Skip to content

Wichtiges Update für den Kindle: keine Panik!


tl;dr; Das wichtige Kindle Update betrifft nur den Cloud-Zugriff für Geräte vor 2013, die lange nicht online waren und daher bisher kein Update bekommen haben. Das Update gibt es für alle jemals verkauften Kindle und lässt sich später über den PC installieren. Alles ist gut.

Momentan ist überall zu lesen, dass Amazon den Kindle-Nutzern die Pistole auf die Brust setzt: Update einspielen oder das Gerät wird unbrauchbar! Oder gesperrt. Oder dies oder das. Fast alle Meldungen dazu sind Unsinn. Zumindest unsachlich, unvollstängig oder es geht eh nur um eine Clickbait-fähige Überschrift.

Keine Panik! Das Update ist eine gute Sache und alles ist entspannt.

Die Fakten:

  • Amazon hat vor etwa einem Monat angefangen E-Mails an Kindle Nutzer zu verschicken und sie darauf hinzuweisen, dass sie die neueste Firmware installieren müssen um nach dem 22.03.2016 Zugriff auf die Onlinedienste zu haben.
  • Potenziell betroffen sind alle Geräte vom ersten Kindle von 2007 bis etwa zum ersten Paperwhite von 2012 die in den letzten Wochen nicht online waren. Bei Amazon gibt es eine Übersicht welche Firmwareversion die jeweiligen Geräte jeweils mindestens haben müssen.
  • Viele bis die meisten potenziell betroffenen Geräte dürften eh schon die neueste Version installiert haben, es sind größtenteils keine neuen Updates.
Zum Update selbst:
Es handelt sich um ein Sicherheitsupdate für die Onlineverbindung. Das Update ändert keinerlei Funktion, es werden nur Sicherheitszertifikate ausgetauscht die die Onlineverbindung mit den Amazon-Servern verschlüsseln. Irgendwo hatte ich gelesen, dass die alten Zertifikate SHA1 verwenden, dieser Algorithmus gilt seit Oktober letzten Jahres als unsicher.
Amazon sorgt also dafür, dass die Kommunikation wieder sicher ist und ändert die Zertifikate auf dem Server und zwangsläufig auch auf den Geräten. Die Sicherheitspolitik von Amazon ist hier wirklich vorbildlich, denn zum einen gibt es offenbar schon seit Jahren neue Zertifikate, Geräte und Firmwares ab ca. 2013 sind daher auch nicht betroffen.
Amazon Kindle 1. Generation
Bild: Jon ‘ShakataGaNai’ Davis [CC BY-SA 3.0]

Zum anderen stellt Amazon das Sicherheitsupdate für alle jemals verkauften Kindle bereit, einschliesslich der ersten Generation da rechts die du bestimmt noch nie gesehen hast.
Das Update ist also entweder das letzte “normale” Firmwareupdate oder für die ganz alten Geräte wirklich ein Mini-Paket das nur die neuen Zertifikate enthält (das für die erste Generation ist gerade einmal 13kB klein).

Fazit:

Das Update ist also eine gute Sache und hat auch ansonsten keine bösen Hintergedanken oder Einschränkungen.
Nach dem Stichtag funktioniert der Kindle zum lesen genauso wie vorher, was nicht mehr funktioniert bis zum Update ist die Synchronisation und der Shopzugriff vom Kindle aus. Die Geräte, die davon betroffen sind, werden mit ziemlicher Sicherheit aber eh offline benutzt, denn sonst hätten sie das Update schon online bekommen. Es dürfte also für diese Geräte schlicht nicht relevant sein.
Nach dem 22. März geht die Welt also nicht unter, die Geräte kann man normal weiter benutzen. Der einzige Unterschied ist, daß bis dahin die Geräte das Update automatisch bekommen wenn sie online gehen und danach muss man das Update selbst am Computer herunterladen und auf den Kindle kopieren und das Update starten. Das ist auch schon der schlimmste Fall.
Wer unsicher ist sollte also einfach mal auf die Übersichtsseite gehen und die Versionsnummern vergleichen. Den Reader online gehen lassen reicht aber auch aus.

Insgesamt ist es eine schlimme Panikmache die ich überall lese um ein Update, das eigentlich vorbildlich ist.

Let's Encrypt: kostenlose SSL Zertifikate für alle

Die Daten die wir im Internet eingeben laufen im Zweifelsfall um die halbe Welt und spätestens seit Snwoden hat wohl jeder mitbekommen, dass die Daten zwischendurch auch abgegriffen werden können.
Nun mag man wohl zu Recht davon ausgehen, dass die NSA nicht über den persönlichen Amazon-Account etwas bestellen wird aber das Problem betrifft zum Beispiel auch WLAN-Verbindungen. In einem WLAN kann jeder mithören der es will.
https Verschlüsselung der Anmeldung bei amazon.deHändler wie Amazon verschlüsseln daher die Anmeldung, aber diese Zertifikate die der Browser in der Adresszeile grün markiert kosten Geld und daher haben idR. nur Seiten diese Sicherheit die damit auch Geld verdienen.
Es mag nun nicht sehr wichtig erscheinen, ob ein Häkel-Forum verschlüsselt ist, aber mal Hand aufs Herz: Hast Du für jede Webseite eine eigene E-Mail Adresse und Kennwort festgelegt? Oder könnte man mit den Login-Daten des Häkel-Forums auf einen Online-Händler oder Dein E-Mail Postfach zugreifen oder hätte es evtl. einfacher? Vielleicht magst du es auch nicht, wenn ein Scherzkeks unter deinem Namen die anderen Mitglieder im Häkel-Forum beleidigt.

Langer Rede, kurzer Sinn: Verschlüsselung hat Sinn und sollte auch Standard sein. So ein Zertifikat ist aber aufwändig und kostet Geld.
Bisher, denn mit Let’s Encrypt gibt es einfach und kostenlos Zertifikate für jeden.

"Let's Encrypt: kostenlose SSL Zertifikate für alle" vollständig lesen

Feuerwehr vs. Schwedenstahl

Die Feuerwehr kommt nicht nur wenn’s brennt, sondern auch wenn sonst Hilfe benötigt wird. Keller auspumpen fällt wahrscheinlich jedem ein, aber auch bei Verkehrsunfällen werden wir gerufen. Technische Hilfe nennt sich der gesamte bereich bei dem es nicht ums löschen geht (auch wenn z.B. bei Autounfällen grundsätzlich immer alles aufgebaut wird um jederzeit löschen zu können).

Gestern hatten wir mit und bei der Freiwilligen Feuerwehr Hürup-Weseby einen Übungsabend Technische Hilfe, es ging um Vehrkehrsunfälle mit hydraulischem Rettungseinsatz unter Einsatz von Schere und Spreizer,“Opfer” war ein Volvo 850 den wir erst zwei mal mit Muskelkraft gedreht und anschliessend hydraulisch geöffnet haben:

Feuerwehr mit Spreizer an Volvo-Tür

Im weiteren Verlauf wurden alle Türen geöffnet und der Volvo zum Cabrio gemacht wink. So konnte fast jeder mal mit den hydraulischen Werkzeugen arbeiten — sie sind schwer aber ansonsten sehr einfach zu benutzen.
resqme RettungswerkzeugVor dem zerschneiden kommen die Scheiben raus, dabei war es gut festzustellen, dass das Resqme Notfallwerkzeug das ich am Schlüsselbund habe auch praktisch einfach funktioniert. An die Scheibe halten und leicht drücken, schon schnellt ein Dorn heraus der die Scheibe zertrümmert. Zur Ausrüstung der Feuerwehr gehört soetwas auch, genial die Dinger. Wer mit dem Gedanken spielt, sich einen Notfallhammer ins Auto zu packen sollte lieber so ein Notfallwerkzeug nehmen, neben dem Dorn zum (Seiten-)Scheiben zertrümmern ist auch ein Gurtschneider dran. Und am Schlüsselbund hat man ihn immer dabei, denn wahrscheinlich wirst du ihn benötigen um anderen zu helfen.

Jedenfalls kann kein Schweden- oder sonstiger Stahl die Feuerwehr aufhalten wenn sie jemandem retten soll, sind die Träger zu massiv werden sie nicht elegant zerschnitten sondern per Zylinder sanft aber sehr bestimmt auseinander gedrückt. Da bleibt kein Dach auf der B-Säule und durch die Rettungskarte (bei der Dekra auch für mehr Modelle zum download) wissen die Retter auch wie sie am schnellsten an die Opfer kommen, entweder über die Karte im Auto oder digital dabei. Du willst im Notfall schnell Hilfe haben, also mach es deinen Rettern möglichst einfach laugh!

Das HPI überprüft ob E-Mail Adressen geleakt wurden

Eine etwas sperrige Überschrift, aber mir ist nichts besseres eingefallen :O

Man kann ja immer öfter hören, dass E-Mail Adressen oder mehr aus Kundendaten -geklaut kopiert wurden. Anfang des Jahres hatte das BSI eine Prüfmöglichkeit eingerichtet, die aber ständig überlastet war und sich auch nur dann meldete wenn die abgefragte Adresse gefunden wurde. Bei der geringen Kapazität die das BSI bereit gestellt hatte kamen die Mails oft Tage später an. Und sagte dann auch nur aus “ja, die Adresse wurde kopiert.” keine Details und da man keine Information bekam wenn die Adresse nicht betroffen war, war man durch die Überlastung im Prinzip nur dann sicher, wenn man die Nachricht bekam, dass die abgefragte Adresse betroffen ist.

Sehr viel besser macht es das Hasso-Plattner Institut der Uni Potsdam. Deren Identity Leak Checker antwortet auf jeden Fall, also auch wenn man nicht betroffen ist. Und wenn man betroffen ist, wird konkret angegeben, was betroffen ist mit entsprechenden Hinweisen.
Für meine Adresse die ich (nur) bei Adobe hinterlegt habe und die bei Adobe kopiert wurde sieht das so aus:

Achtung: Ihre E-Mail-Adresse (hier steht die Adresse) taucht in mindestens einer gestohlenen und unrechtmäßig veröffentlichten Identitätsdatenbank (so genannter Identity Leak) auf. Folgende sensible Informationen wurden im Zusammenhang mit Ihrer E-Mail-Adresse frei im Internet gefunden:



PasswortVor- und ZunameKreditkarteBankkontodatenTelefonnummerAnschriftGeburtsdatumSozialversicherungsnummer
Nov. 2013

Gefolgt von dem Hinweis das Kennwort zu ändern, mehr wurde bei Adobe ja nicht kopiert. Bei anderen Leaks kann es anders aussehen, davon bin ich aber glücklicherweise nicht betroffen.
Leider habe ich keine Informationen darüber gefunden aus welchen Leaks das HPI die Daten vorliegen hat, also wie vollständig sie sind. Auf einer eigenen Statistikseite kann man aber sehen, dass aber 170 Millionen Identitäten vorliegen und auch aus welchen Zeiträumen sie stammen. Das häufigste Kennwort in der Datenbank lautet übrigens “123456”. Wer das verwendet gehört aber sowieso gesteinigt cool

Millionen E-Mail Konten gehackt, beim BSI prüfen ob man betroffen ist

Bei der Analyse von Botnetzen sind 16 Millionen E-Mail Adressen mit Kennworten entdeckt worden.
Es sind wahrscheinlich nicht die Kennwörter für die E-Mail Konten selbst sondern für Onlinedienste oder -Shops bei denen man sich mit E-Mail und Kennwort anmeldet.

Die Adressen wurden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übergeben und dieses hat eine Seite online gestellt auf der man seine E-Mail Adresse prüfen kann.
Ist die eigene Adresse betroffen soll man eine E-Mail mit weiteren Informationen und Tipps für das weitere vorgehen bekommen. Ich habe verschiedene Adressen geprüft und noch keinen Treffer gehabt, von daher kann ich nicht genau sagen was weiter drin steht. Mit Sicherheit, dass man das Kennwort ändern sollte.
Lässt man eine Adresse überprüfen wird ein Sicherheitscode ausgegeben der auch im Betreff der evtl. ankommenden Hinweismail steht. Du solltest die Mail nur öffnen wenn der Code stimmt! Also gut merken. Es ist zu erwarten, dass es Trittbrettfahrer geben wird die gefälschte Hinweismails verschicken mit falschen Tipps.

Also prüfe Sicherheitshalber deine E-Mail Adresse(n). Die Seite ist aber schon den ganzen Tag sehr überlastet, probier es dann später noch einmal.

via Heise Newsticker und diversen anderen Medien im Internetz

Erinnerung: Morgen Internetsicherheit

Flensburg

Da rechts hab ich den Hinweis ja die ganze Zeit stehen gehabt, aber für diejenigen die nur die Artikel lesen und RSS Leser noch einmal der Hinweis auf unsere Veranstaltung Sicher@#Neuland Morgen HEUTE.
Komm vorbei! smile


Nachtrag: Eine schöne Veranstaltung die aber leider schlecht besucht wurde. Schade, dass die Holzmedien wie der SHZ sie nicht angekündigt haben obwohl sie informiert waren. sad

Veranstaltung: Sicher@#Neuland (Internetsicherheit)

Flensburg

Sicherheit im Internet ist in aller Munde und deswegen veranstaltet die Linux User Group Flensburg zusammen mit dem Jugendring Flensburg am 26.10.2013 einen Sicherheitstag im Jugendkulturhaus Exe mit dem Titel

Es gibt Vorträge und Praxistische an dem du auch weitergehende Fragen stellen oder dir an deinem Laptop helfen lassen kannst.
Wir wollen die Grundlagen verständlich machen und zeigen was man tun kann und worauf man achten sollte, von daher sollen es keine 08/15 Vortäge werden sondern im Idealfall ein Gespräch bei dem derjenige der vorne steht eine grobe Richtung vorgibt aber ansonsten auf die Fragen der Gäste eingeht. Zumindest ist das mein Plan für die Vorträge die ich vorbereite eek

Die Veranstaltung ist kostenlos, Getränke, Snacks und ein abschliessendes grillen gibt es zum Selbstkostenpreis.
Wir hoffen auf viele Teilnehmer und freuen uns über jeden der kommt. smile