datenritter blog

• Tag "tastatur" in diesem Blog.
• Einhändig bedienbare Tastaturen von Maltron erinnern ein bisschen an Randall Munroes Mirrorboard. Für die, die nur eine Hand haben oder die andere für einen Joystick o.ä. brauchen. Sieht sicher cool aus, wenn man damit umgehen kann. Dieses hier hab ich auch mal in irgendeinem Film gesehen. Durch die Krümmung dürfte es deutlich schwerer sein, dem Benutzer auf die Finger zu schauen.
• Schneier on Security: Sniffing Keyboard Keystrokes with a Laser (Schon mehr als ein Jahr alt, sorry.) – Funktioniert nicht so toll, wie die Messung von Vibrationen an einer Fensterscheibe, aber auch Worte lassen sich erraten. Ein möglicher Schutz: Laptops ohne Tastatur. ;)
• In Kombination mit dem Abhören über die Stromleitung ergab sich das hier: Sniffing keystrokes via laser and keyboard power. (Auch bei hackaday.)
• Im August 2009 schließlich meldete heise: "Apple-Tastaturen können mitlauschen", weil sie einen frei programmierbaren Microcontroller enthalten.

Seit dem ist mir nichts neues zum Thema aufgefallen.

Leider völlig an mir vorbeigegangen und deshalb nur der Vollständigkeit halber erwähnt ist diese Meldung vom Juli 2009:

Eingaben auf PS/2-Keyboards können offenbar über Steckdosen ausspioniert werden. Auf der Black Hat-Sicherheitskonferenz haben zwei italienische Sicherheitsexperten nun einen PS/2 Protocol Keyboard Sniffer vorgestellt, wie heise berichtet. Demnach kann anhand der Masseleitung im Stromnetz nachvollzogen werden, welche Tasten angeschlagen wurden.

Autsch.

Dass die Tastenanordnung auf der QWERTY-Tastatur extra zum Ausbremsen der Schreiberlinge gedacht war, scheint tatsächlich ein Märchen zu sein, das gerne von denjenigen, die Dvorak für das bessere Layout halten, propagiert wird. Ob Dvorak besser ist oder nicht, ist aber bis heute ungeklärt.

Randall Munroe spricht durch den "Brunnen der unangenehmen Wahrheiten":



Auch laut einem Artikel bei ZEIT Online gab es im 19. Jahrhundert viele Layouts, von denen keines aus Wettbewerben als das schnellste hervorging. Doch entwickelte sich QWERTY durch die marktbeherrschende Stellung der Firma Typewriter zum Standard. Die lange Erklärung:

Warum trotzdem nicht alle Welt damit schreibt, erklären [die US-Wirtschaftswissenschaftlern Stan Liebowitz und Stephen Margolis] mit dem enormen Aufwand für eine Umstellung. Sobald Qwerty einmal etabliert gewesen sei, habe kein neues System mehr eine Chance gehabt, weder das von Dvorak noch beispielsweise die sogenannten "Akkord-Tastaturen" mit nur fünf Tasten, die man einhändig bedient, indem man für jeden Buchstaben einen Akkord aus mehreren Tasten greift, was die andere Hand freiläßt, um die Maus am Computer zu führen.

Das Qwerty-Beispiel führen Ökonomen gern an, um die Theorie der path dependence zu belegen, der Abhängigkeit von dem Pfad, den man einmal eingeschlagen hat. Diese Theorie besagt, daß sich mehr oder weniger zufällig auf dem Markt bestimmte Standards durchsetzen, die nicht unbedingt die beste Lösung sein müssen. Aber sobald sie sich etabliert haben, sind sie kaum mehr zu verdrängen.

(Hervorhebungen von mir.)

Der Wikipedia-Artikel wurde mittlerweile angepasst.

Interesting Thing of the Day hat eine relativ kurze Zusammenfassung der Kontroverse um Dvorak und QWERTY. Und zieht danach ebenfalls das Fazit, dass es kein Ergebnis gibt:

The ferocity with which both pro- and anti-Dvorak views are evangelized in some circles rivals that of a religious or political cause. Both sides selectively downplay or emphasize whichever facts suit them best, and there’s precious little research on the subject that’s both truly objective and modern enough to have been performed using computers rather than typewriters. Anecdotally, Dvorak users frequently cite greater comfort as one reason for preferring it, and some claim that because Dvorak involves less finger movement, it’s less likely to contribute to repetitive stress injuries. Opponents counter that if you truly can type faster with Dvorak, then the increased number of movements will offset the ergonomic gains made by the decreased range of motion. And the debate goes on and on

Es gibt da diesen Fanatiker namens Benjamin J Heckendorn, der alle möglichen Computer in Laptops verwandelt. Nun hat er einen C64-Laptop gebaut, und zwar mit der originalen Platine, und offenbar hat er auch der originalen Tastatur. Warum er das Hackbrett nicht ersetzt hat, weiß ich nicht, aber es kommt dem Design zugute. Das scheint seine große Kunst zu sein, denn das Gehäuse, das er gebaut hat, ist wirklich gelungen und könnte glatt den achtziger Jahren entstammen.

Bei YouTube gibt es ein Video, leider zeigt es nicht so viele Details wie Benjamins Fotos:



Man kann als Ersatz für das Floppy-Laufwerk eine SD-Karte einschieben, dafür gibt es einen eigenen Adapter. Mit grüner LED!

Gefunden bei hackaday.

Zur akustischen Abhörbarkeit von Computersystemen hatte ich schon einmal etwas geschrieben.

Bei hack a day wurde kürzlich über die Möglichkeit, Wände als Eingabegerät zu nutzen, berichtet. Chris Harrison, der auch sonst einige interessante Projekte auf seinen Seiten präsentiert, hat sich mit der Entwicklung einer solchen "Kratz-Eingabe" beschäftigt. Das System erkennt an die Wand gekratzte Gesten wie Kreise oder Linien und Klopfen auch über vermeintliche Hindernisse wie Türen hinweg.

Aber auch Buchstaben sind Gesten. Ein auf Papier geschriebenes (beziehungsweise "gekratztes") X ist von einem U zu unterscheiden. Menschen mit absolutem Gehör erkennen Töne zielsicher. Blinde hören die erstaunlichsten Details aus ihrer Umgebung heraus, weil ihr Hörsinn stärker ausgebildet ist. Also ist es auch möglich, manuelle Schreibvorgänge — will sagen: Handschrift — abzuhören.

Wie das eingangs genannte Experiment zeigt, brauchen Spione und Geheimdienste keine Blinden mehr zu beschäftigen. Ist die Schrift sehr leise oder durch Störgeräusche für einen Menschen nicht mehr wahrnehmbar, müssen ohnehin Mikrofone und Signalverarbeitung helfen. Da liegt es nahe, gleich eine Software als etwas ausgefeilteres "Eingabegerät" anzuschließen, die mit hoher Erkennungsrate handschriftliche Notizen mitschreiben kann. Die klare zeitliche Abfolge der Geräusche und die minimalen Abweichungen der Handschrift eines Menschen dürften die Auswertung zu einem Kinderspiel machen.

Die Kosten sind minimal: Ist die Software erstmal entwickelt, braucht man nur noch ein Notebook und ein geschickt angebrachtes Mikrofon.

Bei letzterem hat man es wegen der guten Fortpflanzung von Schallwellen in festen Körpern sogar recht leicht: Mikrofone können auch an schwer erkennbaren Stellen angebracht werden. Da die meisten Notizblöcke auf Tischen liegen, würde ich mal spontan die Zimmerdecke der darunterliegenden Wohnung ausprobieren. Dann hilft dem Heimlichtuer von heute auch der aus Filmen bekannte aufgedrehte Wasserhahn nicht mehr.

Nun steht auch in Bruce Schneiers Blog etwas über die Abhörbarkeit von kabelgebundenen Tastaturen.

In den Kommentaren hält jemand das ganze für einen Hoax:

Given that the first test's test phrase is "Trust no one", and that in both tests curiously the detection apparatus seemed to know precisely how many characters were pressed in the test (i.e. it knew when to stop), I'm inclined to believe this is a hoax.

Bisher sind die technischen Details auch noch nicht veröffentlicht worden.

Doch auch die anderen Kommentare des aufgeweckten Publikums sind wie immer lesenswert. Dort findet sich ein Hinweis auf ein 2005 veröffentlichtes Paper. Laut dem sind Tastaturen, wie schon vermutet, auch abhörbar im eigentlichen Sinne des Wortes. Im Abstract heißt es:

We present a novel attack taking as input a 10-minute sound recording of a user typing English text using a keyboard, and then recovering up to 96% of typed characters. There is no need for a labeled training recording. Moreover the recognizer bootstrapped this way can even recognize random text such as passwords: In our experiments, 90% of 5-character random passwords using only letters can be generated in fewer than 20 attempts by an adversary; 80% of 10-character passwords can be generated in fewer than 75 attempts.

Quelle: “Keyboard Acoustic Emanations Revisited.” L. Zhuang, F. Zhou, and J. D. Tygar. In Proceedings of the 12th ACM Conference on Computer and Communications Security, November 2005, pp. 373-382. Zu finden hier bzw. direkt hier.

Der Angriff macht sich auch statistische Eigenschaften zunutze. Mit einem ungewöhnlichen Keyboard-Layout und wirklich komplizierten Passwörtern ist man also noch einigermaßen auf der sicheren Seite.

Erst in den letzten Tagen hatte ich eine kleine Diskussion über Funk-Tastaturen. Diese sind meiner Meinung nach ein großes Sicherheitsrisiko. Was nützt die schönste Festplattenverschlüsselung, wenn Passwörter per Funk durch den Raum wabern, wahrscheinlich eher schlecht verschlüsselt?

Vor einiger Zeit behauptete mal jemand, er glaube, dass Blinde hören können, welche Tasten man tippt. Das halte ich für übertrieben, doch mittels einer computergestützten Auswertung der Tastengeräusche ist sicher einiges möglich. Jedenfalls kann man anhand der zeitlichen Verzögerung zwischen den Anschlägen schon recht gut Anwender identifizieren und vielleicht auch ermitteln, welche Tasten betätigt wurden. Schließlich brauchen die Finger je nach Entfernung unterschiedlich viel Zeit von einer Taste bis zur nächsten.

Klar ist: Wer beim Tippen gefilmt wird, hat ein Problem, und auch schnelle Augen könnten mitlesen.

Doch auch, wenn man es schafft, seinen Schreibrhythmus zu verzerren, keine Funktastatur benutzt, Blinde meidet und niemals unter menschlichen oder Kameraugen tippt: Ein mulmiges Gefühl bleibt. War da nicht etwas mit dem Kondensatorenpfeiffen, welches einem Lauscher verrät, was der Prozessor oder ein anderes Bauteil gerade macht? Und was ist mit der elektromagnetischen Abstrahlung des Geräts über Schnittstellen, Kabel und Öffnungen im Gehäuse? TEMPEST bzw. Van-Eck-Phreaking nennt man das, und Banken, Botschaften und Versicherungen schirmen deshalb Wände und Fenster mit elektrisch leitfähigen Materialien und Gitternetzgeweben ab. Es gibt sogar abschirmende Wandfarben.

Nun, das Van-Eck-Phreaking ist zurückgekehrt und hat einen der schlimmsten Albträume Wahrheit werden lassen: COMPROMISING ELECTROMAGNETIC EMANATIONS OF WIRED KEYBOARDS.

Laut der Zusammenfassung bei hack a day haben Martin Vuagnoux and Sylvain Pasini vom Ecole Polytechnique Fédérale de Lausanne elf verschiedene Tastaturen gefunden, die bei jedem Tastendruck elektromagnetische Impulse aussenden, die sich empfangen und dekodieren lassen. Achja, und das funktioniert auch noch aus etwa zwanzig Metern Entfernung.

Da das Paper noch nicht veröffentlicht ist, müssen wir mit Demonstrationsvideos vorlieb nehmen und einfach mal glauben, dass es kein Scherz ist.

Die Vorstellung, nur noch Bildschirmtastaturen einzusetzen, wie es bereits jetzt einige Banken ermöglichen, um Keyloggern ein Schnippchen zu schlagen, behagt mir gar nicht. Ich werde stattdessen meine Tastatur in geerdete Alufolie einwickeln.

Und noch eine Tastaturbelegung: COLEMAK.

Die ist angeblich optimiert für die englische Sprache, aber leichter zu erlernen als DVORAK:



Es gibt sogar ein Blog zu Colemak.

Immerhin: Auch hier wird (wie beim Mirrorboard der Capslock-Taste eine sinnvolle neue Funktion gegeben.

Interessant:

• In der Wikipedia gibt es eine Liste von Reformtastaturen.


• Die Wikipedia erklärt die "Modifikation der Taste Caps-Lock". Mit Linux funktioniert das problemlos, bei Windows gibt es natürlich unangenehme Nebeneffekte.


• Pieter Hintjens, bekannt durch sein Engagement gegen Softwarepatente, hat einmal die Initiative CAPSoff.org zur gänzlichen Abschaffung der Capslock-Taste gestartet. (Spaßverderber!)

Ok, der Entwickler des NEO-Tastaturlayouts hat sich wirklich Mühe gegeben. Aber diese Layout-Vorschläge werden langsam nervig. Immer wenn ein Schlaumeier in der Wikipedia liest, dass das QWERTZ-Layout ja nur entwickelt wurde, um den Schreibvorgang zu verlangsamen, muss sofort eine Alternative gefunden oder gebastelt werden. All diese Layouts sind optimiert für Zehnfingerschreiben und eine bestimmte Sprache.

In einem Chat habe ich sogar behauptet, die QWERTZ-Tastatur hätte gewisse Vorteile:

datenritter: die bremse ist evtl. sogar nützlich
datenritter: verindert vertipper

"Tastatur-Rodeo" vollständig lesen »