24. März 2010
„Oh mein Gott, wir werden alle störben“ ((C) by Fefe). Ach nein, Irrtum. Ist ja nur eine Prophezeiung von Gartner. Die Wahrsager mit der Glaskugel behaupten, dass im Jahre 2012 60% der virtualisierten Server weniger sicher sind als die Systeme die sie ersetzen.
Wie das? Werden alle Linux-Server durch Windows ersetzt? Oder umgekehrt? Liegt es daran, dass nur noch schlecht ausgebildete Administratoren auf den Markt kommen? Sogenannte Daudministratoren? Nein, die Virtualisierung ist schuld!
„So argumentieren die Marktforscher an mehreren Stellen mit der Möglichkeit, dass ein Angreifer über Sicherheitslücken in der Virtualisierungssoftware aus einer VM ausbrechen und den Hypervisor oder andere VMs auf dem selben Server erfolgreich attackieren könnte.“
Aha … VMware ist also Schuld. No shit Sherlock ((C) by Fefe). Nun gut, eigentlich ist das nichts sonderlich neues. Aber schön, dass die Glaskugelleser von Gartner das auch schon bemerkt haben.
Und die Lösung? Die könnte von Captain Obvious ((C) by Fefe) kommen. Einfach IT-Sicherheit von Anfang an im Planungs- und Designprozess berücksichtigen, dann klappt’s auch mit der Nachbarin Virtualisierung. Und dafür verlangt Gartner Geld …
Ich warte ja (und hoffe) darauf, dass google.de auch nach google.com.hk umleitet. Wenn man ein wenig kuckt, finde ich es nämlich echt erschreckend was in Deutschland (egal aus welchen Gründen) alles zensiert und gesperrt werden kann. Dabei braucht man gar nicht mal explizit nach Altnazis und Holocaust-Leugnern suchen (mit 19 entfernten Ergebnissen übrigens der verbotenste (was für ein Wort) Suchbegriff den ich bisher finden konnte). Das Hamburger Landgericht beispielsweise hat sogar veranlasst, dass Links auf Seiten mit kritischer Berichterstattung aus dem Google-Index verschwinden. Eine Suche nach dem Namen des Landgerichtspräsidenten Kai-Volker Öhlrich bei google.de liefert auf der letzten Seite den Hinweis:
Der Screenshot sieht so aus:
Stellt man die gleiche Suchanfrage beispielsweise aus der Schweiz bei google.ch, sieht das Ergebnis leicht anders aus. Man beachte im folgenden Screenshot den dritten Link:
Sieht aber auch wirklich sehr gefährlich aus, diese Sanskritweb.net-Seite.
Aktueller Anlass ist übrigens, dass das Oberlandesgericht Hamburg von Google nicht nur verlangt, Links und Seiten aus dem deutschen Index (google.de) sondern auch aus dem internationalen Index (google.com) herauszunehmen. Soweit ist bisher nicht einmal die chinesische Regierung gegangen.
Unser Grundgesetz Artikel 5 Absatz 1 Satz 3 sagt: „Eine Zensur findet nicht statt“. Aber eine Zensur im Sinne des Grundgesetzes ist nach deutscher Rechtsprechung nur die Vorzensur, d.h. wenn die Inhalte vor der Veröffentlichung bereits verboten werden. Eine Nachzensur, d.h. die Inhalte werden direkt nach der Veröffentlichung verboten ist offensichtlich zulässig. Also auf nach Hongkong.
22. März 2010
„Ich werd‘ noch bekloppt“, wird sich der eine oder andere denken. Das Bundesamt für Sicherheit in der Informationstechnik verfällt jedenfalls langsam aber sicher in den Wa[h|r]nsinn. Heute darf mal das Bürger-CERT ran. Mit einer Technischen Warnung for Mozilla Firefox. Bis 30. März ist deshalb wieder der Internet Explorer Lieblingsbrowser im BSI.
„Was für ein Glück“ wird sich der oben erwähnte eine oder andere da denken. Schließlich ist er doch mit der letzten Warnung erst auf Firefox umgestiegen (in der Version 3.0.7, die war schon auf dem PC drauf) und das BSI Bürger-CERT warnt vor der Version 3.6. Und dieses neumodische Glump kommt natürlich nicht auf den Rechner vom einen oder anderen. Aber der liest auch nicht The Register.
21. März 2010
Ein ehemaliger Mitarbeiter eines Autohauses in Texas hat die ausgelieferten Autos mittels einer Fernsteuerung abgeschaltet, die eigentlich dazu genutzt wird Fahrzeuge zurück zu bekommen deren Raten nicht mehr bezahlt werden. Steht in der PC-Welt. Und mit mehr Details bei Wired.
Der Rest war einfach. Die Polizei hat gekuckt mit welchem Login der Täter angemeldet war (der Account eines Ex-Kollegen), die IP-Adresse zurückverfolgt (ein AT&T-Anschluß) und prompt den Übeltäter erwischt (Mr. Omar Ramos-Lopez). Das kann sogar die Pozilei. Aber der gute Ex-Mitarbeiter hat sich jetzt auch nicht besonders intelligent angestellt.
Eine ähnliche Erfahrung hat die UBS mit Roger Duronio gemacht. (Ex-)Mitarbeiter sind manchmal eben gefährlich. Und was man dagegen tun kann? Tja … am besten macht man’s wohl wie Nokia in Bochum.
(Danke Sören)
20. März 2010
19. März 2010
Diesen Link zu Coding Horror habe ich schon länger archiviert, als Nachtrag zu meinem DoS-Artikel kann ich ihn endlich verwenden.
Rate Limiting, d.h. die Beschränkung von gleichzeitig ausgeführten Operationen z.B. Datenbankabfragen in einer Webapplikation kann ebenfalls als Maßnahme gegen Denial-of-Service Angriffe genutzt werden. Das Problem ist nur, zu wissen wann „zu viel“ wirklich zu viel ist. Was ist normales Verhalten (das sich im Laufe der Zeit ändern kann) und was ist ein tatsächlicher Angriff?
Jeff Atwood visualisiert das Problem mit einem Schild an der Eingangstür eines Ladens:
All the signs have various forms of this printed on them: Only 3 students at a time in the store please
Die Vorstellung ist aber auch zu lustig:
- Couldn’t three morally bankrupt students shoplift just as effectively as four?
- How do you tell who is a student? Is it based purely on perception of age?
- Do we expect this rule to be self-enforcing? Will the fourth student walk into the store, identify three other students, and then decide to leave?
Das kann gar keine präzise Wissenschaft sein 🙂
18. März 2010
In Neuss war wie jedes Jahr die Architecture, die Hausmesse von Ingram Micro. Ich hatte wie die letzten Jahre auch die Einführungs-Livehacking Präsentation und habe einen kleinen Mix aus verschiedenen Themen vorgeführt … ein wenig Industrispionage mit Hardware-Keyloggern, ein wenig Abhören von unverschlüsselter Datenkommunikation und ein wenig zu Rootkits, die sich im System einnisten. Nichts besonders spektakuläres aber ein ganz amüsanter Mix, wie ich fand. Das Feedback war jedenfalls gut.
Hier die Präsentation (PDF).
Nächstes Jahr ist mal wieder Sprachkommunikation dran. Ich möchte VoIP und DECT abhören und mal sehen, was dann der Stand von GSM ist.
Ansonsten war der Vortrag von Matthias Leu sehenswert. Ich hoffe den gibt es irgendwann online. Matthias gräbt gerne die Security Trends der nächsten Jahre aus, er hat da echt eine Nase für. Und die Übersicht falscher Virenscanner war lustig 🙂
16. März 2010
Heiraten ist eigentlich ganz einfach. Also, jetzt so aus Sicht des Datenbankverwalters, in dessen Datenbank die Hochzeiten gespeichert werden sollen. Ein Mann, eine Frau, Hochzeitsdatum, fertig. Oder?
Naja, ein wenig komplizierter ist es schon. Beispielsweise gibt es gleichgeschlechtliche Lebensgemeinschaften. Also gut, eine Person, noch eine Person, Hochzeitsdatum, fertig. Oder?
Naja, ein klein wenig komplizierter ist es doch nicht. Beispielsweise darf sich eine Person nicht selbst heiraten. Bei Mann und Frau war das automatisch ausgeschlossen. Jetzt wird das schwierig. Also gut, ein wenig Application-Logic, fertig.
Äh ja, aber die Software soll universell eingesetzt werden. Beispielsweise bei den Mormonen in Utah. Oder in Saudi-Arabien. Da gibt es unter Umständen mehrere die miteinander verheiratet sind (auch wenn meistens nur ein Mann dabei ist). Also gut, dann wird eben die Ehe als Verbindung zwischen einer Person a (männlich/weiblich) und n Personen (ebenfalls männlich oder weiblich) definiert. Dabei dürfen die n Personen nicht Person a enthalten.
Ja gut, aber was ist wenn sich eine Person in n scheiden lässt und jemand anderes heiratet? Und ist Person x (in n) die mit Person a verheiratet ist dann gleichzeitig mit Person y (in n) verheiratet? Oder kann Person x (in n) Person y (in n) heiraten und sich dann von Person a scheiden lassen?
Oder wie? Oder was? Gay marriage: the database engineering perspective. Rein technisch natürlich. Gegen heiraten bin ich geimpft.
15. März 2010
Heute nicht ganz so zufällig, die Themen haben das gemeinsame Leitmotiv des Urheberrechts und geistigen Eigentums und wie man sich eine gewisse Unabhängigkeit schaffen kann.
All Your Apps Are Belong to Apple
Die Electronic Frontier Foundation (EFF) hat sich von der NASA den Lizenzvertrag der Software-Entwickler mit Apple erklagt und erschreckendes zu Tage gefördert:
„If Apple’s mobile devices are the future of computing, you can expect that future to be one with more limits on innovation and competition than the PC era that came before. It’s frustrating to see Apple, the original pioneer in generative computing, putting shackles on the market it (for now) leads.“
Erstaunlich, dass bei diesen Lizenzbedingungen überhaupt jemand für Apple Software schreibt. Aber Gier frisst bekanntlich Hirn.
Dein Twitter gehört dir nicht!
„Viele, die munter Fotos hochladen, anderen Applikationen Zugriff auf ihre Social Media gewähren oder sonstwo etwas posten, haben noch nie wirklich nachgelesen, welche umfassenden Rechte sich viele Betreiber auf das geistige Eigentum der Teilnehmer vorbehalten.“
Wovon schreib ich eigentlich die ganze Zeit?
Jetzt backe ich sie mir selbst
„Micro blogging wird immer poulärer. Doch Dienste wie Twitter haben ein 140-Zeichen-Limit für die Nachrichten. In der Kürze liegt die Würze, ja, doch wenn manchmal die halbe Nachricht für lange URLs draufgeht, macht es keinen Spaß mehr. […] Aber wer weiß, wann so ein kostenloser URL-Kürzer seinen Laden dicht macht – und dann sind alle Short-URLs futsch! Nicht so, wenn ich meinen eigenen Dienst nutze.“
Sehr schöne Anleitung 😉
Easterhegg 2010 in München. Im EineWeltHaus, Schwanthalerstraße 80.
Ich bin dabei.
Verehrte Kohlenstoffeinheit,
Wir haben deine Anmeldung zum Easterhegg 2010 in München erhalten.
Woher wissen die das mit der Kohlenstoffeinheit? Nur weil da ein billiges Captcha vor dem Anmeldeformular hängt? Oder ist das schon Speziesismus? Oder hätte ich vorgestern Nacht nicht Tron kucken sollen? Und wo sind eigentlich meine Pillen?
Inzwischen ist die Anmeldung geschlossen, es gibt eine Warteliste.
