Nun ist das Kind doch in den Brunnen gefallen, im EU-Parlament hat eine große Koalition der Willigen die Vorratsdatenspeicherung durchgewinkt :-(( Und was meint unser neuer großer Bruder dazu: "Niemand will jeden Mausklick überwachen." Tja, Herr Schäuble, es gab da vor Ihnen schon andere deutsche Politiker, die hatten auch nicht die Absicht, eine Mauer zu bauen, und auf einmal &emdash; ganz, ganz plötzlich &emdash; stand sie doch da... Außerdem ist der Herr Innenminister strikt gegen eine Kostenerstattung, es wäre ja schließlich staatsbürgerliche Ehrenpflicht, im Kampf gegen den Terror zu helfen. Im Endeffekt ist es ja relativ egal, ob wir unsere eigene Überwachung nun über Steuern oder Telefon/Internetzugangs-Gebühren mitzahlen, aber ein paar kleinere Provider wird es das Leben kosten. Das Dumme ist nur, daß man mit dieser Mammutüberwachung keinen einzigen Terroristen fangen wird (außer vielleicht mal einen, der sich besonders doof anstellt.) Denn sie ist immer noch leicht zu umgehen: Man besorge sich ein Handy und Prepaid-Karte aus dem Ausland und die Gespräche sind nicht mehr einer Person zuzuordnen. Genauso kann man im Internet-Bereich auf anonymisierende Proxies zurückgreifen und dorthin verschlüsselt kommunizieren, am besten noch aus dem Internet-Cafe oder vom Anschluß eines unbeteiligten Dritten aus. Das hat den gleichen Effekt, die gespeicherten Daten lassen keinen Rückschluß auf die kommunizierende Person mehr zu. Was ich mich immer gefragt habe ist, was denn da nun eigentlich genau gespeichert werden soll. Wenn man sich den Richtlinienvorschlag mal ansieht, fällt beim Überblättern des einleitenden Bla-Bla erstmal folgendes auf: (Seite 5)

Einholung und Nutzung von Expertenwissen\
Externes Fachwissen wurde nicht benötigt

Ja, das merkt man, daß da keiner Ahnung von der Technik hatte :-) Weiter hinten im Anhang findet sich dann eine lange Liste der zu speichernden Daten. Hier mal ein Auszug betreffend "Internetzugang, E-Mail per Internet und Sprachübermittlung per Internet" (Zitate kursiv):

1. zur Rückverfolgung und Identifizierung der Quelle einer Nachricht benötigte Daten:
   1. die vom Internet-Provider für eine Nachrichtenübermittlung zugewiesene dynamische oder statische Internet-Protokoll-Adresse
   2. die Benutzerkennung der Quelle einer Nachricht Daß die einzelnen Nutzern zugewiesene dynamische IP-Adresse gespeichert werden solle, war ja von vornherein klar. Aber was bedeutet das im Zusammenhang mit E-Mail? Die vom Provider zugewiesene E-Mail-Adresse? Wer zwingt mich, die zu benutzen, geschweige denn den SMTP-Server des Providers?
   3. die Anschlusskennung oder Rufnummer, die jeder Nachrichtenübermittlung über das öffentliche Telefonnetz zugewiesen wird Hm, meint das wieder die IP-Adresse, oder die Telefonnummer des Analog/ISDN-Anschlusses, der zur Einwahl benutzt wurde? Was ist bei DSL?
   4. Name und Anschrift des Teilnehmers bzw. registrierten Nutzers, dem die IP-Adresse, Anschlusskennung oder Benutzerkennung zum Zeitpunkt der Nachrichtenübermittlung zugewiesen war
2. zur Rückverfolgung und Identifizierung des Adressaten einer Nachricht benötigte Daten:
   1. Anschluss- oder Benutzerkennung des bzw. der geplanten Empfänger einer Nachricht Wenn man sich ins Internet einwählt, ist ja erstmal kein Empfänger in diesem Sinne vorhanden. Soll das also die Ziel-IP eines IP-Pakets sein? Und ist bei Mail die To:-Adresse gemeint? Dann müsste man den Datenstrom der SMTP-Verbindung mitschneiden, denn From:- und To:-Adressen werden auf Layer 7 vermittelt.
   2. Name und Anschrift des bzw. der Teilnehmer oder registrierten Nutzer, an die die Nachricht gerichtet ist Jetzt wird's lächerlich! :-) Woher bitte soll ein Provider das wissen? Innerhalb der EU könnte man die einzelnen Provider vielleicht noch zu gegenseitigem Datenaustausch verpflichten, aber wenn die Zieladresse außerhalb der EU liegt? Was ist, wenn man eine Mail an <johndoe@evil.org> schreibt, wie soll man bitte dessen Name und Anschrift rausfinden? Oder wenn man eine Webseite aufruft, die auf den Osterinseln gehostet wird?
3. zur Bestimmung von Datum, Uhrzeit und Dauer einer Nachrichtenübermittlung benötigte Daten:
   1. Datum und Uhrzeit der An- und Abmeldung für eine Internet-Sitzung ausgehend von einer bestimmten Zeitzone
4. zur Bestimmung der (mutmaßlichen) Endeinrichtung benötigte Daten:
   1. die für die Einwahl verwendete Rufnummer
   2. der DSL-Anschluss oder eine andere Endpunktkennung des Urhebers der Nachrichtenübermittlung
   3. die MAC-Adresse (Media Access Control) oder sonstige Gerätekennung des vom Urheber der Nachrichtenübermittlung verwendeten Geräts Äh, welches Gerät soll da gemeint sein? Mein PC vielleicht? Woher soll mein Provider dessen MAC-Adresse kennen? Das bei Analogmodem und ISDN übliche PPP-Protokoll überträgt als Layer 3-Protokoll keine MAC-Adressen, die kann man also gar nicht auf Providerseite aufzeichnen. Wenn man ein per Ethernet angeschlossenes DSL-Modem/Router hat, dann wäre dort die Source-MAC noch sichtbar, als Protokoll zum DSLAM in der Vermittlungsstelle wird aber PPP-over-ATM eingesetzt, wo wiederum keine MACs transportiert werden. Soll es da ein spezielles Protokoll nebendran geben, das die Source-MAC übermittelt? Und selbst wenn man das tun würde, könnte man immer noch einen Router dazwischenschalten, so daß nur dessen MAC sichtbar wird. Oder, andere Interpretation: Es könnte bei DSL irgendeine ID des Modems sein. Aber auch dafür gibt es meines Wissen kein Protokoll, das diese dem Provider mitteilt. Und abgesehen davon taugt es nicht als "Endpunktkennung", denn das Modem vermittelt ja wiederum nur.

Als Zusammenfassung kann da nur ein anderes Zitat dienen, diesmal deutlich älteren Datums: "Denn sie wissen nicht, was sie tun..." Technisch gesehen ist es grober Unfug, was da teilweise gespeichert werden soll. Nichtsdestotrotz werden die Provider verpflichtet, auf eigene Kosten riesige Datenhalden anzulegen, die die Überwacher mangels ausreichend dicker Leitungen wohl niemals abrufen können. (Das DE-CIX hat ausgerechnet, daß sie wahrscheinlich täglich 690000 CDs an Daten produzieren würden!)

In Frankreich soll gerade ein neues Urheberrechtsgesetz (DADVSI) im Eilverfahren noch vor Weihnachten durchgepeitscht werden. Neben schon anderweitig bekannten Grausamkeiten wie dem Verbot, Kopierschutzmaßnahmen (die es technisch eigentlich gar nicht gibt) zu umgehen, soll man auch keine Werkzeuge oder Informationen dazu verbreiten dürfen. Letzteres läßt sich, wie in den USA mit dem DMCA bereits vorexerziert, durchaus auch als Zensurwerkzeug mißbrauchen. Aber der dicke Hammer kommt erst noch: Des weiteren ist geplant, daß

Software für die Übertragung kopiergeschützten Materials ohne die Integration von Wasserzeichen oder DRM verboten werden soll.

(zitiert nach Heise Online) Ähm, moment mal... "kopiergeschütztes" Material könnte ja so ziemlich alles sein, denn egal ob es nun abspielgeschützt ist oder nicht ist, es immer noch eine Ansammlung von Bits und damit direkt nicht zu unterscheiden von anderen derartigen Bithaufen (beispielweise eine beliebige Webseite, irgendein Freeware-Programm, Omas (digitalisierte) Rezeptsammlung, usw. usf.) Daraus folgern wir also, daß eigentlich bei jeglicher Datenübertragung DRM und/oder Wasserzeichen berücksichtigt werden müssen. Auf der anderen Seite kann DRM nicht in OpenSource implementiert werden, denn irgendwo muß in dem DRM-Programm ein geheimer Schlüssel drinstecken (oder zumindest ein geheimes Verfahren, was aber deutlich unsicherer ist). Und da sich in offenen Quellen nichts geheim halten läßt, paßt das einfach nicht zusammen. Aber beide Tatsachen kombiniert bergen Sprengstoff: Wenn Datenübertragungs-Software gesetzlich zu DRM verpflichtet ist und DRM mit OpenSource unverträglich ist, dann wäre dem DADVSI zufolge jedes quelloffene Programm zur Datenübermittlung illegal! Und das ist ein ziemlich weites Feld: diverse FTP-Clients, viele FTP-Server, der Webserver Apache, der Browser Firefox, SSH, ... Ganz abgesehen davon, daß sicher auch der aktuelle MS Internet Exploder nicht den Anforderungen entspricht :) Und wenn man's noch genauer ansieht, kann man z.B. Musikdateien auch per USB-Stick kopieren. Ist der Dateisystemtreiber nun auch Software, die DRM beherrschen müßte? Wenn das so durchgezogen wird, dann bricht in Frankreich mit Inkrafttreten dieses Gesetzes die komplette Internet-Infrastruktur zusammen, vielleicht sogar noch mehr. Wollen sie das? Nein, wahrscheinlich wohl nicht, jedenfalls nicht so direkt. Einerseits wurden da wohl nicht alle Implikationen durchdacht, und man hat bei "Software für die Übertragung kopiergeschützten Materials" nur an Peer-to-Peer-Programme gedacht, obwohl es da auch keinen zwingenden Zusammenhang gibt. Aber andererseits wird es manchen nur recht sein. Denn durch so weitreichende Verbote, die in der Praxis kaum beachtet werden (können), macht sich quasi jeder irgendwie schuldig. So wie heute schon ein schlecht gelaunter Polizist bei einer Verkehrskontrolle irgendeinen Verstoß findet, wenn er nur lange genug sucht, und sei's nur das Ablaufdatum des Verbandskastens. Das kann ausgenutzt werden, wenn jemand sich an anderer Stelle unbeliebt oder verdächtig macht... Nun frage ich mich, was man gegen solche Gesetze wie in Frankreich geplant tun könnte. Zum einen der immer gleiche Aufruf: Laßt die Content-Mafia am ausgestreckten Arm verhungern, kauft einfach nichts von ihnen! Wenn die Umsätze weiter sinken, sind zwar erstmal wieder die pösen Raubkopierer und alles andere schuld, aber auf Dauer ist das das beste Druckmittel. Musik, Filme usw. können noch so gut gegen Kopien geschützt sein, wenn niemand das Zeug kaufen will, dann ist es nichts wert. Die andere Frage ist, ob die OpenSource-Gemeinde irgendwelche Gegenaktionen ergreifen kann. Laut FSF Frankreich wurden OS-Programmier bereits aufgefordert, ihre Lizenzmodelle zu ändern. Hm, der französische Staat verwendet doch auch bestimmt an etlichen Stellen OS-Software, oder? Wie wäre es, wenn die Programmierer nun tatsächlich ihre Lizenzen ändern, aber dahingehend, daß staatlichen Institutionen solcher OS-feindlichen Länder keine Lizenz zur Ausführung mehr gewährt wird? Das geht leider nicht rückwirkend für bereits mit anderen Lizenzen versehene, alte Versionen, aber immerhin wären Updates bestehender Systeme damit illegal, und somit z.B. keine Security Updates mehr möglich. Schließlich sind OS-Programmierer auch Urheber ihrer Software und frei, Lizenzen zu vergeben wie es ihnen gefällt *eg* Warum sollten sie nicht die Rechte eines Urhebers, die hier ja angeblich verteidigt werden sollen, für sich in Anspruch nehmen?

Der vielbeschimpfte neue "Kopierschutz" auf Sonys Audio-CDs wird nun nach ausreichend Protesten und ersten Klagen vorerst nicht mehr produziert. Immerhin... Dafür gibt's inzwischen auch eine Version für den Mac. Die hat ähnliche Rootkit-Funktionen wie die Windows-Variante. Nur doof, daß es bei Macs die Autostart-Funktion schon seit längeren aus Sicherheitsgründen nicht mehr gibt. Deshalb darf der unbedarfte Anwender sein Passwort eingeben, damit sich der "Kopierschutz" tief ins System einnisten kann. Tja, selbst schuld, kann man da nur sagen... Ich würd mich jedenfalls wundern, wenn Software auf einer Audio-CD beim Installieren nach dem root-Passwort fragen würde. Und der einfachste, sicherste und auch billigste Schutz gegen solche Angriffe der Content-Mafia ist und bleibt: Laßt das Zeug im Regal stehen! :-)

Es gab zwar eine Riesenaufregung um die Abstimmung gestern im britischen Unterhaus, als die Abgeordneten erst die Regierungsvorlage ablehnten, dann später aber doch einen Kompromiß durchgehen ließen. Ja, sie haben erreicht, daß die Polizei nun Verdächtige ohne Anklage "nur" 4 Wochen festhalten darf, statt wie geplant drei Monate. Das mag man nun positiv oder immer noch nicht so positiv sehen. In dem ganzen Rummel geht aber leider unter, daß der Rest des terrorism bill angenommen wurde, der schlimm genug ist. Ein Schelm, wer an geschickte Ablenkungstatik denkt... oder? Mr Blair wird in der Presse zitiert mit

Wir leben nicht in einem Polizeistaat, aber wir leben in einem Land, das mit der realen und ernsthaften Gefahr des Terrorismus konfrontiert ist, des Terrorismus, der unseren Lebensstil zerstören und uns grenzenlosen Schaden zufügen will.

(Quelle: Die Welt Tja, Tony, ich denke eher, daß eher die Maßnahmen gegen den Terrorismus unseren Lebensstil zerstören werden, denn was da beschlossen wurde, ist ein großer Schritt in den Polizeistaat.

Wunderbar, jetzt haben sich die beiden Wahlverlierer zusammengerauft (bzw. die SPD hat sich wohl aus Machtgeilheit über den Tisch ziehen lassen) und sie haben sich auf die Einführung der angedrohten 2-jährigen Probezeit geeinigt. Angeblich soll das mehr Arbeitsplätze schaffen *LOL* Das ist doch das Standard-Totschlag-Argument für so ziemlich alles. Es ist doch eigentlich jedem klar, daß damit nur eine ziemlich flexible Befristung auf 2 Jahre geschaffen wird, und daß in manchen Bereichen die Mitarbeiter so alle 2 Jahre durchrotiert werden. Befristete Arbeitsverträge gab es bisher schon, aber leider mit der für die Arbeitgeber unangenehmen Einschränkung, daß es bei der zweiten Verlängerung einen Anspruch auf eine feste Stelle gab. Die entfällt nun: Man entläßt kurz vor Ende der Probezeit, fristlos und ohne Angabe von Gründen, und etwas später kann man den gleichen Menschen ja nochmal ausprobieren. Und man muß sich nicht mal an eine Befristung halten, wenn jemand unangenehm wird oder aufmuckt, kann man ihn sofort rausschmeißen. Aber, jetzt die ketzerische Frage: Entsteht dadurch wirklich mehr Arbeit?? Ich würde sagen: Gleiches Recht für alle, wir sollten eine ähnliche Probezeit für Politiker einführen! Falls sie Quatsch bauen, können sie jederzeit durch eine schnelle Abstimmung aufs Altenteil geschickt werden, ohne Pensionsansprüche, versteht sich selbstmurmelnd. Keine Zeitverträge für 4 Jahre mehr, die sind viel zu unflexibel. Damit schaffen wir mehr Stellen in den Regierungen! (Oder? :-)

Ja, so geht's zu: Da ist gerade erst das große Heulen und Zähneklappern ausgebrochen, weil die Telekom 32000 Stellen abbauen will. Und kurz darauf wird ein Überschuß von 4.4 Milliarden gemeldet. Für Otto Normalo und insbesondere die Beschäftigten hört sich das durchaus, ähm, widersprüchlich an... (Für den Chef Ricke übrigens nicht.) Mag ja sein, daß jeder aus seiner Perspektive irgendwo Recht hat. Die Mitarbeiter fürchten zu recht, daß viele von ihnen in längerer Arbeitslosigkeit stranden könnten, der Chef will seine Gewinne längerfristig sichern. Und das geht nun mal ganz gut mit weniger Personal, denn das ist ein dicker Kostenposten, die Übrigen werden's schon erledigen. Was mich immer mehr bestärkt, daß da irgendetwas grundsätzlich verkehrt ist. Wenn man es etwas globaler sieht als nur für einen (wenn auch großen) Konzern, dann drängt sich die Erkenntnis auf, daß wir einfach immer mehr mit immer weniger Menschen produzieren können. Eigentlich auch kein Wunder bei zunehmender Automatisierung, oder? Ist eigentlich auch kein Problem, man könnte ja einfach mehr produzieren, alle haben mehr und alle sind glücklicher. Hm, aber so simpel scheint das nicht zu funktionieren... Durch die lokale Optimierung der Firmen kommt es eher dazu, daß es weniger Arbeit gibt, damit haben die Konsumenten insgesamt weniger zum ausgeben und können sich damit den ganzen Krempel, den produziert werden könnte, gar nicht mehr leisten. Und alle anderen haben das gleiche Problem, exportieren ist also auch nicht der Königsweg aus dem Dilemma. Ein Patentrezept kann ich nun leider nicht aus dem Ärmel schütteln, aber ein Grundgedanke drängt sich schon irgendwie auf: Wenn auch mit wenig Arbeit trotzdem genug hinten rauskommt, warum sollte die Gesellschaft dann auf dem puritanischen Grundsatz bestehen, daß --überspitzt gesagt-- wer nicht arbeitet auch nicht essen soll? Da gibt es durchaus Ideen in diese Richtung (z.B. die), da muß ich aber erst nochmal etwas forschen, vergleichen und mir Gedanken machen... Also später mehr zu dem Thema.

Es ist unfaßbar, aber leider nur allzu wahr... In Großbritannien steht ein neues Gesetz (Terrorism Bill) zur Abstimmung, das eigentlich nur noch als Ermächtigungsgesetz bezeichnet werden kann. Unter Strafe gestellt werden sollen dabei unter anderem:

• die Veröffentlichung einer direkten oder indirekten Aufforderung zu terroristischen Akten, deren Vorbereitung oder Veranlassung
• das Anbieten, Verbreiten, Weitergeben, etc. solcher Aufforderungen sowie der Besitz mit entsprechender Absicht
• die Veröffentlichung von Informationen, die bei der Vorbereitung oder Ausführung terroristischer Akte hilfreich sein können
• die Veröffentlichung einer glorifizierenden Darstellung von früherem, gegenwärtigem oder zukünftigem Terrorismus, wenn diese von Mitgliedern der Öffentlichkeit wahrscheinlich als Billigung ähnlichen Verhaltens unter gegebenen Umständen verstanden werden kann
• die Mißachtung eines polizeilichen Zensurbefehls

Der letzte Punkt ist besonders interessant: Es ist vorgesehen, daß die Polizei (nicht ein Gericht!) beurteilt, ob eine Veröffentlichung unter die oben genannten Tatbestände fällt. Wenn ja, darf sie nicht nur gegen den eigentlichen Täter vorgehen, sondern auch gegen Vermittler, z.B. Verleger, Buchhändler oder Provider. Kommen diese dem Zensurbefehl nicht binnen zwei Tagen nach, werden sie als Unterstützer behandelt und damit genauso wie ein Täter. Und zu allem Überfluß gibt es keine Rechtsmittel gegen eine solche Zensuranordnung. Da fehlt eigentlich nur noch eine schleichende Ausweitung des eh schon schwammigen Begriffes "Terrorismus", um eine umfassende Zensur zu etablieren, gegen die man sich nicht einmal legal wehren kann. Dazu kommt noch, daß nicht einmal der eigentliche Inhalt von Veröffentlichungen ausschlaggebend ist, sondern die wahrscheinliche Wirkung auf die Öffentlichkeit. Da liegt die Wahrheit im geneigten Auge des Betrachters, Terroristenjägers oder schlechtgelaunten Hauptwachtmeisters, je nachdem... Da kann man nur sagen, der Terrorismus hat sein Ziel, die westlichen Demokratien zu destabilisieren, praktisch schon erreicht. Nicht durch Chaos, wie man vielleicht denken mochte, sondern indem diese Staaten langsam aber sicher die Demokratie abschaffen. Wo bleibt da eigentlich der Aufschrei? Schaffen es wirklich ein paar Irre und ein paar Bomben, daß wir über Jahrhunderte erkämpfte Freiheitsrechte einfach wegwerfen? Meinen Schrei habt ihr jedenfalls gehört jetzt! Und ist das unseren Politikern nicht auch klar, vor allem da mit solchen Gesetzen höchstwahrscheinlich nicht allzuviele Terroristen gefangen werden können. Sind sie so doof (kann ich nicht glauben) oder ist es pure Absicht? Da muß ja jemand ganz schön Angst haben... aber nicht vor Terroristen. Ein Anschlag macht vielleicht schlechte Publicity (dafür müssen Politiker sowie eine Elefantenhaut haben), aber er wird keine Regierung stürzen. Nein, es muß etwas anderes sein? Die eigenen Schäfchen vielleicht? In Deutschlang wäre ein ähnliches Gesetz wohl durchaus verfassungswidrig, da es grob gegen die Grundrechte der Meinungs- und Pressefreiheit verstößt und daneben die Trennung von Exekutive und Judikative aushebelt. Falls in der allgemeinen Panikmachen so etwas bei uns auch noch kommen sollte und sich auch das Verfassungsgericht einlullen läßt, dann wäre meiner Meinung nach sogar Artikel 20 (4) des Grundgesetzes anwendbar:

Gegen jeden, der es unternimmt, diese [rechtstaatliche] Ordnung zu beseitigen, haben alle Deutschen das Recht zum Widerstand, wenn andere Abhilfe nicht möglich ist.

Hm, wer klopft denn da an der Tür? Moment bitte... huch, die Herren in grün-weiß?!? Ach, das war schon eine indirekte Aufforderung zu terroristischen Akten?? Hätte ich gar nicht gedacht, daß man das so auch interpretieren ka.......

Wie Mark Russinovich von Sysinternals in seinem Blog schreibt, haben einige neuere Audio-CDs von Sony einen ganz üblen Kopierschutz mit an Bord: Die mitgelieferte Player-Software, die als einzige den DRM-Kram entschlüsseln kann, enthält zusätzlich ein Rootkit, um sich selbst vor dem Benutzer und Scannern zu verstecken. Das passiert durch tiefste Eingriffe in den Betriebssystem-Kern, so wie es sonst Hackertools machen. Und nicht einmal in den üblichen Abnick-Lizenzbedingungen findet sich ein Hinweis, daß sich der Player sich derart daneben benimmt, geschweige denn mit welchen Nebenwirkungen (Bluescreens etc.) Da geht die Content-Mafia nun wirklich zu weit. Es ist schon lustig, welche abstrusen Maßnahmen erfunden werden, um die eigene Kundschaft zu gängeln. Genauso wie bei HDTV und den DVD-Nachfolgern werden immer fragwürdigere Mechanismen implementiert, um einen "Kopierschutz" zu erreichen, den es prinzipiell nicht geben kann. Denn irgendwo müssen die Daten einfach mal decodiert werden und somit unverschlüsselt auftauchen. Man kann zwar den Aufwand hochtreiben, der nötig ist, um an diese Stelle zu kommen, aber 100% sicher geht das simpel und einfach nicht. Punkt. Sie glauben's nur noch nicht :-) Und obwohl Sony inzwischen fleißig zurückgerudert, sollte man sich eigentlich grad mit Absicht diesen Stealth-Player auf einer Wegwerf-Windows-Partition installieren und Sony anschließend wegen Computer-Sabotage verklagen :-)

Für mein lokales Netz konnte ich leider keine DMZ (demilitarized zone) nach der klassischen Firewall-Lehre implementieren. Einmal fehlte mir dazu ein dritter Port an der Firewall, zum anderen ein zweiter Serverrechner. Daher habe ich eine Alternative aufgesetzt, die ohne diese Voraussetzungen auskommt und sicherheitstechnisch ähnlich positioniert ist. Bei der üblichen Architektur mit einer DMZ erlaubt die Firewall Verbindungen vom internen Netz nach außen (grün) und zur DMZ (orange), von außen aber nur in die DMZ (blau), in der die öffentlich erreichbaren Dienste beheimatet sind. Selbst bei einem erfolgreichen Angriff auf einen Rechner der DMZ ist damit kein Zugriff auf Hosts am internen Netz möglich. Als Nachteil ist jedoch zu sehen, daß die DMZ-Rechner sich gegenseitig erreichen können, ohne daß eine weitere Firewall sie voneinander abschirmt. Für den Angreifer ist es also leichter, weitere DMZ-Hosts zu übernehmen, sobald er einen davon erobert hat. Meine Variante der DMZ wurde zwar aus der Not praktischer Einschränkungen geboren, vermeidet aber dieses Szenario. Hier gibt es nur ein Netzsegment hinter der Firewall, jedoch ein virtuelles Netz innerhalb des Servers. Auf diesem laufen mit Hilfe von Xen neben dem eigentlichen internen Server in Domain 0 mehrere virtuelle Server in unprivilegierten Domains. Für jeden nach außen sichtbaren Dienst (Mail, Web, Nameserver, ...) gibt es einen eigenen virtuellen Host. Die Kommunikation der Xen-Domains erfolgt nicht wie sonst üblich eine virtuelle Ethernet-Bridge, sondern wird vom Kernel auf IP-Ebene geroutet (was bei den von Xen mitgelieferten Skripten zwar vorgesehen ist, aber leider etwas stiefmütterlich behandelt wird). Da die Weiterleitung der Pakete somit auf Layer 3 statt Layer 2 erfolgt, ist eine Filterung durch eine Firewall in der Domain 0 möglich. Kommt nun von außen eine Verbindung zu einem sichtbaren Port, beispielweise 80 (HTTP), leitet die äußere Firewall diese auf die IP-Adresse des virtuellen Webserver-Hosts um. Die innere Firewall erlaubt solche Zugriffe auch, und der Webserver kann die Anfrage beantworten. Soweit alles ganz normal, der Unterschied zur einer "normalen" DMZ tritt aber zutage, wenn man einen erfolgreichen Angriff auf den Webserver durchspielt. In diesem Fall kann die interne Firewall Verbindungen vom Webserver zu anderen internen Hosts (real oder virtuell) abfangen und verhindern. Die weiteren Eckpunkte des Konzepts in Stichpunkten:

• Jeder von außen erreichbare Dienst läuft auf einem eigenen virtuellen Host (oder ausnahmsweise eine eng verwandte Gruppe von Diensten). Falls dieser einmal einem Angriff zum Opfer fallen sollte, so ist wenigstens nur er allein davon betroffen, keine weiteren Dienste.
• Die virtuellen Server werden alle durch die Firewall in Domain 0 abgeschottet, d.h. für sie sind von außen nur genau die nötigen Ports freigeschaltet, und umgekehrt dürfen sie nur soweit wie unbedingt nötig auf Domain 0 oder nach außen zugreifen. Dies erschwert es einem erfolgreichen Angreifer, von seinem Brückenkopf aus weitere Attacken durchzuführen.
• Wichtig ist auch, daß die abschirmende Firewall nicht auf den virtuellen Servern selbst läuft, denn sonst könnte ein Angreifer, der root-Rechte erlangt hat, sie leicht umgehen.
• Die virtuellen Server können von außen nur über Portforwarding erreicht werden. Damit laufen zwar von außen kommende Pakete durch das interne Netz, ihr Ziel wird aber von der äußeren Firewall kontrolliert und es können keine beliebigen internen Rechner erreicht werden.
• Interne Rechner greifen normalerweise nicht direkt auf die Dienste der virtuellen Server zu, damit sie nicht unmittelbar mit unter Umständen fremdkontrollierten Servern zu tun haben. Eine Ausnahme habe ich für den Webserver gemacht, da es unverhältnismäßig umständlich erschien, einen zweiten Webserver mit den gleichen Daten zu betreiben und beide konsistent zu halten. In anderen Fällen, z.B. für den Mailserver, gibt es einen Proxy auf dem internen Server in Domain 0.

Vergleicht man dieses Konzept mit dem der klassischen DMZ, punktet die Abschottung der virtuellen Serverhosts gegenüber einander und dem Rest des internen Netzes. Als Nachteil ist zu werten, daß von außen stammende Daten durch das interne Netz geleitet werden. Eine Entschärfung kommt jedoch dadurch zustande, daß das Ziel dieser Daten von der äußeren Firewall festgelegt wird und nicht beliebige interne Hosts erreicht werden können.

Als ich die Heise-Meldung Adelheid und ihre Raubkopierer gelesen habe, konnte ich mich vor Lachen kaum mehr halten. Die Propagandamaschine läuft auf Hochtouren, gemäß dem Goebbels-Prinzip, daß man alles irgendwann glaubt, wenn's nur oft genug wiederholt wird. Zitat:

In der besagten Folge stellt sich ein Toter als "ehemaliger Raubkopierer" heraus, dessen Wohnung von einem Musiker "aus Zorn über Raubkopien" verwüstet wurde.

*LOL* Also, wenn ein Künstler so weit geht, nur weil ihm vielleicht ein paar Groschen entgangen sind (es ist ja noch lange nicht bewiesen, daß die "Kopierer" seine Ergüsse sonst gekauft hätten, und selbst dann hätte er vom Erlös höchstens mal 10% abbekommen), dann wage ich mal zu bezweifeln, ob man ihn guten Gewissens noch als Künstler bezeichnen sollte. Es geht im offensichtlich weniger um seine Musik und seinen Namen als ums Geld scheffeln. Ein echter Musiker hätte sich wohl eher den Manager seines Musikkonzerns vergeknöpft, der ihn ständig drängelt, neue und kommerziell erfolgreiche Hits abzusondern, mit die Rotation nicht gar so langweilig wird. Daß dabei nur noch Raubintonationen rauskommen (a.k.a Coverversionen :-) stört den Manager ja nicht, solang der Rubel rollt. Und tut der's nicht mehr, kann man immer noch auf die bösen Raubkopierer schimpfen. Ach ja, kurz darauf wurde dann entdeckt, daß angeblich Hacker Vor- und Rückwärtsverlinkungen auf der Adelheid-Seite der ARD verändert hätten (Adelheid und ihre Hacker). Irgendwie hört sich das ja nicht so ganz plausibel an... Ein Hacker solcher Güte, daß er keinerlei verwertbare Spuren hinterläßt, verändert nur zwei Links, und das ausgerechnet noch auf Pornoseiten, die keinerlei Protest zum Thema darstellen? Da mag man doch eher daran glauben, daß der Autor der Seite einen peinsamen cut&paste-Fehler begangen hat, oder? :-)

Jetzt geht es wieder los wie vor nicht allzulanger Zeit bei den Software-Patenten: Wenn das Parlament nicht so tut wie gewünscht, dann ignorieren die Mächtigen es eben einfach:

Clarke pocht nun darauf, dass das Parlament den Vorschlag der Kommission bereits in 1. Lesung Mitte Dezember ohne lange Debatten absegnen soll. [...] Den Rahmenbeschluss wollen die Minister aber parallel weiter vorantreiben, falls sich das bei der Richtlinie beteiligte EU-Parlament quer legen sollte.

(Quelle: Heise Newsticker) Mensch, da sollen die Herren Ratsminister doch gleich ehrlich sein und offen zugeben, daß ihnen das Parlament schnurzegal ist. Wenn sie noch ehrlicher wären, könnten sie es auch gleich ganz abschaffen. Aber Ehrlichkeit ist schließlich ein K.O.-Kriterium in einer Politikerkarriere, also sollten wir damit nicht rechnen. Außerdem muß ja die Fassade vor der Multiple-Choice-Diktatur schon stehenbleiben... Aber zurück zu den europäischen Überwachungsplänen: Ich frage mich immer noch, wie man sich das eigentlich vorstellt. Da wird einerseits behauptet, man wäre nur an Verbindungsdaten interessiert (wer wann mit wem), nicht an den Kommunikationsinhalten. Auf der anderen Seite streitet man sich, ob man nun z.B. Chats auch mit überwachen soll oder nicht. Allein die Erkennung, ob es sich um eine Chat-Verbindung handelt, setzt aber schon eine gewisse Inhaltsanalyse voraus (man denke z.B. an Webchats). Noch ein anderes Beispiel: IRC (Internet Relay Chat) ist zwar normalerweise auf Port 6667, also könnte man alle Connects zu dieser Portnummer aufzeichnen. Aber was hindert mich, einen IRC-Server auf Port 6668 zu starten? Im Endeffekt müsste man also gleich alle TCP-Connects und alle UDP-Header aufzeichnen, oder? Haben die Überwachungsfetischisten denn überhaupt eine Vorstellung, welche Datenmengen da zusammenkommen? Nur eine Überschlagsrechnung: Nehmen wir mal an, ein vernetzer Rechner macht 2 Connects pro Sekunde. Das ist für Privatrechner hoch gegriffen, für Server aber viel zu wenig. Na gut, vielleicht mittelt es sich raus, und es ist ja alles nur geschätzt. Nun multiplizieren wir das mit der Anzahl Rechner im Internet, im Moment vielleicht 200 Millionen (sehr vorsichtig). Klar steht nicht jeder davon in Europa, aber auch diese können gelegentlich nach Europa verbinden. Rechnen wir mal mit der Hälfte weiter, also 100 Millionen. Dann hat jeder Monat noch ungefähr 2.6 Millionen Sekunden. Und nehmen wir mal minimalistisch 16 Byte pro Logging-Eintrag an (2 IPs, Zeitstempel, Protokoll, Port). Alles zusammen kommt man damit auf über 8300 Terabyte pro Monat!. Wer soll diesen gigantischen Datenhaufen eigentlich speichern oder durchsuchen?? Ich habe immer mehr den Eindruck, da hat jemand nicht so ganz verstanden, wie das Internet funktioniert... Und das sind erstmal die Rohdaten, keinerlei Indizierung oder ähnliches, um diesen wüsten Haufen auch durchsuchbar zu machen. Dafür darf man nochmal 40..50% draufschlagen (Indices über IP und Zeit beispielsweise), also erhöhen wir auf 11700 Terabyte. Jetzt rechnen wir das Ganze nochmal auf Festplatten um: Ein gutes Preis/Leistungsverhältnis haben gerade 300GB-Platten, mit Mengenrabatt dürfte da eine für ca. 100 Euro zu haben sein. 11700000 GB / 300 GB sind 39000 Platten pro Monat und damit 3.9 Mio. Euro Ausgaben für die Speichermedien. Na gut, so kurbelt man wenigstens die Festplatten-Industrie an... nur dumm, daß die Gewinne nach USA und Ostasien laufen :-O Und bezahlen darf den Unsinn eh der Verbraucher, egal ob nun über Steuern oder erhöhte Telefon/Internet-Gebühren.

Nun ist es endlich raus: Das Merkel darf sich nun doch den Herzenswunsch erfüllen und Kanzler werden. Aber leider ohne die Westerwelle, wie eigentlich gewünscht. Dafür konnte wenigstens der Macho-Schröder aus dem Rennen gekickt werden, der sich bei der Elefantenrunde ja reichlich wie das Alphamännchen im Porzellanladen benommen hat. Geschieht ihm eigentlich nur recht... Nachdem nun endlich die entscheidende Frage geklärt ist, wer Obermufti wird, kann der Rest, den man vielleicht zu tun gedenkt (aber es kommt ja immer anders als man denkt, jaja...), mal ganz schnell durchgenudelt werden. Da kann man sich weitgehend einig sein. Jedenfalls wird's neoliberal-globalistisch, weil es ja gar nicht anders geht, wie uns bis zum Erbrechen gepredigt wird. Ob da die Tönung nun mehr rot oder mehr schwarz ist, ist eigentlich schon egal. Und über den unwichtigen Rest kann man sich dann gelegentlich in die Haare bekommen. Damit läßt sich bei Bedarf immer ein richtig guter Vorwand finden, daß man eigentlich gar keine Lust hat, was zu tun, sondern sich lieber nur an der Macht erfreut.