• Groß (Kapazität)
• Schnell (in MB/s)
• Sicher (Privatsphäre)
• Sicher (Integrität)
• Günstig (in EUR)

Deshalb möchte ich hier ein Setup zunächst vorstellen und dann um eine weitere Platte erweitern, in meinem Fall werden aus vier Platten gleich fünf.

Ich habe zunächst auf Basis von mdadm einen Software-RAID 5 über besagte Platten eingerichtet. Ein RAID5 liefert mir ein Striping über alle Platten, sowie Redunanz im Falle des Ausfalls einer Platte. Die Kapazität beträgt hierbei die Anzahl der Festplatte multipliziert mit der kleinsten Festplattengröße weniger der einfachen Festplattengröße, in kurz (n-1)*c, wobei n die Anzahl der Festplatten und c die Kapazität darstellen.
Größe erreichen wir somit über die Anzahl und Größe der einzelnen Festplatten. Das Striping erreicht das hohe Tempo (knapp 100 MB/s)  und die Redundanz die Sicherung der Integrität.

Den Sicherheitsaspekt erfülle ich bei mir durch cryptsetup/LUKS und als Dateisystem kommt das aktuelle ext4 zum Einsatz. Erhöhte Kapazität erziele ich noch in dem ich, nachdem ich den LUKS-Container gemounted habe, den für das System reservierten Speicher auf 0% reduziere.

# tune2fs -m0 /dev/mapper/md0

doch darum soll es hier gar nicht gehen. Ich habe gestern meine fünfte Platte für das besagte Setup erhalten und erweitere diese jetzt. Dazu muss die Partition zunächst einmal mit bspw. fdisk auf Linux Raid-Autodetect (0xFD) formatiert werden damit sie schließlich hinzugefügt werden kann.

# mdadm --manage /dev/md0 --add /dev/sdX1

Nun ist die Partition in das Raid eingefügt, jedoch als Spare, also quasi als Sicherheitsfestplatte, die für einen Fehlerfall leer gehalten wird, damit unmittelbar die Sicherung dorthin beginnen kann. Ich will jedoch Kapazität!

# mdadm --grow --raid-devices=5 /dev/md0

Dieser Vorgang nennt sich Reshaping und wird nun einige Zeit in Anspruch nehmen. Hierbei werden die Daten der laufenden RAID-Partitionen auf die neue ausgebreitet - den Fortschritt kann man in /proc/mdstat beobachten. Wenn die RAID-Partition schließlich gewachsen ist müssen die in ihm liegenden Container auch mitwachsen. Für Cryptsetup verwenden wir hier:

# cryptsetup luksOpen /dev/md0 md0
# cryptsetup resize md0

Der Resize ist hierbei parameterlos und nutzt automatisch den gesamten vorhandenen Platz aus. Nach dem Crypto-Container folgt nur noch, ähnlich simpel, das Dateisystem:

# resize2fs -p /dev/mapper/md0

Und das sollte der ganze Spaß auch schon sein. Nochmal zum rekapitulieren - wir haben nun eine Software-RAID5 Datenpartition mit innenliegendem Cryptsetup/LUKS-Container, der widerum ein ext4-Dateisystem enthält von außen nach innen durch eine weitere Festplatte erweitert. War so schwer auch garnicht, oder?

user@local  $ ssh -X user@host
// Login-Procedere...

user@remote $ filezilla

Wunderbar. Insofern der SSH-Daemon das Weiterleiten von grafischen Anwendungen erlaubt

user@remote $ grep "X11Forwarding" /etc/ssh/sshd_config
X11Forwarding yes

ist man nun bereit und kann mit den gewünschten Dateitransfers beginnen. Da macht es *plopp*, es ist 1 Uhr nachts und es sind noch 8 GB bei 1 MBit/s (etwas über 2 Stunden) ausstehend.

Was nun? Probiert habe ich das folgende, was gängigerweise für Konsolenanwendungen prima hin haut:

Strg+Z
user@remote $ bg
user@remote $ disown

Da ich mir aber schon dort nicht mehr sicher war, wie das denn mit X-Anwendungen funktionieren würde kontrollierte ich, ob der Prozess nach dem Beenden der SSH-Verbindung noch da ist - leider vergebens *hmpf*.

Nach ein paar Hilfegesuchen bei Bekannten bin ich auf xmove gestoßen - leider wurde mir bereits mitgeteilt, dass dieses nicht mehr gepflegt werde. Und so ist dieses geniale Stück Software bereits seit der Ende 2008 erschienen "Intrepid Ibex" Version von Ubuntu nicht mehr Bestandteil der Paketquellen.

Alternativen kenne ich keine, soll das denn überhaupt irgendwie noch möglich sein?

Zunächst ist da die Problemstellung, dass Onlinejournalismus nicht den Lohn erfährt, den er in vielen Fällen vielleicht wert ist. Dieser Wert ist mittlerweile keine global bestimmte Meinung mehr, die Masse der Medien ist hier zu umfangreich geworden - man kann also nicht einfach Zeitung A der Zeitung B vorziehen. Scrollt man nun also über einen Artikel, der einem gut gefallen hat, so kann man ihn flattr'n. Das ist so etwas wie ein Dankeschön, und zwar nicht in Form des Weitertragens des Links, sondern finanzieller Natur.

Bei Flattr, einem Projekt von Piratebay-Aktivist Peter Sunde, dreht es sich um ein persönliches Budget für Onlinecontent. Man lädt jeden Monat sein Konto mit einem beliebigen Betrag größer 2,00 € auf und klickt sich schließlich durchs Netz. Wenn man auf einen interessanten Artikel stößt - flattr't man ihn - und lässt dem Eigner des Buttons somit am Ende des Monats einen Anteil des eingezahlten Budgets zukommen. Der Anteil, der vergebenen wird, bestimmt sich aus der Anzahl der im aktuellen Monat geklickten Flattr-Buttons. Hier dazu das offizielle Video:

Die Frage ist nun, was Flattr besser macht als beispielsweise Paypals Spenden-Button. Nun ich finde das eigentlich recht leicht zu beantworten. Bei Paypal ist man genau in dem Moment indem man Spenden soll mit der Geld-Frage ("Soll ich wirklich?") konfrontiert, das ist der absolute Show-Stopper. Während im Endeffekt ein ähnliches Ergebnis durch Flattr erziehlt wird ist die Vergabe des Geldes eher indirekt. Man entscheidet sich dafür für Inhalte zu bezahlen, und zwar selektiv, das was einem gefällt. Wenn man klickt teilt man nur das Budget auf, man kommt niemals in die Bredouille einen Betrag anzugeben, gar ein Währungssymbol zu sehen. Das senkt meiner Meinung nach die Payment-Barriere gewaltig.

Ob sich so ein System tragen kann ist im Moment noch fraglich, es befindet sich derzeit auch noch in einer Beta. Gut finde ich, dass jeder Teilnehmende einzahlen muss. Das hat zur Folge, dass es keine Personen gibt, die nur empfangen und nicht bereit sind selbst auch ein mal "Danke!" zu sagen. Man könnte nun argumentieren, dass das ein Geldumverteilungssystem sei und das am Ende nur Flattr selbst profitiere. Nun erhält Flattr zu Beginn des Projektes 10% aller Transaktionen um sich selbst zu finanzieren, das halte ich aber zunächst für fair, insofern der Anteil nach Projektstart abgesenkt wird so denn ein positiver Trend des Gesamtsystems ersichtlich ist.

Andere Meinungen gibt es viele, ich habe besonders die bei gefestigten Medien studiert.

• Die FAZ schreibt: Flattr und die Ökonomie des Kontrollverlusts
• Die TAZ verbaut sogar selbst den Button: Flattr auf taz.de

Wir werden sehen wo das Ganze hingeht! Wieso ich das ganze nochmal aufgreife, obwohl es jeder schon gehört hat? Nun, ich weiss erst seit vorgestern davon, also wird es bei anderen wohl ebenfalls länger dauern bis die Bombe einschlägt. *BUMM*

Der Publisher Wolfire macht hierbei den Anfang und hat erste Spiel der Serie für die Welt geöffnet, es ist Lugaru HD.

Das ist ein 3rd-Person Action Spiel, indem ein vermenschlichter Hase mit vielen verrückten Kampfanimationen versucht das Rätsel um das Abschlachten seines Dorfes zu lösen. Er  entdeckt bei seinen Nachforschungen eine Verschwörung, die ihre Kreise bis in die Regierung der Hasenwelt zieht...

Das Spiel ist aktuell über die Paketquellen von PlayDeb erreichbar. Auf der Seite des Herstellers existiert auch schon eine Liste mit Erweiterungen. Wer unter Ubuntu Lucid sofort installieren möchte kann hier zum beliebten Copy & Paste Code für die Konsole greifen:

sudo add-apt-repository "deb http://archive.getdeb.net/ubuntu lucid-getdeb games"
wget -q -O- http://archive.getdeb.net/getdeb-archive.key | sudo apt-key add -
sudo apt-get update && sudo apt-get install lugaru
rm getdeb-archive.key 

Die Linux Welt kann ohne Zweifel stolz auf sich sein, so hat sie bis zum Ende der Aktion im Schnitt wesentlich mehr Geld in die "Pay-what-you-want" Initiative gesteckt als die Nutzer vergleichbarer Betriebssysteme und somit gewiss einen Grundstein für Linux als Spielesystem aufgetan. Im oberen Teil der Grafik sehen wir den Durchschnittsbetrag der drei Betriebssysteme, wohingegen wir im unteren die Gesamteinnahmen am jeweiligen OS erkennen können. Trotz seiner geringen Nutzerzahlen haben die Linux-Nutzer einen Anteil beigetragen, der fast dem von Mac OS gleicht, die im Schnitt $ 4,70 weniger zahlten. Die Gesamtstatistiken finden sich auf der Website von Wolfire.

(Aktualisiert durch einen Hinweis von Piccolino81)

Mozilla Firefox

Hier existiert bereits ein AddOn, dass automatisch alles entsprechend einrichtet, es ist derzeit noch im Beta-Stadium und noch nicht von Mozilla reviewed worden, sollte aber trotzdem seine Arbeit erledigen.

Chromium

Manuelle Einrichtung über Einstellungen › Optionen unter "Standardsuchmaschine" den Verwaltungsknopf betätigen und die folgende Suchmaschine hinzufügen:

Midori

Der Dialog hierfür befindet sich unter Extras › Suchmaschinen verwalten. Nach einem Klick auf Hinzufügen hier die gleichen Daten wie für Chromium eintragen. Für die Icon-Adresse kann man die Adresse eines beliebigen Icons, dass einem passend erscheint hinzufügen.

Epiphany

Der Hauseigene Browser von GNOME lässt sich etwas anders verwalten. Er speichert die Standardsuchmaschine nämlich in GConf ab. Um diesen Eintrag anzupassen öffnen wir den gconf-editor, navigieren zu /apps/epiphany/general/url_search und ersetzen dort http:// durch https://.

Zusätzlich gibt es von Google selbst auch noch eine FAQ zu dieser Thematik, in der z.B. drauf hingewiesen wird wo sich die Grenzen der Verschlüsselung befinden. Diese steht bisher leider nur in Englisch zur Verfügung.

Sowohl für den frischen Einsteiger als auch für den versierteren Nutzer aktueller Anonymisierungstechnik bietet diese leicht zu lesende Lektüre einen Querschnitt über aktuelle Möglichkeiten. Es wird beleuchtet, wie diese sich entwickelt haben, aus welchen Vorgängern sie entsprungen sind und welche Schwächen hierbei gedeckelt wurden. Äußerst interessant hierbei empfinde ich die Anfangsphase anonymer Kommunikation mit den sogenanten Mix-Netzen und Remailern die durch das dritte Kapitel bis hin zum aktuellen Tor Projekt nachvollzogen werden kann. Kubieziel geht im Anschluss in den Kapiteln vier bis sechs auch explizit auf die Dienste Tor, JAP und I2P ein, die ohne Zweifel den aktuellen Stand der Technik in diesem Bereich darstellen.

Hierzu werden Anleitungen zur Konfiguration für Windows, Linux und den Mac geboten sowie viele Anwendungseinrichtungen erklärt. Gängige Softwareprobleme wie z.B. DNS-Leaks, die in Verbindung mit diesen Diensten auftreten, kommen hierbei ordnungsgemäß zur Geltung, was ich als äußerst wichtig empfinde um sich eine anonyme Identität aufzubauen.

Das einzige, was man diesem Buch vorwerfen kann ist, dass es die menschliche Komponente vernachlässigt. Diese Lektion umfasst für mich vor allem Verhaltensregeln, wie man sich Inkognito bewegt und handelt. Insgesamt kann ich das Buch aber mit gutem Gewissen an interessierte Anwender weiterempfehlen.

Dieser Titel ist im Februar 2010 im Open Source Press Verlag erschienen und trägt die ISBN 978-3-937514-95-6. Er ist für 19,90 €  im Buchhandel erhältlich.

Dies ist eine unabhängige Buchrezension und ich möchte darauf hinweisen, dass diese meine persönliche Meinung widerspiegelt. Die Lektüre "Anonym im Netz" erhielt ich im Februar 2010 als Rezensionsexemplar vom Verlag.

Dass zu Beginn nicht alles glatt laufen wird, nun damit kann man bei so einem wagemutigen Projekt rechnen. Wine wird jedoch von vielen Linux-Benutzern unter anderem zur Bildbearbeitung mit Google Picasa oder etwa zum Rollenspiel mit World of Warcraft verwendet, und das äußerst stabil! Hierzu ist vor allem die AppDB als großer Meilenstein anzuerkennen.

Wine gibt es übrigens schon seit 1993, die erste stabile Version 1.0 jedoch erst seit 2008. Man sieht also, dass die Software einen langen Weg hinter sich hat.

Weiterführende Informationen finden sich im passenden Thread auf der wine-devel Mailingliste.

• aus dem MSN Messenger: "Nudge", um Aufmerksamkeit beim gegenüber zu erlangen. Lässt das Fenster vibrieren.
• aus ICQ: Die Stimmungsanzeige, mit vielen vordefinierten Presets.

[Zeige als Diashow]

Die aktuelle Version (Changelog) kann, zu den üblichen Risiken und Nebenwirkungen, über das das Launchpad PPA der Pidgin-Developer installiert werden:

sudo add-apt-repository ppa:pidgin-developers/ppa
sudo apt-get update && sudo apt-get dist-upgrade

Viel Spaß, wünschen euch die Couchpotatoes der Lounge!

"Verify E: unable to get local issuer certificate.? (20)"

Wie viele andere Programme baut auch XChat auf OpenSSL, eine freie SSL/TLS-Implementierung, zurück. Demnach müssen auch bei dieser die nötigen Änderungen vorgenommen werden.  In /etc/ssl befinden sich eine Reihe symbolisch verlinkter Zertifikate. Hier werden wir nun, nachdem wir die Zertifikate von der CACert-Seite heruntergeladen - und auch verifiziert - haben, diese einfügen. Hierzu gehen wir wie folgt vor:

cd /usr/share/ca-certificates/cacert.org/
sudo wget http://www.cacert.org/certs/root.crt
sudo wget http://www.cacert.org/certs/class3.crt

Diese kann man dann mit dem bereits in diesem Ordner liegenden, aus dem Paket ca-certificates entstammenden, lokal vorliegenden Zertifikat vergleichen. Die beiden einzelnen Zertifikate sind in dieser Datei zu einer einzigen zusammengefasst worden. Nun legen wir den symbolischen Link für OpenSSL an und lassen den Zertifikatcache aktualisieren.

sudo ln -s /usr/share/ca-certificates/cacert.org/* /etc/ssl/certs
sudo c_rehash

Et voilà, jegliche Zertifikatschwierigkeiten mit OpenSSL sollten verschwinden.

Update: Pfad für die Cert-Symlinks bereinigt. Danke Phil.

Die Generierung von neuen Keystreams zur Verschlüsselung geschieht hierbei zum einen über einen fehlgeschlagenen TCP 3-Wege Handshake, indem das finale TCP-RST Paket zum attackierten Client als bekannt vorausgesetzt werden kann und somit einen neuen Keystream generiert. Als weitere Möglichkeit wird ein Rechner mit einer IP außerhalb des WLAN Subnetzes als Quelle des gefälschten 3-Wege Handshakes angegeben und kann somit beliebig lange Keystreams erzeugen. Um Pakete zu entschlüsseln wird den unbekannten Daten ein IP/ICMP Header vorangesetzt, welcher vom Client in ein ICMP Echo Response Paket umgesetzt wird, dass die zu entschlüsselnden Daten als Anhang trägt. Somit werden die unbekannten Informationen in der ICMP Antwort an die IP Adresse des Angreifers gesandt, welcher direkt den Klartext auslesen kann. Ermöglicht wird das Einfügen eines Fragmentes vor den unbekannten Daten dadurch, dass eine schnelle Möglichkeit zur Generierung von Kollisionen des Michael Algorithmus gefunden wurde, welche den originalen MIC am Ende des unbekannten Datenpaketes für das komplette neue Paket, inklusive dem ICMP Header, gültig lässt. Ein Angreifer mit Verbindung zum Internet erhält somit die Möglichkeit beliebige Pakete zu einer angegriffenen Station zu entschlüsseln und beliebige Daten zu dieser Station zu senden. Dadurch können Chat-Nachrichten, E-Mails, Private Dokumente,  Besuchte Seiten oder gar Passwörter, die nicht durch eine End-zu-End Verschlüsselung geschützt sind, mitgelesen werden. Verhindert werden kann dieser Angriff ebenso wie die ursprüngliche Beck-Tews Attacke, im Besonderen durch Umstellung auf CCMP/AES. Das Paper kann von der Aircrack-ng Webseite Heruntergeladen werden und die hier vorgestellte Attacke wird in den nächsten Wochen in das tkiptun-ng genannte Programm integriert.