Donnerstag, 21. Januar 2016

TrueCrypt kicken?

Heute wurde ich gefragt, ob man statt TrueCrypt nicht besser Encrypto von MacPaw einsetzen sollte, da die Entwicklung von TC ja 2014 eingestellt wurde. Nun würden einschlägige Experten-Seiten von Sicherheitslücken sprechen. Außerdem zeige TC Fehler unter Windows 10, sofern es denn überhaupt laufe.

Antwort:

Lieber Kunde,

hier die Pressemeldung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur TrueCrypt-Sicherheitsstudie des Fraunhofer-Instituts vom 15.11.2015. Damit ist eigentlich alles gesagt. Was selbst Behörden für Verschlusssachen recht ist, sollte Dir billig sein.

Davon abgesehen ist meines Wissens noch niemals eine TrueCrypt- Verschlüsselung geknackt worden, wenn alle wichtigen Prozeduren, wie z.B. sicheres Passwort, eingehalten wurden. Generell ist es für professionelle Anwender schwierig, 1.) nicht-kommerzielle Open-Source-Software einzusetzen, die 2.) nicht mehr weiterentwickelt wird, da man im Problemfall auf Hersteller-Support zugreifen möchte. Im Falle von TrueCrypt ist das Produkt aber praktisch "fertig" und, bis auf kleine, unwesentliche Bugs, die bei einem Auditing gefunden wurden, quasi fehlerfrei. Diese Bugs wurden in der kompatiblen Fork VeraCrypt geschlossen.

Des weiteren macht die Security-Industrie Stimmung gegen TrueCrypt, weil sie ihre kostenpflichtigen Produkte verkaufen möchte. Die haben aber in der Regel zwei Haken: 1.) sie sind nicht Open-Source, d.h. es gibt kein Peer-Review und niemand kann garantieren, dass es nicht Hintertüren gibt, und 2.) es hat bereits viel zu viele Hintertüren bei bekannten, vielfach verwendeten Verschlüssellungsprodukten gegeben, als dass man sich auf Hersteller-Beteuerungen verlassen könnte. So hat z.B. der Marktführer RSA im geheimen 10 Mio. Dollar von der NSA bekommen, um seine renommierten Verschlüsselungsprodukte aufzuweichen und für die NSA knackbar zu machen.

Was die Community vom vorgeschlagenen "Gratis-Tool" Encrypto hält, kannst Du auf heise.de bei den Kommentaren zum Produkt nachlesen. Dann wirst auch Du die Hände über dem Kopf zusammenschlagen.

Bereits seit dem ersten Insider-Pre-Release von Microsoft nutze ich TrueCrypt 7.1a unter Windows 10. Alle meine externen Festplatten-Partitionen sind vollständig TC-verschlüsselt, und ich habe da noch nie eine Fehlermeldung gesehen oder ein Problem gehabt.

Grüße
Jan

Montag, 23. März 2015

Fotolia-Bilder auf Webseite und Facebook rechtssicher verwenden

Fast jeder postet oder teilt manchmal Fotos, an denen er keine ausreichenden Rechte besitzt. Um nicht organisierten Abzocker- und Abmahnanwälten ins Netz zu gehen und schnell mal einen 4-stelligen Betrag abdrücken zu müssen, ist es ratsam, eine ordentliche Nutzungslizenz zu erwerben, z.B. bei Fotolia (mein Affiliate-Link). Doch damit ist man leider noch lange nicht auf der sicheren, sprich: nicht-abmahnfähigen Seite. Zur Klärung meiner Fragen habe ich mit Fotolia 2x lange telefoniert und interessante Auskünfte erhalten, die mir anschließend auch nochmal schriftlich bestätigt wurden:
  • Die Urheberangaben sollten grundsätzlich präferiert am Bild erfolgen. Auf einer eigenen Webseite reicht es aber, den Fotografen und Fotolia.com im Impressum zu nennen. Ein Copyrightvermerk am Bild, eine Verlinkung auf Fotolia.com oder die genaue Bildbezeichnung sind nicht notwendig. Beispiel: https://www.webbuggy.de#impressum
  • ACHTUNG: Bilder, die man auf (s)eine Webseite hochlädt, dürfen max. 2.000 x 2.000 groß sein! Wenn man z.B. mit der Standard-L-Lizenz Nutzungsrechte für ein 3.327 x 2.199 großes Bild erwirbt, dann muss man es erst verkleinern, bevor man es hochlädt, ungeachtet der Erlaubnis unter "Was darf ich?", die besagt "Verwendung des Werkes in allen ... Webseiten".
  • Die Lizenzbedingungen besagen, dass in sozialen Medien, z.B. Facebook, nur Bilder verwendet werden dürfen, die "social media"-fähig sind. Das bedeutet, dass sie nicht größer als 1.000 x 1.000 sein dürfen und einen Copyright-Vermerk mit Quellenangabe und Bildnummer in der Form "©Autor – Fotolia.com #Bildnummer" tragen müssen. Was im Impressum steht, ist unerheblich. Der Vermerk muss jedoch nur in der Bild-Vollansicht sichtbar sein, nicht in der Darstellung eines Ausschnittes. Jetzt gibt es drei Möglichkeiten: Entweder man lädt nach dem Kauf im Downloadbereich das angebotene social-media-fähige Bild gleich mit runter. Die Dimensionen sind 852 x 603 und der Copyrightvermerk ist schon angebracht. Alternativ kann man das Originalbild bearbeiten. Die aktuellen Facebook-Titelbild-Dimensionen betragen 851 x 315. Entsprechend  beschneide und skaliere man das Bild mit Photoshop. Den Copyrightvermerk kann man dann direkt auf das Bild schreiben. Oder man fügt am unteren Bildrand einen weißen ca. 20px-hohen Streifen an, so dass das Bild nun 851 x 335 groß ist. In diesen Rand platziert man den Copyrightvermerk. Bei der Positionierung des Facebook-Titelbildes verschiebt man das Bild dann so nach unten, dass der Rand nicht mehr sichtbar ist. Beispiel: http://www.facebook.com/WebBuggy
  • Wenn man eine Webseite auf Facebook teilt, dann wird ein Vorschau-Bild eingeblendet. Welches das ist, kann man auf der eigenen Webseite mit META-Tags für das Open Graph Protocol genau vorgeben. Das anzuzeigende Foto liegt dann auf der eigenen Webseite und darf deshalb bis zu 2.000 x 2.000 sein, obwohl es in sozialen Medien angezeigt werden wird. Facebook empfiehlt für dieses Foto mindestens 1.200 x 630. Auch dieses Foto sollte einen eingebetteten Copyrightvermerk haben. Wenn schon einmal ein Vorschaufoto für diese Webseite von Facebook gezeigt wurde, dann empfiehlt es sich, dass geänderte Foto anders zu benennen und die Webseite mit dem Facebook Object Debugger neu zu cachen, denn sonst erscheint beim Teilen immer wieder das alte Bild.
  • Die Verwendung von Bildern und Grafiken als Profilbild bzw. Avantar begründet auch bei kommerziellen Accounts kein Markenlogo und läuft somit nicht den Fotolia-Bestimmungen entgegen. Die Rechte Dritter, z.B. von Modellen, sind jedoch zu beachten!
Soviel zur Fotolia-Lizenz. Bei anderen Anbietern sind die Bedingungen ähnlich differenziert. Ohne eingehende Beschäftigung macht man wahrscheinlich unwissend kostspielige Fehler.

HAFTUNGSAUSSCHLUSS: Alle Infos ohne Gewähr! Im Zweifel bitte einen Medienrechtsanwalt beauftragen.

Donnerstag, 18. Dezember 2014

Überlegung zum eigenen E-Mail-Server

Ich betreibe einen eigenen kleinen Internet-Server (ich nenne ihn „Snowden Box“), nicht bei einem der gängigen Provider, sondern bei mir zu Hause. Die Idee dahinter hat mit Datensicherheit zu tun. Seit der Snowden- Affäre misstraue ich Apple, Google und Konsorten, da sie mit der NSA zusammenarbeiten (müssen). Jetzt speichere und synchronisiere ich meine Notizen, Adresse, Termine, Erinnerungen, Fotos und sonstige Dateien über meinen eigenen, hochsicheren Server, ganz ohne iCloud, Dropbox usw.

Nun stellte sich mir die Frage, ob ich aus Sicherheitsgründen auch einen eigenen E-Mail-Dienst auf den Server installieren sollte, über den ich fortan sende und empfange, statt GMX, Web.de usw. Die Antwort lautet nein.

Sendet man nämlich E-Mails weiterhin unverschlüsselt, dann nütze einem auch der eigene, sichere Mail-Server nichts. Zwar sollte niemand von außen auf mein Postfach zugreifen können, um es zu filzen. Doch während der Übertragung im Internet gehen die Mails über viele unverschlüsselte Leitungen und werden von vielen unsicheren Servern zwischengespeichert. Dort bieten sich zu genüge Ansätze, mitzuhören und mitzuschneiden.

Die einzig sinnvolle Verschlüsselung von E-Mails ist die Ende-zu-Ende-Verschlüsselung, bei der der Sender die Mail mit seinem Mailprogramm, z.B. Outlook oder Thunderbird, vor dem Absenden verschlüsselt. Der Empfänger dechiffriert die Mail dann nach dem Empfang. Daher der Name Ende-zu-Ende. Auf zusätzliche Sicherheit während der Übertragung im Internet ist man dann nicht angewiesen.

Noch Fragen?

Donnerstag, 21. August 2014

RGB-CMYK-Konversion mit Gimp und Seperate

Heute habe ich das Seperate+ Plug-in für Gimp 2.8 auf 64bit-Windows zum Laufen bekommmen. Damit nicht noch jemand mit Suchen und Probieren seine wertvolle Zeit so verschwendet wie ich heute, habe ich mein Know-How hier mal kurz zusammengefasst.

Mit dem Seperate-Plug-is kann man Bilder, die mit Gimp im RGB-Farbraum erzeugt wurden in ein Pseudo CMYK-Farbraum umwandeln, bevor man die Datei an eine Druckerei sendet. Das Plug-in im Zusammenspiel mit Gimp scheint abseits von teuren Adobe-Produkten die einzige kostenlose Lösung zu sein, die es dafür gibt.

Wie viele Nutzer hatte ich allerlei Probleme, und sämtliche Web-Tipps, die so im Umlauf sind, habe ich erfolglos ausprobiert, ohne das es klappte … bis auf einen, den ich dann irgendwann zufällig fand.

Folgende Dinge hatte ich bereits erledigt:

1. All-in-one (aio) – Installer mit aktuellen .NET, C++ Distribution Kits, Flash, Direct-X usw. von Computerbase geladen und installiert.

2. Das Seperate-Plug-In für x64 (Alpha-Version 0.5.9) geladen und die drei enthaltenen .exe-Dateien icc_colorspace, separate und separate_import ins Verzeichnis /.gimp-2.8/plug-ins entpackt.

3. Die ICC–Dateien von Adobe geholt und ins Verzeichnis /windows/system32/spool/drivers/color entpackt. Besser für Cmyk sei aber das Profil ISOcoated_v2_300_eci

4. libtiff3.dll geladen und ins Verzeichnis Gimp/bin entpackt. Dort nach libtiff-3.dll umbenannt.

All das half nichts. Zuerst gab es beim Gimp-Start immer die Fehlermeldung, libtiff3 würde nicht gefunden werden. Nachdem Schritt 4 ausgeführt wurde, gab es u.a. immer einen 0xc000007b - Fehler, für den die Community generell Schritt 1 empfiehlt.

Dann habe ich einen genialen Trick entdeckt, der auch wirklich funktionierte: Installiere Gimp-Portable . Dort ist nämlich das Seperate+-Plug-in bereits lauffähig integriert. Kopiere die drei exe-Dateien aus dem Plug-in-Verzeichnis der Portable-Version nach GIMP 2\lib\gimp\2.0\plug-ins. Danach kann die Portable-Version wieder gelöscht werden. Jetzt funzt Gimp mit Seperate!

Samstag, 12. April 2014

Phishing Mail von PayPal

click to enlarge
Habe heute wieder eine unglaublich perfekte Phishing-Mail erhalten, diesmal vorgeblich von "PayPal". Die Zeit, in der man solche Versuche am unprofessionellen Format oder Fehlern erkennen konnte, scheint endgültig vorbei. Heute zählt 1.) gesundes Misstrauen: würde diese Firma mich auf diese Weise kontaktieren, wenn es wirklich dieses Problem gäbe? Die Antwort: sicherlich nicht, wenn es sich um Banking-Dienste handelt. Und 2.) genau technisch untersuchen. In den E-Mail-Header schauen, von welchem Absender und über welche Server diese Mail gekommen ist. Da hat es sich dann in der Regel erledigt. Und last but not least: wenn man wirklich einmal so einem falschen Link folgt und auf einer täuschend echt aussehenden Seite landet, dann anhand des Schlosses im Webbrowser prüfen, dass man eine verschlüsselte Verbindung zu einen verifizierten Seite hat, und dass diese Seite wirklich diejenige ist, die man erwartet. Vorsicht ist auch hier geboten: Neuerdings gibt es Seiten, die als Favi-Icon (also als eigenes Mini-Symbol) vor ihrem Seitennamen ein grünes Schloss einblenden. Schloss ist also auch nicht gleich Schloss und gehört überprüft. - Ja, es ist wirklich für jeden notwendig, grundlegende Sicherheitskompetenz zu besitzen, wenn man sich im Internet bewegt.

Freitag, 21. März 2014

Neue Facebook-Gesichtserkennung mit 97 % Trefferquote


Donnerstag, 20. Februar 2014

ChatSecure, die sichere WhatsApp-Alternative

Netzpolitik.org erklärte den heutigen Tag zum "Deinstalliere WhatsApp-Tag". Wieso? - Weil es Bedenken gibt, dass Zuckerberg nach dieser Aquise irgendwie die vielen Milliarden durch Verwertung der WhatsApp-Benutzerdaten wieder reinholen will (und muss). Das ist doch ein guter Anlass, statt WhatsApp einen wirklich sicheren und flexiblen Client zu installieren, also einen, bei dem der Partner nicht zwangsweise dasselbe Chat-Programm braucht. Außerdem natürlich richtig NSA-gehärtet. Und da fällt mir spontan nur ChatSecure ein. In Stichworten: Open Source, XMPP und OTR, u.a. Facebook-Chat und Google-Talk kompatibel, iOS- und Android-Versionen verfügbar, alles kostenlos.

Für Security-Anfänger und Einsteiger ist das erfahrungsgemäß alles etwas kompliziert, aber man kommt um eine Beschäftiung mit der Materie nicht herum. Wer es bloß haben und nutzen will, dem kann ich es auf PC, Mac, iPhone und Android-Handy einrichten, inkl. XMPP und OTR-Einführung.