Facebook kauft WhatsApp, und die Horde rennt blind zu Threema

Die Nachricht, dass Facebook WhatsApp kauft, hat mich in besonderem Ausmaß getroffen: Genau gar nicht. Das scheint einem Großteil der Weltbevölkerung anders zu gehen, denn plötzlich wittern sie in dem Dienst eine üble Gefahr. Jetzt erst – dabei war er doch eigentlich schon immer dasselbe in grün.

Noch viel faszinierender finde ich aber, wie jetzt alle zu Threema rennen. Hey, Leute – das bringt euch nichts! Der Dienst ist genau so proprietär, die Software genau so verschlossen und unüberprüfbar. Da brignt euch die beste Krypto nichts, wenn ihr nicht sicherstellen könnt, dass die Software nicht einfach hergeht und eure Nachrichten nach dem Entschlüsseln raus kopiert oder so. Darauf seid ihr doch schon bei Skype reingefallen – warum jetzt schon wieder *facepalm*?

Was ihr tun könntet, ist dem Jitsi-Team helfen, Jitsi für Android fertig zu bekommen. Ich benutze das jetzt schon produktiv und es funktioniert ganz hervorragend, am Feinschliff wird konzentriert gearbeitet.

Aber an dem was da gerade läuft, ist überhaupt nichts kluges dran. Das zeugt eher für rückwirkenden Verdummungsverdacht, wenn man ein Facebook-Label braucht, um rauszufinden, dass man Mist gekauft hat und dann brüllend ins nächste Fettnäpfchen rennt.

OVH und die mangelnde Eignung zur Teilnahme am Internet

Aus gegebenem Anlass habe ich mir mal die Mühe gemacht, ein paar Statistiken aus Felix und meinem Abuse Central zu erstellen. Die Statistiken betreffen OVH, einen Internetzugangsanbieter mit Sitz in Frankreich.

Kurz zum Hintergrund zum Abuse Central: Auf mehreren Hosts läuft der Dienst Fail2Ban, der Logdateien auf verdächtige Aktivitäten hin überwacht und bei wiederholtem Auftreten eine Benachrichtigung per E-Mail generiert sowie den Quellhost sperrt. Diese Berichte analysiert das Abuse Central und erstellt eine Statistik über die Angriffe. Wenn verschiedene Hosts mehrere Angriffe von einem Quellhost melden, wird der Abuse-Kontakt aus den Whois-Daten der Adresse kontaktiert.

Was hat es nun mit OVH auf sich? Nun, egal wo man hinschaut, sticht ein Zugangsanbieter hervor: OVH, ein französischer ISP. Und dieser Provider sticht derartig hervor, dass ich schon Wetten damit gewonnen habe, einfach ins Blaue hinein zu behaupten, ein Host aus diesem Netzwerk sei für merkwürdige Aktivitäten verantwortlich, ohne überhaupt die Adresse zu sehen.

Aber bevor ich wieder lange rante, kommen wir einmal zu den Zahlen aus 2013:

  • Insgesamt, global, generierte Complaints: 7502
  • davon an OVH: 2124
    • das sind 28,3% aller Complaints
    • davon von OVH beantwortet: 12
      • davon Auto-Replies: 12
      • davon echte Antworten: 0

OVH geht also richtig gut auf derartige Probleme ein! Nicht nur, dass die Antworten ausbleiben – eine Menge Hosts tauchen auch immer wieder auf. Von den 111 verschiedenen angreifenden Hosts haben 50 Kandidaten über das Jahr verteilt mehr als 10 Abuse Complaints ausgelöst, 3 Angreifer haben sogar mehr als 100 Abuse Complaints ausgelöst. Der Quellhost 91.121.19.35 hat sogar stolze 295 verschiedene Complaints ausgelöst!

Diesen Spitzenreiter habe ich mir einmal genauer angesehen um zu beurteilen, was OVH mit dieser Menge an Complaints tut. Der Zeitraum vom ersten bis zum letzten Complaint über diesen Host erstreckt sich vom 15.3.2013 bis zum 15.6.2013. Dazwischen ist die Verteilung ziemlich gleichmäßig, es wurden also in keiner Form Maßnahmen ergriffen. Dass nach genau 3 Monaten Ende war, liegt vermutlich daran, dass das System aus anderen Gründen neu aufgesetzt wurde.

Mein Lieblingsfakt an der ganzen Sache ist, dass im Jahr 2013 Frankreich den bisherigen Spitzenreiter China in der absoluten Anzahl von notwendigen Complaints überholt hat. Wir haben eine Karte, auf der man das schon ganz gut sieht, jedoch ist China hier noch etwas roter, weil der Auswertungszeitraum anders ist und das OVH-Problem erst während der Auswertung begann. Auf jeden Fall liegt Frankreich mit 6415 Complaints (davon 33% OVH) deutlich vor China mit 5569 notwendigen Complaints. Ich mache mal eine mutige Berechnung dazu, die wissenschaftlich vollkommen daneben, aber auch nicht schlimmer als andere Statistiken ist: Auf die Einwohnerzahl der Länder skaliert ist Frankreich, dank OVHs Hilfe, für 24,6 mal so viele Angriffe verantwortlich wie die Volksrepublik China.

Ich finde das eine starke Leistung und bin gespannt, wie andere Provider darauf reagieren werden – es gerüchtet, da sei etwas am Brodeln. Aber selbst, wenn man OVH aus der Statistik für Frankreich streicht, liegt das Land auf Einwohner skaliert immer noch weit vor China. OVH ist also tatsächlich nur die Spitze des Eisbergs, wenn auch eine imposante.

Disclaimer: Die Statistik anhand der Population ist absichtlich zum Skandal zusammengelogen. Ich weiß, dass das Unfug ist :) !

Freude und Leid eines (angehenden) Pädagogen

Es gibt manchmal Beobachtungen, wenn man mit Kindern zu tun hat, die einen gleichzeitig zum Lachen und Weinen bringen können. Heute ging es um Markus (Name geändert), der als jüngster in der Klasse und offenbar auch schon in der Grundschule das starke Gefühl hatte, öfter und ungerechtfertigter mit Schuldzuweisungen konfrontiert zu werden als seine Mitschüler.

Markus Unzufriedenheit hatte ich schon öfter beobachtet, heute äußerte er sie jedoch lautstark, als ich alle Kinder seines Gruppentisches aus disziplinarischen Gründen leider “umsortieren” musste. Und grundlegend hatte er mit seiner Beschwerde sogar recht – an Markus Verhalten war überhaupt nichts auszusetzen. Da er damit in seiner Grupee aber leider ziemlich alleine dastand, musste er leider mit umziehen. Meine Erklärungsversuche waren dann auch nicht wirklich erfolgreich, erst nachder Hälfte der Stunde besserte sich Markus Zufriedenheit etwas, nachdem ich ihn mehrmals für seine gute Beteiligung gelobt hatte.

Am Ende der Stunde nahm ich Markus dann jedoch trotzdem noch einmal alleine beiseite, um mir anzusehen, wie tief seine Unzufriedenheit eigentlich sitzt und woher sie rührt. Letztendlich habe ich ihm dann einfach mit einfachen, offenen und ehrlichen Worten gesagt: “Hey, Markus – du bist toll, ich mag dich! Mach weiter so!” Was dann passierte, stimmte mich erst extrem glücklich, dann aber doch etwas nachdenklich. Markus Augen explodierten förmlich vor Freude und ich hörte ihn noch auf dem ganzen Weg zum Ausgang springen und jauchzen und “Jaaaaaa!” rufen. Und seien Freude war aufrichtig – das ist es, was mir zu denken gibt. Wie oft und wie lange muss ein Kind auf verständnislose, gelangweilte oder gefühlstote Pädagogen stoßen, dass ein simples, aufrichtiges Lob eine Emotionswelle auslöst, durch die das Kind vermutlich heute Abend beim Zähneputzen noch wie ein Gummiball hüpft?

Ich freue mich wahnsinnig für Markus und auch darüber, ihm eine Freude gemacht haben zu können, aber irgendwie speigelt sich in solchen Beobachtungen, zumindest bei offenen und aufrichtigen Seelen, die Verständnislosigkeit und Kälte unserer Grundschulpädagogen wieder, die am liebsten schon nach dem Kennenlernnachmittag der 1. Klasse die Weichen für oder wider das Abitur stellen würden.

Da ist es gut, zu wissen, an einer Schule mitzuarbeiten, deren Leitung und Kollegium sehr bestrebt sind, diese unfaire und frühzeitige Differenzierung zu kompensieren.

Ich will ne Brieftaube

So, ich hab die Nase voll: Ich will eine Brieftaube. Oder Windows Mobile. Oder ein iPhone.

Früher habe ich auf meinem Android-Smartphone, genau wie auf allen anderen Hosts, den Tinc VPN-Daemon eingesetzt, um einerseits Zugang zu meinem lokalen Netzwerk und andererseits einen sicheren Internetzugang zu erhalten. Das hat immer hervorragend funktioniert – bis ich dann mit dem CyanogenMod 10.2 Nightly Build auf Android 4.3 umgestiegen bin. Auf einmal funktionierte der Tunnel nicht mehr richtig, aber aus Zeitgründen war ich nie wirklich dazu gekommen, das zu debuggen.

Gestern Abend habe ich mir das dann einmal angesehen und festgestellt, dass alles funktioniert, nur DNS nicht. In meinem tinc-up-Skript setze ich mithilfe des Kommandos setprop beide DNS-Server des Systems auf die interne IP-Adresse von shore, und das hat auch immer funktioniert. Nun, ein wenig komisch war das mit dem DNS auf Android schon immer – normalerweise wird der libc-Resolver in /etc/resolv.conf konfiguriert, aber wenn man Google heißt, kann man das ja schon mal anders machen. Egal, es hat einigermaßen funktioniert.

Jetzt, mit Android 4.3, funktioniert das natürlich nicht mehr. Warum auch, wäre ja auch langweilig sonst. Nach einigem Testen stellte sich heraus, dass sämstlichen DNS-Properties einfach ignoriert werden. Sogar das nslookup-Tool, dem man explizit den zu verwendenen Nameserver mitgeben kann, kann diesen DNS-Server nicht mehr benutzen. Ich habe daraufhin dem Autor des Tinc GUI für Android geschrieben und auch sehr schnell eine Antwort erhalten. Leider konnte er mir auch nicht viel mehr sagen, als dass DNS auf Android komisch ist, aber er bestätigte mir, dass sich das Verhalten in Android 4.3 stark geändert hat. Seine Links brachten mich aber auf den richtigen Weg zu einem Foren-Thread, aus dem die Gründe für das Verhalten hervorgehen.

Im Android-System gibt es ein Stück Software namens netd, eine Art eierlegende Wollmilchsau, die sich wohl um so ziemlich alles kümmert, das das System mit dem Netzwerk macht. Dazu gehört auch die Aufgabe eines lokalen DNS-Caches. Dieser öffnet wohl einen Socket unter /dev/socket/dnsproxyd, an den die Bionic libc alle DNS-Requests weitergibt. So weit ist das erstmal vielleicht sogar eine gute Idee, nur gibt es leider keine Möglichkeit, sich über die Entscheidung des netd, welche DNS-Server er benutzt, hinwegzusetzen.

Mein erster Versuch, dieses Verhalten zu umgehen, war es, in der PREROUTING-Chain im netfilter auf dem Android alle ausgehenden Verbindungen auf tcp/udp Port 53 mittels DNAT an die Adresse von shore weiterzuleiten, aber erstaunlicherweise hilft das kein bisschen. Stattdessen musste ich nun zu dem Workaround greifen, auf shore alle ankommenden Pakete für tcp/udp Port 53 an den lokalen BIND weiterzuleiten. Eigentlich ist das ein Setup, das man echt nicht will, aber anders scheint es nicht zu gehen.

Wer eine andere Lösung hat, möge mir die bitte mitteilen. Ansonsten hätte ich bitte gerne eine Brieftaube; einen Personal Analog Assistant hat mir Thorsten schon versprochen.

Ein paar weitere Infos zu den Änderungen in Android 4.3 gibt es hier.