Update (mal ganz oben, weil es wichtig ist.)

demail

Mittlerweile sollte jeder, der sich ein bisschen für Technik interessiert mitbekommen haben, dass DE-Mail aus Anwendersicht keine gute Idee ist. Hier nochmal ein weiterer Grund.

Wer DE-Mail nutzt, kann in einem Verbund aus Anbieten mit anderen Nutzern kommunizieren. Wie vertraulich das ist, hängt also nicht nur vom eigenen Anbieter ab, sondern auch von dem gegenüber eingesetzten. Bei diesem kann man selbst nicht entscheiden wer dies sein soll.

DE-Mail bietet auch die Telekom an, die sicherlich einige Prozentpunkte im Marktanteil an DE-Mail haben wird.

Allerdings ist mein Vertrauen in die Kompetenz in Sachen Verschlüsselung – nunja – erschüttert.

Teil 1 – Support über einen fragwürdigen Kanal

Zunächst entdeckte ich durch umherklicken, dass die Twitter-Supportseite RC4 in Chrome automatisch nutzt.

Telekom RC4

Das Bundesamt für Sicherheit in der Informationstechnik sagt dazu nein (PDF Seiten 8 und 9).

Was unterstützt der Server also überhaupt?

Da wäre AES256-SHA eine bessere Option, offensichtlich will der Server aber unbedingt den unsicheren Algorithmus RC4 benutzen.

Kurz nachgefragt, welche IPv4-Adresse hinter der URL steckt:

Und ein Whois gefahren:

Ein externer Dienstleister also, der herangezogen wird und keine Verschlüsselung kann. Das ist abgesehen von der schlechten Verschlüsselung nicht schön für mein Verständnis. Die schlechte Verschlüsselung ist dagegen falsch, da das grüne Schloss im Browser den Nutzer zu unrecht in Sicherheit wägt und so unter Umständen mehr Schaden als eine unverschlüsselte Seite anrichten kann.

Also habe ich den Support darauf hingewiesen.

Dieser konnte aber bis heute noch keine Erklärung dazu geben.

Soweit so interessant.

Teil 2 – Eigene Verschlüsselung

Heute dann der nächste Teil. Entdeckt durch @grauhut.

Ruft man telekom.de verschlüsselt auf, präsentiert der Server ein Zertifikat, welches nur auf www.telekom.de gültig ist. Die Folge ist eine Terrorpanikwarnung.
Da die Telekom als CA selbst in der Position ist, gültige Zertifikate zu erstellen, wäre es ein Aufwand von wenigen Minuten ein Zertifikat zu generieren und über den Server ausliefern zu lassen. Zur Information: Das Zertifikat für das DFN (Deutsches Forschungsnetz) ist durch die Telekom signiert und damit wiederum indirekt alle Zertifikate deutscher Universitäten (Mail und Web).

Die Zertifikate der EndkundenMobilfunkkunden und Geschäftskunden sind mit SHA1 gehashed. Auch dieser Algorithmus hat bekannte Schwächen und darf laut BSI nur noch bis 2015 (PDF Seite 9) eingesetzt werden. Das Endkundenzertifikat ist allerdings noch bis 12.08.16 gültig und entspricht damit nicht den Anforderungen des BSI, sollte es nicht bis 31.12.15 ausgetauscht werden.

Schön ist SHA1 jetzt schon nicht mehr. Und für wirklich vertrauliche Kommunikation bevorzuge ich andere Algorithmen. Und sowieso kein System, bei dem der Betreiber als Dritter mitlesen kann.

Die besten Tweets im April

Von Mainboarder am 7.05.2015 veröffentlicht
Tags:

GoDaddy is RFC ignorant

Von Mainboarder am 22.04.2015 veröffentlicht
Tags: ,

While taking a look into my abuse-incident-ticketsystem I recognized some 40 attacks from GoDaddy autonomous systems. As usual I sent them semi automatic to the given whois abuse adresses. Because of the relative high number of incidents I also asked the support whether there is something going on (like botnet or so). They wanted to know more information and so I passed a list of IP-adresses to them. They replied with just an IP-adress they can not help and asked for an incident ID which I should receive if I use a special abuse form on there website.

My reply was: I will not manually fill out over 40 forms – one for every abuse incident. Therefore are whois mailadresses and also RFC 2142. Indeed the abuse [] godaddy.com adress exists. I see in logfiles that all mails were received. I never received an answer that abuse reports can not be handled by this address.
There was also support [] godaddy.com mentioned but this is just an autoresponder with a link to the previously mentioned form.

This means GoDaddy outsources the manual part of abuse handling to attacked people, ignores a de facto standard of the internet and calls this appropriate internet behaviour.

If the attacks keep on going, I will have to nullroute some autonomous systems.

Dieser Beitrag ist in englischer Spracher verfasst, weil GoDaddy vorallem englischsprachige Zielgruppen hat und in Deutschland keine übermäßig großen Marktanteile besitzt.

Die besten Tweets im März

Von Mainboarder am 1.04.2015 veröffentlicht
Tags:

Faktenvalidierung bei ARD und ZDF

Von Mainboarder am 30.03.2015 veröffentlicht
Tags: , , , , , , , ,

Gefühlt ein sehr großer Teil der Leute in meiner Wahrnehmung sind mit der Berichterstattung nach dem Germanwings Flugzeugunglück zumindest unzufrieden. Gestern erfuhr ich, dass sowohl ARD als auch das ZDF mit einem Foto falsche identifizierende Berichterstattung betrieben. Nicht nur in Zeiten von “Lügenpresse”-Rufen mehr als peinlich.

Mit dem Flugzeugunglück wurden menschliche Abgründe sichtbar. So wie Journalisten witwenschütteln, ohne jegliche Rücksicht auf die direkt oder indirekt betroffenen Menschen und den daraus resultierenden Nachrichtenwert (Bilder von Trauer), bereitet es mir derzeit jedenfalls regelmäßig eine dicke Halsschlagader. Da wird spekuliert und politisiert, auf eine Art und Weise die einfach nur eklig ist.

Auch das öffentlich rechtliche Fernsehen, was wir mit Gebühren finanzieren, damit es nicht auf Werbung und Einschaltquoten angewiesen ist und sich auf vernünftige Berichterstattung konzentrieren kann, reiht sich in die Reihe der ethisch-abartigen Berichterstattung ein. Wobei ich mit dem Begriff Berichterstattung aus folgendem Grund vorsichtig wäre:

ZDF KorrekturBerichterstattung bezeichnet das Informieren über ein aktuelles Ereignis. Da beide Sender nun aber offenbar Bilder einer vollkommen unbeteiligten Person mit wohl entfernter Ähnlichkeit zum mutmaßlichen(!) Unglücksverursacher diesem auch zuschrieben, kann nur noch schwer von “Informieren” und Berichterstattung die Rede sein.

Es ist die Aufgabe von Journalisten Fakten zu sammeln, zu verifizieren und in einen sinnvollen Zusammenhang zu bringen. Alles was ich derzeit sehe ist das Fakten sammeln und in irgendeinen Zusammenhang bringen. Das bringt aber niemanden weiter.

Und gerade in Zeiten, wo Leute auf der Straße “Lügenpresse” rufen, sollte man nicht einfach der schnellste sein, sondern wirklich ehrliche Nachrichten bringen.

Es ist klar, dass nicht jedes Medienhaus alles vollumfänglich abdecken kann, aber wenn jeder Presseagenturmeldungen verbreitet, welchen Grund hat man, genau ein spezielles Angebot aufzurufen? Wäre es nicht sinnvoller, wenn sich jeder Journalist wirklich intensiv mit einem Thema befasst, statt die Person in die Öffentlichkeit zu zerren, die schon andere fälschlicherweise in die Öffentlichkeit zerrten?