hm. ich bin ja nun wirklich kein sicherheitsfuzzi der richtig ahnung von der materie hat. aber ich hab oft genug mit verschiedensten pc-usern und deren vorstellungen von "sicherheit" zu tun um mal was zum thema beitragen zu können. heute im volltext: passwörter.

bisher: p4@2ghz, 1gb ram, 80gb systemdatenträger. dauer einer vollverschlüsselung mit AES ohne wipe: ~8 stunden.

aktuell: core2quad@2,4ghz, 3gb ram, 620gb systemdatenträger. dauer einer vollverschlüsselung mit AES und 7-fach wipe: ~1 stunde.

hell yeah... 8-)

heikel: wer software zum verschlüsseln von daten nutzt möchte üblicherweise auch dass er sich auf die sicherheit des verwendeten programms verlassen kann. da ist die anfang des jahres publik gewordene schwachstelle von nahezu allen softwarelösungen ziemlich ärgerlich: das passwort, das zum entschlüsseln benötigt wird, bleibt im klartext gespeichert und lässt sich relativ simpel aus dem arbeitsspeicher auslesen - sofern man physikalischen zugriff aufs gerät hat.

eine firewire-schnittstelle soll sich wohl besonders gut dafür eignen, aber es dürfte sicher noch viele andere wegen geben um an die sensiblen daten im RAM zu kommen. und, das war mir auch neu: der arbeitsspeicher löscht sich keinesfalls beim neustart des rechners, die darin befindlichen daten bleiben überraschend lange erhalten.

nachdem also mittlerweile aus allen richtungen vor dieser schwachstelle gewarnt wurde hab ich beinahe schon den glauben an eine sichere datenverschlüsselung verloren. bei heise ist man spät aber doch auch drauf aufmerksam geworden und die coder haben wohl erstmal was zu tun. ich hab auch mal drüber nachgedacht wie man den arbeitsspeicher denn sicher und komfortabel löschen könnte, mit der erkenntnis: gar nicht. alle vorhandenen tools scheitern, alle erdachten methoden sind entweder nicht sicher oder nicht komfortabel - und von einer umsetzung reden wir lieber garnicht erst.

aber es sieht so aus als könnten die nutzer von truecrypt aufatmen! den machern war die lücke scheinbar rechtzeitig bekannt um sie in den aktuelleren versionen zu beheben. so jedenfalls liest sich das in diesem bericht:

Affected Software:
- TrueCrypt 5.0 (possibly older versions also)

Vendor response:
- Vendor denies the vulnerability
- Fixed in updated versions

ich hoff jetzt einfach mal dass man dem glauben schenken darf, dass die security-nerds dass demnächst nochmal ausgiebig testen und dann entwarnung geben. und ich vermute der rest der produktpalette wird - hoffentlich - auch bald nachziehen.

seit geraumer zeit ist das dritte servicepack für windows xp als beta draussen, seit ein paar wochen nun auch für jedermann. klar dass man das als updatebewusster mensch installieren sollte.

ich hab mich nur kurz über die neuerungen informiert - kaum was interessantes dabei. die neuen versionen von mediapayer und ie fehlen, juckt mich aber herzlich wenig. und dann soll es eben ein paar kleinigkeiten, ein paar bugs beheben, es gibt nen neuen installer - und, so sagt wikipedia jedenfalls: eine messbar verbesserte systemgeschwindigkeit! na das is doch mal n grund.

was nirgends steht, worauf ich aus eigenen überlegungen auch nicht auf anhieb gekommen wär: dieses verschissene servicepack pfuscht (warum auch immer...) am bootloader rum, was dann natürlich mit ner plattenverschlüsselung echt scheisse kommt.

nach der installation des servicepacks und dem abschließenden neustart sieht das dann in kombination mit truecrypt so aus:

• der bisherige bootloader zeigt mir nur kryptische zeichen an. sauber zerschossen, das ding.
• erneuere ich den gecrypteten bootloader kann ich zwar wieder was lesen, allerdings wird unmittelbar nach der passwortabfrage neu gebootet. klar, der kann die unfertige installation auch nicht beenden.
• deaktiviere ich die verschlüsselung hab ich noch meinen alten, orginalen bootloader den ich verwenden kann. der hilft mir allerdings nichts, da dieser nicht zur installationsroutine des sp3 passt.
• ne live-cd lässt mich zwar ans system, doch das unvollständig installierte servicepack weigert sich hartnäckig wieder zu verschwinden.

also: einmal neu, das ganze. letztes backup ist vom februar, aktuelle daten sind ausgelagert. nicht wirklich viel stress, aber fuck, war das echt nötig?

immerhin, laut m$ soll das das letzte servicepack für xp sein. die haben ja auch wichtigeres vor. die müssen noch so tun als würde vista mittlerweile anständig laufen, und dann brauchen die noch nen release-termin für ihr nächstes betriebssystem, an dem sie schon wieder stricken. wird sicher ganz toll funktionieren, das alles...

dem herrn schneier sein "crypto-gram" ist eben eingetroffen: es haben nach wie vor die leute das sagen, die am wenigsten ahnung haben. scheint ein naturgesetz zu sein, von wegen der stärkere setzt sich durch... mal willkürlich zwei links rausgepickt:

. holländische rfid-tickets gehackt
in holland will man ein neues system für öffentliche verkehrsmittel einführen und so die herkömmlichen fahrkarten ersetzen. gedacht war das so dass jeder passagier eine kleine chipkarte bekommt, die man mit geld aufladen kann. die wird dann beim ein- bzw. aussteigen aus den verkehrsmitteln gescannt und der jeweils fällige betrag direkt abgezogen. weiter heißt es:

passengers can also provide the transit authorities with their bank account number so that when the amount of money on the card dips below a certain threshold, it is automatically reloaded

ich halt das generell ja für ganz groß einem kleinen chip eine einzugsermächtigung für mein konto samt verbindungsdaten zu geben - ich persönlich hab da schon bei amazon gewissensbisse, aber naja. der lustige part: jede ausführung dieser karten wurde bereits vor der einführung gehackt. zum teil muss es wohl relativ einfach gewesen sein die verschlüsselten daten zu knacken, zum teil waren sie auch garnicht erst verschlüsselt (... wtf?!). na, vielleicht hat man da ja an der falschen stelle gespart - hat den holländischen steuerzahler ja "nur" ~2.000.000.000$ gekostet. nein, da sind keine nullen zuviel.

. mehr kontrollen an flughäfen!!!1!
seit neun-elf ist vor allem eins sicherer geworden: der flugverkehr. oder? ich persönlich flieg ja wirklich nie, aber allen anderen anti-terror-maßnahmen voran haben wir die flughafensicherheit ausgebaut, sowas wär vorher einfach undenkbar gewesen. keine flüssigkeiten im handgepäck - und wehe du kaust kaugummis. gefilzt wird jeder und alles, fehlt noch der obligatorische röntgenbefund vor dem check-in (hey, müsste man mal vorschlagen...!). und - was bringts? ne menge, echt.

ein 57jähriger ist rein aus versehen mit einer geladenen waffe durch die sicherheitsschleusen im flughafen von washington gelaufen. nicht irgendwo in zentralafrika, wo die das vielleicht nicht ganz so genau nehmen - nein, in washington. stellt sich die frage wie gefährlich flüssigkeiten im handgepäck wirklich sind, wenn sowas passiert. der mann hat das natürlich bemerkt und hat das auch direkt den sicherheitsleuten mitgeteilt - die haben ihn dann erstmal weggesperrt. was muss das muss. und im artikel heißt es auch:

on average, screeners find two guns a day

zwei knarren am tag, durchschnittlich. meine fresse - amis. "oh, der revolver - den hab ich glatt vergessen. nehmense mir den doch mal bitte ab...". der freie zugang zu waffen vermittelt schon ein unglaubliches gefühl von sicherheit, ja...

btw, hat die merkel sich nicht kürzlich dafür ausgesprochen die sicherheitskontrollen von europäischen flughäfen an amerikanische standards anzugleichen? hm, hätt ja auch sinn...