Software

Woher kommen eigentlich Viren, Würmer und andere Schadsoftware? Über welchen Weg brechen Angreifer in Computersysteme ein? In vielen Fällen heißt die Antwort »Buffer Overflow« oder Pufferüberlauf. Jörg und ich sind der Frage nachgegangen, was so ein Buffer Overflow eigentlich ist. Wir versuchen anhand einer Analogie mit Kisten und deren Inhalten das Wesen des Überlaufs zu erklären. Anschließend bieten wir einige Lösungen für das Problem an. Neugierig geworden? Dann hört mal in den Datenkanal 19 rein:

• DK19 als MP3
• DK19 als OGG

Durch Bitlove könnt ihr beide Dateien über BitTorrent herunterladen.

• MP3 als BitTorrent
• OGG als BitTorrent

Viel Spass beim Anhören und, falls ihr mögt, könnt ihr flattrn.

Die aktuelle Ausgabe von DeimHart beschäftigt sich mit Applikationen unter Debian. Die beiden Moderatoren baten darum, mal die eigene Software aufzuzählen. Mir ist das für einen Kommentar zu lang. Daher mache ich das mal in ein eigenes Blogposting.

Web

1. Mozilla Firefox ist mein Hauptbrowser. Den verwende ich entweder im Rahmen des Tor-Browser-Bundles oder aus der Distribution heraus mit verschiedenen Plugins.
2. Google Chrome oder Chromium ist der zweite in der Reihe. Der Browser bietet nach meiner Ansicht sehr gute Möglichkeiten in die Interna zu schauen. Beispiel gefällig? Gebt mal chrome://net-internals in die Browserzeile ein.
3. Midori war jetzt längere Zeit in der Testphase. Aber mir kann die Software zu wenig bzw. einige Features sind zu umständlich zu bedienen.
4. links2 ist ein Browser, der so ein Zwischending zwischen grafischem und Kommandozeilenbrowser ist. Der ist recht schnell und lässt sich angenehm bedienen.
5. Schließlich nutze ich den w3m als Kommandozeilenbrowser, entweder direkt auf der Shell oder innerhalb von GNU Emacs.

Mail

• Das meistgenutzte Programm für Mails auf meinem Rechner ist mutt. Damit lese und schreibe ich E-Mails. Das Programm hat eine gute Integration für OpenPGP und Mixmaster. Wie ich kürzlich schrieb, ist das Programm recht flexibel. Einer meiner nächsten Beiträge wird das vermutlich weiter unterstreichen.
• Zu mutt gehören noch Procmail und Fetchmail. Die Programme holen die E-Mails von verschiedenen Providern ab und sortieren die nach verschiedenen Regeln.
• Ein Programm, was mit läuft, und mir völlig in Vergessenheit geraten war, ist CRM114. Das Programm sortiert sehr zuverlässig den Spam aus.
• Schließlich läuft auf verschiedenen Rechner ein Postfix.

Virtualisierung

Für die Virtualisierung nutze ich nahezu ausschließlich qemu. Früher hatte ich auch Virtualbox im Einsatz. Jedoch habe ich aktuell keine Verwendung für das Programm.

Multimedia

• Ich höre sehr viele Podcasts und da verwende ich Miro. Mit dem Programm lade ich die herunter und schaue oder höre mir die an.
• Für reine Audiodateien nutze ich cmus. Das ist ein Programm für die Kommandozeile.
• Zum Anschauen von Videos kommt vlc zum Einsatz. Die Software kann mit dem Befehl cvlc über die Kommandozeile bedient werden.

Grafik

Bei der Grafik geht es mir wie den DeimHart-Machern. Ich nutze Gimp, um Bilder auszuschneiden oder grundlegende Operationen zu machen. Mehr kann ich mit der Software nicht.

Zum Betrachten von Fotos nutze ich hauptsächlich feh oder ImageMagick.

Office-Anwendungen

Hier habe ich mit DeimHart ebenfalls eine große Schnittmenge. Ich schreibe sämtliche Texte mit LaTeX. Als Editor verwende ich entweder GNU Emacs oder jed. Letzteres wegen der gute Matheunterstützung in JörgsLaTeXMode. Bei Emacs ist natürlich immer AUCTeX an.

Für das Anzeigen von PDF-Dateien verwendete ich lange Zeit Evince. Davor war es xpdf. Ich bin kürzlich auf MuPDF gestossen. Die Software gefällt mir von Tag zu Tag besser und wird mein Standard-PDF-Viewer werden.

Wenn ich Operationen in PDF-Dateien mache, verwende ich PDFtk.

Chat

Bei Chatsoftware bin ich auch in einer Übergangsphase. Bisher habe ich Bitlbee mit weechat. Ich versuche gerade, mich mit MCabber anzufreunden. Hier läuft im Hintergrund ein Prosody. Das ist ein XMPP-Server.

Bei sämtlichen Chatprogrammen wie auch anderswo, ist mir Verschlüsselung wichtig. Daher können alle Programme Off-the-Record Messaging.

Wenn man Twitter und Co. dazu zählt, gibt es noch ein paar Programme zu erwähnen. Für identi.ca nutze ich GNU Emacs mit dem identica-Modus. Der Maintainer Gabriel Saldaña hat gerade Version 1.3 veröffentlicht. Twitter hat im Emacs einen Twittering-Modus, den ich auch verwende. Früher hatte ich noch Hotot auf dem Rechner. Allerdings wurde die Software von Release zu Release benutzerunfreundlicher. Daher nutze ich Microblogging entweder mit den Modi oder über die Webseite.

Sonstiges

Ich arbeite recht viel auf der Kommandozeile. Um das Terminal zu multiplexen, springe ich zwischen GNU screen und tmux hin und her. Als Shell wird immer eine zsh gestartet.

Viel anderes fällt mir gerade nicht ein. Vermutlich sind das wirklich die Hauptprogramme. Natürlich kommen noch Programme, wie git, awk usw. dazu.

Update: Noch ein paar Sätze zu Microbloggingsoftware geschrieben.

Patrick Beuth hat für die ZEIT ein Experiment gemacht. Er stellte sich die Frage, wie schwierig es für Laien ist, sich anonym und sicher zu bewegen. Diese Erfahrungen schrieb Beutch in der Serie »Mein digitaler Schutzschild« nieder. Für das Experiment kaufte er sich einen neuen Rechner und installierte Ubuntu. Später machte er sich Gedanken zu sicheren Verbindungen über VPN und Tor, nutzte E-Mail-Verschlüsselung mit OpenPGP und verschlüsselte die Festplatte. Die Artikel sind aus der Sicht eines neuen Benutzers geschrieben und sehr interessant zu lesen.

• Mein digitaler Schutzschild
• Ubuntu – die Basis für einen sicheren Computer
• Tor – die Tarnkappe fürs Netz
• VPN – durch einen Tunnel ins Internet
• Hushmail – auch E-Mails können anonym sein
• OpenPGP – E-Mails verschlüsseln, damit sie keine Postkarten mehr sind
• TrueCrypt – der Tresor auf der Festplatte

ZEIT Online macht sogar den Sprung vom Artikel in die Praxis und organisiert am 26. Februar eine CryptoParty. Dort zeigen Patrick Beuth und die Organisatoren der CryptoPartys in Berlin, wie die verschiedenen Werkzeuge zu benutzen sind. So wird die anfängliche Hürde, derartige Werkzeuge zu benutzen sicher kleiner.

Mein Mailprogramm mutt brachte mich kürzlich zur Verzweiflung. Denn beim Öffnen eines Mailordners wollte die Software jede E-Mail öffnen. Insbesondere bei verschlüsselten Mails wurde immer wieder nach dem Passwort gefragt. Enthielt der Ordner mal keine verschlüsselte E-Mail, so erschien immer noch die Meldung Kann keinen Mailcap-Eintrag für [MIME-Typ] finden.. Der MIME-Typ hängt vom eventuellen Anhang der Mail ab. Beispiele sind image/png, application/pdf oder anderes. Wie lässt sich das Problem nun lösen?

Immerhin wusste ich, dass die Probleme nach einem Update auf Ubuntu 12.04 begannen. Also vermutete ich das Problem bei Ubuntu. Allerdings zeigte ein Debian mit derselben Konfiguration gleiches Verhalten. In der Manpage von mutt suchte ich nach einem Debugging-Schalter. Den gibt es nicht. Jedoch lassen sich systemweite und lokale Variablen deaktivieren.

1. mutt -n -F /dev/null war der erste Versuch. Der Schalter -n umgeht die systemweite Konfiguration und -F /dev/null legt den Ort der lokalen Konfiguration fest. In dem Fall bekommt mutt ein Dateiendezeichen (EOF) und nutzt also keine Konfiguration. Mit den Einstellungen trat das Verhalten nicht auf. Also zum nächsten Versuch
2. mutt -F /dev/null nutzt nur die Systemkonfiguration. Auch hier trat das Verhalten nicht auf.
3. mutt -n nutzt nur die lokale Konfiguration. Also war klar, dass ich in meinen Einstellungen weiter suchen muss.

Bei knapp 100 kB an Konfigurationsdateien ist suchen natürlich leichter gesagt als getan. Glücklicherweise habe ich die Dateien mit source eingebunden. So kam ich vergleichsweise schnell auf eine Datei, die sich um die Farbgestaltung der Einträge im Index kümmert. Mit klassischer Binärsuche ging es dann weiter und nach etwa zehn Schritten fand ich den Übeltäter.

color index black black   “! ~b .”

Dieser Eintrag macht bestimmte E-Mails »unsichtbar«. Ich erhalte immermal wieder Spam, der keinerlei Text im Nachrichtenteil enthält. Die obige Regel weist mutt an, den Body (~b) zu durchsuchen. Der Punkt trifft auf ein beliebiges Zeichen zu und das Ausrufezeichen negiert das Ganze. Insgesamt passt diese Regel also auf E-Mail, die keine Zeichen im Body haben. Alle diese E-Mails werden schwarz auf schwarzem Hintergrund gezeichnet.

Jetzt ist also klar, warum mutt unbedingt in diverse E-Mails schauen wollte. Denn nur so kann diese Regel angewendet werden. Also habe ich die zunächst rausgeschmissen. Sven Guckes wies mich später darauf hin, dass mit ~G PGP-Nachrichten ausgeschlossen werden können.

Ich bin mit meinem Mailprogramm nun wieder glücklich und freue mich auf neue E-Mails. :-) 

Im Hintergrund tut Serendipity oder kurz S9Y seinen Dienst. Vor mehr als sieben Jahren stieg ich von Wordpress auf die Software um. Die Software tut im wesentlichen ihren Dienst. Außer, wenn wie heute, ein Plugin merkwürdige Sachen macht.

Ich hatte bis heute abend das Autosave-Plugin installiert. Das speichert die Einträge zwischen und soll eigentlich vor Datenverlust schützen. Bei mir sorgte es dafür, dass die Rezension mehrfach verschwand. Der Grund war, dass ich auf Speichern im Artikelfenster drückte und das Fenster offen liess. Das Plugin wollte einfach alte Werte speichern und löschte so den Beitrag.

Seit dem Jahreswechsel bereitet mir nicht die Blogsoftware Kopfschmerzen, sondern der Spam der eintrudelt. Anfangs hatte ich den Spamschutz aktiviert, den S9Y von Haus aus mitbringt. Dazu setzte ich ein paar Worte auf die Blacklist. Das reichte aus. Nebenan im Datenkanal habe ich noch das Bayes-Plugin im Einsatz. Das wurde von Beginn an angelernt und verrichtet gute Dienste.

Das S9Y Infocamp hat sich nun dem Thema Spamschutz bei S9Y angenommen. In dem Podcast besprechen sie verschiedene Mechanismen. Dabei kommt die Rede auf die SpamBee. Die arbeitet unter anderem mit versteckten CAPTCHAs. Die vier Podcaster sind voll das Lobes. Ich habe den Podcast glücklicherweise zur rechten Zeit gehört. Denn direkt nachdem ich die Biene hier installierte, traf das Blog eine Spamwelle. Von den Lesern hat das vermutlich niemand bemerkt. Die Spambiene hat den Spam wirklich sehr gut abgefangen. Wer also da draußen mit Spam bei S9Y zu kämpfen hat, sollte unbedingt SpamBee probieren. Vermutlich bringt das Plugin Linderung.

Im letzten Blogposting stellte ich die Matrix verschiedener Zensurumgehungssoftware vor. Ich will hier und in den folgenden auf einzelne Software oder Protokolle eingehen. Vielleicht hilft euch das, Vor- und Nachteile der Lösungen zu erkennen.

Die erste Variante in der Reihe sind offene Proxys. Eigentlich wurden die nicht zur Zensurumgehung erfunden, das ist vielmehr ein Nebenaspekt. Proxys dienten zuerst als eine Art Zwischenspeicher in großen Netzen (Firmen). Denn das Internet war langsam und teuer. Also suchten die Betreiber nach Möglichkeiten, es schneller zu machen. Ein Proxy war eine solche Möglichkeit und spielt eine Vermittlerrolle. Die Benutzer eines Proxys fragen Webseiten nicht mehr direkt an, sondern nutzen den indirekten Weg über den Vermittler. Dieser ruft seinerseits die Webseite ab und liefert das Ergebnis weiter. Gleichzeitig speichert der Proxy die Webseite lokal. Kommt nun ein weiterer Benutzer, liefert der Proxy die Webseite aus seinem Speicher aus. Das ist zum einen schneller und zum anderen preiswerter, da kein externer Datenverbrauch entsteht.

Offene Proxys sind Proxys, die von allen benutzt werden können. Doch woher kommen diese offenen Proxys? Ein Teil stammt schlicht von Fehlkonfigurationen. Das heißt, jemand installiert eine Proxysoftware und gibt die dann versehentlich für die Welt frei. Andererseits kann das jemand in bösartiger Absicht tun. In der Hoffnung, dass Fremde die Software nutzen, sich bei Seiten einloggen und dort sensible Daten hinterlassen, wird der Proxy aktiviert. Der Angreifer lauscht mit und bekommt so Zugriff auf die Geheimnisse seiner Nutzer. Dafür würde die konsequente Nutzung verschlüsselter Seiten (HTTPS) schützen. Eine weitere Gruppe von Administratoren sorgt sich um die Sicherheit seiner Nutzer und versucht mit speziellen offenen Webproxys zu helfen. Zu letzterem gehören Seiten wie Morphium.info oder Anonymouse.org. Weiterhin gibt es Listen, wie beispielsweise Xroxy, die beliebige offene Proxys sammeln. Das Firefox-Plugin Stealthy lädt die Listen automatisch herunter und macht die im Browser nutzbar.

Ein Nutzer in einem Land mit Internetzensur kann versuchen, einen offenen Proxy zu verwenden. Als einfache Varianten bieten sich Morphium.info, Anonymouse oder Stealthy an. Oder aber er stellt im Browser einen offenen Proxy ein. Im letztgenannten Fall geht der Aufruf nicht direkt zur gesperrten Webseite, sondern zu dem Proxy. Dieser ruft die Seite auf und liefert das Ergebnis zurück.

Derartige Proxys sind ein sehr einfaches Mittel, Zensur zu umgehen. Leider haben das auch die Zensoren erkannt. Diese rufen häufig einfach die Listen der Proxys ab und sperren die Adressen. Andererseits wies ich oben schon auf den möglichen Missbrauch seitens des Betreibers des Proxys hin. Gegebenenfalls liest der Betreiber mit und nutzt diese Daten später zu seinem Vorteil. Im schlimmsten Fall könnte der Zensor den Betreiber des Proxys »überzeugen«, die Daten spezieller Nutzer mitzuschneiden und ihm diese auszuhändigen. Das heißt, auf der einen Seite sind Proxy zwar einfach. Aber die damit verbundenen Risiken sind nicht von der Hand zu weisen.

Die Lage verbessert sich für den zensierten Nutzer etwas, wenn er gute Freunde hat, die für ihn einen Proxy betreiben. Denn diese sind hoffentlich vertrauenswürdig.

Insgesamt sind die offenen Proxys also ein erster Weg zur Zensurumgehung. Mit etwas Glück funktionieren die im Land. Jedoch sollten die Nutzer sich immer über eventuellen Missbrauch im Klaren sein und entsprechende Gegenmaßnahmen treffen.

Weitere Informationen hat die englischsprachige Wikipediaseite zu Open Proxys oder die deutschsprachige zu Proxys.

In der Fragestunde zu meinem Vortrag beim 29C3 wurde ich unter anderem gefragt, was meine Top Fünf der Zensurumgehungssoftware sind. Ich antwortete, dass ich konkret Tor und den Teilprojekten mein Vertrauen schenken würde. Im folgenden will ich nochmal etwas differenzierter auf diese Frage antworten.

Beim Vortrag hatte ich die untenstehende Matrix von Zensurumgehungsmaßnahmen präsentiert. Das sind Projekte, die mir in der Vorbereitung einfielen. Die Aufstellung ist nicht vollständig. Mir fallen immer mal neue Namen ein. Im Nachgang zu meinem Vortrag wurden noch phantom und RetroShare genannt.

Open Proxys	VPNs	Alkasir
Psiphon	Your Freedom	Collage
Infranet	Tangler	Triangle Boy
Picidae	Message in a bottle	#h00t
Instasurf	Hotspot Shield	WebSecure
Tor	Flashproxys	Bridges
Safeweb	Haystack	Peek-a-booty
Telex	JonDonym	Censorsweeper
Freehaven	Ultrasurf	SWEET
Cirripede	Proximax	Dynaweb

Die grün hinterlegten Felder sind meiner Meinung nach Software, die man zur Zensurumgehung einsetzen kann. Bei den gelben Feldern gibt es einiges zu beachten und die kann daher nicht bedenkenlos verwendet werden.

Den gelben Felder ist gemein, dass in der Regel unbekannt ist, wer Betreiber des Angebotes ist. Das ist jedoch eine recht wichtige Information. Denn der Betreiber hat aufgrund des Modells alle Informationen über die Benutzer. Gegebenenfalls kann er diese weitergeben oder auswerten. Wie ich schon im Vortrag sagte, fiel bei mir, genau aus dem Grund, Ultrasurf durch. Denn im Artikel »Digital Weapons Help Dissidents Punch Holes in China’s Great Firewall« von Wired stand 2010:

This becomes clear when Huang, sitting in a generic chain cafè9 in Cupertino, opens up his laptop to show me a random hour’s worth of UltraSurf’s user logs.

Lines of text zoom by, showing thousands of IP addresses and web pages visited.

Einzig bei Alkasir kenne ich den Betreiber und glaube ihm vertrauen zu können. Daher würde ich hier zu grün tendieren. Jedoch kann er prinzipiell jederzeit in den Internetverkehr schauen. Diese theoretische Schwäche führt zum Gelb.

Einen offenen Proxy, VPN oder einen Picidae-Server kann jeder selbst betreiben. Das heißt, wer Freunde in anderen Ländern hat, kann so etwas aktivieren und damit den Menschen helfen. Ich hoffe, dass ihr dann euren Freunden nicht hinterherspioniert. Sollte jemand einen kommerziellen VPN-Provider in Betracht ziehen, so solltet ihr euch nach Speicherdaten, -dauer etc. erkundigen. Letztlich ist es immer schwer, eine immer funktionierende Lösung zu finden. Denn allen ist gemein, dass man dem Betreiber vertrauen muss. Bei den grünen Lösungen steckt das Vertrauen meist im Design des Systems. In den meisten Fällen könnte auch eine nicht vertrauenswürdige Person den Dienst betreiben, ohne Schaden anzurichten.

Neben Tor wäre mein zweiter Favorit JonDonym. Die Software ist nach meinem Eindruck fast nur als Anonymisierer bekannt. Sie besitzt jedoch auch eine Zensurumgehungsfunktion. Wenn ich mich richtig erinnere, ist diese Funktion auch die Grundlage der Tor Brückenserver. Laut Aussage der Entwickler wird JonDonym kaum gesperrt. Aufgrund des Designs ist die Software auch sicher. Ich erwarte nur Probleme bei der Installation bzw. Benutzung. Denn nach meiner Erfahrung tun sich viele Benutzer mit einer zu installierenden Software, wo zudem noch irgendwelche Fragen gestellt werden, schwer.

Der obige Punkt bringt mich zu Psiphon. Das große Plus der zweiten Variante von Psiphon ist eben die leichte Benutzung. Es reicht, wenn sich der Nutzer sein Login merkt und eine URL in ein Textfeld eingeben kann. Den Rest erledigt die Software. Mit der neuen Version ändert sich das wieder ein wenig. Ich werde mir die demnächst mal anschauen und evtl. dazu bloggen.

Telex habe ich ebenfalls in Grün markiert. Wobei ich mir natürlich bewusst bin, dass es da diverse Schwierigkeiten gibt. Allen voran braucht es Provider, die sich diese Telex-Stationen in ihr Netz stellen. Daneben gibt es derzeit nur einen Prototyp und offensichtlich keine weitere Entwicklung. 

Roger Dingledine hat sich vor einiger Zeit ebenfalls Gedanken gemacht und zehn Dinge zusammengestellt, die ihm bei einer Umgehungssoftware wichtig sind. Letztlich finde ich die Top-Irgendwas-Listen immer schwierig. Denn es ist einfach schwierig eine ausgewogene Wertung zu treffen. Ich denke, einige würden Tor geringer gewichten, da es langsam ist. Dafür mögen die dann Ultrasurf, weil es schnell ist. Ich hingegen ziehe Ultrasurf gar nicht als Werkzeug in Betracht, da es eben die genannten Probleme hat. Ich hoffe, mit den obigen Worten konnte ich euch ein paar Hinweise an die Hand geben.

In aller Welt finden momentan so genannte CryptoPartys statt. Diese sollen in einer entspannten Atmosphäre Nutzer über verschiedene Aspekte von Kryptografie bzw. Anwendungen aufklären. Die erste CryptoParty in Jena steht vor der Tür. Am kommenden Freitag, dem 23. November 2012, startet im Krautspace eine CryptoParty. Ich werde dort ein paar Worte zu Kryptografie im Allgemeinen verlieren und später tiefer in Richtung OTR eintauchen. Vermutlich werde ich nur die theoretische Seite erklären können, da es im Krautspace immer noch kein Internet gibt. Weitere Vorschläge sind im Wiki unter dem Punkt Inhalte aufgelistet. Die Veranstaltung findet nach dem Prinzip der Barcamps statt. Das heißt, wer will, kann einen Vortrag oder Workshop halten.

Ich würde mich freuen, wenn recht viele zu der Veranstaltung kommen und sich von den Vorteilen der Kryptografie überzeugen lassen. Vermutlich sind auch Reporter von Dradio Kultur anwesend. Also seid darauf gefasst, interviewt zu werden.

Update: Kleinen Fehler beseitigt. Vielen Dank an fpunktk

Der Verlag Open Source Press twitterte soeben: »Neuauflage mit #JonDo-Live-CD für anonymes surfen, mailen, chatten! “Anonym im Netz” (J.Kubieziel) jetzt lieferbar.« Damit ist nun die dritte Auflage meines Buches »Anonym im Netz« draußen. Ich habe die Inhalte wieder aufpoliert, die Struktur einiger Kapitel angepasst. Aber die größte Neuerung ist eine beigelegte CD. Die JonDo Live-CD hat alle wichtigen Anonymisierungsdienste vorinstalliert. Der Leser legt die einfach in das CD-Fach und kann sofort ausprobieren. Ich hoffe, das Buch findet wieder großen Anklang. Solltet ihr Fehler finden, schreibt mir eine E-Mail oder hinterlasst hier einen Kommentar. Die Fehler werden dann in der folgenden Ausgabe ausgebessert.

Gegen Ende des letzten Jahres hörte ich den Vortrag von Luis von Ahn. Er erzählte zuerst ein paar interessante Details zu ReCAPTCHA. Danach kam er auf sein neues Projekt, Duolingo, zu sprechen. Während reCAPTCHA hilft, Bücher zu digitalisieren, soll Duolingo helfen, das Web zu übersetzen. Wie soll das gehen?

Die Seite sammelt Leute, die eine Sprache lernen wollen. Derzeit werden die Sprachen Deutsch, Englisch und Spanisch angeboten. Sobald man angemeldet ist, bekommt man kleine Lernbausteine vorgesetzt. Wie im Sprachunterricht, lernt man kleine Wörter und Sätze. Dabei muss man einen Text von Sprache A nach B und von B nach A übersetzen. Es gibt Hörbeispiele, die man in der Originalsprache wiedergeben muss. Die einzelnen Bausteine sind dabei zum Teil voneinander abhängig, d.h. es muss erst einer erfolgreich absolviert werden, bevor ein anderer begonnen werden kann. Der Skill Tree links zeigt die bisher absolvierten Module und der Strich zwischen den Modulen stellt die Abhängigkeit dar. So muss von dem Baustein Phrases erst Basics 1 absolviert sein und vor Food kommt Basics 2 und damit auch Basics 1. Erfahrene Sprecher können eine Abkürzung nehmen. Es gibt mehrere Meilensteine. Wenn man der Meinung ist, alles gut zu beherrschen, macht man einen Test. Wenn dieser erfolgreich ausgeht, muss man nicht jedes Einzelmodul absolvieren.

Neben dem Erlernen der Bausteine bietet Duolingo eine tägliche Übungseinheit an. Damit wird das bisher Gelernte einfach wiederholt. Der grüne Stern in obigem Bild zeigt das nächste empfohlene Modul an. Der Fortschrittsbalken innerhalb der Bausteine steht zum einen dafür, dass das Modul erfolgreich gelernt wurde und zum anderen auch dafür, dass man »Zusatzleistungen« erbracht hat.

Genau die Zusatzleistungen sind das Übersetzen fremder Webseiten. Quasi sofort nachdem der erste Baustein absolviert wurde, werden bestimmte Webseiten angezeigt. Nun kann man diese Satz für Satz übersetzen. Jeder Satz bringt eine gewisse Anzahl Punkte. Ich hatte schon mehrfach Texte von Diario del Viajero. Ein Eintrag wird satzweise zerhackt und man übersetzt. Man kann über jedes Wort mit der Maus fahren und bekommt Übersetzungen präsentiert. Gerade am Anfang, wo die Sprachkenntnisse eher dürftig sind, bekommt man den Text halbwegs zusammen. Ist die Übersetzung dann abgeschickt, so kann man Übersetzungen anderer Nutzer bewerten. Dadurch versucht Duolingo die Spreu vom Weizen zu trennen und auf  die im Video erwähnten guten Leistungen zu kommen.

Anfangs ist das Übersetzen eher mühselig. Denn pro Satz kennt man nur wenige Worte. Das sorgte bei mir auch für ein wenig Frustration. Daher fände ich es besser, wenn für die ersten Bausteine Webseiten mit einfachen Texten gewählt würden. Ich könnte mir vorstellen, dass gerade Seiten für Kinder sinnvoll wären. Denn wenn der Nutzer mehr Worte kennt, ist das initiale Erfolgserlebnis höher. Auf der anderen Seite hatte ich einige Seiten eines Rezepteblogs zu übersetzen. Bei den Zutaten werden ähnliche Worte verwendet und da stellte sich ein gewisser Lerneffekt ein. 

Ich empfand die Bedienung der Webseite manchmal ein wenig hakelig. Im Allgemeinen fährt man gut, wenn man dem grünen Stern folgt. Das heißt, genau das machen, was empfohlen wird. Daneben erzeugt das JavaScript auf meinen Rechner eine hohe Last. Auch das gezielte Deaktivieren einiger Schnippsel half nicht.

Was ich mich die ganze Zeit frage, ist was denn mit der Übersetzung passiert. Es wäre ja sinnvoll, wenn diese der Originalseite zur Verfügung gestellt werden. Rene meinte kürzlich, dass sein Blog von Duolingo bearbeitet wird. Aus meiner Sicht wäre es sinnvoll, wenn Duolingo auf den Betreiber zukommt und ihm anbietet die übersetzten Inhalte einzubinden.

Alles in allem halte ich Duolingo für ein sehr spannendes Projekt. Falls ihr Lust habt, Englisch oder Spanisch (vermutlich könnt ihr bereits Deutsch ) zu lernen solltet ihr euch anmelden. Ich hoffe, dass es bald weitere Sprachen zur Auswahl gibt. 

Jacob Appelbaum hat bei der Konferenz eine Keynote gehalten. Er geht hier sehr stark auf den Begriff der Freiheit ein, den Richard Stallman geprägt hat und erzählt etwas über Lawful Interception sowie Zensur.

Ich will kurz Werbung für ein neues Projekt von Jörg und mir machen. Seit dem 10. Januar sind wir unter die Radio- und Podcastmacher gegangen. Der Offene Hörfunkkanal Jena bot uns die Möglichkeit, eine Radiosendung zu produzieren und live über den Äther auszustrahlen. Wir versuchen daraus eine monatliche Sendung zu machen. Die Themen kommen aus dem Bereich Computer und Datenverarbeitung im weiteren Sinne. Die Webseite datenkanal.org wird sich langsam mit Inhalten füllen. Der erste Podcast steht schon online. Schaut doch mal nebenan vorbei und hört rein.

Der Startschuss für die Chemnitzer Linux-Tage 2012 ist gefallen. Sie werden am 17. und 18. März 2012 stattfinden und stehen unter dem Motto »Kernelkraft und erneuerbare Synergien«. Wenn ihr also etwas Interessantes rund um das Thema GNU/Linux zu berichten habt, dann reicht einen Vortrag ein oder versucht einen Stand zu registrieren. Ich freue  mich schon auf zwei spannende Tage im nächsten Jahr.

Der Stura der Uni Jena hatte mich gebeten, einen Vortrag zum Staatstrojaner zu halten. Dem kam ich natürlich gern nach und gestern war es dann soweit. Dabei muss ich mich entschuldigen, dass ich vergass, das hier anzukündigen. Beschwerden wurden entgegengenommen und ich versuche mich zu bessern.

Bei der Vorbereitung fiel mir wieder ein, dass ich bereits 2008 einen Vortrag und eine Ausarbeitung im Rahmen eines Proseminars schrieb. Die damalige Einleitung nutzte ich dann wieder.  Im Verlauf des Vortrages bewegte ich mich entlang einer Zeitachse von 2005 und griff mir einige wichtige Punkte heraus. Schließlich kam ich zu den gefundenen Trojanern und stellte die erste sowie die aktuelle, zweite Veröffentlichung vor. Beim rechtlichen Teil versuchte ich, einige wichtige Artikel des Grundgesetzes vorzustellen und erklärte, wie das Bundesverfassungsgericht daraus weitere Rechte ableitet. Schließlich ging ich auf das Urteil zur Online-Durchsuchung und die Diskussion ein. Einige weitere Schlaglichter aus der aktuellen Entwicklung rundeten das Ganze ab. Im letzten Teil versuchte ich anhand von Videos und Interviewaussagen von Politikern mal den Spin und teils die Unwahrheiten nachzuzeichnen.

Im Anschluss gab es dann eine längere Diskussion. Für mich war das eine sehr schöne, weil lebhafte Veranstaltung.  Ich kann nur hoffen, dass die Zuhörer das ebenso gesehen haben. Meine Folien befinden sich mittlerweile online. Die PDF-Datei ist knapp 7MB groß.

Das Desaster um die niederländische Zertifizierungsstelle DigiNotar zieht derzeit immer noch seine Kreise. Mir scheint es noch zu früh, um hier etwas dazu zu schreiben. Vielmehr will ich ein paar Worte verlieren, wie ich „meine eigene CA betreibe“. Denn schon seit längerem vertraue ich nicht, den von den Browsern mitgelieferten Zertifizierungsstellen (CA). Zumeist lösche ich alle und gebe dann einzeln Vertrauen.

Der beste Weg, um einem SSL-Zertifikat zu vertrauen, wäre, sich bei dem Betreiber zu melden und über einen sicheren Kanal den Fingerprint des Zertifikats zu klären. Mein Browser zeigt mit für die Seite Wikipedia-SSL-Seite den Fingerprint (SHA-1) BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E an. Wenn ich bei der Wikipedia anrufe und diese mir denselben nennen, so habe ich das korrekte Zertifikat. Dabei nehme ich natürlich an, dass das Telefon ein sicherer Weg zum Austausch der Informationen ist. Aber beispielsweise druckt die lokale Sparkasse eben diesen Fingerprint auf ihre Dokumente. Damit kann ich das als Kunde leicht verifizieren.

Wie das Beispiel Wikipedia aber schon zeigt, ergibt sich da ein Problem.Woher bekomme ich den Fingerprint? Muss ich bei Jimmy Wales direkt anrufen oder gar nach FloridaKalifornien¹ reisen? Hier kam nun meine Idee ins Spiel.

Ich habe auf diversen Servern einen Zugang, d.h. ich kann mich von der Ferne einloggen und dann dort arbeiten. Die Rechner stehen in verschiedenen Netzen und zum Teil auf verschiedenen Kontinenten. Nun logge ich mich auf den Servern ein, lade das Zertifikat herunter und lasse mir den Fingerprint anzeigen. Wenn dieser auf allen Rechner gleich ist, dann gehe ich davon aus, dass ich das korrekte Zertifikat angezeigt bekomme. In dem Fall akzeptiere ich das und vertraue dem. Sollten die Fingerprints abweichen, dann akzeptiere ich das nicht und recherchiere dem in der Regel ein wenig hinterher.

Jörg Sommer hat das nun ein wenig automatisiert und ein Skript geschrieben. Das wird folgendermaßen aufgerufen:

ssl-fp-check [-l] sslsi.te[:port] ssh1 [ssh2] [ssh3] ...

Dabei ist sslsi.te die Webseite, die geprüft werden soll. Ohne die Angabe eines Ports verwendet das Skript standardmäßig 443. Danach wird eine oder mehrere SSH-Verbindungen angegeben. Das Skript wird nun versuchen, sich überall einzuloggen und gibt dann den Fingerprint aus. Für den Fall, dass es auf dem Zielsystem kein OpenSSL gibt, existiert die Option -l. Dabei wird dann ein Tunnel gebaut und das lokale installierte OpenSSL verwendet.

Also für Wikimedia habe ich folgendes eingeben:

ssl-fp-check secure.wikimedia.org a b c d
a: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E
b: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E
c: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E
d: SHA1 Fingerprint=BA:8A:BE:34:B1:34:3B:AF:06:05:4B:48:A9:27:AA:D9:B4:75:45:6E

Die SSH-Server a, b, c und d gaben also denselben Fingerprint aus. Also würde ich dem ganzen doch vertrauen.

Ich werde das Skript jetzt wahrscheinlich immer verwenden. Es macht das Leben doch deutlich einfacher.