Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik-Blog

Neues digitales Zertifikat


Wir signieren unsere Programme ja schon seit geraumer Zeit mit digitalen Zertifikaten. Die kann man sich auch anzeigen lassen und sehen da so aus.

Ab jetzt (in Kürze, vermutlich morgen) verwenden wir ein neues digitales Zertifikat, und zwar eines, das den neuen Sicherheitsrichtlinien von 2017 genügt. (Unser altes stammte von vorher und lief noch bis gerade eben mit den alten Richtlinien.)

Das interessante (und, um es klar zu sagen, in Teilen auch sehr nervige) an den neuen Richtlinien für EV Zertifikate: Die CA stellt das Zertifikat aus, liefert es aber nur noch auf Hardware und per gelber Post (bzw.: UPS) aus. Man braucht also tatsächlich ein bestimmtes Stück Hardware – in unserem Fall einen USB-Dongle – um die Software tatsächlich zu signieren. Das macht das Zertifikat erheblich wertvoller als zuvor: Denn da konnte man einfach eine Datei kopieren (wenn man dran kam) und hatte eine Kopie zu weiterverwenden.

Das geht nicht mehr.

Und so sieht es aus, unser USB-Token zum signieren: (Das mit dem blauen Licht ist das "Ding".)

image


Datenschutz im Web: Wenn man es ernst meint


Man kennt die Sätze, wenn man sich die Datenschutzerklärungen im Internet mal durchgelesen hat: "Uns ist Ihre Sicherheit sehr wichtig.", "Datenschutz hat bei uns einen besonders hohen Stellenwert." – so und ähnlich lautet es da immer. Klingt gut, denn erfasste Daten scheinen ja ernsthaft geschützt zu werden.

Aber: Am besten sind natürlich immer die Daten geschützt, die erst gar nicht erfasst wurden.

Wie ernst es ein Anbieter mit seinen Versprechungen meint, kann man darum auch immer ganz gut dran ablesen, wie sehr er sich bemüht, irgendwelche Daten über seine Webseite zu erfassen. Und da geht es ja nicht nur um die eigene Anschrift, sondern auch um das protokollieren des Surf-Verhaltens, um das identifizieren von Computern und einfach um das allgemeine Ermitteln von Zusammenhängen.

Oft machen Anbieter das natürlich nicht mit Absicht, sondern aus Unwissen: Deren Agentur schlägt einen "tolle" Statistik-Software vor, und die sammelt dann Daten für Dritte. Nicht schön. Ist Unwissen, klar, zeigt aber auch, das der "hohe Stellenwert" ein reines Lippenbekenntnis ist. Blindes Vertrauen auf die Agentur ist nämlich sicher kein "hoher Stellenwert".

Nun können aktuelle Browser interessante Informationen über sowas anzeigen: Beim aktuellen Edge geht das beispielsweise über einen Klick auf das "Schloss". (Beim Chrome und Firefox ebenso.)

Und so sieht es aus, wenn jemand diese Form des Datenschutzes ernst nimmt:

image

Ich will jetzt niemanden böse ansehen, nur weil er irgendwo einen Cookie verwendet. Ich finde aber, man kann schonmal darauf hinweisen, das auch der Betrieb einer recht aufwendigen Webseite durchaus möglich ist, wenn man sich nicht alle möglichen Dinge über seine Besucher merkt.


Meine Email-Weiterleitung klappt (manchmal) nicht: Wieso?


Weil wir so einen Fall in letzter Zeit mehrfach hatten, hier ein paar Informationen zu nicht funktionierenden Email-Weiterleitungen.

Was passiert?

Im Wesentlichen läuft es darauf hinaus: Ein Kunde war dabei von seiner "alten" @t-online.de Adresse auf was "richtiges" – also "@name-des-kunden.de" – umzustellen. Die alte Adresse sollte aber noch für eine gewisse Zeit beibehalten werden, und es kamen auch noch vereinzelt Emails über die alte Adresse an.

Würde jeder genauso machen: Es dauert einfach ein bisschen, bis die "neue" überall angekommen ist, und solange hat man halt beide Adressen gleichzeitig.

Jetzt macht man sich das Leben aber natürlich einfach: Wenn der "alte" Provider eine solche Möglichkeit anbietet, dann lässt man dort eingehende Emails automatisch an die neue Adresse weiterleiten. Und hier kommt das Problem: Denn das Weiterleiten klappt manchmal, und manchmal eben nicht. Das es manchmal nicht klappt merkt man natürlich nicht, denn die weitergeleitete Mail kommt einfach nicht an, und es gibt natürlich auch keine Fehlermeldung.

Der ursprüngliche Versender der Email bekommt aber manchmal schon eine Meldung, und da steht dann sowas drin wie "Server IP-Adresse-hier is not allowed to send Mail for domain Name-der-Ziel-Domain-hier".

Was ist da los?

Der Grund für sowas ist oft der Einsatz von DMARC ( https://de.wikipedia.org/wiki/DMARC) beim ursprünglichen Versender und eine falsch konfigurierte Weiterleitung beim "zwischen" Empfänger. Und so hängt das alles zusammen, als Beispiel:

  • Für den versendenden Mailserver (A) sind DMARC Records konfiguriert, Für (B) nicht.
  • A schickt eine Mail an Cs alte Adresse, der Server dort leitet auf eine falsche Art an die neue weiter. Dabei gehen Daten kaputt die C braucht, um die Authentizität sicherzustellen. Die Datenbankeinträge, die festlegen das dies überprüft werden soll, sind aber da. Reaktion: Die Email wird angelehnt und kommt nicht an.
  • Wenn B das gleiche über den gleichen Vermittler tut, kommt die Mail aber schon an. Grund: Das Werkzeug zum überprüfen der Authentizität – der DMARC Record - fehlt vollständig. Die Sache klappt also nicht darum, weil alles bestens ist, sondern darum, weil gar nichts überprüft werden kann. (Es kann also auch praktisch jeder "einfach so" tun, als sei er B und unter dessen Absender-Adresse Emails versenden. Will man nie, scheint B aber einfach nicht zu interessieren. Vermutlich lässt B auch seine Motorkontrollleuchte brennen.)

Man will also eigentlich, das möglichst viele Server DMARC verwenden – schon um den SPAM Versand einzuschränken. Das bedeutet, man muss die Weiterleitungen in einem solchen Fall "richtig" konfigurieren.

Nun ist es so: In der Praxis wird man keine Möglichkeit haben, den Mechanismus zum Weiterleiten beim "alten" Provider zu beeinflussen: Der alte Provider macht einfach "irgendwas, das früher immer geklappt hat" und das klappt eben nicht – was also tun?

Mein Rat: Stellen Sie entweder sicher, das Mails die Weiterleitung auch dann überleben, wenn der Absender DMARC verwendet (wenn SIe niemanden kennen: Ich bin gerne bereit Ihnen einen Testmail zu schicken.) –oder stellen Sie die alte Adresse so schnell wie möglich ganz ab: Dann kann wenigstens nie was an die alte Adresse zugestellt werden, und Versender bekommen einigermaßen zuverlässig eine Fehlermeldung, das die Zustellung nicht geklappt hat.


Probleme mit dem Virenschutz


Seit kurzem scheinen einige Antiviren-Programme irgend etwas anderes zu tun als früher. Das hier aufgeführte Beispiel betrifft Kaspersky, aber ich habe den Eindruck, das der Kaspersky nicht das einzige Programm ist, das ähnlich gelagerten Ärger macht.

Der Ärger äußert sich so, das man plötzlich nicht mehr in die eigene Projektdatei schreiben darf. Die Baustatik ist damit nicht mehr in der Lage, die gerade geladene Projektdatei zu verändern – es fehlen nämlich plötzlich die Schreibrechte. Innerhalb der Baustatik äußert sich das mit dieser Fehlermeldung:

clip_image001

Das kann man aber loswerden, wenn man den "Echtzeitschutz" des Schutzprogrammes zumindest für die Baustatik-Dokumente abstellt, oder aber, indem man die Schutzsoftware so konfiguriert, das diese Operationen der Baustatik als zulässig erkennt.

Mir ist ehrlich gesagt völlig schleierhaft, wie die Hersteller von Antivirenprogramme auf die Idee kommen, das ein Programm, das eindeutig für die Bearbeitung bestimmter Dateien registriert ist, an genau dieser Bearbeitung gehindert werden muss.

Wie dem auch sein mag: Im Kasperski kann man das an folgender Stelle abstellen:

clip_image001[5]

Vielen Dank an Herr Campidell vom Büro Campidell, mit dessen Hilfe ich an den vorstehenden Screenshot gelangt bin!

Vollkommen unabhängig davon lautet meine Empfehlung: Verwenden Sie keinen Antivirenschutz von Dritten, sondern den, der von Microsoft in Windows 10 eingebaut ist. Der ist auch nicht schlechter als dessen kommerzielle Konkurrenz, macht aber nach unserer Erfahrung erheblich weniger Ärger. Und eigentlich schafft man sich sowas ja an, damit man weniger Probleme hat – und nicht um neue zu bekommen.


Windows 7: Es geht zu Ende


Ich denke ich habe in diesem Jahr schon einmal drauf hingewiesen, aber nachdem ich gestern die Fehlermeldungsdaten mal durchgesehen habe viel mir auf – ich muss das wohl nochmal machen, eventuell etwas deutlicher:

Microsoft stellt den Support für Windows 7 im Januar 2020 ein. Das sind nur noch 2 Monate. Danach gibt es keine Updates mehr – auch keine Sicherheitsupdates. Sie sollten JETZT Ihren alten Rechner umstellen und auf Windows 10 wechseln.

Ehrlich: Das ist wichtig. Mache Sie es so schnell wie möglich.


Windows 7: Das Ende ist jetzt wirklich bald da


Heute in 90 Tagen, am 14.01.2020 läuft der Support für Windows 7 vollständig aus. Der Nachfolger vom Nachfolger ist Windows 10, und Windows 10 gibt es nun auch schon seit 4 Jahren.

Es ist wirklich dringend an der Zeit, die noch laufenden Windows 7 Kisten zu beerdigen.


Wenn die Installation nicht klappt: "Setup fehlgeschlagen"


Wenn Sie diese Meldung beim Installieren der Baustatik sehen, dann hat die Installation nicht geklappt:

image

Und ja, ist mir klar das diese Meldung Mist ist. Wir haben da aber leider nicht besonders viel Einfluss drauf – im Wesentlichen kommt das aus dem Windows-Installer.

Was das jedenfalls bedeutet ist: Ihre Windows-Installation ist nicht in Ordnung, es fehlen Windows-Updates. Sie werden das Problem einfach dadurch los, das Sie einmal sicherstellen, das alle Windows-Updates installiert sind. Das sollten Sie schon aus Sicherheitsgründen tun, nicht nur, um unsere Software installieren zu können.

Und wenn Sie schon dabei sind, dann sollten Sie vielleicht einmal versuchen herauszufinden _warum_ bei Ihnen Windows-Updates fehlen – denn die werden eigentlich vollautomatisch installiert….


Digital signierte Emails mit Outlook


Man kann Emails digital signieren – das ist an sich nichts besonders neues, abgesehen davon, das nur sehr wenige Personen das auch tun. Die digitale Signatur hat den Zweck, dem Empfänger einer EMail die Möglichkeit zu geben, den Absender zu überprüfen: Der Text der als "Absender" im EMail-Programm angezeigt wird ist einfach nur irgend ein Text. Jeder kann einfach irgendwas angeben, und der Email-Client wird diesen beliebigen Text auch brav anzeigen.

Das geht nicht mit der digitalen Signatur: Die enthält mindestens eine EMail-Adresse (in meinem Fall bei Firmen-Mails: tw@die.de), und diese Signatur kann NICHT einfach so gefälscht werden. Wenn also eine Email mit der tw@die.de Signatur unterzeichnet ist, dann stammt diese Mail auch tatsächlich von mir.

Früher war das einrichten von digitalen Signaturen relativ aufwendig und schwierig – bei Outlook ist das aber seit Version 2013 nicht mehr der Fall. Folgendes ist zu tun:

  • Man braucht ein digitales Zertifikat. Das gibt ez.b. hier.
  • Das Zertifikat kann man in Windows installieren. (per Rechtsklick)
  • Danach kann man aus der Zertifikatstelle von Windows den zum signieren benötigten privaten Schlüssel als Datei speichern. (Das wird dann eine *.pfx-Datei.)
  • Die trägt man in Outlook (Der Desktop-Anwendung) unter "Datei –>Optionen –>Trust-Center –> Einstellungen für das Trust-Center –> Email-Sicherheit –> Importieren/Exportieren" ein. Außerdem schaltet man an der gleichen Stelle die Option "Ausgehenden Nachrichten digitale Signatur hinzufügen" ein.
  • Ab jetzt werden alle ausgehenden Nachrichten digital signiert. Das sieht dann beim Empfänger so aus:
    image
  • Die Eigenschaften der Signatur kann man sich auch anzeigen lassen:
  • image

Es gibt ein kleines Problem: Verwendet man Outlook mit mehreren Email-Adressen, hat aber nur für eine Untermenge davon digitale Signaturen, dann bemängelt Outlook beim verwenden von Mails über Accounts ohne Zertifikat, das eben keines da ist. Man muss dann vor dem versenden immer einzeln die Option zum digitalen signieren ausschalten.

Das ist innerhalb kürzester Zeit sehr sehr lästig. Und von Microsoft gibt es KEINEN Work-Around: Die vorgesehenen Einstellmöglichkeiten sind für die Installation von Outlook komplett, und nicht pro Account. Das ist auch seit einigen Jahren bekannt, und trotzdem passiert nichts – ich gehe davon aus, das das nicht als wichtig genug eingestuft wurde und das darum auch nichts passieren wird.

Es gibt aber eine funktionieren Lösung von Dritten. Hier finden Sie das SMimeAccountDefaults-Tool, das man per ClickOnce installieren kann. Sobald das installiert ist, muss man einmalig eine neue EMail anlegen. Im Menüband dieser EMail gib es dann den Befehl "Suspend Account Defaults S/MIME". Da drückt man auf den kleinen Pfeil rechts unten, und das zeigt dann ein Fenster an, in dem man für alle Accounts einzeln einstellen kann, ob ausgehende Mails signiert (und verschlüsselt) werden sollen.


Haben Sie ein vernünftiges Passwort?


Man kann es ja gar nicht oft genug sagen: Ein brauchbares Passwort kann gar nicht lang genug sein. Das ist natürlich lästig, hilft aber gegen Angriffe. Und weil diese "Angriffe" immer so wenig konkret im Raum stehen, hier mal ein kleines Beispiel, wie sowas aussieht.

Das hier läuft gerade auf unserem Mailserver: Seit irgendwann gestern Abend gibt es einen Angriff, bei dem die Zugangsdaten für Mail-Accounts auf unserem Server herausgefunden werden sollen. Der Angreifer macht dabei alles richtig:

  • Unser Server erkennt "zu viele" Fehlversuche beim anmelden in einer gewissen Zeit und würde einen betroffenen Account einfrieren. Darum erfolgt das ganze vorsichtig, mit im Schnitt etwa 80 Versuchen über alle Accounts verteilt pro Stunde.
  • Unser Mailserver erkennt "komische" Verbindungsmuster von komischen Stellen – und der Angreifer verwendet ein weltweit verteiltes Botnetz. Jeder Bot macht nur 1 bis 2 Versuche pro Stunde.
  • Unser Mailserver blockiert IP-Adressen mit zu vielen Fehlerversuchen => Ein weltweit verteiltes Botnetz hilft da.

Und das ganze läuft und läuft und läuft… Dabei werden einfach die "gängigen" und "kurzen" Passworte durchprobiert. Ich gehe davon aus, das der gleiche Vorgang noch bei vielen hundert wenn nicht tausenden von anderen Mailservern abläuft – und die "einfachen" Passworte werden dann dabei schon rauskommen.

Als normaler Mensch bekommt man solche Einbruchsversuche gar nicht mit: Ich weiss davon, weil ich mich um unseren Mailserver kümmere und die Sache so eingerichtet ist, das ich entsprechende Hinweise per Mail erhalte. Das sieht dann z.B. so aus:

image

Ich kann also die IP-Adresse und den zugehörigen Ort sehen. Ebenso, wann der Anmeldeversuch fehlgeschlagen ist, und welche Account betroffen war. Damit kann man sich schon eine ganze Menge zusammenreimen.

Also: Stellen Sie sicher, dass Sie ein vernünftiges Passwort verwenden. Je länger desto besser. Am besten so lang, das Sie es sich nicht mehr merken können. Zum merken verwenden Sie dann sowas wie 1Password. Und, wenn es irgend möglich ist und das angeboten wird: Verwenden Sie auch Mehrfaktor-Authentifizierung. Oft gibt es die als 2-Faktor Geschmacksrichtung, bei der Sie zusätzlich  zum wissen über das Passwort auch noch Ihr Handy griffbereit haben müssen. Ihren Microsoft-Account (den Sie bei Windows 10 recht sicher haben) können Sie mit zweistufiger Überprüfung sichern. Ebenso: Jeder Google-Account.

Genau wie Ihr Sicherheitsgurt im Auto ist das ist kein technisches Spielzeug. Verwenden Sie es. Ernsthaft!


Windows 7: Es wird Zeit umzusteigen


Noch etwa ein Viertel der Baustatik Anwender verwenden Windows 7: Das sollte sich aber besser demnächst ändern, denn heute in einem Jahr – also am 14.01.2020 – wird es von Microsoft keine weiteren Updates dafür mehr geben. Auch keine Sicherheitsupdates. Jetzt wäre also ein guter Zeitraum, Rechner die noch mit Windows 7 betrieben werden mit einer aktuellen Version von Windows auszustatten.




Baustatik Demoversion ausprobieren »