22. Juli 2012

London ist Cisco

Category: Allgemein,Produkte — Christian @ 14:43

17.000 Athleten, 22.000 Journalisten, 33.500 Sicherheitsleute (10.500 G4S, 9500 Metropolitan Police, 13.500 Militär) in London. Das sind Olympische Spiele.

2.200 Switches, 16.000 IP-Phones, 80.000 Access Points. Alles Cisco Equipment. Das sind auch Olympische Spiele.

Interessant finde ich die Entscheidung des LOCOG, nur Geräte zu verwenden, die mindestens seit zwei Jahren bewährt sind und funktionieren. Also keine top-aktuellen Geräte mit Beta-Software. Die meisten Switches sind wohl Cisco Catalyst 6500, die seit 1999 produziert werden. Oder wie The Register formuliert: „It’s a very secure network in a very commonly deployed scenario using very commonly deployed switches.“

Versprochen ist eine 99,999% Verfügbarkeit, also höchstens 6 Sekunden Ausfall pro Woche.

Und Cisco hat schon angekündigt, das gebrauchte Equipment dann z.T Schulen zur Verfügung zu stellen aber auch für Cisco-Kurse im Rahmen der diversen Schulungsprogramme. Vermutlich werden uns demnächst tausende günstiger britischer Cisco-Spezialisten überschwemmen.

10. Juli 2012

Hätten gehabt

Category: Politik — Christian @ 01:53

Hätten die mal das gehabt (ach nee, hatten sie ja) … aber im Ernst, manchmal fragt man sich, wie es der Ziercke und seine Leute schaffen, alleine aufs Klo zu gehen. Vorratsdatenspeicherung statt Backup, oder was?

9. Juli 2012

The Quick Brown Fox

Category: Fun — Christian @ 16:06

 

Ein visuelles Panagramm:

 

the quick brown fox jumps over the lazy dog

8. Juli 2012

Wer traut der Cloud?

Category: Internet — Christian @ 23:06

Lesenswerter und kompetenter Artikel in der TAZ zum Datenschutz und Datenklau in der Cloud.

5. Juli 2012

Home-Router-Konfiguration aus der Cloud

Category: Datenschutz,Internet,Produkte — Christian @ 08:36

Äh ja. Danke für die Warnung, Heise:

    Für Ciscos Router-Modelle Linksys EA 2700, 3500 und 4500 steht jetzt ein Firmware-Update bereit, das die Fernsteuerung des heimischen Netzwerks über die Connect Cloud ermöglicht. […] Nachdem wir einen EA4500 mit der Cloud-fähigen Firmware 2.1.38 ausstatteten, ließ sich das Gerät nur noch nach Erstellen eines Connect-Cloud-Kontos in allen Funktionen konfigurieren.

Ich kann verstehen was aus Unternehmenssicht dahintersteckt. Zum einen kann man über die Cloud eine Menge Daten sammeln, beispielsweise wie die Kunden das Interface benutzen, welche Parameter und Optionen eingestellt werden, wo es Probleme gibt usw. Das bietet natürlich die Möglichkeit, einerseits den Kunden bessere Lösungen anzubieten, andererseits kann man den Support verbessern weil sich möglicherweise auch Support-Mitarbeiter auf das Cloud-Interface aufschalten können. Und natürlich kann man die Daten ggf. weiterverkaufen, im Cloud-Interface Werbung einblenden usw. und hat nette Nebeneinnahmen.

Nur, aus Kundensicht geht das gar nicht. Und zwangsweise wie Cisco das macht sowieso nicht. Ok, Cisco hatte 2011 ein schlechtes Jahr und die diversen Umstrukturierungen schlagen auch zu. Aber für das zweite Quartal 2012 gab es schon wieder Rekordzahlen, also hätte Cisco so verzweifelte „wir grabschen uns noch schnell jeden Cent bevor wir Pleite sind und scheiß auf den Ruf“-Aktionen eigentlich nicht nötig. Entweder ist bei Cisco jemand weit oben extrem dumm oder das Management hat jeden Bezug zur Realität verloren. Ich habe ja keine Cisco-Aktion aber wenn, hätte ich John Chambers schon länger mal ausgetauscht. Und mit der Meinung bin ich nicht alleine.

2. Juli 2012

PHP-Source-Viewer

Category: Hacking — Christian @ 16:59

So ein PHP-Source-Viewer ist eine tolle Sache. Da kann man über die Weboberfläche direkt den Source Code einer PHP-Datei ankucken.

Beispielsweise kann man kontrollieren ob Benutzername und Passwort der Datenbank korrekt eingetragen sind.

 46     $dbtype     = 'mysqli';     // db-Server-Typ        
 47     $host       = 'localhost';     // Server                
 48     $user       = 'root';        // Benutzer             
 49     $password   = '';            // Passwort             
 50     $dbase      = 'cms';        // db-Name

Oder ob noch alle User in der Passwort-Datei stehen.

  1 root:x:0:0:root:/root:/bin/bash
  2 bin:x:1:1:bin:/bin:/sbin/nologin
  3 daemon:x:2:2:daemon:/sbin:/sbin/nologin
  4 adm:x:3:4:adm:/var/adm:/sbin/nologin
  5 lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
  6 sync:x:5:0:sync:/sbin:/bin/sync
226 michae2:x:10288:2524::/home/httpd/vhosts/michaelster.ch:/bin/false

Die Passwörter selbst stehen leider in der Shadow, die der Webserver-Prozess nicht lesen darf. Spannend ist natürlich wenn man anhand der Passwort-Datei erkennen kann, welche Domänen auf dem Server gehostet werden.

Ich hab dem Provider eine Mail geschickt. Mal sehen wie schnell das geschlossen wird.

Aber das scheint öfter vorzukommen.

Nachtrag: In zwei Stunden war die Lücke zu.