Die Ant­wort auf die­se Fra­ge lau­tet: Dual­boot.

Secu­ri­ty, also Sicher­heit vor Angrif­fen aller Art, ist nicht leicht zu erreichen.

Ein Begriff, der im Kon­text von IT-Secu­ri­ty recht bekannt ist, ist Secu­ri­ty through Obscu­ri­ty. Damit meint man (angeb­li­che) Sicher­heit, die dar­auf basiert, dass poten­ti­el­le Angrei­fer bestimm­te Din­ge hof­fent­lich nicht wis­sen oder kön­nen. Sol­che „Sicher­heit” ist kei­ne Sicherheit.

Beispiel 1:

Gehei­me Infor­ma­tio­nen auf einer Web­site, die prin­zi­pi­ell jeder abru­fen kann, aber nie­mand kennt die URL.

URLs und Pfa­de all­ge­mein sind nicht dafür ent­wor­fen wor­den, geheim zu sein. Man hat kei­ner­lei Garan­tie, dass nicht aus irgend einem Soft­ware-Feh­ler her­aus der Ver­zeich­nis­baum des Web­space bekannt wird oder ein Angrei­fer eine Lücke fin­det, um sel­ber in die­sem Ver­zeich­nis­baum her­um­zu­stö­bern. Zumal der Web­space-Pro­vi­der den Ver­zeich­nis­baum ein­se­hen kann!

Beispiel 2:

Den Code des eige­nen Sys­tems geheim hal­ten, damit nie­mand weiß, ob und wel­che Schwach­stel­len existieren.

Jedes Pro­gramm, dass man einem Kun­den in die Hand drückt, kann von die­sem auch rever­se-engi­nee­red wer­den, sodass er als Angrei­fer weiß was pas­siert und Schwach­stel­len fin­det. Das dau­ert unter Umstän­den sehr lang und ist auf­wen­dig - aber es geht! Außer­dem braucht man oft den Code gar nicht zu ken­nen, son­dern pro­biert ein­fach ein paar übli­che Schwach­stel­len aus.

Beispiel 3:

Ein Behör­den­mit­ar­bei­ter trans­por­tiert Daten per­sön­lich in einem Lap­top von einer Behör­de zur nächsten.

Die Hoff­nung hier ist, dass ja nie­mand weiß, dass genau der Mit­ar­bei­ter die Daten hat. Abge­se­hen davon, dass es wahr­schein­lich schon inner­halb der Behör­de jeder weiß, der es wis­sen will: Was, wenn der Lap­top geklaut wird?

Passwörter

Sind Pass­wör­ter dann nicht auch Secu­ri­ty through Obscu­ri­ty? Nein. Pass­wort­ba­sier­te Sys­te­me sind expli­zit dar­auf aus­ge­legt, bestimm­te Sicher­heits­ga­ran­tien zu bie­ten. In sol­chen Sys­te­men muss man nicht auf Geheim­hal­tung hof­fen, son­dern weiß, dass nie­mand die­se Bar­rie­re über­win­den kann bzw. ein bestimm­ter wohl­de­fi­nier­ter Schwie­rig­keits­grad gege­ben ist.

Das Ent­schei­den­de Pro­blem bei Secu­ri­ty through Obscu­ri­ty ist, dass es nahe­zu immer eine Men­ge unkla­rer Even­tua­li­tä­ten gibt, unter denen die Sicher­heit zer­stört wer­den kann. Man hofft nur oder nimmt an, dass es nicht pas­siert, dass der Angrei­fer nicht cle­ver genug ist.

Der Über­gang ist flie­ßend und es kommt immer auch dar­auf an, was man geheim hal­ten will - Omas Keks­re­zept? Die Frei­ga­be­codes für die Atom­ra­ke­ten? Je nach­dem tut’s eben auch schon eine gehei­me URL.

Wikileaks vs Guardian

Der Grund, wes­halb ich die­sen Arti­kel heu­te schrei­be ist Wiki­leaks. Der Guar­di­an hat das Pass­wort für das Cable-Gate-Archiv in einem Buch abge­druckt. Er hat dabei ein­fach ange­nom­men, dass das Pass­wort ohne­hin nicht mehr aktu­ell sei und dass nie­mand die Datei fin­det. Secu­ri­ty through Obscu­ri­ty vom Feins­ten: Der Guar­di­an weiß nichts dar­über, ob die Ver­öf­fent­li­chung des Pass­worts pro­ble­ma­tisch ist, aber er macht es trotz­dem - aus Hoff­nung, dass es schon irgend­wie okay sein wird ver­mut­lich. Es ist ja sicher, weil nie­mand die Datei kennt! Nur blöd, dass Datei­na­men viel weni­ger geheim sind und - Über­ra­schung! - es gibt durch­aus Leu­te, die Zugang zur Datei haben!

Kann man von Jour­na­lis­ten erwar­ten, dass sie die Secu­ri­ty-Pro­ble­me ein­schät­zen kön­nen, die durch ihr Han­deln in Kom­bi­na­ti­on mit Wiki­leaks’ ver­schlüs­sel­ten Back­ups erwachsen?
Viel­leicht nicht.
Aber in dem Fall soll­te man erwar­ten, dass sie ande­rer Leu­te Pass­wör­ter nicht in Büchern abdrucken.

Vor­letz­te Woche war das abso­lut genia­le Cha­os Com­mu­ni­ca­ti­ons Camp! Wer es nicht kennt: Das ist ein Fes­ti­val von und für Geeks aller Art - „Hacker und asso­zi­ier­te Lebens­for­men“. Es war echt super! Wenn man anders­wo über span­nen­de Pro­ble­me redet, die nicht in bei­spiels­wei­se der Zei­tung ste­hen, und man was coo­les macht oder machen will, kommt ja meis­tens unge­fähr fol­gen­de Reaktion:

Ahja…

…und wofür braucht man das?

Auf dem Camp dage­gen ist es völ­lig anders! Man hat nur Leu­te um sich rum, die eben­so von Tech­nik aller Arten begeis­tert sind wie man selbst, und kann auf einer ganz ande­ren Ebe­ne mit­ein­an­der reden. Sehr inspi­rie­rend! Hab auch mit @vlt direkt nen net­ten Zelt­nach­bar getroffen!

wei­ter…

Manch­mal wür­de ich am liebs­ten ver­schwei­gen, dass ich Infor­ma­ti­ker bin. Ich weiß nicht, ob das nur mei­ne sub­jek­ti­ve Wahr­neh­mung ist, aber manch­mal habe ich ein­fach das Gefühl, dass bei mei­nem Gegen­über die Alarm­glo­cken schril­len, sobald ich erwäh­ne, dass ich Infor­ma­tik stu­diert habe. Die Leu­te wer­den dann erst­mal skep­tisch, wis­sen nicht, was sie von mir hal­ten sol­len. Ich wer­de dann in eine Schub­la­de gesteckt, die in aller Regel nicht posi­tiv besetzt ist.

Neu­lich sind wir nach dem Trai­ning noch was trin­ken gegan­gen. Dabei hat einer von sei­ner ers­ten, ziem­lich mie­sen WG erzählt, die von eini­gen echt schlim­men Infor­ma­ti­kern bewohnt war. Eine Tier­me­di­zi­ne­rin, die mit am Tisch saß, hat das sofort auf Infor­ma­ti­ker all­ge­mein umge­münzt nach dem Mot­to „Infor­ma­ti­ker halt, ne?”. Sie wur­de dann aber glück­li­cher­wei­se schnell korrigiert.

Bei mei­ner WG-Suche momen­tan stel­le ich manch­mal (in Zukunft nicht mehr) die Fra­ge, ob das DSL sta­bil ist. Ein­fach weil ich immer wie­der mal Geschich­ten von Leu­ten höre, bei denen das Inter­net spo­ra­disch weg ist. Da kommt als Stan­dard­ant­wort: „Aja, als Infor­ma­ti­ker ist das natür­lich wich­tig!” - wo ich dann gleich mer­ke, dass der Fra­gen­de kei­nen Schim­mer davon hat, was Infor­ma­tik ist. Viel­leicht denkt der­je­ni­ge nur: „Das sind irgend­wie die­se Selt­sa­men mit den Com­pu­tern, die wie Abhän­gi­ge den gan­zen Tag vorm Inter­net sit­zen”. Die­sel­ben Leu­te sind es aber, die sich auf den Monat genau dar­an erin­nern, wann vor 5 Jah­ren mal das DSL weg war.

Es mag auch nie­mand sein Smart­phone mis­sen, oder das treue Note­book, dem man­che Leu­te sogar einen Namen geben, von Ama­zon, Goog­le, Wiki­pe­dia, Face­book ganz zu schwei­gen. Aber die Men­schen, die die­sen Din­gen über­haupt erst Leben ein­hau­chen - das sind ja nur irgend­wel­che dege­ne­rier­ten Freaks, die man am bes­ten fern hält.

Zum Glück gibt es aber auch Men­schen, die ein paar Infor­ma­ti­ker per­sön­lich ken­nen! Die wis­sen dann, dass wir auch nur ganz nor­ma­le Men­schen sind. Dass wir auch Sport machen, Lesen, die Natur genie­ßen, ger­ne Kochen, span­nen­de Hob­bys haben!
Ich wünsch­te nur, es wären mehr.

Bei der Recher­che zur Mas­ter­ar­beit gefun­den. Wah­re Worte:

Uncer­tain­ty is a cri­ti­cal issue due to the ten­den­cy of most peo­p­le to tre­at both maps and com­pu­ters as somehow less fal­li­ble than the humans who make decis­i­ons they are based upon.

Quel­le: MacEach­ren: Visua­li­zing Uncer­tain Infor­ma­ti­on [PDF]

Ich for­sche gera­de für mei­ne Mas­ter­ar­beit, was in mei­nem Fach im Wesent­li­chen bedeu­tet, Bücher und Paper zur Theo­rie zu lesen, bevor spä­ter ein Pro­gramm geschrie­ben wird, dass die Idee tat­säch­lich umsetzt.

Bei die­ser Recher­che stößt man auf das unbrauch­bars­te Zeug. Daher…

Lie­be Autoren,

1. Die LaTeX-Stan­dard-Fonts sind am Bild­schirm unles­bar. Benutzt Vek­tor­fonts! (z.B. ae oder lmodern)
2. War­um sind eure PDFs durch­such­bar, ent­hal­ten aber nur Müll auf Sub-OCR-Niveau!?
3. Wenn ihr die Varia­blen, die in euren For­meln vor­kom­men, nicht defi­niert, könnt ihr die­se gan­ze Sache mit der Mathe­ma­tik auch gleich blei­ben lassen.
4. Wenn ihr ein Kon­zept benutzt, für das es einen anschau­li­chen Ver­gleich gibt, dann sagt das doch!
5. Wenn ihr es für eine gute Idee hal­tet, mit Erklä­run­gen spar­sam umzu­ge­hen - war­um schreibt ihr dann Bücher?
6. Ein schlecht geschrie­be­nes Buch wird nicht dadurch bes­ser, dass es beson­ders dick ist.
7. Nur weil Mathematica/Maple/Maxima es kann, ist es noch lan­ge nicht offensichtlich.
8. Wenn ihr eine For­mel her­ge­lei­tet habt, NEHMT EUCH EINEN VERDAMMTEN TASCHENRECHNER UND ÜBERPRÜFT SIE BEVOR IHR SIE IN EUER BUCH SCHREIBT!!!

Mei­ne Fresse…
Vie­len Dank

Ich habs noch gar nicht geschrie­ben: Ich habe jetzt ein The­ma für mei­ne Masterarbeit!
Was es genau ist, möch­te ich aller­dings nicht ver­ra­ten - da ist mir doch das Risi­ko zu groß, dass es nach­her einer goo­gelt und sei­ne Arbeit schnel­ler raus­haut als ich. Das kol­li­diert natür­lich mit der Idee vom frei­en Wis­sen, aber ein biss­chen garan­tier­te Aner­ken­nung möch­te ich eben auch für mich selbst haben.
Ich wer­de aller­dings die Arbeit, sofern es geht¹, hier pos­ten, sowie ein oder zwei klä­ren­de Arti­kel für die 99,99999% Lai­en in der Welt.

• hat­ten mei­ne Groß­el­tern noch ein Tele­fon mit Wähl­schei­be.
• hat­te ich stän­dig Lun­gen­pro­ble­me auf­grund der unglaub­lich mie­sera­blen Luft­qua­li­tät in Hal­le.
• habe ich als Zwei­jäh­ri­ger auf den Schul­tern mei­nes Vaters die Mon­tags­de­mos in Leip­zig mitgemacht.
• lös­te die 3,5″-Diskette mit einer Kapa­zi­tät vom 1,44MB die alten 5,25″-Disketten ab.
• hat­te unser Rech­ner einen Tur­bo-Knopf, der die Rechen­ge­schwin­dig­keit von 33 auf 16 Mega­hertz umschal­te­te, sofern man das wollte.
• spiel­te ich Wacky Wheels und Prin­ce of Per­sia.
• wech­sel­ten wir von Nor­ton Com­man­der zu Win­dows 3.11, wel­ches sogar TCP/IP beherrschte!
• bekam mein Vater eines Weih­nach­tens eine Sound­kar­te geschenkt.
• tauch­te auf Wer­be­ta­feln gele­gent­lich eine cha­rak­te­ris­ti­sche Zei­chen­fol­ge auf. Etwas in der Art http://www.example.de - das http:// wur­de in der Wer­bung mitausgesprochen.
• bekam auch wir ein Modem und konn­ten damit die Sei­ten auf­ru­fen, die mit sol­chen Adres­sen asso­zi­iert waren.
• wun­der­te sich nie­mand, wenn so eine Sei­te 30 Sekun­den benö­tig­te, um sich aufzubauen.

Ich schrei­be die­sen Arti­kel heu­te, am 31.12.2010, an einem gera­de­zu obs­zön leis­tungs­fä­hi­gen 4-Kern-Rech­ner mit 4GB RAM, über ein Inter­net, in dem Live-Video-Strea­ming in HD-Qua­li­tät mög­lich ist, das jeder­mann Zugriff auf das Wis­sen der Welt erlaubt, das Mei­nungs­frei­heit vom Papier in die Rea­li­tät beför­dert hat!

Die Geschwin­dig­keit, mit der uns die tech­ni­sche Ent­wick­lung in Rich­tung Zukunft kata­pul­tiert ist immer noch atemberaubend

und ich habe das unglaub­li­che Glück, die­se Ent­wick­lung mitzuerleben.

Was machen Infor­ma­ti­ker, wenn sie nachts am Rech­ner hocken? Web­sei­ten hacken? Pro­gram­me schreiben?
Nö - ihr ver­damm­tes Linux reparieren.

Für die Nach­welt, hier eini­ge der Pro­ble­me, die ich in den letz­ten Tagen lösen muss­te. wei­ter…

Wiki­pe­dia - ein kri­ti­scher Stand­punkt, kurz  CPOV (Cri­ti­cal Point of View) hieß die gera­de hier in Leip­zig zuen­de gegan­ge­ne Kon­fe­renz rund um die For­schung und Men­schen um Wiki­pe­dia. wei­ter…