Compyblog

Nachdem das Scheunentor von Sicherheitsloch namens Heartbleed inzwischen auch in runtergedummt im Radio auftaucht, stellt sich noch die Frage, seit wann die Schnüffler von der NSA das kannten und genutzt haben. Dazu gibt es zwei Wortmeldungen: Personen, die nicht namentlich aufgetreten sind, haben behauptet, die NSA hätte das Sicherheitsloch bereits seit zwei Jahren gekannt (was ziemlich genau der Zeit entspricht, die das Loch im Code war), und die NSA hat öffentlich verkündet, erst seit kurzem davon zu wissen. Wie glaubwürdig die NSA ist, darf jeder selbst vermuten, aber ich tippe darauf, dass die Wortmeldung sich noch als "least untruthfull" herausstellen wird, weil entweder eine eigenartige Bedeutung von "wissen" benötigt wird (zum Beispiel könnten die Schnüffler meinen, dass die Behörde von dem Loch erst "wusste", als alle Mitarbeiter darüber informiert waren, oder das "kürzlich" kann auch schon bummelig zwei Jahre her sein, oder irgendwas völlig anderes. Darauf zu vertrauen, dass NSA schon die Wahrheit sagt, halte ich jedenfalls für eine ganz schlechte Idee.

Mal ganz von den Geheimdiensten abgesehen, gibt es auch Hinweise, dass das Sicherheitsloch bereits im November letzten Jahres ausgenutzt wurde. Konkret hatte jemand in Logs von irgendwelchen Systemen, die IP-Datenverkehr mitschneiden nach der Bytefolge des Exploits gesucht, und da eben schon im November 2013 Spuren gefunden. Nachdem kaum jemand den kompletten Datenverkehr zu einer größeren Anzahl Server für lange Zeit aufheben dürfte, ist völlig unklar, wie oft solche Zugriffe vorgekommen sein mögen.

Und dann war da noch die eigenartige Behauptung eines Wolken-Anbieters, dass es unmöglich sei, über das Sicherheitsloch den privaten Schlüssel eines Servers zu ermitteln. Dummerweise haben relativ schnell zwei Personen unabhängig voneinander nachgewiesen, dass sie den privaten Schlüssel des dafür aufgesetzten Servers ermitteln konnten.

Außerdem gab es noch eine Wortmeldung des Autoren des defekten Code: Das sei ein Fehler gewesen, keine Absicht. Ob der Mann danach von Geheimdiensten eine Belohnung bekommen hätte, behauptet niemand. Andererseits würde es mich nicht überraschen, wenn er nicht wenigstens ein komisches Angebot bekommen haben sollte.

Unerfreuliche Meldung von der Nacht zu Mittwoch: OpenSSL hat seit bummelig zwei Jahren ein Sicherheitsloch, bei dem mit eingeschalteter 'Heartbeat'-Funktion ein Angreifer vom Server Speicherinhalte abzapfen konnte, und dabei so ziemlich alles, was der OpenSSL-Prozess im Speicher sehen kann, mitnehmen. Da fallen so Kleinigkeiten wie private Schlüssel, Passworte und alle anderen Daten drunter. Die Entdecker haben dem Fehler den Namen Heartbleed verpasst, und jetzt hat so ziemlich jeder ein Problem, der OpenSSL einsetzt, was irgendwann in den letzten zwei Jahren auf einer der zu dem Zeitpunkt aktuellsten Versionen aktualisiert wurde. Wer auch ein Problem hat: Wer Dienste von jemandem benutzt, der so betroffen ist. Dort eingesetzte Passworte sind möglicherweise (und seit Snowden wissen wir: Höchstwahrscheinlich) schon in den Händen von sonstwem. Die Serverbetreiber können jetzt nur ihre privaten Schlüssel und Passworte wegwerfen, auf die gefixte Version aktualisieren und sich bei allen Nutzern entschuldigen. Ob wirklich Daten über das Loch aus einem Server rausgetragen wurden, lässt sich gemeinerweise nicht nachvollziehen, weil der Zugriff nirgendwo erwähnt wird. Also genau die Sorte Sicherheitsloch, die ein Geheimdienst einbauen wollen würde.

Dann kann ich ja mal nach zehn Tagen einen ersten halbwegs fundierten Eindruck vom UP24 aufschreiben.

Das offensichtliche zuerst: Ich bin nicht zum Kabel-Up zurückgekehrt, auch wenn ich den immer noch die meiste Zeit dabei habe. Dafür habe ich gelernt, wie es kommt, dass die App gerne um kurz nach 20 Uhr die bis dahin bemerkten Schritte als Tagesanzahl bei ifttt gemeldet hat (was besonders dann blöd war, wenn die Schritte nur aus nem Ausflug zum Klo in der Nacht bestanden hatten): Zu der Zeit meldet die App oder deren Server einfach den Tag als erledigt. 

Dann kann man mit UP24 und ifttt auch zusätzliche Spielchen spielen, wie 'wenn ich 10.000 Schritte an dem Tag voll habe, twitter das mit genauer Uhrzeit' (da habe ich festgestellt, dass Nike Fuelband (3000 Nike-Punkte) und UP24 ziemlich genau die gleiche Vorstellung haben, wann ich den Punkt erreicht habe. Dafür macht mit den live-Updates es weniger Sinn, am Tagesende vermerken zu wollen, wenn ich über 10k Schritte hatte, weil der Trigger ebenfalls live auslöst. Allerdings habe ich mir dann kürzlich noch einen 20k-Trigger zugelegt, für 30k sehe ich noch nicht so den Bedarf.

Davon mal abgesehen fällt die drahtlose Verbindung schon auf Akku-Seite auf, wenn die App alle zehn Minuten den neuesten Stand abfragt und ins Netz laden will. Besonders unpraktisch ist es, weil ich im Büro praktisch keinen Netzempfang habe, aber die App lässt sich ja einfach abschießen, dann bleiben Bluetooth und Netzverbindung ungenutzt. In Sachen Akku habe ich den UP24 jetzt nicht herausgefordert und jeweils nach spätestens drei Tagen wieder aufgeladen.

Mit ifttt und dem UP24 hab ich mindestens das Gefühl, dass ich gut informiert bin über meine tägliche Bewegung. Inwiefern das auch im Gewicht sich auswirkt kann ich ohne Waage nicht feststellen, aber nachdem ich inzwischen über ein Jahr auch Sonntags immer draußen bin, habe ich zumindest schon festgestellt, dass das der durchschnittlichen Laune eher zu- als abträglich ist.