scheiss-software.de – Page 3 – Mein Kommentar zu aktuellen Themen aus IT und Politik

06. Aug 201106. Aug 2011

20 Jahre WWW

20 Jahre WWW, diesen Anlass möchte ich für meinen eigenen kleinen Rückblick nutzen. Zunächst verlinkte ich aber den Telepolis Beitrag von Wolfgang Kleinwächter – 20 Jahre WWW: Prinzipienschwemme im Cyberspace. Da der Artikel nicht auf das Usenet Posting von Tim Berners-Lee verlinkt, hier das Orginal: WorldWideWeb: Summary. Aber nehmen wir das Jahr 1991 als Ausganspunkt für eine kleine Zeitreise.

WWW ist nicht das Internet – ich war damals ab ca. 1990 mit einem 2400 Baud Modem ans Usenet angeschlossen und bezog täglich via UUCP einige ausgewählte Newsgroups. Diese Technik ist heute noch relevant wie folgender Tweet zeigt:

RT @martinbogo In #Egypt a network of BBS’s are coming to life to combat the closure of ISP access. UUCP is up an running, quickly hashed up FIDOnet nodes

Heutigen Internetnutzern ist meist nicht klar das das WWW nur ein Bestandteil des Netzes ist. Wie man sieht geht es zur Not auch ohne WWW und viele Internet-Dienste haben nicht direkt etwas mit dem WWW zu tun.

Die Zensur-Debatte – ebenfalls im Jahr 1991 erlebte die deutsche Netzgemeinde die erste große Zensur-Debatte. Auslöser war damals ein EMMA Artikel von Ursula Ott – mit dem Titel “Pornos im Uni-Computer”. Dies führte zu einer sehr langen und kontroversen Diskussion. Ich verlinke mal ein Posting von Frank Simon (Chaos Computer Club) – Den Aufstand proben (Sonderbeitrag Chalisti) das Anfang 1992 als Reaktion auf diesen Artikel entstand. Das Thema Zensur gabs beim CCC aber schon 1985, hier ein Link in die Hackerbibel – Elektronische Zensur. Und wenn wunderts damals war die Liste mit den zensierten Angeboten natürlich geheim…

Benehmen im Netz – am 31.07.2011 behauptete SPD-Chef Sigmar Gabriel in einem Bild am Sonntag Interview folgendes:

Gelegentlich werden Hetze, Beleidigungen oder gar Bedrohungen als eine Art Folklore hingenommen. Hier haben die Nutzer des Internets eine Verantwortung dafür, dass solche Dinge zur Anzeige gebracht werden. In den sozialen Netzen müssen auch soziale Regeln gelten. Aufrufe zum Rassenhass oder gar zu Mordtaten sind auch im Internet strafbar.

Passend dazu möchte ich auf ein Netiquette Posting vom 15 Januar 1992 verlinken. Gutes Benehmen ist also ebenfalls ein Dauerbrenner in der Netzgemeinde…

Viele Themen die aktuell diskutiert werden sind also nicht wirklich neu, wie diese Beispiele von vor 20 Jahren zeigen. Es ist eher so das unsere Politiker 20 Jahre hinterher sind 😉

Um zum Schluß nochmal auf das WWW zu kommen, Zugang zum World Wide Web hatte ich dann ab 1993 im Rechenzentrum meiner Hochschule. Und heute? Als IT-Berater habe ich natürlich ständig mit dem Internet zu tun, aber ich kann auch ohne! Soziale Netzwerke nutze ich übrigens sehr eingeschränkt. Ich habe ein berufliches Profil bei Xing, aber um Facebook und & Co mache ich ansonsten einen weiten Bogen – mir fehlt einfach die Zeit dazu.

Mir ist es wichtig das die Leser meines Blogs erkennen das “Das Netz” viel mehr als WWW, Google oder Facebook ist! Letztendlich ist es ein Kommunikationsmittel das unsere Welt in ein virtuelles Globales Dorf verwandelt. Noch so ein Begriff der die Netzgemeinde sehr geprägt hat. Vielleicht ist es gerade der Gedanke vom Globalen Dorf der dazu führt das sich mir die Nackenhaare aufstellen wenn wieder mal ein deutscher Politiker die Floskel von “Den Servern im Ausland” benutzt. In der realen Welt hat “Das Netz” natürlich ebenfalls seine Spuren hinterlassen und so sitze ich glücklich neben Leuten aus Frankreich und Indien im Büro beim Kunden – im Globalen Dorf eben…

20. Jul 201123. Jul 2011

IT-Pannen des Tages

Die IT-Pannen sind in dieser Woche ja schon fast inflationär…

Zuerst stellt Frau Aigner Ihr Vorzeigeprojekt www.lebensmittelklarheit.de vor und das Ding knickt unter der Last gleich mal ein :-). Jetzt um 22:21 ist die Seite immer noch extrem langsam oder es kommen Fehlermeldungen. Was lernen wir daraus? – Wer ein Projekt PR-technisch auf spiegel.de, focus.de und tagesschau.de puscht muss sich im Vorfeld schon sehr umfangreiche Gedanken über die Performance seiner Website machen! Die Union hats ja mit den Stresstests ;-).

Penny.de hatte sich dann offenbar noch spontan zur Veröffentlichung der Kundendatenbank entschlossen: heise.de – Penny.de nach angeblichem Hackerangriff offline. Gibts eigentlich noch einen großen Einzelhandelskonzern der seine Kundendatenbank noch nicht unfreiwillig ins Netz gestellt hat? Wohl falsch verstandenes Cloud Computing…

Unsere Bundesregierung ist natürlich immer vorne mit dabei, da reicht eine Panne pro Tag nicht. Deshalb gibts auf www.bundesregierung.de gleich noch eine Sicherheitslücke (siehe das Blog von Nils Juenemann – XSS bei der Bundesregierung). Ich glaub ja langsam die bauen die Sicherheitslücken absichtlich ein, damit das neue Cyber-Abwehrzentrum auch was zu tun hat.

17. Jul 201118. Jul 2011

Kommentar zur aktuellen IT-Panne beim Zoll

Nachdem der deutsche Qualitätsjournalismus bei dem Thema gerade wieder komplett versagt, kann ich mir einen eigenen Kommentar nicht verkneifen.

Zunächst mal zum allgemeinen Teil, im Focus Artikel Angriff auf Zoll-Computer — Hacker überlisten Antiviren-Software wird ein “hoher Sicherheitsbeamter” wie folgt zitiert:

Das ist so ziemlich das Schlimmste, was passieren konnte

hmm, also mal ehrlich! Wenn man sich das mal genau überlegt sind die Auswirkungen aus meiner Sicht doch eher mit das Beste was der betroffenen Behörde passieren konnte. Was wäre passiert wenn das Wissen über diese Sicherheitslücke an “echte Kriminelle” verkauft worden wäre? Was würde eine Terror-Organisation wohl dafür bezahlen? Oder die Mafia? Oder “die Hacker aus China”?

Dann mal weiter mit den technischen Details die man in der Presse lesen konnte. Bei XAMPP von Billig-Software zu sprechen ist schon mal nicht gerechtfertigt, richtig ist das die Software für diesen Einsatzzweck nicht gedacht ist. Mit Antiviren-Software hat XAMPP nun aber überhaupt nicht zu tun. Witzig ist ja noch das ausgerechnet 42 Trojaner auf den Festplatten gefunden wurden.

Die IT-Panne zeigt aber nicht zuletzt mit wieviel heisser Luft die kollektive Terror-/Cyberwar-Panik geführt wird! Es sollen ja schon die ersten Hacker identifiziert sein, da werden uns in den nächsten Tagen bestimmt ein paar 16-jährige Script-Kiddies vorgeführt werden. Und für die brauchen wir dann ein Terror- und ein Cyber-Abwehrzentrum mit BKA, BND und tralla?

Man sieht hier schon das unsere Bundesbehörden auch nur mit Wasser kochen, und manchmal ist das Wasser halt nur lauwarm. Viel interessanter wären eigentlich folgende Fragen:

Warum hängt so ein Server eigentlich direkt im Internet?
Wenn der Server schon im Internet hängt, warum prüft dann niemand in der Behörde ob evtl. mehr Dienste nach aussen zugänglich sind als eigentlich erforderlich (sowas lässt sich automatisieren)?
Die PATRAS-Server sind vermutlich nur die Spitze des Eisbergs. Nachdem die Angreifer Zugang zu den Servern hatten, konnten sie diese als Sprungbrett für weitere Angriffe benutzen. Z.B. auf interne Systeme ohne direkte Internetanbindung. Und die internen Systeme sind erfahrungsgemäß noch schlechter geschützt als die externen 🙂 Wo hatten die Angreifer als noch Zugang?

Falls sich jemand jetzt noch frägt wie die Angreifer überhaupt die PATRAS-Server gefunden haben. Dies war vermutlich einfacher als der IT-Laie es sich vorstellen kann. Ich hatte es hier ja schon ein paar mal von IP-Nummern (Wie funktioniert DNS? / Wo steht der Server?). Diese IP-Nummern werden meist in fortlaufenden nummerierten Blöcken vergeben. Ein 16-jähriger Schüler mit etwas zuviel Zeit und Spieltrieb kann mit der WHOIS Datenbank interessante IP-Nummern Blöcke (Net-Blocks) ermitteln. Diesen Block von IP-Nummern kann man anschließend automatisiert auf die dort installierten Dienste scannen. Eine Installation wie XAMPP ohne Absicherung fällt spätestens auf dieser Stufe auf. Verantwortungsvolle Unternehmen machen übrigens solche Scans ihrer IP-Nummern regelmäßig oder beauftragen externe Dienstleister dafür. Hat man solch ein System dann erstmal gefunden ist der eigentliche Angriff mit etwas Kreativität und mit google.de keine grosse Sache mehr.

Was bleibt als Fazit von dieser IT-Panne? Merkt Euch diese IT-Panne für den Fall das Euch ein Politiker erzählen will die IT-Systeme der Regierung wären sicher und nicht zu knacken! Das war jetzt ein IT-System von Strafverfolgungsbehörden die ein direktes Interesse daran haben das ihre Daten geheim bleiben. Wie gut sind dann wohl die Server von anderen Behörden geschützt die noch viel weniger Budget und Interesse für Sicherheit haben?

06. May 201015. May 2018

Die Piratenpartei vor der Landtagswahl NRW 2010

Die Piratenpartei hat zur Landtagswahl 2010 in NRW zwei super Werbespots erstellt. Einmal den offiziellen [Youtube-Video existiert nicht mehr!].

Und dann noch einen mit etwas Abgrenzung zu anderen Parteien, [Youtube-Video existiert nicht mehr!].

Wer sich etwas neutraler informieren möchte, findet bei Wikimedia mit den “Wahlprüfsteine zur Landtagswahl Nordrhein-Westfalen 2010” eine gute Übersicht zu den netzpolitischen Positionen der einzelnen Parteien.

09. Dec 200909. Dec 2009

Computer Insecurity – Der Plugin-Update-Krieg Teil 1

Endlich mal wieder ein Blog-Post von mir. Wahlkampf ist zu Ende jetzt wird es etwas technischer… Aber wir können ja noch kurz bei der Politik bleiben. Gestern war der IT-Gipfel in Stuttgart – mein kurzer Kommentar: viel heisse Luft und Worthülsen! Ein paar Links dazu:

netzpolitk.org: Preisfrage zum IT-Gipfel
netzpolitik.org: Großes IT-Gipfel-Projekt war wohl eine Ente
Piratenpartei: Piratenpartei kritisiert IT-Gipfel und erntet Lob von der Industrie

Ich bin da sehr skeptisch was den Erfolg der Provider und des BSI im Kampf gegen Bot-Netze angeht. Aber so kommen wir gleich zum Thema dieses Posts! Kuckt man sich die Verbreitungswege von Viren und Trojaner an, stellt man schnell fest das diese meist über unsichere Programme auf den Computer gelangen. Am meisten betroffen sind natürlich Programme die direkt oder indirekt Daten aus dem Internet verarbeiten, also Web-Browser, Mail-Programme und Programme die über Plug-Ins an diesen angeschlossen sind wie z.B. der Acrobat Reader. Unsicher bedeutet in diesem Fall das diese Programme Sicherheitslücken enthalten.

Auf einem modernen PC sind in der Regel zahlreiche Zusatzprogramme und Plug-Ins installiert, sprich wenn es blöd läuft gibt es gleich mehrmals in der Woche Programme bei denen Sicherheitslücken entdeckt wurden und nun schnellstens ein Update durchgeführt werden müsste. Deshalb die Überschrift mit Update-Krieg 😀

Heute ganz aktuelle betroffen ist der Adobe Flash Player, eines der Plug-Ins für den Web-Browser das eigentlich fast jeder installiert hat. Etwas mehr Details zum aktuellen Fall enthält die Sicherheitswarnung des Herstellers Adobe: Security updates available for Adobe Flash Player. Welche Version des Flash Player auf einem Computer installiert ist lässt sich über folgenden Link leicht ermitteln: http://www.adobe.com/software/flash/about/. Die Text-Box in der Mitte der Seite enthält die Versions-Nummer:

flash-ver01

Wenn da also eine Version 10.0.32.18 oder noch kleiner steht sollte man eigentlich möglichst schnell die aktuelle Version vom Flash Player Download Center installieren.

Mein letzter Tipp im Kampf gegen Bot-Netze ist der Update-Check von heise Security, hier wird eine Vielzahl von gefährdeten Programme auf ihre Aktualität geprüft. Den Update-Check und Infos dazu findet man hier: Update-Check von heise Security.