Android – IT@UDE https://blogs.uni-due.de/zim ZIM - Wissen schafft IT Fri, 01 Dec 2017 13:49:42 +0000 de hourly 1 https://wordpress.org/?v=6.7 Was tun bei Schadsoftware auf dem Smartphone? https://blogs.uni-due.de/zim/2017/08/02/was-tun-bei-schadsoftware-auf-dem-smartphone/ Wed, 02 Aug 2017 17:03:02 +0000 https://blogs.uni-due.de/zim/?p=2373 Weiterlesen ]]> Mobile Security – Virus auf dem Handy – Malware und Trojaner auf dem Smartphone

Ähnlich wie Windows auf dem Desktop ab Ende der 90er Jahre Ziel von Angriffen über das Internet wurde, blüht dieses Schicksal nun Android als dominierender Betriebssystemplattform für Smartphones. Aber auch Angriffe auf iPhones und iPads werden von uns zurzeit vermehrt beobachtet. Dabei handelt es sich überaschenderweise noch um XhostGhost.

Wie werden die Infektionen erkannt?

Wir bekommen vom DFN-Verein (Deutsches Forschungs-Netz, der Internet-Provider der Uni) automatisierte Warnmeldungen, wenn sich ein Computer oder ein Smartphone aus dem IP-Adressbereich der Uni mit dem Kommandoserver eines bekannten Bot-Netzes verbinden will. In so einem Fall informieren wir die Nutzerinnen und Nutzer über den Befall und empfehlen den Besuch des e-Points bzw. des PC-Services um das Gerät von der Schadsoftware zu säubern.

Solche automatisierte Benachrichtigungen bekommen wir vom DFN-Verein

Viele Nutzer setzen Virenscanner auf Smartphones ein. Deren Wirksamkeit auf Smartphones wird aber von Experten stark angezweifelt. Virenscanner erfordern viele, wenn nicht alle, App-Rechte ein  und schaffen so möglicherweise neue Sicherheitslücken. Apple hat den Herstellern von Virenspanner den Vertrieb dieser Software über den iTunes-Store untersagt.

Was kann so eine Infektion anrichten?

Ist ein Smartphone erst einmal von Schadsoftware durchdrungen, ist es ein Leichtes, diese Geräte und so die Nutzer zu verfolgen, persönliche Kontaktdaten
und Passwörter abzugreifen oder das Telefon gar als Abhörwanze zu betreiben. Kein einziger Account und kein Passwort, welches jemals auf so einem Gerät eingegeben worden ist, ist dann noch vertrauenswürdig. Das gilt auch für die Zugänge zu den App-Stores, die möglicherweise auch Zahlungen mit Kreditkarten zulassen.

Vorsicht mit App-Rechten!

Man sollte sich immer bewusst sein, das jede App, die bestimmte Rechte, wie etwa auf die Kamera, oder das Mikrofon, einfordert die Kamera bzw. das Mikrofon zu jeder Zeit auch benutzen kann. Insofern vertraut man immer dem Programmierer bzw. Anbieter der App. Besonders vertrauenswürdig müssen Apps sein, die eine VPN oder eine zusätzliche Tastatureingabemethode realisieren, da sie alle Eingaben bzw. den gesamten Netzwerkverkehr auch anderer Apps belauschen können. Wenn man Bedenken wegen der geringen Anzahl der bisherigen Installationen oder den geforderten App-Rechten hat, sollte man lieber nach einer alternativen App suchen.

 Wie kommt die Schadsoftware auf das Smartphone?

Häufig installieren die Anwender die Schadsoftware selbst in Form von Spielen oder gefälschten Apps unklarer Herkunft. Google und Apple versuchen Schadsoftware aus dem Android Play Store bzw. dem iTunes App Store fernzuhalten, was ihnen aber nicht immer gelingt. Ganz besondere Vorsicht ist bei Apps aus alternativen App-Stores wie z.B. AndroidPit (Android) oder Cydia (für IOS-Geräte mit Jailbreak) geboten, da hier möglicherweise Apps mit sehr unklarer Herkunft gehandelt werden. Siehe auch diese Zusammenstellung von App-Stores für diverse Smartphone-Betriebssysteme. Viele Android-geräte werden bereits mit einem Zugang zu einem alternativen App-Store verkauft.

Die bei uns aktuell beobachteten Fälle mit XhostGhost haben gar eine manipulierte Entwicklungsumgebung für iPhone-Apps als Ursache. Diese manipulierte XCODE-Version wurde 2015 Entwicklern untergeschoben und hat dazu geführt, dass APPs wie WeChat oder die chinesische Version von „Angry Birds 2“ mit einem Trojaner infiziert worden sind.

Aber auch Sicherheitslücken in Smartphone-Betriebssystemen können die Ursache für eine Infektion mit Schadsoftware sein. Achten Sie darauf alle Sicherheitsupdates für Ihr Betriebssystem auch zu installieren. Auch die Apps sollten Sie regelmäßig aktualisieren.

Leider haben die Hersteller wenig Interesse daran, für Security-Updates zu sorgen, nachdem die Geräte erst einmal verkauft worden sind. Apple hat da ein abweichendes Geschäftsmodell und versorgt die sehr viel teureren IOS-Geräte recht lange mit Updates, während es bei Android-Geräten mit Updates eher mau aussieht. Android-Geräte, die von der alternativen Firmware LineageOS unterstützt werden (Geräteliste hier) können sehr viel länger sicher betrieben werden. Wer nachhaltig und IT-sicher agieren möchte, sollte nur Geräte kaufen, die in dieser Liste aufgeführt werden.

Einige Geräte sind „ab Werk“ mit vorinstallierten Apps des Herstellers  oder gar eigenen App-Stores (siehe oben) ausgestattet, die Sicherheitslücken enthalten. Preiswerte Geräte aus China stehen in Verdacht, schon „ab Werk“ Schnüffelsoftware mitzubringen, die den Anwender ausspioniert. Update: Hier noch zwei ganz aktuelle Fälle (Smartphones von Blue Products und Nomu).

Auf Smartphones laufen Webbrowser, die wir ihre Desktop-Pendants Sicherheitslücken haben können. Insofern können Sie sich  auch Schadsoftware per Drive-by-Download einfangen. Besonders perfide sind beispielsweise Pop-Ups auf Webseiten, die die Besucher zu Downloads überreden sollen. Sowohl für Android (Adblock Browser) als auch für IOS (Adblock Browser) gibt es mobile Adblocker, die die Gefahr von Drive-by-Downloads verringern.

Staatliche Malware – der Staatstrojaner

Eher ein politisches Trauerspiel ist es, dass nun auch Strafverfolgungsbehörden in Deutschland Sicherheitslücken ausnutzen oder für neue sorgen dürfen. Der Staatstrojaner soll Daten vor der sicheren Ende-zu-Ende-Verschlüsselung auf dem Gerät abgreifen. Das deutet auf ähnliche Technologien hin, wie Sie oben bei VPN und Tastatur-Apps beschrieben worden sind. Auch solche durch Steuergelder finanzierte Trojaner können Sicherheitslücken enthalten, die möglicherweise von Kriminellen ausgenutzt werden.

Was tun bei einer erkannten Infektion?

Wenn die Infektion durch das ZIM erkannt wurde, bitten wir Sie  umgehend die WLAN-Verbindung in das eduroam unterbrechen und das eduroam-WLAN-Profil löschen. Dann sollten Sie versuchen persönliche Daten vom Smartphone auf einen vertrauenswürdigen Speicher zu kopieren. Wenn Ihre Google bzw. Apple Zugangsdaten gestohlen worden sind, ist auch der Cloudspeicher dort möglicherweise nicht mehr sicher.  Kopieren Sie alle Ihre persönlichen Daten (Kontakte, Fotos) auf einen PC oder die vertrauenswürdige Sciebo-Cloud (auch das Sciebo-Passwort müssen Sie nachher ändern!). Notieren Sie sich alle Zugangsdaten der installierten Apps/Dienste. Für Android-Gräte die OTG-fähig sind gibt es USB-Sticks, die sich für ein Backup auch direkt an der Mikro-USB-Buchse anschließen lassen. Alternativ tut es auch ein OTG-Adapter, an den schon vorhandene USB-Datensticks angeschlossen werden können.

Android_werkszustand

Auch beim Verkauf eines Android Smartphones muss es hier auf den Werkszustand zurückgesetzt werden.

Setzen Sie erst danach Ihr Smartphone auf die Werkseinstellungen zurück. Unter Android geht das so:  „Einstellungen“, „Sichern und Zurücksetzen“, „Auf Werkszustand zurück“.

Unter IOS müssen Sie nach Apples Anleitung vorgehen.

Ändern sie danach Ihr Uni-Passwort im Selfcareportal. Wir empfehlen Ihnen dringend auch die Passwörter der Google/Apple App-Store-Account und aller auf dem Smartphone verwendeter Dienste zu ändern! Dann können Sie Ihr Smartphone wieder neu mit Ihrem Google/Apple-Account einrichten. Sie sollten dann alle verfügbaren Updates herunterladen. Verzichten Sie darauf Ihr Smartphone mit Hilfe von Google „meine Daten sichern“ bzw. dem Pendant von Apple wieder automatisiert einzurichten, da Sie dann möglicherweise die Schadsoftware wieder automatisch installieren, wenn sie diese aus dem Google-play-Store installiert haben. Ignorieren Sie keinesfalls eine erkannte Infektion, da sowohl Ihre Privatsphäre als auch die Sicherheit des Uni-Netzes betroffen sind.

]]>
Keine Wanze am Handgelenk – das Android-Wear Smartwatch Mikrofon und die Spracherkennung abschalten https://blogs.uni-due.de/zim/2015/06/01/keine-wanze-am-handgelenk-das-android-wear-smartwatch-mikrofon-und-die-spracherkennung-abschalten/ Mon, 01 Jun 2015 17:45:45 +0000 https://blogs.uni-due.de/zim/?p=2225 Weiterlesen ]]> Eine ebenso bequeme wie vielleicht auch erschreckende Fähigkeit von Smartwatches ist die eingebaute Bedienung per Spracherkennung.

Während der Nutzer eines Android Smartphones sich frei entscheiden kann, ob die Spacheingabe und Google Now genutzt werden soll,  hat Google für Android Wear gar nicht vorgesehen, dass die Spracherkennung sinnvoll deaktivierbar ist. Nur im Flugmodus, in dem die Uhr gänzlich an der Kommunikation gehindert wird, ist auch die Spracherkennung abgeschaltet. In diesem Modus ist aber keine sinnvolle Nutzung der Smartwatch möglich, da selbst die Zeit nach einer Weile nicht mehr zuverlässig angezeigt wird, was für eine Uhr eine Katastrophe ist. Es ist anzunehmen, dass Apple mit der Spracherkenng der Apple Watch ähnlich verfährt.

Eine Suche nach einer Möglichkeit zur Deaktivierung der Spracherkennung bei Android Wear ergab nur zwei Hits, einen bei xda-Developer und einen bei Android-hilfe.de. Beides Anfragen nach einem solchen Feature aber keine hilfreichen Antworten. Offensichtlich gehöre ich zu der Minderheit der Nutzer, die keine Abhörwanze mit sich herumtragen möchten. Ich halte Spracherkennung für ein sehr nützliches Feature und habe mich in meiner Forschungtätigkeit ausführlich damit beschäftigt (siehe hier und hier),  aber ich möchte Sprachsamples von mir nicht in der Cloud bei Google gespeichert haben.

Aktiv ist die Spracherkennung immer, wenn die Uhr, bzw. der Arm angehoben wird, da sie dann auch per Keyword „Ok Google“ aktiviert wird. Die Kunstpause, die entsteht wenn ein Suchwort gesprochen wird, deutet darauf hin, dass die Sprachverarbeitung in der Cloud erfolgt. Da die Erkennung immer läuft, kann eine Wear-Smartwatch meiner Meinung nach auf nichtöffentlichen Sitzungen oder bei privaten Gesprächen gar nicht verwendet werden.

Auch der mögliche Missbrauch durch Menschen in Sprechweite, andere Apps oder Radio- und Fernsehton mit „OK Google wähle 0900-XXX“ muss bedacht werden. Eine dauerhaft aktivierte sprecherunabhängige Spracherkennung ist wie eine offene Konsole, an der jeder beliebige Kommandos eingeben kann.

Um Abhilfe zu schaffen, habe ich eine kleine Android Wear App geschrieben, welche das Mikrofon stummschaltet. Die Smartwatch ist damit weiterhin nutzbar für Notifikationen und andere Applikationen, die kein Mikrofon erfordern.

Die App kann hier im Play-Store heruntergeladen werden. Sie installiert eine Wear-App mit dem Namen „Mute Wear Mic“ auf der Smartwatch, die per Checkbox das Mikrofon abschaltet.Ihre Privatsphäre und die Ihrer Freunde und Kollegen wird mit dieser App geschützt. Um die Spracherkennung wieder einzuschalten, muss die App erneut aufgerufen und das Häkchen erst gesetzt und dann wieder entfernt werden.

Die App benötigt Rechte zur Änderung der Audioeistellungen.

Meine "mute wear mic" App
Meine „mute wear mic“ App

Wirklich 100% sicher, dass die Smartwatch nicht mithört kann man dann leider auch nicht mehr sein, da die NSA  mit dem Projekt Irritant Horn an einem Projekt gearbeitet hat, welches per Man-in-the-Middle die App-Stores von Google und Samsung manipulieren sollte.

Schade ist allerdings, dass immer mehr Nutzern Ihre Privatsphäre egal ist, da Sie davon ausgehen, dass die NSA eh an alle Daten kommt. Oder Ihnen ist Ihre Privatsspäre zugunsten von etwas Komfort egal. Interessant ist,  was Edward Snowden kürzlich dazu beigetragen hat:

Wenn Du meinst Privatshäre ist egal, nur weil Du nichts zu verbergen hast, kannst  Du genauso behaupten, Redefreiheit ist egal, nur weil Du nichts zu sagen hast!

]]>
Smartwatches an der Hochschule – das Wissen der Welt am Handgelenk oder Uni schummeln 4.0? https://blogs.uni-due.de/zim/2015/04/21/smartwatches-an-der-hochschule-das-wissen-der-welt-am-handgelenk-oder-uni-schummeln-4-0/ Tue, 21 Apr 2015 18:30:10 +0000 https://blogs.uni-due.de/zim/?p=2197 Weiterlesen ]]> Das Erscheinen der Apple Watch verstärkt bzw. weckt erst das öffentliche Interesse für Smartwatches. Schlaue Uhren gab es aber schon Mitte der neunziger Jahre. Die Timex Datalink konnte beispielsweise schon Termine und Aufgaben vom PC über Microsoft Schedule+ (dem Outlook Vorläufer) mit einem Bildschirm-Blinkprotokoll übertragen.

Timex Datalink von 1995

Meine Timex Datalink von 1995.

Auch Smartwatches für Android gibt es schon eine ganze Weile. Die frühen Geräte, wie beispielsweise die Sony Smart View realisieren im Wesentlichen nur ein kleines Zusatzdisplay, das über Bluetooth vom Smartphone aus angesteuert wird. Nach dem Erscheinen der Pebble Smartwatch, für die eine sehr erfolgreiche Crouwdfunding Kampagne auf Kickstarter durchgeführt wurde, hat es verstärkte Bestrebungen von Google (Android Wear) und Apple (Apple Watch) gegeben, um die offensichtliche Nachfrage zu befriedigen.

Welche Features bieten Smartwatches?

  • Notifikation
    Der Benutzer einer Smartwatch kann per Vibration über eingehende Mails und Nachrichten (Chats, RSS-Feed, SMS) informiert werden. Keine E-Mail wird mehr verpasst.
  • Sensoren
    Eingebaute Beschleunigungssensoren sollen die Bewegungen des Trägers überwachen. Als Anwendungen sind diverse e-Health-Applikationen gedacht. Außerdem können diese Sensoren zur Gestensteuerung von Applikationen verwendet werden.
  • Spracheingabe
    Die durch die Größe einer Uhr sehr limitierten Möglichkeiten zur Ein- und Ausgabe von Daten verlangen nach neuen Methoden der Bedienung. Spracheingabe mit Spracherkennung ermöglicht die einfache Bedienung einer Smartwatch. Zumindest bei Android Wear lässt sich die Sprachsteuerung aber nicht deaktivieren, die Uhr hört also immer zu, auch wenn sie er mit der Phrase „OK Google“ aktiviert werden muss. Auch die Phrase muss per Spracherkennung aktiviert werden, also läuft die Erkennung ständig. Nur wenn die Smartwatch in den Flugmodus geschaltet wird, ist auch die Spracherkennung abgeschaltet, aber dann lässt sich die Uhr nicht mehr sinnvoll nutzen.
  • Anzeige
    Im Gegensatz zu einer normalen Uhr können auf dem Display einer Smartwatch beliebige Inhalte angezeigt werden.
  • Apps
    Sowohl die Pebble-Smartwatch, Android Wear als auch die Apple Watch verfügen über ein Programmierer-API, mit dem fast beliebige Apps realisierbar sind. Der Phantasie der Entwickler sind nur durch Größe des Displays und der Akkulaufzeit Grenzen gesetzt.
  • Akkulaufzeit
    Die derzeit erhältlichen Smartwatches sind aber noch mit einem Makel behaftet. Je nach Nutzungsintensität und Fabrikat hält der Akku in so einer Smartwatch 2-3 Tage durch. Nur die ursprüngliche Pebble-Smartwatch bringt es, durch das vernünftigerweise verbaute e-Ink-Display, auf eine Woche Laufzeit, was verglichen mit herkömmlichen Uhren immer noch sehr gewöhnungsbedürftig ist.

Gesellschaftliche Auswirkungen

Da die Spracherkennung in der Cloud realisiert wird, dürfen Smartwatches bei privaten Gesprächen oder nichtöffentlichen Sitzungen eigentlich nicht verwendet werden. Es bleibt spannend zu beobachten, wie diese Geräte im täglichen Leben angenommen und toleriert werden. Ähnliche ubiquitär nutzbare Geräte wie die Google Glasses haben zu einen Verbot der Glasses in vielen Kinos und Diskotheken in den USA geführt.

Update: Zumindest für Android habe ich selber für Abhilfe gesorgt.

Welche Auswirkungen die Allgegenwart von Smartwatches haben kann, insbesondere wenn Krankenkassen an die Bewegungsdaten kommen, kann hier nachgelesen werden:

http://www.taz.de/Fitnessbaender-und-Krankenkassen/!158223/

Ob die Notifikation per Vibration die „allways on“-Mentalität der Nutzer noch weiter verstärkt und die Work-Life-Balance noch weiter in eine Schieflage kippt bleibt abzuwarten.

Schummeln 4.0 – welche Auswirkungen hat die Verbreitung von Smartwatches auf die Hochschule?

Ebenso wie in Klausuren Mobiltelefone und Smartphones nicht zugelassen sind, können selbstverständlich auch Smartwatches nicht zugelassen werden, da sie eigentlich nur eine Erweiterung eines Smartphones darstellen. Eine geflüsterte Spracheingabe kann einem Prüfling einen Vorteil in einer Klausur verschaffen, wenn die Smartwatch über das per Bluetooth verbundene Smartphone beispielsweise über Wikipedia Informationen herbeiholt.

Android Smartwatch

Meine LG-W110 Android Smartwatch zeigt den englischen Wikipediaartikel zu Universität-Duisburg-Essen in der App Attopedia an

 

Da Smartwatches nicht einfach von gewöhnlichen Uhren zu unterscheiden sind, ist zu erwarten, dass das Tragen von Uhren in Klausuren generell untersagt wird. Übrigens können auch gewöhnliche Smartphones per Ein-Ausgabe über Spracherkennung und Sprachausgabe, oder einfach ein Telefonat während einer Klausur, mit fast unsichtbaren in Ear-Bluetooth-Headsets für eine Täuschung eingesetzt werden.

Siehe auch :
http://spystudy.de/Drahtlose-Kopfhoerer/Drahtlose-Kopfhoerer-14/

Mobile Learning mit Smartwatch

Eine möglicherweise recht spannende Anwendung für Smartwatches ist mobiles E-Learning, auch unter der Bezeichnung M-Learning bekannt. In der Frühphase der „Mobile Learning“ wurde auch von „Microlearning“ gesprochen. Dort ging es um die Rezeption kleiner Informationshäppchen mit mobilen Geräten. Vielleicht kommt es ja durch Smartwatches zu einer Renaissance des Microlearning.

]]>
Warum Sicherheit leider immer kompliziert sein muss – ein separates, neues Passwort für eduroam an der Universität Duisburg-Essen nicht nur gegen die Android Enterprise WPA2-Lücke (WLAN Eduroam Sicherheitslücke Android) https://blogs.uni-due.de/zim/2015/03/24/warum-sicherheit-leider-immer-kompliziert-sein-muss-ein-separates-neues-passwort-fuer-eduroam/ Tue, 24 Mar 2015 16:26:35 +0000 https://blogs.uni-due.de/zim/?p=2174 Weiterlesen ]]> Für technisch Interessierte hier die „ganze“ Android-eduroam-Story.

Auch wenn die dem eduroam-Verbund zugrundeliegende Infrastruktur als sicher gelten kann, könnten doch unzureichend implementierte Radius-Klienten in Mobilgeräten die eigentlich sichere Umgebung untergraben. Bei drahtlosen WLAN-Netzen muss der Client immer überprüfen, ob er mit dem richtigen Accesspoint verbunden ist. Eine SSID (den Namen des WLAN-Netzes) kann jeder Angreifer sehr leicht kopieren. Deshalb sind offene WLANs auch immer gefährlich.

Ein Client kann niemals sicher sein, dass bei einer DNS-Anfrage wirklich die dazu passende IP-Adresse zurückgeliefert wird. Nur wer in offenen Netzen verschlüsselt per https kommuniziert und auch wirklich die in dieser Verbindung verwendeten Zertifikate überprüft, kann sicher sein mit dem richtigen Server verbunden zu sein. Wer im Web Zertifikatswarnungen ignoriert kann dort, wie auch im richtigen Leben, von Betrügern übers Ohr gehauen werden. Bei herkömmlicher WEP- (das Verfahren ist unsicher) oder WPA-Verschlüsselung ist durch das sowohl dem Klienten als auch dem Accesspoint bekannte Passwort sichergestellt mit dem „richtigen“ Accesspoint zu kommunizieren. In Firmen- oder Hochschulnetzen ist ein einfaches WPA-Passwort aber nicht praktikabel und so kommt das Radius-Protokoll ins Spiel. Ursprünglich für die Authentifikation in Modem-Einwahlnetzen konzipiert, kann Radius auch in WLAN-Netzen mit dem Standard 802.1X (ursprünglich vorgesehen für LANs) eingesetzt werden.

Um sicher mit einem Radius-Server zu kommunizieren, werden in 802.1X (Extensible Authentication Protocol) die Methoden TTLS (Tunneled TLS) und PEAP (Protected EAP) eingesetzt. In beiden Fällen handelt es sich prinzipiell um einen sicheren TLS-Tunnel wie er auch von https oder ähnlich bei SSH-Verbindungen genutzt wird. Wie bei diesen Verbindungen ist auch bei Enterprise WPA (802.1X EAP) das Zertifikat entscheidend.
Ohne Überprüfung des Zertifikats gibt es keine sichere Verbindung! Wer auf die Zertifikate im eduroam WLAN verzichtet, handelt grob fahrlässig!

eduroam korrekt konfiguriert

Abb. 1 So ist eduroam korrekt konfiguriert

Übrigens wird die Unikennung nur im Tunnel übertragen, d. h. wenn ein UDE-Nutzer z. B. an der TU-Dortmund unterwegs ist, sehen die Kollegen dort nur die äußere anonyme Identität, welche nach unserer Anleitung „anonymous@uni-due.de“ lauten soll. Der Suffix „uni-due.de“ ist wichtig, damit die Anfrage über die Radius-Server des DFN-Vereins an unsere Radius-Server weitergeleitet werden kann. Innerhalb des sicheren Tunnels kann die Authentifikation mit einem Klartextpasswort (PAP) oder viel sicherer mit MSCHAPv2 stattfinden. Bei MSCHAPv2 werden nur Hashes (challenge/response) ausgetauscht, das Klartext-Passwort wird niemals übertragen. Das auf dem veralteten DES-Verschlüsselungsverfahren beruhende MSCHAPv2 ist aber angreifbar. Klartextauthentifizierung mit PAP sollte aber in keinen Konfigurationsanleitungen mehr empfohlen werden!

Neben der vom DFN-Verein beschriebenen Sicherheitslücke (1) im Android-Radius-Klienten bei der Konfiguration mehrerer Enterprise-WPA-WLAN-Profile, übrigens ein ungewöhnlicher Fall – nur wenige unserer Kunden haben daheim einen eigenen Radiusserver – gibt es weitere Sicherheitslücken, die sich bei unzureichend konfigurierten Klienten ausnutzen lassen. Ein Angriff auf einen unserer Kunden wurde im Mai 2014 mit dem Exploit „PEAP-ing TOM“ (3,4) durchgeführt. Durch diesen Exploit lassen sich nur Geräte angreifen, die unzureichend konfiguriert sind. Ein modifizierter Radius-Server bringt den Android-Klienten dazu sein Passwort per GTC (Generic Token Card, ein one-time Passwort) herauszugeben.

Um per PEAPing TOM angreifbar zu sein, reicht es aus in die Android-WLAN-Konfiguration kein Root-Zertifikat und keine Phase 2-Authentifizierungsmethode einzugeben (Siehe Abbildung 2).

Abb. 2 und 3: oben: So nicht! Ein angreifbares Android Profil - unten: das Angriffswerkzeug

Abb. 2: unten: So nicht! Ein angreifbares Android Profil – oben: das Angriffswerkzeug eduroam2

Leider vertraut Android (in allen Versionen, erst Android 5 ist sicher) auch bei korrekt konfiguriertem eduroam-Zugang allen Zertifikaten unterhalb der Deutschen Telekom Root und nicht nur den Zertifikaten unserer Radius-Server. Daher würde der beschriebene Angriff auch funktionieren, wenn der Angreifer ein gültiges Zertifikat unterhalb der Telekom Root besitzt (2). Auch MSCHAPv2 im inneren Tunnel hilft nicht wirklich zuverlässig, da auch dieses angreifbar ist (5). Alle unsere eduroam-Konfigurationsanleitungen für Android sind seit dem Frühjahr 2014 auf dem aktuellen Stand. Wir können aber nicht sicherstellen, dass nicht noch Kunden mit falscher Konfiguration unterwegs sind. Aufgrund der Vielzahl der mobilen Klienten, deren Integrität nicht immer überprüft werden kann, erschien es uns sinnvoll ein separates WLAN-Passwort einzuführen. Dazu wurden sowohl die zentrale Benutzerverwaltung AUM als auch die Radius-Server angepasst.

Als Reaktion auf die Android-Sicherheitslücken planen alle UAR-Rechenzentren gemeinsam die Einführung eines optionalen separaten Passwortes für eduroam. Übergangsweise wird das bisherige zur Unikennung passende Passwort für eduroam weiterverwendet werden können. Wenn ein Kunde ein separates Passwort konfiguriert, wird ausschließlich dieses für die eduroam-Authentifikation verwendet werden. Mittelfristig wird von den UAR-Rechenzentren eine Authentifikation mit persönlichen Zertifikaten angestrebt.

(1) http://www.dfn-cert.de/aktuell/Google-Android-Eduroam-Zugangsdaten.html

(2) http://h4des.org/blog/index.php?/archives/341-eduroam-WiFi-security-audit-or-why-it-is-
broken-by-design.html

(3) https://www.youtube.com/watch?v=-uqTqJwTFyU

(4) http://www.leviathansecurity.com/blog/peap-at-def-con-21/

(5) http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html

]]>
Bericht vom Mobile Learning Day (X)tended 2014 an der FernUniversität in Hagen https://blogs.uni-due.de/zim/2014/11/13/bericht-vom-mobile-learning-day-xtended-2014-an-der-fernuniversitaet-in-hagen/ Thu, 13 Nov 2014 16:19:20 +0000 https://blogs.uni-due.de/zim/?p=2125 Weiterlesen ]]> Wie immer großartig organisiert und trotz Bahnstreik sehr gut besucht war der Mobile Learning Day 2014 an der Fernuniversität in Hagen (Programm). Sehr spannend war das neue Konzept, welches neben Twitter (#MLDX14) nun auch auf einem eigenem Kanal interaktiv mit Padlet.com Rückmeldungen zu den Talks erlaubte. Auch die Abstimmung zu kontroversen Themen im Plenum per Smartphone mit Pingo ist dort gut angenommen worden. Die großartige Keynote von Prof. Manfred Mai ist aufgezeichnet worden und kann als Konserve hier online rezipiert werden. Es geht um gute Lehre, mit und ohne Medien. Für mich der Kernsatz der Keynote:

„Entscheidend ist nicht was die Medien mit mir machen, sondern was ich mit den Medien mache.“

Diese Aussage erinnert mich an einen Satz, den ich einmal bezogen auf Technologie ähnlich aber in einem völlig anderem Kontext von Karsten Gerloff (Free Software Foundation Europe) gehört habe:

„Think for yourself! Use technology. Don’t let it use you“.

Auch die spannende Präsentation von Prof. Bürgy zum Thema „Wearables“ war aus meiner Sicht einer der Highlights des Mobile Learning Day 2014. Vielleicht weil ich selber einen Xybernaut Wearable Computer (Bild) Zuhause habe, der auch auf Folie 29 rechts oben zu sehen ist.

Auch sehr interessant: Thorsten Witt von Sciencestarter berichtetet über Crowdfunding in Wissenschaft und Bildung. Da er durch den Bahnstreik ausgebremst und deshalb nicht physisch anwesend sein konnte, hielt er seinen sehr interessanten Vortrag einfach über Adobe Connect – chapeau!

Prof. Dr. Claudia de Witt (FernUni Hagen), Andreas Bischoff und Dr. Roman Götter (Fraunhofer Academy) (v.r.n.l.) – Foto: FernUni

Zu der Podiumsdiskussion mit dem Thema „Mobile Learning zwischen Realismus, Vision und Skepsis“ durfte ich gemeinsam mit Frau Prof. de Witt (FernUniversität in Hagen, die Gastgeberin) und Dr. Roman Götter (Fraunhofer Academy) beitragen. Dort ging es um Personal Learning Environments auf mobilen Endgeräten, um die Hürden für die Durchsetzung mobiler Lernlösungen, um die mobile App des Jahres (mein Vorschlag war übrigens Google Cardboard) und um Prognosen zur Zukunft der mobilen Endgeräte. Es wurde kontrovers diskutiert, ob diese wirklich kleiner (Smartwatches) oder gar größer werden, wie derzeit zu beobachten ist (iPhone 6 plus, Phablets).

Eine Überblick zu der Veranstaltung gibt es im Best-Of Liveticker:
http://blog.fernuni-hagen.de/aktuelles/2014/11/06/live-ticker-mobile-learning-day-2014/

Die Folien der aller Vorträge sind auf http://mlearning.fernuni-hagen.de/mld14/ verfügbar.

]]>
Sprich Freund und tritt ein – Sprachausgabe für den Raspberry Pi mit eSpeak und SVOX-pico https://blogs.uni-due.de/zim/2014/03/21/sprich-freund-und-tritt-ein-sprachausgabe-fur-den-raspberry-pi-mit-espeak-und-svox-pico/ Fri, 21 Mar 2014 10:18:32 +0000 https://blogs.uni-due.de/zim/?p=1938 Weiterlesen ]]> Embedded Computer sind je nach Einsatzgebiet häufig nicht mit Bildschirmen oder Displays ausgestattet. Wenn sie aber in wechselnden Umgebungen mit DHCP eingesetzt werden, ergibt sich häufig die Anforderung einmal schnell die bezogene IP-Adresse herauszufinden. Natürlich lässt sich dieses Problem komfortabel mit DynDNS lösen, wenn der Rechner auch wirklich mit dem Internet verbunden ist. Ansonsten bleibt immer nur die Suche nach einem neuen Netzwerkgerät im Webinterface des Routers.

Diese Anforderung hatte ich selber ursprünglich für einen mobilen Roboter, der sich in wechselnden Umgebungen bzw. WLAN-Netzen bewegen konnte, und per Webinterface bedient wurde. Um den Roboter initial zu finden musste die IP-Adresse bekannt sein.
Aber auch für Zwecke der Heimautomatisierung eingesetzte Mini-Rechner müssen nicht immer mit Display betrieben werden. Für die Ausgabe seltener Störungen bietet sich das Audio-Interface, also die Soundkarte, als preiswerte und stromsparende Alternative an.

[hana-flv-player video=“http://www.pediaphon.org/~bischoff/videos/pioneer1.flv“
width=“400″
height=“auto“
description=“Activemedia Pioneer 3AT Roboter“
player=“5″
clickurl=“http://www.dr-bischoff.de/videos/andreas_video_galerie.html“
clicktarget=“_blank“
autoload=“true“ autoplay=“false“
loop=“false“ autorewind=“true“
splashimage=“http://www.pediaphon.org/~bischoff/videos/pioneer1.jpg“
skin=“mejs-ted“
/]

Mein mobiler Activemedia Pioneer 3AT Roboter mit Sprachausgabe 2006 FernUni in Hagen, damals realisiert mit MBROLA

Computergenerierte künstliche Sprachausgabe wird mit sogenannter Text-to-Speech-Software TTS realisiert. Diese Software setzt mit Hilfe von umfangreichen Aussprache-Lexika oder Heuristiken (Regeln) für die Zielsprache geschriebenen Text zunächst in eine Abfolge einzelner Laute (Phoneme) um. Die einzelnen Laute, bzw. deren Kombinationen werden entweder von einem Menschen bei der Erstellung der Software eingesprochen oder ebenfalls synthetisch (Signalsynthese oder Formantsynthese) erzeugt. Neuere Systeme basieren auf einem umfangreiche Wortschatz an von einem Menschen gesprochenen Worten, so das eine nahezu natürliche Sprache generiert werden kann. Selbst die Herausforderung eine natürliche Sprachmelodie (Prosodie) zu erzeugen, scheinen moderne kommerzielle Systeme zu meistern. Nun erfordert so eine hochqualitative Sprachdatenbank sehr viel Speicherplatz und ist aufwändig und teuer zu produzieren. Trotz allem gibt es im Open-Source-Bereich brauchbare und auch schlanke freie TTS-Programme. Eine sehr Ressourcen-sparende TTS-Software ist eSpeak. Diese Software wurde ursprünglich auf einem Acorn RISC_OS Computer, also auch auf einer ARM-Architektur, entwickelt und eignet sich durch Ihre Kompaktheit, Ausführungsgeschwindigkeit und geringen Speicherbedarf besonders für Embedded Systeme. Außerdem unterstützt eSpeak über 20 Sprachen. An die Aussprache muss man sich etwas gewöhnen, sie ist aber verständlich.

Die auf dem Raspberry-Pi verwendete Debian-Variante Rasbian unterstützt eSpeak out-of-the-box.

Mit

sudo apt-get install espeak

ist die Installation erledigt. Die Ausgabe testen kann man testen, nachdem man das Audiointerface auf den Klinkenstecker per Alsamixer umgestellt hat. Default ist beim Rasberry PI Audioausgabe über HDMI. In /etc/config.txt kann das aber auch fest eingestellt werden.

sudo amixer cset numid=3 1

espeak -vde „hallo welt hier spricht der räspberri pei“

So hört sich das Ergebnis an:

Wenn keine Option -w angegeben wird, gelangt die Ausgabe direkt an das Audio-Device /dev/dsp .

Höhere Sprachqualität mit SVOX-Pico

Eine Alternative mit der derzeit besten Sprachqualität im Open-Source-Bereich stellt die SVOX-Pico-TTS-Engine dar.

So klingt es dann mit svox-pico:

Vielleicht kommt dem einen oder anderen Nutzer die Stimme bekannt vor. SVOX-Pico ist die in den Android-Versionen 2.1-2.3 eingesetzte Default-Sprachausgabe. Die neue, ab der Version 4.0 von Google für Android eingesetzte, TTS-Engine ist leider Closed-Source. Die SVOX-Pico TTS-Engine ist derzeit auch die Default-Engine für meine Wikipedia-Sprachausgabe Pediaphon und unterstützt neben Englisch (UK und US), Deutsch, Französisch auch Italienisch und Spanisch in hoher Qualität. Auf der Pediaphon-Seite können Sie übrigens auch online eigene Texte in Sprache umwandeln.

SVOX-Pico liegt als Open-Source vor, ist auf diverse Linux-Varianten portiert worden und lässt sich z.B. unter Ubuntu einfach mit sudo apt-get install libttspico-utils installieren. Für Raspbian muss das Paket selber kompiliert werden. Alternativ können Sie mein Debian-Paket für Raspbian ARM einfach herunterladen (MD5-Hash: b530eb9ff97b9cf079f622efe46ce513) und mit den Kommandos


apt-get install libpopt-dev
sudo dpkg --install pico2wave.deb

auf dem Rasberry Pi installieren. Das libpopt-dev ist ebenfalls erforderlich.
Mit

sudo amixer cset numid=3 1
pico2wave --lang=de-DE --wave=/tmp/test.wav "hallo welt hier spricht der räspberri pei"; play /tmp/test.wav;rm /tmp/test.wav

können Sie die Sprachausgabe testen.

Mit

sudo apt-get remove pico2wave

kann man das Debian-Paket auch wieder sauber deinstallieren.
Wer selber kompilieren möchte, muss neben know how etwas Geduld mitbringen.
Um die Quellen zu kompilieren ist neben automake auch das libtool erforderlich:

git clone -b upstream+patches git://git.debian.org/collab-maint/svox.git svox-pico
apt-get install automake libtool libpopt-dev
automake
./autogen.sh
./configure
make all
make install

Alternativ kann man auch ein direkt ein Debian-Paket bauen, dass auch sauber wieder aus dem System entfernt werden kann.
Ich habe zusätzlich für mein Binary die GCC-Optionen
-mcpu=arm1176jzf-s -mfpu=vfp -mfloat-abi=hard
passend für den Raspberry Pi angepasst, damit auch die Hardware floation-point Unterstützung genutzt wird.

Um dann z.B. beim Bootvorgang automatisch die IP-Adresse des Pis zu sprechen, habe ich in der /etc/rc.local folgende Kommandos eingefügt:

/usr/bin/amixer cset numid=3 1
/usr/bin/espeak -vde "meine ei pie Adresse lautet $_IP"

Sicherlich lassen sich noch eine Menge anderer sinnvolle Anwendungen für eine Sprachausgabe auf dem PI finden. Mit seinen Sensoren kann der Pi auch als ein preiswertes Hilfsmittel für Blinde-Nutzer eingesetzt werden.

]]>
Stop watching us – IT in Zeiten von PRISM https://blogs.uni-due.de/zim/2013/06/20/stop-watching-us-it-in-zeiten-von-prism/ Thu, 20 Jun 2013 13:11:45 +0000 https://blogs.uni-due.de/zim/?p=1761 Weiterlesen ]]> Welchen Diensten und Anbietern kann man noch trauen? Das fragen sich verunsicherte Nutzer von Datendiensten zurecht im Angesicht der immer neuen Enthüllungen in der  NSA-Affäre bzw. im PRISM-Datenschutzskandal.

Während Experten schon lange vermutet haben, dass Dinge, die technisch möglich sind, von Geheimdiensten auch getan werden (Echelon, mögliche Verbindungen von Facebook zu Geheimdiensten, the guardian 2008),  sind viele begeisterte Nutzer von Web2.0-Diensten nun in Sorge um ihre Privatsphäre.  Das Ausmaß des PRISM-Skandals ist erschreckend, da offensichtlich viele Anbieter von Diensten und Betriebssytemen betroffen sind.

Update: Welche gesellschaftliche Auswirkungen die PRISM-Überwachung haben kann, wird in diesem Youtube-Video eindrücklich und unterhaltsam visualisiert.

Es gibt aber für alle Dienste Alternativen. Etwas Informationsbeschaffung und ein wenig Verzicht auf Bequemlichkeit hilft die Privatsphäre zu stärken und den Datenschutz zu gewährleisten. Unter prism-break.org werden derzeit datenschutzkonforme Alternativen zu vielen Diensten gesammelt und vorgeschlagen.

Was kann der Einzelne nun für seine Privatsphäre tun?

  • Benutzen Sie nicht mehr Google als Standardsuchmaschine.
    Verwenden Sie einfach DuckDuckGo.  Diese Maschine erlaubt eine anonyme Suche und legt kein Nutzerprofil an. Sie üben mit einer solchen Entscheidung Druck auf Google aus, mit den Daten der Nutzer datenschutzkonform umzugehen. Firmen wie Google leben von dem Vertrauen Ihrer Nutzer und werden durch die Abwanderung der Kunden gezwungen, sich dem PRISM-Programm  entgegenzustellen.
  • Vorsicht bei Cloud-Diensten.
    Wenn Sie überhaupt Cloud-Speicherdienste benutzen, verschlüsseln Sie Ihre Daten in einem Truecrypt-Container. Verwenden Sie Alternativen, wie z.B. OwnCloud. In einem durch die Uni Münster initierten Projekt, an dem auch das ZIM teilnimmt, wird übrigens derzeit ein Dropbox-ähnlicher Cloud-Speicher, basierend auf OwnCloud, realisiert. Dieser Dienst wird zukünftig allen Hochschulangehörigen zur Verfügung stehen.
  • Verschlüsseln Sie Ihre Daten.
  • Nehmen Sie Einfluss!
    Wenn Ihnen Ihre Privatsphäre wichtig ist, engagieren Sie sich und machen Sie Ihren Standpunkt bei Ihren Abgeordneten in den Parlamenten deutlich! Update: Schützen Sie Edward Snowden indem Sie die Affäre weiter verfolgen.
  • Verschlüsseln Sie Ihre Kommunikation.
    Chat: Benutzen Sie nicht WhatsApp/Facebook Chat/Google Talk sondern Off-the-Record Messaging.
    Mail: Signieren Sie Ihre Mail. Wenn erforderlich verschlüsseln Sie Ihre Mail.
  • Vorsicht in sozialen Netzwerken.
    Hinterlassen Sie dort keine Daten, die potentielle Arbeitgeber interessieren könnten. Alles war Sie beispielsweise bei Facebook hinterlassen, wird niemals wirklich gelöscht (auch Chat wird aufgezeichnet).
  • Meiden Sie Facebook.
    Dieser Anbieter geht nicht datenschutzkonform mit Ihrer Privatsphäre um. Verwenden Sie diese Alternativen. Schreiben Sie in den sozialen Netzwerken nichts, was Sie nicht auch öffentlich sagen würden.
  • Verwenden Sie Open Source Betriebssysteme (Linux FreeBSD).
    Quelloffene Software kann von Experten auf verborgene Hintertüren oder (viel häufiger) Programmierfehler hin untersucht werden. Bei kommerzieller Closed Source Software müssen Sie auf Gedeih und Verderb dem Anbieter vertrauen, dass Sicherheitslöcher wirklich geschlossen werden und dass keine Zugänge für Geheimdienste eingebaut sind.
    Der Umstieg ist häufig viel einfacher als Sie denken. Wenn Sie Ihren Rechner überwiegend für Office-Anwendungen, E-Mail-Kommunikation und für das Web benutzen, müssen Sie sich nicht umgewöhnen. Wenn Sie mit kommerziell interessanten Forschungsdaten arbeiten, sollten Sie sich fragen ob Sie Betriebssystemen von Microsoft oder Apple diese Daten noch anvertrauen können.
  • Geben Sie niemals Ihre Passwörter weiter!
    Das ZIM/die Hochschule bittet Sie niemals per Mail um eine Passworteingabe. Verwenden Sie niemals gleiche Passwörter für verschiedene Dienste. Lassen Sie niemals Dienste wie z.B. Linkedin (Facebook, Google … etc.) per E-Mail-Passwort-Login in Ihr E-Mail Konto schauen. Sie geben damit Ihren Account aus der Hand und geben die E-Mailadressen Ihrer Kontakte an den Anbieter weiter. Wenn Sie eduroam auf einem Android-Gerät nutzen und Ihr WLAN-Profil bei Google speichern, geben Sie Ihr Uni-Passwort bei Google ab.
    UPDATE 19.7.: Der letzte Satz gewinnt traurige Aktualität, da Google wohl die WLAN-Passwörter bei der Datensichrung unverschlüsselt überträgt und auch unverschlüsselt auf seinen Servern ablegt.
Android_Daten_sichern_bei_Google

Wer auf einem Android-Smartphone Eduroam konfiguriert hat und unter „Einstellungen“ – „Sichern & zurücksetzen“ bei „Meine Daten sichern“ einen Haken eingetragen hat, muss schnellstens sein Uni-Passwort ändern und vorher diesen Haken entfernen! Bei alten Android-Versionen steht das unter „Einstellungen“ – „Datenschutz“.

Was tut das ZIM?

In der  Diskussion um Verlagerung von Diensten in die Cloud werden vom ZIM immer datenschutzkonforme Private Cloud Lösungen als Alternative vorgeschlagen. Daten von Hochschulangehörigen dürfen nicht auf Servern außerhalb Europas gehostet werden, da sonst kein europäisches Datenschutzrecht zur Anwendung kommt.

Einen Dienst, den wir alle benutzen und den es schon viel länger gibt als das Web, ist E-Mail. Auch bei Konfiguration von POP3 und SMTP über SSL bzw. TLS-Verschüsselung, kann nicht von einer sicheren Ende-zu-Ende-Verschlüsselung ausgegangen werden. Auf den Mailbox-Servern Ihres Providers, auch im ZIM, sind ihre Mails immer unverschlüsselt gespeichert. Wenn Sie ein Postfach auf Servern des ZIM verwenden, können Sie aber sicher sein, dass nach den Regeln deutscher Datenschutzgesetzgebung vorgegangen wird. In Deutschland ansässige Provider, wie GMX und Web.de, sind sicherlich viel vertrauenswürdiger, als beispielsweise Google Gmail. Das aktuell propagierte DE-Mail als verbindliche Kommunikation zwischen Ämtern und Bürgern realisiert aber keine sichere Ende-zu-Ende-Verschlüsselung, was Experten seit langer Zeit kritisieren.

Das ZIM stellt für fast alle angebotenen Dienste auch Konfigurationsanleitungen für Open Source Alternativen zur Verfügung. Wir beraten Sie gerne!

]]>
Dienstfahrt einmal anders – unterwegs am Campus mit Fahrrad und App – jetzt (2016) auch für Studierende! https://blogs.uni-due.de/zim/2012/09/11/dienstfahrt-einmal-anders-unterwegs-am-campus-mit-fahrrad-und-app/ https://blogs.uni-due.de/zim/2012/09/11/dienstfahrt-einmal-anders-unterwegs-am-campus-mit-fahrrad-und-app/#respond Tue, 11 Sep 2012 12:53:52 +0000 https://blogs.uni-due.de/zim/?p=1526 Weiterlesen ]]> UPDATE 2016:

Der AStA der UDE hat mit Metropolrad Ruhr vereinbart, dass alle Studierenden die Leihräder jeweils für eine Stunde täglich kostenlos nutzen können. Auch Promotionsstudierende können die Räder für eine Stunde kostenlos nutzen. Für die Registrierung bei Metropolrad Ruhr ist eine stud.uni-due.de-Mailadresse erforderlich, die Promotionsstudierende besitzen, wenn sie vorher an der UDE studiert haben. Promotionsstudierende, die als wiss. Mitarbeiter/in oder WHK beschäftigt sind und vorher nicht an der UDE studiert haben, verfügen ausschließlich über eine uni-due.de-Mailadresse. Diese Studierenden können formlos über hotline@uni-due.de zusätzlich eine stud.uni-due.de-Mailadresse beantragen. Die primäre Adresse uni-due.de bleibt dabei erhalten und beide Adressen können genutzt werden.

Die in diesem Blogartikel von 2012 beschriebene App wird nicht weiter gepflegt. Ich empfehle die Nutzung der Nextbike-App auf Google Play:

https://play.google.com/store/apps/details?id=de.nextbike&hl=de

bzw. für das iPhone: https://itunes.apple.com/de/app/nextbike/id504288371?mt=8

Die günstigen Modalitäten für VRR-Ticket-InhaberInnen gelten seit 2015 leider nicht mehr. Das Ausleihprozedere hat sich nicht geändert und wird in dem alten Blogartikel gut erklärt:

Nicht nur die beiden Campi der Universität Duisburg-Essen sind etwas weiter voneinander entfernt, auch an den Standorten verfügt die Universität über verteilte Einrichtungen. Wenn häufig verschiedene entfernte Gebäude der Hochschule besucht werden müssen, bietet sich neben öffentlichen Verkehrsmitteln auch das Fahrrad als ökologisches und nachhaltiges Verkehrsmittel an. Wer mit dem Auto oder per ÖPNV anreist, hat aber meist kein Fahrrad zur Hand. Ein Dienstfahrrad wäre für diesen Einsatzbereich perfekt. An der Hochschule gibt es neben der Initiative FAHR RAD UDE! auch weitere Initiativen zur Nachhaltigkeit . Die FAHR RAD UDE! verbreitet übrigens Neuigkeiten für Fahrradnutzer in einem eigenen Newsletter. Aber es gibt jetzt ja an vielen Standorten im Ruhrgebiet das „metropolradruhr. Auch an beiden Campi und in der Nähe anderer Standorte sind neuerdings metropolradruhr Leihräder vorhanden.

Dienstfahrt mit  Leihfahrrad

Dienstfahrt mit Leihfahrrad vom Hauptcampus Essen zur Schützenbahn

Duisburg Uni-Nord Lotharstraße: Stationsnummer: 7421, Uni Lotharstraße / Walramsweg: Stationsnummer: 7422

Essen Universität: Stationsnummer: 7561, Universitätsstraße:  Stationsnummer: 7520, Viehofer Platz: Stationsnummer: 7504

Weniger bekannt ist vielleicht, dass Inhaber eines VRR-Tickets (Ticket1000, Ticket2000, Firmenticket) täglich eine halbe Stunde kostenlos eines der Räder benutzen können. In Essen gibt es derzeit eine Sonderaktion „Stadtradeln in Essen“ (bis zum 22. September 2012 bis zu 24h kostenlos radeln, Gutscheincode 937937 im Kundenkonto eingeben). Ein besonderer Vorteil für das Szenario Dienstfahrt ist die Möglichkeit ein Fahrrad an einer anderen Station wieder abzugeben.

Die Nutzung nach Anmeldung bei www.metropolradruhr.de erfolgt bequem per Mobiltelefon. Als Bezahlverfahren sind Kreditkartenzahlung oder Bankeinzug vorgesehen. Die Zahlung per Kreditkarte kann bei diesem Anbieter allerdings nicht wirklich empfohlen werden, da im Zuge der Anmeldung eine Art Online-Konto bei einem Zahlungsdienstleister mit Namen Worldpay eingerichtet wird. Alternativ ist auch eine Anmeldung an VRR-Kundenzentren und Tourist Informationen möglich. Bei der Anmeldung sollte eine Mobilfunknummer oder eine E-Mailadresse angegeben werden (leider ist beides optional), da sonst eine sinnvolle Nutzung nicht möglich ist.

metroporadruhr-Station an der Uni Duisburg-Essen

metropolradruhr-Station am Viehofer Platz, Uni Duisburg-Essen

Ausgeliehen wird ein Rad einfach per Anruf, in einem einfachen Sprachmenü wird die Radnummer eingegeben und die Nummer des Zahlenschlosses wird angesagt. Zur Sicherheit wird der Schlosscode auch noch per SMS übermittelt. Die Rückgabe erfolgt dann auch einfach per Anruf an der Zielradstation. Tatsächlich fahren Mitarbeiter des Anbieters umher, warten die Fahrräder und sorgen dafür, dass der Schlosscode regelmäßig geändert wird.

bikein Andoid-App für metroporadruhr

bikekin Andoid-App für metropolradruhr

Besonders spannend wird die Nutzung der Leihräder aber erst für die Nutzer moderner Smartphones. Vom Betreiber Nextbike bereitgestellte Apps für Android und iPhone, bzw. eine für Andoid empfehlenswerte App eines Fremdanbieters (bikekin) ermöglichen eine sehr komfortable Ausleihe über das mobile Internet. Die Suche nach der nächstgelegenen Station mit aktueller Fahrradbelegung ist ebenso integriert wie neuerdings die komfortable Schnellausleihe per QR-Code.

metropolradruhr jetzt mit Schnellausleihe per QR-Code

metropolradruhr jetzt mit Schnellausleihe per QR-Code

Auch die Rückgabe erfolgt über das Internet, so dass keine Kosten für ein Telefonat anfallen. Interessanterweise arbeitet Metropolradruhr, bzw. die sich dahinter verbergende Firma Nextbike deutschlandweit, so dass in vielen Städten problemlos Fahrräder ausgeliehen werden können (selbst ausprobiert in Nürnberg und Berlin). Im Ruhrgebiet wird derzeit das Angebot stark ausgebaut. Neuerdings sind auch alle Stationen mit einem eTicket-RFID-Reader ausgestattet, so dass dort mit dem Ticket direkt ausgeliehen und zurückgegeben werden kann. Auch eine Anmeldung ist dort nun möglich. Die Radstationen verfügen dazu über ein Mobilfunkdatenmodem und werden per Solarzellen mit Strom versorgt.

Doppelt nachhaltig - metropolradruhr-Station mit RFID-Kartenleses und Sonnensegel

Doppelt nachhaltig – metropolradruhr-Station mit RFID-Kartenleser und Sonnensegel

Wer bei der Dienstfahrt ins Schwitzen gerät, dem stehen als Angebot des Hochschulsports Dusch- und Umkleidemöglichkeiten für Radfahrer an beiden Campi zur Verfügung!

]]>
https://blogs.uni-due.de/zim/2012/09/11/dienstfahrt-einmal-anders-unterwegs-am-campus-mit-fahrrad-und-app/feed/ 0
Raspberry Pi versus Cray XT 6m Supercomputer – MD5-Hash-Kollisionen berechnen mit dem Raspberry Pi https://blogs.uni-due.de/zim/2012/08/20/raspberry-pi-versus-cray-xt-6m-supercomputer-%e2%80%93-md5-hash-kollisionen-berechnen-mit-dem-raspberry-pi/ https://blogs.uni-due.de/zim/2012/08/20/raspberry-pi-versus-cray-xt-6m-supercomputer-%e2%80%93-md5-hash-kollisionen-berechnen-mit-dem-raspberry-pi/#respond Mon, 20 Aug 2012 16:23:13 +0000 https://blogs.uni-due.de/zim/?p=1496 Weiterlesen ]]> Der Raspberry Pi ist ein kleines Board mit ARM11- Prozessor (ein ARM1176JZF-S um genau zu sein, mit ARMv6 Befehlssatz), welches über einen 100 Mbit Ethernet-Port, HDMI, Analog Video, GPIO-Pins, SPI, I²C, UART und zwei USB-Schnittstellen verfügt. Der Prozessor ist übrigens identisch mit der im Apple iPhone der ersten Generation verbauten CPU.

Das kommt in der Verpackung, eine SD-Karte ist nicht dabei.

Das kommt in der Verpackung, eine SD-Karte ist nicht dabei.

Das Besondere ist der Preis, der Raspberry Pi kostet nur 25-30$ und ist für den Einsatz in Schulen vorgesehen. In England ist er inklusive T-Shirt und Versand nach Deutschland für 34 € zu haben. Aufgrund seiner niedrigen Leistungsaufnahme von nur 3,5 Watt (lüfterlos und ohne Kühlkörper), seiner geringen Größe (etwa Kreditkartenformat, aber durch die Konnektoren ca. 1,5 cm hoch) und des günstigen Preises eignet sich der Raspberry Pi für energiesparende Eigenentwicklungen wie etwa ein NAS, einen kleiner Router oder ein eigenes kleines Mediacenter. Als Massenspeicher fungiert eine SD-Karte, die beispielsweise mit einer angepassten Linux-Version, wie z.B. Raspbian “wheezy”, einem modifizierten Debian, bespielt werden kann.

Die Verwendung der angepassten Distribution ist sehr zu empfehlen, da diese Version im Gegensatz zu den Debian-ARM Versionen die Hardware Floating-Point-Unterstützung des ARM11 auch wirklich ausnutzen. Bei der Übersetzung von Source-Paketen sollte auch immer die GCC Compiler-Optionen

-mcpu=arm1176jzf-s -mfpu=vfp -mfloat-abi=hard

angegeben werden, damit wirklich die Hardware-Floating-Point Unterstützung aktiviert wird. Ansonsten werden die Floating-Point-Operationen per Library in Software durchgeführt, was naturgemäß sehr viel länger dauert (Faktor 10). Die Ubuntu-Arm Distribution ist übrigens nicht für den Raspberry Pi geeignet, da sie als Mindestanforderung den ARMv7-Befehlssatz (ab ARM Cortex A8) voraussetzt.

Kleine ARM-Kunde und Tablet-Tipps

ARM-Prozessoren, bzw. von den Herstellern in System on  a Chip (SoC)  integrierte ARM-Kerne, treiben übrigens so ziemlich alle aktuellen Android Smartphones und Tablets an. Auch die Apple-A5 SoC im iPhone und iPad verwenden ARM-Prozessorkerne. Übrigens sind neben dem Hauptprozessor für die Benutzerschnittstelle (auf dem das Android oder das  iOS läuft) auch fast immer mehrere zusätzliche ARM-Kerne in einem Mobiltelefon verbaut. Leistungsschwächere, aber energiesparende “kleinere” ARM-Varianten werden beispielsweise für den Kommunikationsprozessor (das “Radio”) des Telefons eingesetzt, welcher die GSM und UMTS-Kommunikation abwickelt. Auch in fast allen Bluetooth-Chipsätzen und  GPS-Chipsätzen steckt jeweils ein weiterer kleiner ARM-Kern. Die Wahrscheinlichkeit ist also sehr hoch, dass in Ihrem Smartphone vier oder mehr ARM-Kerne in Chipsätzen “verbaut” sind.

Die Nummerierung der Befehlssätze ARMvX darf nicht mit der der Bezeichnung der Architektur verwechselt werden, siehe auch http://de.wikipedia.org/wiki/ARM-Architektur. Übrigens findet sich hier eine schöne Zuordnung von ARM-Befehlssatzversionen zu den korrespondierenden ARM-Architekturen und den zugehörigen Handelsnamen der SoC ARM-Implementierungen einiger Hersteller. Diese Aufstellung kann bei der Auswahl eines Android-Tablets in Hinsicht auf zu erwartende CPU-Leistung sehr hilfreich sein. (Unterhalb Cortex A8 – Finger weg!)  Brauchbare Tablets mit Cortex A8 sind schon für knapp über 100 Euro erhältlich. Eine dem iPad 3 vergleichbare Performance kann aber erst einem Cortex A9 basierten Gerät mit mehreren Kernen abverlangt werden.

MD5-Hash-Kollision

Um die Leistungsfähigkeit der ARM11-Prozessors auf die Probe zu stellen, wurde kein klassischen Benchmark eingesetzt, sondern die MD5 Collision Demo von Peter Selinger für den Raspberry Pi kompiliert. Hier bei handelt es sich um einen Algorithmus, der einen Angriff auf einen MD5 Hashwert vornimmt und eine Kollision erzeugt. Mit so einer Hash-Kollision kann zweites Dokument oder ein zweites Binary erzeugen werden, dass einen identischen MD5 Hash zu einer Originaldatei besitzt. Der Algorithmus startet immer mit einem Zufallswert für die Berechnung einer Hash-Kollision, so dass es immer unterschiedlich lange dauert bis eine Kollision gefunden wird. Startet man den Prozess aber mehrmals auf einer Maschine mit mehreren Kernen, so steigt die Wahrscheinlichkeit recht schnell an ein Ergebnis zu kommen. Der Algorithmus parallelisiert also nicht die selber die Berechnung, sondern profitiert vom abweichenden Zufallsstartwert auf jedem Kern.

PC versus …

Getestet wurde zunächst mit einem single core Atom Netbook (2 Stunden 46 Minuten) und dann mit einer 8-Kern-Maschine (zwei Xeon Quad Core Prozessoren), dem Publikumsrechner des ZIM für Mitarbeiter der Hochschule. Diese Maschine benötigte nur 16 Minuten und 6 Sekunden um eine Kollision zu finden. Wohlgemerkt einer der Kerne hatte eine Kollision gefunden, der letzte Kern benötigte fast drei Stunden. (siehe Abbildung)

Das top-Kommando ("1" für die Ansicht aller Kerne)

Das top-Kommando ("1" für die Ansicht aller Kerne)

… CRAY versus ….

Den Cray XT 6m Supercomputer der Universität Duisburg-Essen konnte ich bereits im Juni 2010 mit der gleichen „Rechenaufgabe“ testen. Ich hatte seinerzeit allerdings nur 300 der insgesamt 4128 Kerne zur Verfügung, einer der Kerne fand nach 56 Sekunden eine Hash-Kollision. Auf der Cray kann ein Job automatisiert auf allen zur Verfügung stehenden Kernen gestartet werden.

… Raspberry PI

Und der gute Raspberry Pi? Ein Testlauf brachte nach 30 Stunden und 15 Minuten eine Hash-Kollision zum Vorschein. Wie beschrieben, es handelt sich um keinen wirklichen Benchmark. Zwei weitere Durchgänge endeten nach 19Stunden 10 Minuten und 29 Stunden und 28 Minuten. Aber wie sieht denn nun die Energiebilanz des Raspberrys im Vergleich mit der Cray aus?

Preiswerter und leiser als ein Cray Supercomputer bei etwa gleichem Energieverbrauch bezogen auf die Rechenleistung

Preiswerter und leiser, aber auch sehr viel langsamer als ein Cray Supercomputer bei etwa gleichem Energieverbrauch bezogen auf die Rechenleistung

Die zwei Cray-Schränke an der Universität Duisburg-Essen benötigen je 40kW und die erzeugte Wärme per Klimatisierung abzuführen wird jeweils die gleiche Leistung benötigt. Also insgesamt 160 KW bzw. umgerechnet auf den im Experiment genutzten Anteil der 300 Kerne ca. 11.6 KW. Der Energieverbrauch in 56 Sekunden beträgt dann 0,18 KWh. Der Raspberry Pi nimmt eine Leistung von 0,0035 KW auf und verbraucht daher in 30,25 Stunden 0,106 KWh. Wenn man die Klimatisierung nicht berücksichtigen würde, ergäbe sich überraschenderweise ein etwa ähnlicher Energieverbrauch pro Rechenleistung!

]]>
https://blogs.uni-due.de/zim/2012/08/20/raspberry-pi-versus-cray-xt-6m-supercomputer-%e2%80%93-md5-hash-kollisionen-berechnen-mit-dem-raspberry-pi/feed/ 0
eduroam: mobil unterwegs – überall verbunden https://blogs.uni-due.de/zim/2012/06/03/eduroam-mobil-unterwegs-uberall-verbunden/ Sun, 03 Jun 2012 13:00:33 +0000 https://blogs.uni-due.de/zim/?p=1422 Weiterlesen ]]> Wer als Universitätsangehöriger auf Reisen geht, ist oft auf einen Internet-Zugang angewiesen. Dies ist auch gerade dann notwendig, wenn Daten in der „Uni-Cloud“ (https://blogs.uni-due.de/zim/2011/03/09/die-zim-cloud-oder-zim-in-the-cloud/) der eigenen Universität abgelegt werden. Diese Daten können Dateien auf Fileservern, E-Mails oder auch und Kontaktdaten sein.

Die meisten Hochschulen Deutschlands bilden über den DFN einen WLAN-Verbund, der es ermöglicht, dass Universitätsangehörige das WLAN anderer Universitäten mit nutzen können. Dieses DFNRoaming (http://www.dfn.de/dienstleistungen/dfnroaming/) hört aber nicht an den Grenzen Deutschlands auf, sondern mit eduroam (http://www.eduroam.org/) steht auch ein Netzzugang im europäischen und außereuropäischen Ausland zur Verfügung. Die geografischen Räume sind: USA, Canada, Europa und der asiatisch-pazifische Raum.

Basis für die Nutzung ist immer die eigene Unikennung. Über diese und die Heimat-Universität erfolgt die Authentifizierung und damit der Zugang zum Gast-WLAN.

Wer könnte besser erläutern, was eduroam ist und wie das grundsätzliche Vorgehen bei der Nutzung ist, als eduroam selbst. Hierzu wurde eine Animation erstellt:

[youtube]http://www.youtube.com/watch?v=TVCmcMZS3uA[/youtube]

Doch wie findet man den nächsten Zugang, wo ist die nächste Hochschule, wie weit ist es noch bis dahin? Hierfür gibt es seit einiger Zeit mobile Lösung. Zwei Apps, die die eduroam-Universitäten anzeigen stehen zur Verfügung:

eduroam-companion (in der iOS-Version) bietet vom Funktionsumfang genau das, was zum Finden des nächsten Zuganges nötig ist. Die Datenbank wird regelmäßig aktualisiert und beim Start der App wird auf dem Startbildschirm darüber informiert. Die verfügbaren WLANs werden der Entfernung nach ausgegeben. Eine Kartenansicht ist vorhanden und über die Handy-eigenen Mechanismen erfolgt auch eine Navigation zur gespeicherten Adresse.

Wo Sie WLAN an der UDE finden und wie Sie es einrichten, ist auf den Seiten des ZIM zu finden: http://www.uni-due.de/zim/services/wlan/.

]]>