Die Un-Security am Flughafen.

Als ich die ersten Meldungen über den Vorfall am Münchner Flughafen gehört habe, in denen stand, dass die Flughafen-Security am Münchner Flughafen möglicherweise einen Sprengstoffanschlag verhindern konnte, las sich das noch überraschend. Nun liest es sich eher schlapp, wenn man sich das mal anschaut, was für eine peinliche Nummer das war.

Es spaziert ein Flugpassagier in den Check-In am Flughafen. Er hat offensichtlich sein Ticket und seinen Personalausweis am Eingang gezeigt, denn sonst wäre er nicht bis zum zweiten Schritt gekommen, der Personen- und Handgepäckkontrolle. Der Passagier hatte ein Notebook dabei, das nochmal gesondert kontrolliert werden sollte.

An vielen Flughäfen ist die Kontrolle eines Notebooks relativ simpel – Notebook auspacken und gesondert aufs Röntgenband legen. Ist das Sicherheitspersonal nicht ganz so gelangweilt, hat man das Notebook einmal zu starten, so als ob ein Windows-Startschirm ein perfekter Indikator dafür wäre, dass in einem Notebook nicht noch zusätzlich ein kleines Päckchen Plastiksprengstoff eingepackt wäre (beispielsweise bei größeren Notebooks im Slot für eine eventuell zweite Festplatte oder einfach im Slot eines ausgedockten CD-ROM-Laufwerks).

Die einzig korrekte Prüfmethode ist tatsächlich ein Test nach eventuellen Sprengstoffpartikeln. Dazu wird mit einer Art Staubsauger das Notebook abgesaugt, die eingesogene Luft durch ein Filterpapier geleitet und dieser Filter in einem Analysegerät getestet. Ein Vorgang, der ca. 3 bis 5 Minuten dauert und der darüber hinaus auch noch zusätzlich Geld kostet und vom Sicherheitsunternehmen, das dies vornimmt, in Rechnung gestellt wird.

Offenbar kam man beim betreffenden Passagier mit seinem Notebook auch schon soweit und die Analyse schlug an. Das muss erst einmal noch nichts heißen, da solche Analysen verhältnismäßig breit greifen und beispielsweise schon Probleme anzeigen, wenn jemand nach einem Feuerwerk mit schwarzpulverkontaminierten Händen am Notebook arbeitet und diese Rückstände einige Tage und Wochen am Gerät verbleiben können. Im Prinzip sagt so eine Analyse auch nur aus, dass das betreffende Gerät und dessen Besitzer nochmal genauer unter die Lupe genommen werden müssen.

Und genau hier hat man in München kläglich versagt, denn der Passagier ist hastig weitergegangen. Ursprünglich hat er in den ersten Meldungen die Flucht ergriffen, inzwischen ist man sich gar nicht mehr ganz so sicher, ob der Passagier nicht eventuell aufgrund eines kurz bevorstehenden Fluges die Nase voll hatte und die Sicherheitsprüfung einfach auf seine eigene Faust hin beendet hat. Dann wäre das tatsächlich ein Skandal, denn was nützt eine Sicherheitsüberprüfung, wenn jeder, der möglicherweise verdächtig ist, einfach so weitergehen kann?

Vor allem zeigt es eine Sache: Die immer stärkere Dezentralität der Flughafen-Security erzeugt immer bizarrere Blüten. Der Staat vergibt seine eigentlich von ihm auszuführende Arbeiten immer weiter an Unternehmer und Subunternehmer, der Sicherheitsvorgang ist eine Frage der Preisklasse geworden und dann passieren eben auch mal so Dinge, dass keiner so recht weiß, was da eigentlich passiert. Die eigentliche, höchst spannende Frage wird sein, wer die Zeche  zahlt, wenn am Ende doch noch der betreffende Passagier gefunden wird.

Absurdistan ist gar nicht so weit weg, es beginnt überall da, wo der Staat anfängt, sich zurückzuziehen und mit angeheuerten Sicherheitsunternehmen, deren Mitarbeiter Hunderlöhne verdienen und Stundenzeiten ansammeln, die kein Beamter jemals ansammeln würde, versucht, die entstehende Sicherheitslücke auszufüllen. Auf der Strecke bleibt: Die Sicherheit. Aber immerhin wissen wir immer häufiger dann später, wenn möglicherweise dann tatsächlich der Sprengstoff hochgeht, anhand einer der tausendfach installierten Kameras und deren Aufzeichnungen, welche Krawatte der Terrorist hatte.

Zeitung lesen – und Reputation verlieren.

Dass sich ein Arbeitnehmer mit allzu offensiv zelebriertem Lesen der gedruckten Tageszeitung während der Arbeitszeit nicht unbedingt Freundschaften in der Geschäftsführung stärkt, ist unschwer nachzuvollziehen.

Enterprise-Lösungen von Anti-Viren-Lösungen haben neben dem reinen Virenscannen noch zusätzliche Absicherungsfunktionen, beispielsweise das Blocken von problematischen Websites. Solche Listen kann der Administrator bestücken, in der Regel werden die Inhalte aber von den Herstellern selbst bereitgestellt. So ist es für den Administrator möglich, beispielsweise Websites mit Malware, Pornografie, Sozialen Netzwerken etc. zu filtern. Davon kann man halten, wie viel man möchte – wenn der Arbeitgeber verfügt, dass bestimmte Inhalte geblockt werden sollen und das private Surfen eh untersagt ist, ist das zu akzeptieren.

Als Administrator in unserem Netz schaue ich mir gelegentlich mal an, was unsere Anti-Viren-Lösung so meldet. Und siehe da: Sie meldet aktuell eine Bedrohung, gemeldet vom URL-Filter (Screenshot für eine Großansicht anklicken):

Bedrohungsstatusmeldung in TrendMicro Worry-Free Business Security

Unter anderem gemeldet vom TrendMicro-Client auf meinem Rechner. Das weckt natürlich meinen Fahndungsinstinkt und ich schaue mal, was mein Client so loggt. Und es überrascht auf den ersten Blick (auch hier ein Klick auf den Screenshot für eine Großansicht):

URL-Filter-Log im TrendMicro Server Security Agent

Hübsch. Offensichtlich Pornografie, abgerufen von meinem Rechner. Sowas hebt die Stimmung in einem Beschäftigungsverhältnis ungemein. Für Arbeitnehmer, die sehr strenge Regeln für die Internet-Nutzung einhalten müssen, unter Umständen ein Problem, wenn der Chef sich mal die Logs anschaut. Aber schauen wir uns mal den URL genauer an.

Vom Aufbau her sind das API-Aufrufe, also vermutlich Aufrufe, die von externen Websites initiiert werden. So was hat man schon, wenn man Badges von Anbietern auf seine Homepage pappt, Suchboxen von Suchmaschinenanbietern, eine Facebook-Meldungsbox usw. Und wenn man sich den Anbieter, der da im Log geblockt ist, anschaut (Vorsicht, wenn ein Virenscanner läuft…), so sieht das schon weniger dramatisch aus, handelt es sich doch um eine eher mäßige Singlebörse. Dennoch, verniedlichen wir nichts: Wenn ein Arbeitgeber unbedarft an das Thema herangeht oder einen Mitarbeiter, der in die Falle getreten, auf dem Kieker hat, könnte das Ärger geben.

So, und wer verbrockt mir den untergejubelten Reputationsverlust? Wer sich im obigen Screenshot den URL näher anschaut, sieht recht schnell, wer die Lorbeeren für die Vermittlung kassiert, nämlich in diesem Fall die Pforzheimer Zeitung, die auf ihrer Website rechts im unsäglich langen Werbeblock ganz unten, gefühlte 40.000 Pixel tief, „Singles aus der Region“ feilbietet (die Gesichter habe ich ausradiert):

Screenshot einer eingebundenen Singlebörsen-Website

Wohlgemerkt: Man muss gar nicht das Formular ausfüllen und eine Suchanfrage nach Singles auslösen, um im Scanner-Radar aufzufallen, es genügt schon vollkommen, einfach mal ahnungslos die Tageszeitung anzusurfen. Die Voreinstellung des API-Aufrufes suggeriert sogar auch noch sexuelle Vorlieben, nämlich dass ich angeblich Männer oder Frauen suche, die zwischen 20 und 44 Jahre alt sind.

VPN mit der AVM Fritzbox 7270.

[Update] Es ist mir erst bei näherer Evaluation aufgefallen, dass der Shrewsoft VPN-Client den Pre-Shared-Key (PSK), also das VPN-Zugangspasswort, in die Registry schreibt und dann auch noch in Klartext. Das ist leider ganz mies und eigentlich nur erträglich, wenn man die gesamte Festplatte des betreffenden Rechners verschlüsselt, also beispielsweise mit Truecrypt oder dem Windows Bitlocker (bei Business- oder Ultimate-Versionen von Vista und Windows 7). In allen anderen Szenarien: Finger weg, zumindest derzeit. Ich habe dem Programmierer des VPN-Clients mal in die Mailingliste geschrieben.

Seit genau neun Monaten mache ich nun schon mit der Fritzbox herum, endlich einmal ein VPN zu bewerkstelligen, so dass ich von “draußen” mit meinem Notebook und einem vernünftigen IPSec-abgesicherten VPN-Tunnel in mein Netz zu Hause zugreifen kann. Während ich an sich alle notwendigen Zutaten hatte, scheiterte es daran, dass die Dokumentation der VPN-Funktionalität leider nicht sehr gut und ich jedes Mal nach mehreren Stunden schlicht aufgegeben habe. Jetzt aber tut es, hier eine Anleitung:

  1. Der wichtigste Punkt ist die Klärung, wie die Fritzbox aus dem Internet erreicht werden kann. Ist man bei einem besseren DSL-Anbieter, gibt es eine feste IP-Adresse, bei den Discountern gibt es IP-Adressen mitunter nur dynamisch zugewiesen. Hier muss man sich mit einem Dyn-DNS-Dienst wie beispielsweise “dyndns.org” behelfen. In aktuellen Firmware-Versionen unterstützt die Fritzbox Dyn-DNS-Dienste aktiv, die Einstellungen finden sich unter “Einstellungen”, dort unter “Internet”, “Freigaben” und der Registerkarte “Dynamic DNS”. Wer also von seinem DSL-Anbieter nur eine dynamische IP-Adresse bekommt, kümmert sich erst einmal um dieses Thema.
  2. Nun die Firmware der Fritzbox aktualisieren, falls noch nicht aktuell. VPN-Funktionalität gibt es für die Fritzboxen 7270, 7170, 7240, 3270, 2170 und höchstwahrscheinlich auch in zukünftigen Fritzboxen. Die aktuellen Firmware-Version gibt es entweder durch das Servicemenü der eigenen Fritzbox oder auch über das AVM-VPN-Portal.
  3. Als nächstes muss ein VPN-Zugangsprofil eingerichtet werden. Das kann man leider nicht direkt über die Fritzbox eingeben, sondern braucht dazu ein Programm namens “FRITZ!Fernzugang einrichten”. Das Windows-Programm herunterladen, installieren und ausführen. Mit diesem Programm werden dann einige Netzwerkparameter abgefragt, die angegeben werden müssen. Darunter unter anderem das verwendete IP-Adressnetz im LAN und die IP-Adresse bzw. den Hostnamen (bzw. auch den DNS-Namen über einen Dyn-DNS-Dienst).
  4. Das Programm aus dem obigen Punkt erzeugt zwei Dateien, die man abspeichern sollte. Die Datei, die mit “fritzbox” beginnt, enthält die VPN-Einstellungen, die nun in die Fritzbox importiert werden müssen. Dazu in das Servicemenü der Fritzbox einloggen und im Startmenü auf “Fernzugang (VPN) klicken. Dort lässt sich nun das Profil auf dem lokalen Rechner auswählen und importieren. Ist der Import erfolgreich gewesen, erscheint das Profil unter “VPN-Verbindungen”.
  5. Nun kümmern wir uns um den VPN-Client. Hat man ein 32-Bit-Windows, kann man getrost den AVM-eigenen VPN-Client nutzen, der vor allem die hübsche Annehmlichkeit mitbringt, dass der sehr einfach mit der anderen Datei konfiguriert werden kann, der unter Punkt 3/4 eingerichtet wurde. Also den Client installieren, Konfigurationsdatei importieren und loslegen. Sie haben ein 64-Bit-Windows? Nächster Punkt…
  6. Dummerweise gibt es den AVM-eigenen VPN-Client nicht für 64-Bit-Windows-Versionen. Die 32-Bit-Version lässt sich nicht installieren und eine Anfrage an den AVM-Support kann man sich in der Sache auch sparen. Netterweise gibt es aber im Dickicht der vielen IPSec-Clients, die teilweise richtig viel Geld kosten, eine lohnenswerte Ausnahme: der Shrewsoft VPN Client. Den bekommt man auf der Shrewsoft-Download-Seite. Ich habe übrigens den letzten Release Candidate der zukünftigen Version 2.1.5 genommen, der ist schon hinreichend stabil.
  7. Wer den Shrewsoft VPN-Client installiert hat, braucht jetzt nur noch eine Anleitung und die findet sich freundlicherweise auch auf dem AVM-VPN-Portal, hübsch mit Screenshots bebildert: Shrew Soft VPN Connect zur Fritzbox
  8. Ergebnis: Funktioniert. Auf Anhieb.

STARCOS-3.2-Signaturkarten und OpenLimit CC Sign.

Wieder ein halbes Wochenende mit ärgerlicher Kinderkacke in Sachen Signaturkarte verbracht. Und wieder scheiterte es an der Schlamperei, dass die schweizerische Firma OpenLimit grundsätzliche Dinge nicht lernt.

Also, meine SignTrust-Signaturkarte verliert am 31. Dezember 2009 ihre Gültigkeit. Das ist ein normaler Vorgang, da Signaturzertifikate nur eine definierte Gültigkeit haben. Aus diesem Grund hat mir SignTrust vor einigen Tagen eine Nachfolgekarte zugeschickt, die ein nachfolgendes Zertifikat beinhaltet

Problem: Die neue Signaturkarte funktioniert an meinem Bürorechner problemlos, zu Hause jedoch nicht. An beiden Rechnern ist ein funktionierender Kartenleser angeschlossen und an beiden Rechnern die Software “OpenLimit CC Sign” installiert, gleicher Versionsstand. Sowas hebt die Stimmung ungemein, da es keine sinnvolle Möglichkeit gibt, mit einer Fehlersuche anzusetzen, da leider auch die OpenLimit-Software eben nur meldet, dass die neue Karte nicht erkannt werden kann. Warum die Karte aber nicht erkannt werden kann, darüber schweigt die Software.

Der Teufel liegt im Detail: Die neue Signaturkarte beinhaltet nämlich nicht einfach nur einen neuen Satz an Zertifikaten, sondern die Karte beinhaltet auch ein neues Betriebssystem. Dieses Betriebssystem der Signaturkarten, die SignTrust verwendet, nennt sich “STARCOS” und war in meiner alten Signaturkarte auf dem Versionsstand 3. Die neue Signaturkarte bringt als Betriebssystem jedoch STARCOS 3.2 mit.

Und tatsächlich liegt hier der Hund auch begraben, denn die aktuelle Version von OpenLimit CC Sign konnte anfänglich mit STARCOS 3.2 nicht umgehen, was mit einem Patch zur STARCOS-3.2-Unterstützung geändert wurde. Das Dumme dabei ist nur, dass die Software vor dem Patch die Version 2.5.0.1 trägt und nach dem Patch ebenso – der Anwender ist also nicht in der Lage, zu überprüfen, ob seine Installation eigentlich STARCOS-3.2-fähig ist oder nicht. Warum nun die Version im Büro ohne Patch funktionierte? Nun, weil die Installation da erst zwei Wochen alt ist und der notwendige Patch ohne weitere Hinweise schon während der Installation eingespielt wurde.

Diesen Faux-Pas, den Versionsstand einer Software mit einem signifikanten Patch bzw. einer Funktionserweiterung nicht zu erhöhen und damit als Anwender nicht erkennen zu können, ob man nun eine STARCOS-3.2-Unterstützung hat oder nicht, hat bei OpenLimit leider Tradition, denn ich hatte ein ähnliches Problem schon vor fast genau einem Jahr beim OpenLimit-Support moniert, was auch mit der Rückmeldung, dass man dies an die zuständige Abteilung weitergeben wolle, beantwortete – leider offenbar ohne messbaren Erfolg.

In Sachen Programmiertechnik spätere Funktionserweiterungen und Patches einer Software nicht in einer höheren Versionsnummer zu führen, ist finsteres Mittelalter und eine Sache, die man im ersten Semester Informatik lernt.

Vom ungefragten Deaktivieren ungefragter Add-Ons.

Wer am Samstag unter Windows seinen Firefox angeschmissen hatte, hat sich möglicherweise über die Meldung gewundert, dass Firefox im Begriff war, zwei installierte Add-Ons zu deaktivieren.

Es handelt sich hierbei um eine Erweiterung namens “Microsoft .NET Framework Assistant 1.1”, die nichts anderes macht, als die installierte Version des .NET-Frameworks an den Webserver zu übermitteln und um das Plugin namens “Windows Presentation Foundation”, das immerhin schon etwas wichtiger ist, ebenfalls zum .NET-Framework gehört, und, in sehr einfachen Worten umfasst, einen Baukasten bereitstellt, um Benutzeroberflächen abzubilden.

Das Unniedliche an der Geschichte dieser zwei Module ist, dass sie Microsoft dem Firefox weitgehend ungefragt unterjubelt, wenn der Benutzer das .NET-Framework installiert oder aktualisiert, beispielsweise mit einem Service Pack. Installiert man das Framework bzw. das Service Pack, befinden sich diese beiden Module danach in der Firefox-Installation – ohne dass der Benutzer das irgendwie steuern könnte.

Hübscherweise ist Microsoft bei der Idee, diese beiden Module dem Browser unterzujubeln, kurzfristig offenbar den alten, herrschaftlich veranlagten Zeiten verfallen und hat gar nicht daran gedacht, dass ein Benutzer das vielleicht gern wieder deinstallieren würde: Die im Firefox implementierte Deinstallationsfunktion für Add-Ons wurde von Microsoft für diese beiden Add-Ons einfach außer Kraft gesetzt.

Dieser gequirlte Mist – von Seiten Microsofts für diese Aktion und auch von Seiten der Firefox-Macher für so einen architektonischen Schnittstellenpfusch – hat sich nun gerächt, da über diese Module eine aktuelle Sicherheitslücke des .NET-Frameworks ausgenutzt werden könnte. Und deshalb haben sich die Firefox-Macher nach Rücksprache (!) mit Microsoft dazu entschlossen, diese beiden Module, wiederum ungefragt, zu deaktivieren. Informiert hat natürlich keiner von beiden und so muss der geneigte Interessierte das entweder aus dem Heise-Ticker lesen oder dumm sterben.

Mal so die Frage am Rande, gerichtet an Microsoft und an die Firefox-Macher: Was glaubt ihr Helden eigentlich, wem der Computer hier auf dem Tisch gehört, auf dem ihr hier eure Schlampereien ein- und ausschaltet, wie euch gerade der Rotz aus der Nase tropft?

Drama in vermutlich nur einem Akt.

Bei der Zeitungsanzeige im heutigen Pforzheimer Kurier hat es sogar mir, der ja in Sachen EDV schon wirklich ganz Herden von Pferden hat kotzen sehen, geschmerzt:

Verlorener USB-Stick

Ich will gar nicht wissen, was für ein kleines Drama hinter diesem verlorenen USB-Stick steckt. Gegen solche Katastrophen hilft im voraus nur eine regelmäßige Datensicherung. Man glaubt nicht, wie schnell USB-Sticks kaputt- oder verlorengehen können.

OpenLimit CC Sign 2.5.

Benutzer der Signatursoftware CC Sign des schweizerischen Herstellers OpenLimit sind etwas geplagt: Die an sich gar nicht so schlechte Software besitzt nämlich keinerlei Möglichkeit, nachzuprüfen, ob es ein Softwareupdate gibt. Und dabei ist gerade bei einer Signatursoftware, die offiziell für die Elektronische Signatur zugelassen ist, extrem wichtig, die jeweils aktuellste Softwareversion einzusetzen, da der Algorithmenkatalog der Bundesnetzagentur jährlich an die Anforderungen angepasst wird und Empfehlungen, bestimmte Algorithmen ab einem bestimmten Datum nicht mehr einzusetzen, dazu führt, dass Signaturen, die nach diesem Datum noch mit ausrangierten Algorithmen erstellt werden, potentiell eine geringere Beweisfähigkeit haben.

Den Versionssprung von CC Sign von der Version 2.1.6.3 auf nun 2.5 (2.5.0.1), der Anfang Juni vollzogen wurde, werden deshalb wohl wieder nur die wenigsten mitbekommen. Vom Funktionsumfang her ändert sich wenig. Der Algorithmenkatalog wird angepaßt, außerdem gibt es leichte Anpassungen am Aussehen und der Bedienung.

Für Besitzer eines Lizenzschlüssels einer 2.x-Version ist das Upgrade erfreulicherweise kostenlos.

Wo Datenmisthaufen sind, da sind auch Datenkäfer.

Es gibt ein ganz einfaches Gesetz beim Bilden von Vorratsdatenhaltungen: Sammle Daten wie ein Weltmeister und du wirst Freunde gewinnen, von denen du später weißt, dass du sie in diesem Zusammenhang am besten nie kennengelernt hättest. Das müssen sich vor allem Leute heutzutage fragen, die in der Ära Mehdorn in der Führungsriege der Deutschen Bahn gearbeitet haben.

Immer wieder erstaunlich ist dabei, wer da alles in welchen Daten herumgeschnüffelt hat und es offenbar lange Zeit null Widerstände oder ein „unangenehmes Bauchgefühl“ bei Verantwortlichen gab. Die hübscheste Randnotiz dabei ist das, was der Heise-Newsticker heute schreibt, nämlich dass in den Jahren 1994 und 1998 die Deutsche Bahn im Auftrag der Gewerkschaft (!) Transnet überprüft hat, ob Mitarbeiter der Deutschen Bahn, die in Transnet gewerkschaftlich organisiert sind, auch satzungsgemäße Gewerkschaftsbeiträge abführen, die sich grundsätzlich nach der Gehaltshöhe orientieren.

Und das ist dann eine sehr spannende Verquickung, denn die Gewerkschaften sind im Aufsichtsrat der Deutschen Bahn AG vertreten und zudem eigentlich auf der anderen Seite des Managements und auf Seiten der Mitarbeiterschaft. Wenn es aber gilt, den eigenen Hintern einpudern zu lassen, dann gibt es offenkundig keine Skrupel mehr.

KeePass für das iPhone: Ein Schritt weiter.

Mitte April gab es wieder einen kleinen Ruck für iKeePass, dem KeePass-Client für das iPhone, der zwar bis dato weitgehend fertig ist, allerdings von Apple noch nicht für denn App-Store freigegeben wurde, was in der ein klein wenig polizeistaatlich organisierten Softwarewelt des iPhone-Universums bedeutet, dass es sich niemand herunterladen und installieren kann.

Immerhin hat sich nun etwas kleinlaut herausgestellt, dass man von einem Apple-Mitarbeiter, der sich um die Exportregularien für Verschlüsselungssoftware kümmert, kontaktiert wurde, man darauf aber nicht habe reagieren können, da man umgezogen sei und in den letzten Monaten keinen richtigen Internet-Zugang gehabt habe. Nun denn. Jedenfalls ist man übereingekommen, zunächst eine Veröffentlichung von iKeePass in den USA und in Kanada zu avisieren, weil für eine Veröffentlichung in diesen Staaten keine Exportregularien für Verschlüsselungssoftware zu beachten sind und der so genannte BIS-Prozess, ein Audit des US-Handelsministeriums, das für zu exportierende Verschlüsselungssoftware durchgeführt werden muss, offenbar noch nicht gänzlich durchgeführt wurde.

Das Thema KeePass für das iPhone ist also noch nicht abgefrühstückt und zumindest noch augenscheinlich in der Pipeline.

TrueCrypt 6.2.

Die wunderbare Open-Source-Verschlüsselungssoftware TrueCrypt ist gestern in einer neuen Version veröffentlicht worden und hört nun auf die Versionsnummer 6.2. Das Update ist weitgehend ein Wartungsupdate, das nur ein paar kleinere Neuerungen mitbringt:

  • Der Bootloader unterstützt nun Motherboards mit BIOS-Versionen, die größere Speicherbereiche für Systemfunktionen reservieren, in der Regel für integrierte RAID-Controller. Unter Windows Vista ist es an dieser Stelle notwendig, dort das Service Pack 1 zu installieren (was grundsätzlich nicht falsch ist).
  • Das automatische Mounten soll nun erheblich schneller ablaufen, da nun Partitionen mit unverschlüsselten File-Systemen übersprungen werden.
  • Wenn Volumes schreibgeschützt oder als auswerfbar gemountet und als bevorzugte Volumes gespeichert werden, werden sie als schreibgeschützt und als auswerfbar gemountet, wenn die Funktion zum Mounten von bevorzugten Volumes benutzt wird.
  • Es gibt zudem eine Änderung beim sicheren Löschen von Inhalten mit Algorithmen, die in Mehrfachdurchgängen eingesetzt werden; hier werden die Header zunächst gelöscht, bevor die verschlüsselten Header auf das Laufwerk geschrieben werden.
  • Sonstiges, übliches Bugfixing.

Wie auch bisher lässt sich TrueCrypt autonom auf einem USB-Stick ablegen und von dort aus starten. Nie war TrueCrypt so wertvoll wie heute.