rabenhorst

Die Washington Post berichtet in DNA Key to Decoding Human Factor über ein interessantes Projekt. Anders als der Titel vermuten lässt, geht es nicht um Genetik sondern um Kryptografie. Der Hauptakteur ist kein Genlabor, sondern der U. S. Geheimdienst Secret Service und mit DNA ist nicht die DeoxyriboNucleicAcid gemeint, sondern das Produkt Distributed Network Attack des Unternehmens AccessData, dass wohl bei der Namensgebung und Produktgestaltung Anleihen bei dem distributed.net Projekt genommen hat. Und mit dem menschlichen Faktor ist wirklich der menschliche Faktor bei der Wahl von Passwörtern und Passphrases gemeint.

DNA dient der verteilten Ausführung von Dictionary Attacks auf die Passphrases symmetrisch verschlüsselter Dateien, um mit den wiederhergstellten Passphrases die Dateien zu entschlüsseln. Bei Dateien, die mit kurzen Schlüsseln verschlüsselt wurden, wird versucht, den passenden Schlüssel zu finden. Dabei integriert DNA Elemente des Social Engineerings, was uns zum menschlichen Faktor führt. Denn DNA geht davon aus - bestätigt durch Studien, die dasselbe herausfanden - dass die meisten Anwender einfache Passphrases benutzen, die in direkter Beziehung zu ihrem sozialen Kontext stehen. Ein Kontext, der sich auch in Klartextdaten auf dem Computer des Benutzers wiederspiegelt, wie z. B. in unverschlüsselten E-Mails, Word Briefen und Webpages in den Browsercaches. Die durchforstet DNA - ähnlich wie die ganzen Desktopsuchprogramme der letzten Zeit - um Wörterbücher zu bilden und nicht irgendwelche Wörterlisten aus dem Internet. Bei einem angenommenen Benutzer, der dem obigen Klischee entspricht, kann sich daraus eine erhebliche Beschleunigung des Passwortknackens ergeben.

Wie die Post schreibt, setzt der Secret Service DNA seit drei Jahren auf 4000 Workstations der Beschäftigten des Secret Service ein. Bis Ende Sommer 2005 soll es auf 10000 Workstations installiert werden. Darüber hinaus ist die Installation auf allen Computern aller Geheimdiente geplant, darunter auch auf den Workstations des U. S. Heimatschutzministeriums. Der Post zufolge hat der Secret Service Lizenzen für 100000 Installationen erworben. Das Programm soll in Zukunft nach Wunsch der Geheimdienste auch Angriffe auf Dateien ermöglichen, deren Benutzer Steganografie anwenden oder aus verschiedenen Kulturkreisen stammen, was komplexere Wörterbücher und Passwortangriffe erfordert, da diese Benutzer z. B. aus verschiedenen Alphabeten schöpfen.

DNA und das DNA Netzwerk des Secret Service arbeitet verteilt und ist hierarchisch organisiert. An der Spitze steht ein DNA Server, den der Secret Service "Shadowfax" nennt, der die Passwortknackjobs verwaltet, überwacht und die Clientinstallation steuert. Darunter stehen eine Reihe von Maschinen, "Blackhorses" genannt, die Jobs den Workstations, genannt "Packhorses", in den Büros und Außenstellen des Secret Service zuordnen. Laut Produktbeschreibung ist DNA noch auf eine kleine Gruppe von Dokumenttypen begrenzt: ARJ Archive, Word und Excel 97 & 2000 Dokumente, PDF Dateien bis PDF Version 1.4, Office XP, PGPdisk 4 - 6, ZIP und RAR / WinRAR (bis Version 2.9) Passwörter.

Via blog-on-nymity: DNA - Distributed Networking Attack - and Encryption.

Da lese ich gerade via Penguins E-Mail Aber richtig den Spiegel Artikel zu E-Mails. Was schreibt dort der Autor Bastian Sick: So ein Schwachsinn. Wer sich öfters in Postfilialen aufhält, kennt die Kundenschlangen. Schlangen, die auch durch Kleingeschäfte wie den Kauf einzelner Briefmarken entstehen - Stichwort Kundenzufriedenheit. Wer in der vergangenen Zeit die Wirtschaftsmeldungen zur Post AG verfolgt hat, der kennt das Ziel der Post AG, den Personalstamm, sprich die Personalkosten zu senken - über die Schließung kleiner Postfilialen, den Abbou von Brifkästen in weniger dicht besidelten Gebieten, einfach durch Entlassungen oder halt durch weitere Automatisierung. Wie löst man die beiden Probleme? Genau! U. a. durch die Ausweitung der Aufstellung von Briemarkenautomaten (die sich auch hier am Ort vermehrt haben). Das in Beziehung zur E-Mail zu setzen, die übrigens immer mehr durch IM ersetzt wird (aber das scheint der Autor nicht mitzubekommen), ist sehr weit hergeholt.

Dann, zwei Absätze weiter: Hallo? Schon mal den Duden gesehen, der doch bestimmt irgendwo im Spiegelgebäude oder im Arbeitszimmer zu finden sein wird. Schlagen wir doch mal nach. Aha, was finden wir: Die weiteren Kapitel zur E-Mail Netiquette mit den lustigen, bunten Icons spare ich mir, weil ich Angst vor dem habe, was dort zu finden ist.

Nachdem bereits u. a. von Tim und Florian über OTR (Off-the-record Messaging) berichtet wurde, ich das mit Gaim und dem OTR-Plugin mit Lars getestet hatte und es in der deutschsprachigen "Googlesphäre" so gut wie keine Erwähnung gibt, habe ich auf der No Big Brother Page unter Kryptografische Programme OTR mit folgendem Text aufgenommen: Wer sich mal die Homepages der beiden OTR Autoren anschaut oder bei Google stöbert, wird zu dem Schluß kommen, dass die beiden auch wissen, wovon sie reden. Reviews von bekannten Kryptogrößen wären natürlich nicht zu verachten :)

Ganz grob gesagt sind u. a. bei OTR folgende Punkte wichtig und interessant: Die AES-Verschlüsselungsschlüssel, die OTR benutzt, werden regelmäßig gewechselt, alte Schlüssel verworfen und Im Rahmen der Diffie-Hellmann Schlüsselaustauschverfahren gebildet, was dazu führt, dass, wie oben gesagt, eine nachträgliche Entschlüsselung durch keine Instanz mehr möglich ist.
Aber auszuhebeln ist das (noch) bei Gaim, wenn einer der Kommunikationspartner den Mitschnitt aktiviert, denn dann werden die Nachrichten / Chats im Klartext abgespeichert. OTR sollte also bei Aktivierung auch automatisch diese Logfunktionen deaktivieren, egal mit welchem Client. OTR realisiert also eine durch Verschlüsselung abgesicherte "Ex und Hopp" Kommunikation, könnte man so sagen.

Außerdem wird zu Beginn und während der Kommunikation die Authentizität zweier Kommunikationspartner durch das Signieren des gemeinsamen, geheimen "Schlüssels", der während der Austauschverfahren gebildet und ausgetauscht wird und durch einen gemeinsamen, geheimen MAC (Message Authentication Code) Schlüssel plus MACs für die Nachrichten gewährleistet, aber so, dass dies nur für die beiden Partner und nur während der Kommunikation gilt. Hinzu kommt ein Prozess, den OpenPGP und SSH Anwender auch kennen werden - Die Überprüfung des Fingerprints des öffentlichen Schlüssels des Kommunikationspartners.

Aus dem Design von OTR scheint sich zu ergeben, dass daraus keine Zuordnung zwischen Nachricht und Urheber abzuleiten bzw. zu beweisen ist. Das alles, selbst wenn ein Angreifer in den Besitz des privaten DSA oder MAC Schlüssels kommen würde - durch Diebstahl, Konfiszierung oder Hacken der Maschine. Mir kommt da das britische RIP (Regulation of Investigatory Powers Bill) Gesetz in den Sinn, mit dem man die Herausgabe von Schlüsseln und Passphrases erzwingen kann oder Keylogger, die u. a. das FBI gerne benutzt.
Die "verständlichste" Darstellung der Details findet man im in dem Paper Off-the-Record Communication, or, Why Not To Use PGP, das auch auf der OTR Seite verlinkt ist.

D. h. OTR ist eine interessante Sache, denn die Anwender können ihre Urheberschaft abstreiten, wenn ein Angreifer oder der Kommunikationspartner die Urheberschaft behauptet, sie können abhörsicher miteinander kommunizieren und bräuchten sich keine Gedanken mehr zur Anwendung von GnuPG und der Sicherheit oder dem Schutz ihrer privaten GnuPG Schlüssel zu machen.

Leider ist das Ganze bis jetzt halt an Gaim und Adium gebunden, die PSI Entwickler haben laut den Verweisen bei Florian eine Implementierung abgelehnt (wenn sie da nicht mal eine dauerhafte Entwicklung verpennen) und der Proxy ist für Jabber noch nicht bereit.
In Bezug zu plattformübergreifendem IM würde ich die größten Hoffnungen in den Proxy setzen, denn es werden halt nicht alle Client Entwickler OTR fest einbauen oder per Plugin einbinden und in Bezug zu Jabber sehe ich nicht, dass es zu einer größeren Integration von SASL und S/MIME in die Jabberclients kommt, die Anwendung von OpenPGP (GnuPG) basiert nur auf einem Jabber Protocol Enhancement und nicht auf einem "offiziellen" und beschlossenen Standard und wird auch nur von PSI und Kopete umgesetzt. Also wäre in meinen Augen OTR eine sinnvolle Ergänzung für alle IM Clients, die Jabber und / oder die OpenPGP Jabbererweiterung unterstützen.

Tja, wie macht sie das? Vielleicht so, wie es ein anonymer Autor kurz in dem Cryptome Artikel NSA Prep beschreibt. Er selbst bezeichnet seine Überlegungen als "Verschwörungstheorie". Vielleicht sind sie das oder einfach nur der normale Weg in den USA, wie die National Security Agency und andere Institutionen Nachwuchsförderung betreibt.

Seine Ausführungen beginnen im Jahr 1972. Zu der Zeit war der Autor Schüler in Maryland, der "Heimat" der NSA. In diesem Jahr wurde ein Programm an allen öffentlichen Schulen in Maryland mit dem Namen "The Iowa Test of Basic Skills" gestartet, das Begabungen und Denkvermögen testet und laut dem Autor immer noch läuft. Die Schüler, die im Bereich Mathematik des Tests zu den ersten 2% gehören, werden danach in ein Eliteförderungsprogramm aufgenommen, das von Julian Stanley an der Johns Hopkins University entwickelt wurde und zu dem der SAT (Scholastic Aptitude) Test gehört. Teilnehmer, die im Rahmen dieses Programms zu den ersten 2% gehören, werden einer ganzen Bandbreite von weiteren Tests zur Feststellung des psychologischen Profils und von Begabungen unterzogen. Außerdem dürfen sie an dem mathematischen Leistungskurs SMPY (Study of Mathematically Precocious Youth) teilnehmen, der ebenfalls von Stanley an der Johns Hopkins Universität entwickelt wurde und in Form von Wochenend- und Sommerkursen abgehalten wird. In diesem Leistungskurs waren mit dem Autoren im Jahr 1973 30 Mitschüler, die alle dazu ermutigt wurden, frühzeitig die Universität zu besuchen und Mathematik zu studieren. Der Autor besuchte ab 1975 ebenfalls die John Hopkins Universität.

Nun kommt der Teil, den er als den Verschwörungstheorieteil bezeichnet. Er schreibt: Ist doch 'ne nette Geschichte, oder?

So, jetzt ist aber gut… Heute den ganzen Tag noch über der Jabber und GnuPG Anleitung gesessen. Bei der jabber Anleitung wurden ein paar Links hinzugefügt und korrigiert, etwas am Text geändert, eine genauere Installations-Kurzanleitung zu PSI für Linux und Windows integriert und noch zwei Screenshots von PSI unter Windows XP und Mac reingepackt, um den Leuten zu zeigen, dass es auch dort funktioniert und aussieht. Wobei es ja für Mac einige nette Jabber / IM Clients gibt, was ich so per Jabber gehört und auf den Websites gesehen habe.

In der GnuPG Anleitung wurde der Part zur GPGshell noch einmal passend zur 3.40 Version überarbeitet und zu WinPT korrigiert. Das mal fett, weil ich in Neue GnuPG Anleitung Stuss erzählt habe. Die von mir eingesetzte WinPT Version war veraltet, mit der aktuellen 0.9.90 funktionert es ohne Probleme mit GnuPG 1.4.1. Desweiteren wurde - obwohl mir Schauer über den Rücken liefen - eine Vorstellung des "G-DATA" GnuPG Plugins für Outlook eingebaut. Aber man muss ja auch an die Leute denken, die in der Firma oder sonstwo "gezwungen(?)" sind, damit zu hantieren. Also begeistert war ich nicht. Als Entschädigung habe ich neben der Nutzung von GnuPG mit Sylpheed-Claws den Thunderbird und Enigmail positiv mit Screenshots und kurzer Nutzungsanleitung hinzugefügt. Vielleicht ja auch ein Anreiz für die Outlookleute, Outlook gegen Thunderbird mit Sunbird zu tauschen.

Übrigens vielen Dank für die positiven Stimmen zu den Anleitungen. Wenn sie jemandem nützlich sind, haben sie ihren Zweck erfüllt und waren auch nützlich für mich, denn ich will ja, dass die Leute Verschlüsselung einsetzen, wo es nur geht, damit ich mit ihnen verschlüsselt kommunizieren kann :) Mit den Anleitungen ist das so 'ne Sache. Einige halten die schon für zu überfrachtet, für Anfänger geeignet oder ungeeignet, wieder andere finden sie angenehm. Nun ja, das ist halt immer eine Gratwanderung zwischen Kurz & leicht für alle und Ausführlich & kompliziert für alle, die mehr wissen wollen. Kritik kann man da immer brauchen, aber nicht jede und immer aufnehmen.

So und wenn der FTP Server wieder tut, dann sind die auch bald als On- und Offlinevariante oben :)

Ach ja, nachdem ich in Über den Tellerrand schauen bei shermann wieder etwas zu Ubuntu gelesen hatte, habe ich heute noch die Ubuntu Live-CD gebrannt, die ich mir vorgestern per Torrent runtergeladen hatte und mir etwas Ubuntu angesehen :) Ja, läuft alles, sieht auch nett aus, aber das ist ja eigentlich bei allen Live-CDs so.

I'm on a killing spree...Nein, nicht so wie z. B. in diesem Game, sondern was Contacts auf meinen Jabber Roster angeht. Der ist jetzt erheblich leerer, nachdem ich etliche Conatcts gekickt habe. Und zwar solche Contacts, die um Autorisierung nachfragen, nur um eine Frage zu stellen - zu Linux, zu GnuPG, zu Jabber, zum Blog etc. etc. oder mir nur mitteilen wollen, wie gut oder wie schlecht sie XYZ im Blog oder auf der HP finden…und dann ist meistens Ruhe im Karton. Herrjeh, es gibt trotz ständiger Überallerreichbarkeit per Handy oder Instant Messaging auch noch E-MAIL, die sich hervorragend für solche Zwecke eignet. Muss man sich denn sofort und überall auf Kontaktlisten breit machen, nur weil es so bequem ist? Das ist in meinen Augen einfach nur saumäßiger Stil, der wie immer aus Gedankenlosigkeit und egoistischer Bequemlichkeit resultiert. Und wenn ich dann noch so etwas sehe, laufe ich rot an: Sehr lustig, wie intelligent und kreativ. Anstatt die Jabber Userverzeichnisse sinnvoll zu nutzen, was die Nutzung der Userverzeichnisse als möglicherweise universales Yellow Book angeht und das Suchen und Finden von bestimmten Personen optimieren würde, rotzt man noch seine einmaligen Ergüsse in's Netz.

Habe mal die neue Kategorie "TV-Tipp" eingeführt, in der ich in loser Folge Sendungen poste, die mir sehenwert erscheinen und die mir Nextview EPG so in's Haus spült - für die Beschreibungen übernehme ich keine Gewähr :) Also hier die Empfehlungen für Samstag:

Control Room
Phoenix, Sa 19.03., 20:15 - 21:00 Dark City
PRO7, So 20.03., 00:10 - 02:00: USA

Wie UAVs schreibt, ist ein Namensvetter, das UAV RAVEN RQ-11A von Aerovironment (die schon in der Vergangenheit MAVs für die DARPA entwickelten), sehr gut bei der U. S. Army angekommen. Nach dem ersten Einsatz in Afghanistan befanden u. a. die Special Forces das UAV als sehr nützlich, die Army reagierte und orderte mehr von den 25000 US$ teuren Überwachungsdrohnen - nächster Einsatzort: Irak. Das Raven UAV wiegt nur ca. vier Pfund, kann 80 Minuten in der Luft bleiben und wird entweder mit Tageslicht- oder zwei Infrarot-Farbkameras bestückt. Gesteuert wird das UAV per Laptop und GPS.

Aber obwohl das Material aus Kevlar besteht und das Raven UAV 200 Landungen ohne Zwischenfälle übersteht, scheint es doch ab und an mal nicht mit dem Heimflug im Irak zu klappen.

Jedenfalls habe ich die folgenden Bilder auf der dubiosen Website "Northeast Intelligence Website" gefunden, die unter der irreführenden Domain homelandsecurityus.com residiert. Bei der Truppe scheint es sich um eine kleine Gruppe von Privatdetektiven, ehemaligen Geheimdienst- und Armeeangehörigen und Privatleuten zu handeln, die meinen, dass die US-Regierung den "Kampf gegen den Terror" nicht alleine bewältigen kann und privat organsierte Geheimdienstarbeit braucht. Aber selbst die NATO scheint von dem Verein so angetan zu sein, dass sie ihm einen ausführlichen Link auf der NATO Defense Against Terrorism Node Information Website spendierte.

Laut dem Begleittext hätten islamistische Terroristenwebsites am 14. März verkündet, eine Drohne vom Himmel geholt zu haben und diese Meldung per Video im Web verbreitet. Der "Experte" des Northeast Intelligence Networks, Sean Osborne, habe die Drone als Raven RQ-11A UAV von Aerovironment "identifiziert".

Vor ein paar Tagen habe ich auf Xfce 4.2.1 aktualisiert und mir jetzt mal den Mediaplayer Xfmedia 0.71 für Xfce angeschaut. Xfmedia benötigt xine-lib >= 1.0rc8, GTK >=2.4.0, die libexo Bibliothek >=0.2 von os-cillation und die libxfcegui4 >= 4.2.0.
Nach dem rebuild der RPMs und Installieren der Bibliotheken gab es mit Xfmedia keine Probleme, spielte alle Movies ab, lud auch alle ogg und mp3 Soundateien - aber alles ohne Ton. Aber anstatt wie üblich erst einmal xfmedia in der Konsole mit --help/-h zu starten, musste ich mal wieder auf einer ML dumm rumfragen und bekam auch sofort die passende Info :) Als ich einmal xfmedia mit xfmedia --audio-output=oss --video-output=xv gestartet hatte, lief dann auch alles.

Xfmedia kommt mit einer aufgeräumten und klaren Oberfläche daher ohne allzu viel Schnickschnack. Über den + Button fügt man ein Verzeichnis, eine Datei, eine Stream-URL oder eine DVD/VCD/CD der Wiedergabeliste hinzu. Mit dem – Button entfernt man Einträge. Die beiden mittleren Buttons dienen der zufälligen oder unendlichen Wiedergabe. Die drei rechten Buttons dienen der Anlage, dem Öffnen oder Speichern von Wiedergabelisten. Die oberen vier Buttons dürften ja selbsterklärend sein.

Dateien, Verzeichnisse usw. können als Bookmarks in einer Ordnerstruktur abgelegt werden, die sich Mediamarks nennen. Über das Kontextmenü kann man die Titel der Wiedergabeliste als Mediamark ablegen, Mediamarks sofort laden, die Einstellungen von Xfmedia aufrufen usw. usf. Enthalten sind auch noch vier Visualisierungskinkerlitzchen. Xfmedia legt sich im Systemtray der Xfce Taskbar ab, über das man Xfmedia direkt steuern kann. Alles in allem gefällt Xfmedia. Die Wehrmutstropfen, die mir bis jetzt aufgefallen sind: Für Streamtuner ist Xfmedia ungeeignet, weil jedesmal, wenn man den Stream wechselt, eine neue Instanz gestartet wird. Auch die URLs von mp3 Playlisten werden nicht automatisch gestartet, sondern man muss die manuell anklicken.

Lesenswerter Bericht zu persönlichen Eindrücken auf der CeBIT 2005, die R. Matheisen bei der Bundesdruckerei, der Finanzverwaltung NRW, beim Bundesinnenministerium und Gemplus zu RFID, WM Tickets und dem neuen Personalausweis gewinnen konnte.

Interessant war für mich der Hinweis zum Pass-Scanner der Bundesdruckerei, der anscheinend automatisch auch die Reisedaten archiviert und in externen Datenbanken abspeichert - Bewegungsprofil lässt grüßen. Typisch auch der zitierte "Deutsche-Michel-Ausspruch" eines Vertreters der Bundesdruckerei: "Ich habe keine Angst davor, man wird doch sowieso schon überall erfasst."

Ansonsten gab es ja nicht allzuviele Berichte von CeBIT Besuchern zu diesem Themenbereich. Nerds und Geeks glotzen sich wohl lieber den neuesten Flachfernseher, Mac Mini, das neueste, "kaffeekochende" Handy und andere "Gädschäds" an.