#!/bin/blog

October 21, 2014

Overriding the Mozilla Thunderbird HELO hostname

Filed under: Internet, Paranoia — Tags: , , , — martin @ 5:23 pm

I found that when connecting through a SOCKS proxy (e.g. SSH dynamic forward), Mozilla Thunderbird tends to leak its local hostname (including the domain of the place where you are at that moment) as a HELO/EHLO header to its SMTP submission server, who then writes it into the first Received-Header.

To avoid this, use about:config and create the following configuration key and value:

mail.smtpserver.default.hello_argument = some-pc

Or whatever hostname you prefer.

Reference: Mozillazine – Replace IP address with name in headers

Advertisements

March 3, 2013

app.net – Die spießige Sehnsucht nach Ruhe

Filed under: Internet — Tags: , , — martin @ 11:47 am

Ich bin ja nicht der älteste, und so habe ich Anfang der 1990er Jahre als armer Schüler und Azubi noch CB-Funk gemacht. Da kaufte man sich Hardware, schraubte die Antenne aufs Haus- oder Autodach und konnte ohne jede Zugangsbeschränkung (die Anmeldepflicht beim Amt war bereits abgeschafft) in die Kommunikation mit anderen einsteigen. Vollkommen anonym übrigens, denn das Ausplaudern von Klarnamen war praktisch geächtet.

So etwa Anfang 1993 habe ich dann von einem Computerflohmarkt ein 2400-Baud-Modem mitgebracht. Ab da ging es ganz schön rund. Von heute betrachtet, ist es fast unvorstellbar, wie schnell sich die Dinge damals für mich weiterentwickelten und änderten.

Zu der Zeit hatte ich schon 10 Jahre in Zeitungen von diesen Mailboxen gelesen, aber jetzt konnte ich mich endlich selbst einwählen. Mein Zuhause waren bald das MausNet, und FidoNet, das damals eben gerade den großen Fido-Putsch hinter sich hatte und in Deutschland in zwei bis aufs Blut verfeindete Netze gespalten war. Das war eine ziemlich gesellige Zeit mit wirklich großen regelmäßigen Mailboxtreffen der beiden MausNet-Mailboxen aus Wiesbaden und der Mailbox aus dem Rhein-Lahn-Kreis, bei der ich FidoNet-Point war.

Nach dem Ende meiner Lehre hatte ich ein Einkommen und bald auch meine eigene FidoNet-Mailbox. Das müßte so Ende 1994 gewesen sein. Der Putsch wirkte noch nach. Es gab zahlungskräftige Mailboxbetreiber, die per Ferngespräch nachts das Routing in andere Länder abwickelten und von den in der Hierarchie unterhalb von ihnen angesiedelten Mailboxen wahlweise Anerkennung oder Geld forderten, eigentlich aber beides. Kürzlich habe ich auf meinem Fileserver die Digitalfotos von einem Treffen in Frankfurt-Bockenheim im Jahr 1995 wiedergefunden, wo es genau um dieses Thema ging.

Parallel hatte ich im Frühjahr 1995 mit Compuserve angefangen. Im “Compuserve Information Manager”, der proprietären Zugangssoftware, hatte man themenbezogene sogenannte “Foren” (etwa: “Deutschland” oder “Filme”), die aus einem Chatbereich, einem Messagebereich und einem Download-Bereich bestanden. In Compuserve herrschte Ruhe. Anders als im nervigen FidoNet gab keine Diskussionen darüber, wer Geber und Nehmer war, sondern alle bezahlten in einer Richtung ihre monatlichen und stündlichen Beiträge an Compuserve und ihre Telefongebühren an die Post.

Nachdem ich per Compuserve die ersten Schritte ins WWW gemacht hatte, tauchte die erste Reklame eines örtlichen ISP auf, bei dem ich Kunde wurde. Das Mailboxthema habe ich dann bald an den Nagel gehängt. Nach den Querelen der FidoNet-Zeit empfand ich es als Erleichterung, die Infrastruktur nicht mehr nach Gutsherrenart vom lokalen Netzfürsten zu bekommen, sondern einfach dafür zu bezahlen. Wie es weiterging, kann man sich ausrechnen: Noch 1995 die erste Homepage, 1996 die erste eigene Domain, bei meinem Arbeitgeber das Internetthema komplett betreut, 1997 selbständig mit meiner eigenen Firma.

Das Social Networking lief in dieser Zeit per Mailinglisten, IRC und Newsgroups. Wer einen Internetzugang hatte, konnte ohne jede Zugangsbeschränkung in die Kommunikation mit anderen einsteigen.

Als es Anfang der 2000er Jahre mit den Blogs losging, dachte ich ernsthaft, wir hätten es geschafft und hätten die öffentliche Meinung im Internet wirklich befreit. Die Grenzen von Mailboxen oder Uni-Rechnern waren gesprengt, jeder konnte frei sein Ding machen und seine Meinung veröffentlichen. Man hatte das Gefühl, richtig was bewegen zu können, aber die realistischeren Mitglieder der Szene wussten ehrlich gesagt immer, dass es außerhalb der “Bloggeria” eigentlich gar keine Anteilnahme an unseren großen Aufregern gab.

Und dann kamen Facebook und vor allem Twitter. Gerade Twitter, am Anfang noch aufgrund seines speziellen Funktionsumfangs belächelt, wurde zum Zentralorgan der engagierten Netzbewohner. Der CB-Funk des Netzes. Wer es schaffte, sich vor einen Rechner mit Internetzugang zu setzen, oder ein Smartphone in die Hand zu nehmen, hatte plötzlich ein weltweites Publikum und konnte ohne Zugangsbeschränkung in die Kommunikation mit anderen einsteigen. Als 2009 das Flugzeug im Hudson gewassert war, stammelte der Nachrichtensprecher in den deutschen Abendnachrichten noch, während die Bilder der geretteten Passagiere bereits seit einer halben Stunde per Twitter um die Welt gingen. Von 2010-2012 rollte eine Welle von Revolutionen  durch Nordafrika, auch getragen durch Twitter und Facebook. 2012 hat Twitter es geschafft, tausende für Occupy und gegen ACTA auf die Straße zu bringen.

Mahnende Stimmen wegen dieser kostenlosen Dienste hatte es schon länger gegeben: “Wenn ihr für das Produkt nichts bezahlt, seid ihr selbst das Produkt.” Ob das stimmt? Es fällt mir schwer, es abschließend zu beurteilen. Aber gerade in 2012 wurden mehrere vermeintlich seriösere, offenere und verteiltere Twitter-Alternativen mit ungeheuer großem Enthusiasmus angekündigt und frenetisch begrüßt, die anschließend in Rekordgeschwindigkeit vergessen wurden. Eine kam durch, und die war weder offen noch verteilt: Das kostenpflichtige app.net will eine vielfältig benutzbare Plattform sein, und kein reiner Dienst fürs Microblogging. Für 3 US-Dollar im Monat schmorten ein halbes Jahr lang die ausgewiesensten Spezialisten für Social Networking im exklusiven eigenen Saft.

Dass app.net mit diesem reinen Bezahlsystem lebensunfähig geboren war, wurde nur von wenigen erkannt, jedoch immerhin von app.net selbst. Und so wurden die Tore Anfang 2013 geöffnet und es durften auch nicht-zahlende Benutzer mitspielen, jedoch nicht ohne Zugangsbeschränkungen, sondern zu bestimmten Bedingungen, die die Möglichkeiten zur Kommunikation mit anderen reglementieren. Das war der Tag, an dem app.net für mich interessant wurde und ich meine 36 US-Dollar für 12 Monate bezahlt habe, um mir die Sache anzuschauen. Gleich nach dem ersten Anmelden war erkennbar, dass diese Freigabe für reichlich Aufruhr bei den zahlenden Usern der ersten Stunde sorgte. Viele waren sichtlich nicht begeistert waren vom Anblick der einfallenden Usermengen. Der Untergang der Diskussionskultur und eine Welle an Fernseh- und Fussballtweets wurden herbeibeschworen.

Viele halten app.net für das nächste große “Ding”, das die Netzwerkkommunikation revolutionieren wird. Ich melde Zweifel an. Und ich habe die Geduld in dem Moment verloren, als ich einen Chat-Dienst auf Basis von app.net gesehen habe. Hier gibt es in der Außenwelt Protokolle wie XMPP und IRC, die bereits für Millionen von Nutzern etabliert sind – teils seit Jahrzehnten – und deren Benutzung jedermann offensteht. Die hier erkennbare Tendenz, sich nach der totalen Offenheit von Twitter in ein geschlossenes Netzwerk zurückziehen zu wollen, um den Anblick des Pöbels nicht mehr ertragen zu müssen, erschreckt mich. App.net ist für mich ein Rückschritt um 20 Jahre, in die abgeriegelte Umgebung von Compuserve. Aus Angst vor der Kränkung, vermeintlich das Produkt zu sein, verkriechen sich vermeintlich erleuchtete Experten in einen kostenpflichtigen privaten Zirkel.

Bereits heute klafft die Schere weit auseinander: Auf Twitter werden Menschenrechtsdemos organisiert, während sich auf dem intellektuell ausgebluteten Facebook schonmal Lynchmobs bilden. Als die erfahrensten Netznutzer müssen wir das verstehen, handeln und Verantwortung übernehmen. Die freie Kommunikation für jedermann muss geschützt werden.

Wie sollen sich ein Schüler aus einfachen Verhältnissen, ein arbeitsloser junger Mensch oder ein Rentner am Rand des Existenzminimums gut vernetzen, wenn alles, wo sie gehört werden würden, app.net mit seinen rigiden Limits für kostenlose User ist? Welcher Sache ist gedient, wenn sich eine selbsternannte netzintellektuelle Oberschicht in ihrem Club einsperrt, vom dem aus die normalen Menschen nicht mehr sichtbar sind? Und selbst wenn kostenlose User mit viel mehr Möglichkeiten ausgestattet werden: Was, wenn ein solcher Bezahlservice pleite geht, oder wir ihm aufgrund der Rechtslage in seinem Land nicht mehr vertrauen können? Ein “Fork” wie er zur Zeit des unseligen Fido-Putsch möglich war, wird dann undenkbar sein.

Jedermann sollte ohne Zugangsbeschränkung mit anderen kommunizieren können. Freie Software für verteilte soziale Netze ist seit Jahren verfügbar und wird aktiv entwickelt. Der Weg zurück in die Steinzeit der sozial undurchlässigen bezahlten Datennetze ist der falsche.

January 26, 2013

Kinderzimmer-Crypto by Telekom & Verisign

Filed under: Internet, Sicherheit — Tags: , , — martin @ 3:49 pm

Ich muss ja gestehen, obwohl ich mich sporadisch mit Sicherheitsgedöns auseinandersetze, war mir bisher nicht bewusst, dass der Zugriff auf das Konfigurations-Interface meines VDSL-Routers “Speedport W 722V” SSL-verschlüsselt erfolgt. Bis heute der Browser eine Fehlermeldung auswarf. Mal schauen:

20130126151658

Was ist hier passiert? Das SSL-Zertifikat ist vor 3 Wochen nach 4 Jahren Gültigkeit abgelaufen. Naja. Kommt vor. Aber Moment? Nochmal genau hinschauen:

Issuer: O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA – Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
Validity
Not Before: Jan  7 00:00:00 2009 GMT
Not After : Jan  6 23:59:59 2013 GMT
Subject: C=DE, ST=Hessen, L=Darmstadt, O=Deutsche Telekom AG, OU=P&I PSO/DCS, CN=speedport.ip

Die Deutsche Telekom besorgt sich also beim SSL-Weltmarktführer Symantec/Verisign ein SSL-Zertifikat, ausgestellt auf einen Fantasie-Hostnamen, mit fetten 4 Jahren Laufzeit, obwohl eigene SSL-Root-Zertifikate der Telekom in jedem Browser hinterlegt sind. Da wollten die hausinternen Kollegen wohl nicht mitspielen, so dass man irgendeinen windigen Deal mit Verisign abwickeln musste. Abenteuerlich Nummer 1.

Zum anderen hat der Telekom-Support im hauseigenen Forum bereits verlautbart, dass für solche alten Geräte kein Firmware-Update kommen wird. Ist ja auch nur ein VDSL-Router, sowas benutzt heute bestimmt niemand mehr. Abenteuerlich Nummer 2:

20130126153228

Verlinkt ist ein Artikel, in dem beschrieben ist, wie man den Zertifikatshinweis im Browser dauerhaft unterdrücken kann. Abenteuerlich Nummer 3.

Die Deutsche Telekom wirft also auf ein Web-Interface im privaten LAN, oder gar im verschlüsselten WLAN, eine aufgrund des fehlenden Angriffsszenario sowieso schon unnötige Transportverschlüsselung drauf, versucht es mit dieser Verisign-Nummer halbwegs richtig zu machen, hat aber keinen Plan für den Fall, dass das Gerät länger als 3-4 Jahre beim Kunden im Einsatz ist. (Das ist nebenbei bemerkt der Grund, warum ich meinen Kunden von länger als 1 Jahr laufenden SSL-Zertifikaten abrate: Schon allein, damit man nicht in die Versuchung kommt, keinen Prozess für den Zertifikatsablauf zu etablieren.)

Als Workaround werden die Telekom-Kunden schließlich mit einer Klickanleitung trainiert dafür, wie man den Browser zwingt, auf Webseiten mit kaputten SSL-Zertifikaten zuzugreifen. Diese Zivilisationstechnik kann man ja immer mal gebrauchen. Dafür herzlichen Dank.

Endnutzer zu einem verantwortungsvollen und aufmerksamen Umgang mit solchen Sicherheitsverfahren zu erziehen, geht aber anders, liebe Telekom.

October 24, 2012

Speak multiple languages? Here’s your ruined social web.

Filed under: Internet — Tags: , , , — martin @ 9:43 pm

Here’s my story about how meeting people from another country and learning another language took away from the fun I used to have with my social web.

I’m a public poster. I post publicly. Twitter, Facebook, Google Plus. Most of the time I post in my native tongue, which is German. Only sporadically, I feel that special need to attract international attention. That’s when I post in English. (Except that I usually don’t get the attention I desire.) Posting in German and English is no problem at all. Most Germans know a fair deal of English. At worst, they see my English posts and think I’m just being self-important. Fine. No harm done.

Along comes a business with which I’ve been working since several years ago. With lots of nice people who speak another foreign language. Let’s assume for this blog posting that they are native Russian speakers. Of course they also speak English, and some of them are learning or already know German. I’ve made friends with quite a few of them, and we’re friends on Facebook, have each other in circles at Google Plus and follow each other on Twitter.

Which introduces Russian postings in cyrillic letters into my social web, and German-language ramblings into theirs.

Also along comes the international language Esperanto. On a whim, I started learning it last year. In the Esperanto world, everyone speaks a different language when they are not speaking Esperanto. And of course, although I haven’t met very many Esperanto speakers in person, we are friends on Facebook, we have each other in circles at Google Plus and we follow each other on Twitter.

Which introduces my German-language ramblings into their social web, and introduces Arabian, Chinese, French, Italian, Spanish, Portuguese, Dutch, Slovakian, Farsi, Japanese, Korean, Chinese and Hindi into mine.

The timeline of babel

My heart is really big and I love each one of my Esperanto speaking friends and Russian speaking colleagues very much. Nevertheless, it would be nice if I didn’t have to skip over those strange-language postings all the time. It also would give my social web a neater appearance.

How the others use their social web is beyond my control and judgement. So let’s talk about me instead. While it is impossible to limit the visibility of postings to groups of recipients on Twitter, it is possible to group recipients on Facebook and also on Google Plus. The solution for the language problem is therefore very obvious: Form a group of recipients that understand German. Share German postings only with them. Problem solved.

However, I can’t read my reader’s minds. My relative who doesn’t really know enough English to make it worthwhile looking at an English posting: Should not be in the English group. My colleague from Russia who is secretly learning some German but has haver talked about it: Should not be missing from the German group. My Esperanto friend who is fascinated by postings in damn every language: Should be in all groups. Worst of all: Even if they could ask me to be included in some group, how on earth should they find out that my language-specific groups even exist? There is no way for them. Because all those per-group postings would have to be private.

Oh yes, you say: I could make meta-postings and tell my contacts about how I have those circles and how they can ask to be included in them. Which doesn’t help the introverted guy who doesn’t want to come out about his interest for Esperanto. Not to mention the whole awkwardness of it, and how I would have to try not to forget adding any responder to his requested groups.

Also, this extensive management of privacy leads us back to the following: I’m a public poster. I post publicly.

More clumsy workarounds

So, here’s another workaround: Get multiple accounts – one per language. Speaking of Twitter and only three languages in my case, this is actually not a very bad suggestion. Except that I would have to keep pointing out all the time that I provide more feeds. Which at least partially brings back the awkwardness of asking people to ask to be included in groups. Also, there is no fast switching of Twitter accounts on the Twitter website. Looking at stand-alone Twitter clients, Twitter have created artificial scarcity of API access to it. So keeping around several Twitter clients (desktop, mobile, tablet) with several language accounts in them would be a waste of resources. Also, let’s not talk about how this scales for persons that speak closer to 10 languages. (Hint: It doesn’t.)

Facebook on the other hand, disallows having multiple accounts, so this approach is not feasible at all. Unless you have a really desperate knack for maintaining multiple split personalities.

“We have detected that this posting is in Esperanto…”

Which has me at my current state. Which is that I carefully consider the language I will use for any given posting. English is safe most of the time, but I usually prefer German, and I also want to keep the friendship to my Esperanto friends alive.

Keeping diverse-language activities separated isn’t always simple. A German mailing list here, an English-language forum and an Esperanto newsgroup there. That’s a possibility, but much of this has converged into the big social channels, such as Facebook and Twitter.

Not everyone finds it easy to ignore foreign-language postings in their social web. I’ve read from Esperanto speakers who have taken criticism from their relatives because they posted too much Esperanto. However, and this is what leads me to the conclusion of this lengthy posting, programmatically detecting the language of any text is easy these days.

“…do you want to see more postings in Esperanto? (yes/no)”

What the polyglot social web desperately needs is the capability to filter posts by language. It doesn’t have to be enabled by default. It doesn’t need to be offered for every single posting. Someone who never sees any foreign language anyway doesn’t need to waste precious CPU cycles for detection of the constantly same language.

A user, however, who finds that filtering by language would be useful, should have the ability to configure that only posts in this or that language should be displayed or that posts in that other language should be hidden.

I have seen people practising the one-feed-per-language method on Twitter and even Facebook. It wastes resources and drives people into violating terms of use. Who wants to constantly have his account threatened by cancellation? Feeds not filtered by language are awkward for posters and recipients alike, as well as they waste resources for the social web operator.

So, please, Facebook, Twitter and Google, and those about to build the next big thing: Give us the option to filter the social web by language. It’s going to be your personal contribution to world peace. At least, I hope so.

(Illustration: Tower of Babel by Lucas van Valckenborch, 1594, public domain)

September 27, 2012

Postfix: Rewrite the sender address of all mail

Filed under: Internet, UNIX/Linux/BSD — Tags: — martin @ 12:17 pm

OMG, I used to do mail for kings and queens. With properly crafted mail setups, meticulously built from the finest bits and bytes you can imagine.

But things have gone somewhat downhill from there. Now that I play the most general UNIX dude, I get this request far too often (talk about once every few weeks), and I’m not sure whether I have a proper solution for it or not. It goes like this:

“I have applications on the system, and I don’t know how, but they send mail, and I want all mail to be rewritten to a single from address. And please don’t try to tell me what you think good design looks like, but just get the damn job done.

So, the first approach was to add a pcre map in sender_canonical_maps with something like this, that matches every sender, as requested:

/.*/ godknowswhat@example.com

Directly from there, we tried to optimize away the sender_canonical file and its regex and came to this in main.cf:

sender_canonical_maps = static:godknowswhat@example.com

This actually leads to the same behaviour as it replaces any given sender with godknowswhat@example.com. Which, after a while, brought us to our first mail loop when Postfix had delivery problems and rewrote the empty bounce sender address (<>).

So now we are back to our pcre map for good, interestingly with just a single byte changed:

/.+/ godknowswhat@example.com

This rewrites all sender addresses to godknowswhat@example.com, but if a bounce appears, the sender address is not rewritten and the bounce can be delivered or at least double-bounce if it runs into additional failure.

June 6, 2012

IPv6 am Hochtechnologiestandort, Bestandsaufnahme reloaded

Filed under: Internet — Tags: — martin @ 9:24 am


Ein Jahr ist schnell vorüber, und so folgt auf den “World IPv6 Day” heute der “World IPv6 Launch“.

DAX

Wie im letzten Jahr habe ich mir zunächst die Unternehmen des Deutschen Aktienindex DAX vorgenommen und geschaut, wie es auf den Konzernhomepages mit IPv6 aussieht. Geprüft habe ich dabei die folgenden URLs:

www.adidas.com, www.allianz.de, www.basf.com, www.bayer.de, www.beiersdorf.de, www.bmw.de, www.commerzbank.de, www.daimler.com, www.db.com, deutsche-boerse.com, www.dhp-dhl.com, www.telekom.de, www.eon.de, www.fmc-ag.de, www.fresenius.de, www.heidelbergcement.com, www.henkel.de, www.infineon.com, www.k-plus-s.com, www.the-linde-group.com, www.lufthansa.com, www.man.de, www.merck.de, www.metro24.de, www.munichre.com, www.rwe.de, www.sap.com, www.siemens.com, www.thyssenkrupp.com, www.volkswagenag.com

Leider hat sich hier nichts getan. Keine der Seiten bietet IPv6 an.

Kontrollgruppe

In der Kontrollgruppe, bestehend aus Google, Facebook, SixXS, Hurricane Electric und Apple hat sich hingegen etwas getan: Facebook hatte bereits vor kurzem IPv6 eingeführt, Google und Microsoft haben es pünktlich zum Stichtag aktiviert.

Update, 08.07.2012: Microsoft hat IPv6 nach Ende des IPv6 Launch direkt wieder deaktiviert.

Autohersteller

Wie im letzten Jahr habe ich mir wieder die Autohersteller angeschaut:

www.audi.de, www.bmw.de, www.opel.de, www.mercedes-benz.de, www.porsche.com, www.volkswagen.de, www.wiesmann.de, www.maybach-manufaktur.com

Hier ist im Gegensatz zum Vorjahr tatsächlich IPv6 bei www.porsche.com aktiv!

Deutsche Telekom

www.telekom.de, www.telekom.com, www.t-online.de, www.t-mobile.de, www.t-systems.de

Wie im Vorjahr bleibt die Deutsche Telekom ein fast kompletter Ausfall, mit Ausnahme von www.t-online.de.

Mobilfunkprovider

Im vergangenen Jahr hatte ich bei den Mobilfunkprovidern nach einem Fünkchen Hoffnung gesucht und es sogar gefunden. Hier liegt dieses Jahr die größte Überraschung. Getestet wurden:

www.vodafone.de, o2online.de, www.eplus.de, www.base.de

Nachdem O2 letztes Jahr der einzige Lichtblick mit IPv6 gewesen war, wurde dort im Lauf des Jahres IPv6 wieder abgeschaltet. Überraschung!

Shoppingseiten

Hier habe ich die folgenden getestet:

www.amazon.de, www.hse24.de, www.neckermann.de, www.otto.de, www.zalando.de

Alle sind auch in diesem Jahr frei von IPv6-Unterstützung.

Bundesrepublik Deutschland

Zum Abschluß noch ein paar Institutionen der Bundesrepublik Deutschland:

www.bundesregierung.de, www.bundeskanzlerin.de, www.bundespraesident.de, www.bundestag.de, www.bmwi.de, www.bmbf.de

Hier ist wie im Vorjahr kein IPv6-Support erkennbar.

Fazit

Das einzige Unternehmen, bei dem sich etwas in Richtung IPv6 getan hat, ist in diesem Jahr die Porsche AG in Stuttgart. Enttäuscht bin ich von O2, wo der IPv6-Support sogar zurückgezogen wurde. Ein Jammer.

Dieses bei WordPress gehostete Blog kann übrigens leider auch kein IPv6. Hinweise in dieser Richtung könnt ihr euch folglich sparen. 😉

Wenn ihr noch namhafte Seiten kennt, die kürzlich oder gar heute IPv6 aktiviert haben, hinterlasst sie bitte in den Kommentaren.

Historie

Erhobener Bestand um 08:34:27: http://pastebin.com/raw.php?i=K1gL0Jap
Erhobener Bestand am 08.07.: http://pastebin.com/raw.php?i=E7B11rp0 (Ohne IPv6-Adresse für http://www.microsoft.com.)
Unverändert nochmal nachgeschaut am 19.9.: http://pastebin.com/raw.php?i=je0Z51cs

May 11, 2012

Darf man die NTP-Server der PTB nutzen?

Filed under: Internet, UNIX & Linux — Tags: , — martin @ 9:34 am

Auf einer Mailingliste wurde mal wieder die Devise herausgegeben, man solle nicht ohne weiteres die NTP-Zeitserver der Physikalisch-Technischen Bundesanstalt PTB benutzen, sondern stattdessen auf pool.ntp.org zugreifen.

Ich habe diese Geschichte, die schon so lange erzählt wird, wie ich NTP kenne, für eine Urban Legend gehalten und deshalb mal bei der PTB direkt angefragt:

mir läuft schon seit vielen Jahren in Linux- und UNIX-Kreisen ein Ratschlag über den Weg, in dem es heißt, die NTP-Server der PTB seien nicht für die allgemeine öffentliche Nutzung gedacht. Stattdessen solle man sich bei anderen Quellen bedienen, wie z.B. mittlerweile bei pool.ntp.org.

Ich habe selbst leider keine Erfahrungswerte mit NTP-Servern mit Hunderttausenden oder Millionen von Clients, daher kann ich mir selbst keinen Reim darauf machen, wieviel Plausibilität ich dieser Geschichte beimessen soll.

Können Sie mir sagen, ob es für die NTP-Server der PTB irgendwelche Nutzungsbedingungen oder Einschränkungen gibt, die zu beachten sind? Gibt es Auslastungsdaten der Server, die Sie öffentlich machen können?

Daraufhin habe ich sehr schnell die folgende Antwort erhalten:

Gern können Sie unseren NTP-Zeitdienst benutzen. Bitte beachten Sie auch die Hinweise unter:

http://www.ptb.de/de/org/q/q4/q42/ntp/ntp_main.htm

Grundsätzlich sind unsere NTP-Server für die allgemeine Nutzung freigegeben. Die Auslastungsdaten stellen wir nicht öffentlich bereit. Derzeit ist es jedoch so, dass uns pro Sekunde mehrere Tausend Abfragen auf dem NTP-Port erreichen. Diese stellen aber kein Problem dar! Problematischer sind nur die Abfragen auf dem Time- und Daytime-Port, die wir daher begrenzen.

Sprich: Jedermann kann die NTP-Server der PTB ohne weiteres benutzen, um die gesetzliche Zeit der Bundesrepublik Deutschland zu beziehen. Meine Theorie, daß es sich bei den vermuteten Einschränkungen hinsichtlich ihrer Nutzbarkeit um Urban Legends handelt, war also zutreffend. 🙂

June 18, 2011

WhatsApp: Protokollanalyse

Filed under: Internet — Tags: , , — martin @ 12:32 pm

Die Geschichte über die “Datenkrake WhatsApp” hat mir keine Ruhe gelassen, so daß ich einen Laboraufbau für eine kooperative Man-in-the-Middle-Operation mit Squid 3.1 aufgesetzt habe. Dank dessen Features für Content-Filter, Virenscan usw. konnte ich die SSL-Kommunikation von WhatsApp entschlüsseln.

Damit bin ich zu einer Handvoll neuer Erkenntnisse gekommen.

WhatsApp setzt beim Aufbau der Favoritenliste einen POST-Request an https://sro.whatsapp.net/client/iphone/iq.php ab. Dieser enthält die folgenden Informationen.

Im HTTP-Header:

  • Die Version von WhatsApp.
  • Die Betriebssystemversion des iPhone.
  • Die Hardwareversion des iPhone.

Im HTTP-POST-Request:

  • Die eigene Telefonnummer.
  • Die eigene Ländervorwahl.
  • Alle im Telefonbuch gefundenen Telefonnummern in Ziffernform ohne Trenn- oder Sonderzeichen, mit oder ohne Ländervorwahl, wie im Adreßbuch eingetragen.

Bei WhatsApp antwortet ein lighttpd 1.4.28 mit PHP 5.3.5. Dieser beantwortet den POST-Request mit einem XML-Block, der pro gefundener Gegenstelle ein Dictionary mit den folgenden Werten enthält:

  • S – Die vom Benutzer eingegebene Status-Message.
  • T – Das Alter der Status-Message in Sekunden.
  • JID – Die Telefonnummer des Benutzers mit Länderkennnzeichen ohne führendes +.
  • P – Die Telefonnummer des Benutzers in “wählbarer” Form mit Länderkennzeichen und führendem +.
  • NP – Entweder nicht gesetzt oder mit dem Wert true. Funktion unbekannt.

Die Faktenlage ist damit wie folgt ausgebaut:

  • Um die Favoritenliste zu generieren, wird keine Übertragung des gesamten Adressbuchs vorgenommen.
  • Es werden jedoch alle im Adressbuch enthaltenen Telefonnummern übertragen, um zu prüfen, ob dahinter ein WhatsApp-Account steckt.
  • Außer den Telefonnummern wird keine Information übertragen.

Die Kommunikation während des Chat selbst habe ich nicht betrachtet.

Ihr könnt euch jetzt euren Teil denken. Die im vorigen Post aufgestellten Vermutungen über die Kommunikation sind damit bestätigt, bis auf das Hashing, das im Fall von Telefonnummern aber vermutlich eher eine Verschleierung wäre.

June 9, 2011

WhatsApp: Datenkraken-Mythos

Filed under: Internet — Tags: , — martin @ 7:18 am

Da habe ich mich auf $MAILINGLISTE in eine schöne Schlacht reinziehen lassen. Die Grundaussage war ein bei irgendeinem hysterischen Panikblogger aufgeschnapptes Gerücht über den Datenschutz bei WhatsApp:

WhatsApp kopiert das Adreßbuch von Deinem Handy. Wen Du es nutzt, bist Du ein Idiot, der seine gesamten Adreßbuchdaten irgendeiner amerikanischen Firma in den Hals wirft.

Bleiben wir doch mal bei dem was wir aus erster Hand wissen und in Erfahrung bringen können:

  • WhatsApp ist ein plattformübergreifend (iPhone, Android, Symbian, Blackberry) verfügbares Chatprogramm fürs Handy, bei dem der Chatpartner über seine Handynummer adressiert wird.
  • WhatsApp bestätigt die eigene Handynummer per SMS, damit man mitmachen darf.
  • Die FAQ beantwortet die Frage danach, warum WhatsApp die Handynummer benötigt, wie folgt: “Weil sie zur Adressierung verwendet wird.” – Doh. Captain Obvious läßt grüßen. 😉
  • WhatsApp stellt innerhalb der WhatsApp-Applikation eine Liste von potentiell interessanten Kontakten zusammen, indem es irgendwie(tm) ermittelt, ob die Kontakte aus dem Adreßbuch ebenfalls WhatsApp nutzen.
  • Die Privacy Notice von WhatsApp weist ausdrücklich darauf hin, daß der Name zur eigenen Telefonnummer, der auf der Gegenseite angezeigt wird, dort aus dem lokalen Telefonbuch gezogen wird. (Das kann man anhand von Schreibfehlern leicht bestätigen.)
  • Regelungen hinsichtlich werblicher Nutzung (opt-out oder opt-in), Weitergabe an Dritte (nein), an Strafverfolger (ja), im Konkursfall (ja), werden in USA-üblicher Art abgehandelt, ohne irgendwelche Auffälligkeiten.
  • Die Privacy Notice weist generell auf einige allgemeine Themen hin, wie z.B.: “Wenn Du eine Telefonnummer (z.B. vom Festnetz) in Deine Statusmeldung schreibst, kann diese jeder sehen, der Deine Handynummer kennt, und sie ggf. sogar aufschreiben.”
  • WhatsApp ist kein 100% kostenloser Service, sondern beim Kauf bzw. im Betrieb werden Zahlungen fällig.

Theoretisch könnte man mit WhatsApp seine Kontakte adressieren, indem man die jeweilige Telefonnummer des Partners eingibt. WhatsApp stellt aber direkt nach dem Start eine Liste von Kontakten zusammen, die es ebenfalls nutzen. Ich nehme an, daß es bei den Datenschutzgerüchten um genau diese Zusammenstellung geht.

Klar ist, daß die Zusammenstellung der Kontaktliste irgendwie durchgeführt werden muß, indem ein Abgleich aller im eigenen Telefonbuch eingetragenen Telefonnummern mit dem Anbieter durchgeführt wird. Dieser erwähnt aber weder in der Privacy Notice noch in der FAQ, daß Telefonnummern Dritter übertragen werden.

Technisch ist ein solcher Abgleich dennoch möglich, indem etwa Hashes (Prüfsummen) der Telefonnummern abgeglichen werden, ohne daß die Telefonnummern selbst an WhatsApp übertragen werden. Da es keine Erwähnung gibt, will ich annehmen, daß ein solches Verfahren zum Einsatz kommt. Aber auch dazu ist natürlich Zugriff aufs Adreßbuch erforderlich.

Wer ausgeprägte Datenschutzbedenken hat, muß sich bei Zugriffen auf seine Adreßdaten in jedem Fall fragen, ob er der jeweiligen Applikation vertrauen will. Hacks, Exploits, CIA-Backdoors, und daß wir im Hintergrund einfach an den Nutzungsbedingungen vorbei verarscht werden, ist natürlich alles denkbar, aber wir betrachten hier die “zugesicherte” Funktionalität des Programms.

Man sollte sich des weiteren vor Augen führen, daß WhatsApp an jedem Nutzer bares Geld verdient. Die Frage “Verdienen die eigentlich ihr Geld irgendwie zu meinen Lasten?” mit damit verbundenen düsternen Vermutungen kann hier also entfallen. Wohlgemerkt im Gegensatz zu Facebook, Google und Twitter.

Im Fall von WhatsApp gestaltet sich die Lage aus meiner Sicht so:

Es wird nirgends ausdrücklich darauf hingewiesen, daß Adreßbuchdaten übertragen werden. Erwiesen und von WhatsApp dokumentiert ist aber, daß auf Empfängerseite die Zuordnung eines Namens zur Rufnummer aufgrund des lokalen Adreßbucheintrags vorgenommen wird. Es ist daher unwahrscheinlich, daß die Applikation mehr tut, als auf Verdacht Telefonnummern von Adreßbucheinträgen gegen einen zentralen Server abzuprüfen, um zu ermitteln, ob dahinter ebenfalls ein WhatsApp-Nutzer steckt.

In der Privacy Notice von WhatsApp ist jedoch mit keinem Wort erwähnt, daß Telefonnummern Dritter übertragen werden. Da ein Abgleich z.B. mit Hilfe von Prüfsummen technisch möglich ist, ohne die Telefonnummer selbst zu übertragen, ist es wahrscheinlich zumindest denkbar, daß auch keine Übertragung stattfindet.

(Nachtrag, 9. Juni 2011: WhatsApp stellt in der Privacy Notice sehr wohl klar, daß es die Telefonnummern der Gesprächspartner benötigt, mit denen man kommunizieren will. Aus dieser vollkommen offensichtlichen Feststellung läßt sich aber wiederum nicht ableiten, daß alle Telefonnummern aus dem Adreßbuch im Vorhinein an WhatsApp übertragen werden.)

Weitergehende Aussagen wären vermutlich nur möglich, indem man den Sourcecode der Software auf den Datenschutzaspekt hin auditieren würde. Die Möglichkeit, daß WhatsApp uns alle hinters Licht führen könnte, besteht. Aber diesen Vorbehalt muß man letztlich bei jeder Software haben, die man auf dem Handy ausführt.

Mein Fazit, das ich aus diesen Beobachtungen gezogen habe, ist, daß ich glaube, WhatsApp nutzen zu können, ohne Schuldgefühle wegen der Daten meiner Kontakte im Adreßbuch haben zu müssen.

Update, 18. Juni 2011: Siehe auch: WhatsApp: Protokollanalyse

June 8, 2011

IPv6 am Hochtechnologiestandort. Bestandsaufnahme.

Filed under: Internet — Tags: — martin @ 5:40 pm

Anläßlich des heutigen “World IPv6 Day” habe ich mir mal die Mühe gemacht, nachzuschauen, wie es denn so um die IPv6-Unterstützung am Standort Deutschland aussieht. Schließlich sind wir hierzulande ja absolut führend in allem. Und so.

DAX

Der naheliegendste Startpunkt für meine kleine Exkursion waren die Unternehmen aus dem DAX, dem deutschen Aktienindex. Hier habe ich in Handarbeit die folgenden Adressen ausprobiert und ergoogelt, bei denen es sich um die Haupt-Konzernseiten zu handeln scheint. Für diese habe ich dann versucht, im DNS einen sogenannten “AAAA”-Record zu finden, der für die IPv6-Unterstützung nötig gewesen wäre:

www.adidas.com, www.allianz.de, www.basf.com, www.bayer.de, www.beiersdorf.de, www.bmw.de, www.commerzbank.de, www.daimler.com, www.db.com, deutsche-boerse.com, www.telekom.de, www.eon.de, www.fmc-ag.de, www.fresenius.de, www.heidelbergcement.com, www.henkel.de, www.infineon.com, www.k-plus-s.com, www.the-linde-group.com, www.lufthansa.com, www.man.de, www.merck.de, www.metro24.de, www.munichre.com, www.rwe.de, www.sap.com, www.siemens.com, www.thyssenkrupp.com, www.volkswagenag.com

Das doch etwas negativ (zumindest bei SAP hatte ich mir mehr erhofft) überraschende Ergebnis: Keine dieser Seiten hatte IPv6-Unterstützung. (Ob es hierfür “gute” Gründe gibt, wie z.B. fehlende IPv6-Unterstützung bei Akamai und anderen CDNs, habe ich nicht hinterfragt.)

Autohersteller

Unter Rückbesinnung auf die deutschen Tugenden habe ich mich dann mal den Automobilherstellern zugewendet, mit den Domains:

www.audi.de, www.bmw.de, www.opel.de, www.mercedes-benz.de, www.porsche.com, www.volkswagen.de, www.wiesmann.de, www.maybach-manufaktur.com

Ich weiß, daß bei Automobilherstellern hinter verschlossenen Türen unter den Ingenieuren eine überwältigende Technikbegeisterung herrscht, aber leider handelt es sich auch hier um einen Totalausfall beim Thema IPv6.

Telekom

Im Lauf des Tages wurde dann die Erkenntnis auf Twitter herumgereicht, die Deutsche Telekom wäre beim “World IPv6 Day” dabei. Daraufhin habe ich die folgenden Domains angeschaut:

www.telekom.de, www.telekom.com, www.t-online.de, www.t-mobile.de, www.t-systems.de

Von diesen hatte nur eine einen IPv6-Record, und das war www.t-online.de mit der Adresse 2003:2:2:40:62:153:159:92.

Ein Tippgeber aus dem Unternehmen machte mich dann noch auf die folgenden Exoten aufmerksam:

www.wetter.info, www.videoload.de, www.erotic-lounge.com

Diese sind, wie auch t-online.de, mit IPv6 im AS3320 der Deutschen Telekom AG (2003:0000::/20) gehostet.

Mobilfunkprovider

Hier hatte ich mir die folgenden Adressen zusammengestellt:

www.vodafone.de, o2online.de, www.eplus.de, www.base.de

Als einziges bietet hier tatsächlich o2online.de IPv6 mit der Adresse 2a02:3028:0:10::10 an.

Atomkonzerne

Fast schon eine Verzweiflungstat, mit den folgenden zusätzlichen Mitspielern, die nicht von der DAX-Liste abgedeckt waren:

www.enbw.de, www.vattenfall.de

Beide negativ. Okay, wo das Geschäft mit 40 Jahre alten AKWs gemacht wird, darf man keine technologische Führerschaft außerhalb der Kernkompetenzen erwarten.

Shoppingseiten

Na gut, das Auflisten der wichtigsten Shoppingseiten ist jetzt wiederum keine meiner Kernkompetenzen. Bei

www.amazon.de, www.hse24.de, www.neckermann.de, www.otto.de, www.zalando.de

war auf jeden Fall von IPv6-Unterstützung nichts zu sehen.

Bundesrepublik Deutschland

Zum Abschluß noch ein paar Institutionen der Bundesrepublik Deutschland:

www.bundesregierung.de, www.bundeskanzlerin.de, www.bundespraesident.de, www.bundestag.de, www.bmwi.de, www.bmbf.de

Deutschland wäre so gern ein Standort der Hochtechnologie, man wäre so gern führend. Aber diese Führerschaft wird offenbar nur ungern angenommen, wenn sie sich nicht gerade auf jungsteinzeitliche Technologien wie den Verbrennungsmotor und das Atomkraftwerk beschränkt.

Keine der genannten Domains hatte IPv6-Unterstützung.

Gerade vom exemplarisch ausgewählten Ministerium für Bildung und Forschung sowie dem Ministerium für Wirtschaft und Technologie hätte ich mehr erwartet.

Fazit

In Deutschland ist der “World IPv6 Day” in diesem Moment fast vorbei. Er hat vor allem für die Presse und zahllose andere mit IPv4-NAT aufgewachsene Spätzünder dazu hergehalten, die Datenschutzapokalypse für den Fall der flächendecken Einführung von IPv6 herbeizureden. An den allermeisten Unternehmen ist er aber spurlos vorbeigegangen.

Hoffnung machen mir persönlich die Telefongesellschaften und Mobilfunkprovider. Sie wären diejenigen, die auf dümmlich-schmutzige Weise davon profitieren könnten, ihre Kunden für immer hinter obskuren NAT-Konstrukten vom Internet wegzufiltern. Und dennoch sind unter ihnen einige der wenigen, die bereits jetzt mit IPv6 an die Öffentlichkeit gehen.

Besonders positiv fiel hier O2 auf, die offensiv IPv6 auf der Homepage einsetzen. Die Deutsche Telekom sollte da ruhig nachziehen und einen etwas progressiveren Umgang mit der Technik pflegen, die sie ja offensichtlich schon ganz gut beherrscht.

Older Posts »

Blog at WordPress.com.