Once in a while administrators are asking themselves, why the use of p2p Applications like Skype is possible in their networks with a Firewall blocking all incoming traffic.
I’ll try to explain this in a simple way. The mentioned Applications are no ‘real’ p2p Apps, because they’re using a Server to establish the connection.
So what happens when Alice (IP 10.0.0.1) wants to call Bob (IP 11.0.0.1)? She sends a request to the Server, who’s requesting Bob and informs him about Alice (her IP and Port she wants tu use, let’s say 2020). As a result, Bob sends a UDP message to Alice on that Port. While Alice’S Firewalls drops this, Bobs one is in a state where it accepts replys from Alice on this Port. Alice does the same now, and we have two Firewalls, both Accepting communication over this „Connection“, thinking they’re accepting answers to former requests.
This uses the feature of many Firewalls to treat UDP as „statefull“, thinking that packets with corresponding ports and addresses are belonging to the same connection, what can be a mistake. This is different to the TCP Protocol, where there’s a real, reliable creating of connections.
So one should think twice before allowing all outgoing traffic, because this can have strange side-effects.

Bookmark to:

Allgemein, Security | 3 Kommentare »

Wie Bruce Schneier berichtet, hat Segate unlängst Festplatten angekündigt, die ihren kompletten Inhalt verschlüsseln. Dies geschieht laut Segate mit kryptographischen Standards (AES, SHA1), allerdings verpackt in eine proprietäre Technologie. Warum also so etwas einsetzen, wenn OpenSource Software wie TrueCrypt solches auch tut, und das mit einer Vielzahl verschiedener Datenspeicher?

Nun, vielleicht weil man bei Nutzern nie sicher sein kann, das sie einen gegebenen verschlüsselten Container auch benutzen, geschweige denn sich einen solchen anlegen. Vielleicht aber auch, weil sich nur in einer ClosedSource Implementierung (dort zumindest einfacher) ein Generalschlüssel einbauen lässt?

Es gibt eine Menge guter Argumente, tunlichst die Finger von solchen Festplatten zu lassen. Allen voran natürlich das Problem des Generalschlüssels. Doch hier gilt ersteinmal: Verschlüsselung, auch unter Existenz eines solchen Schlüssels, ist sicherer als keine Verschlüsselung. Weitere Szenarien im Dunstkreis von DRM und TPM sind denkbar, beispielsweise das die Platten in anderen Geräten den Dienst verweigern u.s.w.

Warum bietet Segate also so etwas? Nun, ich habe keine Benchmarks, aber diese Hardwarevariante dürfte performanter als jede Softwareimplementierung sein. Hinzu kommt, das gerade im Enterpriseumfeld der Administrationsaufwand dieser Lösung deutlich geringer ist. Und schließlich haben auch die ganzen Größen der DRM Lobby Interesse daran, die Benutzer bei der Datenhaltung nicht ganz nach eigenem Gutdenken handeln zu lassen.

Gegner führen gern das Argument ins Feld, das eine Datenrettung bei verschlüsselten Festplatten deutlich schwieriger (wenn nicht unmöglich) ist. Dies betrifft Hardwareverschlüsselung, wie auch den Einsatz von Softwaretools. Allerdings sollte man immer davon ausgehen, das sich eine Festplatte jederzeit in Elektroschrott verwandelt, und selbstständig für redundante Datenhaltung (aka Backup) sorgen. Dabei sollte auch an den Schlüssel gedacht werden.

Die Verschlüsselung sensibler Daten sollte zunehmend selbstverständlicher werden, erspart sie doch im Zweifelsfall viel Ärger. Die Wahl der Mittel jedoch ist vielfältig, und will wohl überlegt sein, denn überall wo Licht ist, dort ist auch der Schatten nicht weit.

Bookmark to:

Allgemein | 3 Kommentare »

Über die Vor- und Nachteile der verschiedensten Wahlcomputer wurde schon oft, häufig und heftig diskutiert, jüngst vom Chaos Computer Club e.V. im Zusammenhang mit der Bürgermeisterwahl in Cottbus. Eine persönliche Sicht der Dinge solte jeder selbst haben, wem nicht der Sinn nach Wahlcomputern steht, der kann hier seinen Unmut äußern, und vlt. sogar auf Gehör hoffen.

Bookmark to:

Allgemein | Kein Kommentar »