Tipps & Tricks

Balkonkraftwerk erweitern

Ich betreibe seit einiger Zeit ein 600-Watt-Balkonkraftwerk. Nachdem jetzt 800 Watt erlaubt sind, möchte ich mir zusätzlich eine 300-Watt-Anlage besorgen, die ich auf 200 Watt drosseln könnte. Darf ich ein zweites Balkonkraftwerk an einem Einfamilienhaus betreiben?

Die Antwort ist einfach: Sie dürfen beliebig viele Balkonkraftwerke anschließen, solange die abgegebene Leistung in Summe 800 Watt nicht überschreitet. Die relevanten Normen beschreiben lediglich diese Leistungsgrenze und keine Anzahl. Ihr Plan von 600+200 Watt ist also zulässig. (amo@ct.de)

Kurze Schlüssel bei HTTPS

In einem recht bekannten Onlineshop ist mir aufgefallen, dass dessen Bestellseiten für die Eingabe persönlicher Daten einschließlich der Kreditkarten- und Zahlungsdetails laut Zertifikat eine Schlüssellänge von nur 256 Bit besitzen. Üblicherweise findet man mindestens 2048 Bit, bei Banken und ähnlichen Seiten sogar 4096 Bit; so empfiehlt es ja auch das BSI. Ist der Shop damit nicht automatisch unsicher?

Es handelt sich bei dem Zertifikat um eines, das bereits auf Kryptoverfahren mit elliptischen Kurven setzt (ECC, Elliptic Curve Cryptography). Diese ermöglichen deutlich kürzere Schlüssel bei vergleichbarer Sicherheit. Die von Ihnen zitierten Empfehlungen beziehen sich auf klassische Signaturverfahren wie RSA. Aktuelle Empfehlungen etwa des BSI (siehe ct.de/yg25) vergleichen 3000 Bit bei RSA mit 250 Bit bei ECDSA (Elliptic Curve Digital Signature Algorithm). Sie werden ECDSA & Co. in Zukunft deshalb immer öfter sehen. Übrigens würden alle aktuellen Browser fahrlässig kurze Schlüssel monieren beziehungsweise einen Verbindungsaufbau gleich ganz abweisen. (ju@ct.de)

BSI-Richtlinie: ct.de/yg25

Ransomware aushebeln

Ich bin auf eine E-Mail hereingefallen, deren Anhang angeblich eine Rechnung enthielt. Als ich versucht habe, sie zu öffnen, hat mein Rechner mich ausgesperrt. Die Schadsoftware konnte ich danach wieder löschen, aber fast alle Dateien auf der Festplatte sind nun verschlüsselt. Ich habe Anzeige erstattet, aber weder die Kriminalpolizei oder die Staatsanwaltschaft noch das BSI konnten mir Informationen gegeben, wie ich wieder an meine Daten komme. Wissen Sie noch etwas, das mir weiterhelfen könnte?

Eine Entschlüsselung der Dateien ohne die geheimen Schlüssel, die nur die Kriminellen besitzen, ist nur in seltenen Ausnahmefällen möglich. Ob ein solcher vorliegt, verrät Ihnen am ehesten die Webseite von ID-Ransomware (Link via ct.de/yg25). Sie müssen nur eine der verschlüsselten Dateien hochladen, indem Sie sie unter „verschlüsselte Datei“ auswählen und auf Hochladen klicken.

Weitere Hilfestellung können wir diesbezüglich leider auch nicht leisten. Vielleicht kennen Sie ja einen Computerexperten in Ihrem Umfeld, der den PC und die Dateien mal daraufhin untersuchen kann, ob er noch unverschlüsselte Kopien findet. Bei kommerziellen Dienstleistern müssen Sie schnell mit Kosten von mehreren hundert Euro oder mehr rechnen. Aber wie gesagt: Die Chancen, dass da was geht, sind gering. Auch deshalb ist es so wichtig, von allen relevanten Daten stets aktuelle Backups zu haben. (ju@ct.de)

ID-Ransomware: ct.de/yg25

Cloudflare-DynDNS für IPv6

In c’t 14/2017 beschreiben Sie auf Seite 160, wie man Fritzboxen nutzt, um die IPv4-Adresse einer privaten, bei Cloudflare gehosteten Domain aktuell zu halten. Das funktioniert zwar auch mit meiner Fritzbox gut, aber ich brauche so etwas Ähnliches auch für Server hinter einem Router ohne freie DDNS-Einstellungen und dort zusätzlich für IPv6. Mit dem von Cloudflare empfohlenen DynDNS-Client ddclient klappt IPv6 nicht. Haben Sie eine Idee?

Es gibt noch diverse andere DynDNS-Clients, die für Cloudflare ausgelegt sind, darunter etwa inadyn oder der eigens für Cloudflare entwickelte cloudflare-ddns von Timothy Miller. Am wenigsten Aufwand erfordert die von Kuen-Bang Hou alias Favonia adaptierte Variante des cloudflare-ddns. Damit lassen sich beispielsweise auch Domains mit Umlauten oder anderen Sonderzeichen aktualisieren.

Der DynDNS-Client steckt in einem nur 5 MByte großen Docker-Container, den Sie auf einem Linux-Server beispielsweise so starten können:

docker run -d \
--restart unless-stopped \
--network host -e CF_API_TOKEN=YOUR-CLOUDFLARE-API-TOKEN \
-e DOMAINS=example.org,www.example.org,example.io \
-e PROXIED=true \
favonia/cloudflare-ddns &

Mit der Option --restart unless-stopped legen Sie fest, dass der Container beim Systemneustart ausgeführt wird. Das API-Token holen Sie sich von Cloudflare (wie im c’t-Artikel beschrieben) und die Domains, die aktualisiert werden sollen, sind kommasepariert anzugeben, falls es mehr als eine ist. Dort können Sie auch Hostnamen angeben, einfach nach dem Muster host.example.org. Der Parameter --network host ist wichtig, weil nur damit die Adresse des Hosts zu Cloudflare geschickt wird. Bei Webservern empfiehlt es sich, den schützenden Cloudflare-Proxy zu aktivieren. Für andere Server tragen Sie PROXIED=false ein. Viele weitere Optionen beschreibt der Entwickler auf GitHub (Link via ct.de/yg25), darunter Datenschutzaspekte, weitere Startvarianten, Statusmeldungen und Anpassungen an individuelle Bedürfnisse. (dz@ct.de)

DynDNS-Clients, Dokumentationen: ct.de/yg25

2230er-SSD in 2242er-Slot

Ich habe eine 2-TByte-2230-SSD, aber in meinem neuen NUC ist nur ein 2242er-Steckplatz. Bekomme ich die SSD da irgendwie rein?

Es gibt Adapter, die eine solche Mini-SSD um 12 Millimeter verlängern. Wir haben bei Amazon ein Exemplar des Herstellers chenyang für etwa 13 Euro gefunden, aber auch auf eBay finden sich passende Angebote. Dort liegen sie zwischen 7 und 8 Euro; der geringere Preis weist auf einen Versand aus China mit entsprechend längeren Postlaufzeiten hin. Suchen Sie am besten nach dem Begriff „M.2 2230 auf 2242 Verlängerungsadapter“. Achtung: Wir haben lediglich Modelle für PCIe-SSDs gefunden, SATA-SSDs im M.2-Format lassen sich damit nicht verlängern.

Bei einem kurzen Geschwindigkeitstest konnten wir keine Unterschiede zwischen dem Betrieb mit und ohne Adapter ausmachen, für die Langzeitstabilität können wir jedoch nicht garantieren: Jeder Kontakt ist ein potenzieller Schwachpunkt. Wenn irgend möglich, sollte man besser eine 2242er-SSD mit der passenden Kapazität kaufen. Derzeit gibt es aber gerade einmal drei Modelle mit einer Kapazität von 2 TByte, die Preise liegen oberhalb von 200 Euro. Das Angebot an 2230er-SSDs ist mittlerweile größer, viele sind zudem günstiger. (ll@ct.de)

Deaktivierte Autostarts finden

Um hin und wieder zu kontrollieren und aufzuräumen, was Windows beim Start alles automatisch lädt, benutze ich das Tool Autoruns von Microsoft Sysinternals. Damit habe ich einige mir überflüssig erscheinende Einträge deaktiviert, allerdings blöderweise, ohne zuvor ein Backup zu machen oder den Ausgangszustand für einen späteren Vergleich zu sichern. Nun laufen zwei Programme nicht mehr und ich würde die betreffenden Einträge gerne reaktivieren, weiß aber nicht mehr, wie sie lauten oder wo sie gespeichert waren. Gibt es in Autoruns eine Möglichkeit, die deaktivierten Einträge auszufiltern und nur diese anzuzeigen?

In Autoruns selbst haben auch wir vergeblich nach so einem Filter gesucht. Wenn man weiß, wie Autoruns deaktivierte Einträge speichert, kann man sich aber mit einem Trick behelfen – leider ist der ein bisschen fummelig: Autoruns legt unterhalb des Registry-Schlüssels, in dem Windows den jeweiligen Autostart-Eintrag speichert, einen neuen Schlüssel namens AutorunsDisabled an und verschiebt den Originaleintrag dorthin, um ihn zu deaktivieren. Sie können also einfach mit dem Registrierungs-Editor (regedit.exe) die gesamte Registry nach „AutorunsDisabled“ durchsuchen. Der jeweilige Inhalt der Schlüssel mit diesem Namen sollte Ihnen zumindest eine Idee davon geben, wonach Sie in Autoruns suchen müssen, um den stillgelegten Autostart wieder zu aktivieren.

Einige wenige Autostarts speichert Windows auch im Dateisystem, und zwar in Unterverzeichnissen der Ordner, aus denen sich das Startmenü zusammensetzt. Davon gibt es zwei Stück; Sie gelangen im Explorer dorthin, indem Sie in den „Ausführen“-Dialog von Windows (Tastenkombination Windows+R) shell:startup beziehungsweise shell:common startup eintippen. Auch hier sichert Autoruns deaktivierte Einträge gegebenenfalls in Unterordnern namens AutorunsDisabled. (hos@ct.de)

Sysinternals Autoruns: ct.de/yg25