Tuesday, June 30, 2015

Freifunk: Abstand vom Netz gewinnen - Projekt Metaschnorchel

(Kontext: Ich grübel über Sandkastenspiele im VDS Kontext nach)

Wenn man sich "das" mit VDS & TKG gibt, dann möchte man als Freifunk Verein (oder Gruppe) möglichst wenig mit TKG zu tun haben wie es scheint. 

Dazu ist es IMHO hilfreich, wenn die Communities nicht Betreiber des Meshnetzes sind oder sich so aufführen.  Betreiber ist derjenige der  rechtliche und tatsächlichen Kontrolle ausübt (mehr in einem speziell Fall hier: http://www.kanzlei.biz/nc/urteile/16-03-2012-bgh-v-zr-98-11.html ).
Damit man nicht als Betreiber der Mesh-Netzes gesehen wird  kann es sinnvoll sein bestimmte Merkmale anzustreben.
  • Freifunk Communities sind nicht Eigentümer der Mesh-Knoten. - Bei Privatpersonen / Unternehmen ist das ja eh kein Problem. Die Knoten gehören den Menschen da draußen. Dies sollte aber insbesondere bei Verwendung von Spendengeldern berücksichtigt werden. D.h. Eigentum übertragen (und nicht nur hinstellen). Es gibt auch andere gute Gründe warum man Hardware nicht besitzen will. Haftung, Gewährleistung, Erwartungshaltungen, Wartung etc pp. 
  • Freifunk Communities haben in der Regel keinen Zugang zu Mesh-Knoten. - Meint z.b. SSH Keys. Auch aus anderen guten Gründen sollten man das doch bitte vermeiden. Ist wie ich es verstehe heute auch schon so gegeben.
  • Das Mesh-Netz ist ohne Gateway funktionsfähig - Wenn Infrastruktur der Freifunk Vereine/Gruppen nicht essentiell für die Nutzung zum Datenaustausch ist, dann kann ich mir vorstellen das man gut argumentieren kann das man nicht der Betreiber ist, sondern eben nur einen Dienst anbietet: Gateway ins Internet oder auch andere.
  • Das ist heute bei Gluon Communities nicht so ganz plausibel, es sei denn man baut Layer2 Dienste  auf. Also eher nicht.  Die Mindestfunktion die das Netz autonom beherrschen sollte ist vermutlich 
    • IP Addressvergabe - vielleicht ist der Distributed DHCP von @tcatm ein erster Schritt in die Richtung? Toll wäre es ein (lokales) Mesh ohne Uplink schaffen könnte IP Adressen zu vergeben. Gibt es andere Ansätze oder wurde das schonmal gelöst?
    • Irgendeine Form von Dienste Discovery. Wie man das technisch macht habe ich keine Idee aber in einem lokalen Mesh könnte ich mir Multicast DNS durchaus vorstellen.  Würde ad-hoc funktionieren und es gibt eben auch Client Dienste.
  • Es gibt lokale Dienste - Dürfte die Plausibilität erhöhen. 
Was wir dann hätten wäre ein Netz welches
- ohne zentrale Infrastruktur der Communites funktioniert
- demonstrierbar  Kommunikation ermöglicht
- dessen Hardware den Knotenbetreibern gehört / in Gemeinbesitz ist und die Knotenbetreiber die alleinige Kontrolle über die Knoten haben.
UND
einige Freifunk Communities bieten auf dieser Basis einen Dienst "Internet Gateway" an.

Könnte VDS resistent sein. Oder Selbsttäuschung?
Und auch unabhängig von VDS klingt das alles sehr wünschenswert. 
Meinungen?

Sunday, June 21, 2015

VDS vs Messenger: Deep Packet Clusterfuck

Im Kontext Freifunk beschäftige ich mich gerade mit möglichen VDS Auswirkungen auf Community Netze. Dabei kam ich auch an Messaging Diensten und Internet Telefonie vorbei:

(TKG Änderung: §113b) "im Fall von Internet-Telefondiensten auch die Internetprotokoll-Adressen des anrufenden und des angerufenen Anschlusses und zugewiesene Benutzerkennungen" sowie "bei der Übermittlung einer Kurz-, Multimedia- oder ähnlichen Nachricht; hierbei treten an die Stelle der Angaben nach Satz 1 Nummer 2 die Zeitpunkte der Versendung und des Empfangs der Nachricht;" 

Wenn man an eine "Kurznachricht ähnliche Nachricht" denkt und kurz überlegt was heutzutage benutzt wird, dann kommt man sofort aus Messengerdienste, also WhatsApp, Skype, BBM, Threema etc. Ist das eine Kurznachricht ähnliche Nachricht? Ja. Wird das vom Entwurf erfasst? Mir persönlich unklar, auch weil ich über Abrenzung TKG/TMG stolpere. ECO meint Messaging Dienste werden nicht erfasst.

2015 SMS Kommunikationsmetadaten zu speichern und Messenger zu ignorieren klingt irgendwie sinnlos.
Hallo Schwerstkriminelle, Pro Tip: WhatsApp nutzen. Das WhatsApp mal "Privacy" versprechen würde hätte mir 2013 auch keiner geglaubt.

Also warten wir mal bis jemand aus dem Busch springt und auch Speicherung von "Messenger" Dienste fordert.  3...2...

Wie würde das den aussehen? Man muss in den Datenstrom reinschauen. Deep Packet Inspection nennt sich das. Ziemlich teure Technik. Aber würde das überhaupt helfen?

Halbwegs moderne Kurznachrichtendienste verschlüsseln ihre Kommunikation. Selbst Facebook/WhatsApp hat das mittlerweile begriffen. Zumindest die Verbindung zwischen Messenger und Server, die übliche Technik dazu heisst TLS (früher mal SSL genannt). "Bessere" machen dann noch Ende-Zu-Ende Verschlüsselung darauf. Nehmen wir mal threeema.ch als Beispiel, die machen das so. 
Das Problem dabei ist das moderne Kryptographie doch recht gut funktioniert. Eine gute TLS Implementation "macht man nicht mal eben so auf". Und Unternehmen haben begriffen das "schwer abhörbar" heute ein Verkaufsargument ist. TLS ist auch noch nicht das Maximum, da geht noch was. Und Kryptographie ist billig.

Da hilft auch Deep Packet Inspection nicht. Was nun? Der Provider kann speichern das vermutlich eine Nachricht versendet wurde. Nicht wohin. Und nicht mit welcher "Nutzerkennung". Das dürfte aber bei einer Strafverfolgung nur sehr unbefriedigende Erkenntnisse liefern.

Die nächste Stufe wäre dann die Verschlüsselung so zu gestalten, das ein Provider doch reinschauen kann. Sprich sie per Gesetz kaputtzumachen.
David Cameron hat sowas schonmal pauschal in die Welt gesetzt.
"But the question is are we going to allow a means of communications which it simply isn’t possible to read. My answer to that question is: no, we must not" (Source)

Was dann kommt hatten wir schon, siehe Crypto Wars.
Für die jüngeren Leser: Dies bedeutet das man den Zugriff auf starke Verschlüsselung reguliert.
D.h. zum Beispiel bestimmte Apps zu verbieten. Bestimmten Programm-Code zu verbieten. Gedruckten Programm-Code verbieten.  Ein Buch zu verbieten.

Und kein Szenario das ich für wahrscheinlich halte.
Für Internet-Telefonie gilt ähnliches.

tl;dr

  • VDS erfasst nur SMS & Friends. 
  • Heutzutage genutzte Messenger werden nicht erfasst. 
  • Es ist nicht möglich diese sinnvoll zu erfassen. Ein Rüstungswettlauf gegen Messenger Krypto kann selbst für "State Level Actors" schwierig sein. 
  • Crypto Wars anyone?

Also können wir bitte von dem VDS Knochen ablassen und die Sicherheitsbedürfnisse mit einem anderen Placebo befriedigen?

VDS vs Münster


Auf eine VDS Implementation freuen sich in Münster folgende Telekommunikationsgiganten, die die VDS bestimmt problemlos bewältigen werden:
  • Messe und Congress Centrum Halle Münsterland GmbH
  • AScode, Klausenburgweg
  • nicos Aktiengesellschaft, Mendelstraße
  • Offenes Usenet-Team e.V., Wesler Strasse
  • Ratiodata IT-Lösungen & Services GmbH, Gustav-Stresemann-Weg
  • RNT Regionale Nachrichten Technik GmbH, Grevener Strasse
  • The Phone House Services GmbH, Münsterstrasse 
  • Völkel Mikroelektronik Gesellschaft mit beschränkter Haftung, Otto-Hahn-Strasse
  • Webdiscount GmbH & Co. KG, Hafenweg
  • Zwei Löwen mediawerk GmbH, Hafenweg
  • 23Media GmbH, Grafschaft
  • Alarmruf - Wachzentrale Sievers GmbH & Co. KG, An den Loddenbüschen
  • endoo GmbH & Co. KG, Am Dornbusch
  • Globe Development GmbH, Königsberger Strasse
  • ICSmedia GmbH, Soester Straße
"Gewerbliche Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zugänglicher Telekommunikationsdienste nach § 6 TKG". Quelle: BNetzA


Tuesday, September 23, 2014

Zeitgeist Datenschutz for English Speakers

Kindergarten, Fahrvergüngen, Doppelgänger, Zeitgeist.
These are some of the terms that made it from the German language into English. I'd like to tell you about another one which is ever-present in today's German, more relevant than ever and has no direct translation into English.

Datenschutz. The dictionary says it's "data privacy" but from my understanding this does not really cut it. Like Angst which is not straight fear but is more specific, Datenschutz is the subject of "data privacy" but it also includes an underlying idea:

Datenschutz (noun).
Literally it means "data protection".
Initially it was also defined (by law in 1970) as such.  The protection of data from manipulation, loss or theft.  Over time that has changed (I won't go into detail about this process) but now it's something rather different.
Not the data is protected but the individuals which are represented by that data.  Which brings us close to "data privacy".

Wikipedia (DE) defines Datenschutz as:
The protection from abusive information processing, protection of the right to informational self-determination. Protection of personality rights in the context of information processing or protection of privacy. Datenschutz stands for the idea that every human can decide for themselves to whom he/she makes what personal information available.

Although it is not stated in Germany's constitution, the constitutional court elevated a derived "right to informational self determination" to a fundamental right.

Datenschutz - as federal law - asserted 1986 that any processing of personal information is illegal unless permitted by law.  The same law also calls for Datensparsamkeit (another good one) which literally means "data frugality" which goes hand in hand with Datenvermeidung (data avoidance).

Of course there are lot of exceptions and loopholes (hooray for bonus cards!) but the important bit seems to be that we had a public discussion over several years in Germany on Datenschutz in the context of a general census (which finally happened in 1987) and since this time the idea that "my data is my property" is prevalent.

Based on this discussion there is a deep distrust on anybody who is collecting data: Once data has been obtained, people (who have for example a large commercial incentive) will find creative and unexpected ways to use or combine it in interesting and abusive ways.  This is difficult to fix once it happened and more difficult to prevent by regulation - unless you do not obtain the data in the first place.

Datenschutz is opinionated. It has this underlying assumption: We own and control our data. And unless you seek permission it's not ok to use it as you please.

But maybe I got "data privacy" wrong, if this is the case please enlighten me.

@ingomar

Thursday, June 5, 2014

Flatrate Saufen a la Telekom

Willkommen zum Flatrate Fest, powered by Telekom Hier gibt es zu nervötenem Gejingle Bier vom Faß soviel du willst für nur einmalig 15€ (*1) Das Fest beginnt um 18 Uhr. (*1)
Glas Bier

Faire Nutzungsklausel: Nach 60 Minuten (um sieben) wird die Bierzufuhr gedrosselt. Statt 0,5l pro Glas gibt es dann noch 4ml Gläser. Du kannst natürlich weiterhin beliebig oft zur Theke gehen und dir ein neues Bier holen.

Monday, December 24, 2012

DIY Fusion Drive in a 2012 27" iMac

I've just converted my brand-spanking new 27" iMac to a DIY Fusion Drive. It works, but is not for the faint of heart:

Opening up the 27" iMac involves some major surgery. I used a 0.6mm plectrum to squeeze away the glue after a little warm up with a regular hair-dryer and two suction cups. The latter are not required.
Be warned that after you removed the adhesive tape (which is what it is) you won't be able to close the iMac properly unless you replace it. I had the display involuntarily come off once and was lucky to catch it. I recommend to wait until the iFixits of the world provide a replacement. Unfortunately I can not identify the sticky tape type.

Despite what I read elsewhere, the internal disk may not be 2.5". My iMac (1G disk) came with a 3.5" Seagate Barracuda. You thus may require a 2.5" -> 3.5" adapter.

Initially I replaced the internal HDD with an SSD and planned to install OS X from an USB stick. However I could not get the iMac to boot from an external USB disk or SD card which I have prepared using my MacBook. I think there may be something special about the iMac that defies booting from "non iMac" media. I know this sounds strange.
Network Recovery also failed with an error -2003F so I got utterly stuck. Here is how I resolved this:
I mounted the original internal disk back in the iMac and attached the SSD using the Seagate Thunderbolt adapter and the HDD using an USB3 adapter.
I then booted into recovery mode and first installed OSX on the SSD only so that I have proper recovery partition. I then mounted the SSD in the iMac and validated that it would in fact boot. Next, I put the original internal disk back, booted recovery mode once more and created the Fusion Drive on the SSD/external HD as per Jollyjinx' description and installed OS X. Works :-). Last step was to mount the SSD in the iMac.

My current setup looks like this:

  • Internal 256G Samsung SSD (840 Pro)
  • External 4TB Seagate Backup Plus interfaced through Thunderbolt.
  • After some usage I have to say it really delivers. Most of what I do feels blazingly fast. With a 4T disk. Just awesome. :-)

    tl;dr When you want to convert your 2012 27" iMac to a DIY fusion drive

  • Be prepared to see the iMac Display in a loosely attached state unless you replace the adhesive tape. Make sure that the display does not fall off.
  • Install the FD from the internal drive before replacing the internal drive
  • If you have done a similar conversion, I would be intrested to hear about it. @ingomar

    Wednesday, November 7, 2012

    Seagate Backup Plus 4GB: USB3 vs Thunderbolt

    If you are considering to get a thunderbolt version of the Backup Plus disk or to retrofit the thunderbolt desktop adapter (STAE127) here are some measurements I took:

    Via USB 3:

    Via Thunderbolt, Seagate STAE127 desktop thunderbolt adapter:

    Disk is a Seagate Backup Plus 4GB. Host is a 2012 MBPr with 10.8.2