LNP283 23bonobo42

Feedback — EU-Urheberrechtsreform — Seehofer — Collection 1 — MAC-Adressen — TKÜ — Handy-Tracking — Registrierungspflicht in AT — Frank-Walter ist Tims Homie — SUBSCRIBE 10

Die aktuellen Ereignisse bringen uns dazu, Passwort-Entscheidungen der Vergangenheit zu beschmunzeln, die Hoffnung auf eine Wende in der Frage des EU-Urheberrechts noch nicht ganz aufzugeben, den Kopf über deutsche und österreichische Minister zu schütteln und nebenbei wieder mal das eine oder andere technische Detail aufzudröseln. Tim klatscht derweil mit dem Bundespräsiadialamt ab und verkündet die Verfügbarkeit der Tickets für die SUBSCRIBE 10 in Köln.

Dauer: 00:00

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

EU-Urheberrechtsrefom

Seehofer macht Datenbank

Collection 1

MAC-Adressen-Fahndung

Erstmals weniger TKÜ

Handy-Tracking as a service

Digitales Vermummungsverbot in Österreich

Gemeinnützigkeit für Freifunk-Initiativen

Telekom darf Glasfaser der Konkurrenz drosseln

Bundespräsident hört Metaebene

SUBSCRIBE 10

63 Gedanken zu „LNP283 23bonobo42

  1. Hi zusammen,
    bzgl. HIBP: Das mit dem mehrfachem Hashen ist mir neu und ich bin mir relativ sicher, dass HIBP keine API anbietet, in der man mehrfach gehashte PWs rein schmeißt.
    Stattdessen werden nur die ersten 5 Zeichen des (lokal berechneten) SHA-1 in die API gegeben (https://haveibeenpwned.com/API/v2#PwnedPasswords). Als Ergebis kommen alle SHA-1 aus der HIBP-DB alle Hashes zurück, die mit diesen 5 Zeichen beginnen (zusammen mit der Info, wie oft das PW in der DB auftaucht). Jetzt kann man wieder lokal im Ergebnis nach seinem PW suchen. Das ganze ist so simpel, das man das relativ einfach in Excel bauen kann – wer das mal ausprobieren möchte.

    • Ich habe mal ein Perlscript geschrieben, dass lokal gegen diese API prüft: https://github.com/atdotde/HIBPPasswort

      Es ist so kurz, dass sich jeder selbst davon überzeugen kann, dass es mit dem eigegebenen Passwort keinen Quatsch macht.

      Sets ein 100 mal gehashtes Passwort irgendwo hinzuschicken wäre keine gute Idee: Eventuell habe ich ja vorher (zB von der gleichen IP) nach meiner Email gesucht. Dann liegt für den Serverbetreiber nahe, dass dieser Hash zu meiner Email gehört. Sollte er später von irgendwo (weil doch jemand anderes das gleiche Passwort verwendet) diesen Hash nochmal sehen, wüsste er, dass er das zugehörige Passwort gegen meine Emailadresse ausprobieren könnte.

      Bei der HIBP werden aus diesem Grund nur die ersten fünf Zeichen des Hash übertragen, so dass man nicht zu viele Information zu seinem Passwort freigibt.

  2. Hallo Linus,

    zu deinem Empfehlung lange Passwoerter zu benutzen gibt es allerdings noch eine wichtige Anmerkung zu machen.

    So gibt es besonders bei Druckerherstellern aber auch anderen Plasteboxherstellern das Problem, dass Passwörter längen beschränkt sind, weil Sie zum Beispiel in NVRAM abgelegt werden. NVRAM setzt meistens eine feste Zeichenlänge vorraus. So werden Passwörter die nicht lang genug sind mit Nullen aufgefüllt. Passwörter die aber zu lang sind werden meiner Erfahrung nach einfach abgeschnitten. Im GUI wird also nur geprüft das das Passwort eine Mindestlänge hat. Die Maximallänge wird nicht gecheckt. Wer würde den So ein langes Passwort erstellen? Das kann sich doch niemand merken.

    Eigentlich denkt man ja das, dass mit der Passwortmaximallänge kein problem ist. Den bei vielen Hashfunktionen kommen tatsächlich immer gleichlange Zeichenketten raus. Aber irgendwie scheinen die Hersteller das mit dem Hashing noch nicht wirklich verstanden zuhaben.

    Ich habe damit schon einen Drucker gebrickt der nür über ein obscures Firmwareupdate das mir vom Support für teueres Geld per Mail geschickt wurde (Nein es gab nie ein Firmwareupdate für den Drucker, und damit auch nicht das bedürfnis sowas online zustellen). Bei einem anderen Drucker von einem anderen Hersteller habe ich eine gesamte Konfiguration, also 3 Stunden Arbeit, verloren weil ich den Drucker reseten mußte und nochmal anfangen konnte. Bis das Problem dann gefunden ist warum ich mich aufeinmal nicht mehr einloggen kann vergehen dann nochmal 3 Stunden debugging aufwand. Und ja die Firmware des ersten Druckers mußte wirklich vom USB Stick gedruckt werden wie auf dem 35c3 Talk gezeigt.

    Ihr seht also das es zwar gut und sicher ist lange Passwörter zu benutzen aber wenn die Passwort-Algorithmiken auf Seiten der Hersteller nicht ordentlich umgesetzt sind, dann hat man im Endeffekt gesehen da durch sogar noch mehr Probleme als wenn man ein einfaches Passwort benutzt. Die Industrie forciert hier also einfache Passwoerter.

    Und noch etwas zu Passwortkomplexitätsanzeigen in Webinterfacen und dem Zwang Sonderzeichen zu benutzen.

    Wie du schon sagst, ein langes Passwort ist sicher. Jedes Zeichen mehr verdoppelt den aufwand es zu knacken. Damit hat man dann logarithmische effekte.

    Warum zwingen mich dann bestimmte Portale dazu ein Sonderzeichen im Passwort einzusetzen? Das bricht bei der Account Erstellung nehmlich meinen Passwörtmanager.

    Ich vermeide Sonderzeichen in Passwörtern, da ich viel auf Multillingualen Systemen arbeite. UTF-8 im Zusammenhang mit Passwörtern hat mir nehmlich schon mehrmals diverse Geräte gebrickt. Den bei der Erstellung des Passwortes wird UTF-8 verwendet und bei der Authentifizierung nicht. Juhu, wer sowas hat der kann wirklich nur fragen wo der Sachverstand in der Industrie geblieben ist.

    Außerdem hat man dann das Problem wenn man doch mal per Consolle das Passwort von Hand eingeben muß, ist nicht immer das richtige Tastaturlayout vorhanden (geladen). Dann wundert man sich warum man seine Benutzer mit Passwoertern die Sonderzeichen haben nicht legitimiert bekommt.

    Mein 32 stelliges zufällig generiertes Passwort ohne Sonderzeichen wird mir dann also in der Ampel der Sicherheitsbewertung immer als schlechtes Passwort angezeigt und ein 10 stelliges das Sonderzeichen hat wird als Sicher angezeigt.

    Auch hier muß mal ein bischen Sachverstand in die Umsetzung von Passwörtkomplexitäts und Sicherheitsbewertungen her. Ich habe da noch keine wirklich vernünftige Umsetzung gesehen. Ist das wirklich so schwer zu programmieren?

  3. Moin, kurze Frage zum Thema Passwort-Sicherheit: wie bewertet Ihr die Apple-Lösung mit Sicherung der Passwörter via iCloud/Schlüsselbund? Ich meine das kam noch nicht zur Sprache und wird vermutlich landläufig genutzt. Danke für alles!

  4. Schöne Folge wieder, vielen Dank! :)

    Eine kurze Korrektur zu HIBP:
    Linus, du sagtest, es würden keine E-Mail Adressen gespeichert, sondern nur deren Hashes.
    Das kann nicht stimmen, denn würde ja das Domain-Search-Feature nicht mehr funktionieren.
    In der FAQ von HIBP ist auch nur von gehashten Passwörtern die Rede, so wie ich das auf die Schnelle sehe.

  5. Nach den letzten 3 Folgen denke ich darüber nach, wie ich mein mittelmäßiges Account-Verhalten auf den neusten Stand bringen kann. Vor allem verschiedene Mail-Adressen für Accounts.

    Nehmen wir an ich habe eine Domain mit Catchall.
    Wenn man den Besitzer von mehreren Accounts durch das gleiche Passwort erkennen kann, dann verrät einen doch auf die gleiche Art die gleiche Domain.
    Twitter zeigt bei der Passwort-Wiederherstellung ja die Mail-Adresse mit Sternchen an. Soweit ich weiß ist aber auch hier die Domain vollständig sichtbar.

    Habt ihr Domains für “Account mit realem Namen”, “Account mit Pseudonym” und ansonsten Wegwerf-Adressen?
    Sich Best-Practices zu überlegen scheint mir fast ein Vollzeitjob zu sein.

  6. Sehr interessant, was da mal wieder alles vorgefallen ist. Ich finde die Art, wie Ihr das aufbereitet, super. Habe nur zu einem Satz, der gefallen ist, eine Anmerkung:

    Die Aussage “Das Mobilfunknetz muss wissen, wo ihr seid, damit es euer Handy klingeln lassen kann – leuchtet ein” verursacht mir Kopf- und Bauchschmerzen.

    Einerseits ist sie, wörtlich genommen, natürlich richtig. Damit das Mobilfunknetz das Klingeln verursachen kann, muss es das Handy orten. Andererseits ist die Aussage irreführend und nur oberflächlich einleuchtend, weil es ja gar nicht direkt das Mobilfunknetz sein muss, das die Verbindung zwischen zwei Endgeräten aufbaut.

    Die Vermengung von Beidem ist das Paradigma, auf dem der Mobilfunk traditionell beruht – und das meines Erachtens überholt ist und zu dem ganzen Tracking-Ärger führt. Sobald man einsieht, dass Telefonie doch nur aus Datenpaketen (und zugegebenermaßen auch QoS) besteht und dass die Registrierung von Prepaid-Karten nur der Erfüllung totalitärer feuchter Träume dient und für die Abrechnung unnötig ist, sieht man, dass eine Identifikation des Anschlußinhabers technisch nicht nötig ist. Die QoS bekäme man bei ausreichendem Breitbandausbau nahezu automatisch.

    Telefonie ist schließlich auch z.B. über SIP möglich ist und die bloße Netzwerk-Connectivity lässt sich damit ausgesprochen sauber von der Telefonnummer trennen, sobald man echtes (netzneutrales) mobiles Internet hat.

    Die ganze Trackbarkeit kommt mir mehr und mehr wie ein künstlich hergestellter und durch falsche Standards, Gesetze und Propaganda aufrechterhaltener Zustand vor.

    Ich weiß, dass Ihr euch technisch mit dem Zeug besser auskennt als ich Totalverweigerer und die Sachverhalte mindestens ebensogut durchblickt. Ich finde, es wäre hilfreich, hin und wieder darauf hinzuweisen, dass die Dinge auch in dieser Hinsicht ganz anders sein könnten und personalisierte Ortung keinesfalls eine Bedingung für Erreichbarkeit ist.

    • Telefonie ist schließlich auch z.B. über SIP möglich ist und die bloße Netzwerk-Connectivity lässt sich damit ausgesprochen sauber von der Telefonnummer trennen, sobald man echtes (netzneutrales) mobiles Internet hat.

      Sorry, aber da verstehe ich so einiges nicht:
      1. „Netzwerk-Connectivity“ – dein Telefonat muss auch in Datenpaketen zu dir geroutet werden. Dein DSL-Anbieter weiß auch wo du wohnst. Bei Mobiltelefonie bewegst du dich durch sein deutschlandweites Netz aus mehreren 10k Antennen.
      2. „Von der Telefonnummer trennen“ – wie willst du denn dann erreichbar sein?

      Ich vermute du meinst ein Modell à la SIP auf einem WLAN-fähigen Gerät, das sich von „überall“ aus egal welchem Netz zu seinem Gateway verbindet.

      Wenn du dafür aber mehr als ein paar freifunk-Hotspots nutzen möchtest, brauchst du ein deutschlandweites Netz, in dem du dich anmelden musst, in dem deine Pakete geroutet werden, und das dann auch wissen muss TADA! wo du bist.

      Um Adressierung und Routing kommst du schwer herum, kombiniert mit Billing und Erreichbarkeit hast du dann auch Tracking-Möglichkeiten.

      • 1. Wenn ich Internet habe, hab ich jede Menge Möglichkeiten, den Kram nicht direkt zu routen. Ich erwäge nicht im Traum, mich heutzutage noch nackt im Internet zu bewegen. Ohne Tor und co geht da gar nichts. Der DSL-Anbieter weiß idealerweise nicht, wann bei mir wer zuhause ist oder was macht.

        2. Nun ja, mit der SIP-Nummer. Deine Vermutung trifft, vielleicht habe ich mich zu unbeholfen ausgedrückt. Lebe wie gesagt weitgehend im Exil, was Mobilfunk angeht.

        Somit ist das alles für mich relativ hypothetisch, momentan schließen mich der Registrierungswahnsinn und die unverhältnismäßige Schwierigkeit, irgendwelche vernünftig anonymen Karten und Mobilfunkendgeräte zu bekommen, tatsächlich recht effektiv von der mobilen Telekommunikation aus. Den Aufwand ist es mir schlicht nicht wert. Da bleibe ich lieber schlecht erreichbar, bis es flächendeckend anonym nutzbare Netze (am besten in BürgerInnenhand) gibt.

        Das mit dem Anmelden ist nach meinem Dafürhalten wie gesagt ein zu 100% künstlich hergestellter Zustand, nicht gottgegeben. Das sollten wir uns zurückholen – wäre z.B. ein Telekommunikationsanbieter, der wie Posteo verfährt und sich anonym bezahlen lässt und damit seine KundInnen auch nicht zählen kann, bei uns rechtlich möglich? Das ist für mich hier die interessante Frage, dringender als die nach der Netzabdeckung.

        Auch Mobilfunk könnte ja durchaus anders abgerechnet werden als wie derzeit – dass ihnen statt SIM-Karten nichts eingefallen ist, das eine anonyme Bezahlung erlaubt, kann ich ja noch verstehen – aber eine nicht änderbare Gerätekennung braucht der Betreiber nun wirklich nicht für diesen Zweck.

        Ich weiß, ich stelle hier gleich mehrere Dinge auf einmal in Frage, die nicht alle auf einmal verändert werden können. Das hat sich aufgestaut – und ich finde, man muss diese Voraussetzungen ganz unbedingt und ganz dringend in Frage stellen, auch wenn sie nicht alle auf einmal änderbar sind.

        Davon abgesehen finde ich die Freifunk-Hotspots tatsächlich ein Geschenk des Himmels, so wenige sind es in den Städten ja gar nicht mehr und was das flache Land angeht, so denke ich, muss die Politik einfach aufhören, der Community-betriebenen Infrasatruktur Knüppel zwischen die Beine zu werfen … Gemeinnützigkeits-Anerkennung für Freifunk ist ja schon mal ein Anfang.

      • Faktisch muss ich der Aussage nach wie vor zustimmen, es geht mir nur darum, das Träumen einer möglichen Alternativwelt – die technisch fast im Bereich des Möglichen liegt – für extrem wichtig zu erklären.

        Zu meiner letzten Antwort: ich möchte im Grunde, dass man wieder darüber nachdenkt wie zu Zeiten der SIM-Tauschbörsen.

        Ich habe nie kapiert, warum die sich nicht durchgesetzt haben und man sich dann nicht mit dem gleichen rebellischen Ethos den Rest der digitalen Kommunikation (zurück)erobert hat. Warum man sich brav auf eine von Grund auf privatsphäre-feindliche Infrastruktur gesetzt hat und nun lediglich Regeln dafür einfordert, die mir nicht weit genug gehen, weil sie immer noch von der Identifizierbarkeit der Anschlussinhaber ausgehen. Ist keine spezifische Kritik, ich wollte es nur allgemein angemerkt haben. Wir müssen da wieder rebellischer werden und dafür kämpfen, dass die Netze anders gestaltet werden – und dazu zählt IMHO, die technischen Möglichkeiten auszureizen (und die Grenzen dessen zu kennen) ebenso wie politische Veränderung …

  7. Guten Morgen Linus, Guten Morgen Tim,

    ich bin noch nicht durch mit dem Hören, aber die folge hat mich wieder gepackt (wie immer!)
    Mir ist zu der Sache mit dem BSI eine Frage aufgekommen. Könnte ich und vielleicht viele andere jetzt eine Anfrage per DSGVO beim BSI stellen? Und danach dann die Löschung der Daten verlangen? Oder geht das nicht?
    Gruß
    Jonas

  8. Falls man den Besitzer des Gerätes mit der gesuchten MAC-Adresse findet, ist das doch auch noch kein sicherer Beweis, dass die E-Mail von diesem Gerät kommt oder? Der/Die Täter hätten ja der gleichen Vorgehensweise folgen können, wie Linus es anscheinend gerne auf Langstreckenflügen macht,

    • In der Regel wandern Leute ja nicht wegen einzelner Hinweise / Beweise / Indizien in den Knast, aber wenn du dir mal die Entropie einer MAC-Adresse anschaust, weißt du warum eine auf diesem Weg geschnappte Person kaum Chancen hat, sich mit der Argumentation zu verteidigen.

      • In dem Zusammenhang wird auch die Änderung der MAC Adresse problematisch, wenn man nämlich zufällig eine erwischt, die ein solcher Idiot wie der Bombenheini hat / sich gemacht hat.

        Klar, Kollisionen sind extrem unwahrscheinlich, aber troztdem kann die MAC Adresse aufgrund ihrer Veränderbarkeit nicht als Beweis dienen bzw. die Änderungen nicht zwangsläufig schützen.

        Oder habe ich einen Denkfehler?

        • Ich sehe es wie Paul,

          wenn man sich freies Internet erschleichen kann, indem man die MAC Adresse eines anderen snifft und spoofed und dieser Angriff auch noch ein “Klassiker” ist, sollte das nur als Indiz gelten. Mehr nicht. Da sollte die Entropie egal sein.

  9. Hallo! toller Podcast: Kurz zu dem Thema Vectoring vs FttB (Fiber to the building). Aus EMV Sicht ist eigentlich beides Mist. Hochfrequente Signale über 100 Jahre alte ungeschirmte Telefonkupferleitungen zu übertragen ist nie eine prickelnde Idee. Gerade dann wenn wir neben schnellen Internet, auch noch ein paar andere Funkdienste erhalten möchten (WLAN, Flugfunk, Behördenfunk, Amateurfunk, usw). Mag sein, dass das bei einem einzelnen Gebäude egal ist, aber in Großstädten erzeugt man da ein ganz schönes Grundrauschen. Der einzige saubere Weg ist eine Neuverkablung (entweder gleich Glasfaser in die Wohnung oder zumindest saubere Netzwerkkabel Cat 6 oder Cat 7). Weiß auch nicht, wo das Problem ist, ein kleines Loch zu bohren und warum man dies gleich als “komplizierte” Baumaßnahme aufblasen muß. Die Umstellung auf Zentralheizung oder fliessendes Wasser war um einiges schwieriger.

    • Die Kabel werden durch Gemeinschaftseigentum verlegt. Brandschutz etc. muss beachtet werden.
      Deshalb ist es nicht einfach ein paar Fasern neu zu legen.
      Erklär doch deinen ewiggestigen Miteigentümern, dass sie alle Geld ausgeben müssen damit du ein paar Bits/s mehr bekommst.

  10. Kürzlich sprach Linus davon, dass er bei jeder Website eine andere Mailadresse verwendet. Gerade habe ich entdeckt, dass mein Mailer (mailbox.org) Mail-Extensions anbietet. Das scheint mir eine einfach umzusetzende Variante von Linus Vorschlag zu sein für jedes Portal eine eigene Mailadresse zu verwenden ohne eine eigene Domain zu haben. Natürlich könnte das jewelige Portal meine echte Mailadresse einfach erraten, aber ist das trotzdem sinnvoll? Was meint ihr?

  11. Hallo.
    Schöner Podcast, wie immer.

    Bei Linus fällt mir schon seit einiger Zeit auf, dass er an der ‘Professorenkrankheit’ zu leiden scheint; Um ja nichts falsch(?) zu erklären, werden Linus Erklärungen manchmal unnötig kompliziert und lang. MAC Adresse zu erklären ist hier jetzt noch ein harmloser Fall.

    Das wollte ich nur mal als Anmerkung loswerden, da ich bei Linus umwindenden Erklärungen mittlerweile angefangen habe meinen Finger auf FastForward Knopf zu legen.
    Ich habe in Erinnerung, dass Linus mir früher nicht die Uhr erklärt hat, um mir die Uhrzeit zu sagen. Vielleicht erinnere ich mich aber auch nur falsch.

    Wie schon im Eingang gesagt: Schöne Folge, macht weiter so und für alles Unwohlsein meinerseits gibt’s ja FF. ;)

    • Ich habe in Erinnerung, dass Linus mir früher nicht die Uhr erklärt hat, um mir die Uhrzeit zu sagen.

      Genau DAS ist aber der Sinn dieser ganzen Sendung: Dinge so zu erklären dass Leute ermächtigt werden auch selbst nachzudenken und nicht für immer unmündig im „aber ein Experte hat gesagt“ hängen zu bleiben.
      Es mag sein, dass es mir in 2 Stunden Sendung mal mehr und mal weniger gut gelingt, Dinge zu erklären. Wer aber vorspult, ist nicht in der Lage das zu beurteilen.
      Da werden wir auch dann nicht auf einen gemeinsamen Nenner kommen, wenn du meinst mir eine Krankheit unterstellen zu müssen.

      • Hmmm, dann liegt es wohl doch an mir.

        Ich hatte irgendwie den Eindruck, dass du früher kompakter _und_ dabei verständlich erklärt hattest, mein Fehler.

        >> Wer aber vorspult, ist nicht in der Lage das zu
        >> beurteilen. Da werden wir auch dann nicht auf
        >> einen gemeinsamen Nenner kommen, wenn
        >> du meinst mir eine Krankheit unterstellen zu
        >> müssen.

        Wow, echt jetzt? Ok, ich versuch es trotzdem.

        Weder steht da, dass ich Vorspule, noch das ich dich einer realen Krankheit bezichtige.
        Fast Forward ist übrigens das Abspielen mit erhöhter Geschwindigkeit. Dass ich das auch tue steht nirgendwo, nur das ich den Drang verspüre es zu tun, also meinen Finger auf die Taste lege.

        Und da du das Bild mit der Uhr auch komplett falsch verstanden hast (oder falsch verstehen wolltest?), versuche ich das nochmal. Wenn du einem Erwachsenen Menschen nach der Uhrzeit fragst, dann erklärst du ihm nicht unbedingt die Uhr, sondern sagst ihm die Zeit.
        Ein Beispiel wäre die Erklärung für ein Smartmeter, die war gut verständlich, oder?

        Dass Erklärung nicht immer klappen ist klar, trotzdem sollte man bemüht sein ‘Dinge’ einfach erklären zu können.
        Professoren (oder auch Experten) haben nach meiner Erfahrung den Drang es auch für ihre Peers richtig zu erklären; das macht die Erklärung zwar richtig manchmal aber zu komplex und unverständlich für nicht_Experten.
        Das ist für mich die ‘Professorenkrankheit’.

        Dann lieber mit dem ‘Sendung der Maus’ Ansatz. Lieber einfach und ein bisschen falsch erklären, als das man gar nichts versteht.

        Und jetzt bestimmen wir mal den Nenner …

    • Gegenstimme: Ich schätze gerade diese geduldigen ausführlichen Erklärungen ganz besonders. Das mag sicher für eh schon sehr technik-versierte Menschen stellenweise langweilig sein, mir scheint aber, dass der Podcast eine Informationsquelle für alle sein möchte – eben auch die interessierten aber mit kaum Vorwissen ausgestatteten Laien wie mich.
      In diesem Sinne: Danke und weiter so, Professor Neumann!

  12. Hallo Linus & Tim,

    Toller Podcast, bin seit ca. 100 Folgen regelmäßiger Hörer. Klasse finde ich auch immer die Erklärungen für Einsteiger, die – zusammen mit euren unregelmäßigen Lachflashs – dafür sorgen, dass auch meine nicht IT-affine Frau ganz gern zuhört.

    Was die MAC-Adressen-Erklärung angeht, ist ja schon gesagt worden, dass die etwas unglücklich war. Ich glaube auch, das kaum jemand, der das Konzept nicht schon vorher kannte, das danach verstanden hat. Mein Tipp an euch: Nehmt Beispiele aus der realen Welt, auch wenn dann vielleicht die wissenschaftliche Präzision etwas leidet.
    DHCP erkläre ich immer am Beispiel einer KFZ-Zulassungsstelle:
    – DHCP-Server = Zulassungsstelle
    – MAC-Adresse = Fahrgestellnummer
    – IP = Nummernschild
    Gerät kommt, will Nummernschild, bekommt eins für 8 Tage, außer er verlängert. Problematisch ist, wenns keinen DHCP gibt (manuelle Vergabe notwendig) oder wenns 2 gibt (Kompetenzgerangel unter den Beamten :-)).
    So hat das eigentlich bisher noch jeder verstanden und tiefer muss der reine User ins Thema eigentlich nicht rein. Die die tiefer rein wollen, suchen sich dann eh andere Quellen.

    Also, nutzt die reale Welt und macht weiter so!

    Grüße
    Joki

    • Einfacher ist die Analogie der Paketzustellung.

      Mit meinem Personalausweis (Personalausweisnr = MAC-Adresse) registriere ich mich beim Einwohnermeldeamt(DHCP-Server/Router Advertisement) und bekomme eine postalische Adresse (IP-Adresse) zugewiesen.

      Die Postadresse ist hierarchisch strukturiert und somit zur Paketzustellung geeignet (PLZ-Verzeichnis / IP-Routingtabellen).

      Hat der Bote die jeweilige Postadresse erreicht, kann dieser noch anhand des Persos prüfen, ob es sich auch um den richtigen Adressaten handelt (mehrere Leute mit dem selben Namen im Haus / IP-NAT)

  13. Super gute Folge und sehr hilfreiche Erklärungen zu MAC-Adressen, Wireshark und Pay-Portalen :-)
    Kleine Anmerkung: Linus ließ anklingen, dass er von Buzzfeed nicht viel hält – das ist sicher gerechtfertigt, aber die Story bzgl Cohen kam über Buzzfeed_News_ (einer Ausgründung von BF) und da sitzen tatsächlich Pulitzerpreisträger und die Stories sind selbst auch mehrfach ausgezeichnet oder nominiert (https://www.pulitzer.org/finalists/chris-hamby-buzzfeed-news)

    Ein Zeichen für die bizarre Zeitlinie in der wir gerade unterwegs sind – die besten Nachrichten kommen aus Klatschhäusern und Comedyformaten und die “alten” Medien sinken in den fake news-Sumpf… (überspitzt natürlich)
    Ansonsten weiter so und ich warte auf jede neue Folge und propagiere das Hören von LNP an alle Bekannten und Verwandten.

    • Meinst du das Buzzfeed, wo man nix lesen darf, wenn man einen adblocker verwendet und nicht ihre unzähligen Tracker zulässt? Das Vorbild von SPON BENTO?

      Welche Story bzgl. Cohen? Diese?

      Mueller Contradicts BuzzFeed “Bombshell” Trump Story

      https://www.youtube.com/watch?v=VwuFvE0eskM

      Bist du auch ein Russiagate-Truther?

      https://www.youtube.com/watch?v=qjUvfZj-Fm0

      und alles nur weil Hillary Clinton, die fähigste Präsidentschaftskandidatin aller Zeiten, gegen ein Reality TV-Star verloren hat …

      Dass alte Medien abstürzen, ist kein Wunder, wenn TV-Moderatoren Millionengagen kriegen und echte Journalisten höchstens prekäre Jobs. Das nennt sich Corporate Media, hat u.a. etwas mit der Änderung des telecommunications act zu tun in der Zeit von Bill Clinton.

      Wer sich über Russiagate informieren will, ist bei Glenn Greenwald, Michael Tracy und Aaron Maté gut aufgehoben. Denen könnt ihr ruhig auch was spenden. Die leben nicht von Luft und Wasser allein. Auch nicht von Werbe-Clickbait und dem Verkauf eurer Daten wie Buzzfeed.

  14. Im Fall von Collection #1 ist Have I Been Pwned für mich leider relativ nutzlos, weil nicht klar wird aus welcher Quelle meine Mailadresse in den großen Haufen gelangt ist. Wars nur ne Spamdatenbank wo die seit Usenetzeiten schon drin steht oder ein mehr oder weniger wichtiger Dienst?

    Die große Ironie an der Entscheidung zum Drosseln der Glasfasern ist euch entgangen. Da wird die eine Übergangstechnologie (FTTC mit VDSL2-Vectoring) durch die andere Übergangstechnologie (FTTB mit G.fast) gestört. G.fast ist übrigens auch “nur” ne Art DSL und nutzt auch Vectoring. Und da kommt es dann halt zum selben Problem wie bei der Vectoringdicussion. Es kann nur einen geben…

    Die Entscheidung selbst ist leider traurigerweise logisch, dann sonst könnte es dazu kommen, dass bei allen anderen in einem Mehrfamilienhaus das DSL kaputt ist sobald eine Partei Glasfaser mit G.fast hat.

    So wie ich das verstanden hab nutzt DSL den Frequenzbereich von “0”-30MHz und G.fast von “0”-106 MHZ. und “drosseln” bedeutet technisch, dass DSL den Frequenzbereich unterhalb von 30 MHz exklusiv bekommt. Hab ich das richtig verstanden?

  15. Hallo Linus, hallo Tim,

    euer Podcast macht Spaß und man lernt viel. Ich liebe die Mischung.

    Durch Have I been pwned habe ich herausgefunden, dass meine Email Adresse in 2 Breaches (Collection #1 und Exploit.In) vorkommt. Wie finde ich heraus in welchem Zusammenhang?

    Danke :)

  16. Danke für den tollen Podcast! Gerade musste ich aber widersprechen und im Stil von https://www.xkcd.com/386/ hierher um dann zu merken dass https://logbuch-netzpolitik.de/lnp283-23bonobo42#comment-115458 schon das gleiche gesagt hat :-)
    Also hier nur die relevanten Links: https://en.wikipedia.org/wiki/K-anonymity und https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/

    Eine Ergänzung habe ich trotzdem noch: Neben Troy Hunt gibt es auch vom Hasso Plattner Institute der Uni Potsdam ein ähnliches Angebot: https://sec.hpi.uni-potsdam.de/ilc/
    Vielleicht könnt ihr beim nächsten Mal sagen was für Vor- und Nachteile die jeweis haben – z.B. die Anzahl der eingebundenen third-party scripts, die Aufbereitung der Infos, und ob man sie per (unverschlüsselter!?) Mail zugestellt bekommt oder auf der Website selbst…

  17. Linus, du bist doch Psychologe und kommst uns mit der Bedürfnispyramide! Wenn auch nur im Nebensatz… die ist schimmliger als der älteste Beamtenwitz!

  18. Tim, Linus, vielen Dank für Euer ehrenamtliches Engagement und die lehrreichen Podcasts!

    Ein paar Gedanken zu “Collection #1”:
    Es gibt 2 torrents, ich habe mir die zu Forschungszwecken mal teilweise besorgt. Das eine torrent ist 33GB groß und enthält etwa 10.000 Dateien aus Collection #1. Das zweite torrent ist mit 364GB deutlich größer und beinhaltet Collection #2-5 sowie vier weitere zips. Jede dieser Collections enthält mehrere Ordner, die wiederum mehrere Dateien enthalten.

    Laut Brian Krebs [1] ist zumindest die Collection #1 mindestens 2-3 Jahre alt. Es gibt jedoch Mailadressen darin, deren Domain erst knapp vier Jahre alt ist (zumindest laut Whois creation date).

    Die weitaus meisten Dateien sind Textdateien, die einfach die Loginkombinationen z.B. als Mailadresse:Passwort auflisten. Einige wenige sind sql-dumps, deren sql-statements dann wiederum die Logins enthalten. Linus sagte, es sind Mailadressen und Passwörter gelistet. Darüber hinaus gibt es auch Dateien, die Usernamen und Passwörter enthalten oder Username bzw. Mailadresse und Passworthash (teilweise auch Salt). Dann gibt es noch Dateien, die nur Usernamen oder Mailadressen beinhalten, also ohne Passwort/Hash.

    Ich habe mal mein Addressbuch über die Dateien gejagt, um Bekannte zu informieren, falls sie betroffen sind. Teilweise stimmen die Angaben, aber einige sagen, dass sie das Passwort bei ihrer Mailadresse nicht kennen. Ich habe schon gedacht, dass es vielleicht nicht deren Passwort, sondern ein Hash ist, weil mehrfach die gleichen “Nicht-Passwörter” in unterschiedlichen Textdateien zu den gleichen Mailadressen vorkommen. Komischerweise sind das dann immer 8 Zeichen, mal in Groß- mal in Kleinschreibung. Da es aber nur 8 Zeichen sind und auch andere Buchstaben als a-f vorkommen, ist es meines Wissens kein Standardhash. Hat jemand eine Idee, was das sein könnte?

    Wenn Eure Mailadresse/Euer Username nur mit einem Hashwert verknüpft sein sollte, freut Euch nicht zu früh: Auf hashes.org [2] sind > 95% der Hashes geknackt worden, da gibt es also ein Mapping Hash -> Passwort.

    Letzter Hinweis: Auf HIBP gibt es neben der API noch eine recht umfangreiche Liste mit Projekten [3], die Zugangsdaten mit Leaks abgleichen. Wer sich nicht die Mühe machen möchte, das selbst zu schreiben, wird hier vielleicht fündig.

    [1] https://krebsonsecurity.com/2019/01/773m-password-megabreach-is-years-old
    [2] https://hashes.org/leaks.php
    [3] https://haveibeenpwned.com/API/Consumers

  19. Leider habe ich auch die Erfahrung gemacht, dass viele Unternehmen in Bezug auf dev und staging Systeme fast ausschließlich Daten aus den Produktionsumgebungen heranziehen. Seltsamer Weise ist niemand bereit dafür einige Euro zu investieren um hier sauber unterwegs zu sein.
    Zugegebener Maßen reichen bei zunehmender Komplexität der damit verbundenen Geschäftsprozesse häufig “einfache” lorem Ipsum’s nicht aus. Was natürlich nicht bedeutet das man diese Herausforderung nicht annehmen könnte.
    Ich beobachte dies schon seit 15 Jahren und der Trend ist leider trotz GDPR ungebrochen.
    Wäre vielleicht eine gute Geschäftsidee TaaS (Testdata as a Service)…

    Vielen Dank für Eure Podcasts! Macht bitte weiter!

  20. @Linus Kennst du oder einer der Hörer eine Möglichkeit, eine Liste der betroffenen Mailadressen (der eigenen Domains!) bei HIBP abzufragen? Auf der Seite habe ich dazu nichts gefunden. Ich nutze virtuelle Adressen (eine pro Dienst), die allerdings nicht im Backend konfiguriert sind. Bei der Menge zu viel Overhead ;) Daher kann ich die Adressen auch nicht einzeln bei HIBP prüfen…

  21. Hey,
    ich habe noch eine Frage zu sicheren Passwörtern: Ich benutze keinen Passwortsafe, sondern ein Firefox Addon zum Passwort hashen. Dazu wird z.B. der Domainname als Salt verwendet und dann zusammen mit meinem Masterpasswort gehashed.
    Denkt ihr, dass ist ein sicherer/guter Ansatz? Mir fallen schonmal zwei Schwächen ein: 1) Habe ich keine Liste mit Webseiten, auf denen ich mich registriert habe 2) FALLS mein Masterpasswort verloren geht, habe ich eine Menge arbeit, meine Passwörter zu ändern – allerdings steht mein Masterpasswort nirgendwo und sollte auch nie ins Internet übertragen werden.
    Freue mich über eure Einschätzung. Danke

  22. Ich folge gerade Linus Empfehlung und stelle meine Online-Accounts auf “fiktive” E-Mail-Adressen um, die dann alle im Catchall-Postfach meiner Domain landen.. dabei stoße ich immer wieder auf das Problem, dass leicht zu merkende E-Mail-Adressen als “ungültig” abgewiesen werden, z.B. apple@……
    Schade, dass diese eigentlich gute Idee durch solche Filter/Automatismen behindert wird…

  23. Frage zur angesprochenen “WLAN-Zugangsübernahme” via WireShark. Kann ich als Provider die Übernahme mit der Einstellung “Wireless Isolation” / “untereinander kommunizieren(Fritz!Box)” verhindern oder bezieht sich die Einstellung nur auf IP (Layer3)?

  24. Herzlichen Dank für die liebevolle und absolut verständliche Erklärung der MAC Adressen!

    Ich habe mir schon immer gedacht, dass das wahrscheinlich der Fingerabdruck des Kasterls vor mir ist, mir war aber nicht bewusst, dass das natürlich gespeichert wird.

    Bei der Erklärung, dass es möglich ist, das zu fälschen, ist mir äußerst ungut geworden!

    Danke, für diesen wunderbaren Podcast!
    Hans Spiegl

  25. ich habe gerade mal das passwort
    Mb2.r5oHf-0t
    getestet. hibp meldet:
    ‘Good news — no pwnage found!’
    der postillon hatte also recht: das sicherste passwort der welt!
    meine email-accounts sind somit bestens geschützt.
    tolle sache!

  26. Also ich weiß ned. Wenn die Daten die getestet werden müssen ausreichend komplex sind, ist lorem ipsum nicht brauchbar uum Testen neuer Funktionen und Fehler Korrekturen.
    Man kann jahrelange Sammlung mit sem gelegentlichen Fehler hier und da ned nachbilden. Da vergisst man Edgecases die einen hinterher beißen werden. Wenn die Leute entwickeln die auch im Produktivsystem Fehleranalyse treiben seh ich das Problem nicht.
    Testumgebungen sind manchmal auch sicherer als Live weil die Schnittstellen zu Dienstleistern gekappt wurden und man die Interaktion zu testzwecken selber generiert mit Skripten.

  27. Hallo ihr zwei,
    ich habe mir inzwischen 1Password für meine Geräte zugelegt und überarbeite gerade sämtliche Passwörter.

    Beim Login zum Online-Banking zur Berliner Sparkasse stößt mir gerade sauer auf, dass die PIN nicht mehr als 5 Stellen haben darf. Ein langes und somit sicheres Passwort ist somit nicht möglich.

    Habt ihr dafür eine Erklärung?

  28. Bin ich der einzige, der den “23bonobo42” Witz nicht versteht? Klingt, als wäre das mal Tims Pwd gewesen, aber, sollte das jeder wissen? War das Teil des Collection 1 Breaches?

    Was mich zur eigentlichen Frage führt: wo kann man sich das runterladen? Die Frage mag plump sein und ich hoffe, sie verstößt nicht gegen die Regeln hier oder sonstwo. Sind derlei Dinge nur irgendwo auf onion Domains vergraben und deren Besitz strafbar? If so, sorry for asking. Falls nicht, vielleicht findet sich ja jemand, der einem rechtschaffenen, darknet-jungfräulichen, aber interssierten Nerd zweckdienliche Hinweise geben mag. Danke!

  29. bezgl. Linus Hack von captive WLAN portals – mein Verständnis des Features “Access Point Isolation” ist, daß das derlei Mitsniffen verunmöglichen würde. Detto das so gefürchtete Mithören, wenn jemand im Starbucks eine unverschlüsselte Webseite ansurft.
    Hab ich da das AP-Isolation falsch verstanden? Wäre ja schlimm, wenn die Lösung so nahe läge.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.