Die Wurzeln des Pestizid-Paradoxons liegen in der Landwirtschaft. Wenn ein Bauer ständig dasselbe Pestizid verwendet, um seine Ernte zu schützen, entwickeln schließlich die Schädlinge, die überleben, eine Immunität gegen dieses spezifische Pestizid. Im Laufe der Zeit verliert das Pestizid seine Wirksamkeit. Analog dazu, in der Softwareentwicklung, wenn Entwickler und Tester immer wieder dieselben Tests anwenden, werden sie nur die Fehler finden und beheben, die diese Tests identifizieren können.

Das Pestizid-Paradoxon in der Softwareentwicklung verweist also auf die Notwendigkeit, kontinuierlich neue und verschiedene Testfälle zu erstellen. In der modernen agilen Entwicklung (Siehe Beitrag „Agiles Manifest„), bei der man Software kontinuierlich ändert und verbessert, muss das Testen Schritt halten und sich anpassen.

Mit der Zeit entdecken Testfälle weniger und weniger Bugs, genau wie Pestizide, die ihre Wirksamkeit gegen Schädlinge verlieren. Um Qualität und Sicherheit zu gewährleisten, muss man die Testszenarien daher regelmäßig überprüfen und aktualisieren. Ebenso muss man neue Tests entwickeln, um auf veränderte oder neue Funktionen zu reagieren.

Ein weiterer zentraler Aspekt des Pestizid-Paradoxons in der Softwareentwicklung ist die Notwendigkeit einer vielfältigen Teststrategie. Dazu gehören Funktionstests, Integrationstests, Leistungstests, Sicherheitstests und Benutzerakzeptanztests. Ein vielfältiges Test-Portfolio, das verschiedene Aspekte und Ebenen der Software abdeckt, erhöht die Wahrscheinlichkeit, dass mehr Fehler entdeckt und behoben werden.

Das Pestizid-Paradoxon ist somit eine starke Erinnerung daran, dass Veränderung in der Softwareentwicklung nicht nur unausweichlich, sondern notwendig ist. Es lehrt uns, dass wir uns nicht auf bewährte Testverfahren verlassen sollten. Es macht Sinn, ständig neue Methoden und Ansätze zu entwickeln und anzuwenden, um Softwarequalität und -sicherheit zu gewährleisten.

Der Beitrag Pestizid-Paradoxon – Resistenz von Bugs und Fehlern erschien zuerst auf CEOsBay.

Was ist ein Test-Harnisch?

Ein Test-Harnisch (engl. test harness) ist ein Framework oder eine Sammlung von Tools, die dazu beitragen, das Testen von Softwareanwendungen zu automatisieren, zu koordinieren und zu überwachen. Im Wesentlichen stellt ein Test-Harnisch eine Umgebung bereit, in der Entwickler und Tester den Code einer Anwendung testen und sicherstellen können, dass er korrekt funktioniert und die Anforderungen erfüllt. Man kann Test-Harnische sowohl für manuelles als auch für automatisiertes Testen verwenden.

Funktionsweise eines Test-Harnisch

Ein Test-Harnisch besteht aus vier Hauptkomponenten:

1. Testtreiber: Der Testtreiber ist für die Ausführung der Tests verantwortlich. Er stellt die Schnittstelle zur Verfügung, über die die Tester die Testfälle ausführen und die Ergebnisse erfassen können.
2. Testdaten: Testdaten sind die Eingaben, die man während des Testprozesses verwendet. Sie bestehen in der Regel aus verschiedenen Datentypen, die man verwendet, um die verschiedenen Funktionen und Komponenten der Anwendung zu testen.
3. Testskripte: Testskripte sind Skripte, die den Testprozess automatisieren. Sie enthalten Anweisungen, wie die Tests ausgeführt und die Analyse der Ergebnisse stattfinden soll.
4. Testergebnisse: Testergebnisse sind die gesammelten Informationen, die aus dem Testprozess resultieren. Sie enthalten Daten über die Leistung der Anwendung, Fehler, die während des Testprozesses aufgetreten sind, und Informationen über die Korrektheit der Funktionen.

Vorteile von Test-Harnischen

• Automatisierung: Test-Harnische automatisieren den Testprozess und reduzieren so den Zeitaufwand und die Mühe, die mit manuellem Testen verbunden sind. Dies ermöglicht es Entwicklern und Testern, sich auf die Analyse der Testergebnisse und die Verbesserung der Softwarequalität zu konzentrieren.
• Wiederverwendbarkeit: Test-Harnische ermöglichen es, Testfälle und Testdaten wiederverwendbar zu gestalten, sodass man sie in verschiedenen Projekten und Anwendungen einsetzen kann.
• Vereinfachung: Test-Harnische vereinfachen den Testprozess, indem sie alle Testaktivitäten zentralisieren und eine einheitliche Testumgebung bereitstellen.
• Effizienz: Test-Harnische steigern die Effizienz des Testprozesses, indem sie die Testabdeckung erhöhen, den Testaufwand reduzieren und eine schnellere Fehlerbehebung ermöglichen.
• Kontinuierliche Integration: Test-Harnische unterstützen kontinuierliche Integration (CI) und kontinuierliche Bereitstellung (CD) in der Softwareentwicklung, indem sie die automatisierte Ausführung von Tests bei jedem Commit oder Build sicherstellen. Siehe hierzu den Beitrag über CI/CD.
• Berichterstattung und Analyse: Test-Harnische bieten umfangreiche Berichtsfunktionen, die es Entwicklern und Testern ermöglichen, den Fortschritt und den Status der Tests zu überwachen, Fehler und Schwachstellen schnell zu identifizieren und fundierte Entscheidungen über die Softwarequalität zu treffen.

Gängige Test-Harnisch-Tools in der Softwarebranche

Es gibt viele Test-Harnisch-Tools und Frameworks auf dem Markt, die verschiedene Programmiersprachen und Anforderungen unterstützen. Einige der bekanntesten sind:

JUnit: JUnit ist ein weit verbreitetes Testframework für Java-Anwendungen, das Test-Harnisch-Funktionalitäten wie Testausführung, Testdatenverwaltung und Ergebnisberichterstattung bietet.

TestNG: TestNG ist ein Testframework für Java-Programme, das auf JUnit basiert und erweiterte Funktionen wie Paralleltestausführung, Testkonfiguration und flexible Testskripterstellung bietet.

NUnit: NUnit ist ein Testframework für .NET-Anwendungen, das Test-Harnisch-Funktionen wie Testausführung, Testdatenverwaltung und Berichterstattung bietet.

Pytest: Pytest ist ein Testframework für Python-Anwendungen, das Test-Harnisch-Funktionalitäten wie Testausführung, Testdatenverwaltung und Ergebnisberichterstattung bietet.

Jasmine: Jasmine ist ein Testframework für JavaScript-Anwendungen, das Test-Harnisch-Funktionalitäten wie Testausführung, Testdatenverwaltung und Ergebnisberichterstattung bietet.

Fazit

Test-Harnische spielen eine entscheidende Rolle in der Softwareentwicklung, indem sie den Testprozess automatisieren, vereinfachen und effizienter gestalten. Durch den Einsatz von Test-Harnischen können Entwickler und Tester sicherstellen, dass ihre Anwendungen die gewünschte Qualität erfüllen und potenzielle Fehler frühzeitig identifiziert und behoben sind, bevor der Release stattfindet. Mit der wachsenden Anzahl von Test-Harnisch-Tools und Frameworks auf dem Markt können Entwickler und Tester leicht eine Lösung finden, die ihren spezifischen Anforderungen und Projektzielen entspricht.

Der Beitrag Test-Harnisch – Qualität und Zuverlässigkeit von Anfang an durch effektive Teststrategien erschien zuerst auf CEOsBay.

Es stützt sich auf XML zur Repräsentation der Daten und auf Internet-Protokolle der Transport- und Anwendungsschicht zur Übertragung der Nachrichten. Die gängigste Kombination ist SOAP über https (Hypertext Transfer Protocol) und TCP (Transmission Control Protocol). Man kann SOAP auch über das SMTP (Simple Mail Transfer Protocol) oder JMS (Jakarta Messaging) verwenden.

Die mit der Nachricht übermittelten Nutzdaten man nicht zwingend in XML senden. Andere Formate wie Base64 oder CSV sind ebenfalls möglich. Seit Version 1.2. nutzt man die Abkürzung SOAP offiziell nicht mehr als Akronym, da es erstens (subjektiv) keineswegs einfach (Simple) ist und zweitens nicht nur dem Zugriff auf Objekte (Object Access) dient.

Kurze Zeitreise

SOAP entstand aus der Weiterentwicklung der Spezifikation für XML-RPC im Jahr 1998. Hauptverantwortlicher Software-Entwickler damals Dave Winer und seine Firma UserLand Software in engem Austausch mit Microsoft. Dave Winter ist übrigens auch für RSS 2.0 verantwortlich. Einen Beitrag über RSS findet man hier.

Im Jahr 1999 fand die Veröffentlichung der Version 1.0 von SOAP statt. Dies stellt unter Anderem den Zeitpunkt dar, an dem die Entwicklung mehr Unterstützung fand. Vor allem hat sich IBM im Jahr 2000 der Entwicklung angeschlossen, was dazu führte, dass IBM, Microsoft, DevelopMentor (Don Box) und UserLand Software (Dave Winer) die Spezifikation von SOAP 1.1 beim World Wide Web Consortium (W3C) einreichten. Dabei hat man das Ziel verfolgt, eine Arbeitsgruppe zu gründen, die SOAP weiterentwickeln sollte. Das Ergebnis dieser Arbeitsgruppe ist SOAP Version 1.2, empfing im Juni 2003 die Anerkennung als recommendation (Empfehlung).

Wie zu Beginn des Beitrags erwähnt, hat man SOAP nicht mehr als gebräuchliche(s) Akronym bzw. Abkürzung verstanden. Der Hauptgrund dafür ist die Tatsache, dass sämtliche Deutungen für SOAP, wie Simple Object Access Protocol oder Service Oriented Architecture Protocol, nicht mehr den vollständigen Sinn von SOAP trafen. Dies ermöglichte die Anmeldung von SOAP als Markennamen in den USA.

Wie funktioniert SOAP?

SOAP ist wie zuvor beschrieben, ein Protokoll zum Austausch XML-Information-Set-basierter Nachrichten über ein Rechnernetz und hat den Status einer W3C-Empfehlung. Es stellt Regeln für das Nachrichtendesign auf. Regelt, wie Daten in der Nachricht abzubilden und zu interpretieren sind. Es gibt eine Konvention für entfernte Prozeduraufrufe mittels SOAP-Nachrichten vor. SOAP macht keine Vorschriften zur Semantik applikationsspezifischer Daten, die man gegebenenfalls versendet möchte, sondern stellt ein Framework (Siehe meinen Beitrag) zur Verfügung, welches erlaubt, dass man beliebige applikationsspezifische Informationen übertragen kann.

Man kann SOAP für entfernte Prozeduraufrufe ebenso nutzen wie für einfache Nachrichtensysteme. Zum Senden von Nachrichten kann man beliebige Transportprotokolle verwendet. Dazu gehören beispielsweise FTP, SMTP, https oder auch JMS. Aus Gründen der Kompatibilität nutzt man in der Praxis hierzu gängige Netzwerk-Architekturen. Auch ist mittels https die verschlüsselte Übertragung von SOAP-Nachrichten möglich. Das ermöglicht jedoch keine End-to-End-Verschlüsselung. Dies kann man durch WS-Security erreichen. Die Einbindung erfolgt lediglich auf der Ebene der Nachrichten und nicht auf der des unterliegenden Transportprotokolls. Folglich ist es so, dass man das XML Information Set der SOAP-Anfrage bei Nutzung von https(S) im Body eines https POST Requests als XML an eine gegebene URL schickt.

In der Regel setzt man SOAP da ein, wo der direkte Zugang fremder Systeme zu einer Informationsquelle nicht sinnvoll erscheint. Dies kann sowohl an Kompatibilitätsproblemen zwischen verschiedenen Anwendungsarchitekturen liegen aber auch an diversen Sicherheitsaspekten. So kann man einen (partiellen) Zugriff auf eine Datenbank ermöglichen, ohne dem Anwenderprogramm den direkten Zugang zu ermöglichen. Die Menge der ausführbaren Methoden reglementiert und definiert man über die SOAP-Schnittstelle.

Die Kommunikation mit SOAP ermöglicht die Kopplung von Systemen. Der offene Entwurf ermöglicht jedoch lediglich den Aufbau schwach gekoppelter Systeme. Die Flexibilität des Konzeptes erkauft man sich durch die Nachteile beim Übertragungsvolumen und Rechenaufwand. Dies kann teuer werden, da man das XML-Dokument beim Sender zunächst aufbaut und anschließend validiert. Das Konzept verfolgt eigentlich das Ziel eines leichtgewichtigen Protokolls.

Doch durch den flexiblen Einsatzbereich führt die zu übertragende Datei eine Reihe von Metadaten mit sich, die bei der Konstruktion des XML-Dokuments weiter anwächst. So führt beispielsweise das einfache Versenden von „Wahr“ oder „Falsch“ zu einem Datenvolumen von mehreren hundert Bytes. In einem stark gekoppelten System sollte dafür theoretisch ein Bit reichen.

Durch die Möglichkeit des flexiblen Aufbaus des Dokuments kann man jedoch auch komplexe Transaktionen in einer Anfrage atomar zusammenfassen, während man in stark gekoppelten Systemen hierzu oftmals mehrere Anfragen erstellen muss. Dies verbessert das Nutzlastverhältnis (Nutzdaten zu Meta-Daten) und den Kommunikationsaufwand (für den Aufbau einer Verbindung, nur ein Senden/Empfangen).

SOAP unterscheidet zwischen dem endgültigen Empfänger und den Zwischenempfängern. Dies ermöglicht es, eine Nachricht über verschiedene „Hops“ zu schicken, bei denen man sogar verschiedene Transportprotokolle verwendet. Beispielsweise kann man zum ersten Hop die Nachricht mittels Java Message Service schicken, im Anschluss über E-Mail und schließlich dem Empfänger mittels https weitergeben. Der Absender muss über die Zwischenhops keine Information haben, die Middleware jedoch schon.

Wie ist eine SOAP-Nachricht aufgebaut?

Eine minimale SOAP-Nachricht besteht aus einem Envelope genannten Element, dem man einen lokalen Namen zuweisen muss. Dieses Element referenziert mittels eines Namensraum-Attributes auf https://www.w3.org/2003/05/soap-envelope. Child dieses Elements muss ein Body-Element sein. Optional kann zuvor ein Header-Element stehen. In diesem kann man Meta-Informationen, beispielsweise zum Routing, zur Verschlüsselung oder zu Transaktionsidentifizierung, unterbringen. Im Body-Element sind die eigentlichen Nutzdaten untergebracht. Dies sieht dann folgendermaßen aus:

<?xml version="1.0"?>
<s:Envelope xmlns:s="https://www.w3.org/2003/05/soap-envelope">
    <s:Header>
    </s:Header>
    <s:Body>
    </s:Body>
</s:Envelope>

Innerhalb des Body-Elements können sowohl Informationen zum Datenaustausch als auch Anweisungen für einen entfernten Prozeduraufruf stehen. Dies ist vom Empfänger entsprechend zu interpretieren.

Im Header gibt man den nächsten Hop (intermediary) und den endgültigen Empfänger (ultimate recipient) an. Ein intermediary kann beispielsweise die Nachricht verschlüsseln, sie loggen oder die Nachricht aufteilen. Ersteres erlaubt es, dass die Anwendungslogik sich nicht um die Sicherheit der Nachricht kümmern muss. Darum kümmert sich die Middleware. Was eine Middleware ist, erkläre ich in einem anderen Beitrag. Die Möglichkeit, dass Intermediaries beliebige Dinge tun können, ermöglicht EAI (Enterprise Application Integration).

Fazit

Viele Altsysteme verwenden möglicherweise noch SOAP. In der Vergangenheit war es auch die Lösung schlechthin. Heute ist es eher REST, welches zum Einsatz kommt und in webbasierten Szenarien häufig als die schnellere Alternative gilt.

Zusammengefasst kann man sagen, dass REST aus einer Reihe von Richtlinien für eine flexible Implementierung besteht und SOAP ein Protokoll mit spezifischen Anforderungen wie XML-Messaging ist.

REST-APIs sind schlank und daher ideal für moderne Anwendungen geeignet, wie das Internet of Things (IoT), mobile Anwendungen und Serverless Computing. SOAP-Webservices bieten zwar integrierte Sicherheit und Transaktions-Compliance, die vielen Unternehmensanforderungen entspricht, doch die Erstellung und Wartung ist wesentlich aufwändiger. Darüber hinaus folgen auch viele öffentlich zugängliche APIsheutzutage, den REST-Richtlinien.

Der Beitrag SOAP – Effiziente Möglichkeit, um Daten zwischen Systemen zu übertragen erschien zuerst auf CEOsBay.

Kurze Zeitreise

Kali Linux ist ein Debian-basiertes Betriebssystem, das ursprünglich von Offensive Security entwickelt wurde. Es hat seinen Ursprung in BackTrack Linux. Einem anderen beliebten Penetrationstesting-Betriebssystem, welches 2006 Mati Aharoni und Max Moser ins Leben gerufen haben. BackTrack Linux kombinierte die besten Werkzeuge aus verschiedenen Linux-Distributionen. Man konzentrierte sich damit ebenfalls auf die Sicherheit und bot sie in einem einzigen Paket an. 2013 wurde BackTrack eingestellt und durch Kali Linux ersetzt, das heute als Standard für IT-Sicherheitsanwendungen und -lösungen gilt.

Hauptmerkmale

Kali Linux ist speziell für IT-Sicherheitszwecke entwickelt. Es verfügt über eine Fülle von vorinstallierten Tools und Anwendungen, die für verschiedene Aufgaben wie Penetrationstests, forensische Analysen, Reverse Engineering und vieles mehr nützlich sind. Einige der Hauptmerkmale von Kali Linux sind:

• Umfangreiche Werkzeugsammlung: Kali Linux bietet über 600 vorinstallierte Tools, die auf verschiedene Sicherheitsbereiche abzielen. Zu diesen Tools gehören Nmap, Wireshark, Metasploit Framework, Burp Suite, Aircrack-ng und viele mehr.
• Regelmäßige Updates: Es wird ständig aktualisiert, um sicherzustellen, dass es über die neuesten Sicherheitspatches und Tools verfügt. Benutzer können sich auf eine aktive Community und eine engagierte Entwicklergruppe verlassen. Denn diese ist stets bemüht, die beste Erfahrung zu bieten.
• Anpassungsfähigkeit: Es ist hochgradig anpassbar und man kann es auf einer Vielzahl von Geräten sowie Plattformen installieren. Einschließlich Desktops, Laptops, Raspberry Pi’s, BeagleBone Black und sogar auf Smartphones (Mithilfe von Kali NetHunter) 😉
• Live-Boot-Option: Man kann es direkt von einem USB-Stick oder einer DVD booten, ohne es auf dem Zielcomputer zu installieren.
• Multilingual: Es unterstützt mehrere Sprachen, was den Zugang und die Zusammenarbeit für Benutzer aus verschiedenen Ländern erleichtert.

Anwendungsfälle

Kali Linux wird hauptsächlich von Sicherheitsfachleuten, Pentestern, Netzwerkadministratoren und Cybersecurity-Enthusiasten genutzt. Einige der häufigsten Anwendungsfälle für Kali Linux sind:

• Penetrationstests: Es ist ein hervorragendes Werkzeug für Penetrationstests, bei denen man Schwachstellen in Netzwerken, Anwendungen und Systemen identifizieren kann. Mit den vorinstallierten Tools können IT-Sicherheitsexperten sicherheitsrelevante Tests durchführen, um potenzielle Angriffsvektoren zu entdecken und entsprechende Abwehrmaßnahmen zu ergreifen.
• Forensische Analysen: Es enthält auch eine Reihe von Tools für forensische Analysen und Untersuchungen, die man in Fällen von Datenverlust, Cyberkriminalität oder Sicherheitsverletzungen einsetzen kann. Solche Tools ermöglichen es Sicherheitsexperten, digitale Spuren und Beweise zu finden, um Cyberkriminelle zur Rechenschaft zu ziehen und zukünftige Angriffe zu verhindern.
• Reverse Engineering: Kali Linux enthält Tools wie Ghidra, IDA Pro und Radare2, die man für Reverse Engineering und Malware-Analysen verwenden kann. Reverse Engineering kann dazu beitragen, die Funktionsweise von Malware oder Software zu verstehen und Sicherheitslücken zu identifizieren.
• Webanwendungssicherheit: Es bietet eine Vielzahl von Tools zur Analyse von Webanwendungen, wie beispielsweise Burp Suite, OWASP ZAP und SQLMap. Diese Tools ermöglichen das Auffinden von Schwachstellen in Webanwendungen, das Testen von Sicherheitsmechanismen und das Aufdecken von Datenlecks.
• Drahtlose Netzwerksicherheit: Mit Kali Linux können Sicherheitsexperten auch drahtlose Netzwerke überwachen und analysieren. Tools wie Aircrack-ng, Wireshark und Kismet helfen dabei, Schwachstellen in WLANs aufzudecken und Gegenmaßnahmen zu entwickeln.

Fazit

Kali Linux ist eine mächtige und vielseitige Linux-Distribution, speziell für IT-Sicherheitsexperten. Mit einer umfangreichen Sammlung von Tools und Anwendungen ermöglicht es eine gründliche Untersuchung und Analyse von Netzwerken, Anwendungen und Systemen. Dies bietet sich an, um Schwachstellen zu identifizieren und Sicherheitsmaßnahmen zu ergreifen. Obwohl Kali Linux in erster Linie für Fachleute konzipiert ist, können auch IT-Enthusiasten und Neulinge im Bereich der Cybersicherheit von diesem Betriebssystem profitieren. Es ist ausgezeichnet um die eigenen Fähigkeiten zu erweitern und um Systeme besser zu schützen. Dennoch ist es wichtig, die Verantwortung und rechtlichen Rahmenbedingungen bei der Nutzung von Kali Linux und seinen Tools zu beachten, um ausschließlich im Rahmen legaler und ethischer Grenzen zu agieren.

Der Beitrag Kali Linux – Die ultimative Waffe für Cybersicherheit erschien zuerst auf CEOsBay.

Kostenpunkt

Die App gibt es für 5,99 EUR im Apple App Store und für 4,99 EUR im Google Play Store.

Namensgebung Threema

Der Name ist vom Akronym EEEMA, kurz für End-to-End-Encrypting Messaging Application, abgeleitet, wobei die drei E‘s durch den Begriff „Three“ (englisch für drei) ersetzt wurden.

Anonymität

Im Gegensatz zu vielen anderen WhatsApp-Alternativen wie Signal oder Telegram muss man bei dieser App keine E-Mail-Adresse oder Telefonnummer angeben, um ein Konto zu erstellen. Dadurch kann man den Dienst mit einem relativ hohen Maß an Anonymität nutzen.

Funktionsweise von Threema

Die App verwendet eine Benutzer-ID, die nach dem Start der App durch einen Zufallsgenerator erstellt wird. Anstatt eine verknüpfte E-Mail-Adresse oder Telefonnummer zum Senden von Nachrichten zu verlangen. Es ist möglich, andere Nutzer anhand ihrer Telefonnummer oder E-Mail-Adresse zu finden. Vorausgesetzt der Nutzer der App lässt die Synchronisation des Adressbuchs zu.

Die Verknüpfung einer Telefonnummer oder E-Mail-Adresse mit einer Threema-ID ist optional. Nutzer können die Identität ihrer Threema-Kontakte verifizieren, indem sie deren QR-Code scannen, wenn sie sich physisch treffen. Der QR-Code enthält den öffentlichen Schlüssel des Nutzers, der kryptografisch an die ID gebunden ist. Dieser ändert sich für die gesamte Lebensdauer der Identität nicht.

Mit dieser Authentifizierungsfunktion können Nutzer sicherstellen, dass sie den richtigen öffentlichen Schlüssel ihrer Chatpartner haben. Dies bietet zusätzliche Sicherheit gegen Man-in-the-middle-Angriffe.

Die App kennt drei Stufen der Authentifizierung. Die Verifizierungsstufe eines jeden Kontakts wird in der App mit Punkten neben dem entsprechenden Kontakt klassifiziert.

Neben Textnachrichten können Nutzer auch Sprach- und Videoanrufe tätigen, Multimedia, Sprachnachrichten, Dateien versenden und Standorte teilen. Eine Web-App-Version kann auf Desktop-Geräten genutzt werden, solange das Smartphone mit der Threema-Installation des Nutzers online ist.

Neben Einzelchats bietet Threema auch Gruppenchats mit bis zu 256 Personen. Die Nutzer können Sprach- und Videoanrufe tätigen, Text- und Sprachnachrichten, Multimedia, Dateien jeder Art (bis zu 50 MB pro Datei) versenden Es ist auch möglich, Umfragen in persönlichen oder Gruppenchats zu erstellen.

Verschlüsselung

Das von Threema verwendete Verschlüsselungsverfahren basiert auf der Open Source-Bibliothek NaCl library. Die Anwendung verwendet eine asymmetrische ECC-basierte Verschlüsselung mit 256 Bit. Threema bietet eine „Validation Logging“-Funktion, mit der bestätigt werden kann, dass Nachrichten mit der NaCl Networking and Cryptography Library Ende-zu-Ende-verschlüsselt sind. Im August 2015 wurde Threema einer externen Sicherheitsprüfung unterzogen. Die Forscher von cnlab bestätigten, dass die Anwendung bzw. der Dienst eine sichere Ende-zu-Ende-Verschlüsselung ermöglicht, und behaupteten, sie hätten keine Schwachstellen in der Implementierung feststellen können. Die cnlab-Forscher bestätigten auch, dass App seinen Nutzern Anonymität bietet und Kontakte und andere Nutzerdaten wie beworben behandelt.

Fazit

Im Grunde genommen scheint Threema durchaus zu den sichereren Instant Messengern zu zählen. Nichtsdestotrotz hilft die sicherste Anwendung nicht, wenn das Smartphone selbst kompromittiert ist.

Der Beitrag Threema – Schützt es wirklich die Privatsphäre und Kommunikation? erschien zuerst auf CEOsBay.

Änderungen am Protokoll werden von den Besitzern einer eigenen Kryptowährung und eines Governance-Tokens mit dem Namen UNI abgestimmt und dann von einem Entwicklerteam umgesetzt. UNI-Token wurden zunächst an frühe Nutzer des Protokolls verteilt: Jede Ethereum-Adresse, die vor dem 1. September 2020 mit Uniswap interagiert hatte, erhielt die Möglichkeit, 400 UNI-Token zu beanspruchen, die zu dem Zeitpunkt etwa 1.400 US-Dollar wert waren. Die Marktkapitalisierung des UNI-Tokens liegt Stand heute bei 4.3 Milliarden Euro.

Wie alles begann

Uniswap wurde am 2018 von Hayden Adams, einem ehemaligen Maschinenbauingenieur gegründet. Das Unternehmen Uniswap erhielt Investitionen von Risikokapitalfirmen, darunter Andreessen Horowitz, Paradigm Venture Capital, Union Square Ventures LLC und ParaFi. Händler und Investoren haben Uniswap primär wegen der Verwendung im dezentralen Finanzwesen (DeFi) genutzt.

Das Protokoll

Im Gegensatz zu zentralisierten Börsen nutzt Uniswap Liquiditätspools, statt als Market Maker zu fungieren. Dies geschieht, um primär effizientere Märkte zu schaffen. Einzelpersonen und Bots – so genannte „Liquiditätsanbieter“ – stellen der Börse Liquidität zur Verfügung, indem sie einem Smart Contract ein Token-Paar hinzufügen, dass von anderen Nutzern nach der Constant – Product Regel gekauft und verkauft werden kann. Im Gegenzug erhalten die Liquiditätsanbieter einen Prozentsatz der für dieses Handelspaar erzielten Handelsgebühren.

Bei jedem Handel wird eine bestimmte Menge an Token aus dem Pool für eine bestimmte Menge des anderen Tokens entfernt, wodurch sich der Preis anpasst. Für die Auflistung von Token werden keine Gebühren verlangt, so dass eine große Menge an Ethereum-Token verfügbar sind und die Nutzer sich nicht bei einer zentralen Stelle registrieren müssen.

Als Open Source kann der Code von Uniswap auch genutzt werden, um neue bzw. Alternative Börsen zu erschaffen. Ein solches Vorhaben in Deutschland erfordert meines Wissens nach einer Lizenz von der BaFin. Auch wenn die Gründung in einem anderen Land erfolgt, doch die Transaktionen von und in Deutschland stattfinden, kann eine solche selbsterstellte Plattform äußerst schnell in Verruf bringen, wenn man nicht im Besitz der notwendigen Lizenzen ist.

Sicherheit

Um es gleich vorwegzunehmen: Uniswap ist bereits seit mehreren Jahren auf dem Markt und kann als seriöse Plattform bezeichnet werden. Das hohe Handelsvolumen, dass pro Tag mittlerweile im 3-stelligen Millionen Euro Bereich „schwimmt“, spricht für das Vertrauen, welches Anleger der Plattform entgegenbringen.

Im April 2020 wurde die Website von Uniswap vorübergehend abgeschaltet, nachdem Hacker versucht hatten, mit einem Reentrancy-Hack in die Börse einzudringen.

Relativ zeitgleich bzw. wenig vorher wurde Lendf.me attackiert. Die hatten etwas weniger Glück. Denn die Hacker konnten mehr als 25 Millionen Dollar in Kryptowährung von der Kreditplattform entwenden.

Was ist ein Reentrancy-Hack?

Der Reentrancy-Hack ist eines der destruktivsten Angriffe, die in der Regel Solidity-Smart Contracts als Angriffsziel haben. Der Angriff erfolgt, wenn eine Funktion einen externen Aufruf an einen anderen nicht vertrauenswürdigen Smart Contract tätigt. Der nicht vertrauenswürdige Smart Contract ruft dann rekursiv die ursprüngliche Funktion auf, um Kryptowährung zu transferieren.

Wenn der Smart Contract seinen Status nicht aktualisiert, bevor der Transfer der Kryptowährung stattfindet, kann der Angreifer die Abhebungsfunktion wiederholen, um die Geldmittel des Smart Contracts abzuziehen.

Wie kann man nun dieses Protokoll bzw. die Plattform nutzen?

Hier geht es auf die Seite von Uniswap. Im Anschluss rechts oben auf Launch App und es kann losgehen. Im Grunde genommen erklärt sich alles von selbst.

Der Tausch

Wenn man eine bestimmte Kryptowährung swapen (tauschen) will, geht es auf den „Tauschen“ Reiter. Oben den Betrag eingeben, den man zur Verfügung stehen hat und unten die Währung, in die man tauschen will. Done. Hierbei sollte man auf jeden Fall die Transaktionskosten im Auge behalten. Auch wenn ETH mittlerweile das langerwartete Update erhalten hat, kann es relativ schnell teuer werden, wenn gerade viel auf der Chain los ist.

NFTs

Die NFTs gibt es unter dem Reiter NFTs. Genauso wie bei einem normalen Onlineshop die Ware anklicken, die Wallet verbinden und zahlen. Done.

Der Liquiditätspool

Zu dem Pool geht es über den Pool Reiter. Man benötigt immer ein Kryptowährungspaar. Folglich wählt man links und rechts jeweils eine Währung aus und stellt diese in dem sogenannten Pool zur Verfügung. Werden nun Transaktionen getätigt, die diese Token benötigen, wird man belohnt. Man kann es als provisionierte Entlohnung betrachten, weil man die Transaktionen erleichtert indem man Liquidität zur Verfügung stellt.

Gebühren

Bei der Anmeldung auf der Plattform und der Erstellung eines Liquiditätspools wird man mit 0,3 % an den Transaktionsgebühren der Pools beteiligt. Außerdem hat man Zugriff auf den prozentualen Anteil der Liquidität, den man bereitstellt. Wenn man also beispielsweise 60% der Gesamtliquidität für den Liquiditätspool bereitstellt, erhält man auch 60% der gesamten Transaktionsgebühren.

Wo gibt es den Source Code?

Hier auf GitHub.

Achtung

Ich empfehle ausdrücklich, immer die Verwendung von Hardware Wallets, wenn es um die Lagerung und Interaktion mit Kryptowährungen bzw. NFTs geht. Ich habe auf meinem Blog die Ledger und Trezor Wallet vorgestellt. Man sollte sich die Beiträge auf jeden Fall anschauen, wenn man beabsichtigt in diesem Bereich tätig zu werden. Nichtsdestotrotz No Financial Advice 😉

Der Beitrag Uniswap – Krypto Handelsplattform erschien zuerst auf CEOsBay.

„Ubuntu“ bedeutet auf Zulu etwa „Menschlichkeit“ und bezeichnet eine afrikanische Philosophie. Es schließt den Gemeinsinn, die gegenseitige Verantwortung und ein respektvolles Miteinander ein.

Die Entwickler verfolgen mit dem System das Ziel, ein einfach zu installierendes und leicht bedienbares Betriebssystem. Ein besonderes Augenmerk gilt auch auf die aufeinander optimierte Software. Downloaden kann man es sich über diesen Link.

Ich hielt meine erste physische Ubuntu CD im Jahr 2005, durch das ShipIt Programm in der Hand. Damals schickte man mir gleich ein ganzes Bündel der CD’s. Die habe ich in meinem näheren Umfeld und an ein paar Schulen verschenkt.

Die Nutzerzahl Stand heute ist auf etwa 40 Millionen Nutzer angestiegen. Neben Ubuntu selbst, dass von Version 11.04 bis 17.04 standardmäßig die von der Ubuntu-Entwicklergemeinschaft selbst entwickelte Desktop-Umgebung Unity einsetzte und seit Version 17.10 auf Gnome basiert, existieren verschiedene Abwandlungen. Ubuntu konnte seit dem Erscheinen der ersten Version im Oktober 2004 seine Bekanntheit stetig steigern. Es ist inzwischen eine der meistgenutzten GNU/Linux-Distributionen überhaupt. Dies verdankt es der relativ guten Benutzerfreundlichkeit.

Zu den offiziellen Unterprojekten gehören unter anderem Kubuntu mit KDE, Xubuntu mit Xfce, Ubuntu MATE, Ubuntu Budgie sowie Ubuntu Studio. Bei den verschiedenen Unterprojekten sind es meistens nicht nur die GUIs (Graphical User Interfaces bzw. Benutzeroberflächen), die angepasst sind, sondern auch die Softwarepakete, die mitgeliefert werden. Neue Ubuntu-Versionen erscheinen jedes halbe Jahr im April und Oktober.

Kurze Zeitreise

Der Unternehmer Mark Shuttleworth hat das Ubuntu – Projekt in den frühen 2000ern ins Leben gerufen, um ein Betriebssystem zu erschaffen, um es möglichst allen Menschen des Planeten zur Verfügung zu stellen. Wie in der Einleitung bereits erwähnt, stammt der Begriff Ubuntu aus den Sprachen der afrikanischen Völker Zulu und Xhosa und steht für „Menschlichkeit“ und „Gemeinsinn“, aber auch für den Glauben an ein universelles Band des Teilens, dass alles Menschliche verbindet.

Weitere Ziele des Projekts sind die Verbesserung der Globalisierung und der Barrierefreiheit, damit die angebotene Software für so viele Menschen wie möglich benutzbar wird. Derzeit kommen hier hauptsächlich die Übersetzungen und Hilfsmittel für Barrierefreiheit aus dem Gnome-Projekt zum Tragen.

Shuttleworth finanziert einen Großteil des Projektes selbst, wodurch dieser Distribution vergleichsweise mehr finanzielle Mittel zur Verfügung stehen als den meisten anderen Distributionen. Auch er selbst entwickelt mit. Neben ihm, arbeiten noch ungefähr 560 Mitarbeiter bei Canonical, davon ca. 400 Software-Engineers. Die meisten davon entstammen überwiegend den Debian- und Gnome-Online-Entwicklungsgemeinschaften. Finanziert wird die Entwicklung durch das von Shuttleworth gegründete Unternehmen Canonical, dass das System auch vermarktet.

Die erste Version von Ubuntu erschien im Oktober 2004 unter dem Namen Warty Warthog. Seitdem erscheint alle sechs Monate eine neue Fassung des Betriebssystems. Am 1. Juli 2005 wurde von Shuttleworth und Canonical die Ubuntu Foundation mit einem Startkapital von ca. 10 Millionen US-Dollar ins Leben gerufen. Diese kümmert sich primär um die Pflege der Ubuntu-Versionen nach deren Erscheinen und unterstützt die Weiterentwicklung. Auch ist es Ziel der Ubuntu Foundation Mitglieder der Kern-Community einzustellen, um das gemeinsame Ziel zu erreichen.

Eine weitere Finanzierungsquelle entstammt der seit der Fassung 12.10 eingebauten Suchfunktion, die anonymisiert Suchanfragen an den Onlinehändler Amazon verschickt. Diese zunächst standardmäßig aktivierte Funktion wurde mit der Version 16.04 wieder deaktiviert.

Unter der Haube von Ubuntu Linux

Wie bereits zu Beginn erwähnt, basiert Ubuntu auf Debian. Über die Debian Distribution werde ich ggf. noch einen gesonderten Beitrag schreiben. Wobei das Paketformat (.deb) und diverse Strukturen übernommen wurden. Zu Beginn eines Entwicklungszyklus wird ein Teil der Pakete mit denen aus Debian „unstable“ (Bedeutet, dass die Pakete nicht mehr auf ihre Richtigkeit überprüft oder anderweitig gepflegt werden) abgeglichen, insbesondere die des main-Bereichs werden vollständig und unabhängig gepflegt.

Hierdurch wird der Arbeitsaufwand für die Wartung der weniger wichtigen Programme reduziert. Alle Änderungen und Verbesserungen an Debian-Paketen, die in Ubuntu vorgenommen werden, stehen dem Debian-Projekt als Patches zur Verfügung. Theoretisch ist es aufgrund der strengen Paketdefinitionen auch möglich, Programmpakete aus Debian direkt zu benutzen, in der Praxis gibt es hierbei jedoch insbesondere bei systemnahen Funktionen aufgrund diverser Detailunterschiede oftmals Probleme.

Das Ubuntu Linux Software Center

Ab Version 11.10 ist das Software Center in Ubuntu verfügbar, welches mit dem Apple App Store oder dem Google Play Store verglichen werden kann. Das Programm dient zur einfachen Installation und Verwaltung bzw. Deinstallation von Software. Die Entwickler von Ubuntu bezwecken hiermit, die verfügbaren Applikationen für das Betriebssystem langfristig zu steigern.

Nach der Standardinstallation von Ubuntu ist ein Administrator-Benutzerkonto „Root-Account“ (Account mit erweiterten Systemprivilegien) zwar vorhanden, ist aber – wie bei macOS – durch ein ungültiges Kennwort deaktiviert. Es ist daher in der Standardkonfiguration nicht möglich, sich direkt als „root“ anzumelden, wodurch das ungewollte Starten und Modifizieren von Programmen mit Administratorrechten und eine möglicherweise dadurch verursachte nachteilige Änderung am System verhindert wird.

Mithilfe des Befehls „sudo“ kann das mit eingeschränkten Rechten ausgestattete Benutzerkonto allerdings vorübergehend vollständige Systemprivilegien erhalten, was etwa zur Installation und Modifikation mancher Programme, sowie für einige kritische Befehle notwendig ist.

Ubuntu war neben SUSE Linux eines der Distributionen, die mich nach Jahren zu Linux zurückgebracht hat. Doch wie vorher erwähnt, ist der mangelnde Datenschutz auf jeden Fall ein Manko, welches nicht selten bei dieser Distribution auftrat.

Diesen kritisierte beispielsweise die Electronic Frontier Foundation wegen der Einbindung des Onlineshops von Amazon. Der Vorwurf, Adware zu beinhalten, kam auf, weil die vorher nur auf installierte Programme und lokale Dateien gerichtete Suchfunktion des Desktops auf den Shop von Amazon erweitert wurde, um passende Angebote auszugeben.

Das abzuschalten wurde zwar kurz darauf ermöglicht, doch Richard Stallman bezeichnete Ubuntu gerechtfertigter weise als Spyware. Im Oktober 2013 bekam Shuttleworth für die Funktion einen Big Brother Award in Österreich. Grüße nach Österreich 😉

Mit Ubuntu 16.04 wurde das Dateisystem ZFS (ZFS ist ein Dateisystem mit Volume-Management-Funktionen) in die Distribution integriert. Die für ZFS verwendete Lizenz Common Development and Distribution License (CDDL) wird von der Free Software Foundation allerdings als nicht mit der GPL vereinbar bezeichnet. Die Organisation Software Freedom Conservancy spricht in diesem Zusammenhang von einer Lizenzverletzung.

Fazit

Ubuntu ist eine ausgezeichnete Distribution, um sich mit Linux als Betriebssystem und mit Open Source vertraut zu machen, wenn man noch nicht viele Berührungspunkte mit Linux hatte. Darüber hinaus gibt es viele verschiedene Unterprojekte, wie Kubuntu, Mate usw. die eine Aufwertung alter Computersysteme ermöglichen. Nichtsdestotrotz gefällt mir persönlich der negative Beigeschmack bzgl. des vernachlässigten Datenschutzes nicht. Als Unternehmer ist es mir klar, dass man für die Entwicklung von Software Geld benötigt. Doch die Zusammenarbeit mit Amazon, in der Form wie es geschehen ist, erscheint mir persönlich nicht richtig.

Der Beitrag Ubuntu Linux – Das benutzerfreundliche und stabile Betriebssystem erschien zuerst auf CEOsBay.

Zu den Verbindungen gehört auch Software, die nach Hause telefoniert und gegebenenfalls persönliche Daten weitergibt. Little Snitch, schützt im besten Fall die eigene Privatsphäre durch die Verhinderung des unbemerkten Versands von Nutzerdaten.

Die Wiener Firma Objective Development Software GmbH entwickelt das Tool bereits seit 2003. MacOS bietet den Nutzern zwar eine eigene Firewall, allerdings überwacht sie nur eingehende Verbindungen. Software, die auf dem Gerät installiert wird, die eine ausgehende Verbindung starten, werden von der MacOS Firewall nicht angezeigt. Und genau um diese Funktion soll sich Little Snitch kümmern.

Firewall?

Das Prinzip einer Firewall ist in der Regel relativ simpel und vielen bekannt. Ein System wird vor unerwünschtem Zugriffen aus einem Netzwerk oder dem Internet geschützt. In ihrer ursprünglichen Form ist die Firewall eine Schutztechnologie, die Netzwerkbereiche voneinander trennt. Folglich bedeutet dies in der Regel, dass sie ein Auge auf alle ankommenden und abgesendeten Datenpakete wirft.

Es handelt sich dabei um einen digitalen Türsteher und regelt, dass diese Datenpakete nur an den Stellen ein- und ausgeliefert werden, wo es ihnen auch tatsächlich gestattet ist. Dabei arbeitet die Firewall nach definierten Regeln, um die Ein- und Ausgänge (Ports) passend zu öffnen, zu sperren und zu überwachen.

Die Installation von Little Snitch

Bereits bei der Installation erhält man eine kurze Einführung über die wichtigsten Funktionen und Menüs. Auch wird einem die Wahl zwischen drei verschiedene Modi gegeben, um das Programm zu benutzen, dem Warn-, dem Leise-Modus mit erlaubten Verbindungen und dem Leise-Modus, der die Verbindungen verbietet.

Die 3 verschiedenen Modi

Der Warn-Modus zeigt einem bei jeder neuen ausgehenden Verbindung ein Popupfenster an und lässt direkt manuell entscheiden, ob die Verbindung zugelassen oder blockiert werden soll und merkt sich die Auswahl. Falls man sich unsicher ist, kann der Recherche-Assistent oder eines der gängigen Suchmaschinen helfen. Ansonsten hält der Assistent weitere Information über die jeweilige Verbindung bereit.

Gerade am Anfang erscheint der Warn-Modus aber für einige Nutzer zu oft und wird als nervig empfunden. Abhilfe schafft hier der in Little Snitch implementierte Leise-Modus. In diesem werden zunächst alle Verbindungen erlaubt (Man kann auch erst einmal alle ablehnen) und im Netzwerkmonitor gesammelt. Über neue Verbindungen erhält man kein Popupfenster, sondern nur eine kurze Desktopbenachrichtigung. Haben sich einige Verbindungen im Netzwerkmonitor angesammelt, kann man für jede einzelne entscheiden, ob man sie weiterhin zulassen oder verbieten möchte.

Weltkarte von Little Snitch

Im Netzwerkmonitor sieht man auch auf einer Weltkarte die geografischen Orte, an denen die Server stehen, mit denen der Rechner kommuniziert. So lässt sich zum Beispiel überprüfen, ob die Server eines Instant Messengers oder des E-Mail-Anbieters wirklich nur in Deutschland stehen. Man kann jede Verbindung auf der Karte anklicken, um mehr Informationen zu der jeweiligen Verbindung zu erhalten. Auch hier hilft der Recherche-Assistent mit wichtigen Informationen. Meiner Erfahrung nach kann die Software jedoch nicht jedes dieser Verbindungen erkennen, wenn man die Verbindungen mit Wireshark vergleicht. Dennoch erklärt der Entwickler, dass sie die Datenbank stetig aktualisieren.

Ressourcen

Die Ressourcenverwaltung ist in den letzten Versionen wesentlich optimierter. So braucht Little Snitch in der aktuellen Ausführung nicht mehr so viel CPU und Arbeitsspeicher. Verbindungsinformationen sammelt dieser nun auch ohne den im Hintergrund laufenden Network Monitor. Früher noch relativ kurze Zeiträume, doch heute bzw. in den letzten Versionen, um genau zu sein, seit Version 5, sind sämtliche Informationen, die bis zu einem Jahr zurückreichen, abrufbar.

Terminal und Scripts in Little Snitch?

Sys-Admins bekommen weiterhin die Möglichkeit, Einstellungen über eine Befehlszeile zu steuern. So lassen sich Skripte in der App ausführen.

Preise

Ein Neukauf in der Einzellizenz kostet 45 Euro. Weitere Angebote umfassen eine Familien-Lizenz für 89 Euro sowie Mehrfachlizenzen für 5 oder 10 Macs, für 179 Euro und 310 Euro. Außerdem gibt es auch ein Bundle Angebot mit Micro Snitch, für 47,25 Euro, statt 49,49 Euro. Zur offiziellen Webseite kommt man über diesen Link.

Fazit

Wem beispielsweise das Netzwerküberwachungstool Wireshark zu kompliziert ist, für den ist Little Snitch keine schlechte Wahl, um eine weitere Schutzebene aufzubauen und Verbindungen von und zu dem Rechner zu überwachen.

Der Vorteil bei Little Snitch ist auch, der Verbot von Verbindungen mit wenigen Klicks. Ganz unabhängig davon, ob es sich dabei um eigehende oder ausgehende Verbindungen handelt. Dennoch bleibt einem die Einarbeitung nicht erspart. Zumal es hin und wieder zu Einschränkungen der installierten Programme führen kann, wenn diese nicht nach Hause telefonieren oder Daten aus anderen Quellen beziehen dürfen.

Klar ist auch, dass Apple seinen eigenen Diensten auch unter Ventura immer noch Sonderrechte einräumt. Ich denke, dies werden sie nur ändern, wenn genug Leute auf die Barrikaden gehen, was in letzter Zeit halt mal gar nicht der Fall ist. Ich finde es auf jeden Fall in Anbetracht der Datenschutzdebatte äußerst fragwürdig und suspekt, dass es so wenige Menschen stört.

Grundsätzlich lässt es sich bei einer geschlossenen Software nie zu 100 % ermitteln, warum und mit wem diese sonst kommuniziert. Da greift eben der Vorteil von Open Source Software. Letztendlich läuft es auf das Vertrauen und die Gutgläubigkeit von uns Nutzern hinaus, wenn wir die Software verwenden dessen Quellcode nicht offen ist.

Ansonsten ist grundsätzlich darauf zu achten, aus welchen Quellen man Software bezieht. Sollte man tatsächlich in Erfahrung bringen, dass die Software, die man kommerziell oder via GitHub bezogen hat, einen ausspioniert und die Daten missbraucht, um Schaden zu verursachen, sollte man eher die Polizei kontaktieren oder Software deinstallieren, als mit irgendwelchen Lösungen zu versuchen, die Verbindungen zu unterdrücken. Besonders dann, wenn man keine Ahnung hat.

Hat man Ahnung, kann man alle Daten sammeln und gebündelt an die relevanten Stellen geben, um Stalkern oder weiß Gott was für Verrückten, die zu viel Zeit haben, Einhalt zu gebieten. Aber auch hier sollte jedem bewusst sein, dass direkte bzw. aktive Attacken unter das Strafrecht fallen können.

Davon abgesehen, lassen sich am Mac mittlerweile auch die Verbindungen für den Schutz der eigenen Privatsphäre nativ erweitern. Zum einen lässt sich bei einem iCloud+ Abo der iCloud Private Relay  aktivieren und zum anderen gibt es den Tarnmodus, wenn Sicherheit und Datenschutz ein wichtiges Anliegen für einen selbst sind. Dies hilft, um Hackern und Malware das Auffinden des eigenen Macs zu erschweren. Im Tarnmodus reagiert der Mac weder auf „ping“-Anforderungen noch auf Verbindungsversuche eines geschlossenen TCP- oder UDP-Netzwerks. Vorsicht ist aber geboten, da in diesem Modus auch hin und wieder Anrufe oder Nachrichten nicht ankommen, wenn die Benutzer über das Gerät nicht mindestens einmal miteinander Kontakt hatten.

Der Beitrag Little Snitch – Privatsphäre schützen und Netzwerkverbindungen einfach kontrollieren erschien zuerst auf CEOsBay.

Was ist eine Cold Wallet?

Eine Cold Wallet ist ein Speichermedium für Kryptowährungen. Sie speichert die Recovery Seed (Die Wiederherstellungsphrase) offline. Dies macht die Art der Verwahrung vergleichsweise sicherer.

Der Recovery Seed ist der private Schlüssel (Private Key) einer Wallet. Es handelt sich um eine Reihe von zwölf, 18 oder 24 Wörtern. Damit kannt man auf die Coins oder NFTs zugreifen, selbst wenn man die dazugehörige Hardware verliert. Anbieter wie Ledger oder Trezor habe ich ja bereits in vergangenen Beiträgen thematisiert. Gerne kann man sich die Beiträge nochmal durchlesen. Bei beiden Beiträgen sind Links enthalten, mit denen man sich einen gewissen Rabatt sichern kann.

Der Gegensatz zu einer Cold Wallet ist eine sogenannte Hot Wallet eher für Hacker-Angriffe anfällig. Auch die habe ich mit MetaMask in einem älteren Artikel vorgestellt. Es gibt noch ein paar andere Wallets auf anderen Blockchains, die ich ebenfalls noch thematisieren werde.

Sind Cold Wallets wirklich sicher?

Cold Wallets sind vergleichsweise sehr sicher, da der Recovery Seed nicht online aufbewahrt wird. Um die Wallet zu nutzen, muss diese aktiv mit einem Rechner verbunden werden. Zusätzlich benötigt man die Software des Herstellers. Diese hat zusätzliche Sicherheitsvorkehrungen, wie Passwörter, Pins, Fingerabdruck- und Retina-Scanner. Im Grunde genommen richtet es sich danach, wie viel Geld man für die Sicherheit der eignen Assets ausgeben möchte. Hinzu kommen natürlich noch Designaspekte. Und nach oben gibt es beim Preis auch hier keine Grenzen.

Dies beginnt beim Einsteiger-Modell aus Kunststoff, bis zum Edelmetall-Modell aus massivem Platin.

Je nachdem, was für ein Sicherheitschip in der Hardware Wallet implementiert ist, können Angreifer versuchen, die Recovery Seed durch einen physischen Angriff auf der Wallet auszulesen. Hersteller von Hardware-Wallets wie Ledger oder Trezor setzen hier auf Hochsicherheitschips, die man auch mit zusätzlichen Geräten äußerst schwierig auslesen kann. Ein Kollege war beispielsweise, vor einem Sicherheitsupdate, bei der Trezor Hardware Wallet erfolgreich.

Ansonsten gibt es mittlerweile auch Mechanismen, die wie bei einem Cryptex, einen Selbstzerstörungsmechanismus beim Versuch eines physischen Angriffs initiieren. Dadurch wird die Cold Wallet bei der geringsten Modifikation der Hardware unbrauchbar gemacht.

Vorteile eines Cold Wallets 

Bei einer Hot Wallet profitiert man von einem erleichterten Zugriff sowie einer einfacheren Verwahrung auf Kosten der Sicherheit. Zudem sind sie in der Regel kostenlos. Im Regelfall verfügt man zudem nicht über den notwendigen Private Key. Dies bedeutet, dass man nicht wirklich über die Coins verfügt.

Eine Cold Wallet kannst man zwar auch kostenlos erstellen, indem man einen USB-Stick oder anderes Medium wie eine CD oder SD-Karte benutzt. Allerdings haben diese Speichermedien  normalerweise  keine zusätzlichen Sicherheitsvorkehrungen wie es die Hardware Wallets in der Regel haben.

Mit einer Cold Wallet kontrolliert man die eigenen Coins selbst. Bei den meisten Cold Wallets handelt es sich um sogenannte Non-Custodial-Wallets. Nur man selbst besitzt den Private Key, um auf die Coins zuzugreifen. Das verhindert, dass eine andere Instanz den Zugriff sperrt oder anderweitig auf die Coins zugreifen kann.

Die eigenen Coins in eigener Obhut

Cold Wallets gelten als besonders sicher, da sie nur selten mit dem Computer und dem Internet verbunden werden. Der Recovery Seed wird permanent offline aufbewahrt.

Um auf die Coins der Cold Wallet zuzugreifen, benötigt eine Person entweder den Recovery Seed oder die Wallet physisch sowie die dazugehörige Software und ein Passwort. Dieses Passwort legt man zu Beginn selbst fest, wenn die Cold Wallet eingerichtet wird. Man kann sich auch ein per Zufall generiertes komplexes Passwort vorschlagen lassen. Bei einer sicheren Verwahrung der Seed Phrase hat man wenig bis nichts zu befürchten.

Nachteile einer Cold Wallet

Dadurch, dass die Cold Wallet die Coins sicher verwahrt, ergeben sich einige Nachteile, wenn man auf die Coins zugreifen will. So muss man die Cold Wallet mit sich führen und auch die erforderliche Software muss bereits installiert und eingerichtet bzw. mit der Wallet verknüpft sein.

Fazit

Eine Cold Wallet gilt als eine der sichereren Möglichkeit, die eigenen Assets zu verwahren. Dies hängt damit zusammen, dass der Recovery Seed nur offline gespeichert wird.

Die gängigen Cold Wallets sind Non-Custodial-Wallets. Das heißt, nur man selbst verfügt über die Assets und niemand sonst. Weder eine andere Person, eine Bank oder der Hersteller. Niemand!

Lediglich die größeren Summen auf einer Cold Wallet aufbewahren. Doch niemals die Pass Phrase oder Recovery Seed verlieren. Ist die weg, sind auch die Assets weg!

Wenn man an die Eigenschaften von Bitcoin, die Zensurresistenz oder Dezentralisation denkt, verkörpern Cold Wallets bzw. Non-Custodial-Wallets den Grundgedanken hinter Kryptowährungen.

Es gilt: Not your keys, not your coins.

Der Beitrag Cold Wallet – Offline-Speicherung von Kryptowährungen für den besonderen Schutz erschien zuerst auf CEOsBay.

Blockchains werden in der Regel von einem Peer-to-Peer-Computernetzwerk (P2P) als öffentliches verteiltes Buch verwaltet, in dem die Knoten gemeinsam ein Konsensalgorithmusprotokoll befolgen, um neue Transaktionsblöcke hinzuzufügen und zu validieren. Obwohl Blockchain-Datensätze nicht unveränderlich sind, da Blockchain-Forks möglich sind, können Blockchains an sich als sicher angesehen werden und stellen ein Beispiel für ein verteiltes Computersystem mit hoher byzantinischer Fehlertoleranz dar.

Was hat es mit dem byzantinischen Fehler auf sich?

Als byzantinischen Fehler bezeichnet man in der Informationstechnik Fehler, bei denen sich ein System beliebig falsch verhält. Beispielsweise schickt ein Server gelegentlich falsche Antworten und erreicht gelegentlich falsche Systemzustände. Ein byzantinischer Fehler beschreibt im Allgemeinen ein schwer zu erfassendes Fehlermodell. In Mehrprozessor-Systemen bezeichnet der byzantinische Fehler eine Fehlerklasse. Falls eine Komponente an verschiedene Prozessoren unterschiedliche (protokollkonforme) Ergebnisse liefert, spricht man von einem byzantinischen Fehler.

Wer hat es erfunden und wofür?

Die erste Blockchain wurde von einer Person, oder einer Gruppe von Personen, unter dem Namen bzw. dem Pseudonym Satoshi Nakamoto im Jahr 2008 geschaffen. Dieser sollte als öffentliches verteiltes Hauptbuch für Bitcoin-Kryptowährungstransaktionen dienen. Dieser Arbeit basiert auf früheren Arbeiten von Stuart Haber, W. Scott Stornetta und Dave Bayer. Der Source Code ist Open Source und kann auf GitHub unter https://github.com/bitcoin/bitcoin eingesehen. Die Implementierung der Blockchain in Bitcoin, machte es zur ersten digitalen Währung, die das Problem der doppelten Ausgaben ohne die Notwendigkeit einer vertrauenswürdigen Behörde bzw. Institution oder eines zentralen Servers löste. Das Bitcoin-Design hat andere Anwendungen und Blockchains inspiriert, die für die Öffentlichkeit zugänglich sind und von Kryptowährungen bzw. NFT Projekten in großem Umfang genutzt werden. Die Blockchain kann als eine Art Zahlungsschiene betrachtet werden.

Zentrale Einheiten einer Blockchain

Distributed-Ledger-Technologie (DLT)

Alle Netzwerkteilnehmenden haben Zugriff auf ein verteiltes „Kontobuch“ (distributed Ledger) mit nicht manipulierbaren Datensätzen der Transaktionen. In diesem gemeinsam genutzten Kontobuch werden Transaktionen nur ein einziges Mal aufgezeichnet, wodurch die für traditionelle Unternehmensnetzwerke typische Doppelarbeit entfällt.

Nicht manipulierbare Datensätze

Keiner der Teilnehmenden kann eine Transaktion verändern oder manipulieren, nachdem diese im gemeinsam genutzten Kontobuch aufgezeichnet wurde. Falls ein Transaktionsdatensatz einen Fehler enthalten sollte, muss eine neue Transaktion hinzugefügt werden, die diesen Fehler korrigiert, und beide Transaktionen sind in der Folge sichtbar.

Smart Contracts

Um Transaktionen zu beschleunigen, wird ein Regelwerk – Smart Contract genannt – in der Blockchain gespeichert und automatisch ausgeführt. Ein Smart Contract kann beispielsweise Bedingungen für die Übertragung von Unternehmensanleihen, Bedingungen für eine zu zahlende Reiseversicherung und vieles mehr definieren. In dem Beitrag von gestern gehe ich Explizit auf dieses Thema ein.

Fazit

Bei einer Blockchain hat man als Mitglied eines nur auf Mitglieder begrenzten Netzwerks die Sicherheit, dass man präzise und termingerechte Daten erhält und das die vertraulichen Blockchain-Datensätze nur mit den anderen Netzmitgliedern geteilt werden, denen man ausdrücklich den Zugriff gewährt hat. Von allen Netzmitgliedern wird Konsens zur Korrektheit der Daten verlangt und sämtliche validierten Transaktionen sind nicht manipulierbar, weil sie permanent aufgezeichnet werden. Niemand kann eine Transaktion löschen oder ändern. Dies stellt eine immense Sicherheit dar.

Bei einem verteilten Kontobuch, dass von Mitgliedern eines Netzwerks gemeinsam genutzt wird, entfällt der Bedarf nach einem zeitaufwendigen Abgleichen von Datensätzen. Und zur Beschleunigung von Transaktionen lässt sich ein Regelwerk – Smart Contract genannt – in der Blockchain speichern und automatisch ausführen. Dies wiederum steigert die Effizienz ungemein. Häufig vergeudet man wertvolle Arbeitszeit mit der Pflege von Duplikaten, Datensätzen und mit Validierungen anderer Anbieter. Traditionelle Aufzeichnungssysteme können anfällig für Betrugsversuche und Cyberangriffe sein. Eingeschränkte Transparenz kann die Verifizierung von Daten behindern. Und durch das IoT (Internet of Things = Internet der Dinge) sind das Volumen von Transaktionsdaten explosionsartig gestiegen. All dies verlangsamt die Prozesse bzw. das Geschäft, belastet das Ergebnis – und bedeutet, dass wir bessere Methoden benötigen. Hier kann die Blockchain Abhilfe schaffen.

Der Beitrag Blockchain – Dezentralisierte, transparente und vertrauenswürdige Systeme erschien zuerst auf CEOsBay.