8. Juni 2009

Vorsicht, Computer

Category: Offtopic — Christian @ 22:37

Apropos Rant, die Süddeutsche Zeitung hat auch einen aktuellen:

    „Immer mehr Monitore, Buchsen und Computerkabel nehmen Platz in unseren Arbeits- und Wohnräume weg. Das hat gravierende gesundheitliche Folgen.“

Nein, es geht nicht um Elektrosmog. Das American Journal of Preventive Medicine berichtet von einem Anstieg um 732 Prozent bei Unfällen mit Computern im Haushalt.

    „Während Kinder vor allem Blessuren am Kopf davontrugen, war die häufigste Unfallursache in anderen Altersgruppen das Stolpern über Kabel, Drucker, Scanner oder andere Geräte.“

Stimmt. Da warte ich bei mir zuhause auch noch drauf, über die Kabel zu stolpern und beim Festhalten vom herabstürzenden 21-Zoll Röhrenmonitor erschlagen zu werden. Obwohl … das könnte auch ne gute Ausrede sein, die Freundin böse Nachbarn loszuwerden.

StGB 202c mal wieder

Category: Politik,Recht — Christian @ 21:51

Auf Securityfocus gibt es von Mark Rasch (immerhin ehemaliger Computerstrafverfolger im US Justizministerium) einen schönen Rant über das deutsche Strafrecht und den StGB 202c.

    „The [German] statute requires that the commission of the criminal offense be the express purpose of the computer program. The intent of the programmer does not, apparently, matter.“

Kein Wunder, dass das Gesetz nichts taugt. Wie soll ein Programm eine Absicht vermitteln? Egal wie man es betrachtet, man erkennt immer wieder, dass unsere Gesetze von Internetausdruckern und inkompetenten Idioten im Bundesjustizministerium von Frau Zypries gemacht werden. Nur leider nicht von Fachleuten.

    „Two years out, the German law has been effectively used to scare legitimate security researchers, while no reported cases have been brought against computer hackers for a violation of the hacker tools provision.“

Eine schöne Zusammenfassung. Ein völlig nutzloses Gesetz, das lediglich Schaden in der deutschen Wirtschaft und der deutschen IT-Security angerichtet hat. Es wäre mal Zeit, anzuhalten und nachzudenken. Aber die Deppen machen ja direkt weiter mit der geplanten Internetzensur der Laienministerin.

Traurig, dass das inzwischen sogar den Amerikanern aufgefallen ist.

(via The Register)

7. Juni 2009

The Antwerp Diamond Heist

Category: Offtopic — Christian @ 22:11

Eigentlich Offtopic und nur weil sich die Geschichte des größten Diamantenraubs in Antwerpen bei Wired wirklich spannend liest:

The Untold Story of the World’s Biggest Diamond Heist

Und wenn man zwischen den Zeilen liest, findet man vielleicht auch die eine oder andere Idee für einen Penetrationstest mit Physical Security Komponente.

(via Security4all)

History of RFCs – Teil 1

Category: Internet — Christian @ 14:31

Wenn ich mal etwas Zeit habe, finde ich es recht spannend, uralte RFCs durchzublättern um zu sehen, wie sich die Netzwerkprotokolle entwickelt haben und welche Gedanken man sich ursprünglich zu verschiedenen Diensten gemacht hat. Ich möchte daraus eine sehr unregelmäßige Reihe machen, in der ich für mich RFCs festhalten kann, die mir aus verschiedenen Gründen aufgefallen sind.

    Das ist aus heutiger Sicht ein recht lustiger RFC. Praktisch jeder ist der Meinung, ein Byte besteht natürlich aus 8 Bit. Ich glaube mich daran erinnern zu können, dass einer meiner Azubis so etwas sogar in der Fachinformatiker-Prüfung hatte. 1971 war das noch etwas anders: „Crocker implies in RFC 123 that control of this parameter is given to the 3rd level programs and that both sender and receiver may specify values of the byte size to the NCP.“ Auf Deutsch: Die beteiligten Kommunikationsendpunkte legen die Größe ihres Bytes fest. Und dann folgt ein nettes Beispiel mit Bytes von 3 und 5 Bit. Kann sich heute keiner mehr vorstellen, so etwas. Erklärt aber, warum die ISO-Einheit „Oktett“ und nicht „Byte“ ist.
    Klar, HTTP ist Port 80, SSH ist Port 22, POP3 ist Port 110 usw. Aber wie fing das mit den Portnummern eigentlich an? „I would like to collect information on the use of socket numbers for „standard“ service programs. For example Loggers (telnet servers) Listen on socket 1. Recently Dick Watson suggested assigning socket 5 for use by a mail-box protocol (RFC196).“ Sehr schön. Daraus hat sich erst diese und dann diese Liste entwickelt. Warum ist eigentlich Telnet von 1 auf 23 gewandert?
    Auch so ein Schmankerl. Vor allem wegen der Vorstellung, dass Nachrichten auf Papier direkt digital abgebildet werden sollen: „It is the sender’s responsibility to control the length of the print line and page. If more than 72 characters per line are sent, or if more than 66 lines are sent without a form feed, then the receiving site can handle these situations as appropriate for them.“ Eine Seite besteht also aus 66 Zeilen mit je 72 Anschlägen. Und genau so müssen digitale Mails auch aufgebaut werden. Könnte direkt von den Internetausdruckern kommen, dieser RFC.
    Das waren noch Zeiten, als die UCLA einen Rechner ungestraft „SEX“ nennen konnte. Das hat sich dann aber auch innerhalb einer Woche geändert!
    Auch nicht unspannend, wie früh und konkret sich das Militär immer wieder in die Entwicklung eingemischt hat. Datenübertragung zwischen zwei Computern mittels Satellit konnte sich 1972 sonst niemand leisten.
    Da hat sich doch tatsächlich jemand Gedanken über erweiterte Zeichensätze gemacht. Man muss sich das mal vorstellen, 96 Character in ASCII war damals schon innovativ, viele haben noch mit 64 Zeichen (ohne Kleinbuchstaben) gearbeitet. „Anyone can register a new character. Each character has a unique number, 17 bits should be enough even to include Chinese. Finally, the character has a design which is a picture on a 50 by 50 dot matrix.“ 17 Bit … sowas.
    An der Qualität der Handbücher und Dokumentation hat sich seither auch nichts geändert. Meiner Mutter bräuchte ich mit dieser Doku FTP jedenfalls nicht erklären.
    FTP ist sowieso eines der Protokolle die mich mit dem ursprünglich geplanten aber oft nur teilweise implementierten Funktionsumfang immer wieder überraschen. Beispielsweise die Übertragung von einem FTP-Server direkt zu einem anderen FTP-Server mit einer Kombination aus Active und Passive FTP. Ich kenne kaum einen FTP-Client der das kann, inzwischen verbieten das aber auch die meisten FTP-Server wegen Bounce und ähnlichen Angriffen. Gibt es eigentlich irgendeinen FTP-Server oder Client, der den HASP-Mode implementiert?

Irgendwann mehr …

6. Juni 2009

Check Point RSA Radius Problem

Category: Produkte,Work — Christian @ 20:26

Im Einsatz:

  • Check Point NGX R6x (ich glaube R65)
  • RSA Authentication Manager 6.1
  • Radius Authentisierung

Prinzipiell funktioniert die Authentisierung ABER: NextTokencode und NewPIN geht nicht. Mit dem Radius-Server in 6.0 scheint es noch funktioniert zu haben.

Hat zufällig jemand eine Idee, warum nicht?

5. Juni 2009

Windows 7 testet vollautomatische Updates

Category: Internet,Produkte — Christian @ 00:21

Microsoft nutzt die Early Adopter von Windows 7, um damit auch das Verteilen von automatischen Updates zu testen. Im Grunde ist dagegen nicht viel einzuwenden. Wer sich eine Windows 7 Beta installiert und die Lizenzbedingungen gelesen hat, weiß das. Außerdem weißt Microsoft im eigenen Blog darauf hin.

Interessant finde ich allerdings folgenden Satz:

    „Many of the updates will install automatically, and a few will not.“

Zu deutsch: Die Updates installieren sich völlig automatisch, der Anwender wird gar nicht mehr gefragt, egal wie er Windows Update eingestellt hat. Und wenn das ein Test für das ist, was Microsoft mit den Updates in Zukunft vor hat, kann man damit rechnen, dass viele Anwender die Updates lieber wieder komplett deaktivieren oder gar blockieren.

Und da verstehe ich Hersteller wie Microsoft nicht mehr. Wie kann man eigentlich so doof sein, das Vertrauen in eine derart wichtige und kritische Infrastruktur durch solche Maßnahmen zu untergraben? Vor allem, wenn das nicht zum ersten Mal für Kritik sorgt.

(via The Inquirer)

4. Juni 2009

Warum staatlich filtern?

Category: Internet — Christian @ 23:47

Die Porno-Anbieter können das doch viel besser und haben auch schon Software dafür im Programm. Insbesondere die politisch subversiven Seiten bleiben dann außen vor.

Mehr bei F!XMBR, dem Spiegelfechter und Telepolis.

Die Illuminati? Völlig harmlos. Ganz Deutschland ist von Laien unterwandert. Dumm, dreist und ahnungslos bieten sie Lösungen zu Problemen an, die sie selbst geschaffen haben. Und schwingen sich dann zum Weltenretter, zumindest aber zur Familienministerin auf. Laien halt.

3. Juni 2009

Windows Updates für alle Programme?

Category: Hacking,Internet — Christian @ 22:36

Heise wirft einen interessanten Gedanken in den Ring: Über Windows Updates sollten nicht nur Patches von Microsoft sondern auch von vielen anderen gängigen Programmen, z.B. Java, Adobe Reader, Quicktime, … etc. verteilt werden.

Eine nette Idee und aus Sicht der Anwender vielleicht sogar wünschenswert. Vielleicht.

Erst mal weiß ich nicht ob ich will, dass ausgerechnet Microsoft eine derart mächtige Infrastruktur für Updates von allem kontrolliert. Das bedeutet nämlich auch, dass Microsoft problemlos Daten zusammenführen kann, welcher Windows-Rechner welche andere Software installiert hat. Alleine dieses Wissen über den Marktanteil von Konkurrenzprodukten halte ich schon für gefährlich.

Dazu kommt, es gibt viel zu viele verschiedene Programme. Welche Grenze zieht man, was in Windows Updates reinkommen soll und was nicht? Das ist wie beim Browser. Klar könnte man die üblichen Regeln z.B. nach Marktanteil aufstellen (benachteiligt unfair kleinere Anbieter) oder Microsoft könnte sich die Patchauslieferung bezahlen lassen (benachteiligt unfair Open Source und Non-Profit Projekte). Ich fürchte aber, das führt ebenfalls zu einer massiven Verzerrung der Wettbewerbssituation zu Gunsten Microsoft.

Warum schafft es eigentlich die Open Source Community nicht, so etwas wie Windows Updates zu implementieren? Ich habe eine Vielzahl von Open Source Programmen auf meinem Rechner, angefangen von Firefox über Open Office zu Gimp und jedes Programm hat eigene Verfahren zum Update. Ich stelle mir gerade vor wie es wäre wenn es ein „Open Source Software Update“ gäbe. Alle Projekte hätten die Möglichkeit sich da einzuklinken und über eine definierte API ihre Updates anzubieten. Der User entscheidet dann, welche Updates von welchen Projekten er ziehen möchte. Das ganze offen implementiert, dann könnte ich mir vorstellen, dass auch kleinere kommerzielle Anbieter diese Infrastruktur nutzen würden.

Das wäre dann ein Software Update für alle. Und das wäre mein Wunsch für mehr Sicherheit.

2. Juni 2009

Spaß mit Tick, Trick und Bing

Category: Internet,Produkte — Christian @ 00:58

Bing ist online. Soso. Mit Bing will Microsoft angeblich die Vormachtstellung von Google im Bereich der Internetsuche angreifen (schreibt Golem). Soso. In der Version für Deutschland bietet Bing aber keine Möglichkeit, den Jugenschutzfilter abzuschalten (schreibt Heise). Soso.

Ich hab dann mal ein wenig rumgespielt.

Bing 1

Tatsächlich, genau wie Heise schreibt kommt mir doch da der Jugendschutzfilter dazwischen und ich finde auch keinen Menüpunkt den abzuschalten (ok, ich habe mich jetzt nicht angemeldet aber wer würde das für eine simple Suche auch tun?).

Egal, Sex ist eh langweilig. Es geht schließlich auch konkreter:

Bing 2

Und schon kommen die Ergebnisse. Geiler Sex ist nämlich besser als langweiliger Blümchensex (der übrigens auch nicht gesperrt wird). Da fällt mir nur noch „Idioten“ ein:

Bing 3

„Sie suchen Idioten? Kaufen.eBay.de/jetzt-bestellen“. War mir aber eigentlich auch vorher klar, dass sich die Idioten bei Ebay rumtreiben. Schauen wir mal, was die Politik so macht:

Bing 4

„Suchen Sie Spd? www.Shopping.com“. Auch logisch. Die SPD hat sich ja schon unter Schröder verkauft. Mal sehen ob das die Piratenpartei besser macht:

Bing 5

Ich glaube, die Piratenpartei hat da noch ein Profilproblem. Jedenfalls zeigt die Werbung auf „Piratenparty“ und nicht auf die Partei. Ich hoffe zwar, dass die Piratenpartei nach der Europawahl einen Grund zur Piratenparty hat aber so war das nicht gedacht.

Spannende Frage: Wo kommen eigentlich die „falschen“ Werbebegriffe her? Passt Bing die automatisch an, um bei Tippfehlern mehr Werbung verkaufen zu können? Hier ein weiteres Indiz:

Bing 6

Bei der Suche nach „ebay“ wird in der zweiten Werbezeile auch Shopping.com mit dem Begriff „ebbay“ eingeblendet. Sehr clever. Weil Bing mehr Werbung einblenden will um mehr Werbung verkaufen zu können, werden auch ähnliche Begriffe verwendet und Shopping.com vermeidet es so, den geschützten Begriff ebay zu verwenden.

Allerdings geht mir das automatische korrigieren von Bing ein wenig zu weit. Wenn man beispielsweise nach „bsi“ sucht:

Bing 7

Dann wird aus dem zweiten Link „BSI für Bürger“ bei Bing ein „BSI für Bürgen“ und Bürger sind dann doch noch etwas anderes als Bürgen. Ich konnte übrigens nirgends auf der BSI-Seite den Begriff „Bürgen“ finden, den muss Bing da reingepfuscht haben.

Und jetzt wird es für mich schwierig. Eine Suchmaschine darf meinetwegen ihre Ergebnisse nach diversen undurchsichtigen Kriterien gewichten. Entweder sie zeigt an was ich suche oder nicht, dann suche ich woanders. Eine Suchmaschine darf meinetwegen auch noch bestimmte Ergebnisse filtern die nicht jugendfrei sind. Ich fühle mich dann zwar nicht mehr zur Zielgruppe gehörig aber das muss der Betreiber der Suchmaschine für sich entscheiden, ich suche dann halt woanders. Eine Suchmaschine darf meinetwegen auch Werbung mit falschen Stichwörtern einblenden. Das ist mir egal, wird eh meistens ausgeblendet. Oder ich suche eben woanders.

Wenn aber eine Suchmaschine anfängt, nicht mehr die Originalinhalte der Webseite auszugeben sondern intern irgendwas interpretiert und dann eindeutig fehlerhafte Ergebnisse rauskommen … dann ist das keine Suchmaschine mehr, noch nicht einmal Beta, das erinnert mich schon sehr an einen Zensurfilter.

Ich weiß nicht, was die Verantwortlichen bei Microsoft sich da gedacht oder zusammenprogrammiert haben, aber so wird’s nun wirklich nichts mit einer Suchmaschine!

1. Juni 2009

Die lustigen neuen EU-Auflagen für Microsoft

Category: Internet,Politik — Christian @ 19:18

EU mag IE nicht

Soso, Frau Kroes, unsere allseits (außer bei Microsoft und Intel) geschätzte EU-Wettbewerbskommissarin hat ein paar neue Ideen um Microsoft zu drangsalieren. Diesmal auf Beschwerde von Opera. Ihre neueste Idee ist jetzt, dass Microsoft neben dem Internet Explorer auch weitere Browser mit dem Betriebssystem bündeln soll.

Ich persönlich halte das aus mehreren Gründen für einen ausgemachten Schwachsinn.

  1. Welche Browser sollen denn mit aufgenommen werden? Firefox, Opera und Chrome? Warum Chrome, Google hat einen vernachlässigbaren Marktanteil und ist eine Gefahr für die Privatsphäre aller EU-Bürger. Dafür Safari? Macht man ein Quorum (erst ab 2,5% Marktanteil) und wie bestimmt man das? Oder kommt jeder rein, der laut genug schreit? Das wären dann aber ganz schön viele.
  2. Wer stellt die Liste der Browser zusammen? Microsoft? Die EU-Kommission? Zensursula von den Laien? Eine „Expertenkommission“? Wodurch qualifizieren sich diese Experten? Wie die Hausfrau die sich beim Callcenter mit Verweis auf ihre Telefonrechnung bewirbt?
  3. Wie ist das mit den Browser-Updates? Werden die dann auch von Microsoft verteilt? Wie schnell? Was ist, wenn da was schief geht? Ist dann Microsoft schuld (weil nicht getestet) oder der Browserhersteller? Und fliegen Browser raus bei denen das Update fünf mal schief lief?
  4. Was ist eigentlich (mal rein hypothetisch) mit Firmen, die ihren Browser wirklich noch verkaufen wollen? So gegen richtiges echtes Geld? Wenn alle Browser kostenlos gebündelt werden ist der Markt erst recht tot.
  5. Überhaupt, warum wird das auf die Browser beschränkt? Ich fühle mich total monopolistisch unterdrückt, weil ich vor vielen Jahrzehnten mal ein Tool programmiert habe mit dem sich eine Platte defragmentieren lässt. Bei Windows Defragmentierungstools hat Microsoft durch das Bündeln mit Windows einen Marktanteil von fast 100%. Ich verlange, dass mein Tool auch von Microsoft mit angeboten wird!

Ich bin ja kein besonderer Freund von Microsoft, aber diese Idee kommt mir mindestens genauso intelligent vor wie das Internet mit einem Stopschild zu filtern. Lauter Laien in der Regierung.

Andererseits … wenn da wirklich jeder Browser mit verteilt werden müsste, könnte die von der Leyen ja einen „Bundesbrowser“ entwickeln, der garantiert keine Bilder mehr anzeigt (dann gibt es nämlich auch keine KiPos mehr) und diesen an alle deutschen Rechner gleich mitverteilen. Und GröIaZ Schäuble kann seinen „Bundestrojaner“ mitbündeln, dann ist der auch direkt auf allen Rechnern. Oder nee, das wäre ja eine EU-rechtlich unzulässige Kopplung. Ich hätte da nämlich auch ein Konkurrenzprodukt zum Bundestrojaner, frisch aus Frankreich importiert.