Informatik, Photos, und Ameisen in einem Terrarium.

Ich bin Informatiker mit biologischem Interesse und mich faszinieren dezentral organisierte Systeme. Ich arbeite als Systemingenieur bei der IVU Traffic Technologies AG an Themen im Umfeld von Continuous Delivery und DevOps.




Nette Gewitterwolken über Rheinbach

Hier ein paar hübsche Fotos vom Unwetter gestern. Zog genau so an Rheinbach vorbei, dass man es gut sehen konnte, und sah relativ dramatisch aus. Es wurde einfach plötzlich Nacht. Allerdings ist hier kaum was runtergekommen, war in Bonn wohl anders.

Da ich keine Bildergalerien im RSS ausliefere, müsst ihr auf weiter lesen klicken.

Mailinglisten

Profitipp: Wenn ihr eine private Mail an jemanden schreibt, dann antwortet nicht einfach auf eine Mail des Adressaten, die über eine Mailingliste zu euch kam. :-D

Derjenige, dem dieser Post gewidmet ist, weiß, dass er gemeint ist. :-) Und ich antworte auch noch auf die Mail …! Immer diese Herzinfarktsituationen! :-)

Verwirrung über Truecrypt - Download von Truecrypt 7.1a hier

Die Seite des beliebten Open Source-Verschlüsselungsprogramms Truecrypt scheint defaced worden zu sein. Dort steht im Moment eine ausführliche Anleitung, wie man truecrypt-verschlüsselte Container nach Microsofts Systemverschlüsselung Bitlocker umziehen kann. Grund sei eine gefundene Sicherheitslücke und das „Ende des Supports von Windows XP“. Bis hierhin hört sich das an wie ein knalliger Scherz.

Richtig unheimlich wird das ganze aber dadurch, dass der aktuell dort „zu Migrationszwecken“ angebotene Download von Truecrypt 7.2 keine neuen Container mehr erstellen kann. Wenn das ein Scherz ist, ist er sehr gut ausgeführt: Der Angreifer hatte Zugriff auf den Truecrypt Release-Workflow, so dass er eine saubere neue Version produzieren konnte, und unheimlicherweise sind die Dateien darin auch noch sauber signiert. Wer immer da defaced hat, hatte die eiskalten Fingerchen an Truecrypts Code und den internen Abläufen.

Wie auch immer, die Lage ist jetzt da. Eine vollständig funktionierende Vollversion scheint sich von Truecrypt selbst gerade nicht herunterladen zu lassen. Auf meiner Platte habe ich noch den Windows-Installer von Truecrypt 7.1a gefunden, den ich daher hier zum Download stelle.

Download Truecrypt 7.1a Windows-Installer (mit 7-Zip komprimiert)
Original-MD5 (könnt ihr auch überall im Internet nachlesen, klar, das bietet keine 100%ige Sicherheit, aber immerhin): 7a23ac83a0856c352025a6f7c9cc1526

Das ist eine ganz normale, vor ein paar Monaten gedownloadete Version, mit der sich selbstverständlich auch neue Container erstellen lassen. Signaturen könnt ihr ja selbst verifizieren. Das Onlinestellen auf meiner Seite sollte kein Problem darstellen, da das ganze Ding sowieso Open Source ist.

Einige Seiten nehmen die Meldung jetzt schon für bare Münze und halten das Projekt für eingestellt. Davon würde ich bis jetzt Abstand nehmen wollen: Erstmal abwarten.

Dennoch ist höchste Wachsamkeit geboten. Ich zitiere mal Heise: „Eine andere Erklärung für die kryptische Warnung könnte ein Vorgehen von US-Behörden sein, dass dem ähnelt, mit dem der E-Mail-Anbieter Lavabit zur Schließung gezwungen worden war. Dort hatten die Behörden die Herausgabe privater Schlüssel verlangt und das schließlich vor Gericht durchgesetzt. Daraufhin hatte der Dienst seine Pforten geschlossen. Bei derartigen Maßnahmen werden die Diensteanbieter mit sogenannten National Security Lettern dazu verpflichtet, Stillschweigen zu bewahren.

– Das hört sich wie eine Verschwörungstheorie an, wirkt aber anhand der oben beschriebenen Sachlage nicht unplausibel. Es wirkt allemal plausibler als ein Defacement dieser Größenordnung, mit sauberem Release einer neuen Version. Es würde auch die an den Haaren herbeigezogenen Gründe erklären und die einfach stumpf wiederholte Ansage, dass Truecrypt gerade nicht sicher sei.

Auch wenn man denken kann: „Da wären die aber ganz schön kluk, so etwas bei einem Open Source Tool zu versuchen, wo jede Menge Leute auf der ganzen Welt den Code von haben“ – Es wäre eine neue Güteklasse. Ich bin gespannt, was da noch rauskommt. Wir alle müssen aufpassen. Hoffen wir, dass es nur ein derber Scherz ist und keine Verzweiflungstat der Truecrypt Foundation selbst, die uns etwas mitteilen will, aber nicht kann. Genauso plausibel wäre übrigens, dass es irgendjemand mit Ahnung von den Interna war, der das Projekt frustriert verlassen hat.

Update: Eine Möglichkeit wäre natürlich auch, die Software vom Kryptochef zu benutzen, des einzigen Programmierers der artiger hoch sicherheits Software der Welt (Persönlich !). :-) Danke an Roland!

Update2: Die Waybackmachine-Einträge für Truecrypt.org sind gesperrt. Das sieht immer größer angelegt aus.

Update3: Es sieht so aus, als wäre die Seite nicht gehackt, sondern Truecrypt eingestellt worden. Na, das war ja elegant. Wenn abtreten, dann mit einem Knall. Ich hoffe, dass es einen Fork geben wird, die Truecryptlizenz wurde nämlich auf den letzten Drücker noch geändert, so dass forken jetzt besser möglich ist.

Captchas

Na super, die Seite zieht jetzt Spammer an. m( In den vergangenen Monaten hatte ich einige hundert Spam-Kommentare, die aussahen wie Tests, und in den letzten 2 Nächten dann nochmal ein paar hundert (da haben sie wohl ihre Tests für erfolgreich befunden). Intelligenterweise niemals auf den neuesten Artikeln, ich nehme an, das ist, damit man es nicht auf der Titelseite sieht. Allerdings kriege ich Benachrichtigungen über neue Kommentare.

Recent changes RSS feed Creative Commons License Donate Minima Template by Wikidesign Driven by DokuWiki