Der NASA Mars 2020 Boarding Pass – Mitfliegen im Rover

NASA Mars 2020 Rover Boarding Pass

Heute mal ein etwas anderes Thema, das mich überaus interessiert: Die Weltraumexploration. Dieses Jahr hat die NASA mehrere Pläne für die nächsten fünf Jahre präsentiert sowie präzisiert. 2024 sollen wieder Astronauten auf den Mond – und das regelmäßig und mittelfristig auch für längere Aufenthalte. Dazu gehört eine „Zwischenstation“ im lunaren Orbit namens Gateway, die ab 2022 aufgebaut werden soll und lange, häufige Missionen ermöglichen soll. Langfristig sollen Erfahrungen mit dem Gateway, der in Kooperation u.a. auch mit der europäischen Weltraumorganisation ESA entstehen soll, dann auch für Marsmissionen nützlich sein.

Schematischer Aufbau der orbitalen Mondplattform sowie deren geplantes Aufgabengebiet. (c) NASA

Bereits im Jahr 2020 soll wieder ein Mars Rover landen und geophysische Daten, unter anderem zur Bewertung der Bewohnbarkeit des roten Planeten, sammeln. Wer möchte, kann seinen Namen kostenlos mitsenden, um dem Rover Gesellschaft zu leisten. Schließlich soll er ja nicht die (medial dramatisierte) Einsamkeit von Curiosity teilen müssen :).

Auch wenn mir die 313 Millionen Flugmeilen vermutlich nicht angerechnet werden: Ich bin jedenfalls an Bord, und ihr?

P.S.: Ich hoffe, das zählt nicht in den CO2-Footprint…

Distributed Computing für einen guten Zweck

Das World Community Grid ist nur eine von vielen gemeinnützigen distributed computing Anwendungen.

Passend zur besinnlichen Jahreszeit möchte ich auf diesem Wege darüber informieren, dass viele wissenschaftliche Projekte hohe Rechenleistung benötigen. Einige davon kommen in den Genuss, einen Rechencluster der jeweiligen Institution nutzen zu können. Viele andere jedoch sind auf Hilfe angewiesen, um hoch komplexe Algorithmen, beispielsweise zur Proteinfaltungs-Vorhersage oder Detektion von Krebszell-Signaturen verwenden zu können. Hier kommen Distributed Computing-Projekte wie BOINC ins Spiel. Gerade über die Feiertage dürften viele von uns ihre Rechenleistung nicht in vollem Umfang benötigen. Nicht genutzte Rechenleistung kann man so ganz einfach verschiedensten Forschungsgebieten zur Verfügung stellen, von der Krebsforschung bis zur Suche nach außerirdischem Leben.

Ich selbst benötige sicher nicht jeden einzelnen CPU-Zyklus zwischen den Jahren. Deswegen unterstütze ich verschiedene Projekte im World Community Grid sowie Folding@home – und möchte euch alle einladen, es mir gleichzutun. Egal ob Smartphone, CPU oder GPU – alles kann benutzt werden, um einen Teil beizutragen.

In diesem Sinne wünsche ich besinnliche Tage und einen schönen Jahreswechsel!

Chrome macht Ernst: Symantec-Legacy-Zertifikaten wird nicht mehr vertraut

Webseiten, die bisher nicht zu vertrauenswürdigen Zertifikaten gewechselt haben, bekommen Googles strenge Sicherheitspolitik zu spüren

Wie schon länger angekündigt, verweigert Chrome inzwischen standardmäßig den Zugriff auf Webseiten, die alte, als nicht vertrauenswürdig eingestufte SSL-Zertifikate von Symantec verwenden. 

Mit dem Fehler NET::ERR_CERT_SYMANTEC_LEGACY konfrontiert Google Chrome den Nutzer beim Versuch, betroffene Webseiten zu laden.

Solche Datenschutzwarnungen sollten großen Druck auf Webseitenbetreiber ausüben, vor allem mit Hinblick auf Chromes Marktanteil. Auch Firefox und Co. folgen auf dem Fuß. Die Browserbetreiber hatten sich zuvor darauf geeinigt, Symantec-Zertifikaten nicht mehr zu vertrauen

Wer trotzdem eine betroffene Webseite besuchen möchte, kann über den „Erweitert“-Button die Webseite trotzdem besuchen. Das sollte aber nur eine Übergangslösung sein, besser macht man den Betreiber der Webseite darauf aufmerksam. Dann kann dieser sein Symantec Zertifikat austauschen.

HSTS Preloading – warum so umständlich?

Ein metallenes Schloss
Das stärkste Schloss nutzt nichts, wenn die Tür nicht abgeschlossen wird.

Update, 01.12.2018: Heute habe ich entdeckt, dass ich bereits in der aktuellen Preload-Liste des Chromium-Projekts aufgenommen bin und diese Änderung voraussichtlich in die kommenden Versionen von Chrome, Firefox und Edge propagiert werden wird!

Ich habe am vergangenen Wochenende einige Stunden investiert, diesen Blog etwas „sicherer“ zu machen. Eigentlich werden alle Anfragen per 301-Redirect auf HTTPS umgeleitet. Das ist die gängige Praxis, jedoch noch anfällig für Man-in-the-middle Attacken, welche versuchen auf HTTP-Verbindungen umzuleiten, bzw. vor Zustandekommen einer HTTPS-Verbindung lauschen.

Diese Angriffe vom Typ sslstrip sollen mithilfe von HTTP Strict Transport Security, kurz HSTS, verhindert werden. Das Prinzip ist simpel: Bei der ersten Verbindung per HTTPS teilt der Server dem Browser mit, für eine definierte Zeitspanne (typischerweise Jahr(e)) nur noch verschlüsselte Verbindungen zu dieser Webseite aufzubauen. Folglich werden Verbindungen zu dieser Seite dann gar nicht mehr über HTTP versucht, sondern direkt über HTTPS.

Das Problem? HSTS funktioniert nach dem trust-on-first-use Prinzip, das heißt, ein erstes Mal muss der Browser die Verbindung auf herkömmliche Weise herstellen, denn der HSTS-Header wird erst über HTTPS gesendet. Der Browser kann also vor dem ersten Kontakt gar nicht wissen, dass er eine sichere Verbindung aufbauen soll. Erst nach der Weiterleitung auf HTTPS weiß der Browser vom HSTS-Header.

Die Lösung? Riesige, hard-gecodete Listen von HSTS-unterstützenden Websites (kein Witz!). Das Chromium-Projekt hinter Google Chrome unterhält die größte dieser Listen, die, mit einigen Monaten Verzögerung, in die neusten Versionen von Chrome, Firefox und Co. eingebracht wird. Bei Webseiten in dieser Liste weiß der Browser dann schon vor dem ersten Kontakt, dass er nur über HTTPS eine Verbindung aufbauen soll. Inklusion einer Webseite kann man auf https://hstspreload.org/ beantragen, wie auch ich das getan habe. Dafür muss die Webseite einen HSTS-Header auf allen Subdomains senden, der einige Kriterien bezüglich Parametern und Gültigkeitsdauer erfüllen muss.

Obwohl sie mehrere Megabyte groß ist, ist die Liste verschwindend winzig, verglichen mit allen Webseiten, die standardmäßig HTTPS senden. Ja, HSTS Preloading ist ein gewisses Risiko, sollten sich Konfigurationen ändern oder Zertifikate auslaufen. Mit dem jüngsten Schritt von Chrome, HTTP-Verbindungen grundsätzlich als unsicher zu kennzeichnen, ist die Idee, standardmäßig HTTPS zu versuchen, aber auch nicht sehr abwegig. 

Obwohl HSTS seit 2012 existiert, wird es wohl noch viel Druck benötigen, den letzten Webseitenbetreiber zu HTTPS zu bewegen, auch in der Zeit kostenloser SSL-Zertifkate.

P.S.: Dieser Blogeintrag dient mir als Maßstab, um nachzurechnen, wie lange es dauert, bis mein Blog es in die HSTS-Preloadlisten der Browser geschafft hat.

Tatort: Internet – BKA-Bericht 2017

„Die zunehmende Bedeutung der IT für Unternehmen, Behörden und für
den privaten Bereich steigert die Manipulations- und Angriffsmöglichkeiten. Aktuelle Technologietrends
eröffnen neue Tatgelegenheiten und dürften die Bedrohungslage weiter verschärfen.“

Das Fazit des BKA im „Bundeslagebild Cybercrime 2017“ sieht von Optimismus weitestgehend ab. Den fände ich auch unangebracht.

Heute, am 27. September, hat das BKA sein Bundeslagebild Cybercrime 2017 in Form einer 41-seitigen PDF-Datei vorgestellt. Neben allerhand Statistiken und mehr oder minder schockenden Zahlen finden sich darin auch Gedanken und Beobachtungen des Amts zu Cyberkriminalität in Verbindung mit Dauerbrenner-Buzzwords wie „Kryptowährungen“, „Cloud Computing“, IoT und KI. 

Dabei ist der Bericht in erster Linie eine Ansammlung von Feststellungen – zugegeben, bei über 250.000 registrierten Fällen mit „Tatmittel Internet“ musste auch ich schlucken – und Bewertungen der Sachlage. Das, und vor allem die Fallbeispiele finde ich sehr löblich, um auch Laien und ins „Neuland“ Zugezogene auf die Gefahren im Netz aufmerksam zu machen. An diversen Stellen wird an das BSI – das  Bundesamt für Sicherheit in der Informationstechnik verwiesen, das sich natürlich besser mit den Gefahren des Webs sowie deren Bekämpfung auskennt. Eine gute und vor allem noch immer unterbewertete und gering frequentierte Ressource! Auch wenn dort natürlich nicht immer alles glatt läuft – erst gestern war die Website einige Zeit nicht erreichbar, da ein Zertifikat ausgelaufen war:

#läuftbeieuch

Ich möchte auch gar nicht allzu viel vorwegnehmen, für Interessierte ist das Bundeslagebild allemal einen Blick wert und sicher eine gute Ressource, um Bekannte auf die Gefahren im Internet aufmerksam zu machen. Für einen Aufschrei oder große mediale Verbreitung ist der Bericht gewiss nicht reißerisch genug – muss er auch nicht sein. Kompliment ans BKA für die kompakte Analyse, bitte mehr davon!