Tagebuchblog 16-02-2013

Puh, in der letzten Woche bin ich kaum zum Bloggen gekommen. Einladungen, das Treffen der BlackBerry Usergroup Kassel, ein gezogener Zahn und Kino (Die Hard 5) haben mich zeitlich ziemlich in Anspruch genommen. Aber heute.

Zum Tage

Heute haben wir mit einer befreundeten Familie einen Tagesausflug zum Centerparcs Park Hochsauerland gemacht. Der ist nur eine Autostunde von hier entfernt und hat ein schönes Erlebnisbad, dass man als Tagesgast nutzen kann. Es hat uns ganz gut getan und die Kinder hatten riesigen Spaß und sind heute abend totmüde ins Bett gefallen. :-)

Twitter

Es wird immer noch die Lasagnepferdefleischskandal-Sau durchs Twitterdorf getrieben. Anscheinend ein dankbares Thema. Ich muss dabei immer an den alten "Bratwurst im Zoo"-Tweet von Kosmar denken (hat jemand den Link zu dem Tweet, hab ihn nicht mehr gefunden).

Wetter

Heute war es bewölkt, teilweise regnerisch und neblig, 1-2 Grad.

Posterous wird geschlossen

Viele haben es schon vermutet und darüber spekuliert, doch jetzt ist es offiziell. Der Blogging-Dienst Posterous wird zum 30. April 2013 eingestellt. Zuvor wurde der Dienst von Twitter übernommen. Von mir gibt es auch ein Posterous-Blog, das ich aber nicht genutzt habe.

Die Schließung führt mir wieder vor Augen, das Inhalte und Auftritte auf solchen Plattformen nur geliehen sind. Jeder Dienst kann jederzeit seinen Service einstellen, und dann sind die Inhalte und Präsenzen, die dort bestanden haben, einfach weg. Ist der richtigere Weg doch die selbst gehostete Webpräsenz?

(via und via)

Markentreue der Blackberry-Nutzer gestiegen

Laut einem Report von YouGov ist die Markentreue bei Blackberry-Nutzern im letzten Jahr erheblich gestiegen. Der Anteil der befragten Blackberry-Nutzer, der als nächstes wieder ein Handy dieser Marke kaufen würden, ist von 18% auf 43% gestiegen. Im gleichen Zeitraum sank dieser Prozentsatz bei den iPhone-Benutzern von 92% auf 85%. Beim Samsung Galaxy stieg der Wert leicht von 46% auf 53%.

Die Frage ist, ob der starke Anstieg des Wertes bei den Blackberry-Nutzern nur auf das neue Blackberry 10 Betriebssystem zurückzuführen ist. Es ist auf jeden Fall interessant, dass sich der Prozentwert jetzt fast auf gleicher Höhe mit dem Großen aus dem Android-Lager befindet.

(via)

Tagebuchblog 11-02-2013

Heute ist Rosenmontag, allerdings kann ich mit dem ganzen Faschingszeugs so gar nichts anfangen.

Zum Tage

Wie halt die Montage so sind, man schlägt sich so durch.

@Work

Heute morgen wurde erstmal die Bank von den Narren gestürmt, glücklicherweise konnte ich im Büro bleiben und blieb von der Aktion weitgehend verschont. Dann habe ich heute unsere neue HD-Webcam von Axis ausgepackt und mal probeweise in Betrieb genommen. Die fotografiert jetzt alle 15 Minuten mein Büro, ich verrate euch aber den Weblink nicht. ;-)

Twitter

Nach der plötzlichen Nachricht vom Rücktritt des Papstes gab es auf Twitter eigentlich nichts mehr von Rosenmontag und Fasching zu lesen. Aber lustig war es teilweise trotzdem:

Bis einer der vielen Pabst-mit-B-Kommentatoren dann den verzweifelten Aufruf startete:

der auch prompt erhört wurde:

Nebenbei finde ich die Entscheidung von Ratzinger sehr konsequent und hoffentlich auch für zukünftige Inhaber des Amtes wegweisend.

Wetter

Heiter bis wolkig, -7 bis -3 Grad, es liegt hier und dort noch etwas Schnee.

Onlinebanking-Sicherungsverfahren: photoTAN

Vor einiger Zeit schrieb ich eine Artikelreihe zu den verschiedenen Sicherungsverfahren beim Onlinebanking. Hier sind nochmal die Links zu den bisherigen Artikeln:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

4. Teil: HBCI-Chipkarte

Jetzt gibt es ein weiteres Sicherungsverfahren, welches seit kurzer Zeit der 1822direkt und der Commerzbank angeboten wird: die photoTAN.

Funktionsweise

Beim photoTAN Verfahren werden die Transaktionsdaten ähnlich wie beim ChipTAN-Verfahren an ein unabhängiges Gerät übertragen, welchen daraus die einmalig nutzbare und zeitlich begrenzte TAN erzeugt.

Das Verfahren nutzt dazu einen farbigen Barcode, der an einen QR-Code erinnert. Bei jeder Transaktion wird ein solches Code-Bildchen angezeigt. Mittels einer APP, die es für iOS- und Android-Geräte gibt, kann der Kunde den Code abfotografieren. Die APP zeigt die Transaktionsdaten wie Empfänger und Betrag der Überweisung an, die der Kunde mit den eingegebenen Daten vergleichen muss und dann eine TAN erzeugen kann.

Damit die TAN nicht mit beliebigen Geräten erzeugt werden kann, muss der Kunde die APP auf jedem benutzten Gerät mit einem Freischaltcode für seinen Onlinebanking-Zugang aktivieren. Es können also mehrere Geräte mit der APP genutzt werden.

Für Kunden, die kein kompatibles Smartphone besitzen, bietet die Bank ein separates Lesegerät an, welches ebenfalls die APP enthält, um die TAN zu generieren. Das Gerät ist mit ca. 15 Euro etwas teurer als die gängigen ChipTAN-Geräte.

Eine Demo-Version der APP der Commerzbank kann unter http://www.crontosign.com/  ausprobiert werden.

Sicherheit

Die Sicherheit ist aufgrund des unabhängigen Übertragungsweges gegeben. Auch hier ist, wie bei der ChipTAN, ein wichtiges Sicherheitskriterium, dass der Kunde die Transaktionsdaten genau mit den gewünschten Daten vergleicht. Nur so können Manipulationen im Browser erkannt und verhindert werden. Mit der Aktivierung mittels Freischaltcode ist sichergestellt, dass die APP nur TANs für einen bestimmten Onlinezugang erstellen kann. Das Problem dürfte hier wie auch beim SMS-Verfahren die Sicherheit des Smartphones selbst sein. Hier ist die Frage, wie gut die APP vor Manipulation, z.B. bei der Anzeige der Transaktionsdaten geschützt ist.

Einsatzmöglichkeiten und Fazit

Die photoTAN ist praktisch auch im mobilen Einsatz, da das Smartphone ohnehin meist dabei ist. Es stellt eine weitere alternative Möglichkeit dar, sicher und einfach Onlinebanking-Transaktionen zu autorisieren.

Tagebuchblog 09-02-2013

Ich hatte schon ein paar Gläser Rotwein, mal sehen, was noch so zu Stande kommt.

Zum Tage

Gestern hab ich mir irgendwie den Rücken verdreht, das hat auch heute noch ganz schön weh getan. Rotwein scheint dagegen auch zu helfen. :-)

Außerdem stand heute auch die Neuinstallation eines familiären Windowsrechners an. Leider läuft die Datensicherung noch, und da werde ich dann auch erst morgen weiter machen (aus Gründen).

Den Rotwein gab es bei Freunden auf einer Geburtstagsparty, war sehr nett.

Twitter

Ich mag Twitter, auch oder gerade wegen solchen Tweets:

Wetter

Morgens heiter bis wolkig, nachmittags bewölkt und leichter Schneefall, -1 bis 0 Grad.

Blackberry Z10 ab März in Deutschland

Laut der Facebook-Seite von BlackBerry wird das Z10 ab März in Deutschland verfügbar sein.

Bisher sind die Anbieter Vodafone, Mobilcom-Debitel und Amazon bekannt.

Da Z10 ist das erste Smartphone von BlackBerry, das mit dem neuen Betriebssystem BlackBerry 10 ausgestattet ist.

Fehlersuche im VPN

Gestern Abend saß ich mit einem befreundeten Admin zusammen. Er hatte ein Problem mit einem VPN-Gateway eines Kunden und wir wollten uns zusammen auf Fehlersuche machen. Der Server ist ein IPSEC-Gateway auf Linuxbasis und sollte neben einigen reinen IPSEC-Clients noch ein iPhone mittels L2TP anbinden.

Die Einwahl mit dem iPhone funktionierte auch schon, allerdings waren danach die Server im internen Netz des Kunden nicht erreichbar. Die Konstellation bei dieser Konfiguration ist also wie folgt:

iPhone --> Internet --> IPSEC --> L2TP --> PPP Verbindung --> internes Netz

Also jede Menge potenzielle Fehlerquellen. Da die Verbindung an sich aber zu Stande kam, nahmen wir uns die erste Verdächtige vor.

1. Firewall

Nach eingehender Untersuchung konnten wir hier keinen Fehler feststellen. Eine Blick in die Log-Dateien offenbarte auch keine blockierten Pakete. Also weiter.

2. Konfigurationsdateien

In der Konfiguration mit Openswan als IPSEC-Dienst, xl2tpd als L2TP-Dämon und PPP für die Point-to-Point Verbindung gibt es einige Konfigurationsdateien, die es zu testen galt. Wir prüften die Dateien auf Fehler in den Netzwerkkonfigurationen, das sollte sich später noch als nicht ausreichend erweisen. Die Konfiguration der Netzwerkelemente war in Ordnung, die PPP-Verbindung kam mit den richtigen IP-Adressen zu Stande. Der PPP-Dämon baut eine virtuelle Verbindung zwischen zwei IP-Adressen aus dem internen Netz auf und leitet den Verkehr dann an das physische Netzwerkdevice des VPN-Routers weiter. Dadurch ist kein Routing notwendig, um die virtuelle Adresse des iPhones zu erreichen. Das wird später noch wichtig werden.

3. Netzwerkdevices

Eine kurze Untersuchung der Netwerkdevices der virtuellen PPP-Verbindung mit ifconfig ergab, dass das Device zwar Pakete raus schickte, aber keine zurück kamen. Doch die Firewall? Also noch mal zurück zu 1., dann

4. Ratlosigkeit

Es war schon etwas später, wir wollten schon den Einsatz beenden. Dann wollten wir doch noch einen letzten Versuch machen, den Fehler zu finden.

5. Netzpakete untersuchen

Also noch tcpdump angeworfen, um die Pakete zu untersuchen, die beim Aufbau einer Verbindung zum Exchange-Server so übers Netz gehen. Gesagt, getan, das SYN-Paket geht raus, aber keine Antwort des Exchange. Ah, Moment, da ist noch eine ARP-Anfrage, der Exchange möchte wissen, unter welcher MAC-Adresse er die virtuelle IP des iPhones erreichen kann (es ist ja eine interne Adresse). Offensichtlich bekommt er keine Antwort. Ich ahne etwas. In der Options-Datei der PPP-Verbindung für L2TP gibt es den Parameter "proxyarp", der dafür zuständig ist, dass der PPP-Dämon ARP-Anfrage nach der virtuellen IP mit der MAC-Adresse der Netzwerkkarte des Servers beantwortet. Ein Blick in die Konfigurationsdatei zeigt, das der Parameter schlicht fehlt. Bingo. Parameter eingefügt, Verbindung neu gestartet, alles läuft.

Das ganze hat knapp 3 Stunden gedauert und hätte auch etwas schneller gehen können, wenn wir unter 2. bereits die Parameter in der Options-Datei geprüft hätten, und uns nicht nur auf die Netzwerkparameter konzentriert hätten. Das war zwar ärgerlich, aber wir haben für das nächste Mal auch etwas gelernt, ist auch wichtig.


SSH Autorisierung automatisieren

Es kommt öfter vor, dass ich mich auf verschiedenen Linux-Rechnern via SSH anmelden muss. Aus Sicherheitsgründen nutze ich die Autorisierung mittels Keys, gerade, wenn die Anmeldung über das Internet erfolgt.

Bash

Da der private Schlüssel mit einem Passwort gesichert ist, muss man dieses bei jeder Anmeldung eingeben, es sei denn, man automatisiert diesen Vorgang. Die Arbeit übernimmt das Tool ssh-agent.

Der Agent wird zunächst gestartet:

ssh-agent

Unter dem von mir genutzten Kubuntu ist übrigens ein ssh-agent standardmäßig bereits gestartet. Danach fügt man den privaten Schlüssel des aktuellen Benutzers mit

ssh-add

hinzu, sofern dieser unter dem Standartpfaden (~/.ssh/identity, ~/.ssh/id_dsa, ~/.ssh/id_rsa) abgelegt ist. Dabei wird einmalig das Passwort des privaten Schlüssels abgefragt. Danach wir bei jeder SSH-Anmeldung automatisch mit diesem Key autorisiert. Das funktioniert so lange, bis der Agent beendet wird. Die Autorisierung funktioniert auch bei anderen SSH-Tools, wie z.B. beim Dateien kopieren mit scp.

Tagebuchblog 04-02-2013

Kurzer Blog zum Tagesende.

Zum Tage

Heute hat unsere Heizung rumgezickt. Der nette Heizungsmonteur hat fast bis 22 Uhr gebraucht, sie wieder zum Laufen zu bringen, jetzt wird es langsam wieder warm in der Wohnung. :-)

In den Blogs

Hab ich eigentlich schon auf den aktuellen Podcast zur besten Blogengine der Welt hingewiesen? Nein? Dann bitte schön: http://www.s9ycamp.info/archives/20-Ausgabe-18-Rueck-und-Ausblick.html

Robert und Matthias geben eine schöne Zusammenfassung des letzten Jahres mit S9Y und einen Ausblick auf die nächsten Entwicklungen.

Twitter

Gefühlt meine komplette Twitter-Timeline hört Heino. Ich prangere das an.

Wetter

Wolkig und regnerisch, 3-4 Grad.

tweetbackcheck