Archiv für den Monat: Dezember 2011

Massive WLAN-Sicherheitslücke

Ein Student hat eine Lücke in heute gängigen WLAN-Routern entdeckt und bekannt gemacht. Inzwischen hat das US-Cert in seiner Vulnerability Note VU#723755 die Lücke bestätigt. Stefan Viehböck dokumentiert in seinem Blog detailliert (PDF), was er bei der Analyse des „Wi-Fi Protected Setup“ (WPS) herausgefunden hat.

Das Verfahren dient eigentlich zur vereinfachten sicheren Konfiguration von Funknetzen. Über einen Knopfdruck am Router oder eine vorgegebene PIN lässt sich das als sicher erachtete Verschlüsselungsverfahren WPA/WPA2 einrichten. Das Hantieren mit den Schlüsseln und Detaileinstellungen ist dazu nicht notwendig.

Die einfachste Form der Konfiguration, eine dem Gerät beigefügte (oft aufgeklebte) PIN, die im Client einzugeben ist, lässt sich als Einfallstor nutzen. Aufgrund einer Verfahrensschwäche genügen maximal 11000 Versuche, um eine vorgegebene PIN zu ermitteln.

Mit der PIN findet man dann die WPA-Schlüssel heraus. Laut Entdecker ergreift keines der marktgängigen Geräte Gegenmaßnahmen gegen einen solchen Brute-Force-Angriff. Einige Geräte stürzen indes ab, wenn man sie auf diese Weise malträtiert.

Schützen kann man ein Funknetz vor solchen Angriffen vorerst, indem man in der Konfigurationsoberfläche WPS abschaltet. Bei den meisten Geräten klappt das, aber – so Viehböck – nicht bei allen. Nötig ist das nur, wenn sich WLAN-Clients ausschließlich über die dem WLAN-Router beiliegende PIN einrichten lassen.

Bekannt ist die Schwäche des Verfahrens wohl schon länger: Nachdem Viehböck seine Entdeckung publik gemacht hatte, meldete sich auch die US-Firma Tactical Network Solutions zu Wort. Dort hatte man bereits Software entwickelt und perfektioniert, die binnen zehn Stunden WPA/WPA2-Schlüssel liefert. Eine Version von Reaver ist als Open Source zugänglich.

Den originalen Artikel mit allen Links sowie eine englische Version des Artikels von Peter Siering, findet ihr unter Massive WLAN-Sicherheitslücke von heise.de.

Freundliche Grüße
das OSS-Haus Team

Grüne Abgeordnete setzen PGP/GnuPG im Bundestag durch

Grüne Bundestagsabgeordnete haben einer weiteren Open-Source-Software den Weg in den deutschen Bundestag geebnet. Bundestagsmitarbeiter können nun neben S/MIME auch GnuPG zur Verschlüsselung von E-Mails verwenden, melden die Grünen.

„Gerade für den Kontakt von Parteien und Politikern mit Whistleblowern und JournalistInnen“ sei sichere Kommunikation eminent wichtig, erklärt Konstantin von Notz in einer Presseerklärung. Der Bundestagsabgeordnete aus Schleswig-Holstein setzt sich nach eigener Aussage für Open-Source-Software ein und erklärt:“Wir sind uns unserer Verantwortung bewusst und haben uns daher bei der Bundestagsverwaltung und im Ältestenrat dafür eingesetzt, dass der IT-Service des Bundestags die entsprechende Software anbietet und neben der bisher für Abgeordnete verfügbaren S/MIME-Zertifikat-Verschlüsselung nun auch eine Verschlüsselungssoftware auf Basis freier Software,offener Standards und dezentraler Schlüsselverwaltung über die offizielle Bundestags-IT ermöglicht.“

Auf seiner Webseite und der der Grünen steht dementsprechend auch der benötigte PGP-Key bereit, auf der Seite der Partei erklärt zudem ein Video und eine Pressemitteilung, wie Anwender die freie Verschlüsselung verwenden können, um sichere Kommunikation zu betreiben.

PGP (Pretty Good Privacy) ist ein 1991 von Phil Zimmermann entwickelte, asymmetrische Verschlüsselungsmethode mit Public Keys und Kennwort. Bekannt wurde die Software unter anderem, als Zimmermann 1995 die Software (gedruckt!) in einem Buch veröffentlichte, um so Ausfuhrbestimmungen der USA zu umgehen und PGP auch außerhalb der Vereinigten Staaten nutzbar zu machen. Seit 1998 spezifiziert RFC 2440 den Open-PGP-Standard, die freie Software GnuPG (GPG) ist dessen erste Implementierung, die sich mittlerweile in fast allen gängigen Mailprogrammen findet.

Den originalen Artikel mit Links von Markus Feilner, findet ihr unter Grüne Abgeordnete setzen PGP/GnuPG im Bundestag durch von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Univention Corporate Server mit Samba 4

Die Bremer Univention GmbH hat ihren Corporate Server (UCS) in Version 3 veröffentlicht, der nun auch als Active-Directory-Domänencontroller eingesetzt werden kann. Dafür liegt Samba 4 bei; die kommende Samba-Version wird von Univention voll unterstützt. Nutzer können jedoch nach wie vor die Samba-Pakete der stabilen 3er-Reihe einspielen.

Eine weitere Neuerung ist die komplette Umgestaltung der Administrationsoberfläche. Das neue Web-Interface vereint die Funktionen der Univention Management Console und des Univention Directory Manager unter einer Ajax-Oberfläche. Sie bringt auch ein neues Modul mit, über das sich eine Reihe von Einstellungen vornehmen lassen, die man bei der Vorversion während der Installation festlegen musste. Das neue Modul soll es Administratoren erleichtern, physikalische und virtuelle Systeme schnell zu duplizieren und individuell einzurichten.

Als Systembasis kommt nun Debian 6.0 (Squeeze) zum Einsatz und erstmals stellt Univention seinen Kunden alle Pakete aus den Debian-Repositories zur Verfügung – außer denen der Kategorie „Spiele“. Die Virtualisierungslösungen Xen und KVM hat Univention ebenso wie die Monitoring-Software Nagios auf den aktuellen Stand gebracht. Darüber hinaus wurde UCS um IPv6-Unterstützung erweitert.

Die Personal Edition von UCS 3.0 lässt sich über den Download-Bereich der Univention-Website ebenso herunterladen wie eine 30 Tage laufende Testversion der kommerziellen Variante. Für den Download und die Installation bietet Univention in seinem Wiki einen Quickstart Guide an.

Den originalen Artikel mit allen Links sowie eine englische Version des Artikels von Andrea Müller, findet ihr unter Univention Corporate Server mit Samba 4 von heise.de.

Freundliche Grüße
das OSS-Haus Team

Datenschutz – das Spiel kann beginnen

Sie haben gedacht, in den letzten Monaten und Jahren wäre viel über Datenschutz geredet worden? So kann man sich täuschen. Wir stehen gerade erst am Anfang, meint silicon.de-Blogger Carsten Casper.

Zum europäischen – und insbesondere zum deutschen – Datenschutz gibt es viele Kritikpunkte, diverse Unmutsäußerungen, und vor allem Fragezeichen. „Zu unternehmensfreundlich“ sagen die einen, „betriebsbehindernd“ sagen die anderen, und viele gut gemeinte Ratschläge kommen, wie man denn alles besser machen könnte. Seit letzter Woche liegt der Vorschlag der EU-Kommission auf dem Tisch, und er enthält genügend Zündstoff, um die Diskussion auf Jahre zu befeuern.

Um mal eine persönliche Note voranzustellen: meiner Meinung nach ist der Vorschlag genial. Okay, er wird so nicht durchkommen, aber er hat alles was der Datenschutz verdient: Weitblick, Unabhängigkeit, Konsistenz, Führungscharakter, Flexibilität. Aber der Reihe nach…

  • Es ist eine Verordnung, keine Richtlinie wie bisher. Eine Verordnung gilt unmittelbar, muss nicht erst in nationales Recht umgesetzt werden. Vielen Mitgliedsländern wird das nicht schmecken.
  • Die Verordnung baut in weiten Teilen auf der alten Richtlinie 1995/46/EC auf. Auch bei internationalen Datentransfers greift die neue Verordnung auf Bewährtes zurück, macht aus bisherigen Leitlinien nun Gesetzestext. Kritiker werden das als Ballast bezeichnen.
  • Sie führt mit Leichtigkeit (d.h. mit wenigen Worten) innovative Datenschutzkonzepte ein, zum Beispiel Minimierung der Datenhaltung, Rechenschaftspflicht, gemeinsame Halterverantwortung, und vieles mehr. Man wird dem Entwurf vorwerfen, bei einigen dieser neuen Themen nicht präzise genug zu sein.
  • Die Pflicht zur Bestellung eines Datenschutzverantwortlichen wird europaweit vereinheitlicht. Die Deutschen werden bemängeln, dass die Pflicht meist erst ab 250 Mitarbeitern gilt, die bisherige Regelung also aufgeweicht wird.
  • Datenschutzverletzungen müssen mitgeteilt werden, sowohl an Aufsichtsbehörden, als auch an Betroffene, unter Umständen bereits innerhalb von 24 Stunden. Dass Unternehmen dagegen Sturm laufen werden, ist absehbar.
  • Binding Corporate Rules (BCRs) werden gestärkt. Viviane Reding, die verantwortliche EU Kommissarin, hat das auf dem IAPP Datenschutz-Kongress im November sehr ausführlich dargelegt. Hier steckt der Teufel im Detail, da die bisherigen Erfahrungen mit BCRs mäßig sind, andererseits die Erwartungen an eine Neufassung zu hoch gesteckt werden könnten, zum Beispiel was die Ausdehnung auf Auftragsdatenverarbeiter anbelangt.
  • Die neue Verordnung legt sich ziemlich deutlich mit den USA an, indem sie Datentransfers an ausländische Behörden explizit verbietet (Stichwort: Patriot Act). Damit provoziert der Entwurf nicht nur Widerstand der EU Mitgliedstaaten und der Industrie, sondern auch den Unmut des transatlantischen Partners.
  • Die Verordnung führt das European Data Protection Board ein, vereinfacht gesagt eigentlich nur eine Umbenennung der Artikel 29 Arbeitsgruppe der europäischen Datenschützer. Es ließe sich aber auch darstellen, dass die Kommission weitere Kompetenzen auf EU-Ebene zusammenzieht.
  • Natürlich führt das neue Gesetz auch drakonische Strafen ein. Die Liste möglicher Verstöße ist lang, und bietet guten Nährboden für Spekulationen. Wer möchte schon dafür, dass er personenbezogene Daten ohne Rechtsgrundlage verarbeitet hat, 100.000 Euro Strafe zahlen? Wir reden hier über die Minimalstrafe, nicht die Maximalstrafe. Am oberen Ende der Skala befindet sich die erschreckende Strafe von „5 Prozent des weltweiten jährlichen Umsatzes“. Da werden auch Internet-Größen hellhörig, die sämtliche bisherigen Strafen aus der Portokasse bezahlt haben.
  • Dazu kommen dann noch eine Reihe politischer und administrativer Neuerungen, deren detaillierte Diskussion hier zu weit führen würde: bessere internationale Zusammenarbeit der europäischen Datenschutzbehörden; Möglichkeit für die Mitgliedsländer, in einigen Bereichen zusätzliche Gesetze zu erlassen (zum Beispiel bei Gesundheitsdaten und im Arbeitnehmerdatenschutz); Verankerung des Datenschutzes im Vertrag von Lissabon.

Das Ganze ist kein Flickenteppich, es liest sich flüssig, und ist nicht nur in sich selbst konsistent, sondern auch verzahnt mit anderen gesetzlichen Regelungen und Standards. Trotzdem wird es in der gegenwärtigen Form den Gesetzgebungsprozess nicht überstehen, und das ist schade, vor allem für Unternehmen. Sie wünschen sich eine verlässliche, international akzeptierte Gesetzesgrundlage, die auch neue Technologien berücksichtigt, ohne dabei technische Details vorzuschreiben. Abgesehen von den exorbitanten Strafen hält die geplante Verordnung eine Menge Gutes für den privaten Sektor bereit. Natürlich, je nach Land, Industriesektor und Größe findet jedes Unternehmen einen Grund, auf die Barrikaden zu gehen. Sie sollten es besser nicht tun, sondern stattdessen dem Entwurf nach Möglichkeit den Rücken stärken. Die politische Diskussion wird dem Vorschlag ohnehin stark zusetzen. Sollte es nicht gelingen, diese EU-Verordnung ohne massive Einschränkungen bald umzusetzen, so bleibt uns die gegenwärtige, unbefriedigende Regelung noch viel zu lange erhalten. Im schlimmsten Fall aber werden wir eine neue, Regelung erhalten, die einfach nur anders unbefriedigend ist.

Unternehmen, die an gutem Datenschutz ernsthaft interessiert sind, weil sie loyale Mitarbeiter und Kunden zu schätzen wissen, sollten sich mit der neuen Verordnung umgehend auseinandersetzen und dabei eine positive Grundhaltung einnehmen. Für alle anderen heißt es: nehmen Sie Platz, am besten nicht in der ersten Reihe, holen Sie sich eine Tüte Popcorn, lehnen Sie sich gemütlich zurück und lassen Sie das Spektakel beginnen.

Den originalen Artikel mit Links von Carsten Casper, Christian Hestermann, Frank Ridder, Bettina Tratz-Ryan, findet ihr unter Datenschutz – das Spiel kann beginnen von silicon.de.

Das Team der deutschen Gartner Analysten bloggt für Sie über alles was die IT-Welt bewegt. Dabei berichten u.a. Christian Hestermann, Frank Ridder, Carsten Casper und Bettina Tratz-Ryan über Themen wie Business Applications & ERP, Outsourcing & IT Services, Security & Privacy oder Networking & Communications.

Freundliche Grüße
das OSS-Haus Team

Gute Nachrichten von Münchens Linux-Migration

Limux, das Desktop-Migrationsprojekt der Stadtverwaltung München, liegt zum Jahresende 2011 vor seinem Terminplan.

Am 12. Dezember haben die Münchner den 9.000sten PC-Arbeitsplatz auf die hauseigene Linux-Distribution umgestellt, teilt das Projektbüro mit. Damit liegt die Kommune vor der eigenen Planung, die bis Ende 2011 8.500 umgestellte Desktops vorsah. Im Jahr 2012 sollen die restlichen rund 3000 Arbeitsplätze auf den Linux-Client migriert werden.

Microsoft Office sei bis auf genehmigte Ausnahmen weitgehend deinstalliert und durch Open Office ersetzt, heißt es weiter in der Mitteilung. Durch die Umstellung weiterer Fachverfahren auf offenen Standards sollen die verbleibenden proprietären Installation noch weniger werden.

Den originalen Artikel von Mathias Huber, findet ihr unter Gute Nachrichten von Münchens Linux-Migration von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team