Der 35C3 in Leipzig

Größer, schneller, weiter – das Wachstum setzt sich fort! Mit über 17 Tausend Besuchern war der 35. Chaos Communication Congress unter dem Motto „refreshing memories“(*) Ende Dezember 2018 der bisher größte. Die neuen Räumlichkeiten bieten auch noch ein wenig Reserven für ein weiteres Wachstum.

Der 35C3 in Leipzig in den Hallen der neuen Leipziger Messe. Laserprojektion in der zentralen Messehalle.
Der 35C3 in Leipzig in den Hallen der neuen Leipziger Messe. Laserprojektion in der zentralen Messehalle.

Die Organisation war wie immer perfekt. Über 5000 freiwillige „Engel“ halfen in unzähligen Arbeitsstunden mit, den 35C3 zu einem unvergesslichen Erlebnis zu machen.

Meine Lieblingstalks dort in recht zufälliger Auswahl nach eigenen Präferenzen habe ich hier zusammengestellt. Thematisch ist von KI, Smart Home, Kryptographie, Kryptowährungen, Gesundheits-Apps, Datenschutz und Hardware-Hacking für jede/jeden Interessierten etwas dabei. In der fachlichen Tiefe gab es sowohl Vorträge für Anfänger als auch hochtechnische Talks für echte Nerds.

Alles kann man wegen der vielen parallelen Sessions gar nicht anschauen, aber da helfen wie immer die Aufzeichnungen vom Kongress die vom großartigen VOC-Team (Video Operation Center) unter https://media.ccc.de/b/congress/2018 nachhaltig zur Verfügung gestellt werden. Thematisch reicht der Kongress weit von Algorithmen in der Kryptographie, Angriffen auf Apps, Software, Hardware bis hin zu Auswirkungen von Netzpolitik und Datenschutz auf unser gesellschaftliches Zusammenleben.

Sehr sehenswert waren die vielen Aufbauten (Assemblies) der Regionalgruppen (Erfta-Kreise) des CCC. Da Fotos von Personen auf dem Kongress wegen Einhaltung der Privatsphäre verpönt sind, gibt es hier nur einige Fotos von Exponaten zu sehen.

In der Blog-Version dieses Artikels werde ich noch Vorträge ergänzen, die ich mir zwischenzeitlich noch als Aufzeichnung angeschaut habe.

Das Hauptthema des Kongresses war natürlich Security:

Nexus 5-Besitzer aufgepasst: Einen technisch anspruchsvollen Bluetooth-Angriff auf Broadcom Chipsatz kann man sich im Vortrag „ Dissecting Broadcom Bluetooth“ von jiska und mantz anschauen.

https://media.ccc.de/v/35c3-9498-dissecting_broadcom_bluetooth (en)

Biometrie ist so ziemlich auf allen Gebieten gebrochen. Auf diesem Kongress war die Venenerkennung dran:  „Venenerkennung hacken

Vom Fall der letzten Bastion biometrischer Systeme“ -  ein sehr sehenswerter Vortrag von starbug und Julian.

https://media.ccc.de/v/35c3-9545-venenerkennung_hacken

Festplattenverschlüsselung in Hardware – warum manchmal Bitlocker gar nicht nützt, erfährt man hier:  „Self-encrypting deception weaknesses in the encryption of solid state drives (SSDs) von Carlo Meijer“.

https://media.ccc.de/v/35c3-9671-self-encrypting_deception  (en)

Warum Lampen nicht in die Cloud gehören, erläuterte Michael Steigerwald in seinem Talk „Smart Home – Smart Hack -Wie der Weg ins digitale Zuhause zum Spaziergang wird“. Viele dieser Geräte nutzen ein und dieselbe Software eines chinesischen Herstellers, welche leicht angreifbar ist. Vielen Nutzern ist unklar welche Risiken daraus entstehen. Sie nehmen an, dass dann ein Hacker nur auf dem Internet eine Lampe an- und ausschalten kann. Viel schlimmer ist aber ein Eindringling, der ein Gerät im eigenen Netzwerk übernehmen und von dort aus Rechner im LAN angreifen kann.

https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack

Wer (glücklicher oder unglücklicher ;-) Besitzer einer Cryptowährung ist, sollte sich diesen Angriff auf Hardware-Wallets einmal anschauen. Eine Besonderheit ist dort, dass auch ein reiner Hardwareangriff mittels Glitches durchgeführt wurde:

„wallet.fail – Hacking the most popular cryptocurrency hardware wallets“von Thomas Roth, Dmitry Nedospasov und Josh Datko.

https://media.ccc.de/v/35c3-9563-wallet_fail

„Open Source Firmware – Eine Liebesgeschichte“ von zaolin bringt Euch Coreboot näher, in das sich der Vortragende wohl verliebt hat.

https://media.ccc.de/v/35c3-9778-open_source_firmware

Das Facebook uns allen DSGVO-widrig hinterherspioniert, auch wenn wir gar keinen Account dort haben zeigt:

„How Facebook tracks you on Android (even if you don’t have a Facebook account)“ von Frederike Kaltheuner und Christopher Weatherhead.

https://media.ccc.de/v/35c3-9941-how_facebook_tracks_you_on_android (en)

“All Your Gesundheitsakten Are Belong To Us – So sicher wie beim Online-Banking”: Die elektronische Patientenakte kommt – für alle.  Warum es keine gute Idee ist Gesundheitsdaten einer App anzuvertrauen zeigt Martin Tschirsich in seinem deutschsprachigen Vortrag. So ganz nebenbei erfährt die Zuschauerin, wie Angriffe auf Apps und auf Webseiten funktionieren und warum Public-Private-Key Verschlüsselungsverfahren auf Smartphones immer wieder versagen.

https://media.ccc.de/v/35c3-9992-all_your_gesundheitsakten_are_belong_to_us

Wer ein bisschen Retrocomputing mag, interessiert sich vielleicht für den Talk von Yaniv Balmas und Eyal Itkin. Der Angriff ist allerdings hochmodern und betrifft jeden HP-Multifunktionsdrucker, der FAX kann! Wenn der Angreifer einmal auf diesem Weg im LAN ist, kann er weitere Rechner infizieren. „What The Fax?! Hacking your network likes it’s 1980 again“:

https://media.ccc.de/v/35c3-9462-what_the_fax (en)

Mobilfunk:

„Die verborgene Seite des Mobilfunks – HF-Störquellen im Uplink“ von Peter Schmidt. Viel über Störquellen beim Uplink in den Mobilfunknetzen erfährt man hier von einem echten Experten aus erster Hand. Man lernt viel über Mobilfunkmasten und kann im Vortrag Tipps abgreifen, wie man einen kostenpflichtigen und ungebetenen Besuch der Bundesnetzagentur vermeiden kann.

https://media.ccc.de/v/35c3-9407-die_verborgene_seite_des_mobilfunks

KI:

Für mich der wahre KI-Experte schlechthin ist Joscha Bach, über dessen Vorträge ich schon einmal berichtet hatte. Der letzte Vortrag dieser Reihe zu Bewusstsein, also starker KI, schlägt in der Einführung einen Bogen von Denkern und Philosophen wie Wittgenstein, Russel zu Turing und Minski zu seinen eigenen Ideen zum künstlichen Bewusstsein.

Auch seine Folien sind ein Genuss – vom kleinem Prinzen bis zur einfachen Erklärung von neuronalen Netzwerken mit einem mechanischen Modell ist alles dabei.

“The Ghost in the Machine – An Artificial Intelligence Perspective on the Soul”

https://media.ccc.de/v/35c3-10030-the_ghost_in_the_machine (en)

Wer Lust auf mehr bekommt, hier sind alle Vorträge von Joscha Bach zu finden:

https://media.ccc.de/search?q=Joscha

Post Quantum Cryptography:

Was mit Kryptographie passiert, wenn es in Zukunft einmal Quantencomputer gibt, kann man sich in diesem Talk anhören (es schadet nicht, wenn man Mathematiker ist ;-).  „The year in post-quantum crypto“ von djb und Tanja Lange.

https://media.ccc.de/v/35c3-9926-the_year_in_post-quantum_crypto (en)

Wissenschaft:

Im Talk „Inside the Fake Science Factories“ von @sveckert, @tillkrause, Peter Hornung and Dr Dade Murphy, kann man sich einmal für die RWTH-Aachen fremdschämen und bekommt einen Einblick in das pervertierte Publikationssystem der Wissenschaft. Eine Warnung vor Fake Science und Fake Konferenzenan alle Wissenschaftler:

https://media.ccc.de/v/35c3-9744-inside_the_fake_science_factories (en)

Kunst:

Auch Kunst und Musik sind in diesem Jahr nicht zu kurz gekommen.

Einen sehr schönen Talk zum Thema Digital Painting hat der Künstler Jeffrey Alan Scudder „Radical Digital Painting – Fantastic Media Manipulation“ gehalten. Er mischt analoge mit digitalen Dingen in seine spannenden Live-Präsentation:

https://media.ccc.de/v/35c3-9774-radical_digital_painting (en)

Eine Installation aus Monoblock Stühlen.
Eine Installation aus Monoblock Stühlen.

Netzpolitik:

Zu Netzpolitik, DSGVO, den Polizeigesetzen und dem Staatstrojaner gab es natürlich auch eine Menge an Vorträgen. Vielleicht ein recht handfester Ratschlag: “Verhalten bei Hausdurchsuchungen

Praktische Hinweise für den Kontakt mit der Staatsmacht” von qbi und Kristin Pietrzyk.

https://media.ccc.de/v/35c3-10018-verhalten_bei_hausdurchsuchungen

Metainformationen zum Hacken

Wer nun jetzt selber Lust aufs Hacken bekommt, sollte sich erst die beiden folgenden Vorträge anschauen.

Wie einen Metadaten verraten (und beim aktuellen Hack von Politiker-Daten den Verursacher verraten haben) erfährt man vom CCC-Sprecher Linus Neumann und Thorsten Schröder im Vortrag „Du kannst alles hacken – du darfst dich nur nicht erwischen lassen – OpSec für Datenreisende“.

https://media.ccc.de/v/35c3-9716-du_kannst_alles_hacken_du_darfst_dich_nur_nicht_erwischen_lassen

Wenn der “Hacker” Orbit diesen Talk gehört und beherzigt hätte, wäre er wohl nicht so schnell geschnappt worden.

Und Frank Riegers (auch einer der Sprecher des CCC) Vortrag:

„Hackerethik – eine Einführung

Verantwortung und Ethik beim schöpferisch-kritischen Umgang mit Technologie“

https://media.ccc.de/v/35c3-10011-hackerethik_-_eine_einfuhrung

Ein Tipp für Besucher des nächsten Kongresses: Das Messegelände ist sehr ausgedehnt – ohne Tretroller macht man dort Kilometer und der Besuch artet in Sport aus!

(*) Dynamisches RAM muss regelmäßig “refreshed” werden. „Memory is RAM!“ –  IT-Crowd ;-)

https://www.youtube.com/watch?v=NdREEcfaihg

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar

Das eduroam Wurzelzertifikat der deutschen Telekom läuft am 9.Juli 2019 ab – und plötzlich funktioniert eduroam nicht mehr – warum Sie bis zum 31.5.2019 handeln müssen!

Eine verkürzte Version der Informationen hier gibt es auch als PDF-Foliensatz.

Ein Zertifikat läuft ab – na und?

Was bei einem Webserver keine große Sache ist, kann im eduroam so richtig Probleme bereiten. Denn hier läuft nicht irgendein Zertifikat ab, nein ein Root-Zertifikat läuft ab. Das ist bisher im eduroam-Verbund, den es schon fast 15 Jahre gibt, bisher nicht vorgekommen.

Zur Erinnerung: Root -Zertifikate sind sehr viel „haltbarer“, als herkömmliche Server-Zertifikate. Tatsächlich geht der Trend derzeit in Richtung sehr kurzlebiger Zertifikate, wie beispielsweise bei “Let‘s Encrypt“, wo Zertifikate alle drei Monate erneuert werden müssen. Für eduroam, also für den Radius-Server der Uni, handelt es sich um das „Telekom Root CA2„ -Zertifikat, welches nur noch bis zum 9.7.2019 gültig ist. Danach müssen  alle eduroam-Klienten, die sich mit unserem Radius-Server verbinden, neu konfiguriert werden. Vorher einfach ein neues  Server-Zertifikat ausstellen und ausrollen ist nicht so einfach möglich, weil dieses mit einem neuen Root-Zertifikat unterschrieben werden muss. Typische Radius-Klienten für z.B. Windows oder Android unterstützen aber nur ein einziges Root-Zertifikat für Radius. Daher entsteht folgendes Dilemma: Wenn ein neues Root-Zertifikat gewählt wird, funktionieren sofort alle bisher konfigurierten Klienten nicht mehr. Wenn einfach abgewartet wird, müssen alle Geräte an einem Termin neu konfiguriert werden.

Der Ausweg – so machen wir es

Aber es gibt einen Ausweg. Wir haben gemeinsam mit der eduroam-Community und dem DFN-Verein, der den zentralen Radius-Server für die de-Top-Level-Domain betreibt, eine Konfiguration ausgetüftelt, die einen Parallelbetrieb mit einem einzigen Radius-Server erlaubt. Dazu wird die eduroam-Konfiguration anhand der sogenannten äußeren Identität aufgeteilt. Einem Klienten, der als äußere Identität „anonymous@uni-due.de“ oder eine Kennung vorweist, wird die bisherige Konfiguration mit dem alten Telekom-Root Zertifikat, welches am 9.7.2019 abläuft, zu sehen. Einem Klienten der in der äußeren Identität „eduroam@uni-due.de“ konfiguriert hat, wird das neue Zertifikat “T-Telesec Global Root Class 2″, gültig bis zum Jahr 2033, vorgezeigt.

Die neue äußere Identitat

Die neue äußere Identität – alle Folien dazu gibt es hier

Damit läuft sowohl die alte Konfiguration, diese allerdings nur bis zum 31. Mai 2019 (siehe unten), als auch die neue sofort und auch über den Termin hinaus weiter. Diese Lösung hat auch den Charme, dass Klienten, die keine Einstellung einer äußeren Identität ermöglichen, wie z.B. das relativ seltene Windows Phone, welches nicht von  weiter unten betriebenen eduroam CAT unterstützt wird, weiter bis zum 31.5. 2019 betrieben werden können. Nach dem 31. Mai ist eine Unterscheidung der Zertifikate nicht mehr erforderlich, d.h. auch solche Geräte müssen dann mit dem neuen Zertifikat manuell konfiguriert werden und können so weiter an der Uni benutzt werden.

Termine – Termine

Das Datum  9. Juli 2019 bezieht sich auf das Root-Zertifikat mit dem unser Radius-Server-Zertifikat unterschrieben worden ist. Das eigentliche Radius-Server-Zertifikat ist nur noch bis zum 31.5. 2019 um 14:28Uhr gültig und eine Verlängerung für nur zwei Monate mit dem alten Root-Zertifikat ist nicht mehr möglich. Deshalb wird bei uns an der UDE der 31.5. 2019 der spannende Termin für den Zertifikatsablauf werden.

Warum die äußere Identität wichtig ist

Zur Erinnerung, die äußeren Identitäten sollen im eduroam verhindern, dass Radius-Administratoren an anderen Universitäten mitbekommen, mit welcher Kennung sich ein “roamender” Nutzer anmeldet. Auch dortige oder lokale Netzwerkadministratoren bekommen die innere Identität nicht zu sehen und können so keine Verknüpfung von MAC-Adressen (also Geräten) zu Personen vornehmen, immer vorausgesetzt die äußere Identität ist korrekt und anonym konfiguriert. Das ist also ein Datenschutz-Feature, auf das keinesfalls bei der Konfiguration verzichtet werden sollte.

Leider sind viele Klienten so konfiguriert, dass datenschutzunfreundlich in der äußeren Identität auch die Kennung steht. Diese Einstellungen entstehen so: Apple (bei IOS) und Microsoft (bei Windows Phone und Windows 10) wollen es den Nutzern möglichst einfach machen und verlangen in Enterprise WPA2 WLANs wie eduroam nur nach einer ID und einem Kennwort und würfeln die restlichen Einstellungen ohne Zutun des Nutzers aus.

Schlampige Klienten

Diese „schlampig“ eingestellten Klienten untergraben dann den Datenschutz und verschleiern vor den Nutzer die wichtigen Detaileinstellungen.

Wenn beispielsweise der sogenannte „realm“, d.h. die Endung „@uni-due.de“ hinter der Kennung weggelassen wird, kann Ihre eduroam-Konfiguration an anderen Hochschulen gar nicht funktionieren, da die dortige IT nicht herausfinden kann zu welcher Heimatorganisation Sie gehören. Der „realm“ lautet bei allen Mitgliedern der Hochschule, auch bei  den Studierenden, immer „@uni-due.de“. Es handelt sich also nicht um eine Mailadresse, d.h. „stud“ hat dort gar nichts zu suchen.

Auch der oben beschriebene Weg mit der äußeren Identität „eduroam@uni-due.de“ ist mit so einem “schlampigen” Klienten nicht zu realisieren. Aber es gibt Abhilfe: Der eduroam.org-Dachorganisation, dem DFN-Verein und auch uns ist das Problem der Komplexität der Konfiguration bewusst. Daher wurde ein webbasiertes Konfigurationstool geschaffen, welches den Nutzerinnen komfortabel passende Konfigurationsprofile für alle eduroam.org Partnerorganisationen zur Verfügung stellt. Das eduroam CAT ist unter der Adresse https://cat.eduroam.org zu erreichen. Der Vorläufer “cat.eduroam.de” wird nicht mehr gepflegt und soll nicht mehr verwendet werden.

Die Webanwendung erkennt Ihr Betriebssystem und, falls Sie im Browser ihre Standortinformationen freigeben und sich an einem der Campi der UDE befinden, das passende Profil für die UDE automatisch. Falls die Betriebssystemerkennung oder die Erkennung der Heimatorganisation fehlschlägt, kann auch manuell ausgewählt werden. Wichtig ist, dass immer die Heimatorganisation gewählt wird, auch wenn man unterwegs an einer anderen Universität zu Gast ist.

Geräte die die Zertifikate gar nicht überprüfen – warum Zertifikate wichtig sind

Leider erlauben die Radius-Klienten vieler Betriebssysteme auch den Verzicht auf die Konfiguration von Zertifikaten für die sichere Kommunikation mit dem Radius-Server. Wir haben auf Server-Seite leider keine Möglichkeit die Zertifikatsüberprüfung zu erzwingen. Ohne Zertifikat können Sie niemals sicher sein, mit dem richtigen Radius-Server der UDE verbunden zu sein. Ein Angreifer in Ihrer Nähe kann einfach einen WLAN-Accesspoint betreiben, der die SSID (den WLAN-Namen) “eduroam” ausstrahlt und durch einen eigenen manipulierten Radius-Server versuchen zu erzwingen, dass ein Klartextpasswort übertragen wird. Einen solchen Angriff hat es schon gegeben. Er wurde unter dem Namen PEAPing Tom auf der Black Hat Konferenz vorgestellt. Ein ähnlicher Angriff ist hier beschrieben.

Falsch und Unsicher: keine Zertifikate installiert!

Falsch und Unsicher: keine Zertifikate installiert!

PEAP-ing Tom Angriff: Der Angreifer sieht das UNI-Passwort im Klartext!

PEAP-ing Tom Angriff: Der Angreifer sieht das UNI-Passwort im Klartext!

Sie gefährden mit dem Verzicht auf Zertifikate im Radius Protokoll die IT-Sicherheit und die Integrität ihrer Uni-Kennung. Auch ein Identitätsdiebstahl, also Handlungen Dritter in ihrem Namen, z.B. bei Prüfungsanmeldungen im oder im SAP, wären in so einem Szenario denkbar.

Zusammenfassung

Wenn Ihr Gerät vom CAT-Tool unterstützt wird, das ist für Windows Vista, 7, 8, 10, MacOS ab 10.7, Android ab 4.3, IOS ab IOS5 und Chrome OS der Fall, sollten Sie umgehend mit dem CAT-Tool die neue Konfiguration installieren. Sie können die Thematik dann vergessen und haben auf keinen Fall ein Problem nach dem 31.5. 2019. Außerdem ist Ihr Gerät dann datenschutzfreundlich und sicher konfiguriert.

Alle bisherigen Konfigurationen und auch das alte CAT funktionieren bis zum 31.5. 2019 wie gewohnt.

Wenn Sie ein Gerät haben, dass nicht von CAT unterstützt wird (z.B. ein Windows Phone), bzw. keine Konfiguration einer äußeren Identität zulässt, müssen Sie nach dem 31.5. 2019 eine Konfigurationsänderung vornehmen, bei der Sie ein Root-Zertifikat einstellen bzw. installieren müssen. Nach dem 31.5. 2019 wird dann jeder äußeren Identität das neue Root-Zertifikat präsentiert. Anleitungen dazu finden Sie auf den Support-Seiten des ZIM unter:

https://www.uni-due.de/zim/services/wlan/eduroam-konfiguration.shtml

So soll nun konfiguriert werden:

  • EAP-Methode: PEAP oder TTLS
  • Innere Authentifizierung: MSCHAPv2
  • Zertifikat: “T-Telesec Global Root Class 2” wählen, wenn installiert oder nachinstallieren unter https://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.crt
  • innere Identität: <Unikennung>@uni-due.de   (immer “@uni-due.de” niemals “stud” oder eine Mailadresse)
  • äußere Identität: eduroam@uni-due.de
  • Radius-Server: radius1.uni-duisburg-essen.de (hier Langform)
  • Passwort: <Unipasswort> ODER WLAN-Passwort, falls in der Benutzerverwaltung gesetzt

 

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar

„Ich kann dich das nicht tun lassen Dave“* – oder wie Google ab Android 7 eduroam im 5 GHz Frequenzbereich an den Hochschulen ausbremst – 5 GHz erzwingen oder bevorzugen mit Android, IOS, MacOS und Windows

User Experience ist großen Playern wie Google, MS und Apple (die Reihenfolge stimmt heute nicht mehr, MS gehört nun verdient auf den letzten Platz) heute scheinbar in vielen Bereichen wichtiger als Konfigurationsoptionen für erfahrene Nutzer. So hat Google bei der Android-Entwicklung ab Android 7 mit einem Federstrich entschieden, die Konfigurationsoption unter „Einstellungen“ – „WLAN“ – „Erweitert“ -“Bandauswahl 2,4GHz/5GHz/automatisch“, also die „freedom of choice“, zu entfernen. Nun ist alles „automatisch“ und der Nutzer hat keine Möglichkeit mehr einzugreifen.

Einstellungen-WLAN-erweitert-ab-Android7

Hier war es bis Android 6 möglich 5GHz zu erzwingen. Ab Android 7 hat nun der Nutzer keine Möglichkeit mehr 5GHz zu erzwingen.

 

Das ist aber in überbuchten 2,4 GHz Netzen, wie typischerweise an Hochschulen verbreitet, unbedingt erforderlich! Die Empfehlung in Foren doch einfach eine andere SSID für 5 GHz (nach IEEE 802.11ac) zu wählen ist eine Option für Heimnetze und im WPA-Enterprise-Umfeld (nach IEEE_802.1X) nicht einfach umzusetzen. Wenn man sich die Schnitzer von Apple und Google bezüglich professionellen Enterprise-WPA2-Netzten so anschaut, erkennt man, dass dort wohl in erster Linie nur an die Heimnutzer gedacht wird.

Professionelle WLAN-Controller bieten vielfach Optionen an, um Klienten in 5GHz Netze zu verschieben, sofern sie beide Netze unterstützen. Das klappt aber nicht immer, da in diesem Fall der nicht nur der Access Point (bzw. der Controller) sondern auch der Klient mitspielen muss, was im Fall von „halbschlauen“ Heuristiken, die jeder Treiberhersteller oder gar das Betriebssystem selbst implementiert, oft nicht gegeben ist.

Im eduroam-Verbund ist es von eduroam.org vorgeschrieben, die Netze auch mit „eduroam“ im SSID (WLAN-Namen) zu benennen. Klar, eine Einstelloption für das zu verwendende WLAN-Band birgt für unerfahrene Benutzer die Gefahr, sich das WLAN zu „ver-konfigurieren“ und dann das eigenen Netz nicht mehr wiederzufinden. Man hätte die Option aber beispielsweise auch in den Developer-Einstellungen unterbringen können. So vertraut Google Heuristiken und Automatismen, die auf ausschließlich Empfangsstärke (Signal-Level) beruhen und Nutzer in eduroam-Netzen regelmäßig mit dem naturgemäß (5GHz wird wegen der höheren Frequenz durch Wände stärker gedämpft als 2,4Ghz) stärkerem 2,4 GHz SSID „eduroam“ verbindet mehr als kompetenten Menschen. Der Durchsatz in den 5GHz Bändern ist aber sehr viel höher, da dort wesentlich mehr Kanäle zur Verfügung stehen. Deshalb sollte das 5GHz-Band in hochfrequentierten Netzen an Hochschulen immer bevorzugt werden. Wir empfehlen auch immer in unseren Anleitungen nur solche Geräte zu kaufen, die auch 5 GHz unterstützen.

Aber was nützt das, wenn die Hersteller den Nutzer nicht selber entscheiden lassen? Apple erlaubt solche Einstellungen den iPhone-Besitzern und den MacOS-Nutzern überhaupt gar nicht erst, da man dort vielleicht auch zurecht davon ausgeht, dass der Großteil der eigenen Kunden technisch ahnungslos seien. Diesem schlechten Beispiel folgt nun leider auch Google, was wegen des hohen Android-Anteils von über 80% bei den Smartphones an der Uni-DUE (von allen Android-Smartphones sind derzeit [Stand 7/2018] etwa 33% mit Android 7 oder 8 ausgestattet, dieser Anteil wird stark ansteigen) signifikante Auswirkungen auf die „gefühlte“ WLAN-Qualität haben wird. Während bei den „alten“ Windows-Versionen die Treiber über die Systemsteuerung es erlaubten 5GHz zu priorisieren, ist das in Windows 10 (ausnahmsweise, die Privatspäreneinstellungen sind eine Katastrophe) besser mit einer zentralen Einstellungsoption gelöst worden. Auch das mittlerweile abgekündigte Windows Mobile verfügt über eine solche Funktion.

Die Nutzer von Android und MacOS können sich derweil damit trösten, dass sie sich die möglicherweise falsche automatische Wahl ihres Betriebssystems wenigstens anschauen können. Bei MacOS funktioniert das mit Alt+ Klick auf das WLAN-Symbol. Wenn dort nicht wie in diesem Beispiel 5GHz für das WLAN angezeigt wird, kann man sich bei Apple für die schlechte WLAN-Performance bedanken.

so macht Apple das

Alt + Klick auf das WLAN Symbol und der MAC verrät, ob er am schnellen 5GHz-WLAN hängt.

 

Android-Nutzer müssen nun zu einer App greifen (hier empfohlen, WIFIAnalyzer, com.vrem.wifianalyzer) um zu schauen, welches Band die „schlaue“ Automatik ausgesucht hat. Eine Änderung der Wahl ist leider mit der App nicht möglich. WIFIAnalyzer eignet sich auch hervorragend um die beiden weiter unten empfohlenen Apps auf Wirksamkeit zu testen, da der aktuell verbundenen AP gekennzeichnet und mit MAC-Adresse angezeigt wird. Eine ähnliche Funktionalität würde übrigens auch die normale Android WLAN-Anzeige hinbekommen, wenn in den Android-Entwickleroptionen (so aktiviert man diese zusätzliche Option in den Android-Einstellungen) die Option “Ausführliche WLAN-Protokolle” aktiviert wird.

WifiAnalizer

Der WifiAnalyzer zeigt, dass sich das schlaue Android mit dem 2,4 GHz-WLAN verbunden hat, obwohl 5GHz verfügbar ist!

Screenshot_20180802-111709

Hier wird in den Android-Entwickleroptionen die Option “Ausführliche WLAN-Protokolle” aktiviert.

 

Screenshot_20180802-110309

So sieht die Android-WLAN-Anzeige für “Erwachsene”aus, wenn in den Android-Entwickleroptionen die Option “Ausführliche WLAN-Protokolle” aktiviert wurde. Hier hat der WI-FI-Switcher, die zweite App, siehe unten, 5GHz erzwungen. Unter f wird die Frequenz angezeigt, alles mit 5xxx bedeutet 5Ghz 24xx bedeutet 2,4 Ghz. Es werden auch MAC-Adressen und rssi angezeigt.

 

Die App Wifi-Switcher erlaubt zumindest pro Accesspoint einzelne 5 GHz-APs zu priorisieren. Eine weitere  App mit dem sehr ähnlichen Namen Wi-Fi-Switcher erlaubt auch generell 5GHz zu priorisieren. Vor der gleichzeitigen Verwendung der beiden Apps ist aber abzuraten.

WI-FI-Switcher erlaubt die Priorisierung von 5GHz mit dieser Option.

WI-FI-Switcher erlaubt die Priorisierung von 5GHz mit dieser Option.

 

Allerdings muss bei schon verbundenem eduroam die WLAN-Verbindung einmal ab- und wieder angeschaltet werden, damit die Einstellung greift. Das läßt sich direkt in der App erledigen. Möglicherweise ist auch ein Neustart erforderlich, damit die App im Hintergrund die Kontrolle über die WLAN-Auswahl übernehmen kann. Bei beiden Apps muss die Standortfreigabe aktiviert sein – eine weitere Limitierung, die sich Google für neuere Android-Versionen ausgedacht hat. Apps, welche die Wifi-API benutzen, benötigen nun eine Standortfreigabe (Standort nur Gerät, d.h. nur GPS funktioniert auch und ist Datensparsam, da der Standort dann nicht ständig an Google weitergegeben wird, bzw. der Nutzer für Google als War-Driver unterwegs ist). Die App-Autoren müssen nun mit schlechten Bewertungen ahnungsloser Android-Nutzer rechnen, die diese Zusammenhänge nicht verstehen. Auch auf die Bewertungsfunktion im Google Play Store kann man sich, bei der Vielzahl der Laien, die sich eine Bewertung zutrauen, nicht mehr uneingeschränkt verlassen.

Es scheint leider so, als hätte man bei Google Nägel mit Köpfen gemacht, und auch die Auswahl per Android-API entfernt, so dass auch einige  weitere ältere Apps, die so etwas anboten, ab Android 7 gar nicht mehr oder nur noch mit eingeschalteter Standortfunktion funktionieren. (Quelle: https://stackoverflow.com/questions/17345788/scanning-for-wifi-signals-only-in-2-4ghz-band )

Wenn ein Leser eine Möglichkeit kennt unter IOS oder MacOS 5GHz zu erzwingen, wäre ich für einen kurzen Hinweis dankbar.

* Ein Zitat aus dem Film „2001 Odyssee im Weltraum“ in dem die KI “HAL9000″ versucht die Menschen an Bord eines Raumschiffes zu töten, indem sie mit der Begründung “I’m sorry Dave, I’m afraid I can’t do that” einen Befehl eines Menschen ignoriert.  Eine Anspielung auf das Zitat von HAL stammt aus der South Park Folge “You Have 0 Friends“. Als Stan dort versucht seinen facebook Account zu löschen, erhält er die Systemmeldung: “I’m afraid I can’t let you do that, Stan Marsh.”.

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar

Bericht vom 34. Chaos Communication Congress 34C3 in Leipzig, 27.-30.12.2017.

Zwischen den Tagen war ich unterwegs auf dem 34C3, unter dem Motto „tuwat“ in Leipzig auf dem neuen Messegelände. Endlich hatte der Kongress fast genug Platz, nur die Bestuhlung der Säle (4000 max) verglichen mit den 15000 verkauften Karten limitieren noch die freie Auswahl einer der vier parallelen großen Sessions. Dafür war für die Assemblies (die Aufbauten der lokalen CCC-Dependancen und weiterer Open Source, Netzpolitik usw. Akteure) nun mehr als genug Raum vorhanden. Während ich zunächst in der kühlen weiten und hellen Umgebung etwas gefremdelt habe, gefiel mir die neue Location im Verlauf sehr gut.

Die obligatorische Rakete des CCC steht im Eingangsbereich der Leipziger Messe

Die obligatorische Rakete des CCC steht im Eingangsbereich der Leipziger Messe

Security

Kein Chaos Communication Congress ohne das Thema Security: Auch in diesem Jahr gab es neben medienwirksamen Talk zu KRACK (WPA2) und Mobile Banking Apps. Ich hatte ja schon in meinem kleinen ECSM-Talk davor gewarnt, so etwas einzusetzen und dabei auf einen Vortrag auf dem 33C3 verwiesen. Und auch in diesem Jahr hagelte es wieder Angriffe auf schlecht implementierte Banking Apps. Siehe dazu den Talk von Vincebt Haupert: Die fabelhafte Welt des Mobile Bankings. Was mich auch sehr beeindruckt hat, waren die Timing und Glitch-Angriffe auf embedded Devices, die es im Vortrag „Opening Closed Systems with GlitchKit – ‘Liberating’ Firmware from Closed Devices with Open Source Hardware“ von Dominic Spill und ktemkin zu sehen gab. Sidechannel-Angriffe sind ja jetzt mit Meltdown und Spectre sehr in Mode gekommen. Wer sich für Elekromobilität interessiert, rechnet möglicherweise nicht damit, dass die Ladeinfrastruktur für Elektroautos unsicher ist. Technisch sehr interessant ist auch der Vortrag „Demystifying Network Cards – Things you always wanted to know about NIC drivers“ von Paul Emmerich. Den Talk „iOS kernel exploitation archaeology“ habe ich leider auch erst in der Konserve gesehen, da ich mir Mark Uwe Klings Lesung seines neuen (und wirklich empfehlenswerten – habe es schon durch) Buches „QualityLand“, einer humorvollen Dystopie, angeschaut habe.

KI

Sehr Interessant waren auch die Vorträge zu Deep Learning und künstlicher Intelligenz. Sowohl „Beeinflussung durch Künstliche Intelligenz – Über die Banalität der Beeinflussung und das Leben mit Algorithmen“ von Hendrik Heuer und KRN als auch „Deep Learning Blindspots – Tools for Fooling the Black Box” von Katharine Jarmul haben mir sehr gefallen

Netzpolitik

Bei dem 34C3 gaben sich  zum Thema Netzpolitik einige bekannte Persönlichkeiten die Klinke in die Hand. Zu nennen ist Peter Schaar, der ehemalige Bundesdatenschutzbeauftragte, der mit einem spannenden Vortrag mit dem Titel „Trügerische Sicherheit – Wie die Überwachung unsere Sicherheit gefährdet“ beigetragen hat. Christan Ströble hat gemeinsam mit Constanze Kurz im Vortrag „Die Lauschprogramme der Geheimdienste“ ein Resümee seiner Tätigkeit im NSA-BND-Untersuchungsausschuss gezogen.  Ein sehr beeindruckender und schön vorgetragener politischer Talk war „Schreibtisch-Hooligans – Informationsfreiheit trotz CSU“ von Arne Semsrott (das ist der Bruder von Nico Semsrott), Gründer von fragdenstaat.de.

Netzkultur

Mir hat sehr gut die Retrospektive von Harald Welte (laforge) zum Thema  „BBSs and early Internet access in the 1990ies – Modems, FIDO, Z-Netz, Usenet, UUCP, SLIP and ISDN“ gefallen, weil ich damals auch schon dabei war (Maus-Netz und natürlich Internet ).

Eine weitere interessante Thematik auf dem Kongress, die ich bisher etwas vernachlässigt habe sind Beiträge zu Art&Culture, also Medienkunstvorträge. In diesem Jahr sind mir drei großartige Vorträge aufgefallen.

1. Robot Music, Zwei Musiker, die ernsthaft einen Roboter einsetzen um einen C64 basierten-Tracker zu steuern sind etwas Besonderes. Wenn Sie dabei auch noch so cool auftreten kann das nur klasse sein.

2. Electroedibles – Open Source Hardware for Smart Candies von Denisa Kera, Yair Reshef und Zohar Messeca-Fara Was haben Zucker Kant und Elelektronik gemeinsam? Klar, die Anwort kann nur Electroedibles heißen! Eine weltweit einmalige Kombination aus Elekronik mit Sensorik und LEDs, die in Zucker eingegossen interaktive Lollies mit philosophischen Background ergeben. Sehenswert sowohl für den Koch als auch für den Bastler.

3. Deconstructing a Socialist Lawnmower von Darsha Hewitt Ein supercooler Vortrag zu einem DDR-Rasenmäher, der mich sofort an den Roboter Maximilian aus „das schwarze Loch“ von 1979 erinnert hat. Darsha hat das militärische Aussehen des Roboters sofort fasziniert und sie hat dazu beeindruckende Fotos und Videos geschaffen. Auch Ihre frühen Audio-Arbeiten zu dem ersten mechanische Sequenzer von Wurlitzer haben mir sehr gefallen.

Ich diesem Jahr ist aufgrund der Baulichkeiten sehr viel mehr Platz für Medienkunstinstallationen übrig geblieben, was zumindest gefühlt zu mehr Installationen geführt hat. Außerdem kommen solche Dinge mit etwas mehr Platz viel besser zur Geltung.

Fazit

Da es vier große parallele Sessions gab, konnte auch ich nur ca. ein Viertel  der Vorträge live sehen.  Auch hier in meinen Empfehlungen steckt nur eine kleine subjektive Auswahl. Aber es gibt alle Vorträge auch aus der Konserve zu sehen:

https://media.ccc.de/c/34c3

Der Kongress lohnt immer wieder, auf wenn die Vorträge in der Ballung über vier Tage auch anstrengend werden können.

 

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar

Eine Lanze brechen für PDF/A1 – oder wie sich Verschlüs-selungstrojaner (Ransomware) verbreiten

Phishing-Mails mit Office-Makros waren anlässlich der Locky-Ransomware-Welle das Einfallstor in Windows-Systeme.  Damals hatten wir unsere Kunden gewarnt Office-Anhänge zu öffnen und alternativ auf PDF als Austauschformat zurückzugreifen. Das ist aber nur die halbe Wahrheit, weil gut gemachte Phishing-Mails nun auch Verschlüsselungstrojaner über PDF-Anhänge verbreiten. Der Grund dafür sind aktive Inhalte in PDF-Dokumenten. Wenig bekannt ist, dass auch ein PDF-Dokument aktive Inhalte, wie Videos, Audio und auch JavaScript enthalten kann.

Ich habe hier einmal ein Beispiel für ein aktives PDF-Dokument verlinkt. Wenn Sie es im Browser öffnen, sollte nichts interaktiv passieren, sofern Sie einen modernen Browser verwenden. Wenn Sie das Dokument abspeichern und darauf klicken, poppt ein JavaScript „Hallo Welt“ Dialog auf, sofern der Acrobat Reader installiert ist. Der JavaScript-Code könnte auch potentiell gefährliche Dinge mit Ihrem PC anstellen.

Der in Firefox integrierte PDF-Reader ist selber in JavaScript geschrieben und führt keine aktiven Inhalte aus. Zur Erhöhung der Sicherheit auf dem Windows-Desktop kann alternativ zu Adobe Acrobat SumatraPDF verwendet werden, welches ebenfalls keine aktiven PDF-Elemente zulässt. PDF/A1-Dateien für Langzeitarchivierung dürfen per Definition gar keine aktiven Inhalte wie  z.B. Javascript enthalten und sind deshalb als PDF-Austauschformat zu bevorzugen. Ein schöne Anleitung wie Sie ein solches ungefährliches PDF/A1 einfach aus Word heraus erzeugen findet man hier (einfach beim Exportieren als PDF in den Optionen „ISO 19005 kompatibel“ anwählen). Für Dokumente, die nicht weiter bearbeitet werden müssen, sollte ausschließlich PDF/A1 als Austauschformat eingesetzt werden!

Neben Phishing-Mails gibt es weitere Verbreitungswege von Ransomware, wie z.B. Drive-by-Downloads, Verbreitung über das LAN mit Zero-Day-Lücken und neuerdings auch über gekaperte Software-Updateserver. Ein paar Tipps wie man sich gegen Drive-by-Downloads schützen kann, finden sich in unserer Dokumentation.

Gegen schlimme Zero-Day-Lücken, wie bei WannaCry oder gar die Verteilung von Ransomware über Updateserver wie bei NotPetja helfen solche Vorsichtsmaßnamen alleine nicht. Die frühzeitige Warnung unserer Kunden und besonnenes Handeln kann möglicherweise in so einem Fall Schlimmeres verhindern, sofern überhaupt Informationen zum Verbreitungsweg vorliegen. Man darf gespannt sein, was uns in Zukunft noch alles an kreativer Ransomware begegnet. Der aktuelle NotPetja Angriff hat wieder gezeigt, dass hoch zentralisierte Systeme mit „Standardsoftware“ besonders angreifbar sind, wenn es dem Angreifer gelingt in die gemanagte Umgebung einzudringen. Insofern ist die UDE durch die Diversität der eingesetzten Betriebssysteme und der teils dezentralen IT vor einem worst case „IT-Totalschaden“ gesichert. Wenn allerdings zukünftig alle Betriebssysteme virtualisiert auf einer einheitlichen Virtualisierungsumgebung laufen, kann ein erfolgreicher Angriff auf diese die ganze IT der UDE auf einen Schlag lahmlegen. Auch ein erfolgreicher Angriff auf die – oder auch nur ein Fehler in der – Update-Infrastruktur von Microsoft kann zu einem IT-Blackout zu mindestens der MS-Welt führen. Beide Szenarien sind (hoffentlich) sehr unwahrscheinlich und werden hier nur erwähnt, damit ich beim Eintritt Fefes „told you so“-Spruch loswerden kann ;-).

Im Ernst: Die beste Strategie gegen Verschlüsselungstrojaner ist die Erstellung regelmäßiger Backups. Wer alle wichtigen Dateien im Fileservice auf einen unserer Netzwerklaufwerke im ZIM speichert ist auf der sicheren Seite, da diese durch regelmäßige Snapshots unserer NetApp-Dateiserver geschützt sind. Frei nach Marius Mertens: „Es gibt gesicherte Daten und unwichtige Daten“ oder wie es die C‘t formuliert: Kein Backup? Kein Mitleid!

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar