info angeblich vom Scannerhersteller, dass die beim jüngsten Attentatsversuch verwendeten Stoffe von ihren Geräten gar nicht gefunden würden. Aber die Dinger sollen wegen des jüngsten Anschlags angeschafft werden.

WAAAA.

Ich möchte bitte künftig von den Marx Brothers regiert werden. Die sind vernünftiger und viel unterhaltsamer.

Im Artikel Speichern? Nein Danke. hatte ich neulich aufgezählt, welche Maßnahmen ich ergriffen habe, um den Datenanfall beim Besuchen und Kommentieren in meinem Blog so gering wie möglich zu halten. Zusätzlich habe ich bei Kommentaren das Feld »E-Mail-Adresse« zur freiwilligen Angabe gemacht. Das alles hat sich bei der Spambekämpfung bisher nicht nachteilig bemerkbar gemacht – mein Blog ist zu unbekannt! .

Um wenigstens ein kleines Zeichen gegen Datensammelwut zu setzen, habe ich mich um das Siegel Wir speichern nicht bemüht. Das habe ich nach einigem Schriftverkehr per Mail als Nikolausgeschenk erhalten und in die Sidebar gepackt.

Dabei habe ich gelernt, dass das Siegel auch nicht mehr als ein Zeichen, bzw. eine Gesinnungserklärung ist: die Leute vom AK Vorrat können zwar prüfen, ob Google-Analytics oder ähnlicher Kram läuft, aber sie haben keinen Zugriff auf meine Serverlogs oder Konfigurationsdateien; da müssen sie meinen Aussagen zur Konfiguration Glauben schenken.

Generell sollte man keinem Siegel blind vertrauen: man weiß nicht was geprüft wurde und auch nicht, was seit der Prüfung geändert wurde (ihr erinnert euch vielleicht an den unsicheren Online-Marktplatz mit TÜV-Siegel?).

Neulich habe ich noch über einen iPhone-Wurm gelacht, der das Hintergrundbild gegen das eines Teenie-Stars ersetzt.

Jetzt ist Schluß mit lustig: ein neu aufgetauchter Wurm ändert das Root-Paßwort und fängt von der Bank verschickte mTans ab. Details bei Chester Wisniewski, gefunden via Danisch.de.

Mittlerweile kann man es ja schon nicht mehr hören. Hier ein Datenskandal, dort einer … Irgendwo habe ich mal gelesen, wie man einen wirklich einbruchssicheren Server schafft: man verwendet ein aktuelles, solides Betriebssystem (z. B. aus der BSD-Familie), gießt den Rechner in Beton ein und versenkt ihn ohne Netzwerkanschluss im Ozean.

Weil das nicht für jedermann praktikabel ist, sollte man generell so wenig Daten wie möglich preisgeben. Und möglichst wenig sammeln. Zeit, das im eigenen Blog umzusetzen.

Die Blogsoftware Serendipity speichert an verschiedenen Stellen IP-Adressen, unter anderem bei den Kommentaren. Das kann man zur Spambekämpfung nutzen, ist aber eher suboptimal. Dank dem schnellen Support im s9y-Forum habe ich eine Lösung von Garvin, die gut funktioniert: einfach in der Datei serendipity_config_local.inc.php folgenden Codeschnipsel einbauen, und schon wird anstelle der Besucher-IP überall nur noch 127.0.0.1 gespeichert:
$_SERVER['REMOTE_ADDR'] = '127.0.0.1';

Nun gibt es noch den Webserver, der fleißig sammelt. Bei meinem Provider all-inkl.com gibt es eine elegante Möglichkeit, das im KAS zu konfigurieren. Unter »Einstellungen / Accesslog« hat man die Auswahl zwischen »vollständiger IP«, »IP gekürzt«, »IP entfernt« (alle Adressen werden auf 0.0.0.0 gesetzt) oder »keine Logs«.

Auf der Website Wir speichern nicht! gibt es weitere Anleitungen für verschiedene CMS, Webserver etc.

Christian nennt seinen Blogeintrag, den ich hier zitiere »Fünf Minuten großes Kino«:

Ihr erinnert euch sicher an „Du bist Terrorist“. Jetzt hat Alexander Lehmann nachgelegt und erklärt uns die Netzsperren:
RettedeineFreiheit.de

Nein, es geht nicht um einen Film. Herr Vetter vom Law-Blog hat ein Filmchen eingestellt eingebunden bzw. verlinkt, wie man unter Windows seinen DNS-Server-Eintrag in 27 Sekunden ändert und damit die schönen Pläne unserer Regierung zunichte macht.

Ausführlich erläutert es der Chaos Computer Club. Die Anleitung steht dort seit 2003. Das hätte doch in der Zwischenzeit mal jemand ausdrucken und unseren Filterspezialisten in der Regierung zu lesen geben können?

Schluss mit negativen Beiträgen über Zensur, Überwachung & Co. Warum sollen wir uns weiter von alten Männern (oder Müttern) mit Kugelschreibern gängeln lassen?

Die German Privacy Foundation veranstaltet morgen in Berlin einen Termin »Spurenarm surfen«. Die interessanten Unterlagen dazu gibt es als PDF-File.

via Burks' Blog

Äh, ich glaubs nicht. Ein Blogkollege hat mich darauf aufmerksam gemacht, dass meine statische Homepage http://u1amo01.de anscheinend gesperrt wurde. Kann ja nur ein Irrtum sein, oder?

Im Anfang war das Wort, und das Wort war bei Gott, und Gott war das Wort.
Johannes 1.1

Allerorten Klagen über mangelnde Datensicherheit. Zeit für eine Artikelreihe. Keine Panik, das wird nichts tiefschürfendes. Das können die Experten wie Ravenhorst oder Danisch viel besser. Hier soll es nur um Schlagworte und ein paar kurze Hinweise dazu gehen.

Der erste Begriff: Passwort bzw. neudeutsch (english spoken) Password.

Dazu gibt es einfache Grundregeln:

• Passwörter sind wie Unterhosen: man muss sie regelmäßig wechseln.
• keine Wörter benutzen, die in einem Wörterbuch vorkommen, sonst geht es Euch wie unserem Bundesinnenminister mit seinem Passwort »Gewinner«. Auch Wörter mit Zahlen am Ende wie »Geheim007« sollen leicht knackbar sein.
• Jedes Passwort nur für ein System benutzen. Wird ein System wie z. B. wer-kennt-wen gehackt, ist nicht gleich alles in Gefahr.

Dass man nicht den eigenen Namen, den von Frau, Kind, Hund, Hamster nimmt, sollte seit Wargames jeder wissen. Gute Tipps zum Thema findet man unter Kleine Anleitung für das Ausdenken sicherer Passwörter. Alt, aber immer noch gut.

A propos, auch der im System verwendete Benutzername kann helfen, Angriffe zu erschweren. Mein Blog-Account ist z. B. weder Klaus noch u1amo01

Im November hatte ich den Artikel E-Mail? Aber sicher! verfasst über das von alten Männern mit Kugelschreib... unserer Regierung geplante todsichere DE-Mail-System.

Kai Raven schreibt in seinem Blog Ravenhorst alles, was man dazu sagen kann, verlinkt alles, was wichtig ist und ... geht einfach hin und lest. (Diesen Artikel habe ich jetzt ein paarmal umgeschrieben, weil er mir wichtig ist. Er erschien mir immer nicht gut genug. Ehe gar nichts da steht, bleibt er jetzt so. Das Thema geht alle an, die mit dem Internet verbunden sind. Punkt.)

Unsere Regierung plant die Einführung eines absolut sicheren E-Mail-Systems, die sog. De-Mail. Auf der Website Sichere Kommunikation im Internet kann man sich informieren und auch seine Meinung (bis 12. Dezember) kund tun.

Bei ein paar Details habe ich schallend gelacht (seltsam, der Gesetzesentwurf (PDF, 470 kB) trägt das Datum 11.11.?): Man geht davon aus, das ca. 75% des Schriftverkehrs zwischen Bürgern und Behörden künftig über dieses System laufen werden. Und rechnet deshalb mit 50 bis 80 Millionen Euro Kosteneinsparungen pro Jahr. Erinnert mich an die Ankündigung des papierlosen Büros …

Die Kosten will man über ein E-Porto (!) decken. Und wie ich gehört habe, wird das ganze natürlich unter Mitwirkung des Datenschutzspezialisten Telekom laufen, unter Federführung des obersten Datenschützers Herrn Dr. Schäuble.

Ich sag' nur alte Männer mit Kugelschreibern.

Für sichere Kommunikation gibt es schon wesentlich preiswertere Lösungen. Zum Beispiel PGP bzw. GnuPG (Infos zur Einrichtung und Nutzung).

Da muss man das Rad nicht mit Steuergeldern finanziert neu erfinden. Vermutlich wird das ganze Vorhaben allen Protesten zum Trotz umgesetzt. Frei nach dem Vogonenmotto: »Widerstand ist zwecklos!«