„Was jeder über Smartphones, das Internet und digitale Privatsphäre unbedingt
wissen sollte“ war das Thema des Beitrags des Zentrums für Informations- und Mediendienste (ZIM) zu den “Unikids” der Universität Duisburg-Essen am 16. März 2016. Dafür haben mein Kollege Andreas Michels und ich einen Vortrag speziell für das junge Publikum der 8- bis 12-jährigen Schüler konzipiert. Fragen wie

  • Was ist eigentlich digitale Privatsphäre und was passiert mit meinen Daten im Internet?
  • Wem gehören meine Fotos?
  • Wie funktioniert das mit den APPs und was essen eigentlich Programmierer?
  • Weiß Google wirklich alles und vergisst das Internet niemals etwas?

wurden in dem Vortrag behandelt und speziell für die Zielgruppe aufbereitet.

Circa 700 Kinder verfolgten gespannt den Vortrag im großen LX-Hörsaal in Duisburg, während Ihre Eltern im Nachbarhörsaal den Vortrag per Videoübertragung sehen konnten. Die hohe Zahl der Anmeldungen – die Veranstaltung war „ausverkauft – ist der Thematik geschuldet, die anscheinend bei Eltern und Kindern einen Nerv getroffen hat.

Wir haben den Vortrag auch für Umfragen mit farbigen Abstimmungszetteln genutzt und waren überrascht, wie viele von den 8-12 jährigen bereits über ein eigenes Smartphone verfügen. Auch die Verbreitung der Apps der Sozialen Netzwerke war viel höher als erwartet. Die AGBs von Facebook sehen eigentlich ein Mindestalter von 13 Jahren, die von WhatsUp gar 16 Jahren. vor. Da jeder Nutzer von Android-Smartphones (ca. 80% der Kinder) bei Verwendung des Play-App-Stores mit Google-Account angemeldet ist, werden auch von Kindern alle Suchbegriffe, kontinuierlichalle Positionen, der Youtube-Such- und Videoverlauf gespeichert! Eltern sollten zumindest unter

https://myaccount.google.com/privacy?pli=1

die Datenschutzeinstellungen für ihre Kinder anpassen.

Um das komplexe Thema für die Kinder auch spannend zu gestalten, wurden interaktive Elemente in den Vortrag eingebaut. Beispielsweise gab es einen Versuch, bei dem ein Smartphone in eine Alufolie eingewickelt wurde, um herauszufinden ob es dann noch Daten übertragen kann. Welchen Schaden ein „gefundener“ USB-Stick anrichten kann, demonstrierte Andreas Michels den Kindern. Es gab auch ein interaktives Computerspiel mit echten Menschen zu sehen, in dem sich die Kinder gegenseitig fernsteuern konnten. Das in nur 15 Minuten mit jQuery Mobile realisierte Spiel ist auch online unter
https://www.uni-due.de/~bischoff/game/index.html

verfügbar und funktioniert in jedem Webbrowser und auf  allen Smartphones.

Ein Mitspieler, der per Voice-App ferngesteuert wird

Ein Spieler bedient das Smartphone. Der andere Spieler muss den Sprachanweisungen folgen, um ein aufgemaltes oder mit Klebestreifen aufgeklebtes Labyrinth zu durchqueren. Um es schwieriger zu machen, können dem Spieler im Labyrinth auch die Augen verbunden werden. Kinder können damit Freunde, Geschwister, Eltern oder Lehrer fernbedienen. Im Vortrag war diese Aktion das Highlight für die Kinder.
Auch der Passwortchecker https://checkdeinpasswort.de löste Begeisterungsstürme aus, als bei leicht zu merkenden aber mit einem einfachen Schema erzeugten Passwörtern Entschlüsselungszeiten von mehreren tausend Jahren angezeigt wurden.

Die UDE-Logo Aktion

Eine Mittmachaktion für das ganze Auditorium war ein verteiltes Display mit farbigem Papier bei der sowohl die Buchstaben „UDE“ als auch ein „Space Invider“ dargestellt wurden. Dabei wurde sowohl auf vorher geklebte Marker (für UDE), als auch auf Augmented Reality zurückgegriffen, in der sich die Kinder per Video-Feedback selbst zu einer Abbildung organisieren mussten. Das Augmented Reality Feedback wurde mit einer Webcam in Processing realisiert.

Der Alphakanal für das Live-Videofeedback

Die Space Invider Aktion selbstorganisiert mit Videofeedback

Nach dem Vortrag wurden wir von den Kindern mit Fragen gelöchert und um
Autogramme gebeten, was uns beiden vorher noch niemals passiert ist. Die Kinder
waren ein sehr dankbares Publikum und das tolle Feedback hat die Mühe der
Vorbereitung 10-fach aufgewogen.

Unterstützt wurden wir beim Vortrag in ganz hervorragender und professioneller
Weise durch das Sonderveranstaltungs-Team des ZIM. Vielen Dank an  die Kollegen, die uns sehr geholfen haben. DFür uns als Vortragende war es sehr
spannend auch einmal den Arbeitsbereich der Medienprofis des ZIM der Universität Duisburg-Essen kennenzulernen.

Wer seine Kinder zu der jährlichen Veranstaltung Kinderuni an der Uni Duisburg-Essen anmelden möchte, findet weitere Informationen unter

https://www.uni-due.de/unikids/

Die Folien des Vortrags als PDF sind hier eingestellt:

https://www.unidue.de/%7Ebischoff/unikids/Was_jeder_wissen_sollte_Unikids_Michels_Bischoff.pdf
Zusätzliche Informationen und Links für die Eltern wurden auch auf einem Handout
und einer ZIM-Seite zu der Veranstaltung bereitgestellt. Neben Hinweisen zu
Gefahren im Netz und Tipps zu Medienkompetenz gibt es dort auch Hinweise auf für
Kinder und Jugendliche geeignete kreative Angebote im Netz zum Musizieren,
Programmieren und Filme machen mit Smartphones und Tablets.

https://www.uni-due.de/zim/unikids.php

Hier sind auch noch weitere, viel bessere, Fotos bei flickr von der Veranstaltung zu finden, die von einem Profi-Fotografen erstellt worden sind:

https://www.flickr.com/photos/127786872@N08/sets/72157665503141290/with/25761729242/

Und noch weitere Fotos vom Fotografen von der ZIM-Seite zu Unikids:

https://www.uni-due.de/zim/unikids.php

 

 

In einem Tweet wurde der 32C2 als „indoor burning man“ bezeichnet. Ein Vergleich der vielleicht etwas übertrieben scheint, aber der Eindruck des Kongresses im CCH in Hamburg auf Erstbesucher ist enorm, wie ich in Jahre 2014 selbst feststellen konnte. Es handelt sich um den führenden Kongress zum Thematik Security in Deutschland.
https://de.wikipedia.org/wiki/Chaos_Communication_Congress

In diesem Jahr war das Motto „gated communities“, also abgeschlossene Wohnkomplexe oder Benutzergruppen, wie sie derzeit in den großen abgeschlossenen Ökosystemen von Apple, Facebook, Amazon und Microsoft zu finden sind, die immer weiter die Benutzer einschränken, um sie in einem goldenen Käfig abzuschirmen. Ein Trend dem die Open Source Community Offenheit der Schnittstellen, Freiheit der Wahl und Privatsphäre entgegensteht.

Ein sehr interessanter Vortrag dort wurde von LaForge (Harald Welte, einem der Entwickler von netfilter/iptables und OpenBSC) zum Thema „Running your own 3G/3.5G Network “ präsentiert. Dort ging es um die Weiterentwicklung der OpenBSC-Open-Source GSMSoftware für 3G und LTE.

Viel zu lernen zu Wireless Security gab es im Vortrag „Building and Breaking Wireless
Security“ von Jiska.

Der Hack mit dem höchsten Medienecho dort war von der Gruppe um Karsten Nohl zu
sehen. Es handelte sich um einen Angriff auf „point of sale“-Bezahlsysteme für Kreditkartenzahlungen in Geschäften. Der Vortrag zu „Shopshifting – The potential for
payment system abuse“ ist unter https://media.ccc.de/v/32c3-7368-shopshifting zu finden.

Ebenfalls hochinteressant war der Vortrag zum weltweiten Iridium-Satellitetelefonienetzwerk:

https://media.ccc.de/v/32c3-7154-iridium_update

Das Maskottchen des CCC ist die CCC-Rakete

Auch in diesem Jahr gab es einen Talk zur verwendeten Netzwerk und WLAN-Infrastruktur in Bezug auf Auslastung. Dort wurde unter Anderem ein großer Saal mit 3000 Sitzplätzen mit WLAN versorgt. Insgesamt wurde das ganze Gebäude mit nur 145 AP des Herstellers Aruba versorgt. Der Peak bei den gleichzeitig versorgten Clients lag bei 8150 bei insgesamt 20000 Unique Clients.
https://media.ccc.de/v/32c3-7555-32c3_infrastructure_review
Was Ruedi (Rüdiger Weis), ein Kryptograph und Professor an der Beuth-Hochschule Berlininteressantes zum Thema Windows 10 zu sagen hat, kann man im Vortrag „Microsofts Windows 10 Botnet “ nachlesen.

Alle Vorträge sind hier im Video-Archiv zum Kongress zu finden:
https://media.ccc.de/c/32c3

Durch eine Anfrage eines Nutzers bin ich auf Probleme mit der Textkodierung der Pediaphon-Funktion „eigene Texte sprechen“ aufmerksam geworden. Nur ist diese Funktion auch in der Lage weiche Trennstriche, wie sie beispielsweise per Cut&Paste aus Word in das Eingabefeld kommen, zu erkennen und nicht mitzusprechen. Eine Stimme hat diese weichen Trennstriche als „bedingter Trennstrich“ oder als „Verneinung“ mitgesprochen. In Word wird das Negationszeichen, also wortwörtlich die “Verneinung” als weiches Trennzeichen verwendet.

Nach der Reparatur fiel mir ein auch einmal zu testen, ob das Sprechen von Wikipedia-Artikeln noch funktioniert, nachdem die Wikipedia, wie viele andere Webseiten nach den Snowden-Enthüllungen auch, nun nur noch per HTTPS abzufragen ist. Und tatsächlich, der Redirect von HTTP auf die entprechende HTTPS-Artikelseite führt in den Pediaphon-Scripten zu einem Problem, so dass bei allen Anfragen nur noch der normalerweise am Endes des Artikels angehängte Erklärungstext gesprochen wurde. Die Ursache war schnell gefunden, die Änderung für alle Sprachen und Stimmen zu realisieren war aber etwas aufwendiger, da alle Sprachvarianten betroffen waren.

Bei den folgenden Tests ist mir sofort ein weiteres kleines Problem aufgefallen. Vor einigen Monaten hatte ich beschlossen, die Audoausgabe defaultmäßig von Flash auf HTML5 umzuschalten, da mittlerweile fast alle mir bekannten Browser den MP3-Codec im HTML5-Audio-Tag unterstützen und Flash deshalb (und wegen der ständigen Sicherheitslücken) als Webtechnik in den Mülleimer der Geschichte gehört. Übrigens unterstütze ich HTML5-Audio für das Pediaphon schon seit Firefox 3.5 ( 2010). Allerdings mussten die Nutzer diese Option bisher aktiv auswählen.

Beim Einsatz HTML5-Audio weigern sich aber Firefox und andere Browser (neuerdings?) trotz “Pragma” „no-cache“ im HTML-Header die vom Pediaphon generierten Audio-Dateien immer neu zu laden. Die Audio-Repräsentation z.B. des Artikels zu Edward Snowden heißt im Pediaphon immer edward_snowden.mp3, auch wenn zwischendurch Parameter wie Stimme und Sprechgeschwindigkeit verändert werden. Flash, Java und Windowsmedia können durch Parameter dazu gebracht werden, die Datei immer frisch nachzuladen. HTML5-Audio weigert sich aber beharrlich und spielt den Inhalt aus dem Cache ab, auch wenn manuell die Datei per Reload in einem neuen Fenster nachgeladen wurde. Abhilfe schafft ein Trick: Den Dateien ist im URL ein Parameter angehängt, der einen Zufallswert mitliefert:

 

edward_snowden.mp3?z=<zufallswert>

 

Der Browser lädt dann die richtige Datei, hält sie aber durch den geänderten URL für eine andere. So wir nun auch HTML5-Audio im Browser dazu bewogen dynamische MP3- oder Ogg-Dateien nachzuladen und nicht die Datei aus dem Cache zu verwenden. So funktioniert das Pediaphon wieder wie gewohnt.

 

Eine ebenso bequeme wie vielleicht auch erschreckende Fähigkeit von Smartwatches ist die eingebaute Bedienung per Spracherkennung.

Für Android Wear hat Google gar nicht vorgesehen, dass die Spracherkennung sinnvoll deaktivierbar ist. Nur im Flugmodus, in dem die Uhr gänzlich an der Kommunikation gehindert wird, ist auch die Spracherkennung deaktiviert. In diesem Modus ist aber keine sinnvolle Nutzung der Smartwatch möglich, selbst die Zeit wird nach einer Weile nicht mehr zuverlässig angezeigt, was bei einer Uhr eine Katastrophe ist. Es ist anzunehmen, dass Apple bei der Apple Watch ähnlich verfährt.

Eine Suche nach einer Möglichkeit zur Deaktivierung der Spracherkennung bei Android Wear ergab nur zwei Hits, einen bei xda-Developer und einen bei Android-hilfe.de. Beides Anfragen nach einem solchen Feature aber keine hilfreichen Antworten. Offensichtlich gehöre ich zu der Minderheit der Nutzer, die keine Abhörwanze mit sich herumtragen möchten. Ich halte Spracherkennung für ein sehr nützliches Feature und habe mich in meiner Forschungtätigkeit ausfürlich damit beschäftigt (siehe hier und hier)  aber ich möchte Sprachsamples von mir nicht in der Cloud bei Google gespeichert haben.

Aktiv ist die Spracherkennung immer, wenn die Uhr, bzw. der Arm angehoben wird, da sie dann auch per Keyword „Ok Google“ aktiviert wird. Die Kunstpause, die entsteht wenn ein Suchwort gesprochen wird, deutet darauf hin, dass die Sprachverarbeitung in der Cloud erfolgt. Da die Erkennung immer läuft, kann eine Wear-Smartwatch meiner Meinung nach auf nichtöffentlichen Sitzungen oder bei privaten Gesprächen gar nicht verwendet werden.

Auch der mögliche Missbrauch durch Menschen in Sprechweite, andere Apps oder Radio- und Fernsehton mit “OK Google wähle 0900-XXX” muss bedacht werden. Eine dauerhaft aktivierte Spracherkennung ist wie eine offene Konsole, an der jeder beliebige Kommandos eingeben kann.

Um Abhilfe zu schaffen, habe ich eine kleine Android Wear App geschrieben, welche das Mikrofon stummschaltet. Die Smartwatch ist damit weiterhin nutzbar für Notifikationen und andere Applikationen, die kein Mikrofon erfordern.

Die App kann hier im Play-Store heruntergeladen werden. Sie installiert eine Wear-App mit dem Namen „Mute Wear Mic“ auf der Smartwatch, die per Checkbox das Mikrofon abschaltet. Ihre Privatsphäre und die Ihrer Freunde und Kollegen wird mit dieser App geschützt. Um die Spracherkennung wieder einzuschalten, muss die App erneut aufgerufen und das Häkchen erst gesetzt und dann wieder entfernt werden.

Update: Die App funktionierte zunächst nicht mit der Moto360 von Motorola, da alle Motorola-Androidgeräte den Systemaufruf zum “muten” des Mikrofons nicht unterstützen. Nun ist die App um ein spezieller Verfahren für Motorola ergänzt worden. Ich benötige aber noch Rückmeldungen von Motorola Nutzern.

Die App erfordert Rechte zur Änderung der Audioeistellungen.

Meine “mute wear mic” App

Wirklich 100% sicher, dass die Smartwatch nicht mithört kann man dann leider auch nicht mehr sein, da die NSA  mit dem Projekt Irritant Horn an einem Verfahren gearbeitet hat, welches per Man-in-the-Middle die App-Stores von Google und Samsung manipulieren sollte.

Schade ist allerdings, dass immer mehr Nutzern Ihre Privatsphäre egal ist, da Sie davon ausgehen, dass die NSA eh an alle Daten kommt. Oder Ihnen ist Ihre Privatsspäre zugunsten von etwas Komfort egal. Interessant ist,  was Edward Snowden kürzlich dazu beigetragen hat:

Wenn Du meinst Privatshäre ist egal, nur weil Du nichts zu verbergen hast, kannst  Du genauso behaupten, Redefreiheit ist egal, nur weil Du nichts zu sagen hast!

Das Erscheinen der Apple Watch verstärkt bzw. weckt erst das öffentliche Interesse für Smartwatches. Schlaue Uhren gab es aber schon Mitte der neunziger Jahre. Die Timex Datalink konnte beispielsweise schon Termine und Aufgaben vom PC über Microsoft Schedule+ (dem Outlook Vorläufer) mit einem Bildschirm-Blinkprotokoll übertragen.

Timex Datalink von 1995
Meine Timex Datalink von 1995.

 

Auch Smartwatches für Android gibt es schon eine ganze Weile. Die frühen Geräte, wie beispielsweise die Sony Smart View realisieren im Wesentlichen nur ein kleines Zusatzdisplay, das über Bluetooth vom Smartphone aus angesteuert wird. Nach dem Erscheinen der Pebble Smartwatch, für die eine sehr erfolgreiche Crouwdfunding Kampagne auf Kickstarter durchgeführt wurde, hat es verstärkte Bestrebungen von Google (Android Wear) und Apple (Apple Watch) gegeben, um die offensichtliche Nachfrage zu befriedigen.

Welche Features bieten Smartwatches?

  • Notifikation
    Der Benutzer einer Smartwatch kann per Vibration über eingehende Mails und Nachrichten (Chats, RSS-Feed, SMS) informiert werden. Keine E-Mail wird mehr verpasst.
  • Sensoren
    Eingebaute Beschleunigungssensoren sollen die Bewegungen des Trägers überwachen. Als Anwendungen sind diverse e-Health-Applikationen gedacht. Außerdem können diese Sensoren zur Gestensteuerung von Applikationen verwendet werden.
  • Spracheingabe
    Die durch die Größe einer Uhr sehr limitierten Möglichkeiten zur Ein- und Ausgabe von Daten verlangen nach neuen Methoden der Bedienung. Spracheingabe mit Spracherkennung ermöglicht die einfache Bedienung einer Smartwatch. Zumindest bei Android Wear lässt sich die Sprachsteuerung aber nicht deaktivieren, die Uhr hört also immer zu, auch wenn sie erst mit der Phrase “OK Google” aktiviert werden muss. Auch die Phrase muss per Spracherkennung detektiert werden, also läuft die Erkennung ständig. Nur wenn die Smartwatch in den Flugmodus geschaltet wird, ist auch die Spracherkennung abgeschaltet. Dann lässt sich die Uhr aber nicht mehr sinnvoll nutzen.
  • Anzeige
    Im Gegensatz zu einer normalen Uhr können auf dem Display einer Smartwatch beliebige Inhalte angezeigt werden.
  • Apps
    Sowohl die Pebble-Smartwatch, Android Wear als auch die Apple Watch verfügen über ein Programmierer-API, mit dem fast beliebige Apps realisierbar sind. Der Phantasie der Entwickler sind nur durch Größe des Displays und der Akkulaufzeit Grenzen gesetzt.
  • Akkulaufzeit
    Die derzeit erhältlichen Smartwatches sind aber noch mit einem Makel behaftet. Je nach Nutzungsintensität und Fabrikat hält der Akku in so einer Smartwatch 2-3 Tage durch, bei sehr intensiver Nutzung sagar nur einen Tag. Nur die ursprüngliche Pebble-Smartwatch bringt es, durch das vernünftigerweise verbaute e-Ink-Display auf eine Woche Laufzeit, was verglichen mit herkömmlichen Uhren immer noch sehr gewöhnungsbedürftig ist.

Gesellschaftliche Auswirkungen

Da die Spracherkennung in der Cloud realisiert wird, dürfen Smartwatches bei privaten Gesprächen oder nichtöffentlichen Sitzungen eigentlich nicht verwendet werden. Es bleibt spannend zu beobachten, wie diese Geräte im täglichen Leben angenommen und toleriert werden. Ähnliche ubiquitär nutzbare Geräte wie die Google Glasses haben zu einen Verbot der Glasses in vielen Kinos und Diskotheken in den USA geführt.

Update: Zumindest für Android habe ich selber für Abhilfe gesorgt.

Welche Auswirkungen die Allgegenwart von Smartwatches haben kann, insbesondere wenn Krankenkassen an die Bewegungsdaten kommen, kann hier nachgelesen werden:

http://www.taz.de/Fitnessbaender-und-Krankenkassen/!158223/

Ob die Notifikation per Vibration die “allways on”-Mentalität der Nutzer noch weiter verstärkt und die Work-Life-Balance noch weiter in eine Schieflage kippt bleibt abzuwarten.

Schummeln 4.0 – welche Auswirkungen hat die Verbreitung von Smartwatches auf die Hochschule?

Ebenso wie in Klausuren Mobiltelefone und Smartphones nicht zugelassen sind, können selbstverständlich auch Smartwatches nicht zugelassen werden, da sie eigentlich nur eine Erweiterung eines Smartphones darstellen. Eine geflüsterte Spracheingabe kann einem Prüfling einen Vorteil in einer Klausur verschaffen, wenn die Smartwatch über das per Bluetooth verbundene Smartphone beispielsweise über Wikipedia Informationen herbeiholt.

Android Smartwatch
Meine LG-W100 Android Smartwatch zeigt den englischen Wikipediaartikel zu Universität-Duisburg-Essen in der App Attopedia an

 

Da Smartwatches nicht einfach von gewöhnlichen Uhren zu unterscheiden sind, ist zu erwarten, dass das Tragen von Uhren in Klausuren generell untersagt wird. Übrigens können auch gewöhnliche Smartphones per Ein-Ausgabe über Spracherkennung und Sprachausgabe, oder einfach ein Telefonat während einer Klausur, mit fast unsichtbaren in Ear-Bluetooth-Headsets für eine Täuschung eingesetzt werden.

Siehe auch :
http://spystudy.de/Drahtlose-Kopfhoerer/Drahtlose-Kopfhoerer-14/

Mobile Learning mit Smartwatch

Eine möglicherweise recht spannende Anwendung für Smartwatches ist mobiles E-Learning, auch unter der Bezeichnung M-Learning bekannt. In der Frühphase der „Mobile Learning“ wurde auch von „Microlearning“ gesprochen. Dort ging es um die Rezeption kleiner Informationshäppchen mit mobilen Geräten. Vielleicht kommt es ja durch Smartwatches zu einer Renaissance des Microlearning. Ich habe schon auf Displays mit wesentlich geringerer Auflösung M-Learnung Anwendungen realisiert (siehe hier Seite 8).

Man stelle sich so etwas einmal vor! 13000 Menschen aus aller Welt treffen sich auf einer Konferenz. Alles ist perfekt organisiert und sprüht trotzdem geradezu vor Kreativität. Es sind Flächen und Arbeitsplätze und Hackspaces für alle möglichen Hard- und Softwareprojekte vorhanden und man kann allen über die Schulter schauen, fragen und bekommt nette Antworten – überall steht Medienkunst herum! Über 1000 Menschen arbeiten als Freiwillige und niemals kommt Stress oder Frust auf, alle sind freundlich zueinander und helfen sich mit Strom- und Netzwerkkabeln aus. Es gibt ein eigenes GSM-, SIP- und DECT-Telefonnetz. Schon ohne die spannenden Themen der Vorträge auf der Konferenz lohnt der Besuch und hinterlässt einen nachhaltigen Eindruck.

 


Der Kongress fand im Hamburger Congress Center HCC statt. Als Maskottchen dient eine 5 m große Rakete.

Im Programm tummeln sich allerdings Berühmtheiten wie Richard Stallman (EMACS Autor und GNU-Aktivist, der Vater freier Software), Jacob Appelbaum und Laura Poitras höchstpersönlich, deren Film Citizenfour über die Snowden-Enthüllungen ebenfalls auf den 31C3 gezeigt wurde. Was Security-Themen angeht, ist das Niveau dort sehr hoch und es gibt viel zu lernen über Sicherheitslücken und Möglichkeiten sie zu beheben. Neben den technischen Vorträgen kommen auch gesellschaftliche, ethische und politische Aspekte der IT dort nicht zu kurz.

Alle Kongressvorträge können als Konserve abgerufen werden unter

http://media.ccc.de/browse/congress/2014/.

Einige interessante Vorträge möchte ich hier aber explizit empfehlen:

Iris-Detektion und Fingerabdruckscanner

Angriffe auf Iris-Detektion und Fingerabdruckscanner wurden in Starbugs sehr unterhaltsamen Vortrag „Ich sehe, also bin ich … Du – Gefahren von Kameras für (biometrische) Authentifizierungsverfahren“ vorgestellt. Unter Anderem wurde der Fingerabdruck von Ursula von der Leyen aus einem Foto extrahiert.

Scannergate

Was passieren kann, wenn die Digitalisierung dazu führt, dass (wie im modernen Dokumentenmanagement üblich) analoge Vorlagen gescannt und anschließend vernichtet werden, zeigt David Krisel in seinem unterhaltsamen Vortrag.

Freie Software

Richard Stallman hat in seinem sehr spannenden Vortrag den Unterschied zwischen freier Software und Open Source Software erläutert. Mit „frei“ ist hier nicht gratis sondern frei in Hinsicht auf Modifizierbarkeit und Weiterverwendbarkeit gemeint. Den Begriff „freie Software“ definiert Stallman als quelloffene Software die unter GPL-Lizenz die Weiterverwendung in Closed Source Software untersagt.
Proprietäre Closed Source Software hält Stallman generell für eine schädliche Entwicklung. Er sprach in diesem Zusammenhang von einer zwangsläufigen Entwicklung von propritärer Software hin zu Malware.

Stallman kritisierte insbesondere die i-Devices von Apple, welche die Nutzer in einem (bequemen) Gefängnis einsperren, aus dem erst ausgebrochen werden muss, damit das Gerät dem Nutzer und nicht dem Produzenten gehorcht. Er sprach von der „universal backdoor“ die Firmen wie Apple und Amazon in ihre Geräte einbauen, um die „Gewalt“ über diese Geräte ihren Nutzern vorzuenthalten. Diese universellen Hintertüren können die Hersteller jederzeit verwenden um die Nutzer Geheimdiensten wie der NSA oder dem GCHQ auszuliefern. Privatsphäre, die Möglichkeit vertraulich zu kommunizieren und den Schutz von Whistleblowern wie Snowden hält Stallman essentiell wichtig in einer freiheitlichen Gesellschaft. Er hält freie Software aus diesen Gründen für eine unverzichtbare Voraussetzung zum Erhalt von freiheitlichen Demokratien.

Microsoft / Apple

Warum Stallman sehr recht hat zeigen die beiden folgen Vorträge, die ich hier empfehlen möchte. Weshalb vor Windows 8 gewarnt werden muss erläutert Ruedi in seinem Vortrag zu Secure Boot. Aber die auch die Apple-Fraktion kann sich nicht in Sicherheit wiegen, wie der Vortrag von Trammel Hudson zum Thema „Thunderstrike: EFI bootkits for Apple MacBooks“ zeigt.


Netzpolitik

Zum Thema Microsofts Firmenpolitik in Sachen Cloud-Technologie versus europäisches Datenschutzrecht und die FISA-Court-Regelungen der amerikanischen Regierung sprach der Ex-Microsoft-Anwalt Caspar Bowden in seinem Vortrag „The Cloud Conspiracy 2008-2014“. Die Essenz ist: Kein Datenschutz für nicht Amerikaner in den USA!

Was sonst noch so alles aus den USA kommt, z.B. die mögliche Untergrabung unseres Datenschutzgrundrechte durch die derzeit im TTIP-Abkommen geheim (!) verhandelte “Schiedsgerichtsbarkeit”, wird im Vortrag von Katharina Nocun und Maritta Strasser klar.

Scada

Warum bei IT-Sicherheit der Fokus nur auf Banken, Webdiensten und Onlineshops liegt und warum Embedded Systems in großen Industrieanlagen vernachlässigt werden, treibt die Gruppe „Strangelove“ um, die sich mit Scada Sicherheitslücken beschäftigt.

Im Vortrag von Eireann Leverett „Switches got glitches“ zeigt der Autor wie er hartkodierte
Private Keys in Firmware Images findet. Er verwendet einfach grep (26:50)!

Netz

Für alle IT-Profis hochinteressant war der Vortrag zu der Infrastruktur auf dem 31C3-Kongressgelände. Dort stand insgesamt eine Bandbreite zur Verfügung die höher ist, als die einiger Staaten. Im letzten Jahr war die verfügbare Gesamtbandbreite auf dem Kongress sogar höher als die Bandbreite des Kontinents Afrika! Möglich wurde dies durch gesponserte Anbindung durch mehrere Internet-Provider. Auch die Hardware bestand aus großzügigen Leihgaben z.B. von Juniper. Das WLAN wurde mit Hardware des Herstellers Aruba betrieben, und war mittels aufgehängter Accesspoints in der Lage, vollbesetzte Veranstaltungsräume mit bis zu 3000 Sitzplätzen zu versorgen. Der Großteil der Besucher war mit PCs ausgestattet und im 5GHz mit 802.11a Band unterwegs (60 Prozent der dort verwendeten Endgeräte, im Konferenzwiki war vorsorglich darauf hingewiesen worden, nur solche Geräte mitzubringen). Die WLAN Netze im 2,4 GHz-Bereich waren dort konsequent mit dem Addendum „-legacy“ bezeichnet, um deutlich zu machen, dass diese Frequenzen nicht mehr verwendet werden sollen.

Der Vortrag ist hier zu finden (ab 8:10 zum Thema Wireless).

Raketen

Wer gerne einmal die Erde verlassen möchte (sicher alle Leser), oder wie ich schon immer mal eine Rakete bauen wollte, wird sich auch für die Technik dahinter interessieren. Warum Raketentechnik keine „Rocket Science“ sein muss, erklärt David Madlener in seinem lehrreichen Vortrag „Rocket science – how hard can it be?“. Auf seiner zweiten Folie taucht auch das Raketenmaskottchen des CCC wieder auf.

Wie immer großartig organisiert und trotz Bahnstreik sehr gut besucht war der Mobile Learning Day 2014 an der Fernuniversität in Hagen (Programm). Sehr spannend war das neue Konzept, welches neben Twitter (#MLDX14) nun auch auf einem eigenem Kanal interaktiv mit Padlet.com Rückmeldungen zu den Talks erlaubte Auch die Abstimmung zu kontroversen Themen im Plenum per Smartphone mit Pingo ist dort sehr gut angenommen worden. Die großartige Keynote von Prof. Manfred Mai ist aufgezeichnet worden und kann als Konserve hier online rezipiert werden. Es geht dort nicht nur um gute Lehre. Für mich der Kernsatz der Keynote:

“Entscheidend ist nicht was die Medien mit mir machen, sondern was ich mit den Medien mache.”

Diese Aussage erinnert mich an einen Satz, den ich einmal bezogen auf Technologie ähnlich aber in einem völlig anderem Kontext von Karsten Gerloff (Free Software Foundation Europe) gehört habe:

„Think for yourself! Use technology. Don’t let it use you“.

Auch die die spannende Präsentation von Prof. Bürgy zum Thema „Wearables“ war aus meiner Sicht einer der Highlights des Mobile Learning Day 2014. Vielleicht weil ich selber einen Xybernaut Wearable Computer (Bild) Zuhause habe, der auch auf Folie 29 rechts oben zu sehen ist.

Prof. Dr. Claudia de Witt (FernUni Hagen), Andreas Bischoff und Dr. Roman Götter (Fraunhofer Academy) (v.r.n.l.) – Foto: FernUni

Zu der Podiumsdiskussion mit dem Thema „Mobile Learning zwischen Realismus, Vision und Skepsis“durfte ich gemeinsam mit Frau Prof. de Witt (FernUniversität in Hagen, die Gastgeberin) und Dr. Roman Götter (Fraunhofer Academy) beitragen. Dort ging es um Personal Learning Environments auf mobilen Endgeräten, um die Hürden für die Durchsetzung mobiler Lernlösungen, um die mobile App des Jahres (mein Vorschlag war übrigens Google Cardboard) und um Prognosen zur Zukunft der mobilen Endgeräte. Es wurde kontrovers diskutiert, ob diese wirklich kleiner (Smartwatches) oder gar größer werden, wie derzeit zu beobachten ist (iPhone 6 plus, Phablets).

Eine Überblick zu der Veranstaltung gibt es im Best-Of Liveticker:
http://blog.fernuni-hagen.de/aktuelles/2014/11/06/live-ticker-mobile-learning-day-2014/

Die Folien der aller Vorträge sind auf http://mlearning.fernuni-hagen.de/mld14/ verfügbar.

Embedded Computer sind je nach Einsatzgebiet häufig nicht mit Bildschirmen oder Displays ausgestattet. Wenn sie aber in wechselnden Umgebungen mit oder ohne DHCP eingesetzt werden, ergibt sich häufig die Anforderung einmal schnell die bezogene oder eingestellte IP-Adresse herauszufinden. Natürlich lässt sich dieses Problem komfortabel mit DynDNS lösen, wenn der Rechner auch wirklich mit dem Internet verbunden ist. Ansonsten bleibt immer nur die Suche nach einem neuen Netzwerkgerät im Webinterface des Routers.

Diese Anforderung hatte ich selber ursprünglich für einen mobilen Roboter, der sich in wechselnden Umgebungen bzw. WLAN-Netzen bewegen konnte und per Webinterface bedient wurde. Um den Roboter initial zu finden, musste die IP-Adresse bekannt sein.
Aber auch für Zwecke der Heimautomatisierung eingesetzte Mini-Rechner müssen nicht immer mit Display betrieben werden. Für die Ausgabe seltener Störungen bietet sich das Audio-Interface, also die Soundkarte, als preiswerte und stromsparende Alternative an.

Mein mobiler Activemedia Pioneer 3AT Roboter mit Sprachausgabe 2006 FernUni in Hagen, damals realisiert mit MBROLA

Computergenerierte künstliche Sprachausgabe wird mit sogenannter Text-to-Speech-Software TTS realisiert. Diese Software setzt mit Hilfe von umfangreichen Aussprache-Lexika oder Heuristiken (Regeln) für die Zielsprache geschriebenen Text zunächst in eine Abfolge einzelner Laute (Phoneme) um. Die einzelnen Laute, bzw. deren Kombinationen werden entweder von einem Menschen bei der Erstellung der Software eingesprochen oder ebenfalls synthetisch (Signalsynthese oder Formantsynthese) erzeugt. Neuere Systeme basieren auf einem umfangreiche Wortschatz an von einem Menschen gesprochenen Worten, so das eine nahezu natürliche Sprache generiert werden kann. Selbst die Herausforderung eine natürliche Sprachmelodie (Prosodie) zu erzeugen, scheinen moderne kommerzielle Systeme zu meistern. Nun erfordert so eine hochqualitative Sprachdatenbank sehr viel Speicherplatz und ist aufwändig und teuer zu produzieren. Trotz allem gibt es im Open-Source-Bereich brauchbare und auch schlanke freie TTS-Programme. Eine sehr Ressourcen-sparende  TTS-Software ist eSpeak. Diese Software wurde ursprünglich auf einem Acorn RISC_OS Computer, also auch auf einer ARM-Architektur, entwickelt und eignet sich durch Ihre Kompaktheit, Ausführungsgeschwindigkeit und geringen Speicherbedarf besonders für Embedded Systeme. Außerdem unterstützt espeak über 20 Sprachen. An die Aussprache muss man sich etwas gewöhnen, sie ist aber verständlich.

Die auf dem Raspberry-Pi verwendete Debian-Variante Rasbian unterstützt eSpeak out-of-the-box.

Mit

sudo apt-get install espeak

ist die Installation erledigt. Die Ausgabe testen kann man testen, nachdem man das Audiointerface auf den Klinkenstecker per Alsamixer umgestellt hat. Default ist beim Rasberry PI Audioausgabe über HDMI. In /etc/config.txt kann das aber auch fest eingestellt werden.

sudo amixer cset numid=3 1

espeak -vde "hallo welt hier spricht der räspberri pei"

Wenn keine Option -w angegeben wird, gelangt die Ausgabe direkt an das Audio-Device /dev/dsp .

Höhere Sprachqualität mit SVOX-Pico

Eine Alternative mit der derzeit besten Sprachqualität im Open-Source-Bereich stellt die SVOX-Pico-TTS-Engine dar. Vielleicht kommt dem einen oder anderen Nutzer die Stimme bekannt vor. SVOX-Pico ist die in den Android-Versionen 2.1-2.3 eingesetzte Default-Sprachausgabe. Die neue, ab der Version 4.0 von Google für Android eingesetzte TTS-Engine, basiert leider auf Closed-Source-Software. Die SVOX-Pico TTS-Engine ist übrigens auch die Default-Engine für meine Wikipedia-Sprachausgabe Pediaphon und unterstützt neben Englisch (UK und US), Deutsch, Französisch auch Italienisch und Spanisch in hoher Qualität.

SVOX-Pico liegt als Open-Source vor, ist auf diverse Linux-Varianten portiert worden und lässt sich z.B. unter Ubuntu einfach mit sudo apt-get install pico2wave installieren. Für Raspbian muss das Paket selber kompiliert werden. Alternativ können Sie mein Debian-Paket für Rasbian ARM einfach herunterladen (MD5-Hash: b530eb9ff97b9cf079f622efe46ce513) und mit den Kommandos


apt-get install libpopt-dev
sudo dpkg --install pico2wave.deb

auf dem Rasberry Pi installieren. Das libpopt-dev ist ebenfalls erforderlich.
Mit

sudo amixer cset numid=3 1
pico2wave --lang=de-DE --wave=/tmp/test.wav "hallo welt hier spricht der räspberri pei"; play /tmp/test.wav;rm /tmp/test.wav

können Sie die Sprachausgabe testen.

Mit

sudo apt-get remove pico2wave

kann man das Debian-Paket auch wieder sauber deinstallieren.
Wer selber kompilieren möchte, muss neben know how etwas Geduld mitbringen.
Um die Quellen zu kompilieren ist neben automake auch das libtool erforderlich:

git clone -b upstream+patches git://git.debian.org/collab-maint/svox.git svox-pico
apt-get install automake libtool libpopt-dev
automake
./autogen.sh
./configure
make all
make install

Alternativ kann man auch ein direkt ein Debian-Paket bauen, dass auch sauber wieder aus dem System entfernt werden kann.
Ich habe zusätzlich für mein Binary die GCC-Optionen
-mcpu=arm1176jzf-s -mfpu=vfp -mfloat-abi=hard
passend für den Raspberry Pi angepasst, damit auch die Hardware floation-point Unterstützung genutzt wird.

Um dann z.B. beim Bootvorgang automatisch die IP-Adresse des Pis zu sprechen, habe ich in der /etc/rc.local folgende Kommandos eingefügt:

/usr/bin/amixer cset numid=3 1
/usr/bin/espeak -vde "meine ei pie Adresse lautet $_IP"

Sicherlich lassen sich noch eine Menge anderer sinnvolle Anwendungen für eine Sprachausgabe auf dem PI finden. Mit seinen Sensoren kann der Pi auch als ein preiswertes Hilfsmittel für Blinde-Nutzer eingesetzt werden.

Als Überzeugungstäter war ich auch im Jahr 2014 wieder auf der CeBIT, obwohl ich jedes Mal denke die Messe hat sich überholt. Man muss nicht wirklich dort gewesen sein. Aber die unaufgeregte fast provinzielle Atmosphäre dort gefällt mir wesentlich besser als die unglaublich hippe Dot-Com-Zeit im Hannover der Jahrtausendwende.

Obwohl Datenschutz auch auf den letzten beiden CeBIT-Messen ein Schwerpunktthema war, war ich doch gespannt, wie sich die NSA-Affäre auf die IP-Welt dort so auswirkt. Business as usual mit Daten weltweit verteilt in der Cloud, oder auch kritische Töne auf der IT-Messe? Die NSA-Affäre beginnt vielleicht nun einigen Anbietern wirklich Geld zu kosten und die Kunden sind für das Thema Datensicherheit sensibilisiert worden. Auf der CeBIT war dazu aber bis auf Lippenbekenntnissen recht wenig zu hören. Das Thema Cloud wurde weiter ge-hyped als ob nichts geschehen wäre. Allerdings gab es wieder viel Interesse an Live-Hacking-Events mit mobilen Endgeräten. Zumindest die Nutzer scheinen also sensibilisiert zu sein. Die Firma SecuSmart positioniert das Merkelphone nun auch für Firmen- und Privatanwender, aber das nützt nicht wirklich etwas, solange die Bundesregierung in der NSA-Affäre völlig untätig bleibt.

Ärgerlich war wieder einmal die CeBIT-App. Die Messe-AG greift in diesem Bereich immer wieder sicher ins Klo. Nicht nur das wirklich krude Bedienkonzept für eine App, die man ja nur kurz bei einem Messebesuch bedienen soll, sondern auch technische Dinge wie der Akku- und Datenverbrauch sind eine Katastrophe. Aussteller in der Suche zu finden ist Glückssache und ein Klick auf die Standnummer holt nicht etwa den Messeplan nach vorn, es passiert einfach gar nichts. Besonders glücklich ist der Messebesucher, wenn er für eine frisch installierte App sofort Datenupdates ziehen muss. Ich kann nur jedem Benutzer raten, sich einfach die PDF-Pläne herunterzuladen. Vielleicht kommt die Messe-AG ja einmal auf die Idee die Ausstellerdaten einfach als Datenbankexport öffentlich zu machen. Dann gibt es bestimmt sofort sehr viel bessere open source Lösungen.

Die CeBit App stürzt gerne mal ab und frisst Daten

Wirklich innovative Dinge bekommt man auf der CeBIT leider nur noch im Hochschulbereich zu sehen. Dort war das DFKI mit einem affenartigen Roboter zu sehen und hatte auch interaktives Fernsehen verknüpft mit semantic web im Gepäck. Eine schönen orangenen NAO habe ich mir direkt beim Hersteller Aldebaran angeschaut. Auch weiterhin werden NAOs leider nur an Hochschulen verkauft, Privatleute haben keine Chance. Der Preis liegt auch immer noch wie festgenagelt bei ca. 5000 €.

Absolute Publikumsmagneten waren 3D-Drucker von denen es eine ganze Batterie in unterschiedlichen Ausprägungen von unterschiedlichen Herstellern zu sehen gab (MakerBot Mini, Ultimaker, Airwoolf 3D, Zmorph). Pearl setzt dem Trend einmal mehr die Krone auf und bietet ein etwa Lötkolben-großes freihändiges Gerät für Leute mit absoluter Körperbeherrschung an. Eigentlich ist es aber nur eine bessere Heißklebepistole, die aber das gleiche Granulat wie in den 3D-Druckern als Druckmedium verwendet.

Zmorph 3D-Drucker

Auch Quadcopter-Drohnen scheinen nun im Endkundenmarkt angekommen zu sein. Die Firma DJI (www.dji.com) hatte von der relativ kompakten Phantom 2 Vision bis hin zu dem beeindruckenden, vielleicht sogar angsteinflößenden Modell mit der Bezeichnung „Spreading Wings S1000 Premium“, die eine ganze DSLR tragen kann, eine ganze Palette von Kameradrohnen im Programm. Nicht auszudenken wenn, wie bei Daniel Suarez im Roman kill decision jemand auf die Idee kommt die Nutzlast zu verändern.

Kameradrohne mit DLSR als Nutzlast

Was mir auch noch außerordentlich gut gefallen hat sind die wirklich todschicken Rechner von “i am eco” (www.iameco.com), die eigentlich als nachhaltige Computer gedacht sind. Die edlen wohnzimmertauglichen Holzgehäuse sind aus nachhaltig in Europa hergestellten Hölzern gefertigt. Das wunderschöne D4R-Laptop (Notebook, auch die Bezeichnung scheint nachhaltig zu sein ;) wird mit Abfallhölzern aus der Möbelproduktion aufgehübscht. Technisch verbinden die Rechner stromsparende, lüfterlose (das Standgerät mit Dual Core Prozessor und 7 Watt) Green-IT mit attraktiven Äußeren. Das „Laptop”-Notebook ist sogar auch mit aktuellem Core i7 Prozessor erhältlich.

iameco Holz-Rechner

Diese Rechner sollen für 10 Jahre in Benutzung bleiben, was zunächst einmal recht ambitioniert klingt. Da sich ja auch in den letzten fünf Jahren die Taktfrequenzen nicht mehr wesentlich erhöht haben, kann das bei Verwendung geeigneter Betriebssysteme vielleicht sogar funktionieren. Auf jeden Fall sind die Geräte einfach schön und werden Ihren Markt sicher finden.

Der Holz-PC von hinten und das Notebook im Hintergrund

Ein virtuelles Privates Netzwerk (VPN) bindet entfernte Nutzer über das Internet in ein lokales Netzwerk ein. Das geschieht im Allgemeinen transparent, d.h. für die Nutzerinnen und Nutzer sieht es so aus, als ob sie sich beispielsweise im Uni-Netz befinden. Alle Netzdienste in einem Firmen- Heim- oder Universitätsnetz können dann unterwegs so genutzt werden, als ob man vor Ort wäre. Sehr häufig geht es aber nur um einen einzigen Netzdienst, nämlich das Web. An der Universität Duisburg-Essen werden viele Dinge heute webbasiert erledigt. Allerdings erfordern viele Seiten, dass sich der Nutzer im IP-Adressbereich der Uni befindet. Das ist beispielsweise für viele Bibliotheksdienste der Fall, die Zugriff auf Online-Angebote der Verlage realisieren. Warum also ein vollständiges VPN verwenden, wenn eigentlich nur die Verbindungen über die Ports 80 (http) und 443 (https) genutzt werden? Eine Möglichkeit http- und https-Verbindungen umzuleiten ist ein Web-Proxy, der auf Protokollebene zwischen dem Browser und dem Web vermittelt. Dazu muss aber ein dezidierter Proxy-Server betrieben werden, der von außerhald des Uni-Netzes zugänglich ist. Alternativ realisiert ein sogenannter Socks-Proxy so etwas auf Socket-Ebene also über TCP/IP Ports.

Ein Tunnel sie alle zu knechten …

Alle aktuelle Browser unterstützen die Verbindung über einen Socks-Proxy. Wer Login-Zugriff per SSH auf einen Rechner in dem Zielnetz hat, kann sehr einfach einen Socks-Proxy per SSH-Tunnel realisieren. Das ist beispielsweise an der Universität Duisburg-Essen für alle Nutzer der Fall. Alle Mitarbeiter haben mit ihrer Unikennung Zugriff auf staff.uni-due.de und alle Studierende können die Maschine student.uni-due.de mit ihrer Kennung nutzen.

Linux/MacOS/Unix:

Unter unixoiden Betriebsystemen wie Linux und MacOS geht das sehr einfach mit Bordmitteln auf der Kommandozeile (hier mit staff.uni-due.de für Mitarbeiter):

ssh -N -D2000 <unikennung>@staff.uni-due.de

Der Parameter -N verhindert hier den Aufbau einer interaktiven Shell-Verbindung. Der Parameter -D gibt den lokalen Zugriffsport für den dynamischen Tunnel an. Diesen Port wählt man unter Unix geschickter Weise oberhalb von 1023, damit keine Root-Rechte erforderlich sind.

Windows:

Unter Windows benötigen Sie einen SSH-Clienten wie beispielsweise den quelloffen Putty.

Nach der Installation wird Putty folgendermaßen konfiguriert (hier staff.uni-due.de  für Mitarbeiter, Studierende verwenden student.uni-due.de):

putty_tunnel0

Dann wird der Tunnel mit dem lokalen Endpunkt Port 2000 (willkürlich gewählt) konfiguriert. Wichtig für einen Socks-Proxy ist die Einstellung “Dynamic”:

putty_tunnel1

Nach klick auf “Add” ist der Tunnel eingerichtet. Sinnvollerweise speichert man das Profil nun ab. Vorsicht ist geboten bei der Checkbox „Local ports accept connection from other hosts“. Wer diese Option anwählt tunnelt womöglich andere Rechner oder gar Angreifer mit in das Universitätsnetz.

Betriebssystemunabhängig – die Browser-Konfiguration:

So konfiguriert man den Browser (hier z.B. Firefox, sorry ich verwende nur den englischsprachigen), damit er den Tunnel auch benutzt:

putty_tunnel2

Technisch gesehen wird nun jeder http-Request über den lokalen Port 2000 des Klienten abgewickt, der ja über den (gesicherten) ssh-Tunnel mit dem Publikumsrechner im LAN der Uni verbunden ist.

Wenn der Tunnel erfolgreich in Betrieb genommen worden ist, kann man zum Beispiel auf www.wieistmeineip.de überprüfen, ob auch wirklich der Tunnel im Browser verwendet wird. Dort wird nun eine IP-Adresse aus dem Uni-Adressbereich 132.252.X.X angezeigt. Natürlich muß die Proxy-Einstellung immer wieder rückgängig gemacht werden, wenn der Tunnel wieder abgebaut wird. Zweckmäßig ist die Nutzung eines extra Browsers oder beispielsweise bei Opera die Verwendung der Schnelleinstellungen.

So ein Socks-Proxy funktioniert auch in Umgebungen, in denen herkömmliche VPN-Lösungen versagen (müssen), z.B. doppeltes NAT. Es ist auch möglich beliebig viele Klienten aus einer NAT Umgebung gleichzeitig zu verbinden, was bei einem VPN zu Problemen führen kann. Auch Unitymedia-Kunden mit IPv6-Stack ohne IPv4 profitieren von dieser Lösung.

socks-proxy

Übrigens bekommt Ihr Provider (oder das Internet-Cafe in dem Sie sich befinden) nicht mit was in dem Tunnel passiert, alles ist bis zum Socks-Proxy in der Uni verschlüsselt. Nach dem Tunnel, also ab staff.uni-due.de bzw. student.uni-due.de geht es aber wieder unverschlüsselt weiter. Zumindest Ihr Provider hat aber keine Chance diese Verbindungsdaten abzugreifen.Der Provider sieht nur die Verbindung zum Socks-Proxy. Gegen die Datenschnüffellei der NSA schützt das aber nicht wirklich, da der Traffic aus der Uni zu den Webseiten die Sie besuchen abgegriffen wird, was wirklich eine Frechheit ist!

Spezialitäten:

Wer mehr möchte, kann auch Programme die keine Socks-Proxys unterstützen mit dieser Technik ausstatten, indem man einen Wrapper wie z.B. tsocks einsetzt.

Es ist sogar möglich einen kompletten Stack über einen Socks-Proxy umzuleiten. Dazu wird das Tool tun2sock (bzw. badvpn) eingesetzt. Damit ist ein SSH-basiertes VPN realisierbar.

Für Kunden von Unitymedia mit neuem Ipv6-Stack ohne IPv4 wäre es damit möglich das Zwangs-NAT für alle Verbindungen zu überwinden.

Noch ein Tipp für die Besitzer eines Servers/virtuellen Servers oder eines Shellaccounts mit fester erreichbarer IP:

Wer von einem limitierten Internetzugang (z.B. NAT und kein Zugriff auf den Router) aus Serverdienste (Web, ssh, etc.) betreiben möchte, kann z.B. mit

ssh -R 3333:localhost:22 <gateway-maschine>

einen ssh-Server des nicht erreichbaren Rechers in einem NAT (oder in einem Ipv6-only-Netz) auf den Port 3333 auf einer Gateway-Maschine (die über eine öffentlich erreichbare IP-Adresse verfügt) umlenken, wenn auf der Gateway-Maschine in der Konfigurationsdatei /etc/ssh/sshd_config

GatewayPorts yes

(Neustart des sshd erforderlich) eingetragen wird.

So kann die versteckte Maschine per ssh auf den Port 3333 der Gateway-Maschine erreicht werden. Das klappt beispielsweise auch mit einem Server (z.B. auch Webserver, dann aber Port 80 weiterleiten) auf einem Smartphone (oder einem mobilen Roboter, wie ich das hier im Jahre 2009 realisiert habe) im UMTS-Netz, dass bei fast allen Providern auch per NAT betrieben wird!

nat-tunnel-server

Dazu sind natürlich auf der aus dem Internet erreichbaren Maschine Root-Rechte erforderlich.

Ohne Root-Rechte ist es etwas komplizierter so etwas zu realisieren, hier benötigt man zwei Tunnel:

auf der hinter einem NAT versteckten lokalen Maschine:

ssh -R 3333:localhost:22 <gateway-maschine>

auf der Gateway-Maschine mit öffentlicher IP:

server# ssh -g -L4444:localhost:3333 localhost

Dann kann nun über den Port 4444 der Gateway-Maschine per ssh auf die versteckte Maschine zugegriffen werden. Das funktioniert mit beliebigen Quellports, also auch mit Port 80. Die Beispiele beziehen sich auf die Unix-Kommandozeile aber sollten mit entprechenden Einstellungen auch unter Windows funktionieren, sofern man einen sshd für Windows installiert.

Vorausgesetzt wird immer, dass keine Firewall die Ports blockiert. Wenn man nicht über root-Rechte verfügt, muss man Ports oberhalb von 1023 wählen, es geht bis 65535 ;-) .
Die Maschinen staff.uni-due.de und student.uni-due.de am ZIM der Universität Duisburg-Essen erlauben dieses erweiterte Verfahren übrigens nicht, da sie durch Firewalls geschützt sind. Einen Socks-Proxy können Sie aber mit diesen Maschinen aufbauen.