Peter Gyger online

"Gring ache u seckle" (Quelle: A. Weyermann)

NAVIGATION - SEARCH

Windows 10 als VPN Client für die Swisscom Internet-Box

Mit der Einführung der Internet-Box Plus im Herbst 2014 wurde eine VPN Server Funktion integriert. Damals habe ich einen kleinen Blogartikel zum einrichten geschrieben. Seit Anfang an steht in der Anleitung auf der Swisscom Hilfe Seite im Internet, dass Windows nicht unterstützt wird. Mit der Einführung der Internetbox 2 wurde auch für Windows eine Anleitung hinzugefügt. Diese funktioniert auch für die Internet-Box Plus, wie ich feststellen konnte. Ohne den Hinweis eines Swisscom Kunden und IT Profis - Dr. Beat Schütz - CEO der Advantix Groupware AG - hätte ich das wohl noch länger nicht entdeckt. Herr Schütz sandte mir die URL zur Anleitung. Diese konnte ich auf Win 10 problemlos umsetzen (Schritt 11 - letztes Bild unbedingt beachten). Erst als ich diesen Artikel anfing zu schreiben, stelle ich erstaunt fest, dass die Swisscom Website nicht wie gewohnt auf "Deutsch" umgestellt werden kann. Erst wenn man einen Schritt (""back to Internet & e-mail") zurück ,d.h. eine Ebene höher geht, kann man "Deutsch" auswählen. Auch hier ist es nicht mehr zeitgemäss, dass man einen Link auf eine Hilfeseite weder weiter senden (Mail, Twitter, etc.) kann, noch kann ich direkt auf ein Item verlinken. D.h. um die Anleitung zu sehen, muss nach dem öffnen der Swisscom Website oben "Internet-Box 2" und unten auf "Windows" geklickt werden. Die Anleitung auf der Swisscom Website stimmt nicht mit der aktuellen ("Creators Update") Windows 10 Version überein. Nachfolgend eine Anleitung wie der VPN Client ("DE") von Windows 10 eingerichtet wird. Der Weg zu dieser Maske fängt mit dem Win10 Startbutton anklicken an. Danach oben auf "Eigenschaften" ("Zahnrad") klicken.  In der folgenden Maske "Netzwerk und Internet" auswählen. Im folgenden Formular mit dem Titel "Netzwerk & Internet" sieht man den Menupunkt "VPN".   In der Maske für die VPN Client sind folgende Felder (DE) auszufüllen. Achtung - die Bezeichnung der Felder ändert sich, sobald man den Wert "VPN Anbieter" gesetzt (bestätigt) hat: VPN - Anbieter Verbindungsname Server oder IP-Adresse Anmeldeinformationstyp Benutzername Kennwort VPN - Anbieter Keine Auswahl. "Windows intern" passt. Verbindungsname Textfeld. D.h. frei wählbar. Server oder IP-Adresse Enweder die WAN IP des Routers oder ein DNS Name. Für Swisscom Privatkunden gilt zu 98 Prozent, dass der Router über Jahre die gleiche WAN IP behält. D.h. ein (Dyn-) DNS Name ist nicht erforderlich. Anmeldeinformationstyp Hier wählt man "L2TP/IPsec mit vorinstalliertem Schlüssel" aus. Der Schlüssel ist in der Internetbox der Wert im Feld "VPN Shared Secret" Benutzername / Kennwort Der im VPN Server Teil der Internetbox festgelegte Benutzername und Passwort. Danach findet man in Netzwerkverbindungen ein neues Icon: "WAN Miniport" Danach wechselt man in das "Netzwerk und Freigabe Center" und ändert die Eigenschaften der VPN Verbindung. Bzw. die "erweiterten Eigenschaften". Da hat sich mit dem Creator Update von Windows 10 nichts geändert. Ich wähle bei den Protokollen nur CHAP Version 2. Ein DynDNS Name ist ebensowenig notwendig. Da Swisscom die Privat und KMU Kunden über DHCP verbindet, hat man über Jahre die gleiche externe WAN IP.                    

Border Gateway Protocol (BGP) hijacking

Das Protokoll ist nicht so bekannt wie HTTP oder FTTP. Was wohl generell auf Routingprotokolle zutrifft. Dieses Video des OpenHPI Kurses "Wie funktioniert das Internet" gibt einen sehr guten Überblick wie Routingprotokolle im Internet funktionieren.  BGP fasst Individuelle IP-Adressen zu so genannten Präfixen zusammen. Stellen beziehungsweise Organisationen, die mehrere dieser Präfixe verwalten, nennt man autonome Systeme (AS). AS sind Systeme, die von der IANA (Internet Assigned Numbers Authority) jeweils ihre eigenen IP-Bereiche erhalten haben. Zum Beispiel Internet Service Provider wie Cablecom oder Swisscom. Das BGP-Protokoll kennt keine Möglichkeit, die Echtheit der Routing-Informationen zu überprüfen. So kann ein falsch eingestellter Router (absichtlich oder nicht), weitere Router falsch konfigurieren. Tim Wegner, Student im Master Elektrotechnik/Informationstechnik hat eine 5 seitige detailierte Erklärung zu BGP geschrieben. Sehr lesenswert - IMO. In den letzten Jahren werden bei den wichtigen Protokollen die verschlüsselten Versionen immer öfter eingesetzt: HTTP --> HTTPS DNS --> Domain Name System Security Extensions (DNSSEC) POP --> POPS IMAP --> IMAP SSMTPAUTH --> SMTPAUTH Im Falle von BGP nennt sich die verschlüsselte Variante "BGPSec". RIPE.NET schreibt in einem Artikel von 2014 folgendes: "BGPSEC is an extension of BGP that makes origin and path validation possible. This means that the entire path from A to Z can be protected instead of only the destination" Der Grund etwas über BGP und hijacking zu recherchieren, war eine Meldung vom 15. Dezember: Ein Teil des BGP Routings wurde entführt ("hijacking"). Das ist grundsätzlich möglich, da der Verkehr unverschlüsselt abgewickelt wird. Die Meldung wurde von zwei BGP Monitoring Diensten in das Netz gesetzt: BGPMon Qrator Am gleichen Tag publizierte Ars Technia bereits einen Artikel dazu: "“Suspicious” event routes traffic for big-name sites through Russia" Ein quantifizerbares Ziel wird in keinem der Artikel genannt. Es sind wenige Daten über kurze Zeit über einen russischen ISP geleitet worden. Da der Datenverkehr heute primär verschlüsselt (HTTPS / TLS) erfolgt, ist selbst mit aufwändigen Massnahmen ein Zugriff (auswerten) nicht wahrscheinlich. Der englische Wikipedia Artikel zu BGP ist wie so oft ausführlich als die deutsche Variante. Dort werden andere Vorfälle im Zusammenhang mit BGP geschildert. Swisscom aus BGP Sicht sieht so aus. 2015 hatten die Swisscom Internet Kunden ein anderes Beispiel für die Relevanz des Routings im Netz erlebt. Die Sendungen von den Netflix Servern ruckelten und froren auf dem TV ein. Nachdem Swisscom mit Netflix ein Peering Abkommen getroffen hatte, war das Problem gelöst. Hintergrund Informationen dazu findet man im ISP-Blog. Oder man schaut sich das lustige Video von Freddy Künzler an. Oder liest diesen Post des Users "Sirupflex" in einem Thread der Support Community. Am Ende der langen Geschichte hat Swisscom den Peering Vertrag mit Netflix abgeschlossen. Hier zu sehen unter Record 271 oder mit CTRL-F nach Netflix suchen.   BGP ist kein Thema das mich so bald wieder beschäftigen wird. Zuviel Politik und Betriebswirtschaft und zu wenig Technik...                    

DSL, VDSL und G.Fast

Wer sich für die Technik hinter DSL interessiert und das Glück hat für einen Internet Dienstleister zu arbeiten, der kann aus dem vollen schöpfen. Bücherschränke mit dutzenden von Büchern, von leicht verständlichen Einführungen über Fibeln, Nachschlagewerke sowie Fachwerke in aller Tiefe die die dahinter stehende Mathematik und Physik ausloten. An den Wänden Zeichnungen, Skizzen und Diagramme die das geschriebene Visualisieren.  Das Intranet enthält Tonnen von Informationen die sowohl den leichten Einstieg als auch das letzte Detail über Bild und / oder Ton interaktiv und passiv sowie mit Comics und Texten erläutern. Jeder Mitarbeiter in der Firma kann in unterschiedlicher Tiefe die Details der Signalmodulation bis hin zum Übergang in die TCP/IP Welt mit leuchtenden Augen schildern.--   Der Rest von uns ist auf das Internet, Fachbücher, Zeischriften sowie die Schwarmintelligenz die sich in Foren und Communitys manifestiert. Daher hier der Versuch das gewonne Wissen zu DSL und seiner Entwicklung zu sichten und zu ordnen. Die Wikipedia Artikel haben neben dem Nachteil daswie die Dinge man die Autoren nicht kennt, auch keine Angabe wann sie zuletzt überarbeitet wurden. Die Analogie ist die zu einem Bildhauer, der mit Hammer und Meisel die Wahrheit im Stein freilegt. Es soll für einen Leser amüsant zu lesen sein. Ist jedoch meinem Naturell entsprechend  mit 100% Leidenschaft für Wahrheit und Verstehen erstellt. Wer etwas wirklich verstanden hat, kann es jedem anderem in angemessenem Niveau erklären. Ob man das will ist eine zweite Frage. Sicher ist es für einige eine Machtfrage, das übliche Ego-Spiel in Wissenschaft, Wirtschaft und dem Rest der Welt. Jedoch nicht ausschliesslich. Dieser Blog - wie wiederholt gesagt - soll meine Erfahrung / Wissen / Eindrücke / Einschätzungen / etc. mit allen teilen, die es interessiert. Jeden Tag bin ich absorbiert mit Dingen die ich besser, genauer, tiefer und umfassender verstehen will. Manchmal sind es triviale Detailfragen in einer Software, öfters grundsätzliche Fragen wie etwas zusammenhängen. Als Generalist suche ich immer auch die Breite, teste neue Dinge und Gebiete. Dieser Post wird auch nicht in einem Rutsch geschrieben sein. Der Startschuss ist gefallen, Korrekturen, Ergänzungen und weitere Texte werden folgen. Erstellt:                     3.12.2017 Letzte Modifikation:       Wie alles begann... DSL ist eng mit dem Internet verknüpft. Die Technik die hinter dem Internet steht ist z.B. hier beschrieben und darf als bekannt vorausgesetzt werden: Wikipedia (de) Open HPI: Wie funktioniert das Internet?Prof. Dr. Christoph Meinel What is - How does the internet work and why is so important? Auf der letzten Meile - der Auffahrt zum Internet - gab es zuerst nur Schmalbandanschlüsse (DFÜ, GRPS). Später kamen die Breitbandanschlüsse (DSL, DOCSIS, Fibre, LTE, Satellit) hinzu. Die aktuelle Breitbandtechnologien werden als Next Generation Networks (NGN) bezeichnet. In den 80er Jahren wurden die ersten DSL Systeme entwickelt. Diese wurden später von Instituten wie ANSI und ITU normiert. Die erste und wichtigste Anforderung war, dass die für die Telefonie existierenden Kupferleitungen weiter verwendet werden können. Das Telefonnetz war also nie für die Datenübertragung vorgesehen. Was mit zunehmender Menge an Daten zu immer höheren Anforderungen in der Hausinstallation sowie dem Telefonnetz führt. "Digital Subscriber Line" kurz DSL bezeichnet eine Reihe von Übertragungsstandards der Bitübertragungsschicht (OSI Modell). "XDSL" ist synonym zu "DSL". Der Standard dient zur Kommunikation zwischen DSL-Modem und DSLAM. Der DSLAM terminiert mit seinen Linecards die Teilnehmeranschlussleitungen, sammelt (oder verteilt) auf örtlicher Ebene den DSL-Datenverkehr der Endkunden und reicht ihn über das sogenannte Konzentratornetz an einen regionalen Breitband-Zugangsserver weiter, der für das IP-Routing und die DHCP / PPPoE-Terminierung verantwortlich ist. Durch die Ausweitung des Frequenzspektrums erreicht DSL immer höhere Übertragungsgeschwindigkeiten ("Spektrum"). Die Reichweite und Datenrate wird durch die Ausweitung des Spektrums reduziert. Der Grund sind Ressonanzeffekte bzw. Schwingungen, Fremdeinstrahlung und Verzerrungen. Die eigentliche Verbindung wird über beliebige Protokolle der höheren Schichten des OSI-Modells hergestellt. Als Sicherungsschicht ("Data Link Layer") ist Ethernet oder ATM, als Vermittlungsschicht IP üblich. Über diese Verbindung wird der Internet-Zugangsserver des Providers (BRAS) erreicht, der einen Internetzugang über authentifizierte Verbindungen (PPPoE / PPPoA und DHCP) ermöglicht. Anders als die analoge Telefonleitung (POTS), wo die Verbindung erst durch den Anwender aufgebaut ("Summton")  werden muss, ist DSL eine permanente physikalische / logische Verbindung zum DSL Betreiber (ISP). Früher nannte man das eine Standleitung.         Quellen: https://www.bakom.admin.ch/dam/bakom/de/dokumente/tc/access_technologiesinterworking.pdf.download.pdf/access_technologiesinterworking.pdf https://de.wikipedia.org/wiki/Digital_Subscriber_Line (de) https://de.wikipedia.org/wiki/Kategorie:Digital_Subscriber_Line (de) https://www.elektronik-kompendium.de/sites/kom/0305232.htm http://www.itwissen.info/xDSL-Verfahren-xDSL-technologies.html https://de.wikipedia.org/wiki/Internet (de) https://howdoesinternetwork.com    

Handy ein und man findet Dich...

Der Artikel "Android sammelt Standortdaten trotz Widerspruch des Nutzers" des Journalisten Björn Bohn aus dem Heise Verlag sagt alles. Hier noch ein Artikel von connect.de zu diesem Thema. Vor ein paar Jahren hatten wir dasselbe mit Apple. Und obwohl die USA das Land der Anwälte ist, wird der wiederholte Vertragsbruch und Datendiebstahl zu keiner Anklage führen. "Business as usual" wenn es um Datenschutz und US Firmen geht... In den Kommentaren des Heise Artikels fand ich diesen Hinweis für technisch versierte Anwender, wie man Google die Spionage mit Android unmöglich macht. Oder man wechselt zu "Sailfish", einer Android Variante. Bericht von der Website AndroidPit.de hier.    In dieselbe Funktion geht die neue Live-Tracker Funktion von WhatsApp. WhatsApp sind sich da stets treu geblieben. Mit kindlicher Naivität oder dummdreist wird technisch umgesetzt was geht. Der feuchte Traum für eifersüchtige Partner, kontrollsüchtige Chefs, redeschwache Eltern und andere Menschen dieses Schlages. Jörg Schieb hat den Gruppendruck, der solche Funktionen im Alltag zum durchbruch verhelfen werden, sehr gut geschrieben: "WhatsAppe mir, wo Du bist!" B.t.w. sind die Jugendlichen dank der Zeitschrift "Bravo" bereits informiert  ;-) Snapchat hat im Sommer bereits im SnapMap eine Live-Tracker Funktion eingeführt. Der Facebook Messenger hat es auch. Nein, Google hat nicht geschlafen..   Es geht nicht um die Funktion als solches. Es geht darum, wie mit Big Data unsere Gesellschaft eine völlig neue Werteordnung erhält. Im Konsumentenwunderland, sagt der Kunde seiner Alexa zu Hause, dass er noch Nespresso Kapseln - Marke x in Quantität y - für das Büro benötigt. Unterwegs steigt jemand in sein Tram oder klopft ihm beim gehen auf die Schulter und übergibt ihm die Kapseln. Nett - oder? Oder sie lernen eine Person ihres sexuellen Interesses kennen. Das Gespräch beim Kaffee ist nett, routinemässig wird das Handy heraus geholt und man stellt fest das die Person weder ein Facebook Profil hat. Noch anderweitig in sozialen Medien unterwegs ist. Ein leeres Blatt... Spannend oder beänstigend?  In den 80er Jahren wurden die Volksbefrager die für die Umfrage des Bundes teilweise mit Sturmgewehr begrüsst. 2017 haben wir Vibratoren mit integrierter Kamera und Webhost (kein Scherz!) und gute Menschen wie Tom Hanks verkünden die neue Werteordnung - siehe den Film The Circle. Der Gruppendruck wird es richten, Job und Privat und den Rest macht der Konsument der jetzt, alles und sofort haben will. Flüchtlinge, Arbeitslose, Ausgesteuerte, Alte, verurteilte Verbrecher werden per Gesetzt dazu gezwungen. Wir hatten den Fall bereits vor Jahrzehnten, dass sich dem RAV gemeldete Arbeitslose bei einer Online Jobbörse melden mussten. Wem genau die gehörte, erfuhr man nicht. Dafür wurde die Datenbank Jahre später von einem Hacker abgeräumt...     

Internetzensur in der Schweiz

Zum ersten Mal wird in der Schweiz eine "Netzsperre" eingeführt. Technisch präziser ist es eine DNS Sperre. Der Nationalrat entschied im März 2017 mit grosser Mehrheit, den Zugang zu ausländischen Online-Casinos zu blockieren. Er bestätigte damit einen Beschluss des Ständerats. Somit müssen Schweizer Internetanbieter verhindern, dass ihre Kunden auf ausländische Glücksspielangebote zugreifen können. Zugleich schafft das Parlament im neuen Geldspielgesetz für Schweizer Casinos die Möglichkeit, eine Konzession für Onlinespiele zu erlangen. Mit der Netzsperre werden die offiziellen operierenden Anbieter vor der Unterwanderung des Marktes durch ausländische Angebote. "Protektionismus" reinsten Wassers. Die Schweizer Regierung ist damit auf Augenhöhe mit Staaten wie China, da sie für den Bürger entscheidet was er im Internet sehen darf. Vergleichbar mit einer Regulierung für Buchhandlungen, welche Bücher angeboten werden dürfen. Auf richerlichen Beschluss hin wurden in der Vergangenheit bereits einzelne Websites gesperrt. Mit der letzten Revision des Fernmeldegesetzes hat die Bundesregierung angefangen den Internetverkehr offiziell zu zensurieren. Bis dahin wurde auf Aufforderung von Interpol Websites mit Kinderpornografischem Material gesperrt. Ohne Gresetzesgrundlage. Nach dieser Revion kann das FedPol die Aufgabe offiziell übernehmen. Ihre Aufgabe besteht darin, dass die im Gesetz verbotene harte Pornografie (Kinder / Tier / Gewalt in sexuellen Darstellungen) auch über das Internet nicht konsumierbar ist. Was - wie der Tagi im Artikel "Schutz vor Pornografie macht Teenager zu Kriminellen" beschrieben, auch unerwartete Effekte haben kann. Die Swisscom informiert, dass wenn eine Website auf der Sperrliste steht das der Betreiber informiert wird. Ausgenommen bei strafrechtlich relevanten Gründen ("Kinderpornografie"). Die Sperrlisten werden u.a. von Melani und Kobik zur Verfügung gestellt. Eine DNS Sperre ist kein echtes Hindernis. Diese zu umgehen braucht es wenig technisches Verständnis wie DNS funktioniert. Oder man nutzt, wie z.B. im Browser integrierte VPN Funktionen. "Markus Ritzmann" hat eine Website in das Internet gestellt, die die gesetzlich geforderte DNS Zensur bei einzelnen ISPs (Swisscom, UPC) offen legt. Das Skript das Markus Ritzmann für die DNS Server Abfrage verwendet hat er auf GitHub offengelegt. Markus Ritzmann hat sich auch bei der Abstimmung über das BÜPF mit einer Website - ueberwacht.ch - eingebracht.    Seit Plato stellt sich die Frage Wer wacht über die Wächter? In diesem Fall wer entscheidet, ob eine Website von der DNS Sperre gesperrt wird? Wie können Betroffene Einspruch erheben? Welche Anbieter betroffen sind, entscheiden die Eidgenössische Spielbankenkommission (ESBK) und eine interkantonale Aufsichts- und Vollzugsbehörde. Wie gut diese Behörde funktioniert werden wir erleben. Das zweite Problem ist, wenn die Infrastruktur für solche Sperren einmal aktiv sind, wer weiss für welche anderen Branchen oder Zwecke sie genutzt werden. Technisch bedingte Sperren, wie in den stark zunehmenden Fällen von Pishing, wird von der Swisscom über "Machine Learning" entdeckt und von spezialisierten Teams ausgewertet. Wenn man auf "DNSZensur.ch" die Datenbank anschaut, sieht man sofort das UPC und Swisscom sich nicht abgleichen. D.h. der eine ISP sperrt eine TLD, der andere nicht. Da die DNS-Sperre Bundesgesetz ist, sperren alle ISP in der Schweiz. Das Skript auf der Website von DNSZensur.ch ist aktuell lediglich auf UPB und Swisscom ausgelegt. Natürlich hat ein ISP keinen Open Relay DNS Server. D.h. nur für das eigene Netz (IP Adressen aus dem eigenen Pool) ist der DNS Server erreichbar.      

WLAN ist nicht (mehr) sicher?

Seit ungefähr drei Tagen liest man in den News Tickern die Meldung das die aktuelle WLAN Verschlüsselung WPA2 nicht mehr sicher sei. Heute wurde es in den Medien und Intranets vieler IT Firmen publiziert. Belgische Forschern haben einen schwerwiegenden Fehler entdeckt. Was ist wahr und wie ist das zu bewerten? Der Fehler ermöglicht im Grunde ein "Man in the Middle" Angriff. D.h. eine Situation, wie wenn man ein öffentliches WLAN ("Hotspot") nutzt. Wenn die Daten verschlüsselt (SSL / TLS oder HTTPS) übermittelt werden, bzw. ein VPN Tunnel verwendet wird sieht der Anwender nur die verschlüsselten Daten: Kauderwelsch. Das WLAN Passwort der Router ist für den Angreifer nicht lesbar. Somit ein Wechsel nicht erforderlich. Der Angriff funktioniert nur, wenn der Angreifer sowohl in Reichweite des WLANs (Access Point (AP)) als auch des anzugreifenden Computers ist. Dennoch ist dieses neue Angriffsvektor zu beachten. Es stellt einen Weg dar, in das Netzwerk einer Person / Firma einzudringen. Im Sinne von tagelanger Überwachung und abwarten, ob und welche Daten unverschlüsselt übermittelt werden. Viele Firmen haben auch bereits eine Fehlerkorrektur ("Patch") angekündigt. Die Korrektur ist einfach. Einmal verwendete Schlüssel (nicht der WLAN Schlüssel der SSID des Anwenders) sollen verworfen werden. Wie man das beim gravierenden Sicherheitsproblem "Heartbleed" gesehen hat, werden wahrscheinlich auch hier diverse Android, Linux, FreeNas, etc. von den Herstellern nicht gepateched werden. Der Konsument soll ein neues Gerät kaufen. Die neueste (August 2017) Android Version "Oreo" wird in den nächsten Jahren solche Probleme effizienter lösen. Cisco - siehe Quelle 11 - beschreibt auch Risiken im Zusammenhang mit 802.11r und VOIP / Video. Unter Workaround wird dort empfohlen, dieses zu deaktiveren. Sofern man es für VOIP / Video nicht explizit braucht. Natürlich werden auch die alten Mythen zu WLAN Sicherheit wie MAC Filtering und SSID verstecken wieder verbreitet. Wer solchen uralten und 1001 mal widerlegen Unsinn verbeitet, sollten zukünfitg ignoriert werden. Siehe unter Quellen Punkt 15.   Timeline: 16. Okt 2017:    Synologic liefert Patch 17. Okt 2017:    Guido Tranel (HW Verantwortlicher Swisscom) meldet, dass die Routermodelle der Internetbox nicht betroffen sind. 17. Okt 2017:    Linux / Solaris sind gepatched 17. Okt 2017:    Windows meldet das Win 7 / 8 / 8.1 / RT 8.1 / 10 / 2012 gefixt sind:  Windows 10 Knowledge Base: KB4042895 Windows 10 Version 1511 Knowledge Base: KB4041689 Windows 10 Version 1607, Windows Server 2016 Knowledge Base: KB4041691 Windows 10 Version 1703 Knowledge Base: KB4041676 Windows 7, Windows Server 2008 R2 Knowledge Base: KB4041681 Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 Knowledge Base: KB4041693 Windows Server 2012 Knowledge Base: KB4041690 17. Okt 2017:    LineageOS meldet, dass KRACK gefixt ist. 18. Okt 2017:    Swisscom nimmt Stellung zu KRACK 19. Okt 2017:    Guido Tranel meldet, dass die Centro Granda / Centro Business Modelle nicht betroffen sind 20. Okt 2017:    Lancom nimmt Stellung was wann gepatched wird 20. Okt 2017     Apple: Nur Betas sind gepatech. Keine Infos was wann einen Update erhält. 20. Okt 2017:    AVM (Fritzbox) kündet Updates an. Aktuell nur für folgende Geräte: FritzWLAN Repeater 1750E und FritzPowerline 1260E. 20. Okt 2017:    Studerus informiert über den Updatestand der Zyxelfamilie. PS: Der Werbeslogan auf der Studerus Website: "WLAN macht glücklich" ist etwas unglücklich...   Letzter Update: 21. Oktober 2017 - 5 Uhr   Quellen: www.krackattacks.com - Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse www.mathyvanhoef.com: "Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2" Mathy Vanhoef on YouTube: KRACK Attacks: Bypassing WPA2 against Android and Linux www.heise.de Security - "WPA2: Forscher entdecken Schwachstelle in WLAN-Verschlüsselung" www.heise.de - Security - "Details zur KRACK-Attacke: WPA2 ist angeschlagen, aber nicht gänzlich geknackt" www.heise.de - Security - "KRACK: Hersteller-Updates und Stellungnahmen" www.heise.de - Security - "KRACK: Apple behebt WLAN-Lücke – allerdings nur in Betaversionen" Swisscom Community: "WPA2 Leack - wirklich oder wieder nur Baitfishing?"  Bluewin.ch: "WLAN-Sicherheitslücke: Das müssen Sie wissen" reddit.com: "Wi-Fi WPA2 security has been potentially KRACK-ed" cisco.com: "Multiple Vulnerabilities in Wi-Fi Protected Access and Wi-Fi Protected Access II" cert.org: Liste der betroffenen Hardware Anbieter krebsonsecurity.com: "What You Should Know About the ‘KRACK’ WiFi Security Weakness" www.heise.de - Security - "KRACK - so funktioniert der Angriff auf WPA2" pcworld.com: 5 Wi-Fi security myths you must abandon now kali.org: WPA2 Key Reinstallation AttaCK or KRACK attack Ubiquiti Devices & KRACK Vulnerability  

Nas Disk ist voll

Dieses Wochenende hatte ich mit meinem QNAP NAS zu kämpfen. Es meldete Samstagmorgen es sei überfüllt. Ohne das ich am Vortag irgend einen Prozess gestartet hätte bzw. vorgemerkt hätte. Löschen half nichts. Windows 10 meldete dasselbe 0 Byte von 7 TB frei. Anmelden in QNAP als Admin. QNAP meldet dasselbe. Logiles checken. Disk und dananch Festplattenstruktur Test starten. Keine Fehler gefunden, somit ergab sich keine Verbesserung. Zufällig schaute ich den Ordner "$Recyle.bin". Dort fand ich meine gespiegelte Datensammlung vor. D.h. auf dem NAS waren wahrscheinlich 12 TB statt der 6 von 7 TB gespeichert.   Das löschen der Verzeichnisse in diesem Folder hatte den gewünschten Effekt. Das "Warum" bzw. "Wie" bleibt in dunkeln. Wie so oft, keine Zeit sich damit auseinander zu setzen.

DDE Reload

DDE und OLE stammen aus den Zeiten von Windows 3.1. Jetzt wird es wieder akutell. Sensepost.com hat ein Sicherheitsproblem in Ihrem Blog beschrieben   DNSMASC hat schwerwiegende Sicherheitslücken. Dieser Sachverhalt geht von der Dimension her in Richtung "Heartbleed".  Quellen: linux-magazin.de https://security.googleblog.com heise.de   Technikblog.ch beschreibt sehr ansprechend und für die Praxis wie man eine Photovoltaik Anlage in Betrieb nimmt.   redmondmag.com schreibt über die kommende Powershell 6.0 Version:  "Microsoft Transitioning Windows PowerShell 6.0 into PowerShell Core". Günter Born hat einen Beitrag zum Thema Powershell und das neue binärformat der Eventlos verfasst: "Windows 10 1709: Update-Logs mit PowerShell formatieren"   "TRÅDFRI" die Ikea Alternative zu den bekannten Philips Hue Lampen. Vorteile:   Sicherheit Preiswert Einfach Kommunikation Sicherheit Der Zugriff über Internet ist nicht integriert oder vorgesehen. Keine Cloud Lösung oder Steuerung über Internet. Sogar die Steuerung über eine App kann abgestellt werden. Dafür wird eine Fernbedienung geliefert.  Einfach  Die Website "homeandsmart.de" hat einen Praxistest gemacht. Den überzeugenden Post findet man hier. Kommunikation Die Lampen können mit der Philips Hue-Bridge genutzt werden. Sowohl "homeandsmart.de" als auch "Caschys Blog" haben hierzu Praxisberichte veröffentlicht. Die Schnittstelle zu Siri und Alexa soll per Software Update nachgereicht werden. So wurde es wiederholt versprochen. Einen Termin oder Zeitrahmen hat Ikea bis jetzt nicht genannt.  

Notizen zu Computerthemen

NAS Die Marke Synology ist in der Schweiz beliebt. Wenn die zu lösenden Aufgabe für Synologic keinen Vorteil (App / Zubehör / etc.) ergibt, nehme ich QNAP. Dort hat man - analog einem Computer - noch Schrauben um die Festplatten zu fixieren. Synology hat das inzwischen ohne gelöst. Vor ca. Jahren habe ich WD Red eingebaut. Diese jetzt durch die neueste Generation WD Red in einem ca. 4 Jahre alten NAS ersetzt. Selbst in stundenlangen schreiben auf die brutto 8 GB Diskplatz waren sie unhörbar. "Unhörbar" in einem Atelier auf dem Lande, ohne Geräusche im Haus / um das Haus oder Hintergrund Musik. D.h. die alte Formal "Wenn NAS im Wohnzimmer, dann SSD" hat sich stark relativiert. Auch wenn die SSD immer grösser und günstiger werden, sollte man  bei einer Evaluation das ganze sich genau überlegen. Sowieso wenn intensive Schreibzyklen (SSD = limitierte Schreibzyklen) über Jahre geplant sind. Formatierung der Festplatten: Wenn der Verlust der Daten kein GAU ist, dann nimmt man JBOD und nicht Raid 0. Der Unterschied ist, dass Raid 0 die Daten bitweise und JBDO ganze Dateien auf die vorhandenen Festplatten schreibt. D.h. man hat - hypothetisch - noch intakte Dateien auf der Platte, wenn eine der Disk einen Defekt hat. JBOD soll ursprünglich für das verwenden der einzelnen Disk gestanden haben. Hat sich aber nach meiner Recherche 2017 definitiv geändert. Für Datensicherung nimmt man Raid 1. Anders als eine Cloud soll die Datensicherung nicht permanent gemappt / angeschlossen sein. Ansonsten wird ein Verschlüsselungs Trojaner auch die Datensicherung überschreiben. D.h. wenn man eine "private Cloud" plant, muss diese netzwerk technisch bzw. physisch von der Datensicherung getrennt sein. Viele NAS Betriebssyteme erlauben das betreiben einzelner Platten ohne Raid / JBOD Formatierung. Das ist dann quasi eine dritte Möglichkeit. Wie immer gilt KISS ("keep ist simple Stupid") und wer vorbereitet (Planung, Checkliste, etc.) ist, hat einen Vorteil.   MS Excel Ein Klassiker ist die Frage, wie ich in Excel die Angabe von Zeit (Stunden / Minuten) mit einem Stundenansatz (Franken) verwende. Das "Problem" ist, dass Excel nicht mit zwei Formaten (Zeit / Währung) rechnen kann. Der "Trick" ist, dass man die Zeit in ein digitales Format umwandelt. Beispiel: Zelle A1 steht der Zeitwert "4:30" (Format: hh:mm) Zelle A2 steht der Stundensatz "120 Franken" ( Format Währung) Zelle A3 soll nun mittels einer Formel der Frankenbetrag ermittelt werden. Der Betrag wird eigentlich über "=A1 * A3" berechnet. Das klappt nicht. Bzw. ergibt ein falsches Resultat. Wenn man den Zeitwert mit 24 multipliziert klappt es. Die Formel oben muss also lauten "=(A1 * 24) * A2"   "Atlantik Kabel" Der Internetverkehr zwischen USA und Europa wird über ein neues Netzerkkabel abgewickelt. Der Bericht von Spektrum.de erklärt, warum dieses Kabel jede Superlative sprengt.

WhatsApp

WhatsApp ist einer der beliebtesten Messenger weltweit. Einfach zu installieren und schnell verstanden hat es seinerzeit das Feld besetzt. Die gravierenden Mängel im Datenschutz wurden durch eine verschlüsselte Kommunikation gemildert. Die Kopie der Kontaktdaten auf die WhatsApp Server in den USA findet weiterhin statt. Hochwertige Alternativen wie Threema kommen für die breite Masse der Benutzer schlicht zu spät. Und im Zweifel wird "einfach" bzw. "bequem" sich immer gegen "sicher" und "besser" durchsetzen... Dieser Artikel handelt von der praktischen Seite der App. Ich versetze mich in die Situation eines Anwenders, installiere die App, erkunde die Möglichkeiten und sichte das Netz nach Tipps und Tricks. Grundlage ist ein Samsung Handy mit aktuellem Android und der WhatsApp Version 2.17.329 vom 7. Sept 2017. In zweiter Linie suche ich nach Informationen wie mit WhatsApp im Browser gearbeitet werden kann. Die Arbeit im Browser ist meine persönlich bevorzugte Arbeitsweise. Installation WA steht nachfolgend als Akronym für WhatsApp. Nach der Installation wird nach der Handynummer des Gerätes gefragt. Danach erhält man auf diese Handynummer ein SMS mit einem Code. Wenn man diesen eingegeben hat, ist das WA Konto eröffnet. Eine Installation auf SD Card ist nicht möglich.     Nachrichten WA funktioniert so, dass über einen Kontakt eine Nachricht (verschiedene Formate - später) geschickt wird. Damit die Kontaktliste in meinem Handy übersichtlich bleibt, habe ich die Option "Nur Kontakte mit Telefonnummer anzeigen" aktiviert. Das erleichert auch die Arbeit mit Messengern erheblich. Was vielen Anwendern auch nicht klar ist, dass die Kontakte auf dem Handy von verschiedenen Messengern genutzt werden können. D.h. ich kann z.B. Facebook Messenger, Threema und WhatsApp auf einem Handy installieren. Nach der Installation werden die Kontakte eingelesen. Wenn bei einer Telefonnummer in den Kontakten der gleiche Messenger bzw. Protokoll installiert ist, wird der Kontakt im Messenger - z.B WhatsApp - angezeigt. Nach dem Start von WhatsApp werden die Kontakte angezeigt. D.h. die Handynummer die ebenso WhatsApp installiert haben und online sind. Mit einem Klick auf dieses grün hinterlegte Symbol wird eine neue Nachricht erstellt. " /> Danach den Text eingeben und abschicken (Pfeil rechts - mit einem roten Kreis markiert). Das war bereits die erste Nachricht. Das ist geschätzt das wie 90% der WhatsApp Anwender die App nutzen. /> Stattdessen kann man dem anderen eine Sprachnachricht zukommen lassen. Das ist persönlicher, bzw. emotionaler. Das Vorgehen ist gleich wie vorhin. Kontakt auswählen und auf das Symbol für neue Nachricht klicken. Rechts vom Textfeld sieht man Mikrophon.   Das funktioniert wie ein Walky Talky: Auf das Icon drücken und die Aufnahme ("senden") läuft. Sobald man den Finger wegnimmt, wird die Audiodatei erstellt und der Nachricht hinzugefügt. Anstatt eine Audiodatei an die Nachricht anzuhängen, kann man auch einen Videoanruf machen. Das Vorgehen ist immer dasselbe. Kontakt auswählen und auf das "neue Nachricht" Symbol klicken. Diesesmal oben (grüner Bereich) auf das Symbol der Videokamera klicken. Dazu muss man beachten, dass auf beiden Seiten (Sender / Empfänger) eine starke Internetverbindung bestehen muss. Und das man mit dem Telefon Icon daneben jemanden anrufen kann, schliesst die verschiedenen Möglichkeiten ab. Nicht gelesene Nachrichten werden in der App mit einer Zahl - Chat 1 - angezeigt. Zusätzlich sieht man bei jedem Kontakt die nicht gelesenen Nachrichten.     "WhatsApp Web"  Man geht auf die Website  , scanne mit der Whatsapp App auf dem Handy den QR-Code und schon ist die Browser Variante aktiv. Man beachte, dass das verwenden dieser Variante den Internetzugang des Handys belastet. D.h. die Browser Applikation sendet die Nachrichten nicht über das Gerät auf dem Browser gestartet ist. Die Nachrichten werden an die App auf dem Handy transferiert und von dort gesendet. Bzw. abgeholt.    Ressourcen: WhatsApp AGB WhatsApp download WhatsApp erneut installieren (Alle Daten werden gelöscht) APK download Bugs melden Welche Geräte / OS werden nicht oder bald nicht mehr unterstützt          

Panik! Melani meldet 21000 gehackte Zugangsdaten

Der Auslöser für diesen Post war die Meldung von Melanie, die am 29. August in meinem RSS Reader eintraff. "Melanie" hatte Kenntnis erhalten, dass 21000 Zugangsdaten (Benutzernamen / Passwort) aufgeflogen sind. Quelle der Daten sei nicht bekannt. Daher soll man seine Daten auf einer Website der Schweizer Regierung prüfen. Bei negativem Ergebnis die Daten ändern, sowie die dort aufgelisteten (allgemein) bekannten Tipps berücksichtigen. Kurz und gut: "Blödsinn". Wer mit den selben Anmeldedaten bei Brack / Amazon und Facebook sich anmeldet, hat seine Pflicht zur Eigenverantwortung nicht wahrgenommen und verdient die Strafe. Strafe ist ja immer auch eine Aufmunterung, nachzudenken und zu lernen. Leider muss man nicht zuerst einen Führerschein machen, bevor man in das Internet geht. Und die Aufforderung des Helfenden bereits daran scheitert, etwas in der "Adresszeile" einzugeben dann wird es Zeit in die Schule zu gehen. "Unwissend" zu sein, kann man korrigieren. Meine Aussage ist nicht, dass der Umgang mit den Computer und Technologien simpel ist. Letzthin war ein guter Freund von mir - ein langjähriger und permanent lernender Developer - bei seinem Vater,  um auf dem IPhone WhatsApp und Twitter in Betrieb zu nehmen. Wie wir das alle kennen, gibt es da Details und Feinheiten die gerade die nicht in der Apple Welt lebenden erst verstehen müssen. So ging ein Samstag herum, bevor der Kampf gegen die Tücken der Technik gewonnen war. Gerade für die ältere Generation war das Leben kein Zucker schlecken. D.h. diese Menschen sind an harte Arbeit gewohnt. Daher erstaunt es mich, dass ich wiederholt von Personen auf dieser Altersgruppe Aussagen wie "ich bin zu alt dafür" oder "Ich will das nicht mehr lernen" höre. Erst Recht, wenn die Person die Vorzüge kennt und profitieren will. "Foifer und s Weggli" häts ni gä und wird's ni gä - Punkt. Oder wie wir in der Primarschule - zu Recht - oft zu hören bekamen: "Du kannst schon  aber Du willst nicht".  Zurück auf die aktuelle Meldung von Melani gebracht, betrifft es nur die Anwender die effektiv die gleichen Anmeldedaten für mehrere Dienste verwenden. Und wer so handelt, ist bequem und nimmt die Eigenverantwortung in gröbster Weise nicht wahr. Vergleichbar mit jenen verkehrsteilnehmern (aka Idioten), die mit dem Blick auf das mobile Gerät auf die Strasse latschen. Absichtlich nota bene...! Last but not least: nie werde ich irgendwo bzw. bei irgendwem meine Zugangsdaten prüfen. Der Staat - OK die Gemeinde oder in der Region in gewissem Umfang ausgenommen - ist nicht Dein Freund. Sie wollen Daten, damit sie den Bürger kontrollieren können. Stichwort: Big Data. Die Daten werden aus einem der unzähligen Webshops stammen. Diese werden quasi wöchentlich "gehackt", quasi im im Vorbeigehen. Im Ernst, wenn vom deutschen Bundestag bis hin zur NSA oder Firmen wie Sony 2x und Yahoo 3x die Kundendaten geraubt werden, ist da noch jemand erstaunt das die eigenen Anmeldedaten betroffen sein könnten? Also sollte der Konsument sich ein paar Minuten Zeit nehmen und sich ein Konzept sowie Checklisten anlegen.   Als Praktiker gehe mit dem Sachverhalt wie folgt vor. Ich setze auf folgende Eckpunkte: Bevor man sich anmeldet, Klarheit haben über A: wie man den Dienst beendet B: die Anmeldedaten zurück setzt. Zwecks Identifizierung wird bei der Anmeldung das Geburtsdatum verlangt. Nicht das richtige verwenden, sondern eines erfinden und nur dieses verwenden.: Das eingetragene Geburtsdatum kann als Indikator für das aktuelle Passwort verwendet werden. Passwörter müssen periodisch (Checkliste) geändert werden. Mit dem neuen Passwort setze ich auch ein neues Datum.  Passwortregeln: A: Sonderzeichen:  Nicht alle Dienste unterstützen die gleichen Sonderzeichen. D.h. man erstellt z.B. im Excel eine Tabelle mit den Sonderzeichen und den Diensten. Die Sonderzeichen die alle unterstützen verwendet man. B: Passwort Tresor: (z.B. Keepass oder Lastpass): Besser nicht verwenden. Stattdessen sich ein System ausdenken, mit Zahlen aus einem Fachgebiet das man gut kennt. Z.B. die Jahreszahlen der Entdeckung der Planeten. Oder dem Eintrittsdatum der Kantone in die Eidgenossenschaft. Keine Dienste wie Facebook für die Anmeldung verwenden. Für jeden Dienst ein eigenes Set an Anmeldedaten erstellen. Dort wo Geld und / oder Reputation auf dem Spiel steht, aber auch kritische strategische Elemente wie gemietete DNS Server, zusätzlich absichern. D.h. in die Entscheidung mit welchem Dienstleister man arbeiten will, die sicherheitsrelevanten Funktionen als Punkte (Minus / Plus) einfügen. Verschiedene Lebenssituationen wie "vom Internet abgeschnitten", "eigenes Handy nicht verfügbar", "schwer krank" oder das Ableben berücksichtigen. Wer soll / muss dann auf die Daten zugreifen können und wie kommt sie daran (Berechtigung) Aktuelle Handy Verträge ermöglichen heute zu vernünftigen Preisen eine Dual SIM. Wer sich bei der Sicherung des Zuganges über eine Zwei Weg Authentifizierung mit Handy absichert, sollte darüber nachdenken. Sowohl vom Nutzen als auch vom Risiko (wer kann auf die zweite SIM zugreifen?). Wählt einen Handyanbieter aus, der einen kompetenten Kundendienst hat. Dort kann man im Kundendossier vermerken lassen, dass die jede Transakation (z.B. die SIM Karte sei gestohlen und müsse gesperrt werden) nur über ein bestimmtes Passwort erfolgen darf. Naürlich muss der Kunde den Kundendienst unterstützen und Mitarbeiter benennen, die die Sicherheitsfrage nicht gestellt haben. Wir kennen das alle: "Man war und ist nicht gut, sondern man trainiert und lernt und wird so besser". Nachfolgend eine Reihe (nicht wertend und nicht vollständig) von Technologien / Verfahren die man zum Schutz von Zugangsdaten vorfinden kann: Zwei-Faktor-Authentifizierung (2FA)  IP Range der Anmeldung (GeoLocalisation) beschränken. Nach Möglichkeit nur verschlüsselte Protokolle (Mail: POP / IMAP / SMTPAUTH mit TLS / DNSSEC) Logfile mit allen Anmeldungen und dazu Detailinformationen: IP, Datum / Zeit (mit Zeitzone) / Anmeldedaten.  Verschiedene Passwörter - für jeden Client eigene Anmeldedaten. Diese können lokal im Schlüsselbund (MAC) oder Tresor (Windows) verwaltet werden Authentifizierung mit USB-Stick (Dongle) Eine Übersicht zu Techniken und Verfahren (Stichwort: SPF / DKIM / DMARC) liefert diese Website von MSXFAQ.DE  Fazit Das Internet ist nicht nur nicht sicher, es ist gefährlich. Misstrauen und Vorsicht sind Pflicht. So wenig wie möglich Dienste, Shops, etc. verwenden, dort dafür mit verschiedenen Benutzernamen / Passwörter ohne Passwortdienste wie Facebook arbeiten. Man kann durchaus Passworte altmodisch auf Papier notieren. Aber nur wenn man diszipliniert genug ist, dass Notizbuch wieder in die verschlossene Schublade oder Tresor zu legen. Man will ja nicht Gäste, Handwerker oder die Putzfrau in Versuchung führen...    

HTTP - neue Fehlermeldungen

Ein Computer (Client) sendet eine Anforderung an einen anderen Computer (Server). Der Server sendet in der ersten Zeile der Antwort einen dreistelligen Statuscode mit einer textuellen Ergänzung. Z.B. Statuscode 404 und den Text "not found". In der Gestaltung der Fehlermeldung hat der Serverbetreiber freie Hand. Ein schönes Beispiel liefert die Nasa. Dieser wird angezeigt, wenn man nach der Eingabe der Domain im Browser eine nicht existierende Website anfordert. Z.B. "www.nasa.gov/schweiz.html". Natürlich haben die auf HTTP aufbauenden Protokolle (wie z.B. WebDav) i.d.R. eigene Fehlermeldungen. HTTP wurde in den Anfängen des WWWW (nicht des Internets) von Tim Berners-Lee für HTML entwickelt. WebDav arbeitet mit Dateien, daher sind viele Fehlermeldungen nicht passend. In den letzten Jahren hat das HTTP Protokoll hat zwei neue Status Codes erhalten. Den eine darf man als "skurill" bezeichnen. Die anderere hingegen hat politisches Potential. HTTP ist eines der zentralen Protokolle des Internet. Binsenweisheit. DNS ist in den Grundzügen seiner Funktion eher bekannt, als HTTP. Die Google Suche erbrachte mit dem Wort HTTP eine Vielzahl an Treffern die nichts mit dem Internet Protokoll zu tun haben. Erst mit dem zweiten Suchwort "Protokoll OR Protocol" erhielt ich ausschliesslich Treffer dazu. Daher eine kurze Leseempfehlung, was bzw. wie HTTP ist: Elektronik-Kompendium.de handelt das Thema technisch ab. Webschmoeker.de liefert eine sanfte Lernkurve für Einsteiger in das Thema Netzwerkprotokolle. RFC1945 Code.org hat ein geniales Video zu HTTP / HTML erstellt: "The Internet: HTTP & HTML"   Fehlercode 418 #Supporter/Administratoren/Anwender Nicht relevant. Eine rein akademische Fingerübung. Genau genommen ist es auch kein HTTP Statuscode, sondern ist im RFC des Protokolles HTCPCP definiert. Wird man in der Praxis - trotz aufkommenden IoT - nie zu Gesicht bekommen. #Neugierige/Profis Das Protokoll HTTP ist vielseitig verwendbar. Darauf aufbauend können "Extensionen" ("Erweiterungen") als eigenständige Protokolle festgelegt werden. D.h. es werden ggf. neue Funktionen und Headerfelder hinzugefügt. Die Verwendung für Hyperlinks ist lediglich eine Anwendung. Bekannte Beispiele für "Extensions" sind: WebDav SPDY  Larry Mansiter war 1998 nicht glücklich, über diese schrankenlose Flexibilität des HTTP Protokolls. Als Aprilscherz jedoch mit fachlicher Seriosität definierte er als  Erweiterung das Protokoll "HTCPCP". Das Akronym bedeutet "Hyper Text Coffee Pot Control Protocol". Damit kann man mit vernetzten Kaffeemaschinen kommunizieren. Der Umfang der Kommunikation hat der Entwickler im RFC 2324 festgelegt.  Und in diesem RFC, Punkt 2.3.3, ist der Fehlercode 418 definiert. Kaffee ist ein integraler Bestandteil der Internetkultur - von Anfang an. Was die "Trojan Room Coffee Machine" beweist. Die Teefraktion schlug 2014 mit dem Protokoll "HTCPCP-TEA" als Aprilscherz zurück. Definiert in der RFC 7168. Im Abschnitt "Abstract" wird deklariert, dass dieses Protokoll als Erweiterung ("Extension") zu HTCPCP definiert ist: The Hyper Text Coffee Pot Control Protocol (HTCPCP) specification does not allow for the brewing of tea, in all its variety and complexity. This paper outlines an extension to HTCPCP to allow for pots to provide networked tea-brewing facilities. Somit ist der Statuscode 418 genau gesehen ein Fehler des HTCPCP Protokolles. Wie schon einige Male haben sich die akademischen Scherze zu ernsthaften und realen Konstrukten verselbständigt. Der für das HTTP Protokoll Verantwortliche bei IETF hat mehrfach versucht diese Fehlercodes wieder zu löschen. Damit das Kernprotokoll nicht verschmutzt wird und der Fehlercode für eine spätere Verwendung frei ist. Der Fanclub des Fehlers formierte mit einer Website den Widerstand. Selbst Google unterstützte am Schluss diesen Fehlercode. Das IETF gab nach und reserviert den Fehlercode für eine spätere Verwendung. In der Praxis wird man den Fehlercode kaum je sehen, da sich i.d.R. kein Entwickler die Arbeit mit einer so differenzierte Fehleranalyse macht.  Mein Fazit: Humor in RFCs ist nichts Neues. Humor im allgemeinen ist abhängig von Situation und Kontext eine menschliche Qualität. "Internet" hat in der modernen Gesellschaft die Bedeutung von Elektrizität oder Mobilität. Wenn das IETF ("Mark Nottingham") auf Druck einer Gruppe bzw. der Firma Google Spezifikationen in HTTP ändert, so ist das nicht vertrauensfördernd was der Glaube an ein freies und funktionierendes Internet angeht.   Fehlercode 451 Es erstaunt mich stets aufs Neue, dass das Buch "1984" für viele ein Begriff ist. Jedoch wesentlich weniger "Schöne neue Welt" oder "Fahrenheit 451". Der Titel des zu letzt genannten Buches diente als Vorlage für den Fehlercode. Der Fehlercode 451 zeigt den Text "Unavailable for legal Reasons" an und ist im RFC 7725 spezifiziert.  2012 las Google-Mitarbeiter Tim Bray das ein britischer ISP eine Website auf Grund eines Gerichtsbeschlusses blockierte. D.h. wenn man die URL im Browser eingab, erhielt man den HTTP Status Code 403 - Forbidden - angezeigt. Er reichte dem IETF den Vorschlag ein, für die staatlich zensurierten Websites einen eigenen Status Code einzuführen. 451 passte in der Analogie zum Buch. Das wurde vor ca. 1 Jahr auch so umgesetzt. Wie heikel bzw. praktikabel die Umsetzung dieses Fehlercodes ist, zeigt ein frei lesbarer Artikel aus dem Heise Verlag vom Juli 2017: "HTTP-Fehlercode 451: Tools sollen gegen Zensur helfen und sie transparent machen"          

Swisscom Internet Security blockiert den Browser

Besuch bei einer Freundin. Win10 neu aufgesetzt. Swisscom Internet Security (lizenzierte Version von F-Security) installiert. Später den Browser Vivaldi. Die Freundin gebeten das Tutorial durchzuspielen, so lange ich noch da bin.   Klick auf Firewall und Antivirenkonfiguration prüfen Eine Windows Netzwerkdiagnose durchführen Klick auf ausführliche Informationen anzeigen Der Schuldige ist genannt. Also schauen wir die Swisscom Internetsecurity genauer an, ob sich das einstellen lässt. Z.B. über den SysTray. Die Einstellung "Privacy" fällt mir sofort ins Auge. Die Standardeinstellung ist, dass die Daten der Anwender automatisch von der Firma F-Security kopiert werden. Das deaktiviere ich. Hier geht es um den mobilen Internetzugang. Dennoch teste ich den Effekt, wenn ich den HTTP Proxy deaktiviere. Leider derselbe Effekt. Die Website mit den Tutorials des Browsers Vivaldi lassen sich nicht aufrufen. Da das Icon im SysTray keine weiteren relevanten Menupunkte bietet, starte ich das Hauptprogramm. "Settings" ist der Einstieg in die Konfiguration. Wie viele Antiren Suiten verlässt sich auch F-Security auf die Windows Firewall. So viel zum Thema Qualität des Windows - Schlangeöls aka Software Firewall. Wie bei einem neuinstallierten Windows zu erwarten, alles "normal". Zurück zu F-Security. Test mit ausgeschaltener Firewall. Negativ. Die Netzwerkverbindung wird nicht aufgebaut. Dann bleibt nur noch die Applikationsebene. Z.B. der E-Banking Schutz. Da sich dieser nicht steuern / beenden lässt, schalten wir die Software ganz ab. Jetzt klappt es. Die Vivaldi Tutorials werden angezeigt. Also den Schutz wieder aktivieren. Danach lässt sich das Tutorial noch immer normal nützen. Während ich das Problem analysierte, startete ich den Browser Vivaldi mehrfach neu und hatte keine Zugriffsprobleme mehr. Sehr unschön. Das eine Firewallregel falsch / zu scharf greift ist OK. Dann korrigiert man die Einstellung und erledigt. Hier ist es nicht nachvollziehbar wie sich die Applikation erhält. Der nächste Schritt wird sein, in den F-Security Foren nach "Problemen" mit dieser Bankensoftware (mein Verdächtiger Nr 1) zu suchen. Und natürlich über Eventlog sowie ggf. SysInternal Tools weitere Infos zu erarbeiten. Für Windows 10 Anwender reicht eigentlich der MS Defender aus, solange der Anwender die installierten Applikationen regelmässig updatet. Und natürlich keine Attachments aus ungesicherter Quelle öfffnet bzw. nicht Software installiert die er genau zuordnen kann. "Flash" und "Java" gehören z.B. auf keinen Anwender PC. Und last but not least müssen die Daten wie die Systempartiton wieder herstellbar sein. D.h. wenn der Anwender wiederholt mit dem Problem oben konfrontiert ist, wird das deinstallieren der Software die Lösung sein.        

"Tut mir leid, ich verstehe das nicht"

Golem.de - hat Google Home auf Deutsch getestet Technikblog.ch hat immer wieder spannende Artikel zu Photovoltaik. Aktuell ein Bericht getestet zu Solarpanel auf dem Balkon. AVM hat für das Produkt Fritzbox und den ISP Swisscom eine Schritt für Schritt Anleitung veröffentlicht. Wahrscheinlich ist die Fritzbox das beliebteste Modem bzw. Router für Swisscom Kunden, welche nicht mit den Swisscom eigenen Routern arbeiten will. Auf der Schweizer Subdomain der AVM findet man auch eine Knowlege Base. DE FR Tuxone hat einen neuen Blogbeitrag geschrieben: "Swisscom Business Internet Services DMZ Mode, Einführung und Setup mit pfSense" Auf der Bluewin Website ist wieder eine neue Folge von "Tipps & Tricks" zum Swisscom Kundencenter erschienen. Netflix und Swisscom TV haben sich irgendwie noch immer nicht lieb... 2016 2017 Heise.de: "Die Geschichte von Junipers enteigneter Hintertür". IT - Sicherheit oder eine Jungfrau hat Jesus geboren - in beiden Fällen ist der Faktor "Glaube" die Grundlage zur Seligkeit...  IMHO        

E-Mail und Verschlüsselung - was ist was?

Swisscom schreibt die Bluewin Kunden seit einiger Zeit an, wenn sie in Ihren E-Mail Programmen unverschlüsselte Server konfigurieren. In diesem Themenkontext - Mail und Verschlüsselung - gibt es Missverständnisse die geklärt werden müssen. Wie funktioniert diese Verschlüsselung? Über ein Protokoll wird eine Verbindung zum Zielcomputer (Server) aufgebaut. Dieser muss über ein Zertifikat sich ausweisen, damit die Verbindung aufgebaut werden kann. Diese Zertifikate gibt es in verschiedenen Sicherheitsstufen. Von selbst augestellten bis hin zu offiziellen Zertfikation, welchen von einer Zertfizierungsstelle herausgeben wurden. Verschlüsselt die SSL Verbindung das Mail? Nein, lediglich die Verbindung zwischen zwei Netzwerkteilnehmern. D.h. die Passwort Übermittlung. Hintergrund: E-Mail ist ein Service im Internet. Internet basiert technische auf TCP IP. TCP IP ist eine Sammlung von Protokollen. Protokolle sind Vereinbarungen, was wie gilt. Beispiel im Alltag: Im Unterricht die Hand hochhalten, bedeutet universell das man etwas mitteilen will. E-Mail nutzt die Protokolle IMAP / POP / SMTP und für das Webmail (z.B. Bluewin.ch / GMX.CH / etc.) das Protokoll HTTP. Diese Protokolle sind Textprotokolle. Analog einem Roman kann jeder mitlesen. Die SSL / TLS Verschlüsselung packt den Text in eine Schutzhülle. Das ganze wurde im RFC2595 definiert. Nein, auch dieser ist nicht 100% sicher. Über einen Proxy Server, kann ein Administrator im Netz auch HTTPS Kommunikation lesen. Das muss er ja (Stichproben), ansonsten könne ein Mitarbeiter im Firmennetzwerk kriminelle Nachrichten verschicken. Was ist der Unteschied zwischen SSL und TLS? TLS steht für Transport Layer Security und ist das Nachfolgeprotokoll von SSL. Die erste Version von TLS ist eine minimal angepasste Variante der dritten Version von SSL. D.h. der Nachfolger von SSL und wurde von der IETF standardisiert. Umgangssprachlich redet man dennoch von SSL. Die aktuelle TLS Version ist 1.3 Kann ein einzelnes E-Mail verschüsselt werden?     Mozilla Artikel über den Nutzen der HTTPS Verbindung.

Wer hat eine Bluewin E-Mail Adresse?

Wer eine Bluewin E-Mail Adresse hat, wird oder wurde bereits angeschrieben die E-Mail Programm Einstellungen auf SSL / TLS zu ändern. Spätestens nächstes Jahr sollen die nicht verschlüsselten E-Mail Server ausgeschaltet werden. Seit kurzem hat sich ein anderes Detail betreffend dem einrichten in einem E-Mail Programm geändert. Man kann das Passwort nicht mehr im Swisscom Kundencenter nachschauen. Nur noch ändern. https://supportcommunity.swisscom.ch/t5/Diskussionen-zum-Thema-E-Mail/E-Mail-Passwort-im-Kundencenter-anzeigen/td-p/499430 D.h. wenn ich eine Bluewin E-Mail Adresse auf einem zusätzlichen Gerät einrichte und das Passwort für die POP / IMAP / SMTP Server nicht mehr weiss, habe ich folgende Optionen: Passwort im Kundenzentrum ändern. Danach auf allen Geräten ändern. http://www.swisscom.ch/login/ Programm "My Swisscom Assistant" https://www.swisscom.ch/de/privatkunden/hilfe/internet/e-mail-einrichten-reparieren.html#tab-automatisch   Das E-Mail Passwort einer nicht verschlüsselten Windows Partition kann mit "Mail Pass View", einer  der Nirsoft Passwort Tools ausgelesen werden. Quasi Reverse Engineering. http://www.nirsoft.net/password_recovery_tools.html    

Wieder ein Krypto Trojaner im internationalen Angriff

"Wanna Cry" hat einen würdigen Nachahmer gefunden: "Petya". Heise.de updatet seine Meldung laufend. Nebst den Kommentaren im Heise Artikel hat der Blogger Günter Born gewohnt sorgfältig die Fakten zusammengetragen und ausgewertet. Englische Informationen sind hier zu finden: https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/ https://forums.juniper.net/t5/Security-Now/Rapid-Response-New-Petya-Ransomware-Discovered/ba-p/309653 https://www.swisscom.ch/de/business/enterprise/themen/security/ransomware-petya.html https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ Nice to know: https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX   Die beste Abwehr ist ein getestetes Backup / Restore Konzept. Virtualisierungslösungen die Snapshots unterstützen sowie mit VLANs kann man dezentrale Netzwerke erstellen, die in kürzester Zeit wieder in Betrieb sindWas natürlich nicht mehr hilft, wenn nationale / internationale Firmen und staatliche Organisationen down gehen sollten... Das sind keine Lausbubenstreiche. Hier wird die Wirtschaft und Infrastruktur von Ländern beschädigt und vernichtet. Menschen werden in Panik versetzt. Das ist die moderne Form des Krieges bzw. der Piraterie. Je zentraler die Infrastruktur eines Landes organisiert ist, desto schlimmer die Folgen für die Bevölkerung. Jede Gemeinde, Bezirk, Region oder Land muss für sich die Verantwortung übernehmen. Bzw. für die Menschen die dort leben. Aus dieser Eigenverantwortung heraus, kann man den Nachbarn helfen und zusammenarbeiten. IMO: Die desolate Situation der schweizer Sicherheitspolitik umreisst dieser Leserbrief prägnant.  

Telekommunikation - Aus / Weiterbildung und Quellen

Im Netzwerkbereich hat es in der Schweiz viele Ausbildungsmöglichkeiten. Über Cisco, Microsoft bis Linux. Für die Telekommunikation sieht es dagegen mager aus. Der Telematiker ist in der Schweiz eine Berufsausbildung. Genauso wie der Informatiker. Der Telematiker arbeitet primär und typischer Weise im lokalen Netzwerk. Er hat also in seinem Berufsalltag wenig mit der Telekommunikation zu tun. In diesem Zusammenhang habe ich diese Woche einen Tipp erhalten. "Dipl. El.-Ing. HTL Peter Müller" unterrichtet das Fachgebiet Telekommunikation und hat seine eigenen Lehrmittel entwickelt. Auf seiner Website kann man die ersten 3 Kapitel in zwei Ausführungen (Schüler / Lehrer) downloaden. Die Lehrer Ausgabe enthält mehr Einzelheiten, was einen Schüler nur ablenken würde ("Reduce to the Maximum"). Natürlich habe ich die ersten drei Kapitel downgeloaded und gelesen. Auch wenn ich mit Hardware bzw. Elektronik wenig Begeisterung zeigen kann, so gehört es zum Grundlagenwissen eines Netzwerk Technikers. Als Autodidakt ohne Fachabschluss reine Routine, da man seine Daseinsberechtigung im Fachbereich konstant unter Bewies stellen muss  ;-)  Sehr gute Seminare mit perfekter Organisation / Umgebung und kompetenten Dozenten habe ich wiederholt bei der Firma Studerus erlebt. Aktuell ist ein Kurs "Ready for All-IP" geplant. Quellen im Web: BAKOM - Telekommunikation Rheinwerk Verlag - Reihen "Openbook":  IT-Handbuch für Fachinformatiker Elektronik-Kompendium.de Wikipedia - Übertragungstechnik  .   Warum zu Digitec gehen, wenn das Angebot von Brack so viel grösser ist? Und mit der Beta Version des Online Shops macht das auch optisch Spass. Jedem Autodidakten wird die "Khan Academy" ein bekannter Begriff sein.. Gerade das Informatikgebiet ist mit deutsprachigen Videotutorials sehr gut abgedeckt. Dieser Webpost erläutert wie man eine Klasse über Khan Academy erstellt und unterrichtet. Ideales Werkzeug für jeden Verantwortlichen, der eine Gruppe Schüler in einem Lernziel betreut. "Hacking" und IT-Sicherheit wurde in keiner mir bekannten US TV Serie so realistisch dargestellt, wie in der TV Serie "Mr. Robot". Da wird mit der Kali Live CD hantiert, Kabel an Switches umgesteckt, Raspberry Pis genutzt. Dank ergänzenden Schüben an Sex, Gewalt und Persönlichkeitsstörungen hat man die 22 Folgen der 2 Staffeln im "binge watching" Stil konsumiert. Am 12. Juni - also gut vor zwei Wochen ist die vierte Staffel der BBC TV Serie Sherlock als deutsche Blue Ray verfügbar. Online seit Anfang Jahr. Also gegen jeden Trend, die DVD / BR asap nach dem Kinostart bzw. TV Start zu verkaufen. Natürlich werde ich sie Ende Monat bestellen - diese Serie verdient es über alle Massen!        

Zukunft von WLAN?

Mir persönlich ist es ein Anliegen, dass die Leser dieses Blogs wissen, dass ich keine Fachdiplome oder Universitätsausbildung habe. Meine Kenntnisse ergeben sich aus Ausbildungen on the Job (Mainframe -> Windows Server -> Telekommunikation), Diskussionen mit Fachexperten und Selbststudium. Selbststudium heisst fleissig lesen und selber mit Projekten das Gelernte in der Praxis erproben. Das nun über 30 Jahre lang. Was ich nicht verstehe, akzeptiere ich nicht. Auch wenn es von einer fachlichen Autorität vertreten wird oder eine allgemeine Lehrmeinung ist. Stichwort: "640 KB Memory sind genug". Wenn es für mich zu einer Problemstellung wird, dann gehe ich nach Top-Down und Ausschlussprinzip vor. Die Diskussionen über Sinn und Unsinn von WLAN (Funkverkehr) gegenüber LAN (Kabel) werden zu oft emotional statt mit Logik geführt. Mein aktuelle Sichtweise sowie den Ausblick auf die nahe Entwicklung lege ich hier kurz vor. Das "Big Picture" ist, dass die mobile Datentechnik die Festnetztechnik ablöst. Was mit der Telefonie (Ablösung der Festnetztelefonie durch Smartphones) begann, hat sich mit dem Internetzugang fortgesetzt. Mit 5G und der schnellen Weiterentwicklung der mobilen Hardware ist die Ablösung des Festnetz Internetzuganges in den nächsten 8 Jahren zu erwarten. Ein Kunde der für den stationären Internetzugang zu Hause zahlt und ein aktuelles Smartphone mit unlimitiertem Internetzugang hat, ist redundant aufgestellt. Wenn gewollt OK, wenn Nein ist es eine unnötige Ausgabe. Dank ESim sowie aktuellen Vertragsoptionen mit Multidevce und gleichzeitiger Nutzung des mobilen Internets auf mehreren Geräten wird den Festnetz Lösungen, aber auch öffentlichen WLAN Angeboten die Daseinsberechtigung entzogen. Noch dazu sind Hotspots ein erhöhtes Sicherheitsrisiko ("Man in the Middle" Szenarien). Kommerziell konkurrenzien die OTT ("Over the Top") Anbieter die traditionellen Telcos. Vergleichbar mit "Tesla" welche der Autoindustrie zusetzt. Wobei diese analogie dahingehend nicht stimmt, dass die Telcos nicht refinanzierte Kosten im Netz haben, welches von den Services die die OTT den Kunden anbieten entstehen (z.B. Netflix). Rein nur auf die Festnetz Lösungen fokusiert, ist WLAN sexy ("Kabel sind hässlich und lästig"). Jedoch wird es massiv überschätzt, was Zuverlässigkeit und Qualität der Verbindung zum Router angeht. WLAN wird mittel- / langfristig im privaten Umfeld an Bedeutung verlieren. Eine punktuelle Lösung für bestimmte Zielgruppen oder Situationen. Die Gründe sind: WLAN wird über Luft in Form einer Funkwelle übertragen. Lan ist ein Kupferkabel. Aus dem Alltag kennen die meisten Anwender den Unterschied im Beispiel beim Radio. Ein Radio das über Kabel an der Dose in der Wand oder einem Netzwerkgerät angeschlossen ist, wird kaum Störungen oder Unterbrüche haben. Anders die Radioempfänger die über Antenne das Programm enpfangen. WLAN ist ein "Shared Media". Das macht es automatisch unberechnbar. Technisch gesehen ist es Ethernet, wie bei LAN (Kupferkabel) auch. Aber die Architektur ist "Shared Media". Das Smartphone mit Internet Flatrate (unlimitierter Internetzugang) hat sich in der Altersgruppe unter 50 Jahren als der meistgenutzte Computer durchgesetzt. Das mobile Internet - neu mit 5G (Nachfolger von LTE) - breitet sich rasend schnell aus. D.h. man hat über das mobile Internet die gleiche Download Geschwindgkeit wie über WLAN. Bzw. sogar höher. Warum im Haus auf WLAN wechseln? Die Kosten für den mobilen Internetzugang sinken mit der Verfügbarkeit. Inklusive zweiter SIM für Mehrfachnutzung. Multimedia in hoher Qualität (HD / UHD, SACD, Flac, etc.) stellen hohe Ansprüche den Datentransport im LAN. "Sharing Media" (Powerline / WLAN) sind physikalisch nicht kontrollierbar. Ein (abgeschirmtes) Netzwerkkabel schon. WLAN ist eine zusätzliche Strahlen / Elektrosmogquelle im Haushalt. Gilt im Grunde auch für Festnetz Telefone mit DECT. Ein Tablet als "Second Screen" kann für den Internetzugang i.d.R. über den mobilen Hotspot (Tethering) des Hanys verbunden werden. Dadurch ist man Standardort unabhängig mit dem Internet verbunden. Für Wohnsituatioinen die über die normale 4 Zimmer Wohnung hinaus gehen, bzw. verschiedene Stockwerke umfassen bietet die Hausverkabelung die stabile Lösung. Auch Musiksysteme wie Sonos können über die Hausverkabelung gelöst werden. Ein erheblicher Teil der Anrufe bei den ISP's werden durch WLAN Probleme verursacht. Was für Anbieter und Kunde wenig produktiv ist, weil es diffuse Problem vor Ort sind. Über Telefon und / oder Remotezugriff kann man die elektromagnetische Situation vor Ort nicht seriös einschätzen. Und diese wechselt u.U. auch täglich (Router mit Frequenzrotation).  Je grösser die Wohnung / Haus, desto ineffezienter wird ein WLAN Router. Dieser Artikel von pc-erfahrung.de erläutert die WLAN Vernetzung für ein Haus. Abgesehen davon, dass gewisse physikalische Widerstände mit keiner Sendeleistung kompensiert werden können, überschüttet man das Haus mit elektromagnetischer Strahlung. Sinnvoller sind punktuelle WLAN AP die in einem eng umgrenzten Feld (Wintergarten / Lounge / Küche / etc.) ab der Ethernetdose in der Wand WLAN zur Verfügung stellen. Die Entwicklung ist nicht linear, sondern sprunghaft (Analogie Treppe) und mit hoher Potenzierung. Wer heute weiss, wo er und seine Familie leben werden, sollte den Aufwand für die Hausverkabelung durch einen Telematiker schätzen lassen. Der Konsument sollte von seinem Internet Dienstlsiter nur ein "Modem" (bzw. die Modemfunktion) nutzen. Das Modem stellt die Brücke zwischen Internet (WAN) und dem Netzwerk zu Hause (LAN) dar. So bequem es ist, die Netzwerkgeräte (Heimautomation, TV, etc.) direkt über den Internetdienstleister zu nutzen, bringt es Abhängigkeit. Ebenso wenn man seine E-Mail Adresse über den Internet Dienstleister betreibt. Besser ist es, wenn man die Dienstleistung für den Internetzugang von den anderen Dienstleistungen trennt. Frei nach dem Motto: "My Home is my Castle".  

NBase-T steht in den Startlöchern

Die Produkte und Artikel zu NBase-T nehmen zu. Der Entwurf Nbase-T soll Ende 2016 fertig gestellt werden. Das Ziel ist mit CAT5e Kabel einen höheren Datendurchsatz zu erreichen. Zeit sich damit auseinander zu setzen. Nicht zuletzt von den immer schneller werdenden drahtlosen Netzwerkverbindungen gepusht, reicht Gigabit  Ethernet nicht mehr aus. 10 MBit Ethernet bedeutet Investitionen in die Netzwerkhardware (Kabel / Switches / etc. ). Elektronik-Kompedium.de NBase-T FAQ Golem Heise.de: Netzwerkkarte für NBase-T von Delock   Spannendes Lesefutter: ETH Zürich: In einer digitalisierten Welt Vertrauen und Wissen schaffen Elektormagazinde.de: An alle Elektroniker: WannaCry? Technikblog.ch - Tesla Solar Roof: Solarziegel ab sofort vorbestellbar