Der BND darf uns weiterhin alle bespitzeln

Letzte Woche kam es zu einer Gerichtsverhandlung vor dem Bundesverwaltungsgericht. Der Betreiber des weltweit größten Internetknoten DE-CIX hat geklagt, weil er verpflichtet wurde, dem Bundesnachrichtendienst (BND) Zugang zu den durchgeleiteten Daten zu ermöglichen. Das bedeutet nicht nur einen enormen technischen Aufwand, sondern auch einen ungeheuren Grundrechtseingriff. Fast alle Provider sind am DE-CIX angeschlossen, so daß man ausgehen kann, daß ein Großteil des deutschen Internet-Traffics über diesen Knoten geht. Zum überwiegenden Teil Traffic deutscher Nutzer. Nur kurz zur Erinnerung: Der BND ist eigentlich ein Auslandsnachrichtendienst. Die Überwachung im Inland unterliegt gewissen Beschränkungen, die rechtlich fraglich sind. Das anlasslose Massenüberwachung ist in dieser Form sicherlich verfassungswidrig.

Das Bundesverwaltungsgericht hat nach einer nur kurzen Anhörung innerhalb weniger Stunden für diese Überwachungsmaßnahme entschieden. Ich bezweifle mal, daß das Gericht sich überhaupt mit dem Ausmaß der Überwachungsaktion und den technischen Gegebenheiten eingehend beschäftigt hat.

Der DE-CIX-Betreiber hat nun aber schon angekündigt, vor das Bundesverfassungsgericht oder den Europäischen Gerichtshof für Menschenrechte zu ziehen.

Die Github-Seuche

Microsoft will Github kaufen und plötzlich aktiveren alle den Panikmodus.

Ich fand es schon immer unverständlich, warum mindestens 90% aller freien Software bei Github gehostet wird. Github ist kein Projekt der Oopen-Source-Community. Github war schon länger ein Unternehmen, welches auf Profit ausgerichtet war. Deswegen gibt es nicht nur kostenfreie Basis-Accounts, sondern auch kostenpflichtige. Und es wäre durchaus denkbar, wenn Github beigeht und die Funktionen der kostenlosen Accounts nach und nach einschränkt, um mehr zahlende Kunden zu gewinnen. Bei so einem Quasi-Monopol ist das nicht unrealistisch.

Natürlich argumentieren Entwickler darauf angesprochen, daß die Idee von git (also der Versionierungssoftware für die Github Server bereitstellt) auf Dezentralismus baut. Das stimmt, man kann einfach den Code auf eigene Rechner oder andere Server klonen. Allerdings geht es ja nicht nur um den Code. so ist es meines Wissens nach nicht möglich etwa die ganzen Issues (also z.B. eingereichte Fehlermeldungen) auf ein anderes System zu transferieren. Hier hat man also wieder einen typischen Lock-In-Effekt.

Vor allem Open-Source-Entwickler sollten doch eigentlich gegen Kommerz und gegen Monopole sein. Warum vertrauen sie ihr Projekt dann einem Unternehmen an? Das war schon vor dem Kauf durch Microsoft nicht gut. Mal sehen, was sich in den nächsten Wochen/Monaten auf Seiten der Entwickler und auf Seiten von Github tun wird. Ein wenig mehr Diversifikation wäre auch jeden Fall wünschenswert.

Windows aufräumen – schwer gemacht

In der Ausgabe 08/2018 der c’t gab es eine Artikelstrecke, wie man ein Windowssystem aufräumen kann, wenn etwa die Windows-Partition voll ist. Hat mich eigentlich nicht so interessiert, da meinen Windowsrechner stets ganz gut im Blick habe.

Über Ostern hatte ich es aber mit einem Rechner eines Verwandten zu tun. Der soll auch „voll“ sein und gehe nur noch wenig. Der Laptop war noch original, wie vom Hersteller mit Windows 7 installiert und konfiguriert; es wurden neben den üblichen Updates noch ein paar zusätzliche Programme installiert. Das eine Laufwerk des Laptops war in zwei Hauptpartitionen (C und D), neben internen Recovery-Partionen, eingeteilt. Die erste hatte eine Größe von ca. 70 GB und die zweite von 700 GB. C war fast voll, D war praktisch unbenutzt. Ist ja auch kein Wunder. Das Home-Verzeichnis und damit alle Bilder, Videos, Dokumente, Downloads, temporären Dateien usw. legt Windows nun mal auf C an. Erst durch manuelles Eingreifen, kann man Windows dazubringen, bestimmte Sachen automatisch auf einer anderen Partition zu speichern. Der normale User interessiert sich nicht für solche Sachen und er sollte sich darum auch nicht kümmern müssen. Er will einfach seine Fotos auf dem Rechner speichern.

Wer richtet so einen Mist ein? Früher hat man mal gesagt, man solle System und Daten trennen, um leichter eine Datensicherung zu machen. Dafür braucht man heutzutage aber keine Partitionen mehr, dafür gibt es das Benutzer-Verzeichnis. Wenn man eine kleine SSD UND eine große Festplatte im PC stecken hat, dann kann so eine Trennung sinnvoll sein. Aber dann sollte das System so konfiguriert sein, daß es auch tatsächlich zu speichern von Daten „D“ benutzt, ansonsten hat der Hersteller geschlampt.

Ich gehe aber noch einen Schritt weiter und unterstellte dem Hersteller Absicht. Der kann auf dem Karton oder in der Online-Anzeige mit einer 800 GB-Festplatte werben. Dem unbedarften Nutzer stehen davon aber nur 10% zu Verfügung. Wenn er dann merkt, daß der Platz zu neige geht, braucht er wohl einen neuen Rechner.

Ich habe dem Verwandten es jetzt so eingerichtet, daß seine Bilder- und Videoverzeichnisse auf „D“ liegen und ihm so reichlich Platz geschaffen. Besser wäre es natürlich gewesen, die Partitionen zu verschmelzen. – Vielleicht ein anderes Mal.

Abhängigkeit von Let’s Encrypt

Gestern ging die Meldung rum, daß Let’s Encrypt (LE) mehr als die Hälfte aller SSL-Zertifikate ausstellt. Ich begrüße das und nutze ja auch LE. Allerdings habe ich es nicht so gern, wenn ich von EINEM Anbieter abhängig bin.

Neulich habe ich bemerkt, was passieren würde, wenn LE ausfallen würde. LE-Zertifikate bezieht man in der Regel durch ein Programm, welches man auf seinem Server installiert. Ich nutze den Standard-Client certbot. Da die Zertifikate normalerweiser nur eine Gültigkeit von 3 Monaten besitzen, muß man sie regelmäßig erneuern; am besten automatisiert. Leider wurde ein Weg, wie die rechtmäßige Kontrolle über den Webserver, als Voraussetzung für das Zertifikat, festgestellt werden kann, aus Sicherheitsgründen abgeschaltet. Ich musste doch lange rumprobieren, bis es wieder geschafft habe, das SSL-Zertifikat zu aktualisieren.

Die Website unverschlüsselt auszuliefern wäre übrigens keine Alternative gewesen. Als sicherheitsbewußter Webserver-Admin habe ich natürlich das HSTS-Flag (HTTP Strict Transport Security) gesetzt. Dadurch weise ich Browser an, daß sie nur eine verschlüsselte Verbindung zulassen sollen, auch wenn sie die Seite später noch einmal aufrufen sollen. Man muß also echt aufpassen, daß man sich und die Besucher nicht aussperrt. Genauso wäre es aber auch, wenn LE seinen Dienst plötzlich einstellen oder kostenpflichtig machen würde.

Es wäre daher wünschenswert, wenn es neben LE einen ähnlichen kostenlosen Dienst geben würde.

Autonomes Fahrzeuge verursacht tödlichen Unfall

Ein autonomes Auto der Firma Uber verursacht einen Unfall und tötet dabei eine Fußgängerin. Das ist tragisch. Nun wird darüber heftig diskutiert, ob der Unfall hätte verhindert werden können. Ich will hier niemanden verurteilen und niemanden in Schutz nehmen. Aber ich finde es gut, daß über die Ursachen diskutiert wird und wie der Unfall hätte vermieden werden können. Das sollte eigentlich bei jedem schlimmen Verkehrsunfall passieren.

Die Leute dachten wohl immer, Technik sei unfehlbar. Das ist sie aber nicht. Genauso wenig ist der Mensch unfehlbar, vielleicht etwas mehr oder vielleicht etwas weniger. Autonome Autos haben ihre Berechtigung, wenn sie weniger Todesfälle verursachen, als menschliche Fahrer. Ich las in den letzten Tagen irgendwo die Aussage eines US-Amerikaners, daß in X Jahren autonom fahrende Autos jeden Tag 10 Menschen töten werden, aktuell werden aber jeden Tag (!) 100 durch Menschen am Steuer getötet.

Wenn wir wirklich die Zahl der Verkehrstoten auf ein Zehntel reduzieren könnten, dann müsste man auch nicht ewig über unrealistische Szenarien wie das Trolley-Problem nachdenken, denn das würde ein Mensch in einer Stresssituation sicherlich auch nicht innerhalb von Sekundenbruchteilen lösen können.

Was ich aus der Telekom-Störung gelernt habe

Neulich ist bei mir ja der Telefon- und Internetanschluß für mehrere Wochen ausgefallen und aus Fehlern soll man lernen. Also fasse ich mal kurz zusammen, was ich daraus gelernt habe.

  • Ohne Telefon ist doof.
  • Ohne Internet ist noch doofer
  • Gut wenn man ein Mobiltelefon hat
  • Noch besser wenn man ein Smartphone hat
  • Telefoncomputer sind doof
  • Rückrufservice über Telekom-Website funktioniert tatsächlich und ist besser als Warteschleife
  • Man darf von der Telekom keine aktive Unterstützung erwarten. Man muß alles explizit anfordern, inklusive Gutschrift der Grundgebühr. Möglichst schnell nach Ersatzgeräten (LTE-Router) fragen.
  • Ich habe gelernt, wie ich ein Raspberry PI als Ersatz-Gateway einrichte.
  • Man sollte generell überlegen, wie man ausbleibende Leistungen Dritter (Wasser, Strom, Geld, Lebensmittel, Erdgas, Benzin) kompensieren, oder zumindest die negativen Auswirkungen minimieren, kann.
  • Wieder einmal zeigt sich, daß die altmodische Art der Datenhaltung (lokal auf eigenen Geräten) gegenüber Cloud-Diensten Vorteile hat.

Die Tücken des DRM

DRM ist eine Krankheit, eine Seuche. DRM steht für Digital Rights Management und soll digitale Inhalte (Musikstücke, Videos, Spiele, etc.) in erster Linie vor unerlaubter Vervielfältigung schützen. Es gibt allerdings noch andere Spielarten, die den Käufer auf andere Arten gängeln sollen. Oft wird bei dieser Technik eine Onlineverbindung zum Server des Herausgebers aufgebaut. Geht der Hersteller pleite oder stellt er seinen Dienst ein, ist der Käufer der Dumme. Er kann die Medien dann oft nicht mehr nutzen. Das ist schon vorgekommen und wird in der Zukunft auch immer wieder vorkommen. Die Hersteller rechtfertigen sich dann immer damit, daß sie nur ein eingeschränktes Nutzungsrecht verkauft haben.

Aber es muß ja nicht immer gleich der Wort-Case sein. Manchmal reicht auch eine Störung des eigenen Internetzugangs. Ich wollte zwischendurch ein wenig GTA V spielen. Bei der Installation mußte man schon zwingend neben dem Steam-Account noch einen Account bei Rock-Star anlegen. Das Spiel schien zu starten, erkannte auch die fehlende Verbindung und bot mir einen Offlinemodus an.

Prima, dachte ich; ich möchte schließlich nicht „GTA Online“ spielen. Allerdings kam dann die Ernüchterung, als der „Offline-Modus“ eine funktionierende Internetverbindung voraussetzt. Komisches Verständnis von „Offline“.

 

Probleme mit EBay-Mailsever

Ich betreibe seit einiger Zeit meinen eigenen E-Mail-Server. Vielen Dank an dieser Stelle an Thomas Leister für seine umfangreichen und lehrreichen Anleitungen. Ich habe nun für jeden Dienst im Internet bei dem man sich registrieren muß, einen eigenen Alias. Zweck ist daß ich so leichter erkennen kann, daß eine E-Mail auch tatsächlich von dem entsprechenden Anbieter stammt. Sollte die Adresse kompromittiert werden, so kann ich diesen Alias sperren und einfach einen neuen einrichten.

Die Kommunikation hat mit allen Mailservern problemlos funktioniert, mit einer Ausnahme. Ebay wollte mir keine Mails zusenden. In den Logdateien des Mail-Servers war nicht einmal ein Verbindungsversuch zu erkennen. Es folgte ein langer und nicht erfolgreicher E-Mail-Wechsel mit der Supportabteilung von Ebay. Natürlich wird man erst einmal mit Textbausteinen abgefrühstückt „Schauen Sie in den Spam-Ordner“. Auf konkrete Fragen und Problemstellungen wurde nicht eingegangen. Irgendwann habe ich dann einfach deren Antwort zurückgeschickt und gefragt, warum eigentlich keiner liest, was ich schreibe. Ein Mitarbeiter schrieb mir mal, daß er eine Testmail an meine neue Adresse rausgeschickt hat und das sie rausgegangen ist. Das machte mir schon klar, daß man die Anfrage immer noch nicht in eine entsprechende Fachabteilung weitergeleitet hat. Denn zwischen Versenden und Empfangen ist ein großer Unterschied. Normalerweise ist das E-Mail-System aber so aufgebaut, daß ein Absender eine Fehlermeldung bekommt, wenn die Zustellung nicht funktioniert hat. Aber wenn die Leute bei Ebay nur Absenderadressen benutzen, die nie abgerufen werden, erhalten sie auch keine Fehlermeldungen.

Ich finde es immer erstaunlich, wie wenig die Unternehmen darauf geben, den Kunden wirklich zu helfen. Vielleicht ist es ja so, daß mit blöden Textbausteinen ein Großteil der Kundenanfragen abgearbeitet werden können. Aber man sollte doch erkennen, wenn die Kommunikation ohne Lösung des Problems mehrfach hin und her gegangen ist. Spätestens dann sollte sich doch mal jemand tatsächlich die Kunden-Mail durchlesen und wenn die entsprechende Person diese nicht beantworten kann, dann sollte die Mail an Jemanden weitergeleitet werden, der sich damit auskennt. So verärgert man nur die Kunden.

Zwischenzeitlich hatte ich schon überlegt mein Ebay-Konto zu löschen. Verkaufen tu ich da schon lange nicht mehr; allerdings kaufe ich dort ab und zu mal was. Die absolute Ironie ist ja, daß Ebay beim Einloggen oft fragt, ob die Nutzerdaten noch aktuell seien und man doch zur eigenen Sicherheit diese auf dem Laufenden halten soll. Nun war aber vor allem Ebay, die mit den Daten schludrig umgegangen sind, wodurch es den einen anderen Hack Datenreichtum gab. Dadurch gelangten auch meine Daten (mindestens: Name, Adresse, E-Mail-Adresse, Telefonnummer) in die Hände Krimineller. Und nun konnte ich meine bei Ebay hinterlegte E-Mail-Adresse nicht ändern.

Ich habe es allerdings jetzt doch geschafft. Der Hintergrund ist etwas technischer. Zu jeder Domain, die E-Mails versenden gibt es einen zentralen Eintrag, welcher E-Mail-Server für diese Domain zuständig ist, das ist der sogenannte MX-Eintrag. Dieser verweist auf den Namen des E-Mail-Servers. Dann wird die IP-Adresse dieses Servers über den A-Eintrag abgerufen. So weit die Theorie. So war auch alles konfiguriert. Und Testseiten wie etwa mxtoolbox.com haben auch keinen Fehler angezeigt; also alles im Rahmen der Spezifikation. Nun kam mir die Idee, einen weiteren MX-Eintrag vorzunehmen. Für den E-Mail-Server, der auf sich selbst verweist. Dann klappte plötzlich die E-Mail-Kommunikation mit Ebay und nun kann ich endgültig die, vor allem wegen Ebay, verbrannte E-Mail-Adresse in die Tonne treten.

Letsencrypt macht Probleme

Letsencrypt (LE) sollte ja für ALLE auf eine einfache eine Verschlüsselung von Webinhalten möglich machen. Dafür stellt LE kostenlose SSL- bzw. TLS-Zertifikate aus. Es gibt veschiedene Tools, mit denen man ein LE-Zertifikat beziehen kann, etwa certbot.  Diese Tools sind in der Regel relativ simpel gestaltet, damit auch wirklich jeder der etwas einen Webserver betreibt auch eine Verschlüsselung anbieten kann.

Damit ein LE-Zertifikat ausgestellt werden kann, muß überprüft werden, ob der Server für den das beantragt wird auch tatsächlich für die entsprechende Domain zuständig ist. Dafür gibt es verschiedene Tests, die von den Tools automatisch ausgeführt werden.Nun wurde festgestellt, daß ein bestimmtes Verfahren nicht ausreichend sicher ist und wurde daher gesperrt.

Der certbot-client wurde schon entsprechend gefixt, nur leider erfolgt die Auslieferung über den Paketmanager nicht. Das ist echt doof. Es gibt zwar etliche Anleitungen, wie man das manuell umgehen kann, aber das entspricht nicht dem Anspruch, eine Lösung anzubieten, die auf weniger versierten Serverbetreibern offen stehen soll.

Eines meiner Zertifikate, welches ich für eine interne Nextcloud-Instanz nutze, läuft nächste Woche aus. Jetzt muß ich mich entscheiden, ob ich einen oder mehrere Workarounds ausprobiere oder ob ich hoffe, daß das neue Certbot-Paket bald ausgeliefert wird und auch entsprechend funktioniert.

Telekom-Störung – Hilf Dir selbst!

Die dritte Woche der Störung des Telefonanschlusses beginnt.

Leider muss man immer selbst aktiv werden, um die Schäden durch den Ausfall zu minimieren. Die Telekom bietet von sich aus wenig bis gar keine Hilfe an.

Ich habe noch einmal nachgesehen, im Online-Kundencenter der Telekom wird die Störung angezeigt und darunter gibt es tatsächlich auch eine Anleitung für eine Weiterleitung, für ISDN-, IP- und Analog-Anschlüsse. Die dort verlinkte Anleitung für Analoganschlüsse setzt aber einen funktionieren Telefonanschluss voraus. – Big fail. Und hier hört die Unterstützung auch schon auf.

Es gibt aber unter https://kundencenter.telekom.de/kundencenter/anschluss-tarif/telefon-einstellungen/festnetzeinstellungen/index.html erreichbar unter Kundencenter -> Anschluß verwalten -> Telefonie-Einstellungen ändern (unterhalb von meine Rufnummern) -> Anrufweiterleitung -> immer weiterleiten auf… die Möglichkeit eine Rufumleitung einzurichten. Warum nicht darauf verlinkt wird, versteht wahrscheinlich niemand. Es wäre eigentlich sinnvoll, den Kunden schon bei Störungsannahme auf die Möglichkeit einer Weiterleitung hinzuweisen, vielleicht könnte die Umleitung sogar gleich dort eingerichtet werden.

Bei der Telekom gibt es doch sicherlich viele „wichtige“ Leute mit hohem Gehalt, aber an  solche simplen, logischen und vor allem einfache Prozesse scheint das keiner von denen zu denken.

Nun war also Ausfall der Telefonie überbrückt, glücklicherweise besitzt ja heute fast jeder eine Mobiltelefon. Nach einer halben Stunde bekam ich auch gleich den ersten Werbeanruf über die Weiterleitung rein.

Dann musste noch ein Ersatz für den Internetzugang her.

Über das Smartphone hatte ich ja bereits Internetzugang. Allerdings nur nur dort. Ein Zugang zum Internet wird aber auch von anderen Geräten benötigt. Zum einen natürlich der Desktop-Rechner mit zwei Betriebssystemen, diverse kleine Server und weitere Smartphones. Nach Möglichkeit sollte das so vonstatten gehen, daß das Heimnetz und die sich dort befindenden Clients nicht großartig geändert werden muß.

Am besten wäre es, die vorhandene Fritzbox als „Zentrale“ beizubehalten. Das Smartphone kann über den „Mobilen Hotspot“ ein WLAN mit Internetzugang bereitstellen. Die Fritzbox kann einen bestehenden Internetzugang aber nur über LAN1-Schnittstelle nutzen, nicht über WLAN. Daher habe ich einen vorhandenen Raspberry Pi 3 (3 wegen WLAN-Schnittstelle). So konfiguriert, daß er sich mit dem WLAN des Smartphones verbinden kann und das Internet über Ethernet zum LAN-Port 1 der Fritzbox durchleiten kann.

Das ganze sieht dann in etwa so aus:

Der Nachbar hat mir angeboten, ich könne sein WLAN mit nutzen, das ging aber leider nicht, da sein Anschluss ja nun auch gestört ist. Dann hätte das Smartphone in diesem Setup entfallen können.

Auf jeden Fall konnte ich mit dieser Lösung das gesamte Heimnetz zentral mit einem Internetzugang versorgen ohne an den einzelnen Geräten etwas zu verändern. Die Konfiguration des Raspberry habe ich nach dieser Anleitung vorgenommen.

Die Fritz-Box habe ich unter Internetzugang/Zugangsdaten so konfiguriert, daß ein Zugang über LAN1 genutzt wird. Am besten vorher einmal die Konfig der ganzen Box sichern; schadet sowieso nie. Will man den normalen Zustand wieder herstellen, braucht man nur die alte Konfig wieder einspielen.

Die ganze Lösung hat aber einige Nachteile:

  • Der Stromverbrauch des Smartphones ist als mobiler Hotspot enorm, am besten das Gerät am Netzteil lassen.
  • Das Netzwerk ist nicht von außen zugänglich. Ich habe über die Fritzbox einen VPN-Zugang realisiert und außerdem habe ich eine Portweiterleitung zu einem eigenen Nextcloud-Server. Diese Sachen funktionieren mit dieser Lösung nicht.
  • Internetzugang besteht nur, wenn das Mobiltelefon auch zu Hause ist. Nehme ich das Telefon mit, so gibt es zu Hause wieder kein Internet.
  • Das Datenvolumen ist enorm. Ich habe sonst nur einen kleinen Datentarif für mein Smartphone mit 300 MB/28 Tage. Alle möglichen Sachen habe ich zu Hause übers WLAN auf das Telefon geladen. Nun müssen diese Daten selbst über die Mobilleitung. Die Rechner und Server schlucken auch einiges an Volumen. Betriebssystem-Updates, Anwendungsupdates oder Aktualisierung des Virenscanners; das sind nur die Basisfunktionen, um ein aktuelles System zu haben. Ich verkneife mir schon größere Downloads wie etwa aus Mediatheken oder Neuinstallationen. Wenn es irgendwo offenes WLAN über Freifunk gibt, nutze ich es gleich mal, um etwa meine Podcasts zu aktualisieren. Das Datenvolumen ist aber trotzdem superschnell weg. Nach 3 Tagen musste ich schon zweimal 300 MB nach buchen. Jetzt habe ich 5,5 GB gebucht. Mal sehen wie lange das hält.

Über die finanziellen Folgen dieser Geschichte werde ich mich im Nachhinein wohl noch mal mit der Telekom auseinander setzen müssen.