Blogarchiv 2011

Die Tage ging You have down­loa­ded durch die Pres­se. Die Seite tut das, was die Hand­lan­ger der Rech­te­ver­wer­ter schon seit lan­gem tun: Sie über­wa­chen den Ver­kehr auf Tor­rent­tra­ckern und spei­chern, wel­che IP-Adres­se sich an wel­cher Datei be­dient - nur daß sie mit die­sen Daten keine Aus­kunfts­er­su­chen an die Be­hör­den stel­len, son­dern das ganze als durch­such­ba­re Da­ten­bank im Web prä­sen­tie­ren. Eine an­de­re Nach­richt, die die letz­ten Tage für Auf­se­hen ge­sorgt hat, war ein Ur­teil des eu­ro­päi­schen Ge­richts­hofs, laut dem IP-Adres­sen per­so­nen­be­zo­ge­ne Daten seien. Ge­ra­de letz­te­res ist Ge­gen­stand vie­ler Dis­kus­sio­nen. Warum ich bei­des zu­sam­men in ein Blog­post packe? Wei­ter­le­sen :-)

Be­züg­lich Yo­u­ha­ve­down­loa­ded war ich an­fangs skep­tisch. Die Ma­cher be­haup­ten auf der Seite, sie wür­den ca. 20% der Tor­rents be­ob­ach­ten und die Daten in ihre Da­ten­bank auf­neh­men. Wieso ma­chen die das? Sind die Daten, die man auf der Web­sei­te ab­ru­fen kann, echt? Ist das eine groß an­ge­leg­te FUD-Kam­pa­gne der Rech­te­ver­wer­ter? Oder er­laubt sich da je­mand einen Scherz und trollt mal im Hand­streich das ganze In­ter­net? Ei­ni­ge Be­kann­te haben nach ihrer (sta­ti­schen) IP-Adres­se ge­sucht, und einer fand tat­säch­lich einen Tor­rent, den er tat­säch­lich ge­la­den hatte; fal­sche An­ga­ben fan­den sich nicht. Des­halb gehe ich im Mo­ment davon aus, daß die Be­haup­tun­gen der Web­sei­te kor­rekt sind.

Eine na­he­lie­gen­de Spiel­va­ri­an­te war es na­tür­lich, ein­mal nach­zu­se­hen, was die "Vor­be­sit­zer" der hei­mi­schen (dy­na­mi­schen) IP-Adres­se so ge­trie­ben hat­ten - da fan­den sich unter an­de­rem so de­li­ka­te Dinge wie "My Sexy Kit­tens #62"... wegen der dy­na­mi­schen Adress­ver­ga­be und dem gro­ßen Adres­spool der dy­na­mi­schen Adres­sen konn­te daran na­tür­lich keine Per­son (und noch nicht ein­mal eine grobe Re­gi­on) fest­ge­macht wer­den; al­ler­dings waren wir vom Spiel­trieb be­flü­gelt und sahen uns die nächst­lie­gen­den "Kan­di­da­ten" an - die IP-Adres­sen der Stu­den­ten­wohn­hei­me waren ein na­he­lie­gen­des Ziel, ins­be­son­de­re da ein Wohn­heim in dem (Ver)Ruf stand, ihre An­bin­dung na­he­zu kon­stant mit P2P-Traf­fic zu sät­ti­gen. Und in der Tat fand sich auch hier der eine oder an­de­re Tref­fer - im Ge­gen­satz zum vo­ri­gen Fall kann der Orts­kun­di­ge aber nun eine Per­son ein­deu­tig zu­ord­nen.

Das macht deut­lich, wie sen­si­bel die In­for­ma­ti­on der IP-Adres­se sein kann. Ge­gen­über dem alten Zu­stand, in dem nur die Rech­te­ver­tre­ter die Tra­cker über­wacht haben, hat sich zwar tech­nisch nichts ge­än­dert, den­noch ge­winnt das ganze durch die Öf­fent­lich­keit der Such­mög­lich­keit eine neue Qua­li­tät.

In so­fern kann man nach­voll­zie­hen, wes­halb das EU-Ge­richt die IP-Adres­sen als per­so­nen­be­zo­ge­ne und damit schüt­zens­wer­te Daten be­zeich­ne­te. Man darf ge­spannt sein, wie sich die Dis­kus­si­on in Bezug auf IPv6 wei­ter­ent­wi­ckelt - da gibt es gute Ar­gu­men­te Pro (jedes Gerät welt­weit ein­deu­tig?) und Con­tra (Schutz durch die Pri­va­cy Ex­ten­si­ons nach RFC 4941).

Vor fünf Jah­ren wurde eines der Sze­na­ri­en in mei­ner Pro­mo­ti­on, daß Läden und Ein­kaufs­zen­tren die Be­we­gun­gen ihrer Kun­den tra­cken, als "un­wahr­schein­lich" und "sci­ence fic­tion" ab­ge­tan. Apple macht's nun zur Rea­li­tät: Zwei ame­ri­ka­ni­sche Malls tra­cken die Be­we­gun­gen ihrer Kun­den an­hand einer ein­deu­ti­gen ID ihrer Smart­pho­nes (ich ver­mu­te, die MAC-Adres­se).

Das Buch The Power of Open be­schreibt zu­nächst kurz die ver­schie­de­nen Crea­ti­ve-Com­mons-Li­zen­zen; an­schlie­ßend be­rich­tet es über die Ge­schich­ten ver­schie­de­ner Leute, die aus ganz un­ter­schied­li­chen Mo­ti­va­tio­nen auf Crea­ti­ve Com­mons ge­sto­ßen sind: Die Spann­wei­te reicht vom Idea­lis­mus bis zum Mar­ke­ting-In­stru­ment. Das schön ge­stal­te­te Buch (das selbst­ver­ständ­lich auch unter einer CC-Li­zenz steht) wurde nun auch auf Deutsch über­setzt und kann nun hier her­un­ter­ge­la­den wer­den (lo­ka­ler Mir­ror hier).

Was pas­siert ist: Char­lie Mil­ler, ein be­kann­ter Ent­wick­ler und Se­cu­ri­ty-Ex­per­te der iOS-Platt­form hat (nicht zum ers­ten Mal) ein Si­cher­heits­pro­blem ent­deckt. Dies­mal konn­te er nicht we­ni­ger als be­lie­bi­gen, nicht-si­gnier­ten Code in einer An­wen­dung des Apps­to­res zur Aus­füh­rung brin­gen, wie er in einem Video de­mons­triert. Dar­auf­hin hat Apple nicht nur seine Tes­t­an­wen­dung aus dem Apps­to­re ent­fernt, son­dern ihm auch sei­nen De­ve­l­oper Key ent­zo­gen - damit ist es ihm nicht mehr mög­lich, An­wen­dun­gen für das iPad oder iPho­ne zu ent­wi­ckeln.

Hin­ter­grund

App­les Se­cu­ri­ty-Kon­zept ba­siert auf Code­si­gning und einem Re­view­pro­zess. Eine An­wen­dung, die in den Apps­to­re soll (die ein­zi­ge Quel­le für Soft­ware im iOS-Uni­ver­sum), wird zu­nächst von Apple in einem Re­view­pro­zeß un­ter­sucht. Die De­tails die­ses Re­view­pro­zes­ses sind un­be­kannt, es wird dabei je­doch auf De­si­gn­kri­te­ri­en (muß dem Sty­le­gui­de ent­spre­chen), In­halt (Ju­gend­schutz, nack­te Haut, volks­ver­het­zen­de Aus­sa­gen, etc.) und Si­cher­heit (bös­wil­li­ge, ver­steck­te "Zu­satz­funk­tio­nen") ge­ach­tet. Hier­zu wird je­doch nicht der Source­code, son­dern nur das fer­ti­ge Bi­när­pa­ket her­an­ge­zo­gen. Ist der Test zur Zu­frie­den­heit von Apple, er­hält die An­wen­dung eine di­gi­ta­le Si­gna­tur und wird in den Apps­to­re ge­stellt.

Fail 1: "Pro­fes­sio­nel­ler" Um­gang mit Si­cher­heits­lü­cken

Char­lie Mil­ler hat nun - wie­der ein­mal - ein Pro­blem ent­deckt und dies öf­fent­lich ge­macht. Leute mit aus­rei­chend kri­mi­nel­ler En­er­gie hät­ten sol­che Schwä­chen für sich be­hal­ten, selbst aus­ge­nutzt oder ver­kauft (es gibt für Ze­ro-Day Ex­ploits in­zwi­schen wohl einen durch­aus lu­kra­ti­ven Markt). Er ent­schied sich aber, die Öf­fent­lich­keit zu in­for­mie­ren und so Apple die Mög­lich­keit zu geben, das Pro­blem zu be­he­ben.

Fail 2: Der Re­view-An­satz

App­les Se­cu­ri­ty-Kon­zept fußt dar­auf, daß wäh­rend des Re­views bös­wil­li­ge Pro­gram­me er­kannt wer­den. Nach der In­stal­la­ti­on gibt es (im Ge­gen­satz zu An­dro­ids Pri­vi­le­ges) keine wei­te­ren Maß­nah­men, wel­che den Scha­den in ir­gend­ei­ner Weise ein­schrän­ken; so hat bei­spiels­wei­se jede An­wen­dung Zu­griff auf das In­ter­net - egal, ob sie es für ihren (of­fi­zi­el­len) Zweck bräuch­te oder nicht. Eine sehr ähn­li­che De­bat­te er­leb­ten wir ge­ra­de beim Staats­tro­ja­ner: Auch hier ging es darum zu be­wei­sen, daß das Pro­gramm eine be­stimm­te Funk­tio­na­li­tät nicht hat. Aus Sicht der theo­re­ti­schen In­for­ma­tik ist das nicht mög­lich - das be­sagt das Hal­te­pro­blem. Aber auch in der Pra­xis kann man Funk­tio­na­li­tät be­lie­big kom­pli­ziert ver­schlei­ern, so daß die Re­view­er bei Apple (wel­che ja tau­sen­de Ein­rei­chun­gen pro Tag re­view­en müs­sen) hier kaum eine rea­lis­ti­sche Chan­ce haben dürf­ten. Of­fen­bar ge­lang es Char­lie Mil­ler, sol­che Zu­satz­funk­tio­nen am Re­view­pro­zeß von Apple vor­bei­zu­schmug­geln - und de­mons­trier­te so die Un­si­cher­heit und Un­voll­stän­dig­keit des Pro­zes­ses, und rüt­tel­te damit quasi an den Grund­fes­ten des iOS-Se­cu­ri­ty-Kon­zep­tes.

Fail 2b: Die Ar­ti­kel­über­schrift bei t3n

Der Be­richt bei t3n hier­zu ist be­ti­telt mit Feh­ler in App­les Code­si­gning re­du­ziert Si­cher­heit auf An­dro­id-Ni­veau. Das ist - wie man aus der vo­ri­gen Be­schrei­bung sehen kann - schlicht falsch. Der Feh­ler re­du­zier­te die Si­cher­heit unter An­dro­id-Ni­veau... ge­nau­er Ge­sagt in Rich­tung null. Eine An­wen­dung unter An­dro­id kann (egal, ob bös­wil­lig oder of­fi­zi­ell) nur die Funk­tio­nen nut­zen, wel­che der Be­nut­zer bei der In­stal­la­ti­on ab­ge­nickt hat. Dafür sorgt das Kon­zept der Pri­vi­le­gi­en. Na­tür­lich setzt das eine ge­wis­se Auf­merk­sam­keit des Users vor­aus ("Wieso braucht ein Te­tris-Clo­ne Zu­griff auf meine ak­tu­el­le Po­si­ti­on und das In­ter­net? Nein, das in­stal­lie­re ich lie­ber nicht"), und auch an der Gra­nu­la­ri­tät der Pri­vi­le­gi­en gibt es be­rech­tig­te Kri­tik... aber das ist immer noch deut­lich bes­ser als der Schutz unter iOS.

Edit: Mehr De­tails...

Die­ser Ar­ti­kel bei Heise er­läu­tert ein paar tech­ni­sche De­tails mehr. Ich hatte zu­nächst ver­mu­tet, daß Mil­ler einen Feh­ler in der Re­view-Me­tho­dik (und damit eine Mög­lich­keit, Code am Re­view­pro­zeß "vor­bei­zu­schmug­geln") aus­fin­dig ge­macht hat; dem Ar­ti­kel nach liegt das Pro­blem aber in der neuen Ja­va­Script-En­gi­ne Nitro; nach einer JIT-Kom­pi­lie­rung von Ja­va­scripts hat das Kom­pi­lat wohl alle Kom­pe­ten­zen einer (si­gnier­ten) An­wen­dung. Nor­ma­ler­wei­se soll­te nur der Brow­ser Zu­griff auf Nitro haben - ir­gend­wo hier dürf­te die von Mil­ler ent­deck­te Lücke ste­cken.

Unter dem Schlag­wort "Da­ten­schutz ak­tu­ell" or­ga­ni­siert das vhs Bür­ger­foy­er am Mitt­woch, den 16. No­vem­ber um 18 Uhr im Glas­foy­er des TREFF­PUNKT Rote­bühl­platz eine Po­di­ums­dis­kus­si­on. In dem Ge­spräch wird es um Stich­wor­te wie "in­for­ma­tio­nel­le Selbst­be­stim­mung", "Nut­zung so­zia­ler Netz­wer­ke im In­ter­net", aber auch "Not­wen­dig­keit von Da­ten­samm­lung und -spei­che­rung" gehen.

Die Dis­kus­sio­nen im Bür­ger­fo­rum sol­len auf der einen Seite in Ex­per­ten­ge­sprä­chen über ak­tu­el­le Pro­ble­me in­for­mie­ren, gleich­zei­tig die­nen sie aber auch als Mög­lich­keit für die Zu­hö­rer, Fra­gen zu stel­len und mit­zu­dis­ku­tie­ren. In­ter­ak­ti­on ist also aus­drück­lich er­wünscht!

Fol­gen­de (si­cher nicht un­ty­pi­sche) Auf­ga­ben­stel­lung pur­zel­te bei mir die Tage über den Schreib­tisch: Auf dem Team-Web­ser­ver soll web­dav ein­ge­rich­tet wer­den, um mit Pro­jekt­part­nern Da­tei­en aus­tau­schen zu kön­nen. Die Team­mit­glie­der (wel­che alle auch einen Shel­lac­count haben) sol­len voll­stän­di­gen Zu­griff haben und sich auch mit ihrem nor­ma­len User­na­me und Pass­wort an­mel­den kön­nen. Die Pro­jekt­part­ner sol­len nur auf ein­zel­ne Ver­zeich­nis­se zu­grei­fen kön­nen; na­tür­lich haben sie auch kei­nen Unix-Ac­count.

Letz­te Woche wurde die neue Stadt­bi­blio­thek in Stutt­gart er­öff­net; am (Fa­mi­li­en-)Sams­tag war der CCC Stutt­gart ein­ge­la­den, zwei Vor­trä­ge zu hal­ten. Unter dem Titel "Legal, il­le­gal, ganz egal - Ge­fühl­tes und rea­les Ur­he­ber­recht im In­ter­net" ver­such­te ich, einen Über­blick über die Ur­he­ber­rechts­si­tua­ti­on zu geben. Mir ging es dabei zu­nächst darum zu zei­gen, was nach ak­tu­el­ler Ge­set­zes­la­ge tat­säch­lich er­laubt ist und was nicht - ab­seits vom La­men­tie­ren über die Si­tua­ti­on und teils im Ge­gen­satz zur Hal­tung vie­ler Leute (ins­be­son­de­re Ju­gend­li­cher). Na­tür­lich war da File­sha­ring ein Schwer­punkt, aber es ging auch um Dinge wie das "Aus­lei­hen" von Bil­dern von an­de­ren Web­sei­ten. Zum Schluß gab es noch einen kri­ti­schen Blick auf den ak­tu­el­len Zu­stand - der sich ja sehr un­ba­lan­ciert zum Vor­teil der Rech­te­ver­wer­ter ent­wi­ckelt hat und wei­ter­zu­ent­wi­ckeln droht - und des­sen Aus­wir­kung auf Kul­tur und Ge­sell­schaft. Na­tür­lich durf­te da eine Vor­stel­lung der Crea­ti­ve Com­mons Li­zen­zen nicht feh­len.

Auch wenn der Raum nicht rap­pel­voll war, ent­spann sich doch eine nette Dis­kus­si­on mit in­ter­es­san­ten Fra­gen im Nach­hin­ein. Die Vor­trags­fo­li­en habe ich hier hoch­ge­la­den; über Kom­men­ta­re oder noch Post-Vor­trags-Feed­back freue ich mich na­tür­lich :-) Ab­schlie­ßend noch die Liste der er­wähn­ten Web­sei­ten und Links:

Vor einem Jahr hatte ich ja einen Bei­trag über den Shoo­tout zwi­schen mei­ner alten und mei­ner neuen Tas­ta­tur ge­pos­tet (zur Er­in­ne­rung: Meine alt­ehr­wür­di­ge Knick-Tas­ta­tur von Cher­ry gegen "Das Key­board"). Dar­auf­hin bekam ich meh­re­re Mails rings um Knick­tas­ta­tu­ren - von der Frage nach Be­zugs­quel­len (lei­der nicht mehr in Pro­duk­ti­on) bis hin zu kon­kre­ten Kauf­an­ge­bo­ten :-) Er­go­no­misch ge­form­te Tas­ta­tu­ren schei­nen mo­men­tan out zu sein, und be­lie­big knick­ba­re gab es wohl über­haupt nicht mehr auf dem Markt.

(Bild­quel­le: Fu­jit­su Me­di­a­por­tal)

...​gibt es ei­gent­lich nicht viel zu er­gän­zen. Schon als er sei­nen CEO-Pos­ten nie­der­leg­te, mut­ma­ß­ten viele Leute, daß es ihm wohl ge­sund­heit­lich so schlecht gehen müsse, im­mer­hin sei Apple quasi sein Le­bens­werk - man könne fast mei­nen, er sei dabei, seine ver­blei­ben­den Dinge zu re­geln. Dem­entspre­chend klan­gen viele Kom­men­ta­re schon fast wie Nach­ru­fe (zu­ge­ge­be­ner­ma­ßen ließ sich der Un­ter­ton auch bei mir nicht gänz­lich ver­mei­den). Of­fen­bar hat­ten sie recht.

Nach der Vor­an­kün­di­gung habe ich mir vor ei­ni­gen Wo­chen das E-Book "Metas­ploit - The pe­ne­tra­ti­on tes­ter's guide" ge­kauft - und in­zwi­schen durch­ge­le­sen. Ich woll­te mich schon längst mal ein wenig de­tail­lier­ter mit Metas­ploit aus­ein­an­der­set­zen - da war das der ge­fun­de­ne Anlaß :-)

In den ers­ten Ka­pi­teln stellt das Buch kurz den Pe­ne­tra­ti­on Tes­ting Exe­cu­ti­on Stan­dard sowie einen Über­blick über Tools und Ter­mi­no­lo­gi­en des Metas­ploit Frame­works.

An allen Ecken - vom Mor­gen­ma­ga­zin über die Start­sei­te der Wi­ki­pe­dia bis hin zu den di­ver­sen Web­sei­ten und Blogs - ist es zu hören: Der Chaos Com­pu­ter Club fei­ert heute sein 30jäh­ri­ges Be­ste­hen - herz­li­chen Glück­wunsch!

Ich habe mir er­folg­reich mei­nen Lap­top ver­kon­fi­gu­riert. An­fangs war da nur eine Win­dows-In­stal­la­ti­on (*cough*) 'drauf, dann kam ein pro­vi­so­ri­sches Linux hinzu. In­zwi­schen ar­bei­te ich fast aus­schlie­ß­lich unter Linux, des­halb habe ich die Win­dows-Par­ti­ti­on deut­lich ver­klei­nert. Zwei Pro­ble­me gab es zu lösen: Der freie Platz mußte LVM zu­ge­schla­gen wer­den, und die darin be­find­li­chen (mit LUKS ver­schlüs­sel­ten) Par­ti­tio­nen mu­ß­ten ver­grö­ßert wer­den.

Ges­tern abend habe ich noch mit einem Freund über Apple, des­sen Kla­gen gegen Samsung und das kom­men­de iPho­ne dis­ku­tiert. Heute früh der über­ra­schen­de Pau­ken­schlag: Steve Jobs gibt sei­nen Pos­ten als CEO von Apple auf. Die Nach­richt ist auf allen Ka­nä­len, App­les Ak­ti­en­kurs sackt mal eben um über 7% her­un­ter. Ich habe mehr als ein­mal über Apple und Steve Jobs' Ha­bi­tus ge­läs­tert (und wenn ich die Titel so über­flie­ge, stehe ich immer noch zu mei­ner Mei­nung) - trotz­dem stel­le ich etwas me­lan­cho­lisch fest, daß da wohl eine Ära zu Ende geht.

Das Ge­päck am Flug­ha­fen am Schal­ter ab­ge­ben ist immer wie­der ein "leap of faith". Das Pro­blem: Rich­ti­ges ab­sper­ren sorgt im Falle einer Ge­päck­kon­trol­le dafür, daß der Kof­fer wo­mög­lich be­schä­digt wird. Also gehen viele Leute dazu über, den Rei­ß­ver­schluß mit einem klei­nen Kof­fer­schloß und/oder einem Ka­bel­bin­der zu ver­schlie­ßen. Soll­te die Flug­ha­fen­si­cher­heit den Kof­fer kon­trol­lie­ren, kön­nen sie bei­des pro­blem­los ent­fer­nen - der Scha­den hält sich in engen Gren­zen, und man er­kennt so­fort, daß sich je­mand am Kof­fer zu schaf­fen ge­macht hat.

Heute ist der Anlaß, mal an seine Ad­mins zu den­ken, die im Hin­ter­grund dafür wer­keln, daß man selbst rei­bungs­los ar­bei­ten kann... und die (hof­fent­lich) im Falle eines Fal­les mit Rat und Tat zur Seite ste­hen.

Ok, die letz­te Exis­tenz­be­rech­ti­ung für Win­dows auf mei­nem Lap­top war: PPT-Prä­sen­ta­tio­nen ab­spie­len. Die ge­trenn­te An­zei­ge von Voll­bild-Fo­lie auf dem Bea­mer und den Spre­cher-No­ti­zen auf dem Lap­top­mo­ni­tor ist (oder bes­ser: war) ein­fach Gold. Nach dem Tech­nik-De­sas­ter beim Ja­va-Fo­rum habe ich eben ver­sucht, etwas Äqui­va­len­tes für Open-/Li­bre­Of­fice hin­zu­be­kom­men. Und ich muß sagen: Piece of Cake!

Letz­te Woche war ich auf dem Java Forum Stutt­gart, einer der pro­mi­nen­tes­ten Ja­va-Kon­fe­ren­zen in Süd­deutsch­land, als Spea­ker ein­ge­la­den. Die mit 1200 Be­su­chern aus­ge­buch­te Ver­an­stal­tung ver­sprach et­li­che in­ter­es­san­te The­men. In sechs par­al­le­len Tracks gab es ins­ge­samt 42 (wie­vie­le auch sonst ;-) Vor­trä­ge zu hören - hier meine Aus­wahl:

Das letz­te ver­län­ger­te Wo­chen­en­de war ich auf der GPN 11 in Karls­ru­he. All­mäh­lich bin ich wie­der so­weit im nor­ma­len Tag-Nacht-Rhyth­mus, daß ich ein paar Zei­len dazu schrei­ben kann ;-)

Al­lein schon die Trep­pe im Ein­gangs­be­reich ließ kei­nen Zwei­fel daran, daß hier aus­rei­chend viele Nerds am Werk waren ;-)


Am Stand der Lock­pi­cker sah ich, wie sich je­mand an einem gro­ßen grau­en Kas­ten zu schaf­fen mach­te. Zu­nächst dach­te ich, daß es ir­gend­ein Tre­sor wäre, aber beim nä­he­ren Hin­se­hen ent­pupp­te es sich als Schloß an einer Ma­schi­ne im 60er-Jah­re-Look:


Für ge­die­ge­ne Nerd-Un­ter­hal­tung sorg­ten die "Gu­lasch-Bytes", ein wil­des Bil­der­rät­sel rund um Nerd-Be­grif­fe.

Git­hub ist cool; et­li­che mei­ner Spie­le­rei­en habe ich dort in git-Re­pos ge­packt. Aber ir­gend­wie möch­te ich doch eine Kopie mei­ner Re­po­si­to­ries haben – am liebs­ten au­to­ma­tisch. An­fang des Jah­res habe ich ein Shell­skript ge­schrie­ben, um sol­che Mir­rors au­to­ma­tisch zu ak­tua­li­sie­ren – was aber den Nach­teil hat, daß man für ein neues Re­po­si­to­ry zu­nächst einen Mir­ror hän­disch an­le­gen muß.

So, habe den Vor­trag gut über­stan­den - und ich denke, es hat dem Pu­bli­kum ge­fal­len! So­wohl vom Alter als auch vom tech­ni­schen Kennt­nis­stand war's eine gute Durch­mi­schung, ich hoffe nur, daß ich die Nicht­tech­ni­ker mit den tech­ni­schen Ab­schnit­ten nicht zu sehr ge­lang­weilt habe. Daß alle bis zum Schluß nach knapp 90 Mi­nu­ten durch­ge­hal­ten haben werte ich als gutes Zei­chen ;-) Für alle In­ter­es­sen­ten habe ich die Fo­li­en hier hoch­ge­la­den, die zu­ge­hö­ri­gen La­TeX-Quel­len lie­gen bei Git­hub; der an­ge­fer­tig­te Au­dio­mit­schnitt wird in Bälde bei der Stadt­bü­che­rei on­line ge­stellt.

Heute abend halte ich beim CCC Stutt­gart einen Vor­trag über E-Books. Es wird ein Dia­go­nal-Über­flug über alle mög­li­chen The­men wer­den - an­ge­fan­gen bei der Ge­schich­te der E-Books (Tri­via fact: Wer wußte, daß das "Pro­jekt Gu­ten­berg" be­reits 1972 ge­star­tet wurde?), Tech­no­lo­gi­en bei Re­a­dern bis hin zu Da­tei­for­ma­ten, einem de­tail­lier­te­ren Blick aufs ePub-For­mat und einem un­ver­meid­li­chen Rant über DRM :-)

Ich bin mal sehr ge­spannt, wie das Pu­bli­kum zu­sam­men­ge­setzt sein wird; bei den Cha­os­se­mi­na­ren in Ulm habe ich ja schon meh­re­re Vor­trä­ge ge­hal­ten und kann­te die "üb­li­chen Ver­däch­ti­gen" - Stutt­gart ist da Neu­land. Ich hoffe trotz­dem, daß es an­kommt; wer schon vorab in die Fo­li­en spi­cken möch­te: Sie lie­gen als La­TeX-Bea­mer-Sour­cen bei Git­hub.

Gran­dio­ser PR-Fail von Tom­tom: In Hol­land hat Tom­tom Ver­kehrs­sta­tis­ti­ken an den Staat ver­kauft. Ur­sprüng­lich war an­ge­dacht, damit das Stra­ßen­netz zu op­ti­mie­ren - im­mer­hin kann man damit ana­ly­sie­ren, wo sich re­gel­mä­ßig Staus bil­den und kann daran ab­lei­ten, wel­che Stra­ßen­ver­brei­te­run­gen den meis­ten Ef­fekt brin­gen drüf­ten. Der Staat hat aber auch nach­ge­se­hen, auf wel­chen Stre­cken­ab­schnit­ten re­gel­mä­ßig zu schnell ge­fah­ren wird - und wird dort nun ver­mehrt Ra­dar­fal­len auf­stel­len.

So­wohl Tom­tom als auch die Tom­tom-Kun­den spü­ren deut­lich, daß ge­sam­mel­te Daten ein zwei­schnei­di­ges Schwert sein kön­nen. Die ur­sprüng­li­che Ab­sicht (Er­brin­gung des HD-Traf­fic-Diens­tes zur zeit­na­hen Er­ken­nung von Staus, die Op­ti­mie­rung des Stra­ßen­net­zes) war ja zum Vor­teil der Au­to­fah­rer. Aber plötz­lich wer­den die­sel­ben Daten (ge­fühlt) gegen sie ver­wen­det. Die Tat­sa­che, daß die Daten an­ony­mi­siert und keine Rück­schlüs­se auf ein­zel­ne Fah­rer mög­lich sind, hilft da wenig. Tom­tom be­teu­ert, daß man in Zu­kunft ver­in­dern will, daß die Daten so ge­nutzt wer­den - was aber schwie­rig wird, da zum einen die sinn­vol­len Stau­ana­ly­sen ver­mut­lich schwe­rer durch­zu­füh­ren wer­den und zum an­de­ren das Kind be­reits in den Brun­nen ge­fal­len ist.

Quel­le: En­g­ad­get

Nach einer ge­fühl­ten Ewig­keit mel­det mein Oyo ein neues Firm­ware­up­date - auf die Ver­si­on r4758. Zu­ge­ge­be­ner­ma­ßen über­fäl­lig, hatte doch das letz­te Up­date ei­ni­ges ver­schlimm­bes­sert: Die PDF-An­zei­ge war voll­ends un­brauch­bar, und das Gerät wach­te ohne er­sicht­li­chen Grund aus dem Stand­by-Mo­dus auf und saug­te den Akku leer.

Ein Mi­ni-Pro­jekt, aus dem un­mit­tel­ba­ren Be­darf ge­bo­ren: Ein Down­load­t­ool für flickr, das auch die Me­ta­da­ten mit­spei­chert. Es ist un­glaub­lich läs­tig, wenn man für einen Vor­trag Bil­der sucht und stän­dig damit be­schäf­tigt ist, in einer se­pa­ra­ten Text­da­tei Quel­le, Autor und Bild­li­zenz mit­zu­no­tie­ren. Wer mit mir mit­lei­det (bzw. das Lei­den be­en­den will): Flick­rDL gibt es hier auf git­hub.

Die ra­sche Ent­wick­lung des In­ter­nets in all sei­nen Fa­cet­ten hat die ge­sell­schaft­li­che und po­li­ti­sche Ent­wick­lung längst über­holt. Lang­sam rückt nun die brei­te Masse nach, ent­deck­te zu­nächst die Vor­zü­ge des Net­zes - doch nun fol­gen auch Kri­tik und skep­ti­sche Ge­dan­ken. Ge­ra­de das Thema Da­ten­schutz und Pri­vat­sphä­re ma­ni­fes­tiert sich hier be­son­ders hei­kel - Daten las­sen sich leicht aus­tau­schen, ein Ver­lust der Pri­vat­sphä­re ist erst mit gro­ßer Ver­zö­ge­rung spür­bar (ty­pi­scher­wei­se dann, wenn es zu spät ist und man ne­ga­ti­ve Aus­wir­kun­gen zu füh­len be­kommt). Wie mit die­sen Wer­ten in Zu­kunft in einer ver­netz­ten Ge­sell­schaft um­zu­ge­hen sei, strei­ten sich die Geis­ter.

Für alle, denen noch nicht klar war, was man mit den Daten der Vor­rats­da­ten­spei­che­rung an­stel­len kann: Der Grü­nen-Ab­ge­ord­ne­te Malte Spitz ist zum Selbst­ver­such ge­schrit­ten - die Zeit prä­sen­tiert das Er­geb­nis auf ihrer Web­sei­te. In einer in­ter­ak­ti­ven Auf­be­rei­tung kann man für den Zeit­raum vom Au­gust 2009 bis zum Fe­bru­ar 2010 be­ob­ach­ten, zu wel­chem Ta­ges­zeit­punkt er sich wo auf­hielt, wann und wo er te­le­fo­nier­te bzw. SMS emp­fing oder ver­sand­te. Schon beim flüch­ti­gen Ab­spie­len des so ent­stan­de­nen "Films" ent­steht ein kla­res Bild über den durch­schnitt­li­chen Ta­ges­ab­lauf: Wann ver­lä­ßt er sein Zu­hau­se, von wann bis wann ar­bei­tet er, wann geht er üb­li­cher­wei­se zum Essen und in wel­chem Cafe oder Bier­gar­ten spannt er nach Fei­er­abend ab.

Dabei be­schränk­te er sich sogar nur auf einen Teil der Daten, die bei der Vor­rats­da­ten­spei­che­rung ge­spei­chert wer­den sol­len: Das Bei­spiel be­schränkt sich aus­schlie­ß­lich auf Malte Spitz' Han­dy­an­schluß - Daten über sei­nen Fest­netz­an­schluß wur­den nicht mit ab­ge­gli­chen. Au­ßer­dem ist in den Daten der Web­sei­te nicht ent­hal­ten, mit wem er te­le­fo­nier­te. Auch die Dauer der ein­zel­nen Te­le­fo­na­te ist nicht ver­zeich­net. Wenn man diese In­for­ma­tio­nen noch hin­zu­nimmt, er­gä­be sich ein noch de­tail­lier­te­res Bild: Mit wem kom­mu­ni­ziert er be­son­ders häu­fig - und das zu wel­chen Uhr­zei­ten und mit wel­cher Ge­sprächs­län­ge.

Ginge man nun wei­ter her und würde die Be­we­gungs­spu­ren der Ge­sprächs­part­ner mit den ei­ge­nen über­la­gern - rasch würde man her­aus­fin­den, mit wem er sich auch per­sön­lich trifft.

Die Aus­wer­tung, wel­che Orte häu­fig bzw. re­gel­mä­ßig auf­ge­sucht wer­den, kann im üb­ri­gen sehr ein­fach au­to­ma­ti­siert ge­sche­hen. Ord­net man nun be­stimm­te Orte und Ge­gen­den be­stimm­ten Mi­lieus zu (prä­des­ti­niert wären si­cher Orte wie Mo­sche­en oder Ver­eins­häu­ser po­li­ti­scher Grup­pie­run­gen), er­gibt sich sehr schnell ein de­tail­lier­tes Per­sön­lich­keits­pro­fil. Der De­tail­grad, den man er­reicht, wenn man die­sen mit sei­nen Ge­sprächs­part­nern (oder gar den Ge­sprächs­part­nern, mit denen er sich re­gel­mä­ßig per­sön­lich traf) ab­gleicht, kann man fast nur noch er­ah­nen. Frü­her wäre für eine solch de­tail­lier­te Be­ob­ach­tung eine Hun­dert­schaft an Ob­ser­va­teu­ren nötig ge­we­sen - heute wol­len die Be­für­wor­ter der Vor­rats­da­ten­spei­che­rung genau diese In­for­ma­tio­nen für jeden Bun­des­bür­ger 6 Mo­na­te lang vor­hal­ten.

Schon der Selbst­ver­such von Malte Spitz macht deut­lich, wie weit­rei­chend und de­tail­reich diese Daten sind. Ich hoffe, daß das viele Leute, die immer wie­der die VDS klein- oder schön­re­den, eines bes­se­ren be­lehrt.

Viele Leute ken­nen die Zwei-Fak­tor-Au­then­ti­sie­rung (etwa wis­sen und etwas be­sit­zen) von den RSA-To­kens: Auf die­sen Ge­rä­ten er­scheint in re­gel­mä­ßi­gen Ab­stän­den eine neue Zah­len­fol­ge, wel­che man bei der An­mel­dung zu­sam­men mit sei­nem Be­nut­zer­na­me und sei­nem Kenn­wort ein­ge­ben muß. Ein ge­stoh­le­nes Kenn­wort al­lei­ne ge­nügt also für einen An­grei­fer nicht mehr, er muß auch im Be­sitz des RSA-To­kens sein, um stets eine fri­sche gül­ti­ge Num­mer greif­bar zu haben. Der Vor­teil ge­gen­über einem SSH-Key ist: Wenn man in die Ver­le­gen­heit gerät, sich drin­gend von einem nicht ver­trau­ens­wür­di­gen Rech­ner aus ein­log­gen zu müs­sen, so kann ein An­grei­fer dar­auf ma­xi­mal für diese Sit­zung als Tritt­brett­fah­rer "mit­schwim­men"; ein er­neu­tes Ein­log­gen ist nicht mög­lich (beim Ver­wen­den eines SSH-Keys könn­te er die­sen ko­pie­ren und das Pass­wort ab­hö­ren).

Wieso soll man ei­gent­lich an der Haus­tür zwei Mal ab­sper­ren? Klar, wenn je­mand das Schloß mit Lock­picks kna­cken will, muß er das Schloß 2x "pi­cken", weil es nach der ers­ten Um­dre­hung zu­rück­springt; al­ler­dings halte ich einen sol­chen Ein­bruch in der ei­ge­nen Woh­nung für ziem­lich un­wahr­schein­lich, dem ge­wöhn­li­chen Dieb geht es nicht um zer­stö­rungs­freie Äs­the­tik, er wird mit gro­ßer Wahr­schein­lich­keit ein Brech­ei­sen oder ähn­li­ches ver­wen­den.

Über dem Ja­va-Him­mel hän­gen mo­men­tan fins­te­re Wol­ken; man­che pro­gnos­ti­zie­ren gar den bal­di­gen Un­ter­gang der Spra­che in der Be­deu­tungs­lo­sig­keit, an­de­re Ana­lys­ten wie bei­spiels­wei­se Red­Monk zeich­nen ein deut­lich op­ti­mis­ti­sche­res Bild. Da ich mo­men­tan be­ruf­lich in der Ja­va-Welt tätig bin, mache ich mir na­tür­lich auch meine Ge­dan­ken - und letz­te­rer Ar­ti­kel hat mich dazu ge­bracht, sel­bigs­te hier auf­zu­schrei­ben.

Ich habe ein paar mei­ner Pro­jek­te auf git­hub ge­legt; al­ler­dings hätte ich doch gerne die Daten der Re­po­si­to­ries auf mei­nem Ser­ver - da bin ich ir­gend­wie eigen :-) Die Sache sieht so aus, daß ich in einem Ver­zeich­nis eine Reihe .git-Ver­zeich­nis­se (also bare Re­po­si­to­ries) lie­gen habe; ei­ni­ge davon sind die Mir­rors von git­hub, an­de­re sind ei­gen­stän­di­ge Re­po­si­to­ries. Die Mir­rors woll­te ich per Cron­job täg­lich ak­tua­li­sie­ren. Wie's geht, habe ich hier kurz zu­sam­men­ge­schrie­ben:

Zu Weih­nach­ten wurde ein schon lange ge­heg­ter Wunsch er­füllt: Ein E-Book-Re­a­der. Ich hatte mich für einen Oyo ent­schie­den - zwar sind die ak­tu­el­len Sony-Ge­rä­te dem Oyo deut­lich über­le­gen (schnel­le­res und kon­trast­rei­che­res Dis­play, schnel­le­re Re­ak­ti­on, län­ge­re Ak­ku-Le­bens­dau­er, aus­ge­reif­te­re Be­die­nung), aber da ich an­neh­me, daß die Ent­wick­lung der E-Book-Re­a­der in den nächs­ten Jah­ren noch rasch vor­an­schrei­ten wird, war ich nicht ge­willt, den fast dop­pel­ten Be­trag zu in­ves­tie­ren. Ich habe das "Be­grü­ßungs­ge­schenk" - einen Roman aus einer ge­wis­sen Aus­wahl - in­zwi­schen durch­ge­le­sen und bin sehr an­ge­tan. Für Prosa eig­net sich der Oyo prima. Die Eig­nung für Fach­bü­cher (ich habe in­zwi­schen et­li­che O'Reil­ly-E-Books ge­kauft) wird er die kom­men­den Wo­chen unter Be­weis stel­len müs­sen.