blog@netplanet

WLAN-Netzwerke sind eine coole Sache. Gerade auf Barcamps. Und dabei stört meist noch nicht mal, dass gerade auf solchen “nerdigen” Unkonferenzen die aufgebauten WLAN-Netzwerke schwer unter Last stehen und schon die Netzplanung für eine kleinere Veranstaltung recht anspruchsvoll sein kann. Die hohe Zahl an Geräten ist auch recht einfach zu erklären: Zwei WLAN-fähige Gerätschaften sind mit Smartphone und Laptop fast schon normal und nicht wenige Nutzer bringen es auf drei, vier oder gar mehr WLAN-fähige Geräte. Mal eben einen Access Point hinstellen, um einen WLAN-Hotspot aufzubauen, ist da nicht. Da braucht es schon segmentierte Netze.

Über was sich allerdings relativ wenig Nutzer Gedanken machen, ist die Übertragungssicherheit. Bei offenen WLAN-Netzwerken wird in der Regel nicht mit Verschlüsselung gearbeitet, um das Benutzen des WLAN-Netzwerks zu vereinfachen. Das bedeutet allerdings, dass Übertragungen von und zum Access Point so offen sind, wie Postkarten. Schneidet ein Nutzer einfach mal den Datenverkehr im Äther mit, sind Zugangsdaten, Passwörter und vertrauliche Informationen offen, wenn der Einzelne nicht mit einer optionalen Verschlüsselung seine Übertragungen absichert, beispielsweise durch die Nutzung sicherer Kanäle per SSL oder einem VPN. Letzteres wäre der Königsweg: VPN aufbauen und den gesamten Übertragungsweg absichern, dann spielt auch das offene WLAN-Netzwerk keine Rolle.

Zwar können die meisten Endgeräte (selbst Smartphones) heutzutage als VPN-Client tätig werden – sogar das iPhone – allerdings scheitert es meist daran, dass es an einem VPN-Endpunkt fehlt, der idealerweise im eigenen Betrieb oder zu Hause steht. Es gibt zwar kommerzielle Dienste, die VPN-Endpunkte anbieten, aber im Grunde genommen höhlt das jede Sicherheitsphilosophie schon wieder aus.

Hat mal also kein VPN, muss man zuschauen, wie man seine Dienste auf verschlüsseltem Wege nutzt. Bei HTTP, IMAP, SMTP und POP3 ist das theoretisch alles kein Problem, hier gibt es verschlüsselte Varianten, sofern die Gegenstelle mitspielt. Tja, sofern. Bei E-Mail kann man da ja durchaus mit seinem ISP diskutieren, aber bei HTTP und einem Web-2.0-Dienst ist man darauf angewiesen, dass der Diensteanbieter auch HTTPS anbietet. Twitter und Facebook, um bei zwei größeren Anbietern zu testen, tun das – hier kann man die Portale auch via “https://” erreichen.

Alles kein Problem, wenn die Dienste direkt im Browser aufgerufen werden, denn dort hätte man die Wahl, einfach HTTPS zu verwenden. Die wenigsten Clients und Apps bieten das jedoch. Die meisten Twitter- und/oder Facebook-Clients bieten erst gar keine Einstellmöglichkeit für den API-Zugriff hinsichtlich HTTPS und das bedeutet, dass die meisten Clients unverschlüsselt mit den jeweiligen Diensten kommunizieren. Und das bedeutet, dass Zugangsdaten für die jeweiligen Dienste bzw. Cookie-Authentifizierungen unverschlüsselt über die Luftschnittstelle wandern, wenn das WLAN-Netzwerk offen ist.

Was tun? In solchen Umgebungen entweder tatsächlich den eigenen Datenverkehr über einen VPN-Tunnel absichern oder lieber auf das WLAN-Netzwerk verzichten und auf GSM/UMTS umschwenken. Genau genommen ist auch die Verschlüsselung im GSM-Standard nicht wirklich (mehr)  frei von Fragwürdigkeiten, allerdings besser als gar nichts.

Nun ist eine automatische Gesichtserkennung weitgehend langweilig, wenn das Bildmaterial aus Familienfotos besteht. Wie Mami, Papi, Oma, Opa und Tantchen aussehen, dürfte für die restlichen Familienangehörigen weitgehend klar sein.

Wohingehend eine automatische Gesichtserkennung hochinteressant wird, ist bei Bildern, auf denen viele Menschen sind. Ich habe Picasa spaßeshalber auf die rund 3.000 Fotos losgelassen, die derzeit auf meiner Festplatte liegen.

Wichtiger Vorabhinweis für Freund und Feind: Ich teste die Gesichtserkennung von Picasa lokal auf meinem Rechner und werde weder die betreffenden Bildersammlungen, noch die durch Picasa erstellten Metadaten ins Internet hochladen oder weiter verarbeiten.

Um was geht es eigentlich?

Picasa ist eine kostenlose Bildverwaltungssoftware von Google. Was einst als einfach zu bedienende Software begann, ist in der Zwischenzeit ein ausgewachsenes Programm, mit dem man auch viele tausend Bilder in verschiedensten Bildformaten und selbst auch RAW-Formate von Kameras übersichtlich sortieren kann. Neben dem Sortieren gibt es auch Möglichkeiten, Bilder automatisch zu korrigieren und neben den üblichen Dingen wie Helligkeit oder Kontrast beispielsweise auch “rote Augen”. Damit das schon funktionieren kann, muss Picasa logischerweise menschliche Gesichter eben als menschliche Gesichter erkennen können.

Mit der Version 3.6 hat Picasa eine weitergehende automatische Gesichtserkennung implantiert bekommen, die erheblich mehr kann – nämlich das Erkennen von Gesichtern und das Gruppieren von offensichtlich gleichen Gesichtern in virtuelle Alben, die dann benannt werden können.

Wie funktioniert das?

Zunächst rattert Picasa, wenn man die automatische Gesichtserkennung starten möchte, los und braucht durchaus eine Weile: Bei 3.000 Fotos nudelte Picasa auf meiner 2-GHz-Dualcore-Maschine geschlagene 90 Minuten, immerhin sieht man die ersten Ergebnisse jedoch schon nach den ersten Bildern.

Diese Ergebnisse sehen zunächst recht unspektakulär aus (die Gesichter habe ich, bis auf meines, unkenntlich gemacht). Picasa zeigt in Vorschaubildern die Gesichter an, die es in Fotos erkennen konnte:

Unter den einzelnen Bildern gibt es jeweils eine Textbox, in die der Name des Menschen eingetragen werden kann, der auf dem Bild erscheint. Gibt es den Namen noch nicht, kann ein neuer Eintrag der Personenverwaltung von Picasa angelegt werden:

Und schon hier wartet eine erste Fußfalle, mit der man fotografierte Menschen schön durchsuchbar ins Internet setzen kann. Die kleine, versteckte Funktion auf der rechten Seite namens “Mit Kontakten und Webalben synchronisieren” ermöglicht es nämlich einem so markierten Personeneintrag, dass dieser beim Hochladen von Bildern offensichtlich in das Picasa-Webalbum des Benutzers mitwandern darf. Hat man also schön ein Bild mit einem Gesicht und dieses Gesicht brav mit Vorname und Name versehen, wandert beim Hochladen des Bildes ins Webalbum auch gleich die Personeninformation mit, wenn dies in den Optionen nicht deaktiviert wird.

Doch es geht noch besser.

Ich hatte beispielsweise ein Gesicht auf drei Bildern erfolgreich identifiziert. Also stand in der Personenübersicht auch der Name mit einer nachfolgenden Zahl “3″. Nun war in der Sammlung der unbenannten Bilder das Gesicht nochmal vertreten. Offensichtlich hatte es Picasa nicht automatisch erkennen können. Ich fügte dieses Bild manuell dem Personenalbum zu, der Zähler stieg aber nicht auf vier, sondern auf sechs. Tatsächlich hatte ich also das Gesicht auf einem Bild identifiziert, Picasa hatte aber offensichtlich dieses unbekannte Gesicht wiederum auf zwei weiteren Bildern erkannt.

Picasa arbeitet nämlich schon während des Sammelprozesses daran, Gesichter zu gruppieren, die aber nicht alle auf der Seite der unbenannten Gesichter gezeigt werden. Anders gesagt: Wird ein Gesicht mit Namen versehen, gilt das nicht nur für dieses eine Bild, sondern möglicherweise auf einen Schlag auch für eine Reihe von weiteren Bildern, auf denen Picasa das gleiche Gesicht erkannt hat. Hat man also beispielsweise schon einen Hans Mustermann identifiziert und den Personenkontakt angelegt und erscheint auf der Seite mit den unbenannten Fotos noch ein Foto dieses Herrn Mustermannes, das Picasa nicht automatisch erkennen konnte, dann kann man dort dieses Bild benennen und zum Personenkontakt hinzufügen, sieht aber nicht sofort, dass da vielleicht noch mehrere Bilder folgen, die Picasa mit dem fraglichen Bild gruppiert hat.

Wo ist jetzt das Problem?

Das Problem ist mehrschichtig.

1. Die Gesichtserkennung ist erschreckend gut. Auf einigen Bildern einer Sportveranstaltung, auf denen ich die Tribüne mit im Bild hatte, hat Picasa gleich dutzendweise Gesichter erkannt und zur Erkennung vorgeschlagen. Da die Bilderkennung offensichtlich immer besser wird, je mehr Gesichter pro Person vorhanden ist, identifiziert Picasa bekannte Gesichter immer schneller und zuverlässiger im Bildbestand. Bei Bildern, die dann später möglicherweise über Webalben veröffentlicht werden, kann man richtig viele Personeninformationen veröffentlichen.
2. Durch die weit gehende Gesichtserkennung, die in der Ansicht zur Identifizierung von nicht erkannten Personen unter Umständen eine Reihe von Bildern nicht anzeigt, auf denen das identifizierte, aber zumindest schon mit erkannten Gesichtern, die auf weiteren Fotos zu sehen sind, kann ein Benutzer eine Person auf einen Schlag auf einer Vielzahl von Bildern identifizieren, ohne diese im einzelnen zu sehen.
3. Ein unerfahrener Benutzer, der in Picasa automatisch Gesichter erkennen lässt, kann problemlos andere Menschen auf seinen Fotos identifizieren und diese so erstellten Metadaten in sein öffentlich zugängliches Webalbum hochladen, ohne dass er sich dem wirklich bewusst ist, weil die Voreinstellungen dies grundsätzlich erlauben. Dass die identifizierten Personen davon logischerweise nichts mitbekommen, muss man nicht weiter erwähnen.
4. Hochgeladene Bilder mit Personeninformationen sind, wenn das Webalbum öffentlich ist, entsprechend in den Webalben suchbar.

Wie kann ich meine Picasa-Installation bändigen?

Das geht, je nach Stärke des Holzhammers, auf verschiedene Weisen:

• Die automatische Gesichtserkennung lässt sich zentral in den Picasa-Optionen (im Menü “Tools“) ausschalten, nämlich auf der Registerkarte “Namens-Tags“. Ist die Funktion deaktiviert, können Bilder nur noch manuell mit Personeninformationen versehen werden, Picasa selbst tut das dann nicht mehr automatisch.
• Wer auf die Bilderkennung nicht verzichten will, aber zumindest sicherstellen möchte, dass Personeninformationen nicht in Webalben in die Öffentlichkeit getragen werden, kann, ebenfalls in den Picasa-Optionen, auf der Registerkarte “Webalben” den Haken bei “Namens-Tags: In Foto-Uploads einschließen” den Haken herausnehmen.

Ein Sicherheitsproblem?

Eher nicht. Eher ein Privacy-Thema, das dank zu lascher Voreinstellungen schnell zu peinlichen Ergebnissen führen kann. Man könnte daran arbeiten.

Was für einen effektiven Stellenwert hat die lückenlose Überwachung mit Kameras in sicherheitsrelevanten Umgebungen genau? Offensichtlich gar keinen. Das offenbart die Nachuntersuchung des Vorfalles am Münchner Flughafen und dem Passagier mit dem angeblich sprengstoffverseuchten Laptop. Der ist nämlich am Ende gar nicht geflüchtet, sondern laut der Auswertung der Überwachungskameras danach in einen Duty-Free-Shop und in ein Restaurant gewandert, unmittelbar in der Nähe der Sicherheitskontrollen.

Mit dem Skandal – denn nichts anderes ist die Sicherheitspanne wirklich – am Münchner Flughafen hat sich genau das gezeigt. An Orten, in denen die Präsenz von Sicherheitspersonal immer weiter aufgelöst wird und durch die Illusion einer angeblich funktionierenden, technischen Überwachung ersetzt wird, geht die Sicherheit so flöten, dass am Ende vermutlich jeder Halbaffe hineinspazieren kann. Abschrecken lassen sich nur noch die Idioten, der echte Terrorist pinkelt sich vor Glück in sein Höschen. Oder sprengt es gegebenenfalls dann später im Flugzeug.

Bis jetzt wackelt noch kein Posten eines Verantwortlichen. Es wird Zeit und sei es nur zur Abschreckung. Das macht man ja immerhin vortrefflich mit den Überwachungskameras vor.

Als ich die ersten Meldungen über den Vorfall am Münchner Flughafen gehört habe, in denen stand, dass die Flughafen-Security am Münchner Flughafen möglicherweise einen Sprengstoffanschlag verhindern konnte, las sich das noch überraschend. Nun liest es sich eher schlapp, wenn man sich das mal anschaut, was für eine peinliche Nummer das war.

Es spaziert ein Flugpassagier in den Check-In am Flughafen. Er hat offensichtlich sein Ticket und seinen Personalausweis am Eingang gezeigt, denn sonst wäre er nicht bis zum zweiten Schritt gekommen, der Personen- und Handgepäckkontrolle. Der Passagier hatte ein Notebook dabei, das nochmal gesondert kontrolliert werden sollte.

An vielen Flughäfen ist die Kontrolle eines Notebooks relativ simpel – Notebook auspacken und gesondert aufs Röntgenband legen. Ist das Sicherheitspersonal nicht ganz so gelangweilt, hat man das Notebook einmal zu starten, so als ob ein Windows-Startschirm ein perfekter Indikator dafür wäre, dass in einem Notebook nicht noch zusätzlich ein kleines Päckchen Plastiksprengstoff eingepackt wäre (beispielsweise bei größeren Notebooks im Slot für eine eventuell zweite Festplatte oder einfach im Slot eines ausgedockten CD-ROM-Laufwerks).

Die einzig korrekte Prüfmethode ist tatsächlich ein Test nach eventuellen Sprengstoffpartikeln. Dazu wird mit einer Art Staubsauger das Notebook abgesaugt, die eingesogene Luft durch ein Filterpapier geleitet und dieser Filter in einem Analysegerät getestet. Ein Vorgang, der ca. 3 bis 5 Minuten dauert und der darüber hinaus auch noch zusätzlich Geld kostet und vom Sicherheitsunternehmen, das dies vornimmt, in Rechnung gestellt wird.

Offenbar kam man beim betreffenden Passagier mit seinem Notebook auch schon soweit und die Analyse schlug an. Das muss erst einmal noch nichts heißen, da solche Analysen verhältnismäßig breit greifen und beispielsweise schon Probleme anzeigen, wenn jemand nach einem Feuerwerk mit schwarzpulverkontaminierten Händen am Notebook arbeitet und diese Rückstände einige Tage und Wochen am Gerät verbleiben können. Im Prinzip sagt so eine Analyse auch nur aus, dass das betreffende Gerät und dessen Besitzer nochmal genauer unter die Lupe genommen werden müssen.

Und genau hier hat man in München kläglich versagt, denn der Passagier ist hastig weitergegangen. Ursprünglich hat er in den ersten Meldungen die Flucht ergriffen, inzwischen ist man sich gar nicht mehr ganz so sicher, ob der Passagier nicht eventuell aufgrund eines kurz bevorstehenden Fluges die Nase voll hatte und die Sicherheitsprüfung einfach auf seine eigene Faust hin beendet hat. Dann wäre das tatsächlich ein Skandal, denn was nützt eine Sicherheitsüberprüfung, wenn jeder, der möglicherweise verdächtig ist, einfach so weitergehen kann?

Vor allem zeigt es eine Sache: Die immer stärkere Dezentralität der Flughafen-Security erzeugt immer bizarrere Blüten. Der Staat vergibt seine eigentlich von ihm auszuführende Arbeiten immer weiter an Unternehmer und Subunternehmer, der Sicherheitsvorgang ist eine Frage der Preisklasse geworden und dann passieren eben auch mal so Dinge, dass keiner so recht weiß, was da eigentlich passiert. Die eigentliche, höchst spannende Frage wird sein, wer die Zeche  zahlt, wenn am Ende doch noch der betreffende Passagier gefunden wird.

Absurdistan ist gar nicht so weit weg, es beginnt überall da, wo der Staat anfängt, sich zurückzuziehen und mit angeheuerten Sicherheitsunternehmen, deren Mitarbeiter Hunderlöhne verdienen und Stundenzeiten ansammeln, die kein Beamter jemals ansammeln würde, versucht, die entstehende Sicherheitslücke auszufüllen. Auf der Strecke bleibt: Die Sicherheit. Aber immerhin wissen wir immer häufiger dann später, wenn möglicherweise dann tatsächlich der Sprengstoff hochgeht, anhand einer der tausendfach installierten Kameras und deren Aufzeichnungen, welche Krawatte der Terrorist hatte.

Dass sich ein Arbeitnehmer mit allzu offensiv zelebriertem Lesen der gedruckten Tageszeitung während der Arbeitszeit nicht unbedingt Freundschaften in der Geschäftsführung stärkt, ist unschwer nachzuvollziehen.

Enterprise-Lösungen von Anti-Viren-Lösungen haben neben dem reinen Virenscannen noch zusätzliche Absicherungsfunktionen, beispielsweise das Blocken von problematischen Websites. Solche Listen kann der Administrator bestücken, in der Regel werden die Inhalte aber von den Herstellern selbst bereitgestellt. So ist es für den Administrator möglich, beispielsweise Websites mit Malware, Pornografie, Sozialen Netzwerken etc. zu filtern. Davon kann man halten, wie viel man möchte – wenn der Arbeitgeber verfügt, dass bestimmte Inhalte geblockt werden sollen und das private Surfen eh untersagt ist, ist das zu akzeptieren.

Als Administrator in unserem Netz schaue ich mir gelegentlich mal an, was unsere Anti-Viren-Lösung so meldet. Und siehe da: Sie meldet aktuell eine Bedrohung, gemeldet vom URL-Filter (Screenshot für eine Großansicht anklicken):

Unter anderem gemeldet vom TrendMicro-Client auf meinem Rechner. Das weckt natürlich meinen Fahndungsinstinkt und ich schaue mal, was mein Client so loggt. Und es überrascht auf den ersten Blick (auch hier ein Klick auf den Screenshot für eine Großansicht):

Hübsch. Offensichtlich Pornografie, abgerufen von meinem Rechner. Sowas hebt die Stimmung in einem Beschäftigungsverhältnis ungemein. Für Arbeitnehmer, die sehr strenge Regeln für die Internet-Nutzung einhalten müssen, unter Umständen ein Problem, wenn der Chef sich mal die Logs anschaut. Aber schauen wir uns mal den URL genauer an.

Vom Aufbau her sind das API-Aufrufe, also vermutlich Aufrufe, die von externen Websites initiiert werden. So was hat man schon, wenn man Badges von Anbietern auf seine Homepage pappt, Suchboxen von Suchmaschinenanbietern, eine Facebook-Meldungsbox usw. Und wenn man sich den Anbieter, der da im Log geblockt ist, anschaut (Vorsicht, wenn ein Virenscanner läuft…), so sieht das schon weniger dramatisch aus, handelt es sich doch um eine eher mäßige Singlebörse. Dennoch, verniedlichen wir nichts: Wenn ein Arbeitgeber unbedarft an das Thema herangeht oder einen Mitarbeiter, der in die Falle getreten, auf dem Kieker hat, könnte das Ärger geben.

So, und wer verbrockt mir den untergejubelten Reputationsverlust? Wer sich im obigen Screenshot den URL näher anschaut, sieht recht schnell, wer die Lorbeeren für die Vermittlung kassiert, nämlich in diesem Fall die Pforzheimer Zeitung, die auf ihrer Website rechts im unsäglich langen Werbeblock ganz unten, gefühlte 40.000 Pixel tief, “Singles aus der Region” feilbietet (die Gesichter habe ich ausradiert):

Wohlgemerkt: Man muss gar nicht das Formular ausfüllen und eine Suchanfrage nach Singles auslösen, um im Scanner-Radar aufzufallen, es genügt schon vollkommen, einfach mal ahnungslos die Tageszeitung anzusurfen. Die Voreinstellung des API-Aufrufes suggeriert sogar auch noch sexuelle Vorlieben, nämlich dass ich angeblich Männer oder Frauen suche, die zwischen 20 und 44 Jahre alt sind.

[Update] Es ist mir erst bei näherer Evaluation aufgefallen, dass der Shrewsoft VPN-Client den Pre-Shared-Key (PSK), also das VPN-Zugangspasswort, in die Registry schreibt und dann auch noch in Klartext. Das ist leider ganz mies und eigentlich nur erträglich, wenn man die gesamte Festplatte des betreffenden Rechners verschlüsselt, also beispielsweise mit Truecrypt oder dem Windows Bitlocker (bei Business- oder Ultimate-Versionen von Vista und Windows 7). In allen anderen Szenarien: Finger weg, zumindest derzeit. Ich habe dem Programmierer des VPN-Clients mal in die Mailingliste geschrieben.

Seit genau neun Monaten mache ich nun schon mit der Fritzbox herum, endlich einmal ein VPN zu bewerkstelligen, so dass ich von “draußen” mit meinem Notebook und einem vernünftigen IPSec-abgesicherten VPN-Tunnel in mein Netz zu Hause zugreifen kann. Während ich an sich alle notwendigen Zutaten hatte, scheiterte es daran, dass die Dokumentation der VPN-Funktionalität leider nicht sehr gut und ich jedes Mal nach mehreren Stunden schlicht aufgegeben habe. Jetzt aber tut es, hier eine Anleitung:

1. Der wichtigste Punkt ist die Klärung, wie die Fritzbox aus dem Internet erreicht werden kann. Ist man bei einem besseren DSL-Anbieter, gibt es eine feste IP-Adresse, bei den Discountern gibt es IP-Adressen mitunter nur dynamisch zugewiesen. Hier muss man sich mit einem Dyn-DNS-Dienst wie beispielsweise “dyndns.org” behelfen. In aktuellen Firmware-Versionen unterstützt die Fritzbox Dyn-DNS-Dienste aktiv, die Einstellungen finden sich unter “Einstellungen”, dort unter “Internet”, “Freigaben” und der Registerkarte “Dynamic DNS”. Wer also von seinem DSL-Anbieter nur eine dynamische IP-Adresse bekommt, kümmert sich erst einmal um dieses Thema.
2. Nun die Firmware der Fritzbox aktualisieren, falls noch nicht aktuell. VPN-Funktionalität gibt es für die Fritzboxen 7270, 7170, 7240, 3270, 2170 und höchstwahrscheinlich auch in zukünftigen Fritzboxen. Die aktuellen Firmware-Version gibt es entweder durch das Servicemenü der eigenen Fritzbox oder auch über das AVM-VPN-Portal.
3. Als nächstes muss ein VPN-Zugangsprofil eingerichtet werden. Das kann man leider nicht direkt über die Fritzbox eingeben, sondern braucht dazu ein Programm namens “FRITZ!Fernzugang einrichten”. Das Windows-Programm herunterladen, installieren und ausführen. Mit diesem Programm werden dann einige Netzwerkparameter abgefragt, die angegeben werden müssen. Darunter unter anderem das verwendete IP-Adressnetz im LAN und die IP-Adresse bzw. den Hostnamen (bzw. auch den DNS-Namen über einen Dyn-DNS-Dienst).
4. Das Programm aus dem obigen Punkt erzeugt zwei Dateien, die man abspeichern sollte. Die Datei, die mit “fritzbox” beginnt, enthält die VPN-Einstellungen, die nun in die Fritzbox importiert werden müssen. Dazu in das Servicemenü der Fritzbox einloggen und im Startmenü auf “Fernzugang (VPN) klicken. Dort lässt sich nun das Profil auf dem lokalen Rechner auswählen und importieren. Ist der Import erfolgreich gewesen, erscheint das Profil unter “VPN-Verbindungen”.
5. Nun kümmern wir uns um den VPN-Client. Hat man ein 32-Bit-Windows, kann man getrost den AVM-eigenen VPN-Client nutzen, der vor allem die hübsche Annehmlichkeit mitbringt, dass der sehr einfach mit der anderen Datei konfiguriert werden kann, der unter Punkt 3/4 eingerichtet wurde. Also den Client installieren, Konfigurationsdatei importieren und loslegen. Sie haben ein 64-Bit-Windows? Nächster Punkt…
6. Dummerweise gibt es den AVM-eigenen VPN-Client nicht für 64-Bit-Windows-Versionen. Die 32-Bit-Version lässt sich nicht installieren und eine Anfrage an den AVM-Support kann man sich in der Sache auch sparen. Netterweise gibt es aber im Dickicht der vielen IPSec-Clients, die teilweise richtig viel Geld kosten, eine lohnenswerte Ausnahme: der Shrewsoft VPN Client. Den bekommt man auf der Shrewsoft-Download-Seite. Ich habe übrigens den letzten Release Candidate der zukünftigen Version 2.1.5 genommen, der ist schon hinreichend stabil.
7. Wer den Shrewsoft VPN-Client installiert hat, braucht jetzt nur noch eine Anleitung und die findet sich freundlicherweise auch auf dem AVM-VPN-Portal, hübsch mit Screenshots bebildert: Shrew Soft VPN Connect zur Fritzbox
8. Ergebnis: Funktioniert. Auf Anhieb.

Wieder ein halbes Wochenende mit ärgerlicher Kinderkacke in Sachen Signaturkarte verbracht. Und wieder scheiterte es an der Schlamperei, dass die schweizerische Firma OpenLimit grundsätzliche Dinge nicht lernt.

Also, meine SignTrust-Signaturkarte verliert am 31. Dezember 2009 ihre Gültigkeit. Das ist ein normaler Vorgang, da Signaturzertifikate nur eine definierte Gültigkeit haben. Aus diesem Grund hat mir SignTrust vor einigen Tagen eine Nachfolgekarte zugeschickt, die ein nachfolgendes Zertifikat beinhaltet

Problem: Die neue Signaturkarte funktioniert an meinem Bürorechner problemlos, zu Hause jedoch nicht. An beiden Rechnern ist ein funktionierender Kartenleser angeschlossen und an beiden Rechnern die Software “OpenLimit CC Sign” installiert, gleicher Versionsstand. Sowas hebt die Stimmung ungemein, da es keine sinnvolle Möglichkeit gibt, mit einer Fehlersuche anzusetzen, da leider auch die OpenLimit-Software eben nur meldet, dass die neue Karte nicht erkannt werden kann. Warum die Karte aber nicht erkannt werden kann, darüber schweigt die Software.

Der Teufel liegt im Detail: Die neue Signaturkarte beinhaltet nämlich nicht einfach nur einen neuen Satz an Zertifikaten, sondern die Karte beinhaltet auch ein neues Betriebssystem. Dieses Betriebssystem der Signaturkarten, die SignTrust verwendet, nennt sich “STARCOS” und war in meiner alten Signaturkarte auf dem Versionsstand 3. Die neue Signaturkarte bringt als Betriebssystem jedoch STARCOS 3.2 mit.

Und tatsächlich liegt hier der Hund auch begraben, denn die aktuelle Version von OpenLimit CC Sign konnte anfänglich mit STARCOS 3.2 nicht umgehen, was mit einem Patch zur STARCOS-3.2-Unterstützung geändert wurde. Das Dumme dabei ist nur, dass die Software vor dem Patch die Version 2.5.0.1 trägt und nach dem Patch ebenso – der Anwender ist also nicht in der Lage, zu überprüfen, ob seine Installation eigentlich STARCOS-3.2-fähig ist oder nicht. Warum nun die Version im Büro ohne Patch funktionierte? Nun, weil die Installation da erst zwei Wochen alt ist und der notwendige Patch ohne weitere Hinweise schon während der Installation eingespielt wurde.

Diesen Faux-Pas, den Versionsstand einer Software mit einem signifikanten Patch bzw. einer Funktionserweiterung nicht zu erhöhen und damit als Anwender nicht erkennen zu können, ob man nun eine STARCOS-3.2-Unterstützung hat oder nicht, hat bei OpenLimit leider Tradition, denn ich hatte ein ähnliches Problem schon vor fast genau einem Jahr beim OpenLimit-Support moniert, was auch mit der Rückmeldung, dass man dies an die zuständige Abteilung weitergeben wolle, beantwortete – leider offenbar ohne messbaren Erfolg.

In Sachen Programmiertechnik spätere Funktionserweiterungen und Patches einer Software nicht in einer höheren Versionsnummer zu führen, ist finsteres Mittelalter und eine Sache, die man im ersten Semester Informatik lernt.

Wer am Samstag unter Windows seinen Firefox angeschmissen hatte, hat sich möglicherweise über die Meldung gewundert, dass Firefox im Begriff war, zwei installierte Add-Ons zu deaktivieren.

Es handelt sich hierbei um eine Erweiterung namens “Microsoft .NET Framework Assistant 1.1”, die nichts anderes macht, als die installierte Version des .NET-Frameworks an den Webserver zu übermitteln und um das Plugin namens “Windows Presentation Foundation”, das immerhin schon etwas wichtiger ist, ebenfalls zum .NET-Framework gehört, und, in sehr einfachen Worten umfasst, einen Baukasten bereitstellt, um Benutzeroberflächen abzubilden.

Das Unniedliche an der Geschichte dieser zwei Module ist, dass sie Microsoft dem Firefox weitgehend ungefragt unterjubelt, wenn der Benutzer das .NET-Framework installiert oder aktualisiert, beispielsweise mit einem Service Pack. Installiert man das Framework bzw. das Service Pack, befinden sich diese beiden Module danach in der Firefox-Installation – ohne dass der Benutzer das irgendwie steuern könnte.

Hübscherweise ist Microsoft bei der Idee, diese beiden Module dem Browser unterzujubeln, kurzfristig offenbar den alten, herrschaftlich veranlagten Zeiten verfallen und hat gar nicht daran gedacht, dass ein Benutzer das vielleicht gern wieder deinstallieren würde: Die im Firefox implementierte Deinstallationsfunktion für Add-Ons wurde von Microsoft für diese beiden Add-Ons einfach außer Kraft gesetzt.

Dieser gequirlte Mist – von Seiten Microsofts für diese Aktion und auch von Seiten der Firefox-Macher für so einen architektonischen Schnittstellenpfusch – hat sich nun gerächt, da über diese Module eine aktuelle Sicherheitslücke des .NET-Frameworks ausgenutzt werden könnte. Und deshalb haben sich die Firefox-Macher nach Rücksprache (!) mit Microsoft dazu entschlossen, diese beiden Module, wiederum ungefragt, zu deaktivieren. Informiert hat natürlich keiner von beiden und so muss der geneigte Interessierte das entweder aus dem Heise-Ticker lesen oder dumm sterben.

Mal so die Frage am Rande, gerichtet an Microsoft und an die Firefox-Macher: Was glaubt ihr Helden eigentlich, wem der Computer hier auf dem Tisch gehört, auf dem ihr hier eure Schlampereien ein- und ausschaltet, wie euch gerade der Rotz aus der Nase tropft?

Bei der Zeitungsanzeige im heutigen Pforzheimer Kurier hat es sogar mir, der ja in Sachen EDV schon wirklich ganz Herden von Pferden hat kotzen sehen, geschmerzt:

Ich will gar nicht wissen, was für ein kleines Drama hinter diesem verlorenen USB-Stick steckt. Gegen solche Katastrophen hilft im voraus nur eine regelmäßige Datensicherung. Man glaubt nicht, wie schnell USB-Sticks kaputt- oder verlorengehen können.

Benutzer der Signatursoftware CC Sign des schweizerischen Herstellers OpenLimit sind etwas geplagt: Die an sich gar nicht so schlechte Software besitzt nämlich keinerlei Möglichkeit, nachzuprüfen, ob es ein Softwareupdate gibt. Und dabei ist gerade bei einer Signatursoftware, die offiziell für die Elektronische Signatur zugelassen ist, extrem wichtig, die jeweils aktuellste Softwareversion einzusetzen, da der Algorithmenkatalog der Bundesnetzagentur jährlich an die Anforderungen angepasst wird und Empfehlungen, bestimmte Algorithmen ab einem bestimmten Datum nicht mehr einzusetzen, dazu führt, dass Signaturen, die nach diesem Datum noch mit ausrangierten Algorithmen erstellt werden, potentiell eine geringere Beweisfähigkeit haben.

Den Versionssprung von CC Sign von der Version 2.1.6.3 auf nun 2.5 (2.5.0.1), der Anfang Juni vollzogen wurde, werden deshalb wohl wieder nur die wenigsten mitbekommen. Vom Funktionsumfang her ändert sich wenig. Der Algorithmenkatalog wird angepaßt, außerdem gibt es leichte Anpassungen am Aussehen und der Bedienung.

Für Besitzer eines Lizenzschlüssels einer 2.x-Version ist das Upgrade erfreulicherweise kostenlos.