Eine verkürzte Version der Informationen hier gibt es auch als PDF-Foliensatz.

Ein Zertifikat läuft ab – na und?

Was bei einem Webserver keine große Sache ist, kann im eduroam so richtig Probleme bereiten. Denn hier läuft nicht irgendein Zertifikat ab, nein ein Root-Zertifikat läuft ab. Das ist bisher im eduroam-Verbund, den es schon fast 15 Jahre gibt, bisher nicht vorgekommen.

Zur Erinnerung: Root -Zertifikate sind sehr viel „haltbarer“, als herkömmliche Server-Zertifikate. Tatsächlich geht der Trend derzeit in Richtung sehr kurzlebiger Zertifikate, wie beispielsweise bei “Let‘s Encrypt“, wo Zertifikate alle drei Monate erneuert werden müssen. Für eduroam, also für den Radius-Server der Uni, handelt es sich um das „Telekom Root CA2„ -Zertifikat, welches nur noch bis zum 9.7.2019 gültig ist. Danach müssen  alle eduroam-Klienten, die sich mit unserem Radius-Server verbinden, neu konfiguriert werden. Vorher einfach ein neues  Server-Zertifikat ausstellen und ausrollen ist nicht so einfach möglich, weil dieses mit einem neuen Root-Zertifikat unterschrieben werden muss. Typische Radius-Klienten für z.B. Windows oder Android unterstützen aber nur ein einziges Root-Zertifikat für Radius. Daher entsteht folgendes Dilemma: Wenn ein neues Root-Zertifikat gewählt wird, funktionieren sofort alle bisher konfigurierten Klienten nicht mehr. Wenn einfach abgewartet wird, müssen alle Geräte an einem Termin neu konfiguriert werden.

Der Ausweg – so machen wir es

Aber es gibt einen Ausweg. Wir haben gemeinsam mit der eduroam-Community und dem DFN-Verein, der den zentralen Radius-Server für die de-Top-Level-Domain betreibt, eine Konfiguration ausgetüftelt, die einen Parallelbetrieb mit einem einzigen Radius-Server erlaubt. Dazu wird die eduroam-Konfiguration anhand der sogenannten äußeren Identität aufgeteilt. Ein Klient, der als äußere Identität „anonymous@uni-due.de“ oder eine Kennung vorweist, bekommt die bisherige Konfiguration mit dem alten Telekom-Root Zertifikat, welches am 9.7.2019 abläuft (und schon seit 1999 gültig ist), zu sehen. Einem Klienten der in der äußeren Identität „eduroam@uni-due.de“ konfiguriert hat, wird das neue Zertifikat “T-Telesec Global Root Class 2″, gültig bis zum Jahr 2033, vorgezeigt. (Falls ein eduroam-freeradius-Admin mitliest – es handelt sich um die “Straufsche-Zertifikatsweiche”, in den Folien hier ab Seite 10).

Folie_aessere_Identitaet-300x222

Die neue äußere Identität – alle Folien dazu gibt es hier

Damit läuft sowohl die alte Konfiguration, diese allerdings nur bis zum 31. Mai 2019 (siehe unten), als auch die neue sofort und auch über den Termin hinaus weiter. Diese Lösung hat auch den Charme, dass Klienten, die keine Einstellung einer äußeren Identität ermöglichen, wie z.B. das relativ seltene Windows Phone, welches nicht von  weiter unten betriebenen eduroam CAT unterstützt wird, weiter bis zum 31.5. 2019 betrieben werden können. Nach dem 31. Mai ist eine Unterscheidung der Zertifikate nicht mehr erforderlich, d.h. auch solche Geräte müssen dann mit dem neuen Zertifikat manuell konfiguriert werden und können so weiter an der Uni benutzt werden.

Termine – Termine

Das Datum  9. Juli 2019 (Jul  9 23:59:00 2019 GMT) bezieht sich auf das Root-Zertifikat mit dem unser Radius-Server-Zertifikat unterschrieben worden ist. Das eigentliche Radius-Server-Zertifikat ist nur noch bis zum 31.5. 2019 um 14:28 Uhr (GMT) gültig und eine Verlängerung für nur zwei Monate mit dem alten Root-Zertifikat ist nicht mehr möglich. Deshalb wird bei uns an der UDE der 31.5. 2019 der spannende Termin für den Zertifikatsablauf werden. An anderen Hochschulen wird möglicherweise erst am 9.7. umgeschaltet. Für UDE-Nutzer ist aber unser Termin relevant, auch wenn sie unterwegs sind.

Warum die äußere Identität wichtig ist

Zur Erinnerung, die äußeren (auch anonym genannten) Identitäten sollen im eduroam verhindern, dass Radius-Administratoren an anderen Universitäten mitbekommen, mit welcher Kennung sich ein “roamender” Nutzer anmeldet. Auch dortige oder lokale Netzwerkadministratoren bekommen die innere Identität nicht zu sehen und können so keine Verknüpfung von MAC-Adressen (also Geräten) zu Personen vornehmen, immer vorausgesetzt die äußere Identität ist korrekt und anonym konfiguriert. Das ist also ein Datenschutz-Feature, auf das keinesfalls bei der Konfiguration verzichtet werden sollte.

Leider sind viele Klienten so konfiguriert, dass datenschutzunfreundlich in der äußeren Identität auch die Kennung steht. Diese Einstellungen entstehen so: Apple (bei IOS) und Microsoft (bei Windows Phone und Windows 10) wollen es den Nutzern möglichst einfach machen und verlangen in Enterprise WPA2 WLANs wie eduroam nur nach einer ID und einem Kennwort und würfeln die restlichen Einstellungen ohne Zutun des Nutzers aus.

Schlampige Klienten

Diese „schlampig“ eingestellten Klienten untergraben dann den Datenschutz und verschleiern vor den Nutzern die wichtigen Detaileinstellungen.

Wenn beispielsweise der sogenannte „realm“, d.h. die Endung „@uni-due.de“ hinter der Kennung weggelassen wird, kann Ihre eduroam-Konfiguration an anderen Hochschulen gar nicht funktionieren, da die dortige IT nicht herausfinden kann zu welcher Heimatorganisation Sie gehören. Der „realm“ lautet bei allen Mitgliedern der Hochschule, auch bei  den Studierenden, immer „@uni-due.de“. Es handelt sich also nicht um eine Mailadresse, d.h. „stud“ hat dort gar nichts zu suchen.

Auch der oben beschriebene Weg mit der äußeren Identität „eduroam@uni-due.de“ ist mit so einem “schlampigen” Klienten nicht zu realisieren. Aber es gibt Abhilfe: Der eduroam.org-Dachorganisation, dem DFN-Verein und auch uns ist das Problem der Komplexität der Konfiguration bewusst. Daher wurde ein webbasiertes Konfigurationstool geschaffen, welches den Nutzerinnen komfortabel passende Konfigurationsprofile für alle eduroam.org Partnerorganisationen zur Verfügung stellt. Das eduroam CAT ist unter der Adresse https://cat.eduroam.org zu erreichen. Der Vorläufer “cat.eduroam.de” wird nicht mehr gepflegt und soll nicht mehr verwendet werden.

Die Webanwendung erkennt Ihr Betriebssystem und, falls Sie im Browser ihre Standortinformationen freigeben und sich an einem der Campi der UDE befinden, das passende Profil für die UDE automatisch. Falls die Betriebssystemerkennung oder die Erkennung der Heimatorganisation fehlschlägt, kann auch manuell ausgewählt werden. Wichtig ist, dass immer die Heimatorganisation gewählt wird, auch wenn man unterwegs an einer anderen Universität zu Gast ist.

Geräte die die Zertifikate gar nicht überprüfen – warum Zertifikate wichtig sind

Leider erlauben die Radius-Klienten vieler Betriebssysteme auch den Verzicht auf die Konfiguration von Zertifikaten für die sichere Kommunikation mit dem Radius-Server. Wir haben auf Server-Seite leider keine Möglichkeit die Zertifikatsüberprüfung zu erzwingen. Ohne Zertifikat können Sie niemals sicher sein, mit dem richtigen Radius-Server der UDE verbunden zu sein. Ein Angreifer in Ihrer Nähe kann einfach einen WLAN-Accesspoint betreiben, der die SSID (den WLAN-Namen) “eduroam” ausstrahlt und durch einen eigenen manipulierten Radius-Server versuchen zu erzwingen, dass ein Klartextpasswort übertragen wird. Einen solchen Angriff hat es schon gegeben. Er wurde unter dem Namen PEAPing Tom auf der Black Hat Konferenz vorgestellt. Ein ähnlicher Angriff ist hier beschrieben.

PeapingTomBild1-179x300

Falsch und Unsicher: keine Zertifikate installiert!

PeapingTomBild2

PEAP-ing Tom Angriff: Der Angreifer sieht das UNI-Passwort im Klartext!

Sie gefährden mit dem Verzicht auf Zertifikate im Radius Protokoll die IT-Sicherheit und die Integrität ihrer Uni-Kennung. Auch ein Identitätsdiebstahl, also Handlungen Dritter in ihrem Namen, z.B. bei Prüfungsanmeldungen im oder im SAP, wären in so einem Szenario denkbar.

Zusammenfassung

Wenn Ihr Gerät vom CAT-Tool unterstützt wird, das ist für Windows Vista, 7, 8, 10, MacOS ab 10.7, Android ab 4.3, IOS ab IOS5 und Chrome OS der Fall, sollten Sie umgehend mit dem CAT-Tool die neue Konfiguration installieren. Sie können die Thematik dann vergessen und haben auf keinen Fall ein Problem nach dem 31.5. 2019. Außerdem ist Ihr Gerät dann datenschutzfreundlich und sicher konfiguriert.

Alle bisherigen Konfigurationen und auch das alte CAT funktionieren bis zum 31.5. 2019 wie gewohnt.

Wenn Sie ein Gerät haben, dass nicht von CAT unterstützt wird (z.B. ein Windows Phone), bzw. keine Konfiguration einer äußeren Identität zulässt, müssen Sie nach dem 31.5. 2019 eine Konfigurationsänderung vornehmen, bei der Sie ein Root-Zertifikat einstellen bzw. installieren müssen. Nach dem 31.5. 2019 wird dann jeder äußeren Identität das neue Root-Zertifikat präsentiert. Anleitungen dazu finden Sie auf den Support-Seiten des ZIM unter:

https://www.uni-due.de/zim/services/wlan/eduroam-konfiguration.shtml

So soll nun konfiguriert werden:

  • EAP-Methode: PEAP oder TTLS
  • Innere Authentifizierung: MSCHAPv2
  • Zertifikat: “T-Telesec Global Root Class 2” wählen, wenn installiert oder nachinstallieren unter https://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.crt
  • innere Identität: <Unikennung>@uni-due.de   (immer “@uni-due.de” niemals “stud” oder eine Mailadresse)
  • äußere Identität: eduroam@uni-due.de
  • Radius-Server: radius1.uni-duisburg-essen.de (hier Langform)
  • Passwort: <Unipasswort> ODER WLAN-Passwort, falls in der Benutzerverwaltung gesetzt

User Experience ist großen Playern wie Google, MS und Apple (die Reihenfolge stimmt heute nicht mehr, MS gehört nun verdient auf den letzten Platz) heute scheinbar in vielen Bereichen wichtiger als Konfigurationsoptionen für erfahrene Nutzer. So hat Google bei der Android-Entwicklung ab Android 7 mit einem Federstrich entschieden, die Konfigurationsoption unter „Einstellungen“ – „WLAN“ – „Erweitert“ -“Bandauswahl 2,4GHz/5GHz/automatisch“, also die „freedom of choice“, zu entfernen. Nun ist alles „automatisch“ und der Nutzer hat keine Möglichkeit mehr einzugreifen.

Einstellungen-WLAN-erweitert-ab-Android7-168x300

Hier war es bis Android 6 möglich 5GHz zu erzwingen. Ab Android 7 hat nun der Nutzer keine Möglichkeit mehr 5GHz zu erzwingen.

 

Das ist aber in überbuchten 2,4 GHz Netzen, wie typischerweise an Hochschulen verbreitet, unbedingt erforderlich! Die Empfehlung in Foren doch einfach eine andere SSID für 5 GHz (nach IEEE 802.11ac) zu wählen ist eine Option für Heimnetze und im WPA-Enterprise-Umfeld (nach IEEE_802.1X) nicht einfach umzusetzen. Wenn man sich die Schnitzer von Apple und Google bezüglich professionellen Enterprise-WPA2-Netzten so anschaut, erkennt man, dass dort wohl in erster Linie nur an die Heimnutzer gedacht wird.

Professionelle WLAN-Controller bieten vielfach Optionen an, um Klienten in 5GHz Netze zu verschieben, sofern sie beide Netze unterstützen. Das klappt aber nicht immer, da in diesem Fall der nicht nur der Access Point (bzw. der Controller) sondern auch der Klient mitspielen muss, was im Fall von „halbschlauen“ Heuristiken, die jeder Treiberhersteller oder gar das Betriebssystem selbst implementiert, oft nicht gegeben ist.

Im eduroam-Verbund ist es von eduroam.org vorgeschrieben, die Netze auch mit „eduroam“ im SSID (WLAN-Namen) zu benennen. Klar, eine Einstelloption für das zu verwendende WLAN-Band birgt für unerfahrene Benutzer die Gefahr, sich das WLAN zu „ver-konfigurieren“ und dann das eigenen Netz nicht mehr wiederzufinden. Man hätte die Option aber beispielsweise auch in den Developer-Einstellungen unterbringen können. So vertraut Google Heuristiken und Automatismen, die auf ausschließlich Empfangsstärke (Signal-Level) beruhen und Nutzer in eduroam-Netzen regelmäßig mit dem naturgemäß (5GHz wird wegen der höheren Frequenz durch Wände stärker gedämpft als 2,4Ghz) stärkerem 2,4 GHz SSID „eduroam“ verbindet mehr als kompetenten Menschen. Der Durchsatz in den 5GHz Bändern ist aber sehr viel höher, da dort wesentlich mehr Kanäle zur Verfügung stehen. Deshalb sollte das 5GHz-Band in hochfrequentierten Netzen an Hochschulen immer bevorzugt werden. Wir empfehlen auch immer in unseren Anleitungen nur solche Geräte zu kaufen, die auch 5 GHz unterstützen.

Aber was nützt das, wenn die Hersteller den Nutzer nicht selber entscheiden lassen? Apple erlaubt solche Einstellungen den iPhone-Besitzern und den MacOS-Nutzern überhaupt gar nicht erst, da man dort vielleicht auch zurecht davon ausgeht, dass der Großteil der eigenen Kunden technisch ahnungslos seien. Diesem schlechten Beispiel folgt nun leider auch Google, was wegen des hohen Android-Anteils von über 80% bei den Smartphones an der Uni-DUE (von allen Android-Smartphones sind derzeit [Stand 7/2018] etwa 33% mit Android 7 oder 8 ausgestattet, dieser Anteil wird stark ansteigen) signifikante Auswirkungen auf die „gefühlte“ WLAN-Qualität haben wird. Während bei den „alten“ Windows-Versionen die Treiber über die Systemsteuerung es erlaubten 5GHz zu priorisieren, ist das in Windows 10 (ausnahmsweise, die Privatspäreneinstellungen sind eine Katastrophe) besser mit einer zentralen Einstellungsoption gelöst worden. Auch das mittlerweile abgekündigte Windows Mobile verfügt über eine solche Funktion.

Die Nutzer von Android und MacOS können sich derweil damit trösten, dass sie sich die möglicherweise falsche automatische Wahl ihres Betriebssystems wenigstens anschauen können. Bei MacOS funktioniert das mit Alt+ Klick auf das WLAN-Symbol. Wenn dort nicht wie in diesem Beispiel 5GHz für das WLAN angezeigt wird, kann man sich bei Apple für die schlechte WLAN-Performance bedanken.

so_macht_apple_das-222x300

Alt + Klick auf das WLAN Symbol und der MAC verrät, ob er am schnellen 5GHz-WLAN hängt.

 

Android-Nutzer müssen nun zu einer App greifen (hier empfohlen, WIFIAnalyzer, com.vrem.wifianalyzer) um zu schauen, welches Band die „schlaue“ Automatik ausgesucht hat. Eine Änderung der Wahl ist leider mit der App nicht möglich. WIFIAnalyzer eignet sich auch hervorragend um die beiden weiter unten empfohlenen Apps auf Wirksamkeit zu testen, da der aktuell verbundenen AP gekennzeichnet und mit MAC-Adresse angezeigt wird. Eine ähnliche Funktionalität würde übrigens auch die normale Android WLAN-Anzeige hinbekommen, wenn in den Android-Entwickleroptionen (so aktiviert man diese zusätzliche Option in den Android-Einstellungen) die Option “Ausführliche WLAN-Protokolle” aktiviert wird.

Screenshot_20180726-151334-168x300

Screenshot_20180802-1117091-168x300

Der WifiAnalyzer zeigt, dass sich das schlaue Android mit dem 2,4 GHz-WLAN verbunden hat, obwohl 5GHz verfügbar ist!

Hier wird in den Android-Entwickleroptionen die Option “Ausführliche WLAN-Protokolle” aktiviert.

 

Screenshot_20180802-110309-168x300

So sieht die Android-WLAN-Anzeige für “Erwachsene”aus, wenn in den Android-Entwickleroptionen die Option “Ausführliche WLAN-Protokolle” aktiviert wurde. Hier hat der WI-FI-Switcher, die zweite App, siehe unten, 5GHz erzwungen. Unter f wird die Frequenz angezeigt, alles mit 5xxx bedeutet 5Ghz 24xx bedeutet 2,4 Ghz. Es werden auch MAC-Adressen und rssi angezeigt.

 

Die App Wifi-Switcher erlaubt zumindest pro Accesspoint einzelne 5 GHz-APs zu priorisieren. Eine weitere  App mit dem sehr ähnlichen Namen Wi-Fi-Switcher erlaubt auch generell 5GHz zu priorisieren. Vor der gleichzeitigen Verwendung der beiden Apps ist aber abzuraten.

Screenshot_20180802-1114371-168x300

WI-FI-Switcher erlaubt die Priorisierung von 5GHz mit dieser Option.

 

Allerdings muss bei schon verbundenem eduroam die WLAN-Verbindung einmal ab- und wieder angeschaltet werden, damit die Einstellung greift. Das läßt sich direkt in der App erledigen. Möglicherweise ist auch ein Neustart erforderlich, damit die App im Hintergrund die Kontrolle über die WLAN-Auswahl übernehmen kann. Bei beiden Apps muss die Standortfreigabe aktiviert sein – eine weitere Limitierung, die sich Google für neuere Android-Versionen ausgedacht hat. Apps, welche die Wifi-API benutzen, benötigen nun eine Standortfreigabe (Standort nur Gerät, d.h. nur GPS funktioniert auch und ist Datensparsam, da der Standort dann nicht ständig an Google weitergegeben wird, bzw. der Nutzer für Google als War-Driver unterwegs ist). Die App-Autoren müssen nun mit schlechten Bewertungen ahnungsloser Android-Nutzer rechnen, die diese Zusammenhänge nicht verstehen. Auch auf die Bewertungsfunktion im Google Play Store kann man sich, bei der Vielzahl der Laien, die sich eine Bewertung zutrauen, nicht mehr uneingeschränkt verlassen.

Es scheint leider so, als hätte man bei Google Nägel mit Köpfen gemacht, und auch die Auswahl per Android-API entfernt, so dass auch einige  weitere ältere Apps, die so etwas anboten, ab Android 7 gar nicht mehr oder nur noch mit eingeschalteter Standortfunktion funktionieren. (Quelle: https://stackoverflow.com/questions/17345788/scanning-for-wifi-signals-only-in-2-4ghz-band )

Wenn ein Leser eine Möglichkeit kennt unter IOS oder MacOS 5GHz zu erzwingen, wäre ich für einen kurzen Hinweis dankbar.

* Ein Zitat aus dem Film „2001 Odyssee im Weltraum“ in dem die KI “HAL9000″ versucht die Menschen an Bord eines Raumschiffes zu töten, indem sie mit der Begründung “I’m sorry Dave, I’m afraid I can’t do that” einen Befehl eines Menschen ignoriert.  Eine Anspielung auf das Zitat von HAL stammt aus der South Park Folge “You Have 0 Friends“. Als Stan dort versucht seinen facebook Account zu löschen, erhält er die Systemmeldung: “I’m afraid I can’t let you do that, Stan Marsh.”.

Ich bin unterwegs auf dem 34C3 – tuwat in Leipzig auf dem neuen Messegelände. Endlich hat der Kongress fast genug Platz, nur die Bestuhlung der Säle (4000 max) verglichen mit den 15000 verkauften Karten limitieren noch die freie Auswahl einer der 4 parallelen großen Sessions. Dafür ist für die Assemblies nun mehr als genug Raum vorhanden. Während ich zunächst in der kühlen weiten und hellen Umgebung etwas gefremdelt habe, gefällt mir die neue Location sehr gut.

  Security

Kein Chaos Communication Congress ohne das Thema Security: Auch in diesem Jahr gab es neben medienwirksamen Talk zu KRACK (WPA2) und Mobile Banking Apps. Ich hatte ja schon in meinem kleinen ECSM-Talk davor gewarnt, so etwas einzusetzen und dabei auf einen Vortrag auf dem 33C3 verwiesen. Und auch in diesem Jahr hagelte es wieder Angriffe auf schlecht implementierte Banking Apps. Siehe dazu den Talk von Vincebt Haupert: Die fabelhafte Welt des Mobile Bankings.

Mediaart

Eine weitere interessante Thematik auf dem Kongress, die ich bisher etwas vernachlässigt habe sind Beiträge zu Art&Culture, also Medienkunstvorträge. In diesem Jahr sind mir drei großartige Vorträge aufgefallen.

1. Robot Music, Zwei Musiker, die ernsthaft einen Roboter einsetzen um einen C64 basierten-Tracker zu steuern sind etwas Besonderes. Wenn Sie dabei auch noch so cool auftreten kann das nur klasse sein.

2. Electroedibles – Open Source Hardware for Smart Candies von Denisa Kera, Yair Reshef und Zohar Messeca-Fara Was haben Zucker Kant und Elelektronik gemeinsam? Klar, die Anwort kann nur Electroedibles heißen! Eine weltweit einmalige Kombination aus Elekronik mit Sensorik und LEDs, die in Zucker eingegossen interaktive Lollies mit philosophischen Background ergeben. Sehenswert sowohl für den Koch als auch für den Bastler.

3. Deconstructing a Socialist Lawnmower von Darsha Hewitt Ein supercooler Vortrag zu einem DDR-Rasenmäher, der mich sofort an den Roboter Maximilian aus „das schwarze Loch“ von 1979 erinnert hat. Darsha hat das militärische Aussehen des Roboters sofort fasziniert und sie hat dazu beeindruckende Fotos und Videos geschaffen. Auch Ihre frühen Audio-Arbeiten zu dem ersten mechanische Sequenzer von Wurlitzer haben mir sehr gefallen.

Ich diesem Jahr ist aufgrund der Baulichkeiten sehr viel mehr Platz für Medienkunstinstallationen übrig geblieben, was zumindest gefühlt zu mehr Installationen geführt hat. Außerdem kommen solche Dinge mit etwas mehr Platz viel besser zur Geltung.

Mobile Security – Virus auf dem Handy – Malware und Trojaner auf dem Smartphone

Ähnlich wie Windows auf dem Desktop ab Ende der 90er Jahre Ziel von Angriffen über das Internet wurde, blüht dieses Schicksal nun Android als dominierender Betriebssystemplattform für Smartphones. Aber auch Angriffe auf iPhones und iPads werden von uns zurzeit vermehrt beobachtet. Dabei handelt es sich überaschenderweise noch um XhostGhost.

Wie werden die Infektionen erkannt?

Wir bekommen vom DFN-Verein (Deutsches Forschungs-Netz, der Internet-Provider der Uni) automatisierte Warnmeldungen, wenn sich ein Computer oder ein Smartphone aus dem IP-Adressbereich der Uni Duisburg-Essen mit dem Kommandoserver eines bekannten Bot-Netzes verbinden will. In so einem Fall informieren wir die Nutzerinnen und Nutzer über den Befall und empfehlen den Besuch des e-Points bzw. des PC-Services um das Gerät von der Schadsoftware zu säubern.

malware

Viele Nutzer setzen Virenscanner auf Smartphones ein. Deren Wirksamkeit auf Smartphones wird aber von Experten stark angezweifelt. Virenscanner erfordern viele, wenn nicht alle, App-Rechte ein  und schaffen so möglicherweise neue Sicherheitslücken. Apple hat den Herstellern von Virenspanner den Vertrieb dieser Software über den iTunes-Store untersagt.

Was kann so eine Infektion anrichten?

Ist ein Smartphone erst einmal von Schadsoftware durchdrungen, ist es ein Leichtes, diese Geräte und so die Nutzer zu verfolgen, persönliche Kontaktdaten
und Passwörter abzugreifen oder das Telefon gar als Abhörwanze zu betreiben. Kein einziger Account und kein Passwort, welches jemals auf so einem Gerät eingegeben worden ist, ist dann noch vertrauenswürdig. Das gilt auch für die Zugänge zu den App-Stores, die möglicherweise auch Zahlungen mit Kreditkarten zulassen.

Vorsicht mit App-Rechten!

Man sollte sich immer bewusst sein, das jede App, die bestimmte Rechte, wie etwa auf die Kamera, oder das Mikrofon, einfordert die Kamera bzw. das Mikrofon zu jeder Zeit auch benutzen kann. Insofern vertraut man immer dem Programmierer bzw. Anbieter der App. Besonders vertrauenswürdig müssen Apps sein, die eine VPN oder eine zusätzliche Tastatureingabemethode realisieren, da sie alle Eingaben bzw. den gesamten Netzwerkverkehr auch anderer Apps belauschen können. Wenn man Bedenken wegen der geringen Anzahl der bisherigen Installationen oder den geforderten App-Rechten hat, sollte man lieber nach einer alternativen App suchen.

 Wie kommt die Schadsoftware auf das Smartphone?

Häufig installieren die Anwender die Schadsoftware selbst in Form von Spielen oder gefälschten Apps unklarer Herkunft. Google und Apple versuchen Schadsoftware aus dem Android Play Store bzw. dem iTunes App Store fernzuhalten, was ihnen aber nicht immer gelingt. Ganz besondere Vorsicht ist bei Apps aus alternativen App-Stores wie z.B. AndroidPit (Android) oder Cydia (für IOS-Geräte mit Jailbreak) geboten, da hier möglicherweise Apps mit sehr unklarer Herkunft gehandelt werden. Siehe auch diese Zusammenstellung von App-Stores für diverse Smartphone-Betriebssysteme. Viele Android-geräte werden bereits mit einem Zugang zu einem alternativen App-Store verkauft.

Die bei uns aktuell beobachteten Fälle mit XhostGhost haben gar eine manipulierte Entwicklungsumgebung für iPhone-Apps als Ursache. Diese manipulierte XCODE-Version wurde 2015 Entwicklern untergeschoben und hat dazu geführt, dass APPs wie WeChat oder die chinesische Version von “Angry Birds 2″ mit einem Trojaner infiziert worden sind.

Aber auch Sicherheitslücken in Smartphone-Betriebssystemen können die Ursache für eine Infektion mit Schadsoftware sein. Achten Sie darauf alle Sicherheitsupdates für Ihr Betriebssystem auch zu installieren. Auch die Apps sollten Sie regelmäßig aktualisieren.

Leider haben die Hersteller wenig Interesse daran, für Security-Updates zu sorgen, nachdem die Geräte erst einmal verkauft worden sind. Apple hat da ein abweichendes Geschäftsmodell und versorgt die sehr viel teureren IOS-Geräte recht lange mit Updates, während es bei Android-Geräten mit Updates eher mau aussieht. Android-Geräte, die von der alternativen Firmware LineageOS unterstützt werden (Geräteliste hier) können sehr viel länger sicher betrieben werden. Wer nachhaltig und IT-sicher agieren möchte, sollte nur Geräte kaufen, die in dieser Liste aufgeführt werden.

Einige Geräte sind „ab Werk“ mit vorinstallierten Apps des Herstellers  oder gar eigenen App-Stores (siehe oben) ausgestattet, die Sicherheitslücken enthalten. Preiswerte Geräte aus China stehen in Verdacht, schon „ab Werk“ Schnüffelsoftware mitzubringen, die den Anwender ausspioniert. Update: Hier noch zwei ganz aktuelle Fälle (Smartphones von Blue Products und Nomu).

Auf Smartphones laufen Webbrowser, die wir ihre Desktop-Pendants Sicherheitslücken haben können. Insofern können Sie sich  auch Schadsoftware per Drive-by-Download einfangen. Besonders perfide sind beispielsweise Pop-Ups auf Webseiten, die die Besucher zu Downloads überreden sollen. Sowohl für Android (Adblock Browser) als auch für IOS (Adblock Browser) gibt es mobile Adblocker, die die Gefahr von Drive-by-Downloads verringern.

Staatliche Malware – der Staatstrojaner

Eher ein politisches Trauerspiel ist es, dass nun auch Strafverfolgungsbehörden in Deutschland Sicherheitslücken ausnutzen oder für neue sorgen dürfen. Der Staatstrojaner soll Daten vor der sicheren Ende-zu-Ende-Verschlüsselung auf dem Gerät abgreifen. Das deutet auf ähnliche Technologien hin, wie Sie open bei VPN und Tastatur-Apps beschrieben worden sind. Auch solche durch Steuergelder finanzierte Trojaner können Sicherheitslücken enthalten, die möglicherweise von Kriminellen ausgenutzt werden.

Was tun bei einer erkannten Infektion?

Wenn die Infektion durch das ZIM erkannt wurde, bitten wir Sie  umgehend die WLAN-Verbindung in das eduroam unterbrechen und das eduroam-WLAN-Profil löschen. Dann sollten Sie versuchen persönliche Daten vom Smartphone auf einen vertrauenswürdigen Speicher zu kopieren. Wenn Ihre Google bzw. Apple Zugangsdaten gestohlen worden sind, ist auch der Cloudspeicher dort möglicherweise nicht mehr sicher.  Kopieren Sie alle Ihre persönlichen Daten (Kontakte, Fotos) auf einen PC oder die vertrauenswürdige Sciebo-Cloud (auch das Sciebo-Passwort müssen Sie nachher ändern!). Notieren Sie sich alle Zugangsdaten der installierten Apps/Dienste. Für Android-Gräte die OTG-fähig sind gibt es USB-Sticks, die sich für ein Backup auch direkt an der Mikro-USB-Buchse anschließen lassen. Alternativ tut es auch ein OTG-Adapter, an den schon vorhandene USB-Datensticks angeschlossen werden können.

Auch beim Verkauf eines Android Smartphones muss es hier auf den Werkszustand zurückgesetzt werden.

Auch beim Verkauf eines Android Smartphones muss es hier auf den Werkszustand zurückgesetzt werden.

Setzen Sie erst danach Ihr Smartphone auf die Werkseinstellungen zurück. Unter Android geht das so:  „Einstellungen“, „Sichern und Zurücksetzen“, „Auf Werkszustand zurück“.

Unter IOS müssen Sie nach Apples Anleitung vorgehen.

Ändern sie danach Ihr Uni-Passwort im Selfcareportal der Uni. Wir empfehlen Ihnen dringend auch die Passwörter der Google/Apple App-Store-Account und aller auf dem Smartphone verwendeter Dienste zu ändern! Dann können Sie Ihr Smartphone wieder neu mit Ihrem Google/Apple-Account einrichten. Sie sollten dann alle verfügbaren Updates herunterladen. Verzichten Sie darauf Ihr Smartphone mit Hilfe von Google „meine Daten sichern“ bzw. dem Pendant von Apple wieder automatisiert einzurichten, da Sie dann möglicherweise die Schadsoftware wieder automatisch installieren, wenn sie diese aus dem Google-play-Store installiert haben. Ignorieren Sie keinesfalls eine erkannte Infektion, da sowohl Ihre Privatsphäre als auch die Sicherheit des Uni-Netzes betroffen sind.

Phishing-Mails mit Office-Makros waren anlässlich der Locky-Ransomware-Welle das Einfallstor in Windows-Systeme.  Damals hatten wir unsere Kunden gewarnt Office-Anhänge zu öffnen und alternativ auf PDF als Austauschformat zurückzugreifen. Das ist aber nur die halbe Wahrheit, weil gut gemachte Phishing-Mails nun auch Verschlüsselungstrojaner über PDF-Anhänge verbreiten. Der Grund dafür sind aktive Inhalte in PDF-Dokumenten. Wenig bekannt ist, dass auch ein PDF-Dokument aktive Inhalte, wie Videos, Audio und auch JavaScript enthalten kann.

Ich habe hier einmal ein Beispiel für ein aktives PDF-Dokument verlinkt. Wenn Sie es im Browser öffnen, sollte nichts interaktiv passieren, sofern Sie einen modernen Browser verwenden (siehe UPDATE 2022 unten). Wenn Sie das Dokument abspeichern und darauf klicken, poppt ein JavaScript „Hallo Welt“ Dialog auf, sofern der Acrobat Reader installiert ist. Der JavaScript-Code könnte auch potentiell gefährliche Dinge mit Ihrem PC anstellen.

Der in Firefox integrierte PDF-Reader ist selber in JavaScript geschrieben und führt keine aktiven Inhalte aus. UPDATE 2022: Das stimmt so nicht mehr: Der integrierte Javascript-basierte PDF-Reader führt nun selber auch Javascript aus! Zur Erhöhung der Sicherheit auf dem Windows-Desktop kann alternativ zu Adobe Acrobat SumatraPDF verwendet werden, welches ebenfalls keine aktiven PDF-Elemente zulässt. PDF/A1-Dateien für Langzeitarchivierung dürfen per Definition gar keine aktiven Inhalte wie  z.B. Javascript enthalten und sind deshalb als PDF-Austauschformat zu bevorzugen. Ein schöne Anleitung wie Sie ein solches ungefährliches PDF/A1 einfach aus Word heraus erzeugen findet man hier (einfach beim Exportieren als PDF in den Optionen „ISO 19005 kompatibel“ anwählen). Für Dokumente, die nicht weiter bearbeitet werden müssen, sollte ausschließlich PDF/A1 als Austauschformat eingesetzt werden!

Neben Phishing-Mails gibt es weitere Verbreitungswege von Ransomware, wie z.B. Drive-by-Downloads, Verbreitung über das LAN mit Zero-Day-Lücken und neuerdings auch über gekaperte Software-Updateserver. Ein paar Tipps wie man sich gegen Drive-by-Downloads schützen kann, finden sich in unserer Dokumentation.

Gegen schlimme Zero-Day-Lücken, wie bei WannaCry oder gar die Verteilung von Ransomware über Updateserver wie bei NotPetja helfen solche Vorsichtsmaßnamen alleine nicht. Die frühzeitige Warnung unserer Kunden und besonnenes Handeln kann möglicherweise in so einem Fall Schlimmeres verhindern, sofern überhaupt Informationen zum Verbreitungsweg vorliegen. Man darf gespannt sein, was uns in Zukunft noch alles an kreativer Ransomware begegnet. Der aktuelle NotPetja Angriff hat wieder gezeigt, dass hoch zentralisierte Systeme mit „Standardsoftware“ besonders angreifbar sind, wenn es dem Angreifer gelingt in die gemanagte Umgebung einzudringen. Insofern ist die UDE durch die Diversität der eingesetzten Betriebssysteme und der teils dezentralen IT vor einem worst case „IT-Totalschaden“ gesichert. Wenn allerdings zukünftig alle Betriebssysteme virtualisiert auf einer einheitlichen Virtualisierungsumgebung laufen, kann ein erfolgreicher Angriff auf diese die ganze IT der UDE auf einen Schlag lahmlegen. Auch ein erfolgreicher Angriff auf die – oder auch nur ein Fehler in der – Update-Infrastruktur von Microsoft kann zu einem IT-Blackout zu mindestens der MS-Welt führen. Beide Szenarien sind (hoffentlich) sehr unwahrscheinlich und werden hier nur erwähnt, damit ich beim Eintritt Fefes „told you so“-Spruch loswerden kann ;-).

Im Ernst: Die beste Strategie gegen Verschlüsselungstrojaner ist die Erstellung regelmäßiger Backups. Wer alle wichtigen Dateien im Fileservice auf einen unserer Netzwerklaufwerke im ZIM speichert ist auf der sicheren Seite, da diese durch regelmäßige Snapshots unserer NetApp-Dateiserver geschützt sind. Frei nach Marius Mertens: „Es gibt gesicherte Daten und unwichtige Daten“ oder wie es die C‘t formuliert: Kein Backup? Kein Mitleid!

Mobile Security – Virus auf dem Handy – Malware und Trojaner auf dem Smartphone

Ähnlich wie Windows auf dem Desktop ab Ende der 90er Jahre Ziel von Angriffen über das Internet wurde, blüht dieses Schicksal nun Android als dominierender Betriebssystemplattform für Smartphones. Aber auch Angriffe auf iPhones und iPads werden von uns zurzeit vermehrt beobachtet. Dabei handelt es sich überaschenderweise noch um XhostGhost.

Wie werden die Infektionen erkannt?

Wir bekommen vom DFN-Verein (Deutsches Forschungs-Netz, der Internet-Provider der Uni) automatisierte Warnmeldungen, wenn sich ein Computer oder ein Smartphone aus dem IP-Adressbereich der Uni mit dem Kommandoserver eines bekannten Bot-Netzes verbinden will. In so einem Fall informieren wir die Nutzerinnen und Nutzer über den Befall und empfehlen den Besuch des e-Points bzw. des PC-Services um das Gerät von der Schadsoftware zu säubern.

Solche automatisierte Benachrichtigungen bekommen wir vom DFN-Verein

Viele Nutzer setzen Virenscanner auf Smartphones ein. Deren Wirksamkeit auf Smartphones wird aber von Experten stark angezweifelt. Virenscanner erfordern viele, wenn nicht alle, App-Rechte ein  und schaffen so möglicherweise neue Sicherheitslücken. Apple hat den Herstellern von Virenspanner den Vertrieb dieser Software über den iTunes-Store untersagt.

Was kann so eine Infektion anrichten?

Ist ein Smartphone erst einmal von Schadsoftware durchdrungen, ist es ein Leichtes, diese Geräte und so die Nutzer zu verfolgen, persönliche Kontaktdaten
und Passwörter abzugreifen oder das Telefon gar als Abhörwanze zu betreiben. Kein einziger Account und kein Passwort, welches jemals auf so einem Gerät eingegeben worden ist, ist dann noch vertrauenswürdig. Das gilt auch für die Zugänge zu den App-Stores, die möglicherweise auch Zahlungen mit Kreditkarten zulassen.

Vorsicht mit App-Rechten!

Man sollte sich immer bewusst sein, das jede App, die bestimmte Rechte, wie etwa auf die Kamera, oder das Mikrofon, einfordert die Kamera bzw. das Mikrofon zu jeder Zeit auch benutzen kann. Insofern vertraut man immer dem Programmierer bzw. Anbieter der App. Besonders vertrauenswürdig müssen Apps sein, die eine VPN oder eine zusätzliche Tastatureingabemethode realisieren, da sie alle Eingaben bzw. den gesamten Netzwerkverkehr auch anderer Apps belauschen können. Wenn man Bedenken wegen der geringen Anzahl der bisherigen Installationen oder den geforderten App-Rechten hat, sollte man lieber nach einer alternativen App suchen.

 Wie kommt die Schadsoftware auf das Smartphone?

Häufig installieren die Anwender die Schadsoftware selbst in Form von Spielen oder gefälschten Apps unklarer Herkunft. Google und Apple versuchen Schadsoftware aus dem Android Play Store bzw. dem iTunes App Store fernzuhalten, was ihnen aber nicht immer gelingt. Ganz besondere Vorsicht ist bei Apps aus alternativen App-Stores wie z.B. AndroidPit (Android) oder Cydia (für IOS-Geräte mit Jailbreak) geboten, da hier möglicherweise Apps mit sehr unklarer Herkunft gehandelt werden. Siehe auch diese Zusammenstellung von App-Stores für diverse Smartphone-Betriebssysteme. Viele Android-geräte werden bereits mit einem Zugang zu einem alternativen App-Store verkauft.

Die bei uns aktuell beobachteten Fälle mit XhostGhost haben gar eine manipulierte Entwicklungsumgebung für iPhone-Apps als Ursache. Diese manipulierte XCODE-Version wurde 2015 Entwicklern untergeschoben und hat dazu geführt, dass APPs wie WeChat oder die chinesische Version von “Angry Birds 2″ mit einem Trojaner infiziert worden sind.

Aber auch Sicherheitslücken in Smartphone-Betriebssystemen können die Ursache für eine Infektion mit Schadsoftware sein. Achten Sie darauf alle Sicherheitsupdates für Ihr Betriebssystem auch zu installieren. Auch die Apps sollten Sie regelmäßig aktualisieren.

Leider haben die Hersteller wenig Interesse daran, für Security-Updates zu sorgen, nachdem die Geräte erst einmal verkauft worden sind. Apple hat da ein abweichendes Geschäftsmodell und versorgt die sehr viel teureren IOS-Geräte recht lange mit Updates, während es bei Android-Geräten mit Updates eher mau aussieht. Android-Geräte, die von der alternativen Firmware LineageOS unterstützt werden (Geräteliste hier) können sehr viel länger sicher betrieben werden. Wer nachhaltig und IT-sicher agieren möchte, sollte nur Geräte kaufen, die in dieser Liste aufgeführt werden.

Einige Geräte sind „ab Werk“ mit vorinstallierten Apps des Herstellers  oder gar eigenen App-Stores (siehe oben) ausgestattet, die Sicherheitslücken enthalten. Preiswerte Geräte aus China stehen in Verdacht, schon „ab Werk“ Schnüffelsoftware mitzubringen, die den Anwender ausspioniert. Update: Hier noch zwei ganz aktuelle Fälle (Smartphones von Blue Products und Nomu).

Auf Smartphones laufen Webbrowser, die wir ihre Desktop-Pendants Sicherheitslücken haben können. Insofern können Sie sich  auch Schadsoftware per Drive-by-Download einfangen. Besonders perfide sind beispielsweise Pop-Ups auf Webseiten, die die Besucher zu Downloads überreden sollen. Sowohl für Android (Adblock Browser) als auch für IOS (Adblock Browser) gibt es mobile Adblocker, die die Gefahr von Drive-by-Downloads verringern.

Staatliche Malware – der Staatstrojaner

Eher ein politisches Trauerspiel ist es, dass nun auch Strafverfolgungsbehörden in Deutschland Sicherheitslücken ausnutzen oder für neue sorgen dürfen. Der Staatstrojaner soll Daten vor der sicheren Ende-zu-Ende-Verschlüsselung auf dem Gerät abgreifen. Das deutet auf ähnliche Technologien hin, wie Sie oben bei VPN und Tastatur-Apps beschrieben worden sind. Auch solche durch Steuergelder finanzierte Trojaner können Sicherheitslücken enthalten, die möglicherweise von Kriminellen ausgenutzt werden.

Was tun bei einer erkannten Infektion?

Wenn die Infektion durch das ZIM erkannt wurde, bitten wir Sie  umgehend die WLAN-Verbindung in das eduroam unterbrechen und das eduroam-WLAN-Profil löschen. Dann sollten Sie versuchen persönliche Daten vom Smartphone auf einen vertrauenswürdigen Speicher zu kopieren. Wenn Ihre Google bzw. Apple Zugangsdaten gestohlen worden sind, ist auch der Cloudspeicher dort möglicherweise nicht mehr sicher.  Kopieren Sie alle Ihre persönlichen Daten (Kontakte, Fotos) auf einen PC oder die vertrauenswürdige Sciebo-Cloud (auch das Sciebo-Passwort müssen Sie nachher ändern!). Notieren Sie sich alle Zugangsdaten der installierten Apps/Dienste. Für Android-Gräte die OTG-fähig sind gibt es USB-Sticks, die sich für ein Backup auch direkt an der Mikro-USB-Buchse anschließen lassen. Alternativ tut es auch ein OTG-Adapter, an den schon vorhandene USB-Datensticks angeschlossen werden können.

Android_werkszustandAuch beim Verkauf eines Android Smartphones muss es hier auf den Werkszustand zurückgesetzt werden.

Setzen Sie erst danach Ihr Smartphone auf die Werkseinstellungen zurück. Unter Android geht das so:  „Einstellungen“, „Sichern und Zurücksetzen“, „Auf Werkszustand zurück“.

Unter IOS müssen Sie nach Apples Anleitung vorgehen.

Ändern sie danach Ihr Uni-Passwort im Selfcareportal. Wir empfehlen Ihnen dringend auch die Passwörter der Google/Apple App-Store-Account und aller auf dem Smartphone verwendeter Dienste zu ändern! Dann können Sie Ihr Smartphone wieder neu mit Ihrem Google/Apple-Account einrichten. Sie sollten dann alle verfügbaren Updates herunterladen. Verzichten Sie darauf Ihr Smartphone mit Hilfe von Google „meine Daten sichern“ bzw. dem Pendant von Apple wieder automatisiert einzurichten, da Sie dann möglicherweise die Schadsoftware wieder automatisch installieren, wenn sie diese aus dem Google-play-Store installiert haben. Ignorieren Sie keinesfalls eine erkannte Infektion, da sowohl Ihre Privatsphäre als auch die Sicherheit des Uni-Netzes betroffen sind.

Die IdeenExpo (mehr dazu in der Wikipedia) wird auch als das größte Klassenzimmer der Welt bezeichnet. Sie wird im zweijährigen Rhythmus seit 2007 auf dem Messegelände in Hannover ausgerichtet. Eins der Formate dort ist der Campus der Ideen mit der Kinderuni.  In diesem Jahr konnten Andreas Michels und ich zu diesem Format mit einem interaktiven Vortrag mit dem Titel “Was jeder über Smartphones, das Internet und digitale Privatsphäre unbedingt wissen sollte” beitragen.

Pixelaktion Pixelaktion mit dem Publikum

Andreas Michels und Andreas Bischoff beim Livehacking
Andreas Michels und Andreas Bischoff beim Livehacking (Foto A. Michels – GOPRO Snapshot)

Die Kinder hatten dort großen Spaß und wir konnten auf sehr unterhaltsame Weise  einiges an know how zu Bildrechten, Cybermobbing, Computersicherheit, Passwortregeln, Fake-News, Apps und Sicherheitseinstellungen für Smartphones “an das Kind bringen”. Aufgelockert durch eine eindrucksvolle Smartphone-Live-Hacking-Aktion, einem Versuch zur Funkwellenabschirmung, einem Computerspiel mit echten Menschen und einer Mittmach-Augmented-Reality-Pixel-Aktion haben wir das junge Publikum für das Thema Daten- und Privatsphärenschutz sensibilisiert.

Wir tauchen im “Best of the Day Video” der IdeenExpo 2017 vom 14.7.2017 auf (1:38):

Hier der Link zum youtube-Video (kein embed mehr wegen Google/doubleclick Tracking): https://www.youtube.com/watch?time_continue=137&v=IIDWDxA6rl0

Mehr Informationen zu der Thematik und eine Linksammlung hatte ich in meinem Blog-Artikel zur UniKids-Veranstaltung an der Universität Duisburg-Essen zusammengestellt.

Im Jahre 2005 war noch kein iPhone in Sicht, trotzdem gab es schon lange vorher innovative Smartphones. Verbreitet waren vor 10 Jahren Geräte der Hersteller HTC mit Windows Mobile 2003 oder Nokia mit Symbian als Betriebssystem, die per Stift oder Tastatur bedient wurden. Die “Windows Mobile” Geräte hatten Bezeichnungen wie MDA oder XDA. Das Webforum XDA-Developers stammt übrigens aus dieser Zeit. Einer der Benutzer des Forums mit dem Namen Cyanogen veröffentlichte dort 2009 eine Android-Modifikation, die heute Basis für die führende Open-Source Android-Distribution ist. Der Marktführer bei Feature- und Smartphones war Nokia mit Geräten, die schon 2005 sowohl WLAN als auch Voice over IP unterstützten. Smartphones waren damals aber sehr teuer und Managern bzw. Firmenkunden vorbehalten. UMTS-Datenverträge schlugen mit wenig studierendenkompatiblen Preisen von weit über 60 € im Monat zu Buche.

Und heute?

Heute ist gibt es Datenflats für 2,95 € monatlich und das mobile Internet ist in den Ballungsräumen überall verfügbar. Es gibt kaum noch Mobilfunknutzer/-innen, die kein Smartphone verwenden. Für viele junge Menschen ist das Smartphone das zentrale Gerät für den Internetzugang und die Kommunikation. Ortsbezogene Dienste sind heute allgegenwärtig. Nutzerdaten für ortsbezogene Werbeprofile sind die Währung, in der heute Dienste und Apps bezahlt werden.

Wo geht es in Zukunft hin?

In der Rückschau sieht man, dass neue Technologien nicht von heute auf morgen etabliert werden, sondern dass sich die Entwicklung immer lange vorher abzeichnet. Allerdings ist immer schwer zu erraten, wohin die Reise wirklich geht. Während 2006 angenommen wurde, dass Mobiltelefone immer kleiner werden, ist derzeit das Gegenteil der Fall. Die Displays werden größer und hochauflösender. Die Nutzer wollen nicht irgendwelche Mobilseiten sehen, sondern “das ganze Internet”. Das ist übrigens das Argument, mit dem das erste iPhone beworben wurde. Andererseitshaben sich andere Vorhersagen bezüglich der Sprachein- und ausgabe für Smartphones bewahrheitet (Andreas Bischoff, Virtual Reality und Streaming-Technologien in der webbasierten multimedialen Lehre und für Ubiquitous Computing, BoD 2006.).

Die Zukunft von gestern, eine Celluon Lasertastatur an einem Campaq iPaq im Jahre 2005 - heute baut diese Firma Laser-Projektoren

Die Zukunft von gestern, eine Celluon Lasertastatur an einem Campaq iPaq im Jahre
2005 – heute baut diese Firma Laser-Projektoren

Neue mobile Anwendungen auch fürs lernen
Mobile Augmented Reality Anwendungen werden in Zukunft den Endkundenmarkt erreichen. Google bereitet mit den Produkten Glaces und Cardboard den Markt für solche Applikationen. Die Rechen- und Grafikleistung der mobilen Geräte öffnet diesen Technologien den Einsatz auf Geräten. Für die Hochschule können diese Entwicklungen im Bereich mobiles Lernen zukünftig sehr interessant werden. Mit ein wenig Fantasie lassen sich ganz neue mobile ortsbezogene Lernszenarien realisieren. In wenigen Jahren werden möglicherweise AR-Brillen mit Mobilfunkanbindung den Campusalltag dominieren. Interessant ist auch die mögliche Integration von neuen laserbasierten Projektoren in Mobiltelefonen.

VR-Brille realisiert mit DIVE und Smartphone     VR-Brille realisiert mit DIVE und Smartphone

VR-Brille realisiert mit DIVE und Smartphone

Also alles gut?

Ein weiteres Zukunftsthema wird mobile Security werden. Ähnlich wie Windows auf dem Desktop ab Ende der 90er Jahre Ziel von Angriffen über das Internet wurde, blüht dieses Schicksal nun Android als dominierender Betriebssystemplattform für Smartphones. Ist ein Smartphone erst einmal von Malware durchdrungen, ist es ein Leichtes, diese Geräte und so die Nutzer zu verfolgen, persönliche Kontaktdaten und Passwörter abzugreifen oder das Telefon gar als Abhörwanze zu betreiben. Die Hersteller haben wenig Interesse daran, für Security-Updates zu sorgen, nachdem die Geräte erst einmal verkauft worden sind. Die großen Gewinner der Smartphone-Welle sind Konzerne wie Apple, Google und Amazon, die Nutzerdaten aggregieren und verkaufen. Die digitale Spaltung der Gesellschafft setzt sich im Mobilbereich fort. Aufgeklärte, kreative Nutzer beherrschen die Technologie, „rooten“ ihre Geräte, sind in der Lage Security-Fixes zu installieren und Werbeangebote zu blockieren, während das Gros der Anwender der Technologie und den Konzernen hilflos ausgeliefert sein wird. Information ist der Rohstoff des
21. Jahrhunderts und die Nutzer/-innen sind, wie auch in den sozialen Netzwerken, die eigentliche Ware. Ein erschreckendes Beispiel dafür ist Google. Der Dienst Google Now speichert beispielsweise die „Ok Google“ Sprachsuchen aller Nutzer für immer als Audio-Datei ab, sofern der Suchverlauf in den Benutzereinstellungen aktiviert ist.

Der große Datendurst


Die attraktiven neuen mobilen Dienste benötigen höhere Übertragungsbandbreiten und der mobile Datendurst steigt rasant an. Die Netze lassen sich aber nicht beliebig leicht ausbauen. Bezüglich der für den Mobilfunk freien Frequenzen setzt die Physik Grenzen durch die notwendigen Antennengrößen bei niedrigeren und der höheren Dämpfung bei höheren Frequenzen. Die Deregulierung der nutzbaren Frequenzbänder kann da nur wenig Abhilfe schaffen. Der prognostizierte exponentielle Anstieg der Datenmenge in den mobilen Netzen kann nur durch eine erhöhte Dichte von Mobilfunkantennen mit kleinerer Reichweite, mit sogenannten Femtozellen realisiert werden. Es ist durchaus denkbar, dass in einigen Jahren das ZIM neben WLAN-Accesspoints auch solche Femtozellen am Campus installieren wird. Die Mobilfunkprovider reagieren auf den Kapazitätsengpass mit einer Kontingentierung des Datenvolumens. Das Argument, durch das immer verfügbare schnelle LTE-Mobilfunknetz werde die „alte“ WLANTechnologie überflüssig, relativiert sich durch die Limitierung durch Volumentarife. Daraus folgt für die Hochschule, dass der Ausbau von WLAN als Alternative zu LTE mit hoher Priorität vorangetrieben werden muss. In Zukunft muss dabei auf den 5GHz-Frequenzbereich mit seinen höheren Datentransferraten und Kanälen fokussiert werden, um eine hohe Qualität für die Nutzung zu gewährleisten. Es ist zu erwarten, dass bald alle Smartphone-Hersteller den überlegenen 5GHz 802.11ac-Standard unterstützen werden. Innovative Verfahren, wie die auch für das „Freifunk“ eingesetzte WLAN-Mesh-Funktechnik werden zukünftig auch auf dem Campus eine große Rolle spielen. Vielleicht wird das Bandbreitenproblem auch durch sich selbst organisierende Mesh-Netze, bestehend aus den Smartphones der Nutzer, zu lösen sein. Die technischen Voraussetzungen bringt das Linux-basierte Android zumindest theoretisch mit. Man darf gespannt sein!

Diesen Artikel hatte ich ursrünglich für die Broschüre 10 Jahre ZIM an der Universität Duisburg-Essen erstellt.

 

Der Chaos Communication Congress (CCC) ist ein anerkannter internationaler Kongress, der sowohl technische als auch gesellschaftliche und politische Aspekte von IT-Sicherheit adressiert. Motto war dieses Jahr „works for me“, eine Kritik an der häufigen Einstellung, dass nur die eigene Plattform bzw. Umgebung entscheidend ist.

Der 33C3, das letzte Mal im HCC (links) in Hamburg, rechts das Logo projiziert an das Radisson-Hotel.

Der 33C3, das letzte Mal im HCC (links) in Hamburg, rechts das Logo projiziert an das Radisson-Hotel.

Weil das Hamburger Congress Centrum (HCC) in den nächsten Jahren renoviert wird, was u. A. zu einer Verkleinerung der Vortragssäle führen wird, fand der Congress im Jahr 2016 leider zum letzten Mal in dieser großartigen Location statt. Der nächste Kon-ferenzort steht noch nicht fest, allerdings gibt es kein weiteres Konferenzzentrum in Deutschland mit einer Kapazität für ca. 13000 Besucher. Der große Saal 1 fasste 3000 Zuhörer und war, wie auch die weiteren Säle bei fast allen Vorträgen gerammelt voll.

Dieses Jahr hat der 33. Chaos Communication Congress für ein sehr großes Medienecho, nicht nur in den IT-Medien, gesorgt. Der Deutschlandfunk hat beispielsweise durchgängig vom 33C3 berichtet. Auch die Tageschau berichtete vom Congress und hat auch ein fünfminütiges Interview mit Linus Neumann, einem der Pressesprecher des Chaos Computer Clubs (CCC), zu Fake-News ausgestrahlt. IT-Security und Datenschutz sind nun also endlich Themen, die bei fortschreitender Digitalisierung in den Fokus einer breiteren Öffentlichkeit gelangen.  Die aus meiner Sicht (es gab drei parallel Sessions, auch ich habe bisher nur etwa ein Drittel der Vorträge gesehen) interessantesten technischen Vorträge waren:

Everything you always wanted to know about Certificate Transparency von Martin Schmiedecker.

Der Vortrag enthält einen Ansatz, mit dem von Root-CAs falsch ausgestellte Zertifikate enttarnt werden können.  Für die Mathematiker unter uns vielleicht interessant ist der Einsatz von Merkle Hash Trees.

Predicting and Abusing WPA2/802.11 Group Keys von Mathy Vanhoef.

Hier werden auch alte Angriffe auf WPA2-Enterprise wie z.B. eduroam vorgestellt. Es geht aber in erster Linie um WPA2-Group-Keys.

Shut Up and Take My Money von Vincent Haupert.

Warum Mobile Banking mit der N26-App keine gute Idee ist, wird hier beleuchtet. Für alle App-Entwickler interessant, weil man eine Menge über TLS Man in the Middle-Angriffe auf mobilen Geräten lernen kann.

Lockpicking in the IoT von Ray.

Hier erfährt man, dass es keine gute Idee ist, Schlösser zu kaufen, die per App geöffnet werden können.

You can -j REJECT but you can not hide: Global scanning of the IPv6 Internet von Tobias Fiebig.

Was herauskommt, wenn der ganze IPv6-Adressbereich gescannt wird, kann man hier  erfahren.

Gone in 60 Milliseconds von Rich Jones.

Zeigt Angriffe auf Amazon Webservices.

 

David Kriesel beim Vortrag zu SpiegelMining

David Kriesel beim Vortrag zu SpiegelMining.

Ein großartiger Vortrag in deutscher Sprache zu Big Data und Data Mining. Was Spiegel Online alles noch so verrät.

Machine Dreams von Joscha.

Wie es mit der KI weitergehen kann und in welche Richtung geforscht werden sollte, erfährt man beim dritten Vortrag in Folge beim CCC (31C2, 32C3) von Joscha Bach. Aus meiner Sicht ein Highlight des 33C3, lohnt sich sehr! Wer auch noch einen sehr schönen vertiefenden Podcast mit Joscha Bach in Deutsch hören möchte, sei dieses 2 1/2  stündige Interview ans Herz gelegt : http://www.wrint.de/2013/03/09/wr156-ortsgesprach-joscha-bach-wg-kunstlicher-intelligenz/

Aber auch gesellschaftliche und netzpolitische Themen waren im Fokus. Empfehlen möchte ich:

 Nicht öffentlich. Ein Geheimdienst als Zeuge. Szenen aus dem NSA-Untersuchungsausschuss von anna, Kai Biermann, Felix Betzin, Elisabeth Pleß, Johannes Wolf, vieuxrenard

Ein Lehrstück/Trauerspiel auf unsere Demokratie. Zu beachten ist, dass das kürzlich von der großen Koalition verabschiedete BND-Gesetz nun eine Überwachung auch ohne „Weltraumtheorie“ zulässt.

The Clash of Digitalizations von Saud Al-Zaid

In diesem interessanten Vortrag geht es sowohl um die Repräsentation von arabischen Männern in Videospielen und die politischen Auswirkungen solcher Stereotypen. Ganz nebenbei gibt es einen schönen Überblick zu First-Person-Shootern.

Recount 2016: An Uninvited Security Audit of the U.S. Presidential Election von Matt Bernhard, J. Alex Halderman

Wer dem Ausgang der US-Wahl nicht vertraut, kann sich hier Informationen aus erster Hand anschauen.

Edward Snowden live auf dem 33C3

Edward Snowden war als Überraschungsgast live hinzu geschaltet.

3 Years After Snowden: Is Germany fighting State Surveillance? Von anna, Andre Meister

Ein schöner Vortrag von den Mitarbeitern von Netzpolitik.org, in dem auch unangekündigt Edward Snowden höchstpersönlich live zugeschaltet worden ist.

The Untold Story of Edward Snowden’s Escape from Hong Kong von Lena Rohrbach, Sönke Iwersen, Robert Tibbo

Wie es Edward Snowden in Honkong ergangen ist, nachdem er auf dem Hotel geflohen war, wird in diesem Vortrag berichtet.

The Transhumanist Paradox von Xavier Flory

Welche Auswirkungen neue Technologien auf die Gesellschaft haben können, wird in diesem sehr interessanten Vortrag adressiert.

Auch wer sich für Weltraumfahrt und Astrophysik interessiert, kam auf dem 33C3 auf seine Kosten:

Interplanetary Colonization von Liz George and Peter Buschkamp

Warum ein Raumschiff im interstellaren Raum ca. 1 cm pro Jahr von seiner Aluminiumhülle verliert, wir hier geklärt.

Eavesdropping on the Dark Cosmos, Dark Matter and Gravitational Waves von Simon Barke

Allein schon wegen der großartigen Folien sehenswert.

Lasers in the sky (with asteroids) von Peter Buschkamp

Was man mit Lasern im Weltraum noch alles so anstellen kann.

 

Die CCC-Rakete am beleuchted Abend

:Ohne Rakete und ohne Weltraum gibt es keinen Chaos Communication Congress.

Die Universität Duisburg-Essen war in diesem Jahr übrigens auch sehr prominent im Programm vertreten. Zwar waren die Podcaster Nicolas Wöhrl und Reinhard Remfort (ehemals UDE) von „Methodisch Inkorrekt“ schon auf dem 31C3 und dem 32C3 dabei, aber in diesem Jahr habe Sie es mit ihrem sehenswerten Programm sowohl in den Saal 2 als auch in die Abschlussveranstaltung geschafft.  Außerdem war Antonia Hmaidi mit ihrem exzellenten Talk zu  “The Economic Consequences of Censorship” im Vortragsprogramm vertreten. Erst auf der letzten Folie ist mir wegen der E-Mailadresse aufgefallen, dass Frau Hmaidi an der UDE forscht. Ich hatte sie wegen des ausgezeichneten Englisch für einen native speaker gehalten.

Unabhängig von meiner sehr subjektiven Auswahl können alle Vorträge des 33C3 als Video-Stream angeschaut werden: https://media.ccc.de/c/33c3. Zur Orientierung kann das Tagungsprogramm, der sogenannte  „Fahrplan“, dienen, der hier zu finden ist.

Da es diverse Anfragen bezüglich Verschlüsselung für meine Wikipedia-Sprachausgabe Pediaphon gegeben hat, wird pediaphon.org nun standartmäßig  verschlüsselt ausgeliefert. Das Zertifikat stammt von Let’s Encrypt. Da ich auf dem Server keine unnötige Python-Umgebung laufen lassen möchte, setze ich acme.sh von Travis CI ein.

https://github.com/Neilpang/acme.sh