15. Dezember 2007
Das F-Secure Forum gestern wurde ja hauptsächlich deshalb kompromittiert, weil der Administrator übersehen hat, dass ein sicherheitsrelevantes Update vorhanden war. Das kommt öfter vor, besonders wenn der Hersteller der Software versucht, seine Fehler möglichst zu vertuschen. Normalerweise sind wir das ja z.B. von Microsoft gewohnt.
Seit Apple den Bereich des Nischenherstellers verlassen und ebenfalls in den Massenmarkt eingestiegen ist, sieht es bei Apple leider nicht besser aus.
Ich frage mich ja, was hoffen die Hersteller dadurch zu gewinnen? Schlechte Presse vermeiden? Die ist ihnen eher sicher, wenn sie Lücken verstecken wollen. Siehe Firefox und Internet Explorer. Schlechte Blogeinträge von diesem Komiker Jeff Jones vermeiden? Dem ist es doch egal, was der Wahrheit entspricht und wie ein Hersteller mit Sicherheitslücken umgeht, der ist vollständig merkbefreit.
Wie man proaktiv mit Lücken umgehen kann machen uns Hersteller wie F-Secure vor.
14. Dezember 2007
Tja, so ein Defacement kommt in den besten Familien vor. Meistens wie hier auch, ist ein Fehler in der Forensoftware schuld. Ich warte ja darauf, dass mein WordPress auch irgendwann kompromittiert wird 🙂
13. Dezember 2007
Intel vPro ist Intels Marketingname für ein paar Technologien, die zusammen mehr oder weniger effiziente Virtualisierung ermöglichen. VMWare hat diese Technologien seit Jahren in Software implementiert. Trotzdem gibt es ein paar Möglichkeiten wie virtuelle Appliances, die durch vPro eine höhere Sicherheit erreichen können (wenn das leidige Microsoft-Lizenzthema nicht wäre).
Jetzt ist VMWare auf den Zug aufgesprungen und bietet die Möglichkeit, virtuelle VMWare-Maschinen innerhalb kürzester Zeit auf vPro umzusetzen. Ich bin gespannt, wann es die ersten brauchbaren Produkte gibt.
12. Dezember 2007
Das Handbuch of Applied Cryptography von Alfred J. Menezes, Paul C. van Oorschot und Scott A. Vanstone, erschienen bei CRC Press (ISBN 0-8493-8523-7) wird in der 5. Auflage (2001) auch zum Download (PDF und PS) angeboten.
„CRC Press has generously given us permission to make all chapters available for free download.“
und weiter
„Permission is granted to retrieve, print and store a single copy of this chapter for personal use. This permission does not extend to binding multiple chapters of the book, photocopying or producing copies for other than personal use of the person creating the copy, or making electronic copies available for retrieval by others without prior permission in writing from CRC Press.“
Na gut, das Buch neu drucken und binden lassen ist nicht zulässig. Und auch wenn aktuelle Algorithmen wie AES noch nicht behandelt werden, gehört das Buch in jede Sammlung von Online-Büchern.
11. Dezember 2007
Die Check Point Zertifizierungen gehen mir langsam auf die Nerven … alle paar Jahre wieder den ganzen Krampf. Hab deshalb heute noch schnell zum Jahresende was gemacht. Was bin ich jetzt alles:
- CCSA NGX
- CCSE NGX
- CCSE PLUS NGX
- CCMSE NGX
und was fehlt mir noch alles:
- CCMSE NGX PLUS VSX
- CPCS Connectra
- CPCS Integrity
- CPCS IPS-1
Den VSX mach ich zum Jahresende noch schnell aber der Rest hat Zeit bis nächstes Jahr.
Ich stell mir grad vor, die das auf einer Visitenkarte aussehen würde. Die Amis drucken da doch jeden Blödsinn drauf. Ich schreibe dagegen bei mir weder Dipl.-Inf. noch CISSP drauf, das ist mir echt zu doof 🙂
10. Dezember 2007
Es gibt offensichtlich ein paar Hersteller die ihre Produkte so bewusst und vorsätzlich am Kundenbedarf vorbei entwickeln, bei denen darf man ja gleich gar nichts mehr kaufen. Bis vor einiger Zeit habe ich Dell dazu gezählt aber inzwischen haben zumindest die gelernt, dass man Server und Notebooks auch mit alternativen Betriebssystemen wie Linux verkaufen sollte.
Statt dessen gibt es ein paar andere krass schwarze Schafe für die es meiner Meinung nach nur den „Finger weg!“-Hinweis geben kann.
Western Digital
Western Digital verkauft ein NAS (Network Attached Storage), das eine große Anzahl von Multimedia-Dateitypen einfach nicht ausliefert, wenn der Zugreifende mit anderen Logindaten angemeldet ist als der Speichernde. Dazu gehören u.a. AVI, DVI, MP3, MPG, MOV, OGG, WMA und WMV. Wenn ich also mit meiner eigenen Digitalkamera ein Video der letzten Geburtstagsfeier aufnehme, dann kann mein Bruder die vom NAS nicht abrufen. Die fadenscheinige Begründung von Western Digital: Die Lizenzrechte dieser Dateitypen seine unüberprüfbar. Wer akzeptiert und richtet denn solche Beschränkungen ein? Hallo Western Digital, hier meine klare Ansage: Western Digital kommt mir nicht mehr in die nähere Produktauswahl. Meine Meinung: Finger weg!
Seagate
Seagate verkauft USB-Festplatten, die mit NTFS formatiert sind (ok, eine kleinere Hürde für Linux-Anwender die mit mkfs umgehen können) aber leider eine Stromsparoption haben, die nur mit Windows funktioniert. Sowohl Linux als auch MacOS X (und dann vermutlich auch xBSD) kommen mit dem Abschalten und Wiederanschalten von USB nicht zurecht, weil die Platte sich dann als USB 1.1 anstatt USB 2.0 meldet. Und die lapidare Aussage des Seagate Supports ist, die Platte unterstützt halt kein Linux. Hallo Seagate, hier auch für Euch meine klare Ansage: Seagate kommt mir nicht mehr in die nähere Produktauswahl. Meine Meinung: Finger weg!
Weitere Hersteller mit Produkten von denen man besser die Finger weg lässt folgen in unregelmäßiger Folge.
9. Dezember 2007
Ich habe inzwischen alle Beiträge auf diesem Blog mit Tags versehen. Die Tags werden unterhalb jedes Artikels eingeblendet und sind einfach nur Schlagwörter zu den Artikeln. Sie können praktisch wie Kategorien verwendet werden. Vielleicht findet so der eine oder andere leichter zu den Themen die ihn interessieren. Die Kategorien sind dafür nicht umfangreich und detailliert genug.
Aber keine Sorge, ich möchte so schnell keine Tag Cloud einblenden. Das ist ja sowas von 2006 😉
8. Dezember 2007
Ich habe neulich bei der Durchsicht des neuen Telepolis-Hefts schon Prof. Beyerer vom Fraunhofer IITB kritisiert, der glaubt alles wäre gut, sicher und toll und bemängelt, es gäbe generell von Fraunhofer praktisch keine relevanten und brauchbaren Veröffentlichungen zur IT-Sicherheit in kritischen Infrastrukturen.
Jetzt durfte sich Prof. Beyerer bei Spiegel Online (der Link fliegt wieder raus, sobald der Artikel Geld kostet!) auslassen:
„Der Informatiker Jürgen Beyerer plädiert dafür, so manche Ergebnisse geheim zu halten.“
Ich nehme an, er meint da insbesondere seine eigenen. Die sind so gut, so toll und so fortschrittlich, die müssen geheimgehalten werden weil wenn die Bösen(TM) seine Forschung in die Finger bekommen würden, dann würde natürlich die Welt untergehen.
Und dann seine Kernaussage:
„Sicherlich muss man für Sicherheitsforschung an besonders sensiblen Themen, deren Ergebnisse man einer breiten Öffentlichkeit nicht im Detail zugänglich machen möchte, Kontrollmechanismen festlegen, die wissenschaftliche Qualität und prinzipiell gesellschaftliche Akzeptanz sichern. Die Beteiligten bei der Sicherheitsforschung für kritische Infrastrukturen – Wissenschaftler, Betreiber kritischer Infrastrukturen, Bedarfsträger, Fördermittelgeber, öffentliche Auftraggeber und Politik – bilden auch selbst schon eine recht große Community, in der meines Erachtens sehr verantwortungsbewusst auch kritische Fragen, insbesondere Fragen der gesellschaftlichen Akzeptanz, diskutiert werden. Man sollte daher die Kontrollmechanismen innerhalb dieser Community nicht unterschätzen und auch darauf vertrauen.“
Den Absatz sagt eigentlich alles über das Verständnis von Prof. Beyerer aus. Der Staat soll seine Arbeit finanzieren (das sind die öffentlichen Auftraggeber, also der Steuerzahler) und ein möglichst kleines Konsortium kontrolliert die Geldvergabe (an sich selbst) und die Veröffentlichung der Ergebnisse. Unternehmen aus der freien Wirtschaft kommen in seinem staatlich gelenkten Weltbild schon gar nicht mehr vor. So wird jedem Dritten die Möglichkeit genommen, die Verwendung der Gelder zu kontrollieren aber dafür ist die Welt von Hr. Beyerer ein wenig sicherer.
Ich hoffe die Haltung von Prof. Beyerer ist nicht repräsentativ für die gesamte Fraunhofer Gesellschaft.
zumindest die klassischen Spiele … wie schön 😉
Und Commander Keen spiele ich immer noch gerne. Das läuft sogar auf meinem XP. Erinnert sich eigentlich noch jemand an den Dopefish?
Ich brauche noch eine Kategorie „Nostalgie“ glaube ich. Oder ich werde alt.
