6. Dezember 2007
Wo immer mögliche Nutzer Informationen aufnehmen wollen, sind die Spammer nicht weit. Das betrifft neben E-Mail natürlich auch und im besonderen, Wikis (Wikipedia kann zu Linkspam ein spezielles Lied singen), Foren und natürlich auch Blogs. Ok, man kann zur Definition von Blogspam unterschiedlicher Meinung sein. Ganz eindeutig Spam sind jedoch die diversen Verlinkungen zu Webseiten die Viagra oder sonstigen gefälschten Unsinn verscherbeln wollen.
Akismet hat dazu eine nette Grafik veröffentlicht, die regelmäßig aktualisiert wird:
Ich finde das durchaus interessant, weil sich das so gar nicht mit meiner eigenen Erfahrung deckt. Dieses Blog hat seit Anfang April bei 369 Beiträgen gerade mal 215 Spamkommentare bekommen. Ok, vielleicht ist das hier alles so uninteressant aber ich denke, gegen den Spam helfen mir hauptsächlich zwei Einstellungen:
- Ich sperre bei Artikeln immer sofort die Kommentarfunktion, sobald ein erster Spameintrag erschienen ist. Bisher war es bei Spamkommentaren immer so, dass ein Beitrag (vermutlich über eine Suchmaschine) zufällig ausgewählt und dieser dann in kurzer Folge mit immer neuen Spameinträgen zugeballert wurde. Wenn das Kommentieren nicht mehr möglich ist, erscheint natürlich auch kein Spam mehr.
- Alle Links in den Kommentaren sind mit „nofollow“ gekennzeichnet, d.h. sie werden von Suchmaschinen nicht weiterverfolgt. Dadurch sinkt das Interesse an Linkspam, weil diese Links ignoriert werden und daher wertlos sind. Die Diskussion zu nofollow und Linkspam kann man im SEO-Lexikon schön verfolgen. Wenn da einer schon extra darauf hinweist, das sei nicht für Spammer gedacht …
- Ich verzichte komplett auf Trackbacks. Die sind einfach in keinem Artikel erlaubt. Das vermeidet den lästigen Trackback-Spam bei dem irgendein Leecher die Hälfte des Textes klaut und dann auch noch einen Link auf seine Seite einfordert. Wenn es sinnvoll ist, einen Link zu einem anderen Blog zu setzen, dann gerne als „(via x-blog)“ direkt im Text.
Alle Links im normalen Text sind natürlich ohne „nofollow“, das ist ja schließlich auch Sinn und Zweck von Links.
Ich stoße immer wieder auf eigentlich spannende oder interessante IT-Security Links, die ich aber entweder nicht kommentieren will oder zeitlich nicht schaffe. Bisher fallen diese Links komplett unter den Tisch, was ich schade finde. Besteht hier bei den Lesern ein Interesse an reinen Linkartikeln wie es sie z.B. im Lawblog gibt?
Antworten gerne in den Kommentaren.
30. November 2007
Das Wochenende kristallisiert sich langsam als Spaßtag heraus 😉 Heute deshalb ein paar Lieder für Programmierer
Write in C
When I find my code in tons of trouble,
Friends and colleagues come to me,
Speaking words of wisdom:
„Write in C“
As the deadline fast approaches,
And bugs are all that I can see,
Somewhere, someone whispers:
„Write in C.“
Write in C, write in C,
Write in C, oh, write in C.
LOGO’s dead and buried,
Write in C.
I used to write a lot of FORTRAN,
For science it worked flawlessly.
Try using it for graphics!
Write in C.
If you’ve just spent nearly 30 hours,
Debugging some assembly,
Soon you will be glad to
Write in C.
Write in C, Write in C,
Write in C, yeah, Write in C.
BASIC’s not the answer.
Write in C.
Write in C, Write in C,
Write in C, oh, Write in C
PASCAL won’t quite cut it.
Write in C.
Write in C, write in C,
Write in C, yeah, write in C.
Don’t even mention COBOL,
Write in C.
And when the screen is fuzzy,
And the editor is bugging me,
I’m sick of ones and zeroes,
Write in C.
A thousand people swear that T.P.
Seven is the one for me.
I hate the word PROCEDURE,
Write in C.
Write in C, write in C,
Write in C, yeah, write in C.
PL1 is 80’s,
Write in C.
Write in C, write in C,
Write in C, oh, write in C.
The government loves ADA,
Write in C.
(Melodie „Let it be“)
Yesterday
Yesterday, all those backups seemed a waste of pay.
Now my database has gone away – Oh I believe in yesterday.
Suddenly, there’re not half the files there used to be.
Now’s a milestone hanging over me – The system crashed so suddenly.
I pushed something wrong, what it’s been I couldn’t say.
Now all my data’s gone and I long for yesterday-ay-ay-ay.
Yesterday, the need for backups seemed so far away.
I thought my data allways here to stay – Now I believe in yesterday !
(Melodie „Yesterday“)
American Pie Hacker Style
Long, long, time ago, I can still remember
How UNIX used to make me smile…
And I knew that with a login name
That I could play those unix games
And maybe hack some programs for a while.
But February made me shiver
With every program I’d deliver
Bad news on the doorstep,
I couldn’t take one more spec…
I can’t remember getting smashed
When I heard about the system crash
And all the passwords got rehashed
The Day That UNIX Died…
And I was singing:
Chorus:
Bye, bye, nroff, rogue and vi
Gave my program to Phil Levy but Phil Levy was high,
The boys on the board were sayin‘ „kill this, goodbye.“
Singin‘ this’ll be the day that I die…
This’ll be the day that I die
Did you write the new games shell
And do you have faith in the manual?
If b:dennie tells you so…
Well, do you believe in UNIX C
Can hacking save you memory
And can you tell me why vi’s so slow
Well, I know that you’re in love with C
‚Cause I saw your code on UNIX B
You just kicked off your shoes
Man, you cleaned up every kludge!
I was a lonely young computer geek
With a program due ‚most every week
But I guess that I was meant to freak
The Day That UNIX Died
And I was singin:
(chorus)
Well, for ten weeks we’ve been in this class
The professor really is an ass.
But that’s not how it used to be…
When Ira Pohl taught in CIS 12
And user limits could go to hell
And there was still space on UNIX C.
And while the board was looking ‚round
The Chancellor brought the budget down
The classes were adjourned
Evaluations weren’t returned
And while Huffman read a book by Pohl
The CIS board made some prof’s heads roll
And we wrote programs that weren’t whole
The Day That UNIX Died
And we were singin’…
(chorus)
Helter skelter in the summer swelter
I went in the lab to find some shelter
Ninety degrees and risin‘ faaaaaasst!!!
C stayed up for ten whole days
The hackers really were amazed
Wonderin‘ how long it all would last.
Well, both the forums were really great
Nobody got us all irate
We had a stroke of luck
The system did not duck
‚Cause the hackers kept their code real clean
The UNDR-shell was really keen
Do you recall what was the scene
The Day That UNIX Died
And we were singin…
(chorus)
Our programs were all in one place,
UNIX had run out of space
With no time left to start again…
So, Jack be nimble, Jack be quick,
Use every programming trick
‚Cause UNIX may soon crash again…
And as I watched the system fill
My login process would be killed.
The system just went down
Consternation up at Crown“!!!
The hours went on into the night
And all that we could do was rite
I saw Dennie laughing with delight
The Day That UNIX Died
And he was singin’…
(chorus)
I met a girl who sang the blues
And I asked her for some stat lab news
But she just cursed and said „grow up“
I went down through the stat lab door
Where I’d learned of UNIX years before
But the man there said that UNIX wasn’t up
And in the halls the students screamed,
The majors cried and the hackers dreamed,
But not a word was spoken
The Vaxes all were broken
And the three folks I admire most
The Father, Frank, and a. G.’s ghost
They caught the last train for the coast
The Day That UNIX Died
And they were singin…
So bye, bye, nroff, rogue and vi
Gave my program to Phil Levy but Phil Levy was high.
The boys on the board were sayin‘ „kill this, goodbye“
Singin‘ this’ll be the day that I die…
(Melodie „American Pie“)
28. November 2007
Nein, es geht diesmal nicht um Kollisionen, da schreibe ich ein andermal was dazu.
Steven Murdochs (muss man nicht kennen) Webseite ist gehackt worden und der Angreifer hat einen Account mit einem Passwort hinterlassen. Das Passwort war leider nur als MD5-Hash gespeichert und Steven kam nicht hinter das richtige Passwort. Also hat er den Hash bei Google eingegeben und mit ein wenig kucken, was da angezeigt wird kam er tatsächlich auf das richtige Passwort. So weit so langweilig.
Ich nutze die Gelegenheit nur, auf zwei Sachen hinzuweisen:
1. Salted Passwords!
2. MD5 Online Cracker (Rainbow Tables)
Ach ja, der Hash war „20f1aeb7819d7858684c898d1e98c1bb“ und das Passwort „Anthony“.
20. November 2007
19. November 2007
Eigentlich soll dieses Blog ja werbefrei bleiben. Eigentlich, weil ich natürlich auch ein wenig Werbung für meinen Arbeitgeber, die NESEC GmbH mache. <schamloses Anpreisen>Wer einen Penetrationstest qualifizierten durchgeführt haben möchte …</schamloses Anpreisen>
Jetzt gibt es rechts eine Ausnahme für den AK Vorratsdatenspeicherung:
Und das ist auch gut so.
17. November 2007
CAST ist quasi so ein Anhangverein von Fraunhofer und vergibt an Diplomanden ein paar Preise. Dieses Jahr insgesamt 13.000 Euro, was nicht besonders viel ist. Der Focus Schülerwettbewerb z.B. sponsert Reisen der ganzen Gruppe z.B. in die USA und ist da nicht kleinlich. Mein Bruder war 1998 in der Siegergruppe dabei.
Unabhängig davon sind die Themen nicht uninteressant:
Fälschbarkeit von Indizien der Multimediaforensik von Matthias Kirchner beispielsweise. Ich wüsste nicht, dass es in diesem Bereich in Deutschland schon viel geleistete Arbeit gibt. Oder Hardware/Software Co-Design of Public-Key Cryptography for SSL Protocol Execution in Embedded Systems von Manuel Koschuch, was extrem hohe praktische Relevanz hat. Da fallen mir auf Anhieb 100 verschiedene Anwendungsmöglichkeiten ein.
Nur die Frauenquote lässt zu wünschen übrig … nur ein Mädel 😉
Ich glaube, die Veranstaltung schau ich mir nächstes Jahr mal genauer an.
4. November 2007
Maskierte und bewaffnete Räuber haben das Rechenzentrum des US-Hosters C I Host gestürmt und diverse Server von C I sowie von Kunden mitgenommen. Laut Medienberichten ist das bereits der vierte Vorfall in nur zwei Jahren. Wenn man sich die Liste der Sicherheitsmaßnahmen anschaut, wundert man sich natürlich schon, wie solche Vorfälle passieren können. Andererseits wurde ein Mitarbeiter mit einer Waffe bedroht, gefesselt und niedergeschlagen, ich denke gegen bewaffnete Räuber würde sich in Deutschland auch kaum ein Hoster zur Wehr setzen können.
Interessant finde ich in diesem Zusammenhang die Reaktion des Hosters. Mehrere Kunden die Hardware und möglicherweise sensible Daten durch den Raub verloren haben, beschwerten sich, nicht informiert worden zu sein. Angeblich habe einem Kunden der Support erzählt, seine (geklauten) Server seien nicht erreichbar, weil ein Router defekt sei. Wenn das stimmt, wäre das ein Grund dieses Unternehmen auf die schwarze Liste der Firmen zu schreiben mit denen man nie wieder in Geschäftsbeziehungen treten möchte.
Andererseits bestätigt das mal wieder das Schichtenmodell aus dem BSI Grundschutz:
- Schicht 1: Übergreifende Aspekte
- Schicht 2: Infrastruktur
- Schicht 3: IT-Systeme
- Schicht 4: Netze
- Schicht 5: IT-Anwendungen
Es macht am Ende des Tages einfach wenig Sinn, Firewalls, Virenscanner und Intrusion Detection Systeme zum Schutz der Daten installiert zu haben, wenn die komplette Hardware mit allen Daten verschwindet. Das Absichern der Infrastruktur ist nun mal Voraussetzung für einen sicheren IT-Betrieb. Und, das betrifft nicht nur die Server selbst sondern natürlich auch Backup-Bänder die ebenfalls wichtige unternehmenskritische Daten enthalten.
Ein paar Beispiele:
Ich denke wir werden weitere Schlagzeilen in den nächsten Wochen und Monaten erleben.
13. Oktober 2007
WordPress bietet offensichtlich bereits einen eingebauten Cache, der die Datenbankzugriffe etwas reduzieren kann. Das war mir so gar nicht bewusst, aber wenn das die Performance erhöht, dann schalte ich den mal ein:
Vorgehensweise zur Aktivierung:
- In der Datei
wp-config.php
folgende Zeile hinzufügen:
define('ENABLE_CACHE', true);
- Im WordPress-Order
wp-content/
den beschreibbaren Unterordner cache
anlegen
Das war’s auch schon. Wenn alles klappt, wird sich nach dem nächsten Blogaufruf der Ordner wp-content/cache
füllen und WordPress wird nun an die Web-Browser z.T. über den Cache den Inhalt ausliefern.
Ich bin zwar nicht so ganz begeistert, noch mehr Verzeichnisse auf dem Rechner zu haben die sich mit den Rechten das Apache-Webservers beschreiben lassen, aber das lässt sich vermutlich nie ganz vermeiden. Die anderen WordPress-Verzeichnisse, insbesondere Konfigurationsdateien und Include-Verzeichnisse sind zumindest für den Apache-Prozess schreibgeschützt, da darf niemand außer root ran.
9. Oktober 2007