Peter Gyger online

"Gring ache u seckle" (Quelle: A. Weyermann)

NAVIGATION - SEARCH

"our security is amazingly good" und Social Media

Social Media Kanäle sind Minenfelder. Erst Recht für Firmen. Eine einfache Anfrage über Twitter hat der österreichischen T-Mobile diese Woche einen IT GAU verursacht. Die Kundin fragte, ob die Passwörter im Klartext oder verschlüsselt abgespeichert werden. Den Hinweis der Kundin, dass Passwörter im Klartext speichern per se eine dumme Idee sei, quittierte die Mitarbeiterin Käthe mit der Antwort "our security is amazingly good". Daher sei das OK. Das eine Firma Passwörter im Klartext speichert und das für keine Schwachstelle hält, machte schnell die Runde auf Twitter. Verschiedene Anwender überprüften die Aussage und das Resultat war ein weiterer GAU. Diesmal technisch... Golem.de geht detailiert auf die Mängel der IT ein.   Wirklich hässlich wurde es am Schluss, als sich einige Twitter Benutzer forderten, die Mitarbeiterin müsse entlassen werden. Sie sei unfähig, etc. Der CEO der T-Mobile versicherte auf Twitter, dass die Mitarbeiterin keinesfalls entlassen werde. Ihre Firmenkultur habe Verständnis, dass Mitarbeiter Fehler unterlaufen können. Überraschend und positiv zu werten, B.t.w. Wenn jemand die Verantwortung und das Salär eines IT Sicherheitsverantwortlichen beansprucht, dann wäre es auch korrekt das er zur Verantwortung gezogen wird. Und nicht ein untergeordneter Mitarbeiter. In diesem  Sinne. Viele IT Kollegen beklagen sich, dass gerade für IT Sicherheit wenig Gelder bewilligt werden. Frei nach dem Motto: bisher hat es doch auch geklappt, warum nachrüsten? Unter diesem Gesichtspunkt könnten wir die Jod Tabletten, die das EMSI verschickt retournieren. Oder das Militär bzw. deren kümmerliche Reste gleich abschaffen. Schliesslich ging es bisher gut, alle lieben uns in dieser Welt der Guten...   Hintergrund: Open HPI: Wie können Passwörter sicher gespeichert werden? Open HPI: Hashes xkcd: Responsible Behavior http://plaintextoffenders.com/faq/non-devs

#krebsiscancer

Einmal mehr eine skurille Geschichte die nur das Internet in die Welt setzen kann. Brian Krebs ist ein ehemaliger Washington Post Journalist und hat sich in Sicherheitskreisen in den letzten Jahren einen sehr guten Namen gemacht. Am 26. März schrieb der Sicherheitsexperte Brian Krebs einen Blogpost "Who and What Is Coinhive?". Darin nannte die Namen des Entwicklers des Conhive Minning Algorythmus sowie der Plattform "pr0gramm". Anders als in Westeuropa ist es im US Journalismus gängige Praxis die Namen zu publizieren. Die Betreiber des Forums sowie der im Post genannte Programmierer widersprechen teilweise den Aussagen im Blogpost. Die Betreiber des Forums "pr0gramm.com" deuteten an, dass sie vielleicht das Forum wegen diesem Blogpost schliessen müssen. Wer einen Blick auf diese Plattform wirft, kann sich vorstellen, welche Pöbeleien aka Shitstorm nun auf Brian Krebs zurollte. U.a. wurde auf Twitter der Hastag "#krebsiscancer" lanciert. Bezugendnehmend auf den Sachverhalt, dass der Name des Autors in der deutschen Sprache als Name einer Krankheit ("Krebs") verwendet wird. Skurill wird die Geschichte am Schluss. Einer der Twitternutzer konterte den Angriff mit dem Tweet, wo eine Spendenquittung zu sehen war. Ergänzt mit den Worten: Er habe der Krebshilfe gespendet, was er vernünftiger finde, als weitere Tweets zum Kontext "Krebs". In den nächsten Tagen wurde die Krebshilfe mit Spenden überflutet. Über 250'000 Euros rollten auf das Konto. Brian Krebs reagierte gelassen und äusserst professionell. Er schrieb hinterher einen weiteren Blogpost, worin er das Ende der Geschichte dokumentierte.              

Was ist ein Netzwerkkabel?

Letzter Update:  9. April 2018   Wenn ich über Sachthemen diskutiere, mag ich das Gefühl nicht, dass ich die Grundlagen nicht in und auswendig kenne und verstehe. Sowieso wenn es die banalen und langweiligen Themen wie "Netzwerkkabel" sind. Daher habe ich mich kurz hingesetzt und über das Thema recherchiert. Mit dem zusammenfassen strukturiere das Wissen in meinem Kopf.   Ein Netzwerkkabel transportiert Informationen über elektrische Impulse auf einem Kupferdraht. Die optische Variante ignoriere ich absichtlich. Der Adapter am Sende / Empfangsgerät wandelt diese Impulse schlussendlich in ein Endgeräte Output. Z.B. eine Datei. Weder im OSI Netzwerkmodell noch im TCP IP Modell existieren Stecker bzw. Kabel. Im OSI Netzwerkmodell wird die unterste Schicht definiert als "Bereitstellung elektrischer und mechanischer Funktionen zur Übertragung von Bits". Inofiziell gibt es jedoch Schicht 0 sowie Schicht 8. Schicht 0 bezeichnet die nicht genannten Voraussetzungen wie Kabel oder Elektrizität. Schicht 8 ist die Logik die steuert. D.h. i.d.R. der Anwender. Alternative Bezeichnung für ein Netzwerkkabel sind "Patchkabel" oder "Ethernetkabel". Ethernet (IEEE 802.3) ist ein Konzept, wie die gemeinsame Nutzung eines Übertragungsmediums durch mehrere gleichberechtigte Datenstationen erfolgen soll. Auch WLAN funktioniert nach diesem Konzept. Ethernet hat sich auf dem Markt seit vielen Jahren durchgesetzt. D.h. so wie man anstatt Internet Suchmaschine kurz "googlen" sagt, kann man "Ethernetkabel" anstatt Netzwerkkabel verwenden. Nachdem die Entwicklung von Ethernet "Fast-Ethernet" (10/100 MByte) erreicht hat, werden nur noch Twisted Pair Kabel verwendet. Oder in seltenen Fällen Lichtwellenreiter (optisch). D.h. wenn man im heutigen Sprachgebrauch von Netzwerkkabeln spricht, kann man auch von Ethernetkabeln oder "Twisted Pair" Kabeln sprechen. In der Wikipedia findet man einen Artikel (en) mit dem Titel "Ethernet over twisted pair". Im Abschnitt "Variants" wird grafisch auf die Entwicklung des Kabels eingegangen. Die Signal in einem Twisted Pair Kabel werden über acht Adern realisiert. Welche Signale auf welchem Draht übermittelt wird, ist normiert: TIA 586. Natürlich gibt es zwei Varianen - A und B - und innerhalb eines LANs darf nur ein Standard zur Anwendung gelagen. "A" ist in Europa üblich. Fertig konfektionierte Netzwerkkabel - d.h. mit Stecker - haben dünnere Adern. D.h. stärkeren Signalverlust sowie andere Fehler. Daher gibt es diese i.d.R. nicht länger als bis 25m. Diese werden ja i.d.R. als Patchkabel eingesetzt, um ein Endgerät mit einer NW-Dose, Switch, Panel, Router, etc. zu verbinden. Dafür reicht es und für jede Signalübertragung über mechanische Medien wie Kabel gilt, je kürzer desto qualitativ besser. Für eine Hausverkabelung hat der der Telematiker nicht konfektionierte Kabel, was dem Kunden auch die Wahl des Steckers lässt. Die Qualität des Steckers trägt massgeblich zur stabilen Netzwerkgeschwindigkeit bei. Analogie zum Auto: nicht nur die Reifen, sondern die Aufhängung ist relevant. Stromführende Elemente wie Kabel oder Steckerleiste dürfen nicht mit Netzwerkkabel zusammen geführt werden. Abhängig von der Qualität des Netzwerkkabels (shield / not shield, etc.) kann das Magnetfeld das das elektrische Element aufbaut störend einwirken. Nicht beschriftete Netzwerkkabel gehen auf keinen Fall. Oder wer kauf Lebensmittel ohne Angabe des Inhalts, Datums, etc? Die Interpretation der Kürzel auf dem Kabel ist u.a. hier erklärt. Und in dem Zusammenhang auch auch die Normen "CAT" (CAT 5e, CAT 6a, etc.), welche der Konsument beim Einkauf beachtet. Der Artikel "Twisted-Pair-Kabel" aus dem Elektronik Kompendium (siehe  unten) hat grossen Praxisbezug. Auszüge daraus: "Bei 10GBASE-T erreicht man mit diesen Kabeln eine maximale Entfernung von 55 Metern. Zusätzlich benötigt man Patchpanels, die den Abstand zwischen den einzelnen Anschlüssen erhöhen, geschirmte RJ45-Stecker, Spezialwerkzeug für die Konfektionierung, geschlossene Kabeltrassen und die Trennung unterschiedlicher Kabelarten, um gegenseitige Beeinflussungen zu vermeiden." "In der Vergangenheit haben viele Elektroinstallateure die nötige Sorgfalt beim Verlegen von CAT6- und CAT7-Kabel vermissen lassen. Darauf angesprochen wurde meist nur milde gelächelt und abgewunken. Natürlich, auf einem schlecht behandelten CAT7-Kabel ist Fast-Ethernet mit 100 MBit/s auch kein Problem. Doch wer lässt CAT7-Kabel verlegen, um es nur für Fast-Ethernet zu nutzen? Was ist, wenn jemand 10GBase-T auf CAT7 nutzen will? Abwegig ist das nicht. Zwar werden mit 10GBase-T kaum Arbeitsplatzrechner ans Netzwerk angebunden. Doch lässt sich mit 10GBase-T eine schnelle Netzwerk-Infrastruktur aufbauen, die ohne teure Glasfaserkabel auskommt. Der Elektroinstallateur muss dringend davon Abstand nehmen CAT6- und CAT7-Kabel mal geschwind "reinzuklatschen". Das zeugt von geringer Kenntnis und ist Pfusch."   Damit die Eigenschaften eines Standards ausgeschöpft werden können, müssen alle Bestandteile die Norm erfüllen. Cat 7 ist nicht kompatibel mit einem RJ45 Stecker und Anschlüssen, welcher über so viele Jahre die Netzwerkkabel verbunden hat. D.h. wenn ein RJ45 Element eingesetzt wird, sinkt die Leistung auf CAT6a Kabel. Das ist natürlich immer noch eine sehr gute Leistung für ein Heimnetzwerk. Die Firma Telegärtner hat in einem Themenspecial die verwirrende Situation von CAT6a / CAT7 zu Steckern bzw. dem Wunsch 10GBit im Lan zu fahren, sehr übersichtlich zusammgengefasst. Falls ich jedoch in Richtung von 10GBit Ethernet (IEEE 802.3an) denke, werden Stecker benötigt die die Adern weiter von einander trennen, als im RJ45 Stecker. Anderfalls hat Leistungseinbussen wegen Übersprechen.  Wiederholt habe ich auch bei Neubauten an einer Netzwerkdose lediglich Fast-Ethernet (10/100) gemessen, obwohl eine Fibreaufschaltung mit 1 GB Internetzugang vorlag. Der Grund war "Cable-Sharing". Die acht Adern des Netzwerkkabels waren auf zwei Netzwerkdosen gesplittet. Der Gedanke des Bauherrn wird wahrscheinlich in Richtung "Mehrwert" gegangen sein. Der Käufer / Mieter hat zwei Netzwerkdosen im Raum. Analog zwei Stromdosen. Netzwerk Messgeräte sind zur Überprüfung einer Installation bei der Fehlersuche zwingend erforderlich. Mit den heutigen Geschwindigkeiten auf dem Netzwerkkabel ist der durchschnittliche Dorfelektriker überfordert. Für den Elektriker ist ein Kabel ein Kabel. Die Rafinesse mit der die physikalische Grenzen der Signalübermittlung nach oben verschoben werden sind vergleichbar mit den Herausforderungen in der Internetbandbreite. Die PTT Telefonleitungen und Hausinstallation war für die 48 bzw. 96 Volt der Telefonie ausgelegt. Nicht umsonst hat der Verband der Elektriker (VMEI) empfohlen, von der Klemme (UPK) ein hochwertiges Kabel (U72) direkt mit der Telefonsteckdose an der das Modem hängt zu verbinden (BBR - Broadband ready). Quasi ein Bypass zwischen Router und Hauseintrittspunkt des Signals. Wenn hier Unterbrüche (Led auf dem Router wird rot) auftreten, wird ein Mitarbeiter vor Ort gehen und messtechnisch das Problem sondieren. Dasselbe gilt im Netzwerk zu Hause (LAN). Dieser Artikel der Zeitschrift LanLine vermittelt einen Eindruck welche Aspekte so ein Test umfasst. Da WLAN zwar Ethernet jedoch nicht Netzwerkkabel ist, nur kurz angemerkt das dafür erst Recht Mess und Prüftools gibt. POE (Elektrizität über Netzerkkabrel) ist ein Szenario auf das ich hier nicht eingehe. Datwyler hat dazu dieses White Paper verfasst. CAT 8 ist im realen Umfeld angekommen. "Telegärtner" hat dazu eine kurze Übersicht geschrieben. Eine Hausinstallation nach DIN Norm hat Leerrohre, keine fest eingemauerten Netzwerkkabel. Somit sollte es keine Sache sein, in 11 oder 12 Jahren auf CAT8 zu wechseln, wenn der Wunsch danach gegeben ist. B.t.w. ist Swisscom bzw. der u.a. Verantwortliche der Router Entwicklung - Guido Tranel - der Ansicht, dass das Modem / Router des Kunden in den Wohnraum gehört. Und nicht wie seit Jahrzehnten üblich und von den Branchenverbänden empfohlen, an einem zentralen Eintrittspunkt (Sicherungskasten, Panel, etc.). Daher ist der letzte von Ihm auf den Markt gebrachte Router - die Internetbox 2 - 18.8 cm hoch. Der handelsübliche Router hat ca. 5 cm. Eine ältere Anleitung von Swisscom, in Zusammenarbeit mit VSIE, sieht den Router des ISP ebenso als "Modem". D.h. danach wird mit weiteren Netzwerkgeräten wie WLAN - AP oder Switches das eigene Netzwerk (LAN) aufgebaut. "My Home is my Castle" würde der Engländer wohl sagen...   Das Thema ist umfassend. Sicher fehlen einzelne Details oder sind zu wenig präzise. Update wird asap erfolgen.     Quellen PC Welt: Netzwerkkabel selbst herstellen - so geht’s! kochkabel.ch: Grundlagen der Kupferdatentechnik Elektronik Kompendium: "Netzwerk-Kabel" Elektronik Kompendium: "Twisted-Pair-Kabel" hardware-bastelkiste.de: Twisted Pair Netzwerk-Technik hardware-bastelkiste.de: AWG (American Wire Gauge) Wikipedia Catergory: "Local Loop"  Wikipedia Catergory: "Physical layer protocols" Wikipedia: "Ethernet physical layer" Wikipedia: 10 Gigabit Ethernet dein-elektriker-info.de: Hausverkabelung richtig machen Telegärtner: Kupferpatchkabel der Kategorien 6a und 7 kochkabel.ch: Wissenswertes über Leitungen und Lichtwellenreiter (Linkliste) Datwiler: ICT Technik ip-insider.de: Was ist 10GbE? itwissen.info: GG45-Stecker cordes-bjoern.de: Patchen von CAT7 Netzwerkkabeln auf ein 8-Port Patchpanel Haustechnikdialog.de: 10GBit Ethernet Stecker? Datwyler: 10GBit Stecker Computerbase.de: (managed) Switch für Einfamilienhaus  Computerbase.de: Lan-Kabel im Haus verlegen, Fragen zur Auswahl und Vorgehen Computerbase.de: [Kaufberatung] Gehäuse, Switch, Patch Panel, etc.  ETZ Zürich: Richtlinie UKV Verkabelung LANLine: Fehlerdiagnose in komplexen Netzen Swisscom: "Der All IP Profi misst"

Multimedia NAS mit HDMI Schnittstelle kaufen?

Eine Frage die wiederholt an mich gerichtet wird: Ein Mediencenter (Kodi / Plex / etc.) soll auf einem NAS installiert werden. Dann über eine HDMI Schnittstelle den Inhalt direkt auf den TV liefern. Frage: Vorteile / Nachteile / Alternative?   VT: Bequem. Einfach. Die führenden NAS Anbieter haben auch Geräte mit einer Fernbedienung im Angebot. D.h. nach dem kopieren der Medien auf das NAS, dem einlesen mit dem Mediencenter, wechselt man im Anzeigegerät (TV / Monitor) auf den HDMI Eingang und fertig NT: Unflexibel. Ein NAS ist ein Datenspeicher. D.h. eine grosse Festplatte. Diese kann über Jahre ohne Update Notwendigkeit so funktionieren. Die Abspielfunktion hingegen hat einen Updatebedarf, wenn man neue / andere Bild / Tonformate nutzen will. Aktuell ist HDMI auf der Version 2.0 und 2.1 soll bis Ende 2018 folgen. Und 2.1 ist Voraussetzung für aktives HDR. Wenn ich einen Mediaplayer mit Windows 10 verwendete, kann ich z.B. mit der Netflix App direkt HDR Inhalte abspielen. Z.B. mit einem AMD Ryzen  Mainboard mit integrierter HDMI Schnittstelle. Sollte dieses Jahr erhältlich sein und eine sehr gute Grundlage für einen Medien PC sein. Wenn ich über ein NAS Filme abspiele ("transkodiere") wird die Hardware gefordert. I.d.R. sind externe Medienplayer dann leiser. Was für einen Filmabend ein wichtiger Punkt darstellen kann. Eine andere Frage ist, wie in einem Mehrpersonen Haushalt, die gleichzeitige Nutzung funktionieren soll. Das wird dann quasi eine Zweiklassengesellschaft, wo der "Capo" am grossen TV direkt über HDMI schaut und der Rest darf über Chromecast / Miracast bzw. DLNA auf die Fiilmdatenbank zugreifen. Was je nach Grösse der gespeicherten Dateien auch Auswirkungen (Lärm / Freezes) auf dem Haupt TV haben wird. AT: Netflix Telebox Amazon Fire Swisscom / Sunrise TV / UPC etc Über Amazon Fire habe ich wiederholt Kritiken gelesen, dass die Filme lieblos ausgewählt werden. D.h. TV Schnittvarianten, keine Uncut / Directory Versionen. Keine Option für Orginalton. Reines Hörensagen. Die Quellen habe ich mir nicht gespeichert.   Fazit: Als Alternative zu gängigen Filmangeboten punktet das HDMI NAS. Rein dadurch, dass man das Gerät auch als Backupmedium bzw. "private Cloud" (z.T. mit 256 AES Verschlüsselung) nutzen kann. Und natürlich bieten die Apps von Synologic und QNAP auch viele zusätzliche und einfach zu installierende Funktionen: IP Kamera (Überwachung) VPN Server Content speichern wie RSS Feeds oder anderes über JDownloader etc. Für einen Mehrpersonen Haushalt bzw. einen aktiven Teilnehmer am digitalen (Medien-) Zeitalter ist die HDMI Schnittstelle kein Gewinn.      

Mining - Gefahr Nr 1 im Web?

Das Mining im Internet ist aktuell das Thema für den digitalen Nutzer. D.h. jeder der sich im Web bewegt, sollte sich Zeit nehmen und sich darüber informieren. Nachfolgend meine Lesetipps:   Blick.ch: Professor Vetterli erklärt: Was ist Mining und was hat das mit Bitcoin zu tun? NZZ: Die Mühen mit dem Mining BAZ.CH. Schürft auch hr Computer Bitcoins für Fremde? Golem.de: Webseiten missbrauchen Nutzerrechner für Kryptomining Krebs on Security: Who and What Is Coinhive? Sophos News: Bitcoin-Hype ruft kriminelle „Goldgräber“ auf den Plan    

Portforwarding mit einem Zyxel Gerät

Portforwarding - Portweiterleitung - ist ein Thema, dass viele Internetnutzer betrifft. Zumindest solange es IP V4 und die NAT gibt. Der Datenverkehr von eigenen Netzwerk zum Internet wird über Protokolle abgewickelt. Jedes Protokoll benötigt für den Datenaustausch die Information über welchen der 65635 Ports  kommuniziert wird.   Nachfolgend ein kleines Beispiel aus der Praxis. Auf einem Windows PC ist das Programm Calibre  installiert. Damit können elektronische Dokumente wie E-Books verwaltet werden. Calibre hat einen "Nachrichtenserver" integriert. Dieser Nachrichtenserver ermöglicht den Zugriff auf die E-Books über das Internet. U.a. bestimmt man mit dem aktivieren des Nachrichtenservers auf welchem Port er "hören" soll. D.h. der Nachrichtenserver reagiert nur auf Anfragen, die über diesen Port kommen. Nach dem starten des Nachrichtenservers kann man klassisch über "netstart /a" überprüfen, ob der Port abgehört wird Interessante Frage, welche einem zeigt wie weit man das Konzept von NAT und Port verstanden hat: Warum sieht man den offen Port nur auf diesem Computer? Auf einem anderen Computer im Netzwerk sieht das Resultat der Abfrage so aus Jetzt ist der abschliessende Schritt, die Verbindung von NAT zum Computer auf der der Service läuft. Der Router den man vom ISP erhält hat weniger Optionen als der Durchschnitt der Geräte. Das hat den Vorzug, dass er einfach einzurichten ist. Hier die Einstellung im aktuellen Router der Swisscom: "Internet-Box 2". In diesem Beispiel werden die eingehenden IP Pakete am TCP Port 9000 an den Computer mit dem Namen "raspberrypi" weitergeleitet.    Nachfolgend das Beispiel mit einem Zyxel Gerät. Das Betriebssystem dieses Gerätes entspricht in seiner Komplexität den typischen Modellen am Markt. In der Regel findet man die Einstellung unter NAT. Dort fügt man eine neue Regel hinzu. Die Einstellungen sind selbsterklärend. Auch die WAN IP ist nicht erforderlich, da man i.d.R. nicht über mehr als eine Verbindung zum Internet hat. Der Test mit dem Zugriff auf diese WAN IP gelangt nicht mit einem Gerät aus dem LAN. Selbst die deaktivierte (SPI-) Firewall und das neustarten des Routers änderte nichts daran. D.h. man sollte den Zugriff extern (Remote) prüfen.   Im nächsten Versuch verwende ich anstatt des Routers eine reine Firewall von Zyxel. In diesem Beispiel eine USG 100. Im Vergleich mit anderen Produkten am Markt hat sie geringere Einstiegshürden. Ideal für zu Hause oder einen kleinen Betrieb. Nach Installation der Firewall ist sie betriebsbereit. Die Prüfung über den Heise Netzwerk Check zeigt, dass nur Port 443 (TLS) offen ist. Die Menustruktur ist vergleichbar mit dem Router des letzten Beispieles. Daher die ähnliche Menustruktur. Hier ist eine Anleitung wie man es einrichtet.    In der verlinkten Anleitung ist die Logfunktion nicht aktiviert. Für ein späteres Troubleshooting sollte man das besser aktivieren. Die Anleitung ist so aufgebaut das zuerst drei Objekte erstellt werden: WAN IP-Adresse ("WAN1_IP") RDP Server        ("RDP_Server") RDP Dienst        ("RDP_Service") Diese findet man anschliessend auch im Menupunkt "Objekte", wenn eine Änderung gemacht werden muss. Natürlich kann man eigene Werte für das Feld "Namen" verwenden. Einfach in der Anleitung ab Punkt 6 auf diese 3 Namen referenzieren, wenn man eigene Bezeichnungen verwendet. Der Punkt 8 der Anleitung - die Erstellung der Firewall Regel - aktiviere ich zumindest am Anfang das loggen. Damit wird eine Fehlersuche überhaupt erst möglich. Die neue Regel müsste im "IPv4 Rule Summary" zuoberst (FIFO) eingefügt sein. Andernfalls kann die Berüchsichtigung nicht mit Sicherheit erwartet werden.     "Netstat /a" ist nicht das effizienteste Windows Kommando. "netsh int ipv4 show" liefert deutlich mehr Informationen. Einfach in der CLI das Kommando abschicken, dann sieht man welche Zusätze zu diesem Befehl welche Resultate liefern.  Die anfangs gestellte Frage, warum "netstat /a" nur auf dem einen Gerät den Port 9000 als offen zeigt hat folgende Antwort. Ein Port ist offen, wenn ein Programm den Port öffnet. Das Programm in diesem Beispiel ist "Calibre". Da Calibre in diesem Beispiel nur auf dem Computer Minix läuft, ist auch nur dort der Port offen. Und daher müssen Anfragen die über diesen Port erfolgen, an diesen Computer weitergeleitet ("Portforwarding") werden. Nur hier ist das Programm installiert, dass diese Anfrage verarbeiten kann.  Quellen: Superuser.com    

Resilio Sync - Alternative zur Cloud

  Wie können Daten zwischen verschiedenen Standorten - also über das WAN - auf einfachste Art automatisch syncronisiert werden? "Cloud" noch besser eine "Privat Cloud" ist eine Lösung. Noch einfacher geht es mit der Software "Resilio Sync". Nach der Installation des kostenlosen Programmes gebe ich ein Verzeichnis "frei". Die Personen die an diesem Netzwerk teilhaben sollen, erhalten z.B. eine E-Mail mit einem Link. Dieser kann auf den anderen Rechner an irgendeinem Standort in der Welt mit dem installierten "Resilio Sync" geöffnet werden. Sobald der neue Teilnehmer das getan hat, erhalte ich als Admin die Anfrage ob ich die Teilnahme bewillige. Nachdem ich das bejaht habe, ist der Inhalt der Verzeichnisse synchron. Abhängig von der Bandbreite des internets und der Grösse / Menge der Daten. Die Software ist für diverse Betriebssyteme vorhanden: Plugin für NAS, Windows, Linux, macOS, iOS, Android, etc. Ein Beispiel um das zu verdeutlichen. Situation: Ein Computer mit Windows 10 soll Teil dieses Resilio Netzwerkes werden. Schritte: Auf dem Computer den Resilio Client installieren  Die Installationsparameter können so  belassen werden. Die Möglichkeit den Service als Dienst ("Dämon") laufen zu lassen, macht vor allem in der Pro Variante Sinn  Danach wird über der nächsten Maske ein Newsletter Formular der Firma "Resilio" eingeblendet. Ich habe eine spezielle E-Mail Adresse für diese Newsletter und habe diesen abonniert. Primär aus dem Gebot der Fairness: sie stellen mir in der kostenlosen Version eine funktionale Software zur Verfügung. Dafür zahle ich mit Werbung bzw. einem Newsletter. Hinter dem Newsletter PopUp dieses Formular:   Unten die die zwei Bedienungen mit einem Klick akzeptieren. Oben einen neutralen und eindeutigen Namen wählen, so dass der Administrator der die Anfrage genehmigen muss, weiss wer dahinter steht. Und natürlich eine Logik berücksichtigen, wenn man mit mehr als einem Gerät sich dem Netzwerk anschliessen will. Für mich trifft das nicht zu, da ich nur mit einem Gerät unterwegs bin. Zu Hause werden die Daten mit meinem NAS abgeglichen. D.h. für alle Geräte im lokalen Netz verfügbar. Jetzt ist Resilio bereit. Innerhalb eines solchen Netzes kann jeder beide Rollen: Teilnehmer Administrator abwechselnd übernehmen. Diese Installation der Software schafft die Voraussetzung dafür. Im nächsten Schritt wird gezeigt, wie man ein Verzeichnis für die Netzwerk Teilnehmer freigibt. Nach dem Klick oben links auf das Pluszeichen, wählt man "Standardordner".   Anschliessend wählt man im ein Verzeichnis aus. Es können auch Netzlaufkwere, z.B. auf einem NAS, sein. Verzeichnisse die man zum sychronisieren ausgewählt hat, werden mit dem schwarzen Kreis (Icon von Resilio) angezeigt.    Der Administrator erstellt nun einen Link, damit dieser Computer Zugriff auf das Verzeichnis erhält. Diese Grundeinstellungen passt man in der Regel an. Z.B. gibt man Lese / Schreibzugriff. Sinnvoll ist auch das der Link nur 1x verwendet werden kann   Der Link kann nun in die Zwischenablage ("kopieren") kopiert werden oder mit dem Standard E-Mail Programm ("E-Mail") verschickt werden.     Ein Knackpunkt kann ein schwacher Upload im Internet sein. Wer Internet über die Telefonleitung bezieht, hat asynchrones DSL. D.h. einen wesentlich schwächere Upload als Download Verbindung. Je nach Grösse der zu transferierenden Datei und / oder Dateimenge, kann das zu Verzögerungen führen. Die Software arbeitet mit dem BitTorrent (P2P) Protokoll. Der "Tracker" ("Server") wird von Reslio betrieben. Es besteht die Möglichkeit einen eigenen Tracker zu betreiben.    

Windows 10 als VPN Client für die Swisscom Internet-Box

Mit der Einführung der Internet-Box Plus im Herbst 2014 wurde eine VPN Server Funktion integriert. Damals habe ich einen kleinen Blogartikel zum einrichten geschrieben. Seit Anfang an steht in der Anleitung auf der Swisscom Hilfe Seite im Internet, dass Windows nicht unterstützt wird. Mit der Einführung der Internetbox 2 wurde auch für Windows eine Anleitung hinzugefügt. Diese funktioniert auch für die Internet-Box Plus, wie ich feststellen konnte. Ohne den Hinweis eines Swisscom Kunden und IT Profis - Dr. Beat Schütz - CEO der Advantix Groupware AG - hätte ich das wohl noch länger nicht entdeckt. Herr Schütz sandte mir die URL zur Anleitung. Diese konnte ich auf Win 10 problemlos umsetzen (Schritt 11 - letztes Bild unbedingt beachten). Erst als ich diesen Artikel anfing zu schreiben, stelle ich erstaunt fest, dass die Swisscom Website nicht wie gewohnt auf "Deutsch" umgestellt werden kann. Erst wenn man einen Schritt (""back to Internet & e-mail") zurück ,d.h. eine Ebene höher geht, kann man "Deutsch" auswählen. Auch hier ist es nicht mehr zeitgemäss, dass man einen Link auf eine Hilfeseite weder weiter senden (Mail, Twitter, etc.) kann, noch kann ich direkt auf ein Item verlinken. D.h. um die Anleitung zu sehen, muss nach dem öffnen der Swisscom Website oben "Internet-Box 2" und unten auf "Windows" geklickt werden. Die Anleitung auf der Swisscom Website stimmt nicht mit der aktuellen ("Creators Update") Windows 10 Version überein. Nachfolgend eine Anleitung wie der VPN Client ("DE") von Windows 10 eingerichtet wird. Der Weg zu dieser Maske fängt mit dem Win10 Startbutton anklicken an. Danach oben auf "Eigenschaften" ("Zahnrad") klicken.  In der folgenden Maske "Netzwerk und Internet" auswählen. Im folgenden Formular mit dem Titel "Netzwerk & Internet" sieht man den Menupunkt "VPN".   In der Maske für die VPN Client sind folgende Felder (DE) auszufüllen. Achtung - die Bezeichnung der Felder ändert sich, sobald man den Wert "VPN Anbieter" gesetzt (bestätigt) hat: VPN - Anbieter Verbindungsname Server oder IP-Adresse Anmeldeinformationstyp Benutzername Kennwort VPN - Anbieter Keine Auswahl. "Windows intern" passt. Verbindungsname Textfeld. D.h. frei wählbar. Server oder IP-Adresse Enweder die WAN IP des Routers oder ein DNS Name. Für Swisscom Privatkunden gilt zu 98 Prozent, dass der Router über Jahre die gleiche WAN IP behält. D.h. ein (Dyn-) DNS Name ist nicht erforderlich. Anmeldeinformationstyp Hier wählt man "L2TP/IPsec mit vorinstalliertem Schlüssel" aus. Der Schlüssel ist in der Internetbox der Wert im Feld "VPN Shared Secret" Benutzername / Kennwort Der im VPN Server Teil der Internetbox festgelegte Benutzername und Passwort. Danach findet man in Netzwerkverbindungen ein neues Icon: "WAN Miniport" Danach wechselt man in das "Netzwerk und Freigabe Center" und ändert die Eigenschaften der VPN Verbindung. Bzw. die "erweiterten Eigenschaften". Da hat sich mit dem Creator Update von Windows 10 nichts geändert. Ich wähle bei den Protokollen nur CHAP Version 2. Ein DynDNS Name ist ebensowenig notwendig. Da Swisscom die Privat und KMU Kunden über DHCP verbindet, hat man über Jahre die gleiche externe WAN IP.                    

Border Gateway Protocol (BGP) hijacking

Das Protokoll ist nicht so bekannt wie HTTP oder FTTP. Was wohl generell auf Routingprotokolle zutrifft. Dieses Video des OpenHPI Kurses "Wie funktioniert das Internet" gibt einen sehr guten Überblick wie Routingprotokolle im Internet funktionieren.  BGP fasst Individuelle IP-Adressen zu so genannten Präfixen zusammen. Stellen beziehungsweise Organisationen, die mehrere dieser Präfixe verwalten, nennt man autonome Systeme (AS). AS sind Systeme, die von der IANA (Internet Assigned Numbers Authority) jeweils ihre eigenen IP-Bereiche erhalten haben. Zum Beispiel Internet Service Provider wie Cablecom oder Swisscom. Das BGP-Protokoll kennt keine Möglichkeit, die Echtheit der Routing-Informationen zu überprüfen. So kann ein falsch eingestellter Router (absichtlich oder nicht), weitere Router falsch konfigurieren. Tim Wegner, Student im Master Elektrotechnik/Informationstechnik hat eine 5 seitige detailierte Erklärung zu BGP geschrieben. Sehr lesenswert - IMO. In den letzten Jahren werden bei den wichtigen Protokollen die verschlüsselten Versionen immer öfter eingesetzt: HTTP --> HTTPS DNS --> Domain Name System Security Extensions (DNSSEC) POP --> POPS IMAP --> IMAP SSMTPAUTH --> SMTPAUTH Im Falle von BGP nennt sich die verschlüsselte Variante "BGPSec". RIPE.NET schreibt in einem Artikel von 2014 folgendes: "BGPSEC is an extension of BGP that makes origin and path validation possible. This means that the entire path from A to Z can be protected instead of only the destination" Der Grund etwas über BGP und hijacking zu recherchieren, war eine Meldung vom 15. Dezember: Ein Teil des BGP Routings wurde entführt ("hijacking"). Das ist grundsätzlich möglich, da der Verkehr unverschlüsselt abgewickelt wird. Die Meldung wurde von zwei BGP Monitoring Diensten in das Netz gesetzt: BGPMon Qrator Am gleichen Tag publizierte Ars Technia bereits einen Artikel dazu: "“Suspicious” event routes traffic for big-name sites through Russia" Ein quantifizerbares Ziel wird in keinem der Artikel genannt. Es sind wenige Daten über kurze Zeit über einen russischen ISP geleitet worden. Da der Datenverkehr heute primär verschlüsselt (HTTPS / TLS) erfolgt, ist selbst mit aufwändigen Massnahmen ein Zugriff (auswerten) nicht wahrscheinlich. Der englische Wikipedia Artikel zu BGP ist wie so oft ausführlich als die deutsche Variante. Dort werden andere Vorfälle im Zusammenhang mit BGP geschildert. Swisscom aus BGP Sicht sieht so aus. 2015 hatten die Swisscom Internet Kunden ein anderes Beispiel für die Relevanz des Routings im Netz erlebt. Die Sendungen von den Netflix Servern ruckelten und froren auf dem TV ein. Nachdem Swisscom mit Netflix ein Peering Abkommen getroffen hatte, war das Problem gelöst. Hintergrund Informationen dazu findet man im ISP-Blog. Oder man schaut sich das lustige Video von Freddy Künzler an. Oder liest diesen Post des Users "Sirupflex" in einem Thread der Support Community. Am Ende der langen Geschichte hat Swisscom den Peering Vertrag mit Netflix abgeschlossen. Hier zu sehen unter Record 271 oder mit CTRL-F nach Netflix suchen.   BGP ist kein Thema das mich so bald wieder beschäftigen wird. Zuviel Politik und Betriebswirtschaft und zu wenig Technik...                    

Swisscom WLAN-Box für Swisscom TV verwenden? Nein!

Swisscom hat diese Woche ein neues Gerät - aktuell nur mit der Internet-Box 2 kompatibel - auf den Markt gebracht: "WLAN-Box". Swisscom führt das Produkt unter Zubehör Swisscom TV und Internet. Die Webseite ist über eine Suchmaschine so auch leicht zu finden.     Dieses Gerät soll 3 bisher eingesetzte Geräte ersetzen: WLAN - Repeater WLAN - Verbindungskit WLAN - AP ("WLAN Booster") Swisscom empfiehlt die Installation mit der Home App durchzuführen. Auf den bekannten Hilfe & Support Webseiten wird der Einsatz bzw. die verschiedenen Szenarien erklärt. Dank Mesh Technologie können bis zu 4 WLAN-Boxen mit dem Router verbunden (WLAN / Ethernet - direkt gepatched oder Hausverkabelung) werden. Auf dieser Website steht auch, dass die Verbindung über Bandsteering realisiert wird. Wenn man für die SSID der zwei WLAN Frequenzen in der Internetbox 2 verschiedene Namen vergibt, wird das Bandsteering ("WLAN Steering") deaktiviert. Die publizierten Informationen zur neuen Swisscom WLAN-Box vermitteln verschiedenen Benutzern den Eindruck, man könne die Swisscom TV Box ohne Netzwerkkabel mit dem Router verbinden. Die Anleitung zur Installation der WLAN-Box im Internet motiviert auch dazu. Die beigelgte Anleitung spricht eine andere Sprache. Dort steht auf Seite 2 schwarz auf weiss: "Für Swisscom TV empfehlen wir wenn immer möglich die direkte Kabel-Verbindung...". Der Sachverhalt ist die, dass die Swisscom TV Box über WLAN verbunden werden kann. Sei es direkt wie ein Tablet oder Handy. Oder über Verbindungskit (bisher) oder neu über die WLAN-Box. Jedoch kann niemand vorhersagen, wie stabil das es läuft. Und wenn es instabil läuft, kann wenig dagegen unternommen werden. Auf der Website der Swisscom wird auf freie WLAN Strecke bzw. ein Gerät pro WLAN Strecke hingewiesen. Das verhält sich wie mit den Powerline, die gemäss Anleitung nur im gleichen Stromkreis sicher funktionieren. Diese Hinweise erhöhen die Wahrscheinlichkeit für einen stabileln Betrieb. Sind jedoch keine Garantie, da jedes Gebäude / Wohnort anders ist.    Ausserdem werden immer mehr UHD Inhalte / Kanäle aufgeschalten. D.h. zwischen dem Router und der TV Box müssen dann anstatt durchschnittlich 8'800 Kbit pro Sekunde, 36'000 KBit transportiert werden. Das in Echtzeit wie in einem Konferenzsystem bzw. Skype Videochat. Sonst werden einzelne Punkte (Pixels) falsch dargestellt, Ruckler treten ein und danach bleibt das Bild stehen. Bei den WLAN Verbindungskit ist es auch so, dass verschiedene Kunden mehr als eine TV Box über die WLAN Kits angeschlossen haben und gleichzeitig nutzen. D.h. der Adapter der am Router angeschlossen ist, muss dann gleichzeitig 2x HD bzw. UHD Bandbreite liefern. Im Falle der WLAN-Box ist auch interessant, wie es sich auswirkt wenn sie gleichzeitig als Repeater von Notebook / Tablets gefordert wird und der TV Box den konstanten Datenstrom als geshartes Medium liefern muss.   Die Grösse der WLAN-Box ist interessant. Die Internet-Box 2 ist ca. 18 cm hoch. D.h. einiges höher als das Vorgängermodell Internetbox Standard, welches ca. 5 cm hoch ist. Begründet wurde dieses mit den längeren Antennen die damit eingebaut werden konnten, was wiederum eine bessere Leistung für WLAN / Funktelefonie (DECT) möglich mache. Die neue WLAN Box ist nun eine etwas grössere Zigarettenschachtel. D.h. die Elektronik hat also innert einem Jahr so gewaltige Fortschritte gemacht? Und last but not least ist mir kein anderes aktuelles WLAN Sendegeräte -ausser Handys - bekannt, dass so klein ist. D.h. Swisscom als Internet Dienstleister hat mehr Know How als die Hardware Hersteller wie Asus oder Netgear, etc. Hut ab - eine Meisterleitung!     Die Praxis wird es zeigen und alle Theorie ist grau. Über die Festtage werde ich so ein Gerät kaufen und testen. Ich gehe auch davon aus, dass die Firmware in den nächsten Monaten verschiedene Updates erhält. Diese werden automatisch eingespielt.  

DSL, VDSL und G.Fast

Wer sich für die Technik hinter DSL interessiert und das Glück hat für einen Internet Dienstleister zu arbeiten, der kann aus dem vollen schöpfen. Bücherschränke mit dutzenden von Büchern, von leicht verständlichen Einführungen über Fibeln, Nachschlagewerke sowie Fachwerke in aller Tiefe die die dahinter stehende Mathematik und Physik ausloten. An den Wänden Zeichnungen, Skizzen und Diagramme die das geschriebene Visualisieren.  Das Intranet enthält Tonnen von Informationen die sowohl den leichten Einstieg als auch das letzte Detail über Bild und / oder Ton interaktiv und passiv sowie mit Comics und Texten erläutern. Jeder Mitarbeiter in der Firma kann in unterschiedlicher Tiefe die Details der Signalmodulation bis hin zum Übergang in die TCP/IP Welt mit leuchtenden Augen schildern.--   Der Rest von uns ist auf das Internet, Fachbücher, Zeischriften sowie die Schwarmintelligenz die sich in Foren und Communitys manifestiert. Daher hier der Versuch das gewonne Wissen zu DSL und seiner Entwicklung zu sichten und zu ordnen. Die Wikipedia Artikel haben neben dem Nachteil daswie die Dinge man die Autoren nicht kennt, auch keine Angabe wann sie zuletzt überarbeitet wurden. Die Analogie ist die zu einem Bildhauer, der mit Hammer und Meisel die Wahrheit im Stein freilegt. Es soll für einen Leser amüsant zu lesen sein. Ist jedoch meinem Naturell entsprechend  mit 100% Leidenschaft für Wahrheit und Verstehen erstellt. Wer etwas wirklich verstanden hat, kann es jedem anderem in angemessenem Niveau erklären. Ob man das will ist eine zweite Frage. Sicher ist es für einige eine Machtfrage, das übliche Ego-Spiel in Wissenschaft, Wirtschaft und dem Rest der Welt. Jedoch nicht ausschliesslich. Dieser Blog - wie wiederholt gesagt - soll meine Erfahrung / Wissen / Eindrücke / Einschätzungen / etc. mit allen teilen, die es interessiert. Jeden Tag bin ich absorbiert mit Dingen die ich besser, genauer, tiefer und umfassender verstehen will. Manchmal sind es triviale Detailfragen in einer Software, öfters grundsätzliche Fragen wie etwas zusammenhängen. Als Generalist suche ich immer auch die Breite, teste neue Dinge und Gebiete. Dieser Post wird auch nicht in einem Rutsch geschrieben sein. Der Startschuss ist gefallen, Korrekturen, Ergänzungen und weitere Texte werden folgen. Erstellt:                     3.12.2017 Letzte Modifikation:       Wie alles begann... DSL ist eng mit dem Internet verknüpft. Die Technik die hinter dem Internet steht ist z.B. hier beschrieben und darf als bekannt vorausgesetzt werden: Wikipedia (de) Open HPI: Wie funktioniert das Internet?Prof. Dr. Christoph Meinel What is - How does the internet work and why is so important? Auf der letzten Meile - der Auffahrt zum Internet - gab es zuerst nur Schmalbandanschlüsse (DFÜ, GRPS). Später kamen die Breitbandanschlüsse (DSL, DOCSIS, Fibre, LTE, Satellit) hinzu. Die aktuelle Breitbandtechnologien werden als Next Generation Networks (NGN) bezeichnet. In den 80er Jahren wurden die ersten DSL Systeme entwickelt. Diese wurden später von Instituten wie ANSI und ITU normiert. Die erste und wichtigste Anforderung war, dass die für die Telefonie existierenden Kupferleitungen weiter verwendet werden können. Das Telefonnetz war also nie für die Datenübertragung vorgesehen. Was mit zunehmender Menge an Daten zu immer höheren Anforderungen in der Hausinstallation sowie dem Telefonnetz führt. "Digital Subscriber Line" kurz DSL bezeichnet eine Reihe von Übertragungsstandards der Bitübertragungsschicht (OSI Modell). "XDSL" ist synonym zu "DSL". Der Standard dient zur Kommunikation zwischen DSL-Modem und DSLAM. Der DSLAM terminiert mit seinen Linecards die Teilnehmeranschlussleitungen, sammelt (oder verteilt) auf örtlicher Ebene den DSL-Datenverkehr der Endkunden und reicht ihn über das sogenannte Konzentratornetz an einen regionalen Breitband-Zugangsserver weiter, der für das IP-Routing und die DHCP / PPPoE-Terminierung verantwortlich ist. Durch die Ausweitung des Frequenzspektrums erreicht DSL immer höhere Übertragungsgeschwindigkeiten ("Spektrum"). Die Reichweite und Datenrate wird durch die Ausweitung des Spektrums reduziert. Der Grund sind Ressonanzeffekte bzw. Schwingungen, Fremdeinstrahlung und Verzerrungen. Die eigentliche Verbindung wird über beliebige Protokolle der höheren Schichten des OSI-Modells hergestellt. Als Sicherungsschicht ("Data Link Layer") ist Ethernet oder ATM, als Vermittlungsschicht IP üblich. Über diese Verbindung wird der Internet-Zugangsserver des Providers (BRAS) erreicht, der einen Internetzugang über authentifizierte Verbindungen (PPPoE / PPPoA und DHCP) ermöglicht. Anders als die analoge Telefonleitung (POTS), wo die Verbindung erst durch den Anwender aufgebaut ("Summton")  werden muss, ist DSL eine permanente physikalische / logische Verbindung zum DSL Betreiber (ISP). Früher nannte man das eine Standleitung.         Quellen: https://www.bakom.admin.ch/dam/bakom/de/dokumente/tc/access_technologiesinterworking.pdf.download.pdf/access_technologiesinterworking.pdf https://de.wikipedia.org/wiki/Digital_Subscriber_Line (de) https://de.wikipedia.org/wiki/Kategorie:Digital_Subscriber_Line (de) https://www.elektronik-kompendium.de/sites/kom/0305232.htm http://www.itwissen.info/xDSL-Verfahren-xDSL-technologies.html https://de.wikipedia.org/wiki/Internet (de) https://howdoesinternetwork.com    

Swisscom TV Air und Swisscom WLAN-Box

TV Air Vor einiger Zeit hat Swisscom sein Produkt TV Air (Browser / App) auf HTML5 umgestellt. Nicht alle Browser kamen damit klar. Wie sieht es heute aus? Mit folgenden (alphabetische Reihenfolge) Browsern habe ich auf einem aktuellen Windows 10 PC einen kleinen Test gemacht: Google Chrom 62 Microsoft Internet Explorer 11 Microsoft Edge Mozilla Firefox 57 Vivaldi 1.13  Der Test umfasste folgende Punkte: Anmelden über Handynummer Senderwechsel über TV Guide 10 Min Live TV Alle 5 Browser haben den Test ohne Probleme bestanden. Siehe hier.   WLAN-Box Mitte November hat Swisscom verschiedene Neuigkeiten im Zusammenhang mit SC TV (nicht TV Air) vorgestellt. Eines davon ist ein Stück Hardware namens "WLAN-Box" das für 79 Franken angeboten wird. Dieses Gerät soll die Funktionen von drei verschiedenen Geräten abdecken: WLAN Repeater WLAN Access Point WLAN Verbindungskit Bisher hat Swisscom dafür drei verschiedene Geräte angeboten: WLAN Repeater WLAN Access Point WLAN Verbindungskit Das Gerät wird noch in diesem Jahr den Kunden angeboten werden. Vorderhand kann das Gerät nur in Kombination mit einer Internet-Box 2 genutzt werden. Im Verlaufe des Jahres 2018 soll auch die Internet-Box Plus - der Vorläufer der IB2 - kombinierbar sein. Die Erstanmeldung erfolgt zwingend über die WPS Funktion, auch wenn die zwei Geräte über ein Ethernetkabel verbunden sind. D.h. wer die WPS Funktion in seiner internetbox deaktivert hat, muss es kurzfristig wieder aktivieren. D.h. auch das wenn man den Anbieter wechselt, auch diese 79 Franken abschreiben kann. Die WLAN-Box wird über die Internet-Box 2 gesteuert, damit das sehr komplexe Thema WLAN für den Anwender mit maximalem Erfolg bei minimalem Aufwand gemeistert werden kann. D.h. wohl auch das Swisscom die Anleitung für die Installation von Swisscom TV 2 ändern wird. Bisher stand dort, dass eine TV-Box, welche über WLAN direkt (kein Verbindungskit) verbunden ist, von Swisscom nicht supportet wird. D.h. der Anwender ist auf die Swisscom Community oder das eigene Know how angewiesen. Wenn die Verbindung zwischen einer IPTV Hardware und dem Router nicht durch ein Kabel bzw. Hausverkabelung gelöst ist und es treten Latenzprobleme (Pixelfehler, Freeze, Lipsync, etc.) auf, was will man supporten? Die WLAN-Box aus / einschalten? Oder selbst mit geeigneter Hardware das Problem ergründen? Wird der Anwender es mit der WLAN - Box akzeptieren, dass anspruchsvolle Netzwerklösungen über ein geshartes Medium (WLAN / Powerline) nicht und zu keinem Zeitpunkt kontrollierbar sind? Zumindest dann nicht, wenn nicht Profis das Ganze vermessen, installiert und von Zeit zu Zeit supporten - IMHO. Artikel im Netz: Factsheet Noch besser: Grosses Update für Swisscom TV und eine WLAN-Box SC Medienmitteilung Swisscom Community Thread  

Handy ein und man findet Dich...

Der Artikel "Android sammelt Standortdaten trotz Widerspruch des Nutzers" des Journalisten Björn Bohn aus dem Heise Verlag sagt alles. Hier noch ein Artikel von connect.de zu diesem Thema. Vor ein paar Jahren hatten wir dasselbe mit Apple. Und obwohl die USA das Land der Anwälte ist, wird der wiederholte Vertragsbruch und Datendiebstahl zu keiner Anklage führen. "Business as usual" wenn es um Datenschutz und US Firmen geht... In den Kommentaren des Heise Artikels fand ich diesen Hinweis für technisch versierte Anwender, wie man Google die Spionage mit Android unmöglich macht. Oder man wechselt zu "Sailfish", einer Android Variante. Bericht von der Website AndroidPit.de hier.    In dieselbe Funktion geht die neue Live-Tracker Funktion von WhatsApp. WhatsApp sind sich da stets treu geblieben. Mit kindlicher Naivität oder dummdreist wird technisch umgesetzt was geht. Der feuchte Traum für eifersüchtige Partner, kontrollsüchtige Chefs, redeschwache Eltern und andere Menschen dieses Schlages. Jörg Schieb hat den Gruppendruck, der solche Funktionen im Alltag zum durchbruch verhelfen werden, sehr gut geschrieben: "WhatsAppe mir, wo Du bist!" B.t.w. sind die Jugendlichen dank der Zeitschrift "Bravo" bereits informiert  ;-) Snapchat hat im Sommer bereits im SnapMap eine Live-Tracker Funktion eingeführt. Der Facebook Messenger hat es auch. Nein, Google hat nicht geschlafen..   Es geht nicht um die Funktion als solches. Es geht darum, wie mit Big Data unsere Gesellschaft eine völlig neue Werteordnung erhält. Im Konsumentenwunderland, sagt der Kunde seiner Alexa zu Hause, dass er noch Nespresso Kapseln - Marke x in Quantität y - für das Büro benötigt. Unterwegs steigt jemand in sein Tram oder klopft ihm beim gehen auf die Schulter und übergibt ihm die Kapseln. Nett - oder? Oder sie lernen eine Person ihres sexuellen Interesses kennen. Das Gespräch beim Kaffee ist nett, routinemässig wird das Handy heraus geholt und man stellt fest das die Person weder ein Facebook Profil hat. Noch anderweitig in sozialen Medien unterwegs ist. Ein leeres Blatt... Spannend oder beänstigend?  In den 80er Jahren wurden die Volksbefrager die für die Umfrage des Bundes teilweise mit Sturmgewehr begrüsst. 2017 haben wir Vibratoren mit integrierter Kamera und Webhost (kein Scherz!) und gute Menschen wie Tom Hanks verkünden die neue Werteordnung - siehe den Film The Circle. Der Gruppendruck wird es richten, Job und Privat und den Rest macht der Konsument der jetzt, alles und sofort haben will. Flüchtlinge, Arbeitslose, Ausgesteuerte, Alte, verurteilte Verbrecher werden per Gesetzt dazu gezwungen. Wir hatten den Fall bereits vor Jahrzehnten, dass sich dem RAV gemeldete Arbeitslose bei einer Online Jobbörse melden mussten. Wem genau die gehörte, erfuhr man nicht. Dafür wurde die Datenbank Jahre später von einem Hacker abgeräumt...     

Swisscom TV und Internet-Box Kinderschutz Funktion

Die Routermodelle der Swisscom mit Applikationsteil ("Internet-Box Plus" und "Internet-Box 2") enthalten im Applikationsteil eine Funktion namens "Kinderschutz". Diese sind auch im Standard Modus erreichbar. Was genau ist aus technischer Sicht ein Kinderschutz? Landläufig kann man von einer Bewertung des Inhaltes sprechen. D.h. abhängig von der Altersgruppe will man bestimmte Darstellungen von Gewalt und Sex von den Heranwachsenden fern halten. Wie schwierig das ist, kann man z.B. die staatlichen Behörden fragen, welche unsere Inhalte zensurieren. Was genau vermag die Funktion "Kindersicherung" der Internet-Box zu leisten? Swisscom versteht die Funktion in einem rein physikalischen Sinn. D.h. der Internetzugang wird über die Routingfunktion (LAN / WLAN) erlaubt oder eben nicht. Nachfolgend die Schritte zum aktivieren und konfigurieren:         In der Liste werden die Geräte mit dem Computernamen ("Hostname") welcher über NetBIOS aufgelöst wird. Da ich nur eine TV Box hier habe, kann ich die Frage nicht beantworten wie diese angezeigt wird.     Wenn man die Funktion aktiviert, wird ein PopUp mit einem unklaren Text angezeigt: Der Test ergab, dass Live TV nach wie vor funktionierte. Dafür waren alle anderen Dienste wie "Radio" oder Apps wie "YouTube" oder "MyCloud" nicht mehr funktional. Das bestärkt mich in der Vermutung, dass nur die TCP Dienste, welche eine IP Adresse für das Routing benötigen nicht mehr funktionieren. IP TV wie auch unverschlüsselte VOIP Kommunikation kommuniziert über UDP. Ist daher nicht betroffen. Um ganz sicher zu gehen, müsste ich noch einen Netzwerk Sniffer anhängen, aber für die Praxis sind die Resultate ausreichend. Wenn man mit der aktuellen Firmware Version der Internet-Box eine SC TV Box über die Kinderschutz Funktion sperrt, hat es keinen Effekt. Lediglich die Internet basierenden Dienste werden ausgeschalten. Was auch überraschend war, ist die Reaktion auf die Konfiguration. Wenn ich die Kinderschutz Funktion für die TV Box deaktiviere funktioniert alles sofort wieder. Wenn ich aber nach dem Zeitpunkt im Router die Schutzfunktion aktiviere, tritt keine Reaktion ein. Als Beispiel: Ich definiere, dass die TV Box nach 22 Uhr kein Signal mehr erhält. Wenn ich die Funktion nach 22 Uhr aktiviere, geschieht nichts. Das ist eine Interpretationsfrage, somit OK.  Der Hinweis auf die Kinderschutz Funktion der Swisscom TV Box ist für mich nicht nachvollziehbar. Dort kann ich anders als in der Internet-Box nach Content Parametern filtern. D.h. Sendungen die für bestimmte Altersgruppen (FSK) vorgesehen sind, sperren. Das Thema "Sicherheit" war immer schon kontrovers und heikel. Swisscom kommuniziert IMO zu wenig differenziert und klar, was sie als Dienstleister kann oder eben nicht kann.  

Internetzensur in der Schweiz

Zum ersten Mal wird in der Schweiz eine "Netzsperre" eingeführt. Technisch präziser ist es eine DNS Sperre. Der Nationalrat entschied im März 2017 mit grosser Mehrheit, den Zugang zu ausländischen Online-Casinos zu blockieren. Er bestätigte damit einen Beschluss des Ständerats. Somit müssen Schweizer Internetanbieter verhindern, dass ihre Kunden auf ausländische Glücksspielangebote zugreifen können. Zugleich schafft das Parlament im neuen Geldspielgesetz für Schweizer Casinos die Möglichkeit, eine Konzession für Onlinespiele zu erlangen. Mit der Netzsperre werden die offiziellen operierenden Anbieter vor der Unterwanderung des Marktes durch ausländische Angebote. "Protektionismus" reinsten Wassers. Die Schweizer Regierung ist damit auf Augenhöhe mit Staaten wie China, da sie für den Bürger entscheidet was er im Internet sehen darf. Vergleichbar mit einer Regulierung für Buchhandlungen, welche Bücher angeboten werden dürfen. Auf richerlichen Beschluss hin wurden in der Vergangenheit bereits einzelne Websites gesperrt. Mit der letzten Revision des Fernmeldegesetzes hat die Bundesregierung angefangen den Internetverkehr offiziell zu zensurieren. Bis dahin wurde auf Aufforderung von Interpol Websites mit Kinderpornografischem Material gesperrt. Ohne Gresetzesgrundlage. Nach dieser Revion kann das FedPol die Aufgabe offiziell übernehmen. Ihre Aufgabe besteht darin, dass die im Gesetz verbotene harte Pornografie (Kinder / Tier / Gewalt in sexuellen Darstellungen) auch über das Internet nicht konsumierbar ist. Was - wie der Tagi im Artikel "Schutz vor Pornografie macht Teenager zu Kriminellen" beschrieben, auch unerwartete Effekte haben kann. Die Swisscom informiert, dass wenn eine Website auf der Sperrliste steht das der Betreiber informiert wird. Ausgenommen bei strafrechtlich relevanten Gründen ("Kinderpornografie"). Die Sperrlisten werden u.a. von Melani und Kobik zur Verfügung gestellt. Eine DNS Sperre ist kein echtes Hindernis. Diese zu umgehen braucht es wenig technisches Verständnis wie DNS funktioniert. Oder man nutzt, wie z.B. im Browser integrierte VPN Funktionen. "Markus Ritzmann" hat eine Website in das Internet gestellt, die die gesetzlich geforderte DNS Zensur bei einzelnen ISPs (Swisscom, UPC) offen legt. Das Skript das Markus Ritzmann für die DNS Server Abfrage verwendet hat er auf GitHub offengelegt. Markus Ritzmann hat sich auch bei der Abstimmung über das BÜPF mit einer Website - ueberwacht.ch - eingebracht.    Seit Plato stellt sich die Frage Wer wacht über die Wächter? In diesem Fall wer entscheidet, ob eine Website von der DNS Sperre gesperrt wird? Wie können Betroffene Einspruch erheben? Welche Anbieter betroffen sind, entscheiden die Eidgenössische Spielbankenkommission (ESBK) und eine interkantonale Aufsichts- und Vollzugsbehörde. Wie gut diese Behörde funktioniert werden wir erleben. Das zweite Problem ist, wenn die Infrastruktur für solche Sperren einmal aktiv sind, wer weiss für welche anderen Branchen oder Zwecke sie genutzt werden. Technisch bedingte Sperren, wie in den stark zunehmenden Fällen von Pishing, wird von der Swisscom über "Machine Learning" entdeckt und von spezialisierten Teams ausgewertet. Wenn man auf "DNSZensur.ch" die Datenbank anschaut, sieht man sofort das UPC und Swisscom sich nicht abgleichen. D.h. der eine ISP sperrt eine TLD, der andere nicht. Da die DNS-Sperre Bundesgesetz ist, sperren alle ISP in der Schweiz. Das Skript auf der Website von DNSZensur.ch ist aktuell lediglich auf UPB und Swisscom ausgelegt. Natürlich hat ein ISP keinen Open Relay DNS Server. D.h. nur für das eigene Netz (IP Adressen aus dem eigenen Pool) ist der DNS Server erreichbar.      

WLAN ist nicht (mehr) sicher?

Seit ungefähr drei Tagen liest man in den News Tickern die Meldung das die aktuelle WLAN Verschlüsselung WPA2 nicht mehr sicher sei. Heute wurde es in den Medien und Intranets vieler IT Firmen publiziert. Belgische Forschern haben einen schwerwiegenden Fehler entdeckt. Was ist wahr und wie ist das zu bewerten? Der Fehler ermöglicht im Grunde ein "Man in the Middle" Angriff. D.h. eine Situation, wie wenn man ein öffentliches WLAN ("Hotspot") nutzt. Wenn die Daten verschlüsselt (SSL / TLS oder HTTPS) übermittelt werden, bzw. ein VPN Tunnel verwendet wird sieht der Anwender nur die verschlüsselten Daten: Kauderwelsch. Das WLAN Passwort der Router ist für den Angreifer nicht lesbar. Somit ein Wechsel nicht erforderlich. Der Angriff funktioniert nur, wenn der Angreifer sowohl in Reichweite des WLANs (Access Point (AP)) als auch des anzugreifenden Computers ist. Dennoch ist dieses neue Angriffsvektor zu beachten. Es stellt einen Weg dar, in das Netzwerk einer Person / Firma einzudringen. Im Sinne von tagelanger Überwachung und abwarten, ob und welche Daten unverschlüsselt übermittelt werden. Viele Firmen haben auch bereits eine Fehlerkorrektur ("Patch") angekündigt. Die Korrektur ist einfach. Einmal verwendete Schlüssel (nicht der WLAN Schlüssel der SSID des Anwenders) sollen verworfen werden. Wie man das beim gravierenden Sicherheitsproblem "Heartbleed" gesehen hat, werden wahrscheinlich auch hier diverse Android, Linux, FreeNas, etc. von den Herstellern nicht gepateched werden. Der Konsument soll ein neues Gerät kaufen. Die neueste (August 2017) Android Version "Oreo" wird in den nächsten Jahren solche Probleme effizienter lösen. Cisco - siehe Quelle 11 - beschreibt auch Risiken im Zusammenhang mit 802.11r und VOIP / Video. Unter Workaround wird dort empfohlen, dieses zu deaktiveren. Sofern man es für VOIP / Video nicht explizit braucht. Natürlich werden auch die alten Mythen zu WLAN Sicherheit wie MAC Filtering und SSID verstecken wieder verbreitet. Wer solchen uralten und 1001 mal widerlegen Unsinn verbeitet, sollten zukünfitg ignoriert werden. Siehe unter Quellen Punkt 15.   Timeline: 16. Okt 2017:    Synologic liefert Patch 17. Okt 2017:    Guido Tranel (HW Verantwortlicher Swisscom) meldet, dass die Routermodelle der Internetbox nicht betroffen sind. 17. Okt 2017:    Linux / Solaris sind gepatched 17. Okt 2017:    Windows meldet das Win 7 / 8 / 8.1 / RT 8.1 / 10 / 2012 gefixt sind:  Windows 10 Knowledge Base: KB4042895 Windows 10 Version 1511 Knowledge Base: KB4041689 Windows 10 Version 1607, Windows Server 2016 Knowledge Base: KB4041691 Windows 10 Version 1703 Knowledge Base: KB4041676 Windows 7, Windows Server 2008 R2 Knowledge Base: KB4041681 Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 Knowledge Base: KB4041693 Windows Server 2012 Knowledge Base: KB4041690 17. Okt 2017:    LineageOS meldet, dass KRACK gefixt ist. 18. Okt 2017:    Swisscom nimmt Stellung zu KRACK 19. Okt 2017:    Guido Tranel meldet, dass die Centro Granda / Centro Business Modelle nicht betroffen sind 20. Okt 2017:    Lancom nimmt Stellung was wann gepatched wird 20. Okt 2017     Apple: Nur Betas sind gepatech. Keine Infos was wann einen Update erhält. 20. Okt 2017:    AVM (Fritzbox) kündet Updates an. Aktuell nur für folgende Geräte: FritzWLAN Repeater 1750E und FritzPowerline 1260E. 20. Okt 2017:    Studerus informiert über den Updatestand der Zyxelfamilie. PS: Der Werbeslogan auf der Studerus Website: "WLAN macht glücklich" ist etwas unglücklich...   Letzter Update: 21. Oktober 2017 - 5 Uhr   Quellen: www.krackattacks.com - Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse www.mathyvanhoef.com: "Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2" Mathy Vanhoef on YouTube: KRACK Attacks: Bypassing WPA2 against Android and Linux www.heise.de Security - "WPA2: Forscher entdecken Schwachstelle in WLAN-Verschlüsselung" www.heise.de - Security - "Details zur KRACK-Attacke: WPA2 ist angeschlagen, aber nicht gänzlich geknackt" www.heise.de - Security - "KRACK: Hersteller-Updates und Stellungnahmen" www.heise.de - Security - "KRACK: Apple behebt WLAN-Lücke – allerdings nur in Betaversionen" Swisscom Community: "WPA2 Leack - wirklich oder wieder nur Baitfishing?"  Bluewin.ch: "WLAN-Sicherheitslücke: Das müssen Sie wissen" reddit.com: "Wi-Fi WPA2 security has been potentially KRACK-ed" cisco.com: "Multiple Vulnerabilities in Wi-Fi Protected Access and Wi-Fi Protected Access II" cert.org: Liste der betroffenen Hardware Anbieter krebsonsecurity.com: "What You Should Know About the ‘KRACK’ WiFi Security Weakness" www.heise.de - Security - "KRACK - so funktioniert der Angriff auf WPA2" pcworld.com: 5 Wi-Fi security myths you must abandon now kali.org: WPA2 Key Reinstallation AttaCK or KRACK attack Ubiquiti Devices & KRACK Vulnerability  

Notizen zu Computerthemen

NAS Die Marke Synology ist in der Schweiz beliebt. Wenn die zu lösenden Aufgabe für Synologic keinen Vorteil (App / Zubehör / etc.) ergibt, nehme ich QNAP. Dort hat man - analog einem Computer - noch Schrauben um die Festplatten zu fixieren. Synology hat das inzwischen ohne gelöst. Vor ca. Jahren habe ich WD Red eingebaut. Diese jetzt durch die neueste Generation WD Red in einem ca. 4 Jahre alten NAS ersetzt. Selbst in stundenlangen schreiben auf die brutto 8 GB Diskplatz waren sie unhörbar. "Unhörbar" in einem Atelier auf dem Lande, ohne Geräusche im Haus / um das Haus oder Hintergrund Musik. D.h. die alte Formal "Wenn NAS im Wohnzimmer, dann SSD" hat sich stark relativiert. Auch wenn die SSD immer grösser und günstiger werden, sollte man  bei einer Evaluation das ganze sich genau überlegen. Sowieso wenn intensive Schreibzyklen (SSD = limitierte Schreibzyklen) über Jahre geplant sind. Formatierung der Festplatten: Wenn der Verlust der Daten kein GAU ist, dann nimmt man JBOD und nicht Raid 0. Der Unterschied ist, dass Raid 0 die Daten bitweise und JBDO ganze Dateien auf die vorhandenen Festplatten schreibt. D.h. man hat - hypothetisch - noch intakte Dateien auf der Platte, wenn eine der Disk einen Defekt hat. JBOD soll ursprünglich für das verwenden der einzelnen Disk gestanden haben. Hat sich aber nach meiner Recherche 2017 definitiv geändert. Für Datensicherung nimmt man Raid 1. Anders als eine Cloud soll die Datensicherung nicht permanent gemappt / angeschlossen sein. Ansonsten wird ein Verschlüsselungs Trojaner auch die Datensicherung überschreiben. D.h. wenn man eine "private Cloud" plant, muss diese netzwerk technisch bzw. physisch von der Datensicherung getrennt sein. Viele NAS Betriebssyteme erlauben das betreiben einzelner Platten ohne Raid / JBOD Formatierung. Das ist dann quasi eine dritte Möglichkeit. Wie immer gilt KISS ("keep ist simple Stupid") und wer vorbereitet (Planung, Checkliste, etc.) ist, hat einen Vorteil.   MS Excel Ein Klassiker ist die Frage, wie ich in Excel die Angabe von Zeit (Stunden / Minuten) mit einem Stundenansatz (Franken) verwende. Das "Problem" ist, dass Excel nicht mit zwei Formaten (Zeit / Währung) rechnen kann. Der "Trick" ist, dass man die Zeit in ein digitales Format umwandelt. Beispiel: Zelle A1 steht der Zeitwert "4:30" (Format: hh:mm) Zelle A2 steht der Stundensatz "120 Franken" ( Format Währung) Zelle A3 soll nun mittels einer Formel der Frankenbetrag ermittelt werden. Der Betrag wird eigentlich über "=A1 * A3" berechnet. Das klappt nicht. Bzw. ergibt ein falsches Resultat. Wenn man den Zeitwert mit 24 multipliziert klappt es. Die Formel oben muss also lauten "=(A1 * 24) * A2"   "Atlantik Kabel" Der Internetverkehr zwischen USA und Europa wird über ein neues Netzerkkabel abgewickelt. Der Bericht von Spektrum.de erklärt, warum dieses Kabel jede Superlative sprengt.

WhatsApp

WhatsApp ist einer der beliebtesten Messenger weltweit. Einfach zu installieren und schnell verstanden hat es seinerzeit das Feld besetzt. Die gravierenden Mängel im Datenschutz wurden durch eine verschlüsselte Kommunikation gemildert. Die Kopie der Kontaktdaten auf die WhatsApp Server in den USA findet weiterhin statt. Hochwertige Alternativen wie Threema kommen für die breite Masse der Benutzer schlicht zu spät. Und im Zweifel wird "einfach" bzw. "bequem" sich immer gegen "sicher" und "besser" durchsetzen... Dieser Artikel handelt von der praktischen Seite der App. Ich versetze mich in die Situation eines Anwenders, installiere die App, erkunde die Möglichkeiten und sichte das Netz nach Tipps und Tricks. Grundlage ist ein Samsung Handy mit aktuellem Android und der WhatsApp Version 2.17.329 vom 7. Sept 2017. In zweiter Linie suche ich nach Informationen wie mit WhatsApp im Browser gearbeitet werden kann. Die Arbeit im Browser ist meine persönlich bevorzugte Arbeitsweise. Installation WA steht nachfolgend als Akronym für WhatsApp. Nach der Installation wird nach der Handynummer des Gerätes gefragt. Danach erhält man auf diese Handynummer ein SMS mit einem Code. Wenn man diesen eingegeben hat, ist das WA Konto eröffnet. Eine Installation auf SD Card ist nicht möglich.     Nachrichten WA funktioniert so, dass über einen Kontakt eine Nachricht (verschiedene Formate - später) geschickt wird. Damit die Kontaktliste in meinem Handy übersichtlich bleibt, habe ich die Option "Nur Kontakte mit Telefonnummer anzeigen" aktiviert. Das erleichert auch die Arbeit mit Messengern erheblich. Was vielen Anwendern auch nicht klar ist, dass die Kontakte auf dem Handy von verschiedenen Messengern genutzt werden können. D.h. ich kann z.B. Facebook Messenger, Threema und WhatsApp auf einem Handy installieren. Nach der Installation werden die Kontakte eingelesen. Wenn bei einer Telefonnummer in den Kontakten der gleiche Messenger bzw. Protokoll installiert ist, wird der Kontakt im Messenger - z.B WhatsApp - angezeigt. Nach dem Start von WhatsApp werden die Kontakte angezeigt. D.h. die Handynummer die ebenso WhatsApp installiert haben und online sind. Mit einem Klick auf dieses grün hinterlegte Symbol wird eine neue Nachricht erstellt. " /> Danach den Text eingeben und abschicken (Pfeil rechts - mit einem roten Kreis markiert). Das war bereits die erste Nachricht. Das ist geschätzt das wie 90% der WhatsApp Anwender die App nutzen. /> Stattdessen kann man dem anderen eine Sprachnachricht zukommen lassen. Das ist persönlicher, bzw. emotionaler. Das Vorgehen ist gleich wie vorhin. Kontakt auswählen und auf das Symbol für neue Nachricht klicken. Rechts vom Textfeld sieht man Mikrophon.   Das funktioniert wie ein Walky Talky: Auf das Icon drücken und die Aufnahme ("senden") läuft. Sobald man den Finger wegnimmt, wird die Audiodatei erstellt und der Nachricht hinzugefügt. Anstatt eine Audiodatei an die Nachricht anzuhängen, kann man auch einen Videoanruf machen. Das Vorgehen ist immer dasselbe. Kontakt auswählen und auf das "neue Nachricht" Symbol klicken. Diesesmal oben (grüner Bereich) auf das Symbol der Videokamera klicken. Dazu muss man beachten, dass auf beiden Seiten (Sender / Empfänger) eine starke Internetverbindung bestehen muss. Und das man mit dem Telefon Icon daneben jemanden anrufen kann, schliesst die verschiedenen Möglichkeiten ab. Nicht gelesene Nachrichten werden in der App mit einer Zahl - Chat 1 - angezeigt. Zusätzlich sieht man bei jedem Kontakt die nicht gelesenen Nachrichten.     "WhatsApp Web"  Man geht auf die Website  , scanne mit der Whatsapp App auf dem Handy den QR-Code und schon ist die Browser Variante aktiv. Man beachte, dass das verwenden dieser Variante den Internetzugang des Handys belastet. D.h. die Browser Applikation sendet die Nachrichten nicht über das Gerät auf dem Browser gestartet ist. Die Nachrichten werden an die App auf dem Handy transferiert und von dort gesendet. Bzw. abgeholt.    Ressourcen: WhatsApp AGB WhatsApp download WhatsApp erneut installieren (Alle Daten werden gelöscht) APK download Bugs melden Welche Geräte / OS werden nicht oder bald nicht mehr unterstützt          

Panik! Melani meldet 21000 gehackte Zugangsdaten

Der Auslöser für diesen Post war die Meldung von Melanie, die am 29. August in meinem RSS Reader eintraff. "Melanie" hatte Kenntnis erhalten, dass 21000 Zugangsdaten (Benutzernamen / Passwort) aufgeflogen sind. Quelle der Daten sei nicht bekannt. Daher soll man seine Daten auf einer Website der Schweizer Regierung prüfen. Bei negativem Ergebnis die Daten ändern, sowie die dort aufgelisteten (allgemein) bekannten Tipps berücksichtigen. Kurz und gut: "Blödsinn". Wer mit den selben Anmeldedaten bei Brack / Amazon und Facebook sich anmeldet, hat seine Pflicht zur Eigenverantwortung nicht wahrgenommen und verdient die Strafe. Strafe ist ja immer auch eine Aufmunterung, nachzudenken und zu lernen. Leider muss man nicht zuerst einen Führerschein machen, bevor man in das Internet geht. Und die Aufforderung des Helfenden bereits daran scheitert, etwas in der "Adresszeile" einzugeben dann wird es Zeit in die Schule zu gehen. "Unwissend" zu sein, kann man korrigieren. Meine Aussage ist nicht, dass der Umgang mit den Computer und Technologien simpel ist. Letzthin war ein guter Freund von mir - ein langjähriger und permanent lernender Developer - bei seinem Vater,  um auf dem IPhone WhatsApp und Twitter in Betrieb zu nehmen. Wie wir das alle kennen, gibt es da Details und Feinheiten die gerade die nicht in der Apple Welt lebenden erst verstehen müssen. So ging ein Samstag herum, bevor der Kampf gegen die Tücken der Technik gewonnen war. Gerade für die ältere Generation war das Leben kein Zucker schlecken. D.h. diese Menschen sind an harte Arbeit gewohnt. Daher erstaunt es mich, dass ich wiederholt von Personen auf dieser Altersgruppe Aussagen wie "ich bin zu alt dafür" oder "Ich will das nicht mehr lernen" höre. Erst Recht, wenn die Person die Vorzüge kennt und profitieren will. "Foifer und s Weggli" häts ni gä und wird's ni gä - Punkt. Oder wie wir in der Primarschule - zu Recht - oft zu hören bekamen: "Du kannst schon  aber Du willst nicht".  Zurück auf die aktuelle Meldung von Melani gebracht, betrifft es nur die Anwender die effektiv die gleichen Anmeldedaten für mehrere Dienste verwenden. Und wer so handelt, ist bequem und nimmt die Eigenverantwortung in gröbster Weise nicht wahr. Vergleichbar mit jenen verkehrsteilnehmern (aka Idioten), die mit dem Blick auf das mobile Gerät auf die Strasse latschen. Absichtlich nota bene...! Last but not least: nie werde ich irgendwo bzw. bei irgendwem meine Zugangsdaten prüfen. Der Staat - OK die Gemeinde oder in der Region in gewissem Umfang ausgenommen - ist nicht Dein Freund. Sie wollen Daten, damit sie den Bürger kontrollieren können. Stichwort: Big Data. Die Daten werden aus einem der unzähligen Webshops stammen. Diese werden quasi wöchentlich "gehackt", quasi im im Vorbeigehen. Im Ernst, wenn vom deutschen Bundestag bis hin zur NSA oder Firmen wie Sony 2x und Yahoo 3x die Kundendaten geraubt werden, ist da noch jemand erstaunt das die eigenen Anmeldedaten betroffen sein könnten? Also sollte der Konsument sich ein paar Minuten Zeit nehmen und sich ein Konzept sowie Checklisten anlegen.   Als Praktiker gehe mit dem Sachverhalt wie folgt vor. Ich setze auf folgende Eckpunkte: Bevor man sich anmeldet, Klarheit haben über A: wie man den Dienst beendet B: die Anmeldedaten zurück setzt. Zwecks Identifizierung wird bei der Anmeldung das Geburtsdatum verlangt. Nicht das richtige verwenden, sondern eines erfinden und nur dieses verwenden.: Das eingetragene Geburtsdatum kann als Indikator für das aktuelle Passwort verwendet werden. Passwörter müssen periodisch (Checkliste) geändert werden. Mit dem neuen Passwort setze ich auch ein neues Datum.  Passwortregeln: A: Sonderzeichen:  Nicht alle Dienste unterstützen die gleichen Sonderzeichen. D.h. man erstellt z.B. im Excel eine Tabelle mit den Sonderzeichen und den Diensten. Die Sonderzeichen die alle unterstützen verwendet man. B: Passwort Tresor: (z.B. Keepass oder Lastpass): Besser nicht verwenden. Stattdessen sich ein System ausdenken, mit Zahlen aus einem Fachgebiet das man gut kennt. Z.B. die Jahreszahlen der Entdeckung der Planeten. Oder dem Eintrittsdatum der Kantone in die Eidgenossenschaft. Keine Dienste wie Facebook für die Anmeldung verwenden. Für jeden Dienst ein eigenes Set an Anmeldedaten erstellen. Dort wo Geld und / oder Reputation auf dem Spiel steht, aber auch kritische strategische Elemente wie gemietete DNS Server, zusätzlich absichern. D.h. in die Entscheidung mit welchem Dienstleister man arbeiten will, die sicherheitsrelevanten Funktionen als Punkte (Minus / Plus) einfügen. Verschiedene Lebenssituationen wie "vom Internet abgeschnitten", "eigenes Handy nicht verfügbar", "schwer krank" oder das Ableben berücksichtigen. Wer soll / muss dann auf die Daten zugreifen können und wie kommt sie daran (Berechtigung) Aktuelle Handy Verträge ermöglichen heute zu vernünftigen Preisen eine Dual SIM. Wer sich bei der Sicherung des Zuganges über eine Zwei Weg Authentifizierung mit Handy absichert, sollte darüber nachdenken. Sowohl vom Nutzen als auch vom Risiko (wer kann auf die zweite SIM zugreifen?). Wählt einen Handyanbieter aus, der einen kompetenten Kundendienst hat. Dort kann man im Kundendossier vermerken lassen, dass die jede Transakation (z.B. die SIM Karte sei gestohlen und müsse gesperrt werden) nur über ein bestimmtes Passwort erfolgen darf. Naürlich muss der Kunde den Kundendienst unterstützen und Mitarbeiter benennen, die die Sicherheitsfrage nicht gestellt haben. Wir kennen das alle: "Man war und ist nicht gut, sondern man trainiert und lernt und wird so besser". Nachfolgend eine Reihe (nicht wertend und nicht vollständig) von Technologien / Verfahren die man zum Schutz von Zugangsdaten vorfinden kann: Zwei-Faktor-Authentifizierung (2FA)  IP Range der Anmeldung (GeoLocalisation) beschränken. Nach Möglichkeit nur verschlüsselte Protokolle (Mail: POP / IMAP / SMTPAUTH mit TLS / DNSSEC) Logfile mit allen Anmeldungen und dazu Detailinformationen: IP, Datum / Zeit (mit Zeitzone) / Anmeldedaten.  Verschiedene Passwörter - für jeden Client eigene Anmeldedaten. Diese können lokal im Schlüsselbund (MAC) oder Tresor (Windows) verwaltet werden Authentifizierung mit USB-Stick (Dongle) Eine Übersicht zu Techniken und Verfahren (Stichwort: SPF / DKIM / DMARC) liefert diese Website von MSXFAQ.DE  Fazit Das Internet ist nicht nur nicht sicher, es ist gefährlich. Misstrauen und Vorsicht sind Pflicht. So wenig wie möglich Dienste, Shops, etc. verwenden, dort dafür mit verschiedenen Benutzernamen / Passwörter ohne Passwortdienste wie Facebook arbeiten. Man kann durchaus Passworte altmodisch auf Papier notieren. Aber nur wenn man diszipliniert genug ist, dass Notizbuch wieder in die verschlossene Schublade oder Tresor zu legen. Man will ja nicht Gäste, Handwerker oder die Putzfrau in Versuchung führen...    

HTTP - neue Fehlermeldungen

Ein Computer (Client) sendet eine Anforderung an einen anderen Computer (Server). Der Server sendet in der ersten Zeile der Antwort einen dreistelligen Statuscode mit einer textuellen Ergänzung. Z.B. Statuscode 404 und den Text "not found". In der Gestaltung der Fehlermeldung hat der Serverbetreiber freie Hand. Ein schönes Beispiel liefert die Nasa. Dieser wird angezeigt, wenn man nach der Eingabe der Domain im Browser eine nicht existierende Website anfordert. Z.B. "www.nasa.gov/schweiz.html". Natürlich haben die auf HTTP aufbauenden Protokolle (wie z.B. WebDav) i.d.R. eigene Fehlermeldungen. HTTP wurde in den Anfängen des WWWW (nicht des Internets) von Tim Berners-Lee für HTML entwickelt. WebDav arbeitet mit Dateien, daher sind viele Fehlermeldungen nicht passend. In den letzten Jahren hat das HTTP Protokoll hat zwei neue Status Codes erhalten. Den eine darf man als "skurill" bezeichnen. Die anderere hingegen hat politisches Potential. HTTP ist eines der zentralen Protokolle des Internet. Binsenweisheit. DNS ist in den Grundzügen seiner Funktion eher bekannt, als HTTP. Die Google Suche erbrachte mit dem Wort HTTP eine Vielzahl an Treffern die nichts mit dem Internet Protokoll zu tun haben. Erst mit dem zweiten Suchwort "Protokoll OR Protocol" erhielt ich ausschliesslich Treffer dazu. Daher eine kurze Leseempfehlung, was bzw. wie HTTP ist: Elektronik-Kompendium.de handelt das Thema technisch ab. Webschmoeker.de liefert eine sanfte Lernkurve für Einsteiger in das Thema Netzwerkprotokolle. RFC1945 Code.org hat ein geniales Video zu HTTP / HTML erstellt: "The Internet: HTTP & HTML"   Fehlercode 418 #Supporter/Administratoren/Anwender Nicht relevant. Eine rein akademische Fingerübung. Genau genommen ist es auch kein HTTP Statuscode, sondern ist im RFC des Protokolles HTCPCP definiert. Wird man in der Praxis - trotz aufkommenden IoT - nie zu Gesicht bekommen. #Neugierige/Profis Das Protokoll HTTP ist vielseitig verwendbar. Darauf aufbauend können "Extensionen" ("Erweiterungen") als eigenständige Protokolle festgelegt werden. D.h. es werden ggf. neue Funktionen und Headerfelder hinzugefügt. Die Verwendung für Hyperlinks ist lediglich eine Anwendung. Bekannte Beispiele für "Extensions" sind: WebDav SPDY  Larry Mansiter war 1998 nicht glücklich, über diese schrankenlose Flexibilität des HTTP Protokolls. Als Aprilscherz jedoch mit fachlicher Seriosität definierte er als  Erweiterung das Protokoll "HTCPCP". Das Akronym bedeutet "Hyper Text Coffee Pot Control Protocol". Damit kann man mit vernetzten Kaffeemaschinen kommunizieren. Der Umfang der Kommunikation hat der Entwickler im RFC 2324 festgelegt.  Und in diesem RFC, Punkt 2.3.3, ist der Fehlercode 418 definiert. Kaffee ist ein integraler Bestandteil der Internetkultur - von Anfang an. Was die "Trojan Room Coffee Machine" beweist. Die Teefraktion schlug 2014 mit dem Protokoll "HTCPCP-TEA" als Aprilscherz zurück. Definiert in der RFC 7168. Im Abschnitt "Abstract" wird deklariert, dass dieses Protokoll als Erweiterung ("Extension") zu HTCPCP definiert ist: The Hyper Text Coffee Pot Control Protocol (HTCPCP) specification does not allow for the brewing of tea, in all its variety and complexity. This paper outlines an extension to HTCPCP to allow for pots to provide networked tea-brewing facilities. Somit ist der Statuscode 418 genau gesehen ein Fehler des HTCPCP Protokolles. Wie schon einige Male haben sich die akademischen Scherze zu ernsthaften und realen Konstrukten verselbständigt. Der für das HTTP Protokoll Verantwortliche bei IETF hat mehrfach versucht diese Fehlercodes wieder zu löschen. Damit das Kernprotokoll nicht verschmutzt wird und der Fehlercode für eine spätere Verwendung frei ist. Der Fanclub des Fehlers formierte mit einer Website den Widerstand. Selbst Google unterstützte am Schluss diesen Fehlercode. Das IETF gab nach und reserviert den Fehlercode für eine spätere Verwendung. In der Praxis wird man den Fehlercode kaum je sehen, da sich i.d.R. kein Entwickler die Arbeit mit einer so differenzierte Fehleranalyse macht.  Mein Fazit: Humor in RFCs ist nichts Neues. Humor im allgemeinen ist abhängig von Situation und Kontext eine menschliche Qualität. "Internet" hat in der modernen Gesellschaft die Bedeutung von Elektrizität oder Mobilität. Wenn das IETF ("Mark Nottingham") auf Druck einer Gruppe bzw. der Firma Google Spezifikationen in HTTP ändert, so ist das nicht vertrauensfördernd was der Glaube an ein freies und funktionierendes Internet angeht.   Fehlercode 451 Es erstaunt mich stets aufs Neue, dass das Buch "1984" für viele ein Begriff ist. Jedoch wesentlich weniger "Schöne neue Welt" oder "Fahrenheit 451". Der Titel des zu letzt genannten Buches diente als Vorlage für den Fehlercode. Der Fehlercode 451 zeigt den Text "Unavailable for legal Reasons" an und ist im RFC 7725 spezifiziert.  2012 las Google-Mitarbeiter Tim Bray das ein britischer ISP eine Website auf Grund eines Gerichtsbeschlusses blockierte. D.h. wenn man die URL im Browser eingab, erhielt man den HTTP Status Code 403 - Forbidden - angezeigt. Er reichte dem IETF den Vorschlag ein, für die staatlich zensurierten Websites einen eigenen Status Code einzuführen. 451 passte in der Analogie zum Buch. Das wurde vor ca. 1 Jahr auch so umgesetzt. Wie heikel bzw. praktikabel die Umsetzung dieses Fehlercodes ist, zeigt ein frei lesbarer Artikel aus dem Heise Verlag vom Juli 2017: "HTTP-Fehlercode 451: Tools sollen gegen Zensur helfen und sie transparent machen"