Kein rechtskonformes Windows

windows
Windows10 in der Oracle VM VirtualBox unter Linux

Heise: „Die Datenschutzbeauftragten von Bund und Ländern sehen wenig Spielraum, Microsofts Betriebssystem Windows 10 rechtskonform zu nutzen.“

„Praktisch ist dies aber eine kaum zu leistende Aufgabe, räumt die Datenschutzkonferenz (DSK) in dem Papier ein. Verschiedene Untersuchungen zeigten, dass es aktuell nicht möglich sei, die Übertragung insbesondere von Telemetrie-Daten ‚durch Konfiguration von Windows10 vollständig zu unterbinden‘.“

Dann ist ja alles gut. Es gibt aber noch einsame Mahner.

Vor mehr als einem Jahr gab es einen ähnliches Beschluss – vermutlich ohne Wirkung – die User interessiert das nicht. Es macht ja Mühe, und man muss nachdenken. Wo kämen wir denn da hin!

Neuland

Auf einer Karte kann man sehen, wie weit es mit dem Internetz in Deutschland bestellt ist… Schrecklich.

Online durchsuchen

Bundestrojaner

Heise: „Wie Geheimdienste Cyberattacken durchführen – Ein Ex-FBI-Agent spricht über staatliche und nichtstaatliche Cyberangriffe, deren Zuschreibung und den Sony-Pictures-Hack.“

Komisch. Der spricht gar nicht über das Von-fern-auf-fremde-Rechner-zugreifen-und-online-durchsuchen!? Woran kann das nur liegen?

Unbelehrbar

djv

Die sind einfach unbelehrbar – und dumm dazu.

Computational Thinking

NSA

Schöne Meldung auf Spiegel online: „Drei von zehn Schülern können nur ‚Links anklicken und ihr Handy streicheln'“. Quelle: „Computer- und informationsbezogene Kompetenzenvon Schülerinnen und Schülern im zweiten internationalen Vergleich und Kompetenzen im Bereich Computational Thinking“.

(Die Quelle ist nicht kompetent, gutes Deutsch zu schreiben. Just saying.)

Porn Age Verification

Porn
Symbolbild

Ars Technica: „Australia wants to use face recognition for porn age verification“.

Höre ich da einen leichten ironischen Unterton bei der Nachfrage „What could possibly go wrong?“

Der Original-Artikel – mit Links zu den Quellen – stammt vom September: „Australia is once again deciding to follow in the tracks of the United Kingdom, with the House of Representatives Standing Committee on Social Policy and Legal Affairs to look into age verification for online pornography and online wagering.“

„The main way to circumvent the block, however, is through what is known as a virtual private network (VPN). The porn blockage is based on location, and so these systems, available on both a free and subscription basis, will be able to bypass the geofencing of restricted content.“

Ich finde es gut. Dann müssen sich schon Jugendliche mit Technik wie VPN beschäftigen. Das schadet nicht.

Mein Passwort

password

Nur’n Vorschlag. (Credits: James Martin‎ | The Hac​ker Quar​terly)

Caps Lock Day

caps lock day

HEUTE IST DER CAPS LOCK DAY!

Force of Nature on the Hammond

Lange nicht mehr so gute Musik gehört: Rick Wakeman and Jon Lord on Sunflower Jam 2011! Eine gute Gelegenheit, youtube-dl für Linux zu testen.

Unsensible Daten [Update]

Tagesspiegel: „Berliner Kammergericht hantierte leichtfertig mit sensiblen Daten“.

Man kriegt eine Gänsehaut, wenn man das liest. „Viele Juristen denken nicht ansatzweise über den sicheren Umgang mit Daten und ihren Rechnern nach. Es gibt weder Schulung noch Sensibilisierung und selbst wenn es sie gäbe, würden sich die von Berufs wegen unabhängigen Richter darüber hinwegsetzen. (…) Viele Richter arbeiten zu Hause – ein Privileg, das sie als Bestandteil der richterlichen Unabhängigkeit ansehen, obwohl es womöglich mit geltendem Datenschutzrecht kollidiert. Es ist dann unumgänglich, auch zu Hause mit personenbezogenen Daten zu hantieren und diese zu sichern. (…) Nicht auszudenken, wenn Berlin bereits die elektronische Akte hätte – dann wäre alles weg.“

In welchem Jahrhundert leben die eigentlich? Und wer ist verantwortlich? Wieso alles weg? Keine Backups?

[Update] Es ist alles noch viel schlimmer. Die Kommentare sind aber zum Teil besser als der Artikel.

Wie so etwas abläuft, kann man bei Heise nachlesen:

Am Montag, den 13. Mai, um kurz vor 15 Uhr öffnete ein Mitarbeiter eine Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Die Mail stammte scheinbar von einem Geschäftspartner und forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und bei Bedarf zu ändern. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und das Unheil nahm seinen Lauf.
Im Hintergrund infizierte nämlich Emotet sein Windows-System und begann sofort, sein Unwesen im Heise-Netz zu treiben.

Mit Linux wäre das nicht passiert. Und Word-Dokumente sollte man grundsätzlich nicht verschicken. Ich nehme so etwas gar nicht an.

Diesen Kommentar fand ich am besten:
Das Grundproblem ist die Qualifikation der IT-Verantwortlichen. In den seltensten Fällen sind Admins studierte Informatiker, stattdessen werden Geschäftsstellenbeamte, Rechtspfleger, Richter, Staatsanwälte zu Admins erhoben, die eine Ausbildung „Learning by doing“ erfahren. Was ist der Grund? Geiz ist geil! Die Verantwortlichen in der Justiz, vorgeblich Minister/Senator und Staatssekretäre, Präsidenten der Gerichte haben keine Ahnung von IT. Man will aus Kostengründen nur Mindeststandards erfüllen. Die geringe Qualifikation der IT-Admin des Kammergerichts – die stellvertretend für die Justiz in Berlin, aber auch in den meisten anderen Bundesländern steht – zeigt sich schon, dass in der „Panikmeldung“ der Berliner Justiz von „Imotet“ statt von „Emotet“ berichtet und gewarnt wurde. Das ist an Peinlichkeit schon deswegen nicht zu überbieten, weil vor Emotet seit Monaten als wieder aktuell aufgerufene Malware allenthalben gewarnt wurde. Die vorgenannten Umstände sind der Grund dafür, dass überall im öffentlichen Dienst IT nicht funktioniert. Die gesamte Berliner Verwaltung ist mit einem Mix von Uraltrechnern und Uralt-Betriebssysteme/Software ausgerüstet, für andere Bundesländer gilt weitgehend nichts anderes.

Walking in mouselook

Kasra – einer der drei Sims in Secondlife, die ich in den letzten zwei Monaten für Rollenspieler gebaut habe (vgl. Kasra – Fayeen).

Software: SimpleScreenRecorder für Linux, nicht bearbeitet (das ginge mit Shotcut). Secondlife client: Firestorm
Preferences/Graphics/Quality: Ultra. Avatar in Mouselook mode, nur nicht beim Türen öffnen). Die Videoqualität ist aber bei weitem nicht so gut wie im Original, kommt natürlich auf den Rechner und die Grafikkarte an.

Verschlüsselt kommunizieren mit Localhost [Update]

verschlüsselt

Ich stoße jetzt auch eine neue Sicherheitsdebatte an. Die Textbausteine, die Politiker seit mehr als 30 Jahren zum Thema absondern und die unkritisch und unkommentiert von den Medien vervielfältigt werden, sind für mich nur noch Meme, über die ich kichern kann.

[Update] jetzt weiß ich auch, warum ich immer die Weltherrschaft erringen möchte.

Alles Remote

admin

Meine Aufgabe, selbst gestellt, ist folgende: Ich muss mit einem Linux-Laptop per Remote-Desktop auf ein Windows-Laptop zugreifen bzw. – wenn das geht – auch Programme ausführen. Das muss von überall aus funktionieren, also ist eine VPN-Verbindung über meine Fritzbox angesagt.

Ich habe auch vor, nur ein virtuelles Windows zu installieren, vielleicht per QEMU (Ist Vmware besser?). Ich habe das sowieso bei meinem PC mitgekauft, da niemand meinen großen Scanner unter Linux zum Laufen bekommen wird.

Was ist die eleganteste Lösung? Per virtuellem Windows auf das reale Windows-Laptop zuzugreifen, oder per Linux auf Windows – und wie? Was muss ich beachten?

Die Gesamtsituation et al, wo auch Milch und Honig fliessen

tuxedo
Getränke: Oban Single Malt, Shake: Banane, Birne, Honig und Milch, Kaffee: Guatemala Grande, Musik: Kwaku Ananse.

Ja, ich weiß, ich habe das nach klugen Gedanken lechzende Publikum sträflich vernachlässigt. Die Ursache vgl. mein letzte Posting – ein neuer Rechner, von dem aus ich jetzt zum ersten Mal blogge. Aber natürlich ging erst einmal alles schief – ich hätte vielleicht Beta-Tester werden sollen.

Der Rechner von Tuxedo kam schnell, aber leider hat man mir kein Ubuntu 18.04 verschlüsselt geliefert, wie bestellt, sondern eine unverschlüsselte Version. Tuxedo hat sich sogleich entschuldigt und angeboten, dass ich den Rechner auf deren Kosten zurückschicken könnte. Ich habe das abgelehnt, da der mitgelieferte WebFAI-Stick eine Neuinstallation ermöglicht. Ich vergaß Murphys Gesetz.

tuxedo

Das Problem: Wenn alles getan ist (dauerte bei mir ca. 20 Minuten, schnelle Leitung, LAN benötigt), kriegt man Ubuntu nicht auf: please unlock disk sdb[n]_crypt. Ich hatte aber nie ein Passwort definieren können. Natürlich passierte das nicht nur mir – aber es gibt nicht wirklich eine Lösung.

You’ve got it set for full-disk-encryption, in which case there is nothing anyone can do to help you to recover the password for it.
Not really sure what you’re trying in regards to reinstalling that brings up the same screen. As a proper reinstall should wipe that out and then allow you to install and boot into a system properly.
Na super.

Dummerweise erkannte mein BIOS auch den WebFAI-Stick nicht mehr. Ich konnte diesen Missstand nur beseitigen, indem ich das BIOS auf „Werkseinstellungen“ zurücksetzte.

Dann also Ubuntu unverschlüsselt – ich arbeite ohnehin mit Veracrypt, eine Komplettverschlüsselung ist ein bisschen ooverkill. Nur stürzte die Kiste danach ab und ließ sich nicht mehr hochfahren.

tuxedo

Auch diese Fehlermeldung gab es schon. By the way: Was hätte ich gemacht, wenn ich nur den neuen Computer gehabt hätte und nicht einen zweiten, mit dem ich die Fehler suchte? Alles per Smartphone? Es war Freitag – eine Hotline gibt es am Wochenende nicht. Vorschlag eines Nutzers:

kernel: [ 0.982630] Couldn’t get size: 0x800000000000000e
kernel: [ 0.982929] MODSIGN: Couldn’t get UEFI db list
kernel: [ 0.986380] Couldn’t get size: 0x800000000000000e

The errors seem to be related to an attempt to import UEFI keys for Secure Boot. I do not have Secure Boot enabled in my BIOS but do only boot in UEFI.(…) I was able to stop the errors simply by changing a setting in the BIOS from [Customized] to [Standard] for Secure Boot Mode. The Customized setting allows you to modify the secure boot keys manually. The Standard just sets the default keys.
Note: This fixed my error even though I previously had Secure Boot [Disabled] in BIOS settings.
Security -> Secure Boot -> Secure Boot Mode -> [Standard]

Ich war schon in der Laune des HB-Männchens, zumal ich beim ersten Mal frohgemut eine Stunde lang Programme installiert hatte, die natürlich futsch waren.

tuxedo

Zähneknirschend habe ich Ubuntu zum dritten Mal installiert – und es gab wieder eine Fehlermeldung, die man aber offenbar ignorieren kann, aber auf die auch niemand eine Antwort hat (wäre nett, wenn jemand in den mitgelieferten Manuals darauf hinweisen würde, weil unbedarfte Nutzer vermutlich in Panik gerieten).

Die erste Datensicherung ging auch schief (dafür kann Tuxedo nichts): Datensicherung fehlgeschlagen
Sicherungsordner »/tmp/duplicity-hqblIp-tempdir/mktemp-pSdRoE-401« ist nicht vorhanden.

Mal sehen, woran das liegt… Und wo ist jetzt mein virtuelles Windows, das ich bestellt hatte? Ich werde am Montag mal telefonieren….

Hardware, reloaded

kabelsalat
Symbolbild

Da mein Hauptrechner so langsam ins Greisenalter kommt, keine SSD-Festplatte hat und auch schon ein wenig herumzickt, habe ich mir einen neuen gegönnt, der bald eintreffen wird – natürlich von Tuxedo. Von denen habe ich schon mein Laptop – und es gibt nichts zu bemängeln.

Ich habe ein bisschen hoch gerüstet: Als Prozessor einen AMD Ryzen 7 2700 (8x 3.2-4.1GHz Octa-Core, 16 Threads, 65W TDP) und als Grafikkarte die NVIDIA GeForce GTX 1660 Ti.

Ich freue mich schon darauf, wenn das Gerät geliefert wird.

Radegast mit Wine?

Radegast is currently only officially supported on the Windows .NET 4.6.2 platform due to instability under Mono. Reintroduction of native Linux and MacOS support is planned. It is recommended that Radegast for Windows be installed via Wine on non-Windows platforms for the time being.“

Krieg ich das überhaupt zum Laufen unter Ubuntu 18.04?

Fehlermeldung: […]:~/radegast/bin$ wine radegast.exe
0009:err:mscoree:load_mono Could not load Mono into this process

Ich habe diese Fehlermeldungen zwar oft gefunden, aber die sind zum Teil Jahre alt.

Magisches Wurmloch

magic wormhole

Ich muss euch ein Programm (für Linux und Mac) empfehlen, vom dem ich begeistert bin, weil es mich einiger Fummelei enthebt. Magic-Wormhole: Get Things From One Computer To Another, Safely.

Ich erröte vor Scham, wenn ich zugebe, dass es mir bisher nicht gelungen ist, meine drei Linux-Rechner (PC, Laptop, Netbook) miteinander zu verbinden, obwohl die sogar an demselben Router hängen. (Ich habe keine Zeit, noch mehr fucking manuals dazu zu lesen.)

Magic Wormhole löst das ziemlich genial:
sudo apt-get install magic-wormhole
wormhole send irgendeinedatei (am einfachsten im persönlichen Ordner Ordner)
Dazu wird ein Passwort angezeigt, das ich auf dem Computer, an den ich die Datei sende, eingeben muss (ich kann ja auf beide Monitore gucken)
wormhole receive beispielpasswort

Ganz einfach und ganz grandios. Es gibt einen Thread bei Heise dazu: Die Bedenken sind erwägenswert, aber ich bleibe ja in meinem eigenen Intranet. Schneller als FTP oder gar ein USB-Stick.

Neue Leichtigkeit?

blender

c’t: „Die neue Blender-Version soll Einsteigern den Zugang zu 3D-Modeling und -Animation erleichtern und wirft dafür einige eigenwillige Bedienkonzepte über Bord. Die Community jubelt – dank cleverer Lösungen, die niemandem etwas aufzwingen.“

Gibt es auch für Linux – habe es gerade noch mal installiert. Vor acht Jahren startete mein erster Versuch, ich habe damals entnervt aufgegeben.

Discouraged [Update][2. Update]

gnupg2

Mein alter PGP-Schlüssel war abgelaufen. Ich habe einen neuen:

burks@burks.de (0x69152AA7DE1F513E) pub.asc – | ID DE1F513E | Fingerprint: 3D2A 0DFE D666 8237 5176 CD6B 6915 2AA7 DE1F 513E
(Vgl. auch das Impressum.)

Natürlich ging wieder alles schief, was schief gehen konnte, und ich habe den halben Vormittag verschwendet.

Thunderbird bzw. Enigmail für Linux ist nicht in der Lage, einen 4096-Bit-Schlüssel zu erzeugen. Das Feature gibt es gar nicht, man wird auch nicht gefragt. (Dazu gibt es eine passende Website, har har: class=“client-nojs“) Warum? Es weist auch nichts darauf hin.

Ich sprach so vor mich hin: Dann eben mit dem Terminal. Die Befehle weiß zwar niemand auswenig ausser Werner Koch, aber es gibt ja copy and paste.

gpg2 –full-gen-key
Das ist einfach, aber dann liest man:
Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.

gnupg2

Wie lautet es denn jetzt, wenn man fünf Jahre will? Muss das n in eckigen Klammern mit dazu? Kommen Leerzeichen hinter und vor das Anführungszeichen? Braucht man es überhaupt? Ich habe lange gebraucht, bis ich ein Beispiel gefunden habe, weil alle meine Versuche scheitern. Wer kein Mathematiker ist, versteht doch das mit dem Buchstaben n gar nicht! Und ich denke auch nicht so. Warum macht sich niemand Gedanken darüber, dass es sinnvoll wäre, einfach zu schreiben: 5y bedeutet: Der Schlüssel wird nach fünf Jahren ungültig?! Bei SELFHTML wird das auch so gemacht.

Ich habe es irgendwann aufgegeben, da ich vermutete, es müsse auch ein grafisches Frontend geben. Man kann übrigens nur alle geheimen Schlüssel in eine Datei exportieren, das wollte ich nicht.

Wenn man sich aber eine Liste dazu ansieht, wird einem ganz schlecht. Dieses kann das nicht, und jenes kann dieses nicht. Ich habe dan Seahorse genommen, das hatte ich eh schon installiert.

Ein Schlüsselpaar zu erzeugen, ist immer einfach, aber da beginnt das Problem erst. Was ist, wenn ich schon Dutzende von Schlüsselpaaren habe – seit 1995? Ich denke mir doch nicht jedes Mal einen neuen Namen für mich selbst aus, um den Schlüssel von den Software identifizieren zu lassen? Die Schlüssel-ID des neuen Schlüssels wurde auch nach einem Dutzend Versuchen nicht erkannt, so dass ich schon fast in der Laune des HB-Männchens war.

Ich halte es auch für einen Bug, wenn das Menü von Seahorse anbietet, den geheimen Schlüssel zu exportieren, aber nicht verrät, wie man den öffentlichen Key in eine Datei bekommt (vgl. Screenshot unten). Irgendwann habe ich gemerkt, dass ich doch den gesamten Keyring exportiert hatte. Ein Anfänger hätte schon viel früher aufgegeben. So wird das nichts.

gnupg2

Update: Ein aufmerksamer Leser schickte mir einen Screenshot von Enigmail 2.1.2. Dort gibt es einen Tab mit der Option, auch 4096-Bit-Schlüssel zu erzeugen. In meinem Enigmail Version 2.0.8 gibt es den nicht. Ich frage mich, warum unter Ubuntu nicht die aktuellste Version angeboten wird?

[2. Update] Menschliches Versagen meinerseits, auf das mich ein aufmerksamer Leser hinwies. Wie man auf den Screenshots sieht, kann Thunderbird durchaus 4096-Bit-Schlüssel erzeugen. Das Feature ist nur sehr gut versteckt, warum auch immer – unter Ablaufdatum [sic! Sehr logisch!] und erweitert.

WTF, wo soll ich Marx hineinschieben?!

das Kapital

Ahm… das erwischt mich jetzt auf dem falschen Fuße. Das ist doch kein USB-Stick? Obwohl die Größe hinkäme, aber mein Linux erkennt das Teil nicht. Womit soll ich das lesen bzw. wo soll ich das hineinschieben?

Older entries