Daniel Gerber ist bei der Fraktion BÜNDNIS 90/DIE GRÜNEN Sprecher für Netzpolitik, Digitalisierung, Klima, Energiepolitik sowie Außenpolitik und Frieden. Im Rahmen des Gesprächs erzählt er ein wenig von seinem beruflichen und politischen Werdegang.
Danach schwenken wir auf die Open-Source-Strategie ein. Diese besteht aus folgenden Zielen:
Wir sprechen über die Strategie. Danach geht Daniel noch auf das Sächsische Transparenzgesetz ein hebt die Digitallotsen als ein wichtiges Werkzeug hervor.
Dabei geht er auf die historische Entwicklung der Schutzziele ein. Zunächst waren die Schutzziele
bekannt. Zusammen mit Prof. Andreas Pfitzmann und anderen kam er zu der Erkenntnis, dass es die weiteren Schutzziele
geben muss und dass diese teilweise in Konkurrenz zueinander stehen. Nach der Diskussion um Schutzziele müssen auch Risiken geklärt werden. Auch darauf gehen wir im Rahmen unseres Gesprächs ein.
Schließlich sprechen wir noch über Datenschutz-Folgenabschätzungen und das Verzeichnis von Verarbeitungstätigkeiten.
Mitte November haben alle, die unserem Mastodon-Account @datenkanal@podcasts.social folgen, eine Umfrage gesehen. Ich wollte wissen, wie lange es her ist, seitdem ihr das letzte Mal einen Kernel kompiliert habt. Der Screenshot rechts zeigt das Ergebnis. Etwa ein Fünftel der Personen haben innerhalb des letzten Jahres einen Kernel kompiliert (bei Twitter gaben soga fast ein Drittel der Leute an, innerhalb des letzten Jahres einen Kernel kompiliert zu haben). Beim Rest war es mehr als ein Jahr her bzw. sie haben es noch nie gemacht.
Der Hintergrund dieser Umfrage war ein Gespräch mit Thorsten Leemhuis. Viele von euch könnten noch das Kernel-Log kennen, welches Thorsten lange Zeit betreute. Dort waren immer die wichtigsten Neuigkeiten rund um den Linux Kernel nachzulesen. Seit einiger Zeit arbeitet er selbst am Kernel und kümmert sich dort um das Regression Tracking.
Regressions oder Regressionen sind Eigenschaften, die ab einer bestimmten Software-Version nicht mehr funktionieren, obwohl diese in Vorversionen korrekt funktionierten. Beim Linux Kernel soll es so sein, dass dies möglichst wenig und am besten gar nicht passiert. Hierzu müssen die Regressionen verfolgt werden und jemand muss sich darum kümmern, dass diese auch bearbeitet werden. Für das Tracking oder Verfolgen solcher Regressionen hat Thorsten den regzbot geschrieben. Dieser versucht, den Prozess zu automatisieren und den Kernel-Entwickler:innen mit möglichst wenig eigenem Aufwand zu helfen.
“Gute Polizeiarbeit braucht gute IT.”
Mit diesem Tweet warb der Twitter-Account der Polizei Thüringen kürzlich um Mitarbeiter:innen für deren interne IT. Daraufhin bot Andreas Ufert “schonungslos ehrliche, aber auch faire Informationen aus erster Hand” an. Dies weckte natürlich unser Interesse und so luden wir Andreas in unsere Sendung ein.
Andreas arbeitete zwischen 2002 und 2013 beim Thüringer Landeskriminalamt (TLKA). Dort betreute er HP-UX- und Linux-basierte Systeme sowie Oracle-Datenbanken. Auf den Systemen lief das polizeiliche Informationssystem INPOL-neu bzw. INPOL-Land. Damals betreute das TLKA aus Sicht der IT den gesamten Freistaat Thüringen.
INPOL-neu speichert Daten über Straftaten und Personen. Das System kann dann gefragt werden, wer gesucht wird, ob Haftbefehle bestehen usw.
Andreas erzählt uns etwas über den technischen Aufbau der Systeme, über die Strukturen und den Aufbau des INPOL-Systems. Daneben erfahrt ihr auch, was ihm bei der Arbeit gefiel und warum er jetzt etwas anderes macht.
In der Sendung gingen wir davon aus, dass wir einen Podcast und eine Webseite dazu machen. Dazu entstanden diverse Fragen zum Thema, die wir gemeinsam diskutierten.
Die Anfänge unserer heutigen Netzwerk-Kommunikation liegen sehr lange zurück. Im Jahr 1974 wurde der RFC 675 veröffentlicht, der ein Transmission Control Protocol definierte. Dieses wurde sieben Jahre später durch den RFC 791 ergänzt und aus beiden entstand das, was wir heute als TCP/IP kennen. Mittlerweile hat sich die Uhr weitergedreht und es wird viel darüber diskutiert, dass die IPv4-Adressen aufgebraucht sind. Daneben haben sich einige weitere Probleme mit dem Protokoll gezeigt. So begann Mitte der 1990er Jahre die Arbeit an einem neuen Internetprotokoll. Dies wurde mit RFC 2460 (IPv6) spezifiziert. Daneben gibt es eine Reihe weiterer RFCs, die Aspekte von IPv6 genauer festlegen.
Wir sprechen in der Sendung über einige Aspekte von IPv6 und ziehen den Vergleich mit IPv4. Der offensichtlichste Unterschied ist das Aussehen der IP-Adressen. Von Adressen der Form 172.16.23.42 bekommen wir jetzt Adressen der Form fe80::c45d:77ff:fe0a:e8de oder fe80:: oder auch ff02::1%wlp3s0. Wir sprechen über verschiedene Arten der Adressen, Präfixe, Suffixe etc., wie kommt ein Rechner zu einer Adresse und ein wenig zu Routing.
Nach zwei Stunden Sendezeit haben wir einen Überblick zu dem Thema geschaffen. Unser Plan ist es, in einer zweiten Sendung das Thema dann noch weiter zu vertiefen.
Von da führte uns der Weg zu Frag den Staat. Jörg interessierte sich, wieviele Demonstrationen es im Stadtgebiet gibt. In einer Diskussion mit Jens stellte dieser eine Anfrage im Rahmen des Thüringer Transparenzgesetzes an die Stadt Jena und die Landespolizeiinspektion. Wir werden später sehen, ob und welche Ergebnisse es gab.
Eine weitere Anfrage bezog sich auf die dienstlichen E-Mail-Accounts der Thüringer Lehrerinnen und Lehrer. Im Juni 2020 kündigte das TLfDI an, Bussgelder gegen die Berufsgruppe zu verhängen bzw. dies zu prüfen. Bei Interviews ging Dr. Hasse auf die Problematik ein und erwähnte, dass es Probleme mit den dienstlichen E-Mail-Accounts der Lehrerinnen und Lehrer gäbe. Jens fand heraus, dass es sich im Wesentlichen um Webmail mit weiteren Einschränkungen handelt. Eine Dienstanweisung verbietet den Versand einer Vielzahl personenbezogener Informationen und bezieht sich auf eine Risikobewertung. Jens hat eine Anfrage nach dieser Bewertung gestellt.
Bei dem Thema sprechen wir auch über Abiturprüfungen und die Aktion »Frag Sie Abi«. Leider erlaubt das ThürIFG nicht die Abfrage von Prüfungen. Daher gab es zu Thüringen keine Ergebnisse.
Am Ende erzählt Jörg noch etwas zu seinem Softwarefund Languagetool. Damit lässt sich Rechtschreibung von Texten prüfen. Er beschreibt, welchen Nutzen er aus der Software zieht und wie die konfiguriert ist.
Viel Spaß damit!
Continue reading "Datenkanal als Tor Onion Service"]]>Das Thema der Sendung war das Hypertext Transfer Protocol, HTTP. Wir sprachen ein wenig darüber, woher HTTP kommt und wie es funktioniert. Dadurch kamen wir auch auf einige der Probleme des Protokolls zu sprechen. Diese führten dann zu verschiedenen Weiterentwicklungen, wie SPDY, HTTP2 und schließlich HTTP3. Jörg erklärte einige der Neuerungen und wir hoffen, dass wir dann bald das Protokoll in der Realität einsetzen können.
Herr Scherag leitet das Institut am Universitätsklinikum Jena und Herr Spreckelsen ist hier Professor für Medizininformatik. Er kam erst kürzlich von der RWTH Aachen nach Jena.
In unserem Gespräch versuchten wir zu ergründen, was das IMSID genau macht und welche Schritte man benötigt, um Medizininformatiker zu werden.
Das Universitätsklinikum ist Teil des Konsortiums des SMITH-Projektes. SMITH steht dabei für Smart Medical Information Technology for Healthcare und versucht, neue Lösungen in der Patientenversorgung zu entwickeln. Wir sprechen über die verschiedene Projekte und unter anderem auch über die elektronische Patientenakte.
Viel Spaß beim Anhören!
Wir versuchen in der Sendung zunächst erstmal zu erklären, wie OpenStreetMap funktioniert. Dazu legten wir in der Sendung einen Nutzer an und haben live einige Einträge korrigiert. Insbesondere fehlte ein Eintrag für das Radio OKJ.
Zum Bearbeiten nutzten wir den iD-Editor. Der läuft direkt im Browser und nutzt JavaScript. Damit kann man schnell und einfach Daten eintragen. Andere schwören auf JOSM. Das ist eine eigene Java-Anwendung. In der Sendung stellen wir dann noch Editoren bzw. Anwendungen vor, die auf dem Smartphone laufen.
Wir nutzen beide osmand auf dem Handy. Das ist nicht nur ein Editor, sondern kann die Karten anzeigen, Routen berechnen und die Karten auch zur Offline-Benutzung herunterladen.
Das Gute an OpenStreetMap ist die Tatsache, dass die Daten offen sind. Dadurch können andere diese nutzen und weiter anreichern. Jörg hat einige Links und Hinweise mit in die Sendung gebracht und wir sprechen über deren Eigenschaften. Dazu gehören u.a.:
Denn dieser Aufruf zeigte plötzlich auch eine Umleitung zu https://insecurity.radio.fm. Doch was war hier anders? Eine Sache, die mir direkt ein- und auffiel, war, dass der Server über IPv6 kommuniziert. Mein ISP bietet nur IPv4 an und die meisten Tor-Verbindungen laufen auch nur über IPv4.
Ein Blick in die Konfiguration des nginx von datenkanal.org bestätigte dann den ersten Eindruck. Dort fanden sich nur die Zeilen
listen 80 listen 443
Als ich die Seite einrichtete, hatte ich zwar daran gedacht, dies aber auf später verschoben. Tja, und dann geriet es in Vergessenheit. Also fügte ich die Zeilen
listen [::]:80; listen [::]:443 ssl http2;
an der richtigen Stelle ein und schon war dieser Fehler Geschichte.
]]>Jetzt ist das passiert. Die Webseite läuft jetzt auf einem eigenen Server und hat wieder eine aktuelle PHP-Version. Ich habe die Chance genutzt, das Serendipity und die Plugins auf die letzte Version zu aktualisieren.
Aufgrund eines Fehlers der PHP-Version in Verbindung mit Serendipity konnte ich seit einiger Zeit die statischen Seiten nicht aktualisieren. Auch dies habe ich nun getan. Damit ist das Archiv auch wieder auf dem neuesten Stand.
Jetzt fehlen nur noch neue Sendungen. Auf dem Server liegen bereits die Sendungen für den Datenkanal 92. Ich will noch kurz warten, ob Probleme auftreten und die ggf. beheben. Sollte das nicht der Fall sein, kommen bald ein paar Sendungen auf die Seite.
Genießt das neue Surf- und Hörerlebnis!
Vielen Dank an Thomas für die langjährige Unterstützung des Datenkanals!
]]>Einige von euch kennen eventuell die Mastodon-Instanz des M18 oder die Matrix-Instanz. Andere haben den Maschinenraum eventuell auf dem 36C3 gesehen oder kennen den Hackspace aus anderem Kontext. Wir haben im Gespräch versucht, den Raum und die Leute ein wenig vorstellen. Damit habt ihr eine Idee, wer sich hinter dem Hackspace verbirgt. Wer mehr wissen will, sollte direkt in Weimar vorbeikommen. Der Raum steht für euch offen.
Wir erzählen ein wenig über die Sachen, die uns bei der zsh gefallen und hoffen, dass wir euer Interesse wecken können.
Der Startpunkt unseres Gesprächs war die Ampel an der Kreuzung Camburger Straße und Altenburger Straße:
Dort war anfangs keine Ampel. Durch Unfälle wurde zunächst ein roter Streifen für den Fahrradweg eingezogen. Dadurch gingen die Unfälle mit Fahrrädern zurück. Aber es gab immer noch Auffahrunfälle. So installierte die Stadt Jena dort eine Ampel.
Wir sprechen über diese Ampel und kommen auch immer wieder zu der komplexesten Ampel in Jena an der Fischergasse zurück. Daneben erzählt uns Herr Hillesheim, warum eine Ampel installiert wird, wie komplex die Installation von Ampeln ist und wie diese aufgebaut sind.
Jena plant weiterhin im Rahmen des umweltorientierten Verkehrsmanagements einige der Ampeln zu überarbeiten. Das heißt, sowohl die Hard- wie auch die Software. Im Sessionnet der Stadt gibt es eine Präsentation, die umreißt, was getan werden soll. Einige der dabei entstehenden Daten werden auch im Open-Data-Portal der Stadt veröffentlicht.
]]>
Die Aktiven treffen sich einmal im Monat und helfen viele Leuten kaputte Geräte wieder zum Laufen zu bekommen, Kleidung zu reparieren oder anderes wieder zu reaktivieren. Die Termine und Örtlichkeiten werden auf der Webseite angekündigt.
Nach einem kurzen Ausflug in TLS und OSCP sprechen wir über Public Money, Public Code und kommen auf die Anhörung im Thüringer Landtag zum Transparenzgesetz. Jens war dort zur mündlichen Anhörung geladen und berichtet von seinen Eindrücken. Jörg kommt dann noch auf Abi-Aufgaben zu sprechen. Hier hat FragDenStaat.de etwas.
Unser Browser zeigt eine Warnung bezüglich der Plugins an. Das bringt uns zu dem Debakel bei den Zertifikaten der Plugins.
Am Ende springen wir zu Google und der Ablehnung von Mails durch GMail. Diverse Leute fordern auch die Zerschlagung von Google. Jörg ist der Meinung, dass Google dem mit der Neustrukturierung zu Alphabet zuvorkommt. Eine Diskussion um die neuen Matrix-IDs bildet dann den Abschluss.
Download und Anhören
]]>Jörg und Jens setzen LaTeX seit vielen Jahren ein und sind von dem System begeistert. Daher stellen wir euch die Ideen hinter gutem Textsystem und die Funktionsweise von LaTeX ein wenig in der Sendung vor.
Die Folge könnt ihr auch für eine begrenzte Zeit unter der URL http://aj2aairwkakzwuv5jzpbqkjbhn4natqtzhvh445xk7ihf5xtcpttikad.onion/ herunterladen.
Für die folgenden Seiten benötigt ihr den Tor-Browser.
Matrix ist ein offenes und dezentrales System. Das heißt, es gibt keinen einen großen Server, sondern viele kleine. So bieten zum Beispiel unsere Nachbarn vom Maschinenraum in Weimar den Server matrix.bau-ha.us an. Dort könnt ihr euch anmelden und Diskussionen in verschiedenen Räumen zu unterschiedlichen Themen folgen.
In der Sendung gingen wir ein wenig auf die Architektur des Systems ein und erklärten, wie ein Account angelegt werden kann. Jens entschied sich, dklive als Namen zu verwenden. Dieser ist nun in der Matrix als @dklive:bau-ha.us zu finden. Die Nutzernamen haben immer diese Struktur mit einem @ zu Beginn und einem : als Trenner zum Hostnamen. Raumnamen sehen ähnlich aus, nur dass diese mit einer Raute (#) beginnen.
Matrix bietet Verschlüsselung an. Diese ist leider nicht standardmäßig aktiv. Weiterhin können über so genannte Bridges andere Netzwerke (IRC, XMPP, Slack, Gitter etc.) eingebunden werden. Damit ließe sich Matrix zu einem Chathub ausbauen über den alle anderen Dienste bedient werden.
In der Sendung diskutierten wir teils live mit den Menschen in unserem Raum. Ihr könnt die Diskussion auch nachlesen.
Kommt doch einfach selbst in die Matrix, besucht unseren Raum und chattet mit uns!
Vielen Dank an Tobi, der die Shownotes mit verfasst hat!
]]>Daneben steht wieder der 35. Chaos Communication Congress ins Haus. Wir sprechen über den Congress, das Halfnarp sowie die diversen Hilfsangebote, die man auf dem Congress bekommen kann.
Wir fanden einige neue Software oder interessante Einstellungen bei Software und diese sprechen wir an. Dabei geht es unter anderem um SSH, Anbox, Abfragen für OpenStreetMap und einiges anderes.
Zu Beginn der Sendung kommen wir nochmal auf Matrix zu sprechen. Jörgs Matrix-Server war teilweise abgestürzt. Er erzählt, wie er den Server wieder aktiviert hat und was er Neues mit Matrix angestellt hat. Er hat auch einige andere Neuerungen, die er zu Beginn der Sendung vorstellt.
Jens stellt in der Sendung das Projekt Katzenpost vor. Das ist ein neues Anonymisierungswerkzeug, welches sich aber um Nachrichten mit mittlerer Latenz kümmert. Das heißt, so etwas wie Chatnachrichten, E-Mails etc. Weiterhin diskutieren wir kurz über den Beitrag Software disenchantment von Nikita Prokopov.
Ich würde mich sehr freuen, wenn ihr uns helft, die Shownotes mit zu schreiben: https://n.jo-so.de/dk77
]]>Wir hoffen, die Sendung kann euch überzeugen, entweder KeePassXC oder einen anderen Passwort-Manager einzusetzen. Diese Art von Software hilft stark, um sicher mit Passwörtern umzugehen.
Im Chat wurde angeregt, dass wir diesmal versuchen, die Shownotes crowdzusourcen. Wenn ihr also sinnvolle Links und Hinweise habt, so tragt diese bitte im DK76-Pad ein. Wenn die Liste vollständig ist, trage ich diese hier nach.
]]>Ab ca. 1:30 kommen wir dann zum eigentlichen Thema und besprechen verschiedene Erweiterungen.
Jörg und Jens nutzen eine Reihe von Erweiterungen und wollten auch von euch wissen, was ihr so nutzt. Dabei kam eine beeindruckende Liste zusammen.
In der Sendung besprachen wir nur eine kleine Auswahl dieser Erweiterungen. Daneben machten wir einige Entdeckungen bei neuer Software. So sprachen wir über OpenStreetMap, Anwendungen in F-Droid und automatische Spracherkennung.
Wenn ihr weitere interessante Erweiterungen für Browser kennt, hinterlasst uns doch einen Kommentar unter dem Beitrag oder besucht uns im Matrix-Raum #datenkanal:matrix.org und diskutiert mit uns.
Die ganzen Alben, die Tim für die Sendung vorbereitet hatte, findet ihr in einem Beitrag auf Scuttlebutt.
Wem die Musik gefällt kann auf Spotify eine Playlist von Tim mit diesen und anderen Künstlern sich anhören.Eine der wichtigen Neuigkeiten ist der Umzug zu Matrix. Wir nutzten eine Zeit lang Slack. Aber mit Matrix gibt es eine deutlich bessere Alternative. Auf Matrix haben wir den Raum #datenkanal:matrix.org. Jörg beschreibt in der Sendung, wie ihr in den Raum kommt. Wir würden uns freuen, euch dort zu begrüßen.
In der Sendung gab es heute zwei Musikstücke zu hören:
Twitter has made a huge positive impact on my life. Lots of people complain about it, so I wanted to write some notes about how I use it.
Love to hear others' strategies too.
Jörg hat sich vor kurzem einen Twitteraccount zugelegt und macht nun erste Schritte. Natürlich interessierte ihn, wie diese Welt funktioniert und was in der Analogwelt vergleichbar zu Twitter ist. Daher haben wir uns in diesem Datenkanal mit Twitter auseinandergesetz. Jörg berichtet von seinen ersten Erfahrungen und Jens, der kürzlich sein zehnjähriges Jubiläum feierte, steuert seine Erfahrungen bei.
Die Audioqualität ist diemal ziemlich schlecht. Jens war auswärts und musste schließlich per Telefon von einem öffentlichen Ort an der Sendung teilnehmen. Daher sind sehr viele Hintergrundgeräusche zu hören. Diese ließen sich auch mit der Unterstützung von Auphonic nicht weiter herausfiltern. Wir entschuldigen uns schonmal für die schlechte Audioqualität der Sendung.
Leider hört die Aufzeichnung zehn Minuten vor dem eigentlichen Ende auf.
Wir sprechen über unser Verständnis von Bitcoin und darüber, was eine Blockchain ist. Danach geht es um Funktionen von Geld und über den Goldstandard.
Insgesamt möchten wir alle Menschen aus Thüringen aufrufen, das Recht auf Informationsfreiheit wahrzunehmen und Dokumente abzurufen. Das TLfDI hilft euch bei der Beantragung wie auch bei Konflikten. Über die Plattform Frag den Staat könnt ihr auch einfach eine Abfrage senden.
]]>
(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])
Wie ihr am Titel unserer Sendung schon erraten habt, geht es um reguläre Ausdrücke. Das sind spezielle Zeichenketten (siehe oben), die einen Suchausdruck beschreiben. Diese Zeichenketten kommen in verschiedenen Programmen zum Einsatz und können auch in diversen Editoren benutzt werden. Dahinter steckt auch eine reichhaltige Theorie, die Noam Chomskys Namen trägt. Wir erklären in der Sendung, wie reguläre Ausdrücke funktionieren und versuchen auch das theoretische Konstrukt dahinter zu erklären.
Jetzt bleibt nur noch die Frage, was der obige reguläre Ausdruck macht und ob dieser wirklich alles findet, was er soll. Viel Spaß beim Grübeln.
Zusammen mit Matthias unterhalten sie sich über Stromnetze, gesetzliche Vorgaben, die Planungen für die nächste Jahre etc.
Bitte schreibt uns, ob euch dieses Experiment gefällt und ob wir vielleicht auch andere Sendungen mit in den Podcast nehmen sollen, sofern dies thematisch passt.
]]>Zu Beginn musste Matthias noch einige andere Arbeiten im Sender machen. Daher unterhielten wir uns über Gesetzgebungsverfahren, die Vorratsdatenspeicherung und das Sammeln von Sicherheitslücken durch diverse Dienste.
Viel Spaß beim Reinhören.
Vor dem Beginn des Thementeils spielten wir Black Ship Company mit Pick Me Up. Das Stück findet ihr auch bei YouTube.
Zur Überbrückung spielte Jörg am Anfang den Titel Breathe von AXL & ARTH.
folgen.
]]>In der Mitte der Sendung hörtet ihr das Lied All or Nothing von Beat Laboratory.
Wir konnten keine aktuellen Angaben zu den Militärausgaben finden. Als ich dann bei Twitter fragte, erhielt ich zwei Antworten:
@das_sebi @datenkanal ups. Habe ich nicht parat, fürchte aber auch, dass es für Nordkorea keine verlässlichen Zahlen gibt...
— thomas_wiegold (@thomas_wiegold) 22. März 2017
@datenkanal @qbi Nach “Nordkorea: Innenansichten eines totalen Staates” gibt es keine offiziellen Zahlen und nur vage Schaetzungen.
— Martin Schobert (@nitram2342) 22. März 2017
Danach diskutieren wir ein wenig über die Programmiersprache Rust und kommen Java 8 und Closures. Des Weiteren sprechen die verschiedenen Automaten bei grep sowie die Chomsky-Hierarchie an.
Die Veranstaltung begann an einem Freitag. Zu Beginn hielten verschiedene Akteure einen Vortrag. Einen Teil der Vorträge könnt ihr auch in der Sendung hören. Nach den Vorträgen trafen sich alle Teilnehmerinnen und Teilnehmer, diskutierten über Ideen und machten sich an die Umsetzung.
Wir kamen dann am Samstag hinzu und sprachen mit einigen Teilnehmern.
Ich würde die Dateien gern auf einen anderen Rechner auslagern und wir hätten gern wieder eine Lösung, die von unseren Hörerinnen und Hörern getragen ist. Daher meine Frage an euch: Habt ihr etwa 20 GB Platz auf einem eurer Rechner, der die Dateien per HTTP ausliefern kann? Jörg und ich freuen sich über Rückmeldungen als Kommentar, per E-Mail bzw. über Quitter oder Twitter.
Vielen Dank!
]]>Die folgenden Feeds können bei mancher Software Probleme bereiten. Insbesondere wurde in der Vergangenheit immer Pocket Casts als problematisch genannt:
version
andere Werte enthalten. Nach dem jetzigen Stand der der Software sind das: opml1.0
, 0.91
, 1.0
, 2.0
, atom0.3
und atom1.0
.Dann hoffe ich, ihr findet den richtigen Feed für eure Zwecke und hört fleißig unsere Sendungen.
Update: Die Feeds bei Bitlove funktionieren nicht mehr. Links gestrichen.
]]>Im zweiten größeren Themenblock sprechen wir über die Wahl in den USA und schneiden Hillarys Mails an. Schließlich hat sich Jörg noch Auskünfte nach dem Bundesdatenschutzgesetz über sich eingeholt. Wir diskutieren, was er erfahren hat und welche Schlüsse sich ziehen lassen.
Nach allgemeinem Vorgeplänkel sprechen beide über allgemeine Sicherheitsmaßnahmen, Antivirenscanner und die Sicherheit von Apps. Weiterhin diskutieren sie, was Google an Sicherheit vorab bietet und wo die Schwächen dieses Systems liegen.
Die Links werden noch nachgeliefert.
]]>Wir besprachen in der Sendung zuerst ein paar allgemeine Dinge bezüglich der Systemadministration allgemein und zu systemd im besonderen. Später erzählten wir über unsere Erfahrungen bei Bewerbungsgesprächen. Schließlich gingen wir einige der Fragen durch und diskutierten mögliche Antworten.
Neben dem TLS-Thema sprechen wir anfangs über die Suchmaschine DuckDuckGo und deren Features sowie über Speed Listening, also das Anhören von Audio mit mehrfacher Geschwindigkeit.
Wir spielten in der Sendung den Titel Penumbra von Taro.
Unsere Sendung begleitet den Weg von der Stunde 0, also einem Webserver ohne TLS-Zertifikat, bis zu einer fertigen TLS-Verbindung. Wir starten dabei bei der Erschaffung eines Schlüssels und dem Anlegen eines Certificate Signing Requests (CSR). Jens geht kurz auf das ACME-Protokoll von Let’s Encrypt ein. Nachdem wir das Zertifikat erhalten haben, wird es installiert und im Webserver eingestellt. Jetzt kann die Webseite von außen über HTTPS erreicht werden. Wir versuchen zu erklären, wie das Handshake Protokoll bei TLS funktioniert und gehen kurz auf das Alert Protokoll ein.
In der Sendung gab es keine Musik.
Daneben verfolgen wir in der Sendung einige Seitenstränge. Jens spricht zu Anfang über seine weiteren Podcast-Ideen und verweist auf die Podcasts Lage der Nation und Technische Aufklärung, den Podcast zum NSA-Untersuchungsausschuss. Daneben diskutieren wir später diverse Seitenkanalangriffe gegen verschiedene IT-Systeme.
Wir setzen beim Datenkanal auf ein Zertifikat von Let’s Encrypt. Unser erstes Zertifikat wurde Ende 2015 ausgestellt und im März gab es eine Erneuerung des Zertifikats. Zur selben Zeit gab Let’s Encrypt eine Erneuerung der Intermediate-Zertifikate bekannt.
Jens stellte zuerst Probleme fest, als er sich mit dem Tor-Browser zum Datenkanal verbinden wollte. Ein Chromium v50 sowie ein Firefox v45 funktionierten problemlos. Eine Nachfrage beim Twitter ergab ein bunt durchmischtes Bild:
Wer von euch bekommt eine HTTPS-Warnung beim Besuch von https://t.co/a2XtkPupso (welcher Client/Browser)?
— Jens Kubieziel (@qbi) 24. April 2016
/cc @datenkanal
Chromium v49 warnte. Bei anderen warnte weder Chromium noch der Tor-Browser. Schließlich hatte Hanno den entscheidenden Hinweis: Browser speichern die Informationen über die Zertifikatskette zwischen. In seinem Blogbeitrag Incomplete Certificate Chains and Transvalid Certificates ist das detailliert erklärt. Woran lag dann also unser Problem?
Die Ausstellung und Erneuerung der Zertifikate übernimmt das Shellskript lets_encrypt.sh. Das stammt von lukas2511/letsencrypt.sh ab. Im Skript finden sich folgende Zeilen:
:> grep ROOTCERT lets_encrypt.sh ROOTCERT=“public-lets-encrypt-x1-cross-signed.pem” cat “${BASEDIR}/${ROOTCERT}” >> “${BASEDIR}/${domain}/${domain}-certchain.pem” printf “ ”; openssl verify -CApath $rootcerts ${ROOTCERT} printf “ ”; openssl verify -CApath $rootcerts -untrusted ${ROOTCERT} ${domain}/${domain}-certchain.pem curl -sS -L -o ${BASEDIR}/${ROOTCERT} https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem
Das heißt, es wird eine Umgebungsvariable namens ROOTCERT angelegt und dort der Name des Let’s-Encrypt-Intermediate-Zertifikats gespeichert. Die Zeile, die mit cat beginnt, kopiert das Intermediate-Zertifikat an das Ende des eigenen Zertifikats und die mit curl beginnende Zeile lädt die Datei herunter.
Das erneuerte Zertifikat hat jedoch ein x3 statt x1 im Namen. Damit kopierte das Skript also das falsche Zertifikat in die Datei. Der Fehler ließ sich schnell beheben.
Wir fanden den Fehler anfangs nicht und begannen alternativ mit Neilpang/acme.sh zu experimentieren. Denn das Skript machte bei der Challenge immer noch Probleme. Die Challenge schien mit acme.sh gegen den Testserver von Let’s Encrypt zu funktionieren. Daher entschieden wir uns, das live zu testen. Die Challenge funktionierte, ein Zertifikat wurde erstellt. Doch, oh weh, die Zertifikatskette war wieder unvollständig. Allerdings zeigte sich bei einem Blick in die lokal gespeicherte Zertifikatsdatei, dass das Intermediate-Zertifikat fehlte. Das kopierte ich mit hinein und schon haben wir funktionierendes TLS. Jetzt muss unser Sysadmin nur noch die DH-Parameter anpassen und alles ist grün.
]]>Jörg gehört zu den Early Adoptern und setzt die letzte Version von CyanogenMod auf seinem Android-Telefon ein. Bei einem Update gab es massive Probleme, so das sein Telefon zunächst gebrickt wurde. Er erzählt dann, was er gemacht hat, um sein Telefon wieder zum Start zu bekommen. Als er das Gerät dann wieder lauffähig hatte, machte er ein Update, was das Gerät wieder in einen funktionslosen Stein verwandelte. Mit mehr Energie, Geschick und dem Odin-Modus schaffte er es aber schließlich sein Gerät zum Leben zu erwecken.
Wir spielten den Titel »One Way Heartbeats« von Michael McEachern
Wir unterhielten uns in der Sendung über den 32. Chaos Communication Congress. Der fand kurz vor dem Jahreswechsel in Hamburg statt. 12.000 Hacker aus aller Welt trafen sich im Gebäude des Congress Centrum Hamburg und diskutierten über allerlei Sachen.
In der Sendung versuchte ich, den Aufbau des Gebäudes mit den diversen Projekten zu erklären. Später ging ich auf einzelne Vorträge ein. In der Sendung stellte sich heraus, das Carsten auch ein alter Congress-Hase ist und schon geengelt hat. So konnte er ein paar alte Erinnerungen beisteuern und ich die aktuellen vom letzten Congress.
Die meiste Musik hatte Carsten vorab rausgesucht. Dankenswerterweise kam er meinem Wunsch nach, sich etwas bei Jamendo rauszusuchen. Damit kann ich die Musik im Podcast lassen.
]]>Wir haben uns mit Katharina König (@KatharinaKoenig) und Madeleine Henfling (@henfling_m) getroffen und über die Inhalte des Vertrages bzw. die Planungen gesprochen. Unser Gespräch startet bei Freifunk in Thüringen, geht über Urheberrecht, Staatstrojaner (PAG), Vorratsdatenspeicherung, Informationsfreiheits- und Transparenzgesetz und endet beim Einsatz von Verschlüsselung in diversen Stellen des Landtags.
Die aktuelle Sendung widmet sich einem wohlbekannten wie grundlegenden Thema: Zahlen. Wir nutzen Zahlen in verschiedenen Ausprägungen seit der Kindheit. Doch was sind Zahlen und woher kommen diese?
Zusammen mit Konrad Schöbel drangen wir in die Welt der Zahlen vor. Konrad erklärte uns zu Beginn, woher die Zahlen stammen. Dann begannen wir mit einer Erklärung der natürlichen Zahlen und bewegten uns weiter zu ganzen, rationalen und reellen Zahlen. Das Abiturwissen endet dann vermutlich bei den letztgenannten Zahlen. Manchmal sind auch komplexe Zahlen das Thema. Wir gehen noch ein paar Schritte weiter und Konrad erklärt uns, was Quaternionen und Oktonionen sind. Ganz nebenbei klären wir noch, dass 0,9999…=1 ist.
Unser Studiogast wünschte sich diesmal nicht-freie Musik. Daher fehlt die den obigen Downloads. Unten findet ihr Links zu Videos bei YouTube:
Linux bringt eine Software mit, die Informationen zu einer großen Auswahl an Software hat. Damit lassen sich verschiedene Programme installieren und wieder löschen. Auch Aktualisierungen werden darüber eingespielt. Dieser Paketmanager übernimmt eine Reihe an Aufgaben und je nach Distribution sieht das ein wenig anders aus.
Wir betrachten in der Sendung verschiedene Lösungen und fangen bei der Verwaltung mittels Archivdateien (tar.gz
) an. Danach besprechen wir die Interna bei Debian und gehen auf den RPM Package Manager ein. Gegen Ende müssen wir ein wenig eher aufhören. Daher bleibt für die Ebuilds von Gentoo zu wenig Zeit.
Wurde in der Sendung keine gespielt.
Im Podcast diskutieren wir verschiedene Prozessorarchitekturen wie auch Betriebssystemkonzepte. Später erklären wir wie ein System Call funktioniert und wo Vor- und Nachteile liegen.
Wir spielten die beiden Titel:
Wir nehmen in der Sendung zwei Sicherheitslücken unter die Lupe.
Die Lücke bei Drupal war zum Zeitpunkt der Sendung noch recht neu. Wir versuchen, zu erklären, wie die Lücke funktioniert und wie Gegenmaßnahmen aussehen können. Der ShellShock ist ein Fehler in der populären Shell, bash. Auch hier gehen wir auf die Hintergründe der Lücke ein.
Viel Spass beim Anhören!
In der Sendung spielten wir nur einen Titel: Fanta’STriP 2000 von SheeHad
Die 34. Sendung startet am 30. Oktober 2014 um 15 Uhr im Radio OKJ. Ihr könnt uns im Livestream zuhören oder später die Sendung hier auf der Seite herunterladen. Unser Thema ist die Sicherheitslücke Shellshock. Viel Spass beim Zuhören!
]]>Wir haben Lutz Donnerhacke in die Sendung eingeladen. Lutz arbeitet bei einem Jenaer ISP und ist Mitglied des EURALO-Boards der ICANN. Er hat vielfältige theoretische und praktische Erfahrung im Einsatz von DNSSEC und stand uns in der Sendung Rede und Antwort.
Eine Liste der gespielten Titel folgt später.
Mal sind diese Passwörter im Klartext im Internet zu finden, mal sind diese irgendwie verschlüsselt. Wir haben uns gefragt, wie und ob man Passwörter überhaupt sicher speichern kann. Dazu luden wir uns Prof. Stefan Lucks von der Bauhaus-Universität Weimar ein. Er hat den Lehrstuhl für Mediensicherheit inne und versucht mit anderen eine sichere Methode zur Speicherung von Passwörtern zu finden (Password Hashing Contest).
Wir beginnen bei der Speicherung von Passwörtern im Klartext und bewegen uns dann schnell zu Hashes als Speicherform. Dabei versuchen wir zu klären, wo die Probleme bei Hashes liegen und wie ein Angreifer vorgehen kann, um Passwörter wieder zu erlangen. Schließlich bewegen wir uns von crypt() aus alten UNIX-Systemen hin zu modernen Verfahren mit PBKDF2 und bcrypt. Den Abschluss bildet Catena, eine Entwicklung der Bauhaus-Universität.
Der Podcast bringt euch einen guten Überblick über diverse Verfahren und ihr lernt Vor- und Nachteile der Verfahren kennen.
Musik und Shownotes werden noch geliefert. Wer mag, kann gern in einem Pad mitschreiben.
]]>Viele Algorithmen haben Einfluss auf unser tägliches Handeln. Sei es Google durch individualisierte Suchbegriffe oder vielleicht eine vorgegebene Taktrate auf Arbeit. Zusammen mit unserem Gast, Bertram Smolny, machen wir uns Gedanken, wo solche Einflüsse versteckt sind und entwickeln einige Ideen. Diese sollen Verbrauchern Transparenz und Entscheidungsmöglichkeiten an die Hand geben.
Der erste Titel in der Sendung stammte von Floppy Dee und heißt Swept Clean. Später spielten wir Al Torrado mit FUNK-MACHÚ.
Die Shownotes folgen später.
]]>
Heute unterhielten wir uns über die Kontrollen bezüglich des Datenschutz’ in Thüringen durchgeführt werden und wo die Unterschiede bei Behörden und Firmen liegen. Daneben steigen die Meldungen zu privater Videoüberwachung an. Wir versuchten die Problematik zu ergründen und fanden in der Sendung gleich einen Fall, wo vermutlich unzulässigerweise Videokameras in der Umkleide eines Schwimmbads hängen. Herr Dr. Hasse legt einen weiteren Schwerpunkt seiner Arbeit auf die Aufklärung von Schülern und Senioren. Das TLfDI kooperiert mit dem Thüringer Institut für Lehrerfortbildung, Lehrplanenwicklung und Medien. Weiterhin ist es der Behörde gelungen, den Arbeitskreis für Datenschutz und Bildung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder nach Erfurt zu holen.
In der Sendung unterhielten wir uns über die Auswirkungen der NSA-Affäre und zukünftige Herausforderungen für die Datenschützer. Leider waren die zwei Stunden Sendezeit zu kurz, um detailliert über die Informationsfreiheit zu reden. Dies werden wir später nachholen müssen.
Unsere Sendung wurde kurz vor Weihnachten im Radio ausgetrahlt. @tuxinaut hatte uns leckere Kekse gebacken. Die haben wir zusammen mit Herrn Hasse und den Mitarbeitern von Radio OKJ verspeist. Vielen Dank nochmal an den tuxinaut!
In der Sendung spielten wir zwei Titel:
Jens hatte kurz nach dem Amtsantritt im Jahr 2012 ein Gespräch mit dem Datenschützer geführt. In der heutigen Sendung wollen wir ein wenig auf die bisherige Amtszeit und die Herausforderungen zurück blicken. Eine große Herausforderung sind die verwahrlosten Akten in Immelborn. Weiterhin leitete Herr Dr. Hasse die Konferenz der Informationsfreiheitsbeauftragten Deutschlands. Wir wollen klären, was sich hinter dem Begriff versteckt und dazu beitragen, dass mehr Menschen dieses Angebot nutzen.
]]>Zu Beginn der Sendung versuchen wir die Begriffe zu klären und driften dann gleich ein wenig in die Marxsche Theorie ab. Später versuchen wir die Commons-Idee anhand vieler Beispiele zu erläutern. Jörg bringt Kirschplantagen ein, Silke erzählt von Wikispeed, vom Mietshäuser Syndikat, von Freier Musik, Jens bringt den Torre de David ins Spiel.
Die Musik aus der Live-Sendung habe ich entfernt. Leider waren Silkes Wünsche nicht frei von GEMA-Ansprüchen. Unten findet ihr eine Auflistung der Titel zum Reinhören:
Wir bitten die Störung zu entschuldigen.
]]>Die Aufgabe der Live-Hörer war es nun, das System anzugreifen. Zur Koordination der Angreifer richteten wir ein Pad ein. Dort sollten die Teilnehmer ihre Erkentnnisse eintragen und so effektiv arbeiten. Gleichzeitig hat das Pad einen Chat zur Koordination.
Zu Beginn der Sendung ist Jörg damit beschäftigt, die Zeit, die Jens zum Start des Systems braucht, zu überbrücken. Er erzählt einige Details zu Ringstrukturen im Betriebssystem und hält nochmal Rückschau auf die vergangenen Sendungen.
Als die ersten Teilnehmer Hand an das System legen, kommt recht schnell Nmap zum Zuge. Die detaillierte Ausgabe sah folgendermaßen aus:
PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0) | ssh-hostkey: 1024 73:76:69:d4:c9:ba:3c:1f:79:23:cc:c1:50:66:44:21 (DSA) |_2048 48:b2:35:16:07:15:87:d9:ed:b5:64:8f:a8:a3:f9:88 (RSA) 80/tcp open http Apache httpd 2.2.22 ((Debian)) |_html-title: Site doesn’t have a title (text/html). 111/tcp open rpcbind? | rpcinfo: | 100000 2,3,4 111/udp rpcbind |_100000 2,3,4 111/tcp rpcbind 2222/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.1 (protocol 2.0) | ssh-hostkey: 1024 c4:e8:bb:ad:3c:eb:01:47:07:8f:8d:15:f1:72:04:79 (DSA) |_2048 00:5b:b0:39:2d:b1:32:ac:06:85:6f:5f:71:63:52:29 (RSA) 3306/tcp open mysql MySQL (unauthorized) 5222/tcp open unknown 5269/tcp open unknown
Wir diskutieren die Ausgabe des Programmes und weitere Möglichkeiten von Nmap in der Sendung. In obiger Ausgabe fehlt beispielsweise der Port 2222. Dort lief das Programm kippo.
Unter anderen ist zu sehen, dass ein Webserver läuft. Das heißt, mit Hilfe eines Browsers kann man verschiedene Verzeichnisse und Dateien probieren. Automatisiert lässt sich dies auch mit w3bfukk0r durchführen. Dabei fanden sich die Unterverzeichnisse wordpress
und dvwa
.
Das installierte Wordpress war veraltet und hätte dem Angreifer ein paar Schwachstellen geboten. WPScan schaut sich eine Wordpress-Installation an und berichtet wahrscheinliche Schwachstellen.
DVWA steht für Damn Vulnerable Web Application. Die Software bietet eine Vielzahl von klassischen Web-Schwachstellen wie SQL Injection, XSS usw. zum Ausprobieren.
Wir kommentierten die verschiedenen Funde und das wahrscheinliche Vorgehen. Einige Hörer wünschten sich später mehr solche Live-Hacks. Wir werden uns mal Gedanken dazu machen und vielleicht später wieder eine Sendung in der Richtung machen.
In der Sendung gab es das Lied Last War von Platinum Sky.
Die Shownotes müssen noch geschrieben werden.
Wir haben einen Server aufgesetzt und ein bisschen Software installiert. Die Software hat diverse Schwachstellen und ihr sollt diese finden. Für eure Funde und für die Koordination gibt es ein Pad. Schreibt dort einfach rein, was ihr probiert habt, was geklappt und was nicht geklappt hat.
Die Sendung soll aber ein wenig Interaktivität bieten. Ruft uns an und erzählt uns, was ihr versucht habt und ob dies erfolgreich war. Die Nummer im Studio ist 03641/522222. Wir freuen uns auf eure Anrufe.
Wenn ihr es schafft, den Rechner zu übernehmen, denkt bitte daran, dass sich andere auch versuchen wollen. Denn falls jemand Unfug baut, schalte ich den Rechner ab. Dann ist der Versuch vorschnell zu Ende. Kommt lieber stattdessen ins Pad oder direkt in die Sendung und teilt uns mit, welchen Weg ihr genommen habt.
Die »Kontaktdaten« des Servers geben wir kurz vor der Sendung bekannt. Beobachtet das Blog oder unseren Twitter-Kanal.
Viel Spass in der Sendung und beim Testen des Rechners
]]>Die englische Zeitschrift Guardian lies im Juni 2013 eine Bombe platzen. Gestützt auf die Veröffentlichungen des Whistleblowers Edward Snowden veröffentlichte die Zeitschrift Details zu verschiedenen Überwachungsprogrammen des Geheimdienstes NSA. Eine wichtige Rolle in der öffentlichen Diskussion spielt das Programm PRISM.
Die NSA ist auch 60 Jahre nach der Gründung in der breiten Öffentlichkeit weitgehend unbekannt. Nicht umsonst machen manche Leute aus der Abkürzung NSA die Langform »No such agency« bzw. »Never say anything«. Daher haben wir die aktuelle Ereignisse zum Anlass genommen, ein wenig in die Geschichte des Dienstes zu blicken.
Wir starten unseren Überblick bei der American Black Chamber. Das war eine Tarnfirma, die unter der Leitung von Herbert O. Yardley, diplomatische Nachrichten entschlüsselte. Ein weiterer Zweig, der später zur NSA führte, waren der Signals Intelligence Service bzw. der direkte Vorläufer, die AFSA.
Neben den Vorläufern der NSA spielt auch die Zusammenarbeit zwischen den Diensten eine große Rolle. Wir haben daher ein wenig zu BRUSA bzw. UKUSA erzählt. Dies ist eine Vereinbarung über die Zusammenarbeit verschiedener Geheimdienste. Schon während des zweiten Weltkrieges wurde eine Zusammenarbeit zwischen dem GCHQ und amerikanischen Diensten vereinbart. Einer der Gründe für die Annäherung der Dienste vergass Jens in der Sendung zu erzählen. Der britische Mathematiker und Kryptoanalytiker Alan Turing sollte den USA beim Aufbau der Turing-Bomben helfen. Doch er wurde bei der Einreise festgesetzt und aus einem geplanten Aufenthalt von zwei Wochen wurden am Ende drei Monate. In der Zeit versuchte er, sich durch die Bürokratie zu kämpfen und seine eigentliche Arbeit zu machen. Diese negativen Erfahrungen führten später zu den obigen Überlegungen bzw. Verträgen.
Im Verlauf der Sendung diskutieren wir dann die Entschlüsselungsversuche diverser Algorithmen. Innerhalb des UKUSA-Bündnisses gab es anfangs große Erfolge mit russischen Chiffren. Am so genannten Black Friday stellte die Sowjetunion ihre Algorithmen um und die NSA konnte trotz enormer Anstrengungen in den folgenden Jahren nicht in die Inhalte der russischen Kommunikation schauen.
Wir diskutierten die Überflüge über die Sowjetunion und Kuba mit den U-2-Flugzeugen, aber auch den Einsatz von Schiffen und Satelliten. Die U-Boote der NSA haben wir außen vor gelassen.
Im Hinblick auf die aktuellen Veröffentlichungen wollte Jörg wissen, ob das ein Einzelfall ist. Daraufhin haben wir das Project SHAMROCK etwas beleuchtet. Dies führte dann später zur Einrichtung der Church-Kommission und zum Echelon einzugehen. Dies war zwar keine Abhörung der US-Inländer. Aber das Programm wurde um 2000 stark diskutiert. Selbst innerhalb der EU gab es einen Untersuchungsausschuss und schutzmaßnahmen für Parlamentarier wurden diskutiert.
Schließlich gingen wir auf die vergleichsweise aktuellen Veröffentlichungen zu Thinthread, Trailblazer und anderen durch Thomas Drake, William Binney und andere ein. Dabei wurde weiter klar, dass trotz anderslautender Äußerungen auch Amerikaner in das Schussfeld geraten. Weiterhin gab das so genannte Warrantless-Wiretapping-Programm. Dort hörte die NSA sämtliche Kommunikation ohne Gerichtsbeschluss ab. Dies führte zu einer Anpassung des FISA-Gesetzes von 1978 und führte weitreichende Erlaubnisse ein.
Wir haben im Laufe der Sendung viele Details zur Geschichte der NSA weggelassen. Zwei Stunden sind für das Thema doch zu wenig. Dennoch sollte euch die Sendung einen guten Einstieg geben und die untenstehenden Bücher vertiefen das weiter.
Zu Anfang der Sendung hatte Jens einige Bücher zur NSA angesprochen. Die ersten Veröffentlichungen lieferte James Bamford. Später lieferte Matthew M. Aid eine weitere Biografie zur NSA.
Jens ist in der Regel für die Bearbeitung der Audio-Dateien zuständig. Leider fehlt ihm etwas die Zeit für eine sinnvolle Nachbearbeitung. Der nächste Datenkanal ist schon fertig. Daher ist die Datei erstmal nicht bearbeitet und Shownotes fehlen auch. Eine bearbeitete Datei und Shownotes reichen wir später nach.
Musik und Shownotes kommen später
]]>Der Livestream zur Sendung ist auf der Seite des Radio OKJ zu finden. Wir haben während der Sendung unseren XMPP-Chat an. Eventuell werden wir auch mit Crypto.cat rumspielen.
]]>Nach der Sendung fand Jens einen interessanten Vortrag bei YouTube. Unter dem Titel »Verschwörungstheorien und AIDS-Leugnung« berichtet Sebastian Bartoschek von den Ergebnissen seiner Arbeit. Er hat Verschwörungstheorien charakterisiert.
Viel Spass beim Reinhören
In der Sendung spielten wir die folgenden Titel:
Zu Beginn der Sendung holten wir die Geschichte über der UEFI-Schlüssel raus, der auf einem frei zugänglichen Server lag. Über die Betrachtung von IT-Sicherheit als Prozess und den Demingkreis ging es dann weiter. Einen zweiten Kreis machten wir um das Erlernen einer Programmiersprache. Früher gab es so tolle Bücher, die versprachen, eine Sprache in Stunden oder höchstens Tagen zu erlernen. Heute gibt es Webseiten, die einen nachhaltigen Ansatz verfolgen.
Im weiteren Verlauf sprachen wir einzelne Einträge in den Top Ten an und erzählten etwas zu unseren Erfahrungen.
Jörg hat sich diesmal Van Syla rausgesucht. Wir spielten zuerst The Death of a Star. Als zweites Lied sollte in der Sendung Memories kommen. Vermutlich war das zu leise, denn in der Livesendung war plötzlich andere Musik (Notprogramm?) zu hören. Ich habe daher das Lied nachträglich in die Aufnahme reingeschnitten.
Zu Anfang gehen wir kurz auf Webanwendungen, PHP und SQL ein. Danach nähern wir uns der SQL Injection auf verschiedenen Wegen und erklären einige mögliche Schutzmechanismen. Über ein paar Umwege über Passwörter, Seitenkanalangriffe und HSTS kommen wir schließlich zu XSS.
Wir hatten ursprünglich vor, noch weitere Punkte mit in die Sendung zu nehmen. Aufgrund des Zeitmangels am Ende machen wir demnächst eine weitere Sendung zu dem Thema.
Zu Anfang der Sendung hatten wir ein paar Probleme mit dem Headset. Nach einem Tausch funktionierte dann alles problemlos.
Jörg suchte sich die zwei Titel, Electrolife und Aren’t you clever von Trancendam raus.
Shownotes
Continue reading "DK21: Schwachstellen im Web I (SQL Injection und XSS)"]]>In der Sendung spielten wir zwei Titel.
Am Anfang der Sendung kamen wir von leichtgewichtigen und simplen Protokollen zur Erschaffung einer besonders kleinen ELF-Datei. Die Brücke zum eigentlichen Thema bildete der Free-Your-Android-Workshop im Krautspace. Wir erklärten den Aufbau des Stapelspeichers (Stacks) und nutzten dieses Bild, um Pufferüberläufe zu erklären. Denn letztlich werden im Speicher Kisten aufeinander gestapelt. In den Kisten lagern nach unserem Bild Blätter. Die werden beschrieben und wenn der Schreiber nicht aufpasst, kleckst die Tinte bzw. er übermalt Blätter. Geschicktes Übermalen bzw. Klecksen legt die Grundlagen für einen erfolgreichen Exploit. Das Bild sollte schön klar machen, wie ein Buffer Overflow funktioniert. Wir schweifen an einigen Stellen immer mal auf diverse C-Funktionen und anderes ab.
Der Schutz vor derartigen Schwachstellen ist im letzen Viertel dran. Wir starten mit Kanarienvögeln und arbeiten uns über ASLR zum NX-Bit. Der Ausflug ist wieder ein wenig technischer. Aber mit dem obigen Erklärungen sollte das gut zu verstehen sein.
Im Rahmen der Sendung sprechen wir über die Datei /proc/self/maps
. Unten finden ihr eine Beispielausgabe mit dem Befehl less. Ich habe die Speicheradressen mal in Rot eingefärbt. Das Feld rechts daneben sind die angesprochenen Zugriffsrechte.
00400000-00421000 r-xp 00000000 fe:01 58740 /bin/less 00620000-00621000 r--p 00020000 fe:01 58740 /bin/less 00621000-00625000 rw-p 00021000 fe:01 58740 /bin/less 00625000-0062a000 rw-p 00000000 00:00 0 01531000-01552000 rw-p 00000000 00:00 0 [heap] 7f1d90aa8000-7f1d90c28000 r-xp 00000000 fe:01 60787 /lib/x86_64-linux-gnu/libc-2.13.so 7f1d90c28000-7f1d90e28000 ---p 00180000 fe:01 60787 /lib/x86_64-linux-gnu/libc-2.13.so 7f1d90e28000-7f1d90e2c000 r--p 00180000 fe:01 60787 /lib/x86_64-linux-gnu/libc-2.13.so 7f1d90e2c000-7f1d90e2d000 rw-p 00184000 fe:01 60787 /lib/x86_64-linux-gnu/libc-2.13.so 7f1d90e2d000-7f1d90e32000 rw-p 00000000 00:00 0 7f1d90e32000-7f1d90e57000 r-xp 00000000 fe:01 14369 /lib/x86_64-linux-gnu/libtinfo.so.5.9 7f1d90e57000-7f1d91056000 ---p 00025000 fe:01 14369 /lib/x86_64-linux-gnu/libtinfo.so.5.9 7f1d91056000-7f1d9105a000 r--p 00024000 fe:01 14369 /lib/x86_64-linux-gnu/libtinfo.so.5.9 7f1d9105a000-7f1d9105b000 rw-p 00028000 fe:01 14369 /lib/x86_64-linux-gnu/libtinfo.so.5.9 7f1d9105b000-7f1d9107b000 r-xp 00000000 fe:01 60790 /lib/x86_64-linux-gnu/ld-2.13.so 7f1d910e8000-7f1d9125f000 r--p 00000000 fe:02 388520 /usr/lib/locale/locale-archive 7f1d9125f000-7f1d91262000 rw-p 00000000 00:00 0 7f1d91278000-7f1d9127a000 rw-p 00000000 00:00 0 7f1d9127a000-7f1d9127b000 r--p 0001f000 fe:01 60790 /lib/x86_64-linux-gnu/ld-2.13.so 7f1d9127b000-7f1d9127c000 rw-p 00020000 fe:01 60790 /lib/x86_64-linux-gnu/ld-2.13.so 7f1d9127c000-7f1d9127d000 rw-p 00000000 00:00 0 7fff5c705000-7fff5c726000 rw-p 00000000 00:00 0 [stack] 7fff5c7ff000-7fff5c800000 r-xp 00000000 00:00 0 [vdso] ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0 [vsyscall]
Wir waren bei der Sendung so in unser Gespräch vertieft, dass wir keine Musik spielten. Jedoch würde wahrscheinlich das Lied »Buffer Overflow« von Under The Hat ganz gut passen.
Letztlich haben wir mit der Sendung ein wenig an der Oberfläche gekratzt. Direkt in der Sendung haben wir daher beschlossen, dass wir einzelne Themen in den folgenden Sendungen vertiefen wollen.
Wundert euch nicht über den abrupten Start in die Sendung. Der Recorder im Studio hatte meine erste Einleitung nicht aufgenommen. Daher habe ich den Anfang ein wenig gekürzt.
Die Grafik unten stammt vom Veracode-Blog. Die Autoren haben sich so genannte Bug-Bounty-Programme angeschaut. Diese zahlen Geld, wenn ein Bug gefunden und gemeldet wird.
Continue reading "Ankündigung: Sendung 18 zu Sicherheitsschwankungen bei Software"]]>Der letztjährige Chaos Communication Congress ist schon eine Weile her. Dennoch haben sich Jörg und Jens über den Kongress unterhalten. Wir haben ein wenig die Vorteile des neuen Orts beleuchtet und haben uns über verschiedene interessante Vorträge unterhalten. Wie üblich sind wir dabei ein wenig abgeschweift.
Die Musik in der Sendung war der Titel »End of night« von @xutive
Zu Anfang der Sendung ist Jörg noch allein und nimmt sich den Linux-Kernel vor. Er spricht über verschiedene Wege der Kommunikation im Projekt. Später machen wir einen Ausflug in das Release-Management und sprechen über verschiedene Wege von Werbung. Über Finanzierung von Projekten sprachen wir im zweiten Datenkanal. Daher haben wir das hier nicht weiter angerissen.
Jörg hat sich diesmal Reman mit den Titeln longtime and shorttime ausgesucht.
Die Shownotes fallen kurzfristig aus. Uns beiden fehlt die Zeit, diese zusammenzustellen. Wer mithelfen möchte, kann gern ein Pad anlegen und uns den Link zukommen lassen. Ansonsten müssen wir vielleicht mal versuchen, uns bei Die Shownotes anzumelden.
Michael Prokop, unser Gast aus der zweiten Sendung, hat ein sehr interessantes Buch zum Thema geschrieben: Open Source Projektmanagement. Wir können das nur empfehlen, um sich umfassend zum Projektmanagement zu informieren.
]]>Nach einer kurzen Vorstellung der Personen beschreiben wir zunächst allgemein die Aufgaben und Rechte eines Untersuchungsausschusses (UA). Das Untersuchungsausschussgesetz (UAG) in Thüringen regelt, wer einen UA einberufen darf, was dieser macht und legt Regeln zur Öffentlichkeit fest. Katharina König erzählt etwas über die Einflussbereiche und Übergriffe von Neonazis in Jena.
Einen großen Teil des Gespräches nimmt das Thema V-Mann ein. Am Beispiel von Tino Brandt versuchen wir die diversen Ungereimtheiten zu besprechen. Das fängt bei den Summen an, die er bekam. Weiterhin versuchen wir zu klären, inwieweit es Topinformationen waren, die er lieferte. Schließlich kommen wir auch auf die diversen eingestellten Strafverfahren zu sprechen.
Weiterhin versuchen wir die Ereignisse um die Garagendurchsuchung sowie die Merkwürdigkeiten im Mordfall Kiesewetter zu diskutieren.
Aus der abschließenden Frage über das weitere Vorgehen mit dem Verfassungsschutz (Abschaffen oder nicht) entwickelte sich dann noch ein kleines Streitgespräch zwischen Katharina König und Jörg Kellner.
Beim Beginn der Sendung hat der Rekorder offensichtlich zu spät eingesetzt. Daher klingt es so, als ob wir mittendrin einsteigen. Soweit ich mich erinnere, fehlen nur die ersten anmoderierenden Worte.
Shownotes folgen später. Wer Lust hat, kann seine Shownotes im DK15-Pad hinterlassen.Die Shownotes sind jetzt im erweiterten Eintrag zu lesen.
Ihr könnt die Sendung in und um Jena live im OKJ hören. Für alle anderen gibt es verschiedene Feeds. Wir versuchen, während der Sendung die Kommentare bei identi.ca, Twitter und im Chat zu lesen und diese in die Sendung einzubinden.
Viel Spass beim Reinhören!
]]>In der Sendung haben wir uns zunächst über den Aufbau des nPA und die unterschiedlichen Anwendungen unterhalten. Speziell das Thema eID spielte eine größere Rolle. Des Weiteren klären Jörg und Christian Details zum PACE-Protokoll sowie zu der dahinterstehenden PKI. Leider war die Studiozeit viel zu schnell vorbei. Daher endet die Sendung wieder recht abrupt.
Christian hatte sich etwas Drum and Bass gewünscht. Zwei Künstler schafften es in die Sendung:
Continue reading "DK14: Der neue Personalausweis"]]>Im Gespräch erläutern die Entwicklern die dahinter stehende Firma. Wir besprechen wie JonDonym funktioniert, wo ggf. Angriffe lauern und wie der Nutzer das Internet möglichst anonym betreten kann. Karsten geht darauf ein, inwieweit der Dienst anonym bezahlt werden kann und Georg erklärt, welche Entwicklungen in der Zukunft zu erwarten sind.
Jens hat zur Anonymität im Internet das Buch »Anonym im Netz – Wie Sie sich und Ihre Daten schützen« veröffentlicht. Dort beschreibt er neben JonDonym auch weitere Dienste zur Anonymisierung.
Die Shownotes folgen demnächst. Wer mitmachen will, kann das DK013-Pad bearbeiten.Die Shownotes stehen unten, im erweiterten Eintrag.
Jörg hat sich diesmal um die Musik gekümmert. Wir spielten zwei Titel aus Sarah’s Dancing von Carmin.D. Der erste war Born to Fly von Lisa Shaw und der zweite spudda dudda doo von Count Funkula.
Continue reading "DK12: Dateisysteme"]]>Anfang April des Jahres gab es eine Informationsveranstaltung zu dem Wahlsystem POLYAS. Ich habe die Veranstaltung mitprotokolliert und im Beitrag das Protokoll zusammengefasst. Eine der Aussagen, die ich mitgeschrieben hatte, waren Aussagen zu Tests der Software und zu den Testergebnissen. Nun gab es einigen Mailverkehr zwischen der Firma RedTeam, Micromata und mir, Jens Kubieziel. RedTeam machte mir gegenüber klar, dass sie keinerlei Aussagen über Kundenaufträge machen und dass sie derartige Aussagen aus den Testergebnissen nur ein Einzelfällen freigeben. Daraufhin ließ Herr Reinhard, Geschäftsführer von Micromata, mitteilen, dass keiner seiner Mitarbeiter eine derartige Aussage getroffen hat. Also passte ich den Beitrag entsprechend an.
Im folgenden bat ich Herrn Reinhard um eine Stellungnahme zu eventuellen Prüfungen seiner Software, den Verfahren und den Ergebnissen. Insbesondere bat ich die folgenden Fragen zu beantworten:
In seiner Antwort machte Herr Reinhard klar, dass die Software in den letzten 16 Jahren von vielfältigen Personen, Firmen, Universitäten etc. getestet wurde. Die Ergebnisse waren »detailliert und vielfältig«. Leider wurden konkrete Firmen oder Behörden nicht genannt, »da die Gefahr nicht korrekter Zusammenhänge und daraus entstehender Irritationen zu hoch ist.« Also bleibt weiter offen, wer eventuell testete, nach welchen Prizipien das geschah und wie das Ergebnis aussah. In der Informationsveranstaltung wurde noch komplette Offenheit versprochen. Aber vielleicht habe ich mich da auch nur verhört …
]]>Ich habe des Weiteren mal eine Bitcoin-Adresse für den Datenkanal angelegt. Wenn ihr das dringende Bedürfnis verspürt, uns eine Spende zukommen zu lassen und einfach mal mit Bitcoin spielen wollt, könnt ihr die nutzen. Die Adresse ist 1LwskfXdQ7KvMqo2WoxjaM5CwCWk4eMg2q. Der QR-Code sollte von Smartphones erkannt werden. Ich würde mich freuen, wenn das mal jemand mit einem Smartphone testet und dann seine Erfahrungen berichtet.
Die Musik war ein Wunsch von marlonmetal. Wir spielten zwei Titel aus dem Album Black Sheep II von Mad Mav.
Der zehnte Datenkanal beschäftigt sich ein wenig mit Desktops unter GNU/Linux. Wir erzählen mal ein wenig von unseren Erfahrungen mit den verschiedenen Oberflächen. Jens hatte im Vorfeld eine Umfrage gemacht. Dabei kam folgendes Ergebnis raus:
Klaus erzählte, dass er von KDE positiv überrascht wurde und berichtete von seinen negativen Erfahrungen mit Unity. Jörg nutzt awesome und IceWm. Momentan sind die Nachteile von IceWM zu groß und er erklärt die Vorteile von awesome.
Für den zweiten Teil der Sendung hatte Klaus einige Neuigkeiten rausgesucht. Wir diskutieren über die Probleme von Helsinki beim Umstieg zu LibreOffice, über diverse Projekte mit dem Raspberry Pi und über Jumpshot.
Auf Wunsch von fpunktk spielten wir zwei Stücke aus dem Album 8-bit lagerfeuer von pornophonique.
]]>Diesmal gibt es eine kleine Neuerung. Der Datenkanal ist gewachsen. Klaus Kruse, unser Gast vom Datenkanal 7 zu Smartphones, verstärkt das Team. Herzlich Willkommen!
Bei der Aufnahme funktionierte eines der Mikrofone nicht so wie gewollt. Daher leidet die Aufnahme von Constanze an einigen Stellen. Die Shownotes sind bereits im Beitrag zur achten Sendung zu finden.
Die Wahlen zu universitären Gremien sprechen in aller Regel wenige Studenten an. Ein Fünftel oder weniger der Wähler kommen ihrem Recht nach. Die Friedrich-Schiller-Universität (FSU) in Jena glaubt nun, ein Gegenmittel gefunden zu haben: Online-Wahlen.
In der aktuellen Wahl sollte das System POLYAS der Firma Micromata zum Einsatz kommen. Über ein Formular meldet sich die Student unter Verwendung seines Geburtsdatums, seiner Matrikelnummer sowie einer festgelegten Passphrase an. Danach wird von der Software ein Wahlschein präsentiert. Studierende geben die Stimme ab und die Software zählt am Ende aus. Eigentlich klingt das alles ganz einfach. Wie jedoch schon der Start zeigte, gibt es eine Vielzahl von Problemen.
Christoph Pregla erzählt im Podcast, dass eine von drei Komponenten der Software zunächst nicht gestartet werden konnte. Es gab dann längere Telefonate zwischen Micromata und der FSU. Die beteiligten Personen verließen dann die Räumlichkeiten. Es ist unklar, was in dieser Zeit mit dem Rechner passierte. Ein Angreifer hätte eventuell leichtes Spiel. Die Software konnte letztlich gestartet werden. Jedoch fiel irgendwann auf, dass die Online-Version des Wahlzettels von der Druckversion abwich. Während auf dem gedruckten Wahlzettel korrekt die Abgabe von drei Stimmen möglich war, konnten online nur zwei Stimmen abgegeben werden. Dieser Fehler führte dann zum Abbruch der Online-Wahl durch das Wahlamt.
Im zweiten Teil des Podcasts erzählt Christoph dann von weiteren Problemen, die er bei der Software sieht und auch von Aktionen, die vom Studierendenrat der FSU geplant werden. Constanze Kurz liefert im ersten Teil einige Informationen zu den theoretischen Problemen von Online-Wahlen und erzählt von der GI- sowie ÖH-Wahl. Es war eigentlich geplant, die Aufzeichnung zu dritt mit Christoph zu machen. Aber wir hatten das Treffen verpeilt. Daher gibt es zwei getrennte Gespräche.
Im folgenden habe ich noch einige Informationen zum Hintergrund aufgeschrieben. Dies entstammt meiner Mitschrift aus der Veranstaltung sowie meiner Erinnerung:
Am 5. April 2012 fand an der FSU eine Präsentation von Micromata
statt. Dort sprachen sowohl Vertreter des Wahlamtes wie auch
Firmenvertreter. Herr Rüttger vom Wahlamt machte dort deutlich,
die Einführung der Online-Wahlen zwei Ziele verfolgen.
Im Sommersemester 2012 finden kleine Gremienwahlen, Wahlen zum Stura, zu den Fachschaftsräten und zum Rat der Graduiertenakademie statt. Daneben gibt es eine Urabstimmung über Online-Wahlen. Dadurch ergibt sich gegebenenfalls die Möglichkeit, Online-Wahlen bei studentischen Gremien einzusetzen. Die laufende Online-Wahl berücksichtigt nur Gremien der Uni.
Momentan gibt es an der FSU 18.000 Wahlberechtigte. Für die müssen Zettel gedruckt und versandt werden. Das verursacht für die FSU einen erheblichen Aufwand. Denn es ist viel Personal eingebunden und verschlingt viel Zeit. Des Weiteren wäre das Verfahren nicht umweltfreundlich. Denn aufgrund der geringen Wahlbeteiligung landen mehr als 80 % der Ausdrucke im Papierkorb. Angeblich entstehen dadurch Kosten von ca. 20.000 €. Im Verlauf der Präsentation gab es keine Aussage, was POLYAS kostet. Intuitiv wäre zu erwarten, dass das System weniger Kosten verursacht.
Ein weiteres Ziel ist die Erhöhung der Wahlbeteiligung. Denn schließlich nutzen viele Studenten Facebook, also werden sie ihre Stimme gern online abgeben. So lautete in etwa die Begründung.
Seit 2008 gibt es an der FSU Überlegungen zur Durchführung von Online-Wahlen. Zwei Jahre später fand eine Testwahl mit Micromata an der Graduiertenakademie statt. Am 29. Februar 2012 wurde eine neue Wahlordnung verabschiedet. Diese ermöglicht erstmalig Online-Wahlen.
Im Verlauf der Veranstaltung wurde mehrfach erwähnt, dass die DFG und die Gesellschaft für Informatik (GI) POLYAS einsetzen. Insbesondere letztere als Vereinigung der Informatiker wurde als Beleg aufgeführt, dass das System gut ist. Denn was das schon Informatiker einsetzen … Mir fällt da nur ein: »Der Schuster hat immer die schlechtesten Schuhe«.
Die Studierenden haben mittlerweile alle ein Anschreiben bekommen. Dort steht drin, wo man sich anmelden kann, wie sich das Loginkennzeichen zusammensetzt (Matrikelnummer und Geburtsdatum), wie die Passphrase ist und wie der Fingerprint des SSL-Zertifikats aussieht. Somit wäre der Login und die Wahl theoretisch möglich. Laut Auskunft von Christoph gibt es einen zweiten Anlauf für die Online-Wahl. Dieser startet am 9. Juli 2012. Mittlerweile gibt es dazu eine Wahlbekanntmachung.
Bei der Präsentation gab es an der Stelle Screenshots vom Wahlportal. Lustigerweise war im Suchfeld des Browsers zu lesen, welche Frage derjenige zuletzt an Google gegeben hatte. Diese lautete: »Wie mache ich einen Screenshot?«
Der technische Wahlvorgang war für mich nicht nachvollziehbar. Denn zum einen besteht dieses aus einer Vielzahl von Schritten, wo diverse Dinge passieren. Ich konnte da nicht gleichzeitig mitschreiben und -denken. Jedoch gibt es die Diplomarbeit »Anbindung eines externen Authentifizierungsdienstes an ein Online-Wahlsystem« von Christian Backes. Dort stehen einige Details dazu drin (siehe Shownotes unten).
Schließlich folgten Fragen, die entweder vorab abgegeben wurden oder sich im Anschluss stellten. Ein Teil bezog sich auf Verschlüsselung und Technik. Micromata generiert die Passphrases (TANs) und verschlüsselt diese mit GnuPG. Das Ergebnis wird an die FSU gegeben. Die Erzeugung der TANs könnte jedoch auch bei der FSU erfolgen.
Das System ist abgeschottet. Es läuft nur die Wahlsoftware und keine anderen Dienste. Gleichzeitig findet eine Prüfung mit Aide und Tripwire statt.
Die Software wurde in Java geschrieben. Micromata verwendet Bouncycastle mit 2048 Bit RSA und 256 Bit AES. Weiterhin wird angeblich intern SHA-256 als Hashalgorithmus benutzt. Im Rahmen der Vorführung später waren jedoch Zeilen mit MD5 zu lesen. Auf Nachfrage antwortete ein Vertreter der Firma, dass die Logmeldungen noch nicht angepasst wurden.
Gerade im Lichte des Vorfalls an der FSU ist die Frage nach der Verfügbarkeit interessant. Angeblich gab es bisher einen Hardwareausfall. Dies führte zu sechs Stunden Nichterreichbarkeit. Ansonsten wurde immer 100 % Verfügbarkeit erzielt. Wie wohl die offizielle Zahl für die FSU aussieht?
Die Vertreter des Stura wollten auch wissen, welche unabhängigen Sicherheitsunternehmen den Code geprüft haben sowie wie dieser Test durchgeführt wurde. Nach meiner Mitschrift beantwortete der Vertreter von Micromata die Frage nach den Prüfunternehmen insofern, als das der Code vom BSI und von der DFG geprüft wurde. Einen Penetrationstest soll es seitens der DFG und von »Redteam Aachen« gegeben haben. Auf meine Nachfrage in der Veranstaltung, zu welchem Ergebnis die Tester gekommen sind, wurde gesagt, dass keine Schwachstellen außer Denial of Service gefunden wurden. Ich nahm an, dass es sich um die Firma RedTeam Pentesting aus Aachen und verlinkte darauf. Die Firma nahm Kontakt zu mir auf und teilte mir mit, dass sie keinerlei Auskunft über Kunden und Nichtkunden erteilen und nur in Einzelfällen eine Freigabe der Testergebnisse erteilen. Der Geschäftsführer von Micromata, Herr Reinhard, ließ in der Zwischenzeit mitteilen, dass die obige Aussage so nicht von seinen Mitarbeitern getroffen wurde. Dies betrifft sowohl die Aussage zum BSI wie die zum RedTeam. Damit bleibt also weitgehend offen, welche externe Firma den Code wie geprüft hat.
Irgendwann war meine Batterie am Ende und ich habe nicht weiter mitgetippt. Am Ende ging es noch um das Kompilieren der Software. Das sprach Christoph auch im Podcast an. Daneben gab es weitere eher technische Fragen.
Relativ wenig wurden eher juristische Fragen angesprochen. Constanze erwähnte bereits die Grundsätze, die zuletzt das Bundesverfassungsgericht an Wahlen im Allgemeinen gestellt hat. In den Leitsätzen zum Urteil 2 BvC 3/07 vom 3.3.2009 schrieben die Richter:
Der Grundsatz der Öffentlichkeit der Wahl, […], gebietet, dass alle wesentlichen Schritte der Wahl öffentlich überprüfbar sind, […].
Bei einer klassischen Wahl ist das vollständig gegeben. Da wird ein Papierzettel in eine Urne geworfen. Später werden alle Zettel herausgeholt und ausgezählt. Das Eregbnis wird anschließend übermittelt. Jeder Mensch mit grundlegenden mathematischen Fähigkeiten kann das Verfahren verstehen und sieht, wenn manipuliert wird. Wie ist das bei Online-Wahlen? Schon oben schrieb ich, dass der gesamte Wahlvorgang nicht so auf die Schnelle zu verstehen ist. Bereits hier benötigt man tiefergehende Kenntnisse in der Informatik, um den Ablauf zu verstehen. Das heißt, selbst wenn man davon überzeugt ist, dass die Software fehlerfrei funktioniert, kann nicht jeder die Funktionsweise einfach nachvollziehen. Wie das mit der Fehlerfreiheit ist, sieht man ja am Start des Systems an der FSU.
Insofern bleiben die grundsätzlichen Bedenken bestehen. Selbst die Vertreter von Micromata räumten in der Präsentation ein, dass ihr System nicht den Anforderungen des BVerfG gerecht würde. Aber offensichtlich erheben sie an Uniwahlen andere Ansprüche.
Ich würde mich freuen, wenn sich Studierende der FSU über die Probleme derartiger Wahlsysteme klar werden und ihr Kreuz für die Urabstimmung entsprechend setzen. Gleichzeitig benötigt die Stura die Unterstützung, um Informationen zu verteilen bzw. Gegenaktionen zu planen. Solltet ihr also Probleme sehen, meldet euch beim Stura. Habt ihr weitere Informationen zu POLYAS an der FSU oder anderswo, steht euch das Kommentarfeld offen. Viel Spaß beim Hören des Podcasts.
Update: Klar gestellt, dass Aussage zur Prüfung des Code von Micromata-Vertretern kam.
Update 2: Micromata widerspricht einer Aussage. Blogbeitrag entsprechend angepasst.
]]>Im Podcast unterhalten wir uns mit Klaus Kruse über Smartphones. Meist geht es um Android. Zu Beginn versuchen wir zu klären, woher die Smartphones kommen. Wir sprechen über diverse Eingabemöglichkeiten. Klaus und Jörg diskutieren schließlich verschiedene Apps, die sie als nützlich empfanden. Eine Liste dieser Apps findet ihr am Ende des Artikels.
Zu Beginn der Sendung machte Jens noch ein wenig Werbung für sein neues Buch »Anonym im Netz«, um den fliegenden Wechsel im Studio zu überbrücken.
Einige unserer Hörer würden gern die Musik auch im Podcast hören. Daher ist das die erste Version, die mit Musik daher kommt. In späteren Folgen werden Titelmarken enthalten sein. Damit kann dann jeder, entsprechende Software vorausgesetzt, den Podcast nach seinem Geschmack mit oder ohne Musik hören.
Die Musik stammte vom Album SONRiSE von Carmin.D. Den Titel könnt ihr euch auch unten anhören.
Weitere Titel zum Anhören hat PG0 auf der Media-Seite.
Ich wurde gebeten, die Sendung schnell online zu stellen. Daher habe ich nur die Musik rausgeschnitten und die resultierende Datei von Auphonic bearbeiten lassen. Daher gibt es noch keine Shownotes. Ihr könnt gern Hinweise auf Links im DK6-Pad hinterlassen.
Die Musik stammte von Prettygoodzero sowie der Band Bass Drive aus Jena.
Die Shownotes werden nachgereicht. Es gibt das DK6-Pad. Die Datei könnt ihr gern bearbeiten und wichtige Links hinterlassen.Die Shownotes sind soweit fertig und stehen unten. Viel Spass beim Durchklicken
Update: Link zum Linux-sucks-Vortrag und zu EMA Tech ergänzt
]]>Als erstes Interview in der Runde könnt ihr euch unten das Gespräch mit Kurt Gramlich vom Skolelinux-Projekt anhören. In der Sendung hatten wir leider keine Zeit mehr, das auszustrahlen. Daher kommt das nun als erstes in Web.
Ich habe mich mit Kurt über die verschiedenen Projekte unterhalten. Dazu gehören Skolelinux, Debian Edu und OLPC. Weiterhin geht es um Hilfe beim kommenden Linuxtag in Berlin. Hier benötigt das Projekt noch Helfer.
Ein kleines technisches Problem gab es in der Sendung dennoch. Das Headset hatte einen Wackelkontakt. Das machte sich zum einen in Jens’ Ohr bemerkbar. Zum anderen gibt es Schwankungen in der Lautstärke bei Jens. Das liegt vermutlich ebenfalls am Headset.
maha hatte sich in der letzten Sendung Binärpilot gewünscht. Den Wunsch hatten wir übersehen. Daher gab es diesmal nur Binärpilot auf die Ohren.
]]>
Die Sendung wird im Umkreis Jenas im Radio auf der Frequenz 103,4 MHz übertragen. Daneben gibt es einen Livestream. In einigen Tagen findet ihr den Mitschnitt hier auf der Seite. Wir freuen uns über Kommentare und werden, wie immer, ein Auge auf den Chat sowie Twitter- und Identi.ca-Feed haben.
]]>Am Anfang der Aufnahme gibt es einen kurzen Moment der Stille. Dort waren die Mikros noch nicht alle an. Das ändert sich aber nach wenigen Sekunden. Auch diskutierten wir etwas zu lange. Die Aufnahme wird automatisch nach 59 Minuten gestoppt und da fehlt mein Schlusswort.
Die Sendung wird live bei Radio OKJ übertragen und ist auch als Livestream zu hören. Im Chat oder bei Twitter/Identi.ca könnt ihr mitdiskutieren.
]]>Das Gespräch lief über Skype und wurde dort aufgezeichnet. Das Programm zur Aufzeichnung brach bei mir zweimal ab. Daher musste ich mika beim Schnitt zweimal das Wort »abschneiden«.
Wir haben uns anfangs zu grml unterhalten. Später ging es dann um den Finanzbedarf seines Projektes, Sponsoring und andere Möglichkeiten der Lukrierung sowie um sein Buch zu Open-Source-Projektmanagement. Den Abschluss bildete eine kurze Betrachtung der Einnahmen aus steuerlicher Sicht. Dabei ist zu beachten, dass mika aus Österreich kommt. Einige der Aussagen gelten nicht unbedingt gleich in Deutschland.
Die Probleme begannen bereits bei unserem Eintreffen im Sender. Denn trotz Zusage des Sendetermins war auf die Zeit eine andere Sendung gebucht. Glücklicherweise war das eine Wiederholung einer bereits ausgestrahlten Sendung und wir konnten den Platz doch übernehmen. Später während der Sendung weigerte sich mAirList beharrlich, die Teile des Interviews abzuspielen. Einige gingen, andere gingen nicht. Da uns unklar war, woran dies lag, haben wir den Rest der Sendung ohne das Interview erledigt. Gut wenigstens haben wir den Mitschnitt der Sendung. Aber auch dies erwies sich als Fehlannahme. Der Rekorder lief nicht mit und die Backupkopie war unbenutzbar. Auf der ist ein permanenter Rausch-/Kratzton zu hören und die Stimmen sind sehr leise im Hintergrund. Ich werde mal probieren, ob sich da was rausrechnen lässt. Aber momentan gehen wir davon aus, dass die Sendung verloren ist. Es sei denn, da draußen hat jemand einen Mitschnitt gemacht. Falls dem so ist würden wir uns freuen, wenn du dich meldest.
Das Einzige, was bleibt, ist das Interview mit Mika. Das werdet ihr demnächst hier auf der Seite finden.
]]>Der zweite Datenkanal wirft seine Schatten voraus. Wir erhielten kürzlich die Bestätigung für den Sendetermin. Macht schonmal einen dicken Strich in den Kalender. Wir gehen am 14. Februar ab 17 Uhr auf Sendung. Das Thema wird Finanzierung von Open-Source-Projekten sein. Wir möchten darauf eingehen, wo der Geldbedarf bei Projekten entsteht und wie sich dieser decken lässt. Dazu haben wir einen Interviewgast, der uns seine Erfahrungen aus der Praxis erzählen wird. Solltet ihr Kommentare dazu haben, hinterlasst hier einen Kommentar oder kommt zur Sendung in den Chat, dentet oder twittert uns an.
Das obige Bild stammt von live w mcs - multiple chemical sensitivity und steht unter der Lizenz CC BY-NC 2.0.
]]>In unserer ersten Sendung werden wir zunächst auf das Konzept der Sendung eingehen und etwas zu uns erzählen. Daneben sollen in allen Sendungen einige wichtige Nachrichten und interessante Veranstaltungen beleuchtet werden. Hört einfach rein! Wir hoffen, ihr habt Spaß beim Zuhören.
]]>