Schlagwort: Sicherheit

Anagramm – nicht Anna gram

In der übernächsten Woche stehen wieder Videoaufnahmen für LinkedIn Learning an, aber heute gibt es erst einmal wieder einen neuen Entwicklertipp der Woche zu Python. Es geht darum, was ein Anagramm ist und wie man mit Python dies überprüfen kann.

Was ein Anagramm ist, kann man einfach beschreiben. Keinesfalls steht es dafür, dass irgendeine Anna gram ist, sondern es ist eine Buchstabenfolge, die durch reine Umsortierung der einzelnen Buchstaben aus einer anderen Buchstabenfolge entsteht. So eine Umsortierung kann im Rahmen der Kryptografie interessant sein. Oder auch bei Vorgaben, dass ein neues Passwort nicht einfach ein Anagramm eines bisherigen Passwortes sein darf. Diese Anwendung greife ich möglicherweise auf und werde darauf vielleicht im Rahmen der oben schon angedeuteten kommenden neuen Videoaufnahmen für LinkedIn Learning zurückkommen. Mal sehen – da bin ich im Moment am Vorbereiten.

Da isses endlich – mein neues Training bei LiL zu Kryptografie und Steganografie mit Python

Gerade wurde mein neustes Training Kryptografie und Steganografie mit Python bei LinkedIn Learning (LiL) freigeschaltet. Als Sicherheitsthema mehr oder weniger „zeitlos“ und deshalb – da nicht zeitkritisch – ungewöhnlich lange in der Produktion gewesen, finde ich es persönlich aber wahnsinnig interessant. Mir hat da die Einarbeitung und das praktische Umsetzen von den theoretischen Konzepten mit Python bei dem Training so richtig viel Spaß gemacht.

Um ein bisschen abzuschweifen – ich werde immer wieder gefragt, ob ich noch viel mit Mathematik zu tun habe? In der Tat ist die Frage nicht ganz einfach zu beantworten, denn wie viele Mathematiker bin ich komplett in die Computerschiene geraten. Aber hin und wieder bricht auch in dieser IT-Welt die „echte“ Mathematik durch. Beispielsweise bei Kursen wie Mathematik-Grundbegriffe für Programmierer:innen von LiL, wo „Mathematik“ schon im Titel steckt. Oder auch LiL-Kurse wie Python: Statistische Auswertungen haben offensichtlich eine Verbindung zu Teilen der Mathematik – wenngleich in Bezug zu einer Programmiersprache. Ebenso kommt Mathematik rund um die Datenanalyse und das Maschinenlernen (Python für die Datenanalyse 1: Grundlagen und Python für die Datenanalyse 2: Machine Learning) im Hintergrund massiv zum Einsatz. Wenngleich alles auf einem einfachen und praxisorientiertem Level – aus Sicht von Mathematikern gesehen. Also mathematische Beweise habe ich etwa seit meinem Studium nicht mehr geführt.

In meinem neusten Training hingegen kommt die Mathematik sogar ebenso recht intensiv zum Einsatz – mehr als es der Titel Kryptografie und Steganografie mit Python deutlich macht. Denn die Verfahren, die hierbei eine Rolle spielen, erinnern mich durchaus an das Thema Zahlentheorie, das ich im 2. Semester hatte, und allgemein die Algebra und Logik sowie sogar ganz wenig die Stochastik. Aber das Training versucht dennoch die Mathematik mehr in den Hintergrund zu stellen und das praktische Probieren in den Fokus zu nehmen. Was liegt denn hinter den ganzen Fachbegriffen und Techniken und kann man das auch ganz einfach und praktisch sich veranschaulichen? Ich selbst brauche bei komplexen Themen immer einen maximal vereinfachten Ansatz und wenn ich den verstanden habe, kann ich mich Schritt-für-Schritt an die komplexen Level ranarbeiten. Getreu dem Motto, dass Mathematik ganz einfach ist – die Komplexität entsteht nur daraus, dass ganz viele einfache Dingen zusammengesetzt sind. Hat man die Einzelteile verstanden, versteht man auch das Gesamte.

Also kümmere ich mich in dem Training darum, was genau hinter Sicherheitstechniken wie Verschlüsselung und Signaturen steckt oder was unter Steganografie zu verstehen ist. Die Programmiersprache Python eignet sich hervorragend dazu, sich mittels praktischen Beispielen in diese Thematik einzuarbeiten, da wichtige Funktionen bereits in der API bereitgestellt werden. In diesem Videokurs erfahren Sie alles Wichtige zu AES und RSA und Sie lernen einfache Verschlüsselungs- und Angriffstechniken zu entwickeln und anzuwenden. Anhand von Code-Challenges am Ende eines Kapitels können Sie das Erlernte sofort testen und Ihre Lösung mit der angebotenen »Solution« vergleichen. Parallel zu vielen kleinen und einfachen Beispielen entsteht in dem Training ein komplexes Programm, das eine grafische Oberfläche bereitstellt und Daten sowohl verschlüsseln, verstecken und signieren sowie die Informationen wieder herstellen kann.

Ich gehe davon aus, die Zielgruppe von dem Training eher geringer ist als bei vielen anderen Grundlagenthemen von mir, aber was rein meine Interessen und das Fachliche angeht, sehe ich in dem Kurs vermutlich das Highlight meiner bisherigen Videotraining.

Amnesia:33

Bei meiner morgendlichen Lektüre der Geschehnisse in der letzten Nacht auf verschiedenen Webseiten bin ich auf einen Beitrag auf n-tv gestoßen, der doch recht bemerkenswert ist und Wasser auf meine Mühle darstellt. Im sogenannten „Internet der Dinge“ gibt es wieder massive Sicherheitslücken, die unter dem Begriff Amnesia:33 zusammengefasst werden. Das ist jetzt schon die zweite Welle, die als großes Problem veröffentlicht wurde, wobei ich die 1. Welle mit Namen „Ripple20“ vor einigen Monaten komplett verpasst habe. Die ist vollkommen unter meinem Radar durchgelaufen.

Aber grundsätzlich warne ich schon immer vor den sogenannten „smarten“ Geräten. Ich halte sie überwiegend für reine Datenspione, mit denen Hersteller Benutzer ausspionieren und missbrauchen wollen. Vielfach sind sie zudem nutzlos und reine Krücken, mit denen die Faulheit und Bequemlichkeit von Anwendern unterstützt wird.

Aber auch deren Sicherheit habe ich schon immer angezweifelt, wobei ich da im Wesentlichen den Anwender als Schwachstelle gesehen habe. Dessen Faulheit sichere Passworte zu vergeben und die Geräte auch sonst abzusichern als eigenverantwortliche Sicherheitslücke ist nur ein Teil des Problems. Der andere Teil ist, dass man von normalen Anwendern auch definitiv nicht das Wissen fordern kann, das im Grunde zum Betrieb von vernetzten Architekturen notwendig ist. Mit dem Internet der Dinge nimmt man reine Anwender in die Verantwortung, die oft nicht die geringste Ahnung haben, mit welchen Bomben sie bei Ihren Smart-Lautsprechern, Kameras, etc. hantieren. Das ist wie bei Kleinkindern, denen man ein Feuerzeug in die Hand gibt und dann tagelang alleine lässt.

Die Amnesia:33 genannten Sicherheitslücken greifen aber sogar auf der rein technischen Ebene. US-Forscher haben technische Schwachstellen ganz unterschiedlichen Geräten wie vernetzten Kameras, Umgebungssensoren, Beleuchtungsanlagen, Steckern, Strichcodelesegeräten, Druckern, Audiosysteme oder mit dem Internet verbundenem Gerätem in Krankenhäusern gefunden. Bei mehr als 150 Herstellern weltweit.

Die Schwachstellen basieren vor allen Dingen auf der fehlerhaften Umsetzungen von TCP/IP im industriellen Umfeld. Und da ist der Hund begraben, denn da der Adressraum von IPv4 für das Internet der Dinge zu klein ist, wird hier massiv mit IPv6 gearbeitet.

Tatsächlich ist die Empfehlung zur Beseitigung der Schwachstellen krass:
IPv6 soll deaktiviert oder in der Firewall blockiert werden.
Das ist ungefähr auf dem Niveau; Man stellt fest, dass bei über 150 Autoherstellern der Airbag unkontrolliert auslösen kann und deshalb empfiehlt man, bis auf Weiteres auf das Autofahren zu verzichten.

Das zeigt ganz deutlich, dass das Internet der Dinge vollkommen unausgereift ist.

Bequemlichkeit vs Sicherheit in den Browsern – Informationsunterdrückung im URL

Es ist eine Binsenweisheit, dass sich Bequemlichkeit und Sicherheit ausschließen. Vollständig. In allen IT-Systemen wird aber mehr und mehr Wert auf Bequemlichkeit gelegt. Smarte Systeme ganz vorneweg, die mit biometrischen Verfahren die Sicherheit komplett abschaffen (sorry, aber wenn Hinz und Kunz – sprich US-Firmen – meinen Fingerabdruck etc. haben, ist Sicherheit 0% – unabhängig davon, dass diese Verfahren theoretisch sicherer als Passworte wie 1234 sind) oder auch sonst reine Bequemlichkeitsschaukeln sind.

Aber auch bei den Browsern nimmt dieser Irrweg wohl immer mehr zu. Ich habe gerade auf Chip einen lächerlich reißerisch betitelten Beitrag gelesen, der dennoch die Information enthält, dass Anwendern in Zukunft im Firefox nicht mehr die gesamte URL angezeigt wird (und einen Tipp, wie man den Müll wieder rückgängig macht). Das würde den typischen Anwender sonst überfordern (Motto: „Ein Teil der Wahrheit könnte Sie beunruhigen.“). Also lieber dumm lassen und nicht überfordern. Das ist Wasser auf meine Mühle, uninformierten oder uninteressierten Leuten den Zugang zum Internet zu unterbinden. Wer sich mit dem Medium nicht beschäftigen will, soll es auch nicht nutzen. Man darf ja auch nicht ohne Führerschein Auto fahren. Der legt zumindest einfache Grundlagen, um im Straßenverkehr sich und andere nicht zu gefährden. Das Internet ist noch gefährlicher, aber das wollen Viele nicht wahrhaben bzw. die kommerziellen Verwerter lieber verschweigen.

Interessanter Weise verschweigt Chrome bereits seit mehreren Versionen wohl die wichtigen ersten Teile des URL. War mir nicht aufgefallen (mea culpa), aber Chrome ist ja auch nur meine dritte Wahl bei den Browsern (nach Firefox und Opera).

Windows mittlerweile viel sicherer als macOS

Ich bin überzeugt, dass Linux (von BSD ganz zu schweigen) erheblich sicherer und eigentlich auch ganz allgemein besser als Windows ist. Aber Windows 10 ist m.E. dennoch ein richtig gutes Betriebssystem. Was mich aber überrascht – ein ehemaliger Hacker der NSA hat nun dokumentiert, dass macOS erheblich unsicherer als Windows ist. Dabei stehlen sich zahlreiche Anwender von Macs aus der technischen Verantwortung, indem sie das Märchen glauben oder gar verbreiten, dass ein Mac nicht zu hacken wäre.

Und schon kommt der Bundestrojaner durch die Hintertür

Da freut man sich gerade noch, dass die geplante Vorratsspeicherung gegen europäisches Recht verstößt und von der Justiz kassiert wurde, da kommt schon der nächste Angriff auf die Freiheit und die Bürgerrechte. Auch noch vom Bundestag selbst.

In einer Nacht-und-Nebel-Aktion hat die Regierung den Staatstrojaner durch den Bundestag geschleust. Das Verfahren war genauso geheim, wie das Produkt wohl sein soll – bloß keine Aufmerksamkeit erzeugen, um weitere Diskussionen auszulösen.

Die Legitimierung des Staatstrojaners wurde in einem „Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“ und auf den ersten Blick harmlosen Maßnahmen versteckt. Im letzten Moment – damit die meisten Abgeordneten die Erweiterung nicht mitbekommen – wurde dem Gesetzestext ein Papier angeheftet, das den Einsatz des Staatstrojaners mehr oder weniger uneingeschränkt erlaubt. Bei jedem von uns und ohne wirkliche Kontrolle.

So ein fieses und heimliches Taktieren zeigt genau, welchen Geistes diese Maßnahmen sind.

Ich hatte schon bei dem Post zur Niederlage der Datenkraken bei der Vorratsspeicherung geunkt, dass diese nicht aufgeben werden, bevor jeder Atemzug eines jeden Menschen kontrolliert werden kann. Aber dass die so schnell und unverfroren zuschlagen, überrascht mich doch.

Aber wir wollen mal dafür sorgen, dass diese Angriffe wenigstens nicht so unbemerkt ablaufen, wie „DIE DA“ das wollen.

Spionage auf dem Tablet deaktivieren – zumindest ein bisschen

Im Moment ist ja das Thema Sicherheit durch „Wanna Cry“ wieder für ganz kurze Zeit in den Medien ziemlich laut. Und viele Leute sind aufgeschreckt und „wollen endlich mal was tun“. Das verläuft aber wie immer im Sand – bis zum nächsten großen Angriff, den die Medien ausschlachten können. Aber ein kleines Ärgernis in Hinsicht darauf, dass man vollkommen ausspioniert wird, kann man auf einem Android Tablet zumindest ausstellen (bei iOS wird das wohl auch ansatzweise gehen).
Etwas, was eigentlich so trivial und offensichtlich ist, dass ich bisher gar nicht darüber nachgedacht habe. Auch deswegen, weil mein altes Tablet kaum noch funktioniert hat und ich da eigentlich nur noch Schulungsunterlagen mit angezeigt hatte.
Aber als ich mit meinem neuen Tablet Youtube-Videos geschaut habe, ist mir wieder bewusst geworden, wie stark Google spioniert.
Ich achte zwar wie ein Schießhund darauf, dass ich am PC niemals bei Google, Facebook, etc. angemeldet bin, wenn ich anderen Content lade. Aber leider passiert es im Tran hin und wieder doch. Zudem kann ich beim SmartPhone kaum vermeiden, dass alle meine Aktionen von Google protokolliert werden. Natürlich werde ich da keine sensiblen Aktionen durchführen wie Onlinebanking, Onlineshopping etc. oder sonst persönliche Daten eingeben. Aber ich bin eben mit einem Konto eingeloggt und damit spionieren Google und Co alles aus – da hilft auch kein Firewall wie DroidWall. Wenn ich also auf Youtube was ansehe, dann speichert das Google.
Damit sind wir beim Ausgangspunkt – ich habe auf dem Tablet plötzlich Vorschläge für Videos erhalten, die ganz offensichtlich auf mich zugeschnitten waren. Denn ich verwende ja ein gemeinsames Konto. Nur ist es nicht so leicht mit einem Tablet zu surfen und vor allen Dingen nicht spezialisierte Apps zu verwenden, ohne dass da eben die Kontodaten zur Spionage verwendet werden.
Von daher nutze ich jetzt das umständliche, aber wohl einzig wirkungsvolle Verfahren, und lösche immer wieder alle Konten auf meinem Tablet. Wenn ich ein Konto brauche (etwa zum Installieren einer App aus dem Play Store), erstelle ich schnell das Konto neu und danach wird es wieder sofort gelöscht. Wirklich unbequem, aber wie oft braucht man eine neue App? Oder warum muss Google oder sonst ein Spion wissen, was man mit dem Tablet macht? Ein kleiner Schutz nur, aber ein bisschen mehr an Sicherheit und Privatsphäre.