Der Verdächtige im Tatort wollte nicht, daß die Polizei im Fall einer Hausdurchsuchung seine augenscheinlich eher zahme Sammlung von Schmuddelbildern findet. Der öffentlich-rechtliche Sender macht dem Zuschauer der Vollständigkeit halber klar, welche Sicherheitsmaßnahmen er auf seinem PC zu unterlassen hat, wenn er nicht unnötig in Verdacht geraten will. Und zwar so:

“Bernd der Baumeister hat vor einigen Tagen etliche Fotodateien von seinem Computer gelöscht. Und er hat dafür eine Software benutzt, die das Wiederherstellen der gelöschten Dateien unmöglich macht.” – “Sowas macht man nur, wenn man wirklich was zu verbergen hat.”

Ist das nur so dahingeschludert, oder ist das schon gezielte Manipulation durchs Staatsfernsehen?

Manchmal wünschte ich mir schon ein bisschen mehr Interesse für die Technik. In diesem Sinne: Immer schön “sicher löschen” und die Festplatte verschlüsseln!

Mich persönlich hat OpenBSD vor 2 Jahren beim Übergang von 4.6 zu 4.7 mit einer weitreichenden Änderung an der Firewallkonfiguration abgehängt, bei der Rewrite- und Filterregeln vereinigt wurden. Theoretisch betrachtet eine Vereinfachung. Praktisch leider mit dem Haken, daß es keinen Migrationspfad gab, um Regeln Zug um Zug umzustellen, denn mit Einführung der neuen Regeltypen waren die alten Regeln nicht mehr verfügbar. Die einzige Möglichkeit war, das gewachsene Regelwerk im Blindflug komplett umzustellen.

Die OpenBSD-Community zuckte mit den Schultern und verwies auf mein Testsystem, auf dem ich die Regeln ja testen kann. Was den Blindflug bei der Inbetriebnahme nicht minderte. Schade. Seitdem verzichte ich bei Installationen, die auch ohne Kopfschmerzen mal ein oder zwei Updates überstehen sollen, auf OpenBSD und greife lieber zu Debian Linux.

Diesmal waren wir einigermaßen zeitig am Abend des 2. Weihnachtstags in Frankfurt mit dem Auto gestartet, so daß wir gut ausgeschlafen an Tag 1 zum Congress losziehen konnten. Am Ende bin ich mit etwas Grummeln im Bauch nach Hause gefahren; dazu aber unten mehr.

Tag 1

The Atari 2600 Video Computer System: The Ultimate Talk – Ich bin mit diesem, wie ich finde, sehr relevanten Vortrag in den Congress gestartet, der einen wunderbaren Überblick über die Historie der Konsolen gegeben hat, über ihre technischen Grenzen, und wie sie umgangen wurden und auch noch werden. In meiner Altersklasse fühlt man sich beim Atari 2600 schon heimisch, allerdings habe ich selbst nie eines besessen. Der Vortrag war es auf jeden Fall wert.

Datamining for Hackers – Hier ging es um die Frage, ob sich in der verschlüsselten Skype-Kommunikation Sätze und Wörter allein anhand anhand einer Auswertung der Paketgrößen erkennen lassen. Das liegt, wenn man mal 1-2 Minuten darüber nachdenkt, nicht zu fern, und erinnert mich ein wenig ans Van-Eck-Phreaking. Viele Leute, mit denen ich gesprochen habe, waren hier von der eher unspektakulären Erkennungsrate enttäuscht, mir hat das Konzept aber gut gefallen. Es handelt sich definitiv um ein Problem, das Skype zu lösen haben wird.

802.11 Packets in Packets – Das war ein ganz erstaunlicher Vortrag. Ich bezweifle, daß irgendjemand vorher damit gerechnet hätte, daß man im Zigbee-Protokoll einfach den Layer-2-Header in der Payload nachbauen muß, und dann nur noch ein kippendes Bit im Originalheader braucht, um erfolgreich den Link Layer zu spoofen. Leider ist die Überleitung zu 802.11b am Ende etwas sperrig geraten. Ich bin in der Annahme aus dem Vortrag gegangen, daß der Angriff für das etwas exotischere Zigbee-Protokoll relevanter ist als für aktuelle WLAN-Generationen.

Defending mobile phones – Offen gesagt haben wir diesen Vortrag nur mitgenommen, um uns Sitze für die folgende Kaminsky-Show warmzuhalten. Der Vortrag wäre auf der technischen Seite durchaus verbesserungswürdig gewesen. In affenartiger Geschwindigkeit zwischen xterms hin- und herzuschalten, ein Handy in die Luft zu halten und zu sagen, daß die Zuschauer jetzt glauben müssen, daß ein Spoofing stattgefunden hat, ist jedenfalls nicht sehr mitreißend. Hier kann man entweder eine Kamera aufs Handy richten, um die Show zu verbessern, oder die Vorführung weglassen. Letzteres hat bei “Packets in Packets” schließlich auch funktioniert, ohne daß ich mich um einen Beweis der Machbarkeit betrogen gefühlt hätte.

Black Ops of TCP/IP 2011 – Dan Kaminsky war dieses Jahr endlich wieder mit einem Vortrag auf dem Congress vertreten, blieb aber leider hinter den großen Erwartungen zurück. Er machte einen sehr langen Exkurs zu Bitcoin, aus dem hervorging, daß IP-Spoofing eine interessante Sache ist, um dann dazu überzuleiten, wie man per IP-Spoofing erkennen könnte, ob ein sonst unerkanntes Bandbreitenmanagement vorgenommen wird. Ich bin mir allerdings nicht zu 100% sicher, ob ich das als Konsequenz des Vortrags richtig verstanden habe, und habe mir ehrlich gesagt nicht die Mühe gemacht, mir das Ding nochmal anzuschauen. Ich mag Dan sehr, aber ich habe schon deutlich dichtere und fesselndere Vorträge von ihm gesehen.

Tag 2 / Berlin Sides

An Tag 2 haben wir uns ausschließlich der parallel stattfindenden BerlinSides gewidmet, die in der Universal Hall stattfand. Die Distanz zwischen Publikum und Vortragendem war hier immer noch sehr viel kleiner als beim Congress, aber ich merke an, daß am neuen Veranstaltungsort eine Bühne vorhanden war, während der Vortragende vor einem Jahr noch direkt vor der ersten Stuhlreihe auf selber Höhe stand. Der Charme war noch da, aber ich glaube, daß er Schwierigkeiten haben könnte, die nächsten 1-2 Expansionsschübe zu überstehen.

x86 oddities – Ich habe diesen Vortrag tapfer im Auditorium durchgehalten, aber hier ging es um x86-Maschinencode, und ich müßte massiv schwindeln, wenn ich behaupten wollte, daß ich nicht schon auf der dritten Folie komplett abgehängt war.

Protecting Software – Diesen Vortrag habe ich in der Übertragung zum Thekenbereich verfolgt, und war eher enttäuscht. Zum einen hat mich das Thema etwas gegen den Strich erwischt, denn ich will eigentlich nichts darüber hören, wie man Löhnware geschlossen hält. Zum anderen hatte ich den Eindruck, daß der Vortragende seine eigene Geschichte mit allen Besonderheiten (automatisches Lizenzmanagement per E-Mail, srsly?) erzählt hat, ohne sich so weit mit dem Thema auseinandergesetzt zu haben, daß er zu einer vom aktuellen Anwendungsfall abstrahierten Betrachtungsweise gekommen wäre.

Turning the TabLeS – Hier wurde das Crossbear-Projekt vorgestellt, das ein weiteres Reputationssystem für SSL-Zertifikate etablieren will. Ich halte mich in SSL-Fragen schon für einigermaßen kompetent und war mit dem Vortrag eher unzufrieden. Im persönlichen Gespräch wurde das aber wieder etwas relativiert. Was die beiden deutschen Wissenschaftler hier betreiben, hat in meinen Augen keinesfalls das Potenzial, um zu der Lösung für das SSL-Problem zu werden; man kann aber nur schwer abstreiten, daß der Erkenntnisgewinn einen durchaus beträchtlichen Wert hat im Hinblick auf Projekte, die in späteren Jahren kommen werden.

A Salesman’s Guide to SE – Ein inhaltlich großartiger Vortrag von einem Referenten, der von Verkäuferschulungen auf Social Engineering umgestiegen ist. Seinen Vortrag hat er mangels Routine leider nicht so sehr gut an den Mann gebracht, aber die aufgezeigten Parallelen zwischen Verkaufen und Social Engineering waren sehr gut nachzuvollziehen.

How not to blow up your customer – Hier hat Andreas eher aus dem Nähkästchen geplaudert, als sich um gut aufbereitete Vermittlung irgendwelcher Erkenntnise zu kümmern. Dank Unterhaltungswert ging der Vortrag über die Risiken bei Penetration Tests aber in Ordnung.

Tag 3

CCC-Jahresrückblick (28C3) – Hier habe ich nach einer Stunde abgebrochen. Die Veranstaltung gehört natürlich wie jedes Jahr dazu, aber wer die Aktivitäten des CCC einigermaßen im Alltag verfolgt, kann sie sich in meinen Augen eigentlich sparen. Danach sind wir wieder zu BerlinSides rübergemacht.

Silent web app testing by example (BerlinSides) – Das war für mich der Vortrag, für den sich alles gelohnt hat. Mir laufen im Tagesgeschäft immer grausige automatisierte Penetration Tests über den Weg, mit tausenden von Log-Einträgen im Webserverlog, die zweifelsfrei irgendwelchen Scan-Tools zugeordnet werden können. Hier ging es aber darum, wie man Sicherheitsprobleme auf Websites mit einfachsten Mitteln durch reguläre und legitime Benutzung erkennen kann. Jede einzelne Folie des Vortrags stellte ein Konzept vor, über dessen vollkommen lächerliche Offensichtlichkeit man für sich genommen jeweils mit den Schultern zucken würde. In der vorliegenden verdichteten Form haben all diese relativ klein und trivial erscheinen Maßnahmen jedoch nochmal eine ganz eigene Dynamik angenommen. Ich kann kaum erwarten, daß die Slides dazu online gehen.

How to enhance geeks (BerlinSides) – Hier trug eine charmante Dame vor, die Trinity aus Matrix als eins der Idole ihrer Kindheit vorstellte, und mir damit zeigte, wo ich altersmäßig so hingehöre. Der Vortrag handelte vom geistigen und körperlichen Wohlbefinden, um das unsereins sich leider viel zu selten kümmert. Interessant, aber ich weiß noch nicht, was ich vom sehr stark auf Meditation liegenden Schwerpunkt halten soll.

Am frühen Abend haben wir dann eine private Führung durch den Bundestag mitgemacht, die mich leider einige interessante Vorträge gekostet hat. Auch wenn der Besuch im Bundestag wirklich super war, werde ich solche vorbestimmten Doppel- oder in diesem Fall sogar Dreifachtermine in Zukunft entschieden meiden.

Workshop: Esperanto por kodumuloj (28C3) – “Esperanto für Nerds”. Nachdem ich mich in den vergangenen Monaten intensiv mit der internationalen Plansprache Esperanto beschäftigt habe, war ich ganz froh darüber, hier einen Esperanto-Workshop mitnehmen zu können. Würfel und Maha hatten eine Liste mit Fachbegriffen der IT zusammengestellt, die durchgearbeitet wurde. Leider ist mir bei keinem Workshopteilnehmer aufgefallen, daß er signalisiert hätte, über Esperanto-Kenntnisse zu verfügen. (Eine evtl. Vorstellungsrunde hätte ich verpaßt, aber ich war wirklich nur 5 Minuten zu spät im Workshop.) Noch dazu verabschiedete sich etwa ein Drittel der Teilnehmer aus dem laufenden Workshop, was etwas auf die Stimmung drückte. Am Ende wurde dann die Zeit knapp, die nächste Gruppe begehrte Einlaß und alles rannte auseinander, ohne daß man mal hätte Saluton sagen können. Ich hatte mich wirklich riesig vorgefreut und war am Ende ziemlich enttäuscht. Wenn ich trotz dieses Vorfalls bis Herbst 2012 noch bei der Sache bin, werde ich versuchen, einen der erfahreneren Esperanto-Profis aus dem Club dazu zu bewegen, daß ich ihn bei einem Workshop unterstützen darf. Ich bin kein Sprachgenie und kein Linguist, aber vielleicht kann ich mich als Anfänger doch besser in die Sicht der potenziellen Anfänger hineinversetzen.

Tag 4

Your Disaster/Crisis/Revolution just got Pwned – Mir ist nicht ganz klar, auf was dieser Vortrag hinauswollte. Wer ist dieser “you”, dem die Revolution kaputtgemacht wird? Was hat das mit Naturkatastrophen zu tun? Es wurde, kurz gesagt, eine Art politischer und strategischer Leitfaden an die Hand gegeben für den Fall, daß man das nächste Telecomix aufbauen will. Ich bin nicht ganz unbefangen und fürchte, in diesem Moment einem Freund und Kollegen auf den Leim zu gehen, der mir seit Monaten unmißverständlich klarmacht, daß er den Herrn Urbach nicht leiden kann. Dennoch schien ein Geschmäckle nach dem Muster “so toll haben wir das gemacht, und nun schaut mal zu, ob ihr auch irgendwas so toll hinbekommt” objektiv unübersehbar zu sein. Mir hat das jedenfalls nicht so wirklich gut gefallen. Ich bin bei Beginn der Fragerunde ausgestiegen.

Danach wurde die Lage kompliziert. Saal 2 mit dem deutschsprachigen Vortrag zu Antiforensik war brechend voll, also habe ich mich in Saal 1 mit From Press Freedom to the Freedom of information gesetzt, der wirklich nur locker gefüllt war. Andere schreiben “fast voll”, aber 30-40 leere Plätze allein in den Reihen direkt vor mir sprechen eine andere Sprache. Ich traue nach den vergangenen Jahren keinem Journalisten zu, daß er bereit ist, Freiheit weiter zu tragen, als er es tun muß, um seine Pressefreiheit sicherzustellen. Aus diesem Grund will ich keinen Journalisten auf der Hauptbühne vor einem nur zu 70% besetzten Saal sehen, während an anderer Stelle Leute aus einem voll und ganz für Hacker relevanten technischen Talk rausgeschickt werden, der, wie aus der Aufzeichnung hervorgeht, auch noch in einen zu kurzen Zeitslot gepresst worden war. Mein Eindruck war, daß es, wenn eine internationale Organisation von Presseleuten vorträgt, wohl einfach de-facto nicht unter Saal 1 geht.

Leider mußten wir früh abreisen, und so reiste ich dann ab und hatte an Tag 4 nur politische Vorträge gesehen.

Fazit

Schon vor 30 Jahren beim BTX-Hack hat der CCC eine politische Rolle gespielt, und das darf, soll und muß er auch heute noch. Dennoch, und das werden mir viele als Ignoranz und Kaltschnäuzigkeit auslegen, will ich auf einem Hackercongress nicht ununterbrochen mit politischem und pazifistischem Aktivismus beschallt werden.

Wieder andere werden noch dazu einwenden, daß es sich – Stichwort Esperanto – auch nicht um einen Linguistikcongress gehandelt hat, und da haben sie auch voll und ganz recht. Allerdings gab es in der Vergangenheit auch Esperanto-Vorträge, von denen vermutlich noch nie ein halb voller Saal 1 belegt wurde, während Leute aus knallharten Security-Veranstaltungen herausgeschickt wurden. Solange sie nicht aufgrund des Zeitgeists massiv in den Mittelpunkt geschoben werden, halte ich solche Randgebiete auf jeden Fall für betrachtenswert. (Das “Konzert” beim 27C3 in Saal 1 handelte mit Creative Commons übrigens von einem zentraleren Hackerthema und hatte einen hohen Unterhaltungswert.)

Ich bin zwar schon seit den 1990er Jahren Mitglied im Club, verfüge aber nur über wenig Congresserfahrung und weiß daher nicht, ob es mir zusteht, mich so aufzuspielen. Ich bin auf der anderen Seite auch nicht der Überflieger, der für etwas anderes als elitärste Hackerthemen nicht aus dem Bett aufsteht, und für neue Sichtweisen bekannter Sachverhalte bin ich sogar immer dankbar. Tatsache ist aber, daß ich einen großen Teil meines Lebensunterhalts mit IT-Sicherheit verdiene, und ich vom Congress kein Schaulaufen potentieller Friedensnobelpreisträger erwarte.

Noch kann man nicht behaupten, daß die Kernthemen unmittelbar zu kurz kamen, aber wenn sie ohne Not auch nur punktuell an den Rand gedrängt werden, stimmt mich das nachdenklich. Das Karussell der gefeierten Protagonisten dreht sich seit Wikileaks und Assange einfach zu schnell, um nicht den Eindruck entstehen zu lassen, daß Hackerthemen vor lauter mit aktuellem Bezug hektisch vorgetragenem politischem Aktivismus irgendwann kürzer kommen könnten, als sie eigentlich sollten.

Auch wenn es im Keller irgendwie kultiger war, hat mir die Lounge im Zelt dieses Jahr sehr gut gefallen, und ich habe kichernd dringesessen (es war nur Alkohol im Spiel), und mich über die dörfliche Zeltdisco mitten in der Stadt gefreut. Leider wird es dieses Jahr nach meinen Informationen keine Recordings aus der Lounge geben, was ich sehr schade finde.

Nach der ACAB-Archivbildmaschine des vergangenen Jahrs kam das Catering-Rondell dieses Jahr wieder ohne größere Installation aus und wirkte dadurch weniger beengt, was mir auch gut gefiel.

Nachdem ich mich ins Engelsystem eingetragen hatte, aber nicht geengelt habe, werde ich auch nächstes Jahr wieder am Drama um den Ticketkauf teilnehmen müssen. Das ist nicht zu ändern, aber vielleicht wird ja alles auch viel weniger schrecklich.

Mein Vorsatz für den nächsten Congress ist, ihm meine weniger geteilte Aufmerksamkeit zukommen zu lassen. BerlinSides findet 2012 an einem anderen Termin statt, und das ist nach der Lauferei der beiden Vorjahre aus meiner Sicht auch gut so. Irgendwie habe ich dieses Jahr gemerkt, daß ich es überhaupt niemandem wirklich habe recht machen können. Und davon am allerwenigsten mir selbst.

Gebaut werden sollte ein Mittelwellenradio. Die Pleite warf bereits an Tag 2 ihre Schatten voraus, als im Beschreibungstext mit Begriffen wie Strom, Widerstand und Spannung um sich geworfen wurde, ohne auch nur einen einzigen Zusammenhang zu erklären. Das Ohmsche Gesetz habe ich meinem Nachwuchs bei dieser Gelegenheit selbst beigebogen.

Tag 17 mit der mysteriösen Drahtbrücke ins Nichts.

Leider erstrecken sich meine exzellenten Kenntnisse im Bereich Elektronik nicht bis hin zum Schwingkreis, so daß wir sehr bald nicht anders konnten, als tumb nachzubauen, was uns die Beschreibung anbot. Und selbst die hatte Fehler, denn an Tag 17 war in der Abbildung des Steckbretts eine Drahtbrücke eingezeichnet, die im Schaltplan nicht auftauchte, an Tag 18 wieder verschwunden war und erst an Tag 20 wieder sinnvoll ins Spiel kam.

Etwa in der Mitte der Bauzeit kristallisierte sich unübersehbar heraus, daß man am Mittelwellenradio keinen Sender einstellen können würde, sondern die Wunschfrequenz mittels passender Kondensatoren und Spulen sowie ausgemachten Voodoo in Form des Abstands der Spulen zueinander fest einstellen muß. Den nächsten Sender, AFN aus Frankfurt auf 873kHz, oder sonst irgendeinen Sender, haben wir jedenfalls nicht empfangen können.

Das Projekt war also nicht erfolgreich, und war auch leider didaktisch ein kompletter Ausfall, denn es waren keinerlei Inhalte in einer Form aufbereitet, die auf Wissensvermittlung gezielt hätte. “Jeden Tag ein neues Experiment”, das vor allem daraus bestand, dem jeden Tag vielleicht in einer anderen Nuance vorliegenden Rauschen zu lauschen. Gelernt haben wir allenfalls, mit Rückschlägen besser klarzukommen.

Vorfreude ist die schönste Freude, und so überschlagen sich die Bewertungen bei Conrad geradezu, obwohl sich zuletzt nur eine einzige Rezension fand, nach der das Ding tatsächlich einen Sender empfangen hat. Und die kam von einem 70 Jahre alten Profi, der noch eigene Modifikationen an der Schaltung vorgenommen hat. Von Ausmaß des Aufbaus würde ich behaupten, daß diese Schaltung in der Tat allenfalls bei erfahrenen Radiobastlern zum Erfolg führen kann.

(Die Conrad-Webseite ist zum Zeitpunkt dieses Artikels offline, wegen DDoS-Angriffen. Wahrscheinlich sind das die ganzen Leute, die schlechte Bewertungen zum Adventskalender loswerden wollen.)

I’m stepping forward with this despite my highly amateurish understanding of the Arduino system, so please cut me some slack on this one. Your corrections in the comment section are highly appreciated.

My only “true” Optiboot board, an Arduino Uno, is buried in my son’s room. What I do have are Arduino Duemilanoves and Pro Minis (ATmega 328, 16MHz, 5V), which are perfectly good for the exact same tasks as the Uno. I want them to be upgraded to Optiboot, because instant start-up makes a lot of sense in battery-powered applications. I also have an Atmel AVRISP mkII, which is the proper tool for programming the bootloader. Also at hand is an adapter board for the Pro Mini, to break out the proper pins for the ISP.

A Duemilanove during the bootloader upgrade.

A Pro Mini during the bootloader upgrade.

I first seek out boards.txt in the Arduino distribution and spot the sections that match my legacy boards:

atmega328.name=Arduino Duemilanove w/ ATmega328

atmega328.upload.protocol=arduino
atmega328.upload.maximum_size=30720
atmega328.upload.speed=57600

atmega328.bootloader.low_fuses=0xFF
atmega328.bootloader.high_fuses=0xDA
atmega328.bootloader.extended_fuses=0×05
atmega328.bootloader.path=atmega
atmega328.bootloader.file=ATmegaBOOT_168_atmega328.hex
atmega328.bootloader.unlock_bits=0x3F
atmega328.bootloader.lock_bits=0x0F

atmega328.build.mcu=atmega328p
atmega328.build.f_cpu=16000000L
atmega328.build.core=arduino
atmega328.build.variant=standard

##############################################################

pro5v328.name=Arduino Pro or Pro Mini (5V, 16 MHz) w/ ATmega328

pro5v328.upload.protocol=arduino
pro5v328.upload.maximum_size=30720
pro5v328.upload.speed=57600

pro5v328.bootloader.low_fuses=0xFF
pro5v328.bootloader.high_fuses=0xDA
pro5v328.bootloader.extended_fuses=0×05
pro5v328.bootloader.path=atmega
pro5v328.bootloader.file=ATmegaBOOT_168_atmega328.hex
pro5v328.bootloader.unlock_bits=0x3F
pro5v328.bootloader.lock_bits=0x0F

pro5v328.build.mcu=atmega328p
pro5v328.build.f_cpu=16000000L
pro5v328.build.core=arduino
pro5v328.build.variant=standard

I copy these blocks and change the respective entries to match what’s already there for native Optiboot boards. Boards.txt lists the Arduino Ethernet, which is an Optiboot board and needs to be programmed using an FTDI breakout just like the Pro Mini. Hence, I assume that the serial chipset makes no difference for Optiboot settings.

Note how the board token at the beginning of the line has been extended with an “o” on the entire group of lines. Also note how I have not modified the maximum sketch size. I would expect that this can be pushed up towards the limit that is listed in the Arduino Uno’s section.

atmega328o.name=[Optiboot] Arduino Duemilanove w/ ATmega328

atmega328o.upload.protocol=arduino
atmega328o.upload.maximum_size=30720
atmega328o.upload.speed=115200

atmega328o.bootloader.low_fuses=0xFF
atmega328o.bootloader.high_fuses=0xDE
atmega328o.bootloader.extended_fuses=0×05
atmega328o.bootloader.path=optiboot
atmega328o.bootloader.file=optiboot_atmega328.hex
atmega328o.bootloader.unlock_bits=0x3F
atmega328o.bootloader.lock_bits=0x0F

atmega328o.build.mcu=atmega328p
atmega328o.build.f_cpu=16000000L
atmega328o.build.core=arduino
atmega328o.build.variant=standard

##############################################################

pro5v328o.name=[Optiboot] Arduino Pro or Pro Mini (5V, 16 MHz) w/ ATmega328

pro5v328o.upload.protocol=arduino
pro5v328o.upload.maximum_size=30720
pro5v328o.upload.speed=115200

pro5v328o.bootloader.low_fuses=0xFF
pro5v328o.bootloader.high_fuses=0xDE
pro5v328o.bootloader.extended_fuses=0×05
pro5v328o.bootloader.path=optiboot
pro5v328o.bootloader.file=optiboot_atmega328.hex
pro5v328o.bootloader.unlock_bits=0x3F
pro5v328o.bootloader.lock_bits=0x0F

pro5v328o.build.mcu=atmega328p
pro5v328o.build.f_cpu=16000000L
pro5v328o.build.core=arduino
pro5v328o.build.variant=standard

I restart Arduino, select the respective board tagged [Optiboot] from the tools menu. I burn the bootloader and I’m done.

Successfully tested functionality after upgrading, on both boards:
- Basic example blink on Pin13: Works.
- Analog example fade on PWM 9: Works.

Have a lot of fun and let me know how things worked out for you.

Während in der deutschen Wikipedia lediglich erwähnt wird, daß der Film in der internationalen Plansprache Esperanto gedreht wurde, wird in der englischen Wikipedia die Aussprache der Darsteller kritisiert:

Esperanto speakers are generally disappointed by the pronunciation of the language by the cast of Incubus.

Esperantosprecher sind in der Regel von der Aussprache durch die Darsteller enttäuscht.

In der Esperanto-Wikipedia liest sich das nochmal etwas deutlicher:

Nia lingvo estas do nura stilrimedo, kaj supozeble neniu el la filmteamo tiutempe vere pensis, ke Incubus iam povus esti spektata de veraj esperantistoj.

Unsere Sprache dient also lediglich als Stilelement, und vermutlich hat seinerzeit niemand aus dem Filmteam daran gedacht, daß Incubus irgendwann von echten Esperantisten angeschaut werden könnte.

Soviel unverklemmte Subjektivität würde man sich manchmal auch für die “großen” Wikipedias wünschen.

P.S.: Verklemmte Bonuspunkte gehen an die deutsche Wikipedia, weil sie die einzige Sprachversion ist, bei der der Titel des Artikels “Inkubo” lautet.

Die dynamische IP-Adresse wurde seinerzeit nicht als Datenschutzmerkmal etabliert, sondern vordergründig, um IP-Adressen zu sparen und hintergründig, um den Betrieb von Serverdiensten an der DSL-Leitung zu erschweren. Diejenigen, die das größte Interesse an dynamischen IPv6-Präfixen haben, sind folglich die DSL-Anbieter selbst.

Wenn sich Datenschützer dieser Forderung anschließen, haben sie sich lediglich auf die falsche Ebene treiben lassen. Was uns heute fehlt, ist ein wirksamer Datenschutz bei Dienstebetreibern im Internet, der nicht durch Hausdurchsuchungen und Beschlagnahmungen unterhöhlt werden kann.

In order to do this, I globally enabled LDA and Sieve in the Dovecot configuration, migrated my ~/.procmailrc into a Sieve ruleset (manually, because the converters don’t cut it) and then replaced my trusty old ~/.procmailrc with:

DEFAULT=$HOME/Maildir/
LOGFILE=$DEFAULT/procmail.log
DELIVER="/usr/lib/dovecot/deliver"
DROPPRIVS="YES"
:0 w
| $DELIVER

This way, the global default of using Procmail remains unharmed, maintaining compatibility with other users. On delivery, all messages to me are redirected into the Dovecot delivery system, including Sieve filters.

Grub, Kernel und initrd werden zwar geladen. Leider erfolgt innerhalb der initrd aber scheinbar ein Reset des USB-Systems. Ein normaler USB-Stick holpert da irgendwie drüber (das funktioniert mit /boot auf dem Stick problemlos), aber der Lok-IT sperrt sich sicherheitshalber automatisch.

Das ist schade, aber kein Beinbruch. Das letzte Wort wird da auch hoffentlich noch nicht gesprochen sein.

Es trifft zu, daß der USB-Bus beim Hochfahren zurückgesetzt wird und sich der Stick in diesem Moment aus Selbstschutz sperrt. Das ist aber überhaupt kein Problem. Man muß lediglich in /etc/fstab dafür sorgen, daß das System beim Hochfahren nicht versucht /boot zu mounten oder zu checken. Beide Daumen nach oben für meinen unknackbaren Terrorlaptop!

Und, nein, es wird kein HOWTO dazu geben. Wer dafür ein Kochrezept braucht, sollte besser die Finger davon lassen.

Insbesondere kam mir schlagartig die Frage eines Kollegen in den Sinn, als er mich irgendwann dabei beobachtete, wie ich die LUKS-Passphrase für meine Linux-Workstation eingab: “Wie hat sich Dein Rechner denn bei Dir authentifiziert?” – Gute Frage: Ich habe natürlich nicht sichergestellt, daß niemand die wahlweise auf dem Root-Dateisystem oder auf der initial RAM-Disk (initrd) liegende Abfrage der Passphrase manipuliert hat.

Wie kann man sicherstellen, daß in der eigenen Abwesenheit keine Manipulationen am Linux-Betriebssystem (bzw. den Dateien, von denen es bootet) vorgenommen wurden? Eigentlich ganz einfach: Das root-Filesystem muß verschlüsselt werden, und die Umgebung von der das System gebootet wird, also das /boot-Filesystem mit Kernel und initrd muß vor Manipulationen geschützt werden. Also mußte ein manipulationssicherer USB-Stick her. (Update: Booten vom verschlüsselten USB-Stick)

Ich habe mich also auf die Suche nach einem USB-Stick mit PIN-Eingabe gemacht. Nach kurzer Recherche bin ich auf die folgenden Modelle gekommen:

• Padlock 2 von Corsair, um 30 Euro (für 8 GB)

• Lok-IT von Systematic Development, ab um 100 Euro (für 4 GB) mit FIPS-Zertifizierung

Beide benutzen Verschlüsselungschipsätze von ClevX. Ich habe mich für den teuren Stick von Lok-IT entschieden, da sowohl der verwendete Chipsatz von ClevX als auch das Endprodukt FIPS-zertifiziert sind. Das einfachere Modell von Corsair ist leider berüchtigt dafür, daß es standardmäßig eine leere Administrator-PIN als Hintertür mitbringt; des weiteren war bei der ersten Corsair-Generation der Flash-Chip relativ leicht zugänglich und nur schwach gegen physische Angriffe gesichert. Die Aussagen dazu, ob bei Corsair verschlüsselt oder nur der Zugriff auf den Flash-Chip kontrolliert wird, sind noch dazu widersprüchlich. Insgesamt ist also die Historie des billigen Corsair-Stick wenig beeindruckend; bei sorgfältiger Herangehensweise wird aber sicher auch er für viele Angreifer nicht zu knacken sein.

Die Elektronik im Stick von Lok-IT ist mit schwarzem hartem Epoxidharz vergossen; darüber hinaus werden die auf dem Flash-Chip gespeicherten Daten vom ClevX-Controller verschlüsselt. (Herstellerangaben)

Die Lieferung des Stick erfolgt in einer öffnungsresistenten Blisterverpackung. Der Stick hat ein massives Metallgehäuse und ist bei geschlossener Kappe wasserdicht. Auf seiner Rückseite ist ein gut lesbarer Barcode mit einer Seriennummer aufgedruckt. Der Stick ist nicht zu unförmig, aber am Macbook Air läßt er sich nur mit Mühe am linken USB-Port einstecken.

Beim Stick handelt es sich um ein autonom funktionsfähiges System, das über einen eingebauten LiPo-Akku zur Stromversorgung verfügt, welcher am USB-Bus geladen wird. Mit Hilfe der eigenen Stromversorgung sind alle PIN-Aktionen im ausgestöpselten Zustand verfügbar. Nach dem Entsperren kann der Stick 30 Sekunden lang in Ruhe in den PC eingesteckt werden. Wird der Stick später wieder gezogen, erfolgt automatisch die Sperrung. Wie das mit dem Entsperren funktioniert, sieht man schön im Video des Herstellers:

Der Stick ist aufgrund dieser Funktionsweise wie jeder normale USB-Stick verwendbar. Es ist keine Unterstützung durch das Betriebssystem erforderlich, es können beliebige Dateisysteme angelegt werden, es kann gebootet werden.

Nach dem Auspacken ist zur Inbetriebnahme zwingend die Vergabe einer PIN erforderlich; dabei wird von der beiligenden Kurzanleitung das Setzen der User-PIN beschrieben. Der Stick erzwingt eine Länge der PIN von mindestens 7 Ziffern und akzeptiert keine PINs, die aus Wiederholungen der selben Ziffer (1111111) oder aus einer aufeinanderfolgenden Ziffernfolge (3456789) bestehen.

Der Stick verfügt über klare und dokumentierte Policies für die Vergabe von zwei PINs für den User selbst und den Administrator, vulgo “Cryptographic Officer” oder “CO”. Die Kurzanleitung gibt nur her, wie die PIN für den User gesetzt werden kann; eine Anleitung zum Setzen der PIN für den CO mußte ich mühsam ergoogeln.

Die Interaktion zwischen User und CO ergibt Sinn und kann im Detail in der FIPS Security Policy des Lok-IT nachgelesen werden. Ist die User-PIN gesetzt, kann keine PIN für den Crypto-Officer mehr gesetzt werden, ohne daß zuvor die User-PIN eingegeben wird. Benutzt der CO seine PIN um den Stick zu entsperren, wird die vergebene PIN des Users gelöscht und kann nur durch den CO neu gesetzt werden. Eine fortwährende Kompromittierung der Userdaten durch den CO ist folglich nicht möglich.

Ab Werk sind auf dem Stick 6 vorgenerierte und nicht veränderbare AES-Schlüssel hinterlegt, von denen der erste zum Verschlüsseln der gespeicherten Daten verwendet wird. Eine Möglichkeit, den Stick auf den Auslieferungszustand zurückzusetzen, existiert nicht. Hat man beide PINs vergessen, bleibt nur noch, die PIN zehnmal falsch einzugeben. Daraufhin wird der Inhalt des Stick verworfen, indem der Controller den verwendeten Schlüssel löscht. Daraus folgt, daß dieser Vorgang nur sechsmal möglich ist; danach ist der Stick unbrauchbar.

Ob der Stick von Lok-IT, der laut Hersteller nicht nur von der Apple-Entwicklungsabteilung, sondern auch von der US-Regierung benutzt wird, auch eine Hintertür für die US-Regierung enthält, vermag dieses Review leider nicht zu sagen. Wer sich ernsthaft vor CIA, DHS und NSA schützen muß, wird seinen gesunden Menschenverstand in Verschlüsselungsfragen aber sicher sehr genau auf die Probe stellen.

Wenn man sich vom hohen Preis nicht abschrecken läßt, bekommt man mit dem Lok-IT ein kleines Stück Hardware, das den meisten Anforderungen an die Sicherheit der darauf gespeicherten Daten gerecht werden sollte.

Laut Hersteller ist die Version ohne FIPS-Zertifizierung identisch mit der nicht FIPS-zertifizierten Version, mit dem Unterschied, daß keine Aussage hinsichtlich der FIPS-Compliance gemacht wird. Das kann man beim Kauf evtl. in Betracht ziehen um ein paar Euros einzusparen, falls einem der Schritt hinunter zum eher spielzeughaften Corsair Padlock zu groß erscheint.