Von Katzen und Mäusen – Den Phishing Mails auf der Spur

Wer schonmal den Film Jagd auf roter Oktober gesehen hat kennt das recht berühmte Zitat

Die Schwierigkeit am Katz‘ und Maus-Spiel ist zu wissen wer die Katze ist!

als das amerikanische U-Boot USS Dallas das sowjetische Jagd U-Boot von Kapitän Tupolev mit dessen eigenem Torpedos zerstört. In einem anderen Kontext kann man das Zitat nun doch auch anwenden, beim Enttarnen von betrügerischen Phishing Mails zum Beispiel.

Es gibt doch ein paar Merkmale, an denen man die meist recht gut gemachten Phishing-Mails erkennen kann. Aber man sollte bei Mails immer den gesunden Menschenverstand walten lassen und mit offenen Augen lesen, denn Mailbetrüger machen schon recht geschickt E-Mails nach, wie einige meiner früheren Beiträge zeigten. Mit einigen wenigen Hilfsmitteln kann der ratlose User sich schon weiterhelfen. Mein früherer Chef pflegte immer „Lieber drahtlos als ratlos“ zu sagen.

Merkmale in Text und Schreibweise

Manchmal scheint es, als habe der Betrüger beim Verfassen einer solchen Phishingmail von Duden und Blasen keine Ahnung. Das betrifft die Rechtschreibung, aber auch die Grammatik oder die Kodierung von Sonderzeichen und Umlauten. Oftmals merkt man den Mails an, daß diese mit den Übersetzungstools von Google und co. erstellt wurden. Falsche Ausdrücke, besonders Fachwörter werden im falschen Kontext gebraucht. Die Mails von Unternehmen und Dienstleistern allerdings beinhalten zwar auch den einen oder anderen Fehler, aber die Fehlerquote ist um ein Vielfaches geringer.

Wichtige Daten per Mail?

Gerade wenn wichtige Daten (beispielsweise PINs/TANs oder Kreditkartennummern oder Kontodaten) gefordert werden, oder wenn sich irgendwelche Zahlungsmodalitäten ändern, sollte man schon hellhörig werden. Mails sind im Prinzip nichts anderes als Postkarten, die jeder Provider oder Postbote, der diese weiterleitet, mitlesen kann. Und so verschickt man keine sensiblen Daten. Anderenfals werden Unternehmen und Banken, aber auch Inkassobüros die Infos mindestens als verschlüsselte Mail, aber hauptsächlich per Einschreiben mit der Post versenden. Also stutzig werden, wenn die Bank auf einmal per Mail nach Geheimdaten verlangt.

„Hallo Welt“

Die meisten Unternehmen werden sich eher bemühen, ihre Mails und Newsletter zu personalisieren, also den Empfänger direkt ansprechen. Dazu verwenden die Unternehmen die Namen und Daten, die Sie schon bei der Registrierung angegeben haben. Die Anrede „Sehr geehrte/r Kunde/Kundin“ zeigt, daß der Name nicht vorhanden ist. Vertrauen kommt erst durch Personalisierung, das wissen auch Betrüger. Daher werden Phishingmails mit korrekter Anrede immer häufiger. Diese Daten kommen natürlich dann aus Einbrüchen in die Datenbanken von Unternehmen und Online-Shops, bei denen man schon einmal Waren bezogen hat. Solche Listen mit kompletten Datensätzen werden in Untergrundforen für recht teures Geld gehandelt, für mehr Geld als nur nackte E-Mailadressen.

Spielerische Klickereien

Wirken Anrede und Rechtschreibung authentisch, so macht man sich über eingefügte Buttons und Links her. Profis werden sich von HTML-Mails den Quelltext anschauen wo sie die Links hinter den Buttons besser lesen können. Aber keine Bange, es geht noch etwas einfacher. Man bewege seinen Mauszeiger einfach auf die entsprechenden Buttons oder Links und nun wird die URL in der Statusleiste des verwendeten Browsers oder Mailprogrammes ankommen. Meist sollte doch eine Mail von der Postbank, PayPal oder der INGDiBA auf URLs wie

http://diba.de

oder

http://postbank.de

verweisen. Kommen allerdings seltsame und lange URLs wie

http://britih.com/-vti-bin usw.usw.

heraus ist das ein Merkmal, daß da etwas nicht stimmt. Mir selbst ist da auch schonmal die URL

http://paypal5.net

untergekommen. Meistens arbeiten die Phishingmails mit einem gewissen Druck, beispielsweise sollen Anwalts- und Inkassobüros eingeschaltet werden, wenn keine Zahlung kommt, oder man brauche Geld weil irgendwelche Schwierigkeitren vorliegen, oder es werden Kontosperrungen angedroht. Die Möglichkeiten sind da vielfältig. Hier gilt es dann Ruhe und einen kühlen Kopf zu bewahren. Große Unternehmen und Banken verschicken Mahnungen meist per Einschreiben mit der Post oder einem anderen Brief- und Paketdienst und setzen zumeist angemessene Fristen bis zu einem bestimmten Datum.

Manchmal sind Betrüger so dreist, daß man die Domains von Banken mit sogenannten Subdomains fälschen will. Das ganze sieht dann beispielsweise so aus:

http://ing-diba.de.ht/webkunden

oder

http://verifysparkasse.webs.com

. In den genanten Beispielen wären die Domains

webs.com

und

de.ht

Meist sind auch echte Domains und URLs nicht einfach zu erkennen. Aber viele URLs bestehen aus zwei Hauptteilen:

http://sparkasse.de

wobei das .de Das Länderkürzel ist und

sparkasse.de

die Domain ist und das ist meist der Vordere Teil der URL. Backslashes / dienen in einer URL meist als Trennung für weitere Pfad- und Dateiangaben in die Tiefe eines Servers, der im Prinzip mit genau solchen Ordnern und Dateien arbeitet wie ihr Computer daheim. Wer Zweifel an der Echtheit einer Domain hat, der kann mit dem Tool Whois weitere Recherchen anstoßen und damit ganz einfach die Hintermänner einer mysteriösen Domain ausfindig zumachen. Am Ende des Artikels verlinke ich natürlich wieder auf die verwendeten und genannten Tools.

Können Sie Gedanken lesen?

Um weitere aufschlussreiche Informationen zu bekommen, kann man einer Mail in den Header (Kopf) gucken. Dort stehen die Verbindungsdaten der Mail drinnen. Diese geben Auskunft von wo sie stammen, welchen Weg sie durchs Internet direkt in Ihr Postfach genommen haben und zu welchem Empfänger sie unterwegs waren. Das sind die sogenannten Meta-Daten, und auf diese sind aktuell so einige Regierungen und Geheimdienste scharf.

Und diese Verbindungsdaten kann man mit ein paar kleinen Mausklicks herausfinden. Allerdings läßt sich die Absenderadresse recht einfach fälschen, von daher gibt diese Info nicht viel her. Schwerer zu fälschen sind die Informationen, über welche Server die Mail gegangen ist.

Aber nun ganz von vorn. Wie komme ich an diese Daten heran? Thunderbird verbirgt einen Befehl im, Menü Ansicht–>Kopfzeile–>Alle, Outlook befindet sich die Kopfzeile der geöffneten Mail unter Ansicht–>Optionen–>Nachrichtenoptionen. Bei den Webmailern GMX und Web.de bekommt man die gewünschten Infos über das kleine i neben der Datumsanzeige. Yahoo zeigt den Header, wenn in den Aktionen den gesamten Kopfbereich anwählt. Original anzeigen ist bei Gmail der richtige Weg zu diesen Infos.

Was steht denn nun drin in dem Header?

Eine Received Zeile hat folgende Form:

Received from smtp-out-127-10.amazon.com...
[176.32.127.10]... 
by mx.google.com... 
for < ...@gmail.com>
Ultrace erkennt die im Beispiel verwendete IP Adresse
Ultrace erkennt die im Beispiel verwendete IP Adresse

Der Server der die Mail versendet steht hinter dem Attruibut from und by zeigt uns den Server an, der die Mail empfangen hat. Hat man nun in der betreffenden Zeile den Server des eigenen Providers (GMX, Web.de, Google, T-Online oder Yahoo) gefunden, kann man diesen Informationen trauen, wenn der Provider sagt, daß die Mail beispielsweise von Amazon.com ist. Ist die Sachlage nicht ganz so klar, weil die Sendeadresse vielleicht gefälscht ist, gibt es ein kostenloses Tool mit dem Namen Utrace. Dieser Dienst sucht eine IP Adresse und die dazugehörende Region, wo diese derzeit registriert ist. Und diese sieht man auf der Weltkarte von Google-Maps, wo sich denn die Adresse befindet. In meinem Beispiel von oben, wurde die IP Adresse 176.32.127.10 bei Utrace angebenen und mir wurde von diesem Dienst der Sitz Amazons in Irland gezeigt dazu noch der Firmenname.

Bei Amazon weiß man, daß dieses Unternehmen auch Standorte in Irland betreibt. Würde die Adresse irgendwo auf einen Ort nahe Hintertupfingens zeigen, kann man davon ausgehen, daß diese Mail dann doch unlautere Absichten verfolgt. Ist dem so, hat dann kein richtiger Server die Mail im Postfach abgegeben, sondern irgendein mit Schädlingen verseuchter Zombie-PC aus Hintertupfingen, der Teil eines Bot-Netzes ist. Die PCs in solchen Botnetzen bekommen dann eine Mailvorlage und eine Liste mit einer Menge gesammelter potentieller Mail-Adressen, vielleicht dazu noch Namen und dergleichen. An diese Mail-Adressen werdenn dann so lang E-Mails an, bis das Botnetz auffliegt oder der betreffende PC von Schädlingen gereinigt wird. Phishingmails kommen auch von vielen Freemailern, bei denen sich die Phisher viele Accounts, zu dem Zweck möglichst viel Spam zu versenden, anlegen. Das geht so lang, bis die Accounts vom Provider gesperrt werden.

Nimm die Lupe und gehe nun in die freie Wildbahn

HTTPS Zertifikat der Postbank
HTTPS Zertifikat der Postbank

Mit den oben genannten Methoden hat man die Mails nun doch schon recht gut beschaut. Sind dabei keine verwertbaren Infos herausgekommen, kann man sich den Links zuwenden, fals man sich nicht ganz sicher ist. Dazu brauchts ein gut gesichertes Betriebssystem mit aktuellen Updates, einer guten Virensoftware und für den Browser eine Sandbox. Besser ist es, wenn man sich ein Live-Linux herunterlädt, auf eine CD/DVD bannt und es von nur von dort startet, damit eventuelle Schädlinge keine Chance haben sich auf dem System einzunisten. Bei zweifelhaften Mails kann man noch 2 bis 3 Tage warten, dann kann der Virenwächter sicherer gegen eventuell verseuchte Inhalte vorgehen.

Der erste Blick sollte dann doch einmal auf die Adresszeile oben im Browser gerichtet werden. Ist die Seite der Bank verschlüsselt? Wie sieht die URL aus? Stimmt das Design mit dem Design des Webauftritts der Hausbank überein? Stellt man Fehlerhafte Rechtschreibung und Grammatik fest? Stimmt das HTTPS Zertifikat? Um das zu überprüfen klickt man auf das grüne Schloss. Dort kann man nachlesen, für welchen Anbieter das Zertifikat von wem ausgestellt wurde. Meist stehen in dem Zertifikat noch die Adressdaten beispielsweise der Hausbank drin. Je nach Browser sind dann auch Teile der Adresszeile grün hinterlegt.

Achtung Mailanhänge

Besondere Gefahr geht von Mailanhängen aus, in denen Rechnungen, Mahnungen und dergleichen enthalten sein sollen. Häufig holt man sich ein Trojaner, ein Spionageprogramm, auf seinen Rechner, wenn man diesen Anhang dann doch öffnet. Besteht ein Verdachtsmoment am Absender der Mail heißt es am besten: Finger weg davon! Ausführende Dateien (Endungen auf *.bat, *.exe, *.com, *.dat, *.js, *.cmd, *.jar, *.vbs und so weiter) sind besonders gefährlich. Hier installiert man sich schnell einen Schädling, der gerne mal noch andere Schädlinge aus dem Netz nachlädt. Aber auch Vorsicht bei *.zip und *.rar Dateien, allgemein bei Archivdateien. Diese enthalten gerne statt der versprochenen Rechnung als PDF eine ausführbare Datei. Kriminelle können sogar ihre Schädlinge als Word-, Excel- oder PDF Dokument maskieren. In Office Dateien werden häufig Makros eingebaut, das sind gewissermaßen Automatismen für Routineaufgaben in den allermeisten Dokumenten. Aber diese Makros können auch gefährlichen Inhalt auf den PC laden, wenn sie ausgeführt werden.

Noch gefährlicher sind Dateien mit sogenannten „doppelten Dateiendungen“ wie Rechnung.pdf.exe . Alle gängigen Betriebssysteme haben die Möglichkeit Dateiendungen einzublenden, bei Windows sind die per Standardausgeblendet. Aktivieren kann man das in den Ordneroptionen im Reiter Ansicht – in dem man den Haken bei „Erweiterungen bei bekannten Dateitypen ausblenden“ entfernt. Diese Einstellung ist bei Windows global und wirkt sich auf jeden Ordner aus. Jetzt wird jede Datei mit der Endung (ob doppelt oder nicht) angezeigt.

Ein Telefonanruf genügt

Reißen doch alle Stränge und es besteht ein Verdachtsmoment, sollte man sich doch bei dem Versender der Mail erkundigen. Nein… man nimmt dazu nicht die Telefonnummern, die in der Mail stehen, die können gefälscht sein. Ausgefuchste Cyberkriminelle betreiben irgendwo auf der Welt, aber auch in Deutschland eigene Callcenter und kassieren zusätzlich mit horrenden Telefonpreisen ab. Dazu geht man auf den Webauftritt der Bank oder des Webshops, dort sind im Impressum Kontaktdaten, wie Telefonnummern und dergleichen hinterlegt. Machen Sie sich die Mühe und fragen dort nach, auch wenn man ein wenig in der Warteschleife feststeckt oder das Telefonat ein paar Cent kosten sollte.

Meist wird man von den Phishern per Mail oder sozialem Netzwerk gedrängt, schnell mal Geld zu überweisen, irgendwelche Geheimdaten zu ändern oder das Konto zu verifizieren und zu bestätigen. Seriöse Unternehmen setzen meist angemessene Fristen, beispielsweise 10 oder 14 Tage nach Erhalt der Post ohne sofort Druck auszuüben und Forderungen zu stellen. Oftmals geschehen solche Dinge noch über den guten alten Postweg. Also lassen Sie sich Zeit und prüfen Sie ihre Post sorgfältig. Auch ein Gang zur nächsten Filiale Ihrer Bank, kann so manches Problem der Bank mit Ihnen aufklären

Fazit

Gehen sie mit ein bisschen gesundem Menschenverstand an eine zweifelhafte Mail heran, betrachten Sie diese Mail von vorn bis hinten von links nach rechts und auch umgekehrt wenn es denn sein muß. Tips zum Vorbeugen von Irrtümern sind hier gegeben. Werden Sie im Film von der Maus zur Katze, in dem Sie den Betrügern nicht auf den Leim gehen. Und lieber Leser… Geben sie mir ein Ping!

Links

  1. Herkunft von IP mit Utrace bestimmen
  2. WHOIS Tool von Heise – Wer steckt hinter einer IP?
  3. Gefälschte E-Mails angeblich von Amazon
  4. Erneutes Phishing im Namen von Amazon
  5. Gefährliche Mails von einem Inkassobüro – angeblich im Auftrag von Walbusch

Sicherheitsnotiz: Banking Trojaner für Linux entdeckt

Security Spezialisten der der Firma RSA haben erstmals in freier Wildbahn einen Trojaner für Linux entdeckt. Der Trojaner mit dem grandiosen Namen Hand of Thief öffnet, sobald er installiert ist eine Backdoor auf dem Linux-Computer, über diese Formulareingaben im Browser übermittelt werden kann.

Die professionllen russischen Entwickler verlangen auf dem Schwarzmarkt für den Schädling um die 2000 US-Dollar, das sind umgerechnet schlappe 1500 Euronen. Der Trojaner soll auf 15 verbreiteten Distributionen laufen können, darunter Ubuntu und Debian, davon auch Derivate und Fedora. Befallene Browser sind Firefox/Iceweasle und Chromium.

Eine Ansteckungsgefahr ist recht gering, der Trojaner kann das System nur über ein zu installierendes Paket oder durch das Öffnen eines infizierten Mailanhangs gestartet werden. Sicherheitslücken im System werden nicht ausgenutzt, der Anwender muss den Trojaner per Mausklick installieren, damit er aktiv wird.

Meister der feuchten Keller – Dungeon Master

Die Tage meines Aufenthalts im kühlen Keller sind seit einiger Zeit gezählt. Das hat der Wetterumschwung von heiß auf eher kühler und frischer bewirkt. Die Zeit, in der sich Hitzewellen mit tropisch warmen Nächten abwechselten, habe ich bei mir im angenehm kühlen Keller verbracht. Um diese Zeit totzuschlagen, habe ich bisweilen meinen alten Amiga 500 entmottet und ein paar alte Gameklassiker gespielt, alte Games mit über 20 jährigem Bestehen – Retroklassiker eben.

Dabei bin ich zufälligerweise auf ein Spiel gestoßen, was auch in feuchten Kellern, wohl eher in einem kalten und kerkerartigem Labyrinth spielt – Dungeon Master. Nachdem ich es einmal durchgespielt habe, wollte ich wissen, ob es denn auf moderneren Systemen wie Winsows 7, Mac OS X oder Linux lauffähig ist. Also habe ich die Zeit genutzt, um ein bisschen zu recherieren. Und siehe da, Dungeon Master habe ich gleich mehrmals ausgegraben, in zwei verschiedenen Versionen, eine davon lauffähig nur unter Windows und MacOSX, leider aber mit einer veralteten Java-Version, dafür aber mit etwas aufgehübschter Grafik. Ein weiterer Clone lief unter aktuellem Windows (bis Win 7 gestestet) und mit dem Emulator Wine unter Linux (getestet auf Ubuntu). Letztere Version nutzt die orginale Grafik aus den Spielen und läuft auch ohne Installation bei Bedarf auch vom USB Stick mit mindestens 128 MB Kapazität.

Was ist Dungeon Master?

Dungeon Master Teil 1 aus Return to Chaos
Dungeon Master Teil 1 aus Return to Chaos

Dungeon Master ist der erste Teil einer Reihe von drei Grafikrollenspielen, die von ca 1988 bis 1995 herauskamen. Die ganze Reihe wurde unter dem Titel Return to Chaos zusammengefasst und beinhaltete insgesamt 3 Spiele und einen Editor. Dungeon Master kam 1988 heraus, gefolgt 1989 von Chaos Strikes Back und 1995 dann sehr verspätet und zu der Zeit schon mit veralteter Grafik Dungeon Master 2.

Das Spielprinzip ist recht simpel gestrickt. Der Spieler sucht sich eine Gruppe aus 4 Kämpfern aus Bilderrahmen aus und erweckt die verstorbenen Helden mit schon festgelegten Startwerten zum Leben. Die Zweite Option ist eine Wiederauferstehung ohne vorbereitete Talente, so hat der Spieler die Möglichkeit die Helden mehr nach seinem eigenem Gusto zu trainieren. Die Figuren werden schließlich Schritt für Schritt durch ein unterirdisches Labyrinth geschickt, in dem diese gegen diverse kreuchende und fleuchende Kreaturen wie Mumien, Skelette, Ritter und so weiter kämpfen müssen. Unterwegs sind natürlich einige Rätsel zu lösen, beispielsweise bestimmte Schalterkombinationen zu finden, um eine Tür zu öffnen und so weiter. Um sich gegen die fiesen Gegner zu behaupten, findet der Spieler im Laufe von Dungeon Master immer mehr nützliche Waffen und Gegenstände, die er zum Totschlagen des Getiers benötigt. Zudem gibt es eine Menge mächtiger Zaubersprüche, die nicht wie bei anderen Rollenspielen vorgefertigt vorliegen. Nein, diese müssen durch Zusammenklicken von Runensymbolen vorbereitet werden.

Was zu erreichen ist!!

Die Ziele der Serie sind recht einfach gestrickt, aber schwer zu erreichen. In Dungeon Master muß der Firestaff von Lord Chaos zerstört werden und die gute und die böse Hälfte von Lord Grey wieder zusammengefügt werden. In Chaos Strikes Back gilt es den wiederauferstandenen Lord Chaos erneut zu vermöbeln, der durch ein magisches Erz seine Macht verstärken will. Und im letzten Teil der Serie, Dungeon Master 2, welches mal ausnahmsweise zum größten Teil völlig oberirdisch spielt, muß eine uralte Maschine mit dem grandiosen Namen Zo-Link repariert und aktiviert werden, um Dämonen und Geister aus der Unterwelt den Zutritt zum irdischen Leben zu verwehren.

Dungeon Master Teil 2 aus Return to Chaos
Dungeon Master Teil 2 aus Return to Chaos

Die beiden Dungeon Master Clone

Das war ein kleiner Exkurs in die Geschichte von Dungeon Master und seiner Nachfolger. Im Internet bin ich auf zwei Versionen gestoßen, die man ohne große Mühen auf aktuellen Betriebssystem spielen kann, ohne irgendwelche Emulatoren auf Windows, mit Java auf Mac und mit Wine auf Linux. Aber mehr dazu gleich.

Eine Version heißt Return to Chaos und diese gibt es als Freeware im Internet zum kostenlosen Download. Mit von der Partie sind natürlich alle drei Teile der oben besprochenen Serie. Grafisch lehnen die sich originalgetreu an die Originale aus den späten achtziger und den frühen neunziger Jahren an, das will heißen, daß genau die selben Grafiken aus den original Spielen genutzt wurden. Das Spielprinzip wurde auch unverändert übernommen. Neu ist nur der Motor unter der Haube. Das Spiel läuft flüssig ohne Installation unter sämtlichen Windows (getestet ab Windows XP) auch vom USB Stick. Dazu wird die Archivdatei nur entpackt und schon kann man per Doppelklick auf RTC.exe loslegen. Nötig ist nur ein DirectX ab Version 3. Neben den 3 Originalspielen wir im Bundle auch noch ein textbasierter Dungeon-Editor mitgeliefert, mit dem der geneigte Spieler natürlich auch seine eigenen Dungeons erstellen und mit anderen Leuten tauschen kann. Zudem kuriseren im Internet auch noch genug andere Dungeons zum freien Download. Funktionstüchtig ist diese Version unter Windows und unter Linux mit halbwegs aktuellem Wine. Man benötigt im Gegensatz zu alten DOS-Programmen keine DOSBox als Emulator, daher entfällt das lästige Gefrickel mit der Konfiguration zusätzlicher Programme.

Dungeon Master Java heißt eine zweite Version von Dungeon Master. Diese Version ist grafisch etwas aufgehübscht. Leider benötigt es für eine veraltete Javaversion in der Version 1.4 als Voraussetzung. In dieser Version wurde nur der erste Teil, Dungeon Master, umgesetzt. Mit im Pack findet sich ein feiner grafischer Leveleditor, mit dem man wieder seine eigenen Levels erstellen kann. im Internet findet man auch hierzu eine Menge feiner Karten. Zwei Add-On Packs fügen neue Grafiken und Monster ein. Lauffähig ist das unter Windows und Mac.

Dungeon Master Java
Dungeon Master Java

Fazit

Wer auf Retrogames steht und Dungeon Master mag, ist bei den beiden Versionen gut aufgehoben. Die Steuerung ist Intuitiv. Kleiner Kritikpunkt: Man muß Englisch können, um die Anleitung zum Editor zu verstehen. Return to Chaos liefert alle Teile der Dungeon Master Serie in einem, dazu einen guten Dungeon Editor. Dungeon Master Java benötigt zugegebenermaßen ein altes Java, was einen zusätzlichen Minuspunkt bedeutet. Leider werden beide Versionen seit Jahren nicht mehr weiterentwickelt, aber es gibt zumindestens noch eine rege Community, die im Netz Dungeons tauscht.

Update 27. Oktober 2013

Auf mehrere Anfragen und Anmerkungen zu Sicherheitsproblemen, die mit einer alten Java-Version einhergehen, habe ich in einem späteren Blogartikel im Oktober 2013 noch ein kleines Workarround erstellt, wie man den Sicherheitsproblemen unter Java 1.14 begegnen kann. Weiterhin gibt es einige Startprobleme bei Dungeon Master Java bei Rechnern mit mehreren Grafikprozessoren. Diese Probleme betreffen Rechner mit einer Grafikeinheit auf dem Prozessor (Intel ab Ivy-Bridge) und einer zusätzlich verbauten Grafikkarte. In dem gerade erwähnten Blogbeitrag bin ich auch auf dieses Problem eingegangen. Ein Taxi zu dem Artikel mit dem Workarround findet ihr wie immer unter den Links am Ende des Beitrages.

Weblinks

  1. Return to Chaos – Download – Forum – Anleitung
  2. Dungeon Master Java – Binaries – Javaruntime
  3. Dungeon Master Java – Addon Packs
  4. Dungeon Master Enzyklopädie – Dungeons und Wissenswertes zu allen Dungeon Master Clones

 

Update Dezember 2015

Der Link zu Return to Chaos gilt seit einiger Zeit nicht mehr. Der Autor dieses Clones hat die Downloads vom Netz genommen. Die komplette Versionshistory von Return of the Chaos habe ich auf meinem Dropbox-Konto verpackt.

  1. Versionshistory Return to Chaos – ca. 140 MB
  2. Custom Dungeons für Return to Chaos
  3. Return to Chaos – V 0.49 – ca. 12 MB

 

Problembehebungen und Sicherheitsworkarround bei DMJ, sowie weiterführende Artikel

Ähnliche Games

  1. Alte Katakomben – Neuer Spielspaß – Legend of Grimrock (Die Medienspürnase)
  2. Legend of Grimrock wird editierbar (Die Medienspürnase)
  3. Legend of Grimrock 2 – Ankündigung für Mitte Oktober – @Medienspürnase

Von Affenzirkus und Kasperltheater in Berlin

Frau Merkel und Herr Obama zu PRISM
Frau Merkel und Herr Obama zu PRISM

Kontrollausschüsse, die andere Ausschüsse kontrollieren sollen, die zur Aufklärung der NSA Spähaffäre dienen, werden in Berlin gebildet. Jeder weißt aktuelle Vorwürfe von sich, gerade wenn es darum geht, in wie weit mit den amerikanischen Geheimdiensten kooperiert wurde. Nachdem man Herrn Pofalla im Visier hat, sucht man schon wieder den nächsten Schuldigen, der die gegen ihn erhobenen Vorwürfe von sich weißt. Gerade ist in Berlin eine Anhörung durch die schwarz-gelbe Koalition geplatzt, weil man Herrn Steinmeier nicht genug vorbereitungszeit zugestanden hätte… Da fragt man sich, wozu ein Politiker viel Vorbereitungszeit benötigt? Wenn in Industrie und Wirtschaft gegen einen Arbeitnehmer schwere Vorwürfe erhoben werden, gibt es auch keine großartige Vorbereitungszeit bevor der Arbeitnehmer wegen Fehlverhalten abgemahnt oder entlassen wird. Sollte es nicht in der Politik genaus sein?

Lustig ist der Affenzierkus in Berlin allemal, da Herr Steinmeier die Vorwürfe gegen ihn, er haben 2002 intensiv mit den amerikanischem Bündnispartner in der Spähaffäre kooperiert, zurückweist und der aktuellen Bundesregierung vorwirft, diese würde nicht genug tun, dieses ganze Desaster aufzuklären. Anstatt sich zusammenzraffen und irgendetwas greifbares gegen aktuelle Spähprogramme vorzuweisen, gehen sich unsere Politiker gegenseitig an die Gurgel, scheinen von nichts zu wissen und veranstalten zur Freud und zum Leid des Volkes und weit         ab von dem einen Kindergarten, wie er nicht besser im Buche stehen kann.

Update am 13. August 2013

Dieser Kindergarten steckt wohl mittlerweile auch das weiße Haus in Washington an. Dort soll der Geheimdienstkoordinator James Clapper die Überwachung der NSA prüfen. Herr Klapper (nein das K ist gewollt also kein Fehler) ist schon seit Jahren für die aktuelle Obama Regierung als Aufsicht für die Geheimdienste tätig. Er soll nun prüfen, ob die Geheimdienste ihre technischen Fähigkeiten so einsetzen, daß die nationale Sicherheit gewährleistet ist.

Und das nach dem Herr Obama von Transparenz gesprochen hat… Transparenz ist, seit dem unsere Piratenpartei in den Berliner Senat gewählt worden ist, ganz schön zum Unwort mutiert… jeder fordert Transparenz, aber den meisten fehlt, wie es scheint der Durchblick. Statt Transparenz zu fordern heuert doch mal eine Putzfrau für eure echten und imaginären Brillen an, damit sollte man wieder einen klaren Durchblick bekommen.

Mail Made in Germany – Mailprovider in Deutschland werben um Vertrauen

Seit ein paar Tagen werben drei große Mailanbieter aus Deutschland mit sicheren Mailverschlüsselung unter dem Namen Mail Made in Germany. Doch was nützt dieses Verfahren dem Endkunden wirklich? Hilft es gegen die Spionage durch BND, NSA und andere Geheimdienste?

Erst einmal zu Mail Made in Germany. GMX, Web.de und die deutsche Telekom werben neuerdings mit einer Technologie, die seit gut 2 Jahrzehnten bekannt ist. Diese Technologie heißt SSL/TLS und soll den Mailverkehr zwischen dem Absender, dem Mailprovider (hier GMX, Web.de und Telekom) verschlüssen.

Was soll dabei passieren?

Der Absender einer E-Mail loggt sich mit seinem Mailprogramm, beispielsweise Outlook oder Thunderbird oder mit seinem Browser in sein Postfach bei einem der drei genannten Anbieter ein. Dieses Postfach liegt auf einem großen Server, der die abgesendeten E-Mails entgegennimmt und an die Empfänger ausliefert.

Vergleichen wir das ganze mit einem anderen Konzept, der deutschen Post. Vereinfacht dargestellt ist eine E-Mail eine Postkarte, jeder, der die Karte in der Hand hat, kann lesen was drauf steht. Diese Postkarte schafft der Absender zur Post, die diese entgegen nimmt und dann zum Empfänger ausliefert.

Hat sich der Briefeschreiber mit seinem Browser oder Mailprogramm bei seinem Postfach angemeldet kann er schon mit dem Schreiben seiner Mail loslegen. In der Regel geschieht das noch auf dem Rechner desjenigen, der die Mail verfasst.

Klickt er auf den Knopf mit der Aufschrift Versenden, wird die E-Mail, also unsere Urlaubspostkarte, dem Mailprovider, wie die Postkarte der Post, übergeben. Nun kann aber auf dem Weg zwischen dem Computer unseres Briefe schreibenden Absenders und dem Server des Mailproviders so allerhand passieren. Jemand kann die Mail abfangen, lesen und verändern, das geht aber bereits erst mit einigem technischen Aufwand. Und da greift jetzt SSL/TLS.

Auf dem Weg zwischen Absender und Mailprovider, bzw auf dem Weg zwischen Mailprovider und Empfänger wird unsere elektronische Postkarte verschlüsselt. Nun wird es schwieriger die Mail zwischen den einzelnen Stationen zu entführen und zu verändern oder auch nur zu lesen. Eine Mail gelangt meist über mehrere Stationen vom Absender zum Empfänger. Der Absender übergibt die Mail an einen Server seines Mailproviders. Der Absenderserver sucht in einem Register wo denn der Empfänger gemeldet ist und übergibt die Mail dann an den Server des Mailproviders wo der Empfänger eingetragen ist, also wo er sein Postfach hat. Dieser Server legt dann die Mail in das Postfach des Empfängers. Also kommen auf dem Weg der Mail vom Absender zum Empfänger mindestens noch zwei Stationen dazu, in der Praxis kann das aber noch mehr werden, wenn die Mail noch durch verschiedene Netze geroutet werden muss.

Was hat der Kunde von dieser Verschlüssselung?

Mit dieser Technologie werben jetzt Web.de, GMX und die Telekom. SSL/TLS ist schon fast zwanzig Jahre alt, wurde aber in den letzten Jahren, was die Kommunikation via E-Mail anbetrifft, nie wirklich genutzt. Jetzt führen genannte Provider diese Sicherheit ein und bewerben es für den Laien als die ultimative und neueste Sicherheit gegen Prism, Tempora und co.

Für den Endkunden bedeutet es nur, daß der Weg zwischen Absender und Mailserver beziehungsweise zwischen Mailserver und Empfänger und zwischen den einzelnen Mailservern gesichert ist. Ob die Mails selbst auf den Mailservern noch verschlüsselt sind, wird verschwiegen.

In den Enthüllungen von Edward Snowden wurde, laut verschiedensten Meldungen in den Medien, auch behauptet, daß diverse Diensteanbieter in der Kommunikationsbranche, vorrangig in England, dazu verdonnert wurden, an an ihren Servern sogenannte Abhörschnittstellen zu installieren. Ob und in wie weit soetwas in Deutschland passiert ist derzeit noch unklar. Durch solche Berichte wird jedenfals das Vertrauen in Diensteanbieter grundlegend erschüttert. Ob das auch noch andere Dienste betrifft, ist derzeit unklar.

Fazit

Die Ideen der deutschen Mailprovider sind ein schwacher Anfang in die richtige Richtung, klingen aber vor dem Hintergrund der Spähgaffäre insgesamt wie Hohn. In den letzten Jahren kam von keiner Stelle aus eine richtige Initiative, die dem Otto-Normal-Endkunden praktikable und verständliche Lösungen angeboten haben, seine Daten sicher und für andere unleserlich über das Internet zu versenden. Momentan muß jeder Endkunde sich vor Augen halten, daß eine E-Mail nichts anderes ist als eine Postkarte, die jeder lesen, verändern und kopieren kann. Von den Mailprovidern müssen langsam praktikable Lösungen für alle kommen, denn sonst bleibt Verschlüsselung nur denjenigen vorbehalten, die sich tiefer mit der Materie auskennen. Durch diesen Ansatz kann man den drei Mailprovidern Telekom, GMX und WEB.de nicht wirklich hundertprozentig vertrauen, denn eine Mail ist wirklich erst sicher, wenn man diese mit PGP oder S/Mime verschlüsselt versenden kann. Die alleinige verbarrikadierte Verbindungen zwischen den einzelnen Sendestationen reicht nicht aus, die Mails müssen auch weiterhin auf den Servern der Provider verschlüsselt bleiben das ist nur durch PGP erreichbar. Es muss also ein komplettes Umdenken in der Kommunikationsbranche her, sonst hat jeder Nerd seine eigene Insellösung und die restlichen 90 Prozent der breiten Masse mailen noch ungesichert und für jeden Geheimdienst gut mitlesbar. Zumindestens sind gut gesicherte Mails für einige Zeit vor unbefugtem Zugriff sicher, solang bis die Geheimdienste auf schiere Rechenpower und geknackte Schlüssel zurückgreifen können.

Tip

Jedes Jahr auf der CeBit in Hannover ist der Heise-Verlag vertreten und seit einigen Jahren kann sich jeder dort gegen Vorlage eines Ausweises und seinen Mailadressen Schlüssel und Zertifikate für das Versenden seiner Mails erstellen lassen.

Ein Tag im Leipziger Zoo

Das etwas kühlere Wetter in den letzten Tagen hat mich aus meinem Keller wieder hervorkriechen lassen. Weil ich nicht mehr wußte wie frische Luft überhaupt riecht, habe ich mich einfach mal ins Auto gesetzt und bin nach Leipzig in den Zoo gedüst. Die Preise für einen Tag sind, wenn man das riesige Areal, die Menge an untergebrachtem Getier und die Aufmachung des Zoos betrachtet noch recht moderat, doch bei Familien mit Kind(ern) wird dann der Eintritt schon recht teuer, zumal nicht nur das Essen, sondern die Preise dafür in den verschiedenen Restaurants und Imbissbuden auf dem Zoogelände schön gesalzen und gepfeffert sind. Da kann für eine kleine Familie schon mal am Tag ein Hunderter drauf gehen. Dazu kommen noch die Parkgebühren von 1 Euro pro angerissener Stunde, bis 6 Euro pro Tag.

TageskartePreis
Erwachsener17 €
Ermäßigt14 €
Kinder10 €
Eltern-Kind43 €
Abendkarte10 €

Das Wetter hat heute in Leipzig mit um die 20 Grad und Wolkenschein (keine Sonne, kein Regen, dafür aber bedeckt) recht gut durchgehalten. Wir waren so gegen 11 Uhr anwesend, ziemlich überrascht, daß an den 4 offenen Kassen sich schon lange Schlangen, aus Menschen natürlich, gebildet haben. Das war wahrscheinlich dem Wetter heute zu verdanken, daß soviele Leute auf die selbe Idee kamen wie wir.

Ich war selbst seit mehreren Jahren nicht mehr im Leipziger Zoo gewesen und war recht positiv angetan, über das was sich seither dort getan hat. Sicher es gibt noch ein paar Baustellen dort, man baut gerade ein neues Gehege für die Leoparden, wo heute nur ein einziger zu sehen war. Einige Tierchen leben derzeit noch in alten Käfigen aus Zeiten der guten alten DDR, das sind besagte Leoparden, aber auch noch einige Vögel aus den Tropen und unseren Breiten.

Überrascht war ich über das neue Gondwanaland, was ich bisher noch nie gesehen habe. Gestaltet ist das wie ein tropischer Regenwald, in dem etliche Vögel und ein paar Kleintiere herumfliegen und klettern. Integriert sind noch ein paar Terrarien, Aquarien und Gehege für größere Tiere, wie Krokodile, Piranhas und Tapiere. Ein paar Totenkopfaffen kamen ziemlich nahe auf Tuchfühlung an uns heran.

Fazit

Ein etwas teurer Familienspaß für einen ganzen Tag, gerade wenn man auf Plätze mit vielen Menschen steht. Kinder kommen ganz auf ihre Kosten, denn an jeder Ecke stehen Spielplätze und Eisbuden, man sollte aber durchaus auf die kleinen Racker acht geben, denn in einer solchen Menge sind sie schnell mal verschwunden.

Der obligatorische Link am Ende

Leipziger Zoo

Neues WordPress mit dem Namen Oscar

Das neue WordPress 3.6 wurde zu Ehren des Jazzpianisten Oscar Peterson auf den Namen Oscar getauft und bringt einige Neuerungen mit sich. Die offensichtlichste Neuerung für den Besucher eines WordPressBlogs ist das neue einspaltige Standardtheme Twenty Thirteen. Es ist reichlich farbenfroh und sehr flexibel, damit passt es den Inhalt automatisch an die Größe jedes Bildschirms an.

Für professionelle oder Hobbyautoren gibt es nun eine verbesserte Versionsverwaltung für gespeicherte Artikel. Man kann nun zwei verschiedene Revisionen eines Artikels direkt miteinander vergleichen und gegeneinander austauschen. Die neue Revisionsverwaltung zeigt jedes geänderte Wort einzeln an.

Neu ist außerdem ein integrierter HTML5 Medienplayer zur besseren Einbindung von Audio/Video Dateien, die auf dem eigenen Webspace oder Server liegen. Eine Überraschung hielt WordPress 3.6 nun doch noch für mich bereit. Der Linkmanager wurde doch nicht entfernt, zumindestens läuft er noch in meiner Installation, da ich schon mit einer früheren WordPressversion kleiner 3.5 angefangen habe zu bloggen. Bleibt mir zu wünschen, daß der Linkmanager und die Blogrolle noch lange Zeit erhalten bleiben. Wer mit einem neueren WordPress zu bloggen beginnt und dennoch eine Blogrolle nutzen möchte, kann sich in der Datei functions.php folgende Zeile eintragen, bzw ändern.

add_filter( 'pre_option_link_manager_enabled', '__return_true' );

Mittlerweile sind alle meine Updates auf dem neuesten Stand für WordPress 3.6 und laufen mit der neuen Version auch einwandfrei ohne zu mucken. Die neue Version von WordPress ist recht gut durchdacht und durchaus zu empfehlen.

Mein liebes und prüdes Deutschland

Laut der aktuellen Bild-Zeitung will der CSU Jugendschutzexperte Norbert Geis(t) eine Pornoschranke nach dem englischen Vorbild von Herrn Premier Cameron einrichten, allein nur zum Schutz der Jugend. Nein Halloween ist noch nicht, hab ich doch bei dieser Meldung auf den Kalender schauen müssen, um zu erfahren, daß noch fast 3 Monate bis zu diesem Datum fehlen.

Diese Schranke zu umgehen braucht einen schriftlichen Antrag des Internetnutzers. Man möchte auf Seiten der Provider spezielle Filter mit diversen Altersfreigaben einrichten. Und Filter bedeuten immer Zensur und bessere Kontrolle. Irgendwann sind es nicht nur nackte Damen und Herren, die gefiltert werden, sondern Anfangs auch Glücksspiele, weil bei Onlineglücksspielen der Staat nichts mehr verdient und später auch Die eine oder andere politische Meinung.

Steht der Filter, holen sich Jugendliche ihren Kick woanders, gibt es doch an Tankstellen und in Presseläden diverse Zeitschriften zu kaufen. Hat man es damals vor 3 oder 4 Jahren mit Netzsperren gegen Kinderpornografie versucht, probiert die Politik heute etwas zum Schutze der Jugend einzuführen, nur um unliebsame Inhalte aus dem Internet zu verbannen.

Leute, es gibt mittlerweile Gesetze in Deutschland, die solche Anbieter von diversen Materialien verpflichten, eine Identitätsprüfung durchzuführen, bevor sie Leuten den Zugang zu diesem Material gewähren. Weiterhin wird an den meisten Ecken des Internets und Enden solcherlei Zeug verkauft, was so oder so ersteinmal ein aktives Kundenkonto bei den entsprechenden Seiten benötigt. Reicht euch Politikern die vorhandene Gesetzeslage nicht aus? Muß der Staat sich wieder in familiäre Dinge einmischen?

Hier ist definitiv nicht der Staat gefragt um die Jugend mit allgemeinen Filtern zu schützen. Bei soetwas müssen Familien und Lehrer heran, um die Jugendlichen aufzuklären. Warum will man Bilder von nackten Damen und Herren verbieten, wenn man denn soetwas ständig im Saunabereich des nächsten Hallenbades oder am FKK-Strand des nächsten Badesees sehen kann? Dorthin dürfen auch unter 18-jährige. Oder man muß sich auch noch schriftliche Genehmigungen einholen, um sich an diesen Orten zu entspannen.

Nein Herr Geis, ihre Ansichten sind etwas veraltet. Lassen sie die Filter und suchen sich etwas anderes. Machen Sie sich gegen Zigaretten und Alkohol stark, beides schädigt mehr, als der Genuss ein paar schmuddeliger Bilder und Filmchen.

Weitere Links zum Thema:

Von Sommerhitze, Sommerlöchern und dem gemütlich kalten Keller

Seit Wochen schwitzt Deutschland in einer hochsommerlichen Hitze um die Dreißig, Fünfunddreißig Grad Celsius im Schatten. Genauso geht es eurer Medienspürnase, die sich in ihren kalten und etwas feuchten Keller zurückgezogen hat, wo sich der Sommer gut überstehen lässt. In den Medien leckt, wie jedes Jahr um die selbe Zeit, gähnende Langeweile, ein sogenanntes Sommerloch. Nur ein Thema füllt dieses Loch halbwegs aus, die Spähaffäre um PRISM und Tempora und den deutschen BND, der auch so seine Daten über uns und andere im Keller stapelt Jeden Tag kommen neue Details ans Licht, an jedem sonnigen Tag reden sich die Gemüter um diese Sache immer heißer. Jeder regt sich über dieses Spähprogramm auf, die Politiker machen ihre üblichen leeren Versprechungen und bis zur Wahl passiert nichts. Nach der Wahl noch viel weniger… Viel heiße Luft… wie wir sie diesen Sommer zur genüge außerhalb meines gemütlichen kalten Kellers haben.