Lacknase

Das is ja total Geil! Hast du dir schonmal die Mail durchgelesen die dann ankommt? *ROFL* Aber ich hab noch nicht verstanden wie's Funktioniert! Hatte in dem Text ein Wort mit x - in der ganzen Spammail is kein x drin, also wird's nicht in der Mail ansich verschlüsselt werden - speichern die das auf ihrem Server? Die arbeiten - soweit ich weiß - mit Buchtsaben-"Mutationen", die an typische Schlüsselwörter und -sätze von Spamtexten gebunden sind. Lustig, gelle?

Hi MX! Schon wahr, aber ich würde Dir bei Punkt 1 nur bedingt und (heise) bei Punkt 3 eigentlich garnicht hinsichtlich der Schlußfolgerungen folgen wollen. Ich beginne mal mit dem letztgenannten: a) Schlüsselsicherheit: Ende der 70er Jahre wurde ein offen ausgeschriebener Wettbewerb von den Entwicklern des RSA-Algoritmus veranstaltet. Die Nachricht wurde damals mit einer 429bit"igen" Zahl verschlüsselt. Die Vorhersage mit Blick auf die damals gegebenen technischen Potentiale weltweiter Rechenleistung war, daß es ca. 40 Billiarden Jahre dauern würde, bis jemand den Code knacken könnte. 1994 wurde der Code in 8 Monaten Arbeit von einem (weltweit kooperierenden) Team geknackt, das via Internet verbunden war und "lediglich" knapp über 1600 Rechner benutzte. Der Algorithmus gilt heute als Sicherheitsrisiko (ssh1). Ich wäre also - mit Blick auf die Geschichte - hinsichtlich der "Haltbarkeitsprognosen" sehr skeptisch. Aber auch unabhängig von einer "Schlüsselhaltbarkeit" bin ich nicht so optimistisch ... b) absolute Sicherheit und "usability" Folgende Überlegungen: Technik berücksichtigt oftmals nicht "Anwenderfehler", die auf zu geringem Verständnis im Umgang beruhen. (-> Gegenmaßnahme: "least privilege" und "Schulung") Viele "Sicherheitssysteme" verlassen sich auf einen einzigen Sicherheitsmechanismus. Was, wenn ich dank der Fehler des in ein Mailprogramm eingebettenden SkriptingMechanismus einfach "Verschlüsselung" ignorieren kann und mir via $SCHADSOFTWARE oder "social engineering" den privaten key besorgen kann? (-> Gegenmaßnahme: "defense in depth") Wie sieht es mit alternativen Zugangsmethoden aus? Verhindert etwa ein Cryptographieprogramm generell das unkontrollierte Senden von privaten Informationen? (-> Gegenmaßnahme: "choke points") Fast noch trivialer als alles bisher Gesagte, aber leider in ebensolchem Maße mißachtet: Sicherheitskonzepte bieten nur so viel Sicherheit, wie das "schwächste Glied" (weakest link) der Kette. Jemand, der seine Sitzungen nicht abmeldet, unverschlüsselte Anmeldesitzungen via Netzwerk tätigt (POP3, telnet, etc.), gelbe PostIts mit Paßwörtern an den Monitor pinnt (oder unter die Tastatur/das MousePad legt), wo jede Putzkolonne "abräumen" kann, der braucht keine Cryptographie. Systeme können in vielen unterschiedlichen Nuancen versagen. Wenn es dumm läuft, ist es möglich, daß nach dem Versagen alle Schutzmechanismen deaktiviert sind. Angenommen das [GNU|P]GP-Plugin stürzt während des Verschlüsselns ab. Sendet der MailClient die Nachricht dann unverschlüsselt raus? Oder hält er an? Ist das Verhalten der Anwendung vorhersagbar? Ist sie dahingehend dokumentiert? Ein System sollte ja immer zur "sicheren Seite" hin versagen - in unserem Falle: no mail. (-> "fail safe") Das mag jetzt auch abstrus klingen, aber ein Sicherheitssystem muß von allen "Beteiligten" mitgetragen werden (universal participation). Einzelne Personen, Supporter, Hersteller, die den Sinn des Sicherheitssystems nicht verstehen oder einfach ignorieren, werden sich im besten Falle wundern (und womöglich Fehler machen), im schlimmsten Falle zu sehr eingeschränkt fühlen und dann - bewußt oder unbewußt - Wege suchen, das System zu umgehen. Viele Hersteller tun das mit ihrer Update-Funktionalität, der Produktphilosophie, im Rahmen des Supports, der angeblich bestimmte "Dinge" voraussetzt etc. Aus der Sicht von Administratoren (im HeimPC-Falle aus der Sicht des Nutzers) sollten alle Teile eines Sicherheitssystems mit ähnlicher Funktion ähnlich aufgebaut sein. "Kompatibilität", "Usability", "Standardkomponenten" und "alles aus einer Hand"-Service sind hier die klassischen Schlagwörter. Für einen "Angreifer" bedeutet das aber, daß er bei der einem Angriff vorhergehenden Analyse oder auch Durchdringung einer Sicherheitsebene (dann bei der nächsten, ähnlich aufgebauten) ein leichteres Spiel hat. Die Vorhersagbarkeit des "Gesamt-Systems" geht deutlich gegen 100%. (-> Gegenmaßnahme: "diversity of defense") Je einfacher ein System aufgebaut ist, auf je weniger Mechanismen es sich verlassen muß, je spartanischer es daherkommt, desto weniger Fehler können sich versteckt halten/einschleichen: keep it simple, stupid! Und damit ist nicht die Usability gemeint, die mit (unnötigen) graphischen Oberflächen, Menüfunktion XY, DoubleFeature Blablabla in karssem "Mäuse-Kino-Proggie" daherkommt. Es ist mir freilich kalr, daß es so gesehen das beste wäre, gar keine eMails zu verschicken, sondern den Kommunikationspartnern in geschlossenen Faradayschen-Käfigen Nachrichten ins Ohr zu flüstern und sie danach (mund)tot zu machen. Der Einsatz von Verschlüsselungsverfahren, die an sich (zumindest aktuell!) unknackbar erscheinen, muß sich also im Rahmen der Bewertung von "Gesamtsicherheit" auch der Frage nach der Sicherheit der "Umgebung" aussetzen. Als ganz konkretes Beispiel: Es existiert etwa der sog. "Klima-Rosa-Angriff". Zwei tschechische Kryptologen (Herr Klima und Herr Rosa) haben - im Auftrag des tschechischen Geheimdienstes - Methoden entwickelt, den "private key" OpenPGP-kompatibler PGP-Programme (PGP, GnuPG) zu errechnen, ohne dabei darauf angewiesen zu sein, irgendeine Passphrase via "brute force" zu "erraten" oder den Algorithmus des "private key's" zu kompromittieren. Der Angriff wird durch (bestehende) fehlerhafte, bzw. fehlende Schutz- und Authentifizierungsmaßnahmen im Schlüsselformat von (Open)PGP-Keys ermöglicht: Details unter: http://kai.iks-jena.de/pgp/pgp/pgp02.html#klima Der Angriff setzt - kurz zusammengefaßt - voraus, daß man Zugriff auf den "secret key" einer Person hat. Hier bin ich wieder an eben genanntem Punkt: Die Frage der geschmeidigen Integration in an sich unsichere (Komponenten von) Betriebssysteme(n) wie Win9x/Me (und im "default-Zustand" auch w2k und XP) bzw. darauf aufsetzende (teils noch löchrigere) Anwendungen (wie z.B. OjE), die von einem arglosen, an Bedienbarkeit, Bewuemlichkeit und Feature-Reichtum orientierten Benutzer "kontrolliert" werden, führt m.E. die Verwendung solcher Crypto-Software ad absurdum. Wozu baue ich mir ein dickes Sicherheitsschloß an die Tür, wenn ich die "Fenster" (!) nicht verschließen kann? Was bringt der Airbag bei einer Papierkarosserie? Ich gebe zu, daß die eben gewählten "Vergleiche" der Anschaulichkeit halber stark übertrieben sind. Gleichwohl würde ich meinen, daß jemand, der ein sicherheitsorientiertes Vorhaben pflegt, gerade die von Dir bemängelte "schwierige" oder "unkomfortable" Integration in die bestehende Struktur zum Anlaß nehmen sollte, die ganze Struktur als Teil des Sicherheitskonzeptes zu überdenken. Meine 2 Eurocent ...

Er ist aber halt auch echt auf Zack beim Suchen (und erzwingt wohl damit bisweilen sein Glück). Ich könnte jetzt hier die letztjährige Geschichte über eine Messerschmitt GS/2 nahe am "Auslieferungszustand" mit kompletter Schmuck- und Zubehörpalette (1963 abgemeldet und in der Garage unter eine Plane gepackt, 5000km orichinool[TM], Werksreifen pipapo) erzählen. Zu einem Spottpreis im lokalen Käseblatt inseriert - eh klar. Aber nur wenn ich daran denke, kriege ich schon wieder schlechte Laune. Ich bin anscheinend halt - evolutionär gesehen - der klassische Fall des "Zuspätkommers", der wohl vor ein paar tausend Jahren keine 20 Jahre alt geworden wäre. So gesehen kann man ja schon bald wieder froh sein, daß einem nix passiert, wenn R.D. schneller ist

SOM! Klar! Wie konnte ich! Die Maxies waren regelmäßige "Tanzflächen-Konditions-Trainer". Zum Alter: 71er Jahrgang ... ich kenne das Zeug also tatsächlich nicht nur von MarcO'-Remixes

Merci. Aber nochmal ganz deutlich: das meiste ist echt nur Demo-Qualität (-> "Hey, des is lustig! Schneid mal mit!"). Wir können zwar inzwischen ganz komfortabel mastern, aber bis das ganze Zeuch ordentlich arrangiert, neu aufgenommen und online ist, das dauert (ewig) ... Zum "Retro"-Aspekt: Ist zwar manches recht bunt durcheinandergemischt, aber wir haben halt damals in der Schule Mitte der 80er angefangen. Und so Bands wie The Cure, The Sound, Flock of Seagulls, Xmal Deutschland, Legendary Pink Dots (bzw. TearGarden), SkinnyPuppy oder JoyDivision prägen halt doch. Oder sagen wir es so: trotz Nirvana, Filter, PitchShifter, The Hives, WhiteStripes & Co. kommen wir (in Teilen) nicht davon los

Auch mal was von mir: Genau HIER.

Aber unter nem "unauffälligen" Topic-Namen bitte

Weil ich "die Tatsdache, DASS ..." schon schlimm genug finde?

Sag's nicht. Ich sterbe sonst

Kannste mal sehen, was ich Dir alles zutrau (sorry auch ...)

Das ist aber nur eine Alternative, wenn Du dann auch ein entsprechendes Outfit trägst. *HINTHINTHINT* Latex soll abwaschbar sein und überdies Augustiner-abweisend

Als da wären? (Hab da noch nix mitgekriegt ...)

Fuffi? Ist ja lasch. BigBore ist angesagt. Nebenbei "zu hart für ihn" ist das Oxymoron der Woche, noch vor "Microsoft Works" und "romantisches Fisting".

Lieber spät als nie ...

Statt die Spraydose zu schwingen, kann man auch Zylinder und -kopf einfach mit einer Mixtur (1:1) aus billigstem Aldi-Pflanzenöl und Einschwärz-Paste für Elektroherd-Kochplatten einpinseln. Gayt suppa und hält besser als Lack. Raucht am Anfang a bisserl (des Öl halt), aber brennt sich dann gut ein.

Nein. Im Gegenteil. PGP wurde von Anfang an (damals 1991) von Phil Zimmermann als "offenes" Sicherheitssystem präsentiert. Genauer: als Reaktion auf "U.S. Senate Bill 266", die eine Verpflichtung für Anbieter von Sicherheits- und Crypto-Technologie vorsah, der Regierung versteckte "back doors" einzubauen. Der damalige Gesetzesvorschlag wurde zwar abgeschmettert, aber PGP war geboren. Man durfte sich alles angucken. Allerdings gab es lizenzrechtliche Beschränkungen, was die Verwendung und Weiterentwicklung anging. Letztere Rechte blieben ausschließlich bei Zimmermann. Er hatte recht großen Erfolg damit, die Technologie nur "as actual is" - auch international - zu verticken. Das war dann aber auch sein Problem: in den USA fallen bestimmte Cryptoalgorythmen unter das Waffengesetz und dürfen deswegen nicht exportiert werden. Zumindest nicht in vorkompilierten Programmen. Tatsächlich wurde Zimmermann von der Regierung des Waffenexports bezichtigt und angeklagt. Er war aber nicht ganz blöd und exportierte damals "Papier mit dem Quellcode" (das fiel dann unter Technologie-Export) ... Seit Version 5 (da wurde der Prozeß eingestellt) kursiert das Gerücht, daß ein BackDoor existiert, der angeblich Teil einer "außergerichtlichen" Einigung gewesen sei. Nachdem der Quellcode allerdings immernoch offen ist, ist das unwahrscheinlich. Das aktuelle Problem mit PGP ist, daß Zimmermann alle Lizenzen incl. der Entwicklungsrechte verkauft hat. Es existieren Bugs in der Software, die nicht gefixt werden, weil $FIRMA, die das Zeug gekauft hat, nicht in Weiterentwicklung investiert. Deswegen kam gpg auf den Plan ... Kommt auf die verwendete SpecialVersion an. Aber grundsätzlich: Ja. Er könnte den key verwenden. Aber: Nein, er könnte mit Deinem pubkey nix entschlüsseln. Aber er könnte Dir Nachrichten senden, die von ihm mit Deinem pubkey verschlüsselt werden und die nur Du entschlüsseln kannst. (Analog auch umgekehrt.) Sorum gayts Das Problem, das (auch mit dualen keys bzw. asynchroner Verschlüsselung) gegeben ist, lautet: mit genug Rechenleistung - auch wenn's sehr, sehr viel sein muß - kannst Du solche Verschlüsselungen via "brute force" knacken. Und DASS hier verschlüsselt wurde, erkennt man halt sofort. (Pseudo)Steganograophische Verfahren sind da besser. Für den privaten Gebrauch und kurze Nachrichten empfehle ich http://www.spammimic.com Das ist mal eine ebenso lustige wie effektive Methode für Verschlüsselung. Mußt nur aufpassen, daß Du nicht in einem Spam-Filter hängen bleibst!

Hi Felix, es gibt im TCP/IP-Bereich (incl. UDP) nur zwei "Nummern", die von Dir sinnvollerweise auf dieser Ebene konfiguriert werden können: [1] Die sog. I(nternet)P(rotocol)-Nummer AKA IP-Adresse, und [2] die sog. T(ransmission)C(ontrol)P(rotocol)-Nummer AKA Portnummer. Jetzt ist halt die Frage, was Deine Telephonanlage damit "macht". Wird der Verkehr a) "weitergeleitet" (NAT/PortForwarding) oder wird b) eine Incoming-"Erlaubnis"-Regel für den Filter generiert (Paketfilter) oder c) eine Outgoing-"Erlaubnis"-Regel für den Filter generiert (Paketfilter)? Im ersteren Fall a) müßtest Du sowohl den Kommunikationsport des von Dir angebotenen Dienstes als auch die (private) IP Deines _eigenen_ Rechners, der an der TK-Anlage hängt, angeben. Im zweiteren Falle b) dagegen die IP des ICQ- bzw. edonkey-Servers und den jeweiligen Kommunikationsport (>1024) auf Deinem Rechner, was - bezogen auf die IP - eine extrem schwachsinnige "Forderung" der Telekom-Technik wäre, da ja distributed-services mit mehrfachen/wechselnden Quell-IPs zum Einsatz kommen. Hier wären reine Dienstangaben sinnvoller. Der Telekom würde ich so einen Humbug allerdings zutrauen ... Im dritten Falle c) schließlich müßtest Du Zielrechner (icq/edonkey) und -port angeben. Denkbar wäre auch - das geht aus Deiner Beschreibung nicht hervor -, daß die Telekom eine Anlage ausgibt, die doch tatsächlich einzelne (Sub)Protokolle wie ICMP/IGMP, UDP oder TCP dienstbezogen filtern kann. Dann wäre die sog. Protokollnummer eine "herstellerspezifische" Option, die im Handbuch der Anlage erläutert sein muß (z.B. ICMP=1; IGMP=2; TCP=3; UDP=4; usw.).

Hi Timas, alter Pronstar! Willste die "Clubpost" jetzt verschlüsseln? Ich habe damit nur gute Erfahrungen gemacht und verwende ganz nebenbei "GNUpg" aka gpg - das ist voll kompatibel, frei zu haben und nicht so kranken Lizenz-/Export-Spielchen ausgesetzt. Molto bene. Alle weiteren Fragen werden unter: http://www.gnupg.org/(de)/index.html beantwortet.

Haaaaaaadeeeeeeer!

Ich mutmaße mal mit den Worten eines (anderen) Bekannten: [1] Vespa-Club-Ball (mit "Damenwahl" als Highlight: die Kassenwartomis stürmen los!) [2] irgendwelche "ICHHABDENGROESSTENPOKAL"-Sitzungen [3] Speisung der 2003 in einer Turnhalle [4] (angeblich exklusiven) Zutritt zum Gelände, wo auch Ausstellung und Teilemarkt etc. lokalisiert sind. [5] ... Ich frage mich ja echt, ob die "schwammige" Informationslage nicht letztlich gewollt ist. (Verschwörungstherie "in progress")

Hab die EV-Postings da schon überflogen. Deshalb frage ich ja hier Ein Bekannter aus Tirol sagte mir, er hätte gehört (von der Cousine vom Bruder vom Mann der Schwester), daß die Fiaker-Schubser doch glatt 55 Euros haben wollen. Kann das sein?

Nochmal zurück zur Ausgangsfrage: kann jemand eine halbwegs VERBINDLICHE Auskunft über die Höhe des Meldebtrages geben? Merci derweil ...

Bis vor ein paar Stunden kam unter www.bundeswehr.de noch: Das nenn' ich mal 'nen echt guten Zivi-Witz

Na dann, geht auch ganz easy: sftp. Ist bei einem ordentlichen[TM] SSH-Client dabei und wird von den meisten ordentlichen[TM] ftp-servern unterstützt.

Warum Schalt-/Baupläne für ne Zündpistole, wenn man die Dinger (nicht nur gebraucht) recht günstig haben kann? Nur so aus Neugier ... -- Extra-Sig: Laeta rura virginis viris quidem gaudiis.