Gerade hab ich von einem Freund ein cooles Wallpaper für das iPhone gezeigt bekommen:
Feb 182009
Handys haben bekanntermassen eine recht kurze Nutzungsdauer von im Schnitt 18-24 Monaten (und hier eine gefühlte Nutzungsdauer von einem knappen Jahr) – und das führt nicht nur dazu, dass sich in jedem durchschnittlichen Haushalt Berge von funktionierenden, alten Mobiltelefonen anhäufen, sondern auch Schränke voll mit Ladegeräten. Der Vorschlag der OMTP (Open Mobile Terminal Platform) diese Ladegeräte zu vereinheitlichen ist jetzt auch schon etwas älter, aber obwohl da die Großen der Branche wie Nokia, SonyEriccson, etc. dabei sind, hat sich hierzulande nicht viel getan.
Continue reading »
Feb 172009
Vor ein paar Wochen hab ich mir ein neues Spielzeug geholt: ein LG X110 (ohne UMTS), aber leider zickt die WLAN-Karte unter Linux rum und ich hatte keine Lust, da jetzt rumzubasteln.
Weil ich aber doch mal wieder eine kleine PHP Applikation schreiben wollte, hab ich mir XAMPP (für Windows) mal genauer angesehen. Dabei handelt es sich um ein Paket, das Apache, MySQL, Perl, PHP und noch ein paar nette Kleinigkeiten enthält, und das sich einfach installieren lässt.
Ich muss sagen: schneller war eine Entwicklungsumgebung noch nie aufgesetzt. Dank übersichtlicher Konsole sind die einzelnen Dienste schnell gestartet, ohne lange in Konfigurationsdateien rumwühlen zu müsen.
Produktiv würde ich das natÃürlich nicht so out-of-the-box einsetzen wollen, aber wer Windows-Systeme als Weberver für den Produktivbetrieb einsetzen will, dem ist sowieso nicht mehr zu helfen 
Auf ein Problem bin ich dann aber doch gestossen: Apache wollte kommentarlos nicht starten. Auch in den Logfiles war nichts zu finden. Der Aufruf des Batch-Files auf der Kommandozeile hat mich dann auf die richtige Spur gebracht. Apache konnte sich nicht an Port 80 binden.
Welche Software tut alles, um Löcher in Firewalls zu bohren und schnappt sich dafür jeden unverdächtigen Port, den es kriegen kann? Richtig: Skype war der Übeltäter! Also: Skype beenden, Apache starten, Skype wieder starten, glücklich sein.
Als Editor habe ich Notepad++ eingesetzt, und der erste Eindruck ist gut, aber ich muss damit noch ein bisschen rumspielen, bevor ich ein endgültiges Urteil fällen will.
Feb 112009
Wie heute bekannt wurde, wurde die Homepage von Wolfgang Schäuble “gehackt”. Es scheint als ob der Angreifer sich eine veraltete Typo3 Version zunutze machen konnte.
Leider ist der vom Angreifer hinterlassene, sehr wichtige Link auf den AK Vorratsdatenspeicherung: www.vorratsdatenspeicherung.de wieder entfernt worden. Das hat die Webseite doch bedeutend aufgewertet.
Nur zur Erinnerung: Der AK Vorratsdatenspeicherung versucht den wildgewordenen Innenminister davon abzuhalten unser Grundgesetz systematisch zu demontieren und unsere Bürger- und Menschenrechte abzuschaffen.
Jan 272008
Seit Donnerstag hab ich ihn, meinen Eee PC. Und eins vorweg: das ist einer der Käufe, die ich bestimmt nicht so schnell bedauern werde. Das Gerät ist so schön klein und leicht, dass man es wirklich immer dabei haben kann und dabei erstaunlich schnell.
Aber natürlich gibt es auch Schattenseiten: So sind einige unsinnige Anwendungen installiert: Kartoffelknülch zum Beispiel, oder eine Spracherkennung, die sich scheinbar nicht konfigurieren lässt, und anscheinend nicht nur bei mir “Computer, Internet” immer als “Musik” interpretiert. Nicht benötigte Anwendungen finden sich zwar auch in allen anderen Linux-Standardinstallationen, aber bei der “Konkurrenz” kann man Anwendungen löschen und gewinnt dadurch Speicherplatz. Beim Eee allerdings kostet das Löschen Speicherplatz. Der Eee PC bietet nämlich eine Wiederherstellungsfunktion an, und deshalb werden Anwendungen nicht gelöscht, sondern nur die Veränderung zur Startkonfiguration gespeichert.
Ich habe natürlich versucht, ein anderes Linux auf dem Eee zu installieren, aber irgendwie bin ich immer am flashplayer gescheitert. Auf meinen anderen Rechnern reicht
sudo apt-get install flashplugin-nonfree
Aber beim Eee funktioniert das nicht. Ich bekomme zwar keine Fehlermeldung, aber im Firefox steht das Plugin weiterhin nicht zur Verfügung. Auch der Installer von der Adobe-Seite funktioniert nicht: bei der Frage nach dem Mozilla Installationsverzeichnis kann ich eingeben, was ich will, aber der Installer stellt die gleiche Frage kommentarlos immer wieder. Hat dieses Problem schon jemand gelöst? Ich hatte dann keine Lust mich stundenlang mit dem Flashplayer zu beschäftigen, wenn auch noch einige andere Dinge, wie eine vernünftige Batterieanzeige nicht funktionieren. Ich hab jetzt wieder Xandros drauf, und werde mich anderen Linuxen in ein paar Wochen, wenn ich mehr Zeit habe, wieder zuwenden.
Um das Original-Linux wieder aufzuspielen muss man einen USB-Flash Stick benutzen, den man mit einem Tool von der mitgelieferten DVD bespielt. Bei mir hat das zwar funktioniert, aber nach dem Reboot hing der Kleine – er wollte die zweite Partition testen, aber die hat nicht existiert. Ich habe also die alte Partitionstabelle wieder hergestellt. Sie sieht so aus:
Disk /dev/sda: 4001 MB, 4001292288 bytes 255 heads, 63 sectors/track, 486 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Device Boot Start End Blocks Id System /dev/sda1 1 300 2409718+ 83 Linux /dev/sda2 301 484 1477980 83 Linux /dev/sda3 485 485 8032+ c W95 FAT32 (LBA) /dev/sda4 486 486 8032+ ef EFI (FAT-12/16/32)
Also: zuerst mit dem Xandros-Stick den Eee flashen. Dann mit einem anderen Linux die Partitionstabelle (mit fdisk) schreiben, die zweite Partition als ext2 formatieren, z.B.so:
mkfs.ext2 /dev/sda2
Anschliessend den Eee neu booten. Beim ersten mal hängt er nach dem Filesystemcheck wieder. Mit <Return> neu starten, et voilà : der Eee ist wieder wie neu.
Eine tolle Erweiterung für den Firefox hab ich auch gefunden: autohide. Damit kann man die Werkzeugleisten und die Statusleiste mit F11 ausblenden. Wenn man den oberen bzw. untern Bildschirmrand mit der Maus berührt erscheinen sie wieder. Das ist ganz hilfreich um wertvolle Bildschirmfläche nicht zu verschenken.
Sehr schön ist auch das eeeuser-Wiki. Gerade als Einsteiger findet man dort jede Menge nützlicher HowTos.
Okt 252007
Offenbar habe ich doch einmal ein Thema gewählt, dass mehr als nur mich interessiert. Die Kommentare scheinen mir aber kommentierungswürdig zu sein…
gpkvt, Du hast natürlich Recht, dass man die Protokollierung auch spezifisch für einen Angreifer einschalten kann. Aber wie Du schon schreibst: Du musst erst den Angriff erkennen können und auch wissen woher der kommt. Ich beziehe mich bei meinem Plädoyer für IPs in Logfiles auch auf Apachelogs.
Kennst Du “ab”? Dass ist ein Tool namens “Apache Benchmark” damit kannst Du in einem Einzeiler zigtausend Seitenaufrufe mit z.B. 50 parallelen Requests erzeugen. Das treibt die meisten datenbankgestützten Seiten in den Wahnsinn. Und ohne IPs wirst Du nicht einmal bemerken, dass gerade ein Angriff stattfindet, sondern Dich über viele Seitenzugriffe freuen. Und selbst wenn Du es bemerkst: solange Du nicht weisst, woher der Angriff kommt, kannst Du auch nicht gezielt die “böse” IP beobachten, sondern musst alle Nutzer erstmal mit IP loggen, um die angreifende IP ausfindig zu machen – und damit Dein Versprechen gegenüber den ganzen unschuldigen Nutzern brechen, die sich darauf verlassen, dass Du nichts loggst. Und zumindest ich persönlich fände das schlimmer, als von vornherein zu sagen: wir loggen und schmeissen die Daten weg, sobald klar ist, dass wir sie nicht mehr brauchen.
Ausserdem kannst Du Angriffe damit nur beobachten, wenn Du vorher oder während des Angriffs davon erfährst und Dir die IP-Adresse des Angreifers bekannt ist. Nachträglich zu analysieren, wer wann was gemacht hat geht dann nicht mehr.
Das ist in etwa so, als wenn Du in Deiner Wohnung alle Oberflächen so versiegelst, dass keine Fingerabdrücke haften bleiben (damit niemand feststellen kann, wer Deine Gäste waren), und das aber auch gleich allen potentiellen Einbrechern groß auf der Eingangstür präsentierst.
Und: ich bin nicht so paranoid jede Tür sofort hinter mir zuschliessen zu müssen oder überall Alarmanlagen haben zu wollen, aber das Internet ist nunmal bevölkert von böswilligen Menschen und Programmen. Angriffe sind die Regel, nicht die Ausnahme.
Außerdem halte ich es für illusorisch zu glauben, dass staatliche Stellen durch fehlende Logs nicht erfahren würden, wer wann was getan hat. Dazu soll ja die unsägliche Vorratsdatenspeicherung dienen, dann kann man nämlich beim Provider nachfragen, wer denn am 17.3.2008 um 12:34:47 Dein Blog aufgerufen hat. Dagegen hilft dann nur TOR (solange die Stasi 2.0 nicht alle Knoten im TOR-Netz kontrolliert, bietet das zumindest gewisse Sicherheiten) und HTTPS, damit nicht jeder mitlesen kann.
Bei shared Hostern solltest Du Dich (glaub mir, ich weiss, wovon ich rede) nicht darauf verlassen, dass keine Logfiles mit IP-Adressen existieren – im Gegenteil.
Deine Idee mit den abgestuften Selbstverpflichtungen finde ich gut, dann kann jeder die Sicherheits/Loggingstufe wählen, die er für passend hält und das auch kommunizieren.
Ich denke sowieso, dass die Kommunikation der Datenschutzstandards viel helfen würde.
Ich würde aber keine Bronze, Silber, Gold wählen, weil das ein besser und schlechter impliziert und das ist meiner Meinung nach nicht gegeben. Da muss jeder selbst abwägen. Eine private, statische Seite kann sich sowohl den Verzicht auf Logs leichter erlauben, weil sie schwerer angreifbar ist, ausserdem wären auch die Folgen eines Ausfalles nicht so dramatisch. Wenn jemand aber z.B. einen grossen Maildienst betreiben will, dann ist ein Ausfall auch mit massiven Finanziellen Einbussen verbunden – und die kann und will nicht jeder riskieren.
Eine Zertifizierung nach dem CC-Schema wäre da sicher besser: Dann können auch Leute wie z.b. ich eine Plakette auf die Seite kleben, die sagt: wir haben uns Gedanken gemacht und gehen folgendermassen mit der Problematik um: …
Und die Nutzer könnten dann abwägen, ob sie auf dieser Seite mehr tun wollen, als die Startseite zu lesen. Der Vorteil der Zertifizierung nach einem bestimmten Schema wäre die erhöhte Transparenz für die Nutzer, die dann nicht mehr stundenlang das Kleingedruckte lesen müssten, sondern sofort erkennen können, was Sache ist, und die Öffentlichkeitsarbeit für Datensparsamkeit.
Okt 242007
Die Initiative “Wir speichern nicht” bietet ein Prüfsiegel für Webseiten an, die keine personenbeziehbaren Daten speichern. Solche Gütesiegel sind natürlich sehr werbewirksam. Und die Initiative hat erreicht, dass viel darüber diskutiert wird. Daran ist sicher auch ein Urteil des LG Berlin schuld, dass dem Bund verbot, IP-Adressen zu protokollieren.
Die Argumente für Anonymität sind allseits bekannt, und obwohl man sie eigentlich nicht oft genug wiederholen kann, soll es darum in diesem Artikel nicht gehen. Vielmehr stelle ich die Forderungen der Initiative in Frage.
Ich habe in meinem Leben schon den ein oder anderen Server betreut. Und dabei habe ich festgestellt, dass Logfiles einfach unabdingbar sind, wenn man interaktive Seiten hat. Schon ein einzelner Idiot kann mit einem kleinen Skript eine Datenbank-gestützte Seite erfolgreich angreifen indem er nur zigmal in der Sekunde die gleiche Frage stellt. Dann hat man erstmal das Problem, dass man weiss die Seite wird langsam, aber man weiss noch nicht warum. Das herauszufinden geht nur mit Logfiles. Und ohne IP-Adressen im Logfile erfahre ich nur, dass gerade ganz viele Anfragen kommen. Dass die alle von einem Spinner sind erfahre ich nicht, und deshalb kann auch auch nichts dagegen tun. Wer also interaktive Seiten anbieten will – und nicht jederzeit irgendwelchen Skript-Kiddies zum Opfer fallen will, der braucht IP-Adressen in den Logfiles.
Das Landgericht Berlin will seine Entscheidung nicht als Grundsatzurteil verstanden wissen, aber wenn es eins wäre oder zu einem würde, hätte das zur Folge, dass die meisten Betreiber von Webseiten auf einmal kriminalisiert würden. Das würde den Abmahnanwälten natürlich wieder viel Geld von kleinen Privatleuten bringen, aber soweit ich weiss, war das nicht Staatsziel. Ansonsten führte dies dazu, dass viele Dienste nicht aufrechterhalten werden können, weil sie werbefinanziert sind und sich plötzlich Besucherzahlen dem Werbekunden gegenüber nicht mehr nachweisen lassen.
Deshalb wäre meine Forderung: die Betreiber sollen alles loggen, was sie brauchen, um den Betrieb zu gewährleisten, aber nach spätestens 72 Stunden alle Logfiles löschen oder anonymisieren und auch keine Backups der Logfiles aufbewahren.
Neulich habe ich bei einer Diskussion darüber das Argument gehört, dass man ja nicht wissen könne, ob die Betreiber die Logfiles wirklich nach 72 Stunden löschen. Das stimmt. Aber genausowenig weiß ich, ob die Betreiber von mit Prüfsiegel versehenen Seiten wirklich nichts speichern. Wer den Anbietern nicht vertraut (und dazu gibt es bei vielen Anbietern gute Gründe), der muß Anonymisierungssoftware wie z.B. TOR verwenden. Prüfsiegel helfen da nicht weiter, sie haben lediglich die Funktion die Öffentlichkeit für das Thema zu sensibilisieren. Und – über das Thema zu diskutieren und einen allgemeinen Verhaltenskodex zu erarbeiten, das ist sinnvoll. Komplett auf IP-Protokolle zu verzichten nicht.
