IT-Blogger

Unbestritten: Dienste wie Dropbox sind wirklich praktisch. Man hat seine Daten auf seinen diversen Rechnen mit evtl. sogar unterschiedlichen Betriebssystemen immer synchronisiert.

Trotzdem bleibt ein fader Beigeschmack: Man läd immerhin seine Daten, auch wenn sie nicht die Privatsphäre oder gar die Imtimsphäre betreffen, irgendwo in die Wolke und vertraut sie so einem amerikanischen Unternehmen an …

Doch das muss nicht sein.

Erstellt man mit TrueCrypt einen Container in seinem persönlichen Dropbox-Ordner wird dieser Container natürlich synchronisiert.  Anschließend, bevor man nun den Container mountet, sollte man noch kurz in den Einstellungen von TrueCrypt vorbeischauen und überprüfen, ob folgender Haken gesetzt ist:

Ist dieser Haken nämlich gesetzt, synchronisiert Dropbox nicht jedes mal den kompletten Container sondern immer nur die Änderungen. Damit lassen sich auch größere Container einfach mit Dropbox händeln.

Schon vor längerer Zeit bin ich auf den Multimessenger Digsby gestossen… Die Installationsroutine sah damals noch so aus:

Mal ehrlich. Es ist ein Wunder, dass sich nach diesem Crapware-Installationmarathon auf der großen weiten Welt noch jemand gefunden hat, der das Ding wirklich installiert und genutzt hat.

Da ich in letzter Zeit schon über 2 Blogposts gestolpert bin, die das Ding empfohlen haben habe ich Digsby nochmal eine (kleine) Chance gegeben.

Die erste Neuerung springt direkt ins Auge – der Installer erschlägt nicht mehr mit 6 verschiedenen Adware-Installationsangeboten. Stattdessen soll nur noch eine ASK-Toolbar installiert werden.

Naja, ohne ASK-Toolbar wäre es besser. Dass eine Toolbar-Installation abgehakt werden muss, ist man inzwischen von vielen Programmen leider gewohnt.

Am Ende hat man dann noch die Möglichkeit zwei Optionen abzuwählen… und da wird es interessant.

“Allow Digsby to use idle CPU time for grid computing”.  Wer diesen per default aktivierten Haken nich wegmacht, nimmt automatisch an PluraProzessing teil. Quasi ein Seit@Home oder Folding@Home, allerdings natürlich auf komerzieller Basis. Soll heißen, da werden nicht Moleküle gefalten oder Aliens aufgespürt sondern Aktienkurse analysiert oder das Internet gecrawlt:

• Oil & gas exploration algorithms
• Financial modeling
• Bioinformatics
• Web crawling and Internet analysis
• Fluid dynamics
• And many others

Welche Firmen konkret hier Grind Computing betreiben, also Laufzeit bei Plura Processing einkaufen, ist nirgends zu finden. Möglicherweise berechnet ja grade dein Disby-Client eine neue Modedroge?

Nach einem Protest-Post von Lifehacker (siehe Link unten) wurde die Installationroutine geändert und mehr Informationen zu diesem Grind Computing eingebaut.  Trotzdem werde ich mir Disgby nicht auf meinen Rechnern installieren – dafür hat mich die alte Installationsroutine zu sehr abgeschrekt und die neuen Verdienstmethoden sind mir zu zwielichtig. (Auch wenn man sich austragen kann, indem man den Haken wegmacht).

Übrigens arbeitet Plura Processing auch viel mit Flash- und Javaspiele-Entwickler zusammen. Da werden dann, während man im Browser Spiele spielt, im Hintergrund Daten ausgewertet. Durchaus eine interessante Verdienstmethode die wahrscheinlich für Webseiten wie Youtube, die die Nutzer schonmal einige Minuten binden können, interessant ist.

Möge jeder selbst entscheiden, ich bleibe in diesem Fall bei freier Software.

Digsby hat in der Vergangenheit schon zu große Fehler gemacht, um sich jetzt mit etwas weniger offensichtlich bescheidenen Verdienstmethoden aus der Affäre zu ziehen.

Weiterführende Links

• Lifehacker zu Digsby
• Digsby-Doku zum Research Module
• Digsby zu seinen Verdienstmethoden

Gerade bin ich über einen Artikel bei Heise gestolpert – Neue Wege beim Virenschutz. Durchaus eine Möglichkeit in der Zukunft Viren zu erkennen. Für Firmen mit Sicherheit interessanter als für normale Nutzer – da probiert mal doch auch hin und wieder eine unbekannte Software.Ich bin gespannt auf das erste AV-Programm mit Whitelist-Funktion.

Diese Idee hatte Symantec mit Sicherheit auch und hat vor einiger Zeit SONAR eingeführt. In der aktuellen c’t steht auch ein kurzer Nebensatz dazu drin. Sonar ist ein AddOn welches aufgrund von diversen Faktoren ein Programm bewertet und unter Umständen als Virus klassifiziert. Einer dieser Faktoren ist z.B. ob das Programm einen Eintrag im Startmenü unter “Programme” erstellt. Ein anderer wie viele andere Sonar-Nutzer dieses Programm denn benutzen.

Die Idee selbst ist wirklich gut. Allerdings, welches eurer selbst geschriebenen Programme hat denn schonmal einen Eintrag unter “Programme” erstellt? Oder wie viele andere Sonar-Nutzer haben denn eure selbst geschrieben Programme schonmal benutzt? Richtig… Keiner.

Entsprechend klassifiziert Norton SONAR die selbstgeschrieben Programme als böse und löscht ohne Nachfrage, ohne Meldung. Nicht unbedingt witzig.

http://forum.chip.de/firewall-sicherheit/norton-sonar-loescht-alle-selbstgeschriebenen-programme-1342203.html

Typisch Symantec, ein Schritt nach vorne, 2 zurück. Nächstes mal den Nutzer fragen, ob denn ein Programm wirklich gelöscht werden soll… Zumindest wenn nur SONAR es als böse einstuft.

Vielleicht hatte schonmal jemand das Problem: Die Standard-Konfiguration der Windows-Firewall ist zu lasch oder man will genau wissen, welcher Netzwerkverkehr den Rechner verlässt. Dann darf man natürlich nicht auf die vorkonfigurierten Regeln von Microsoft vertrauen.

Alle bestehenden Regeln können, mit Rechtsklick -  “Regel deaktivieren”, in einem Schwung deaktiviert werden. Anschließend sollten solche Elementaren Dienste wie DNS (“Kernnetzwerk – DNS (UDP ausgehend)”) wieder aktiviert werden. Sonst funktioniert natürlich erstmal nix mehr.

Einer dieser elementaren Dienste ist Windows Update. Leider sucht man sich den Wolf nach einer passenden Standard-Regel für Windows Update, die man wieder aktivieren kann. (Ich hab sie bisher auch nicht gefunden. Wenn die jemand findet, bitte melden!). Außerdem gab’s bei Google keinen passenden Beitrag, der beschreibt wie man Windows Update mit möglichst wenig Rechten den Weg ins Internet durch die Firewall freimachen kann. Das will ich hiermit ändern.

Die Windows Firewall ist bei Vista und Windows 7 unter Systemsteuerung => System und Sicherheit zu finden.

Im ersten Schritt muss eine neue Ausgehende Regel angelegt werden. Wählen wir “Benutzerdefiniert”.

Im nächsten Schritt tragen wir unter Programm “%systemroot%\system32\svchost.exe” ein. Unter Dienst wählen wir “Windows Update”.

Diese Einstellung hat zur Folge, dass nur der Dienst Windows Update freigeschalten wird und nicht pauschal alle Prozesse, die durch den svchost.exe gestartet werden. Die Windows Firewall identifiziert Dienste seit Windows Vista eindeutig über eine SID (Security Identifier). Damit die Regel angewendet wird, muss also SID (also Windows Update) und Programm (also svchost.exe) passen.

Die darauffolgende Fehlermeldung können wir ignorieren.

Im nächsten Fenster tragen wir als Protokoll TCP und als Remoteports 80,443 ein.

Wer lustig ist, kann im nächsten Fenster noch die IP-Ranges von Microsoft eintragen.  Muss aber nicht unbedingt sein…

In den nächsten Schritten sagen wir dem Assistent noch, dass er dei Verbindung zulassen soll und vergeben einen Namen. Zusätzlich sind noch die Netzwerke einzutragen – “öffentlich” sollte natürlich angehakt sein. Sonst funktioniert der ganze Spaß nicht.

Damit ist die Verbindung eingerichtet und Windows Update sollte funktionieren. Ein Test in der Systemsteuerung unter Windows Update “Updates suchen” zeigt uns, dass wir die Verbindung erfolgreich eingerichtet haben.

Vielleicht findet es ja jemand interessant oder braucht Denkanstöße beim Programmieren ähnlicher Projekte. Momentan liest das Programm das Sudoku noch nicht aus einer Datei aus, das kommt aber noch.

Programmiert ist der Löser in C und er probiert die Lösung über Backtracking durch.

Ist auf jeden Fall ein interessantes Projekt, falls man mal was zum auffrischen seiner Programmierkenntnisse sucht

Download:

http://www.it-blogger.net/files/sudoku/sudoku.h

http://www.it-blogger.net/files/sudoku/sudoku.c

Dass man im Media Markt oftmals nicht die kompetente Beratung bekommt die man sich als Kunde eigentlich wünscht, ist weitläufig bekannt. Nun, mir jedenfalls.

Trotzdem war ich vor einigen Tagen beim Media Markt, um kurzfristig noch eine Maus, ein Geschenk, zu besorgen. Ich hatte eigentlich nicht viele Anforderungen:

• Es sollte eine Laptop-Maus werden und sie sollte einen von diesen winzigen Empfängern haben, die man in der Laptoptasche am USB-Port lassen kann.

• Es sollte eine Laser-Maus werden, da optische Mäuse oftmals Probleme mit z.B.  rauen Holztischen haben.

Eigentlich keine ungewöhnlichen Anforderungen. Entsprechend schnell hatte ich auch ein Modell entdeckt, was diesen Mini-Empfänger hat: Logitech M305.
Wenn das gute Stück jetzt noch ‘nen Laser hat, dann wäre die Maus perfekt. Da auf der Verpackung leider keinerlei Hinweis ob Laser oder Optisch zu finden war, musste ich einen Verkäufer fragen:

Ich: Ist das hier eine Laser-Maus?
Verkäufer 1: Ähm, ohh…. Keine Ahnung….. Ja!

Naja. Die Unsicherheit war ihm sofort anzumerken, also wollte ich auf Nummer sicher gehen und habe noch einen zweiten Verkäufer gefragt:

Ich: Ist das hier eine Laser-Maus?
Verkäufer 2: Ja!
Ich: Sicher?
Verkäufer 2: Ja, sicher!
Ich: Vielen Dank! Tschüss.

Nun, jetzt ratet mal ob die Maus optisch oder mit Laser war?
Richtig. Optisch. Sonst würde die Geschichte hier keinen Sinn machen, gell.

Schlimm genug, dass es teilweise erhebliche Mändel in der fachlichen Kompetenz der Beratung gibt, aber schliche Unwissenheit mit einer eindeutigen falschen Aussage zu überspielen, darf nicht passieren.

Es ist ganz klar, dass man nicht alle technischen Details kennen kann. Gerade deswegen hätte ein guter Kundenservice es verlangt, dass man als Verkäufer zugibt, dass man keine Ahnung hat. Zusätzlich wäre es wünschenswert gewesen, falls es die Zeit und die technische Infrastruktur es erlauben, kurz in der Produktdatenbank oder bei Google kurz die gewünschen Informationen nachschlägt.

Nächstes mal gibt’s nen Geschenkgutschein und das Produkt wird online bestellt…

Jeder kennt das: Aus irgendeinem Grund muss man seien ISP, seine Bank oder eine andere Organisation anrufen. Oftmals ist es inzwischen so, dass die Firmen auf den Webseiten nur noch 0180x-Nummern anbieten. Das bedeutet der Anruf wird minutengenau abgerechnet -  auch mit Festnetz-Flatrate. Wenn man dann mal 10 Minuten in der Warteschlange hängt, dann kann es schon auch mal unnötig teuer werden – vor allem ist das ärgerlich, wenn das eigentlich Gespräch dann nur 1 Minute dauert und einem nicht weitergeholfen werden konnte.

Deswegen will ich in diesem Artikel kurz einen Dienst vorstelle, der eine Art 0180x-Telefonbuch pflegt:

http://www.tk-anbieter.de/0180/suche.html

Hier gibt man einfach den Firmennamen oder die 0180x-Nummer ein und die Datenbank liefert eine Alternativnummer zurück.

Da eigentlich jeder inzwischen eine Festnetz-Flat hat, kann hiermit wirklich bares Geld gespart werden.

Mit Sicherheit hat schon jeder mitbekommen, was beim sozialen Netzwerk von Haefft passiert ist. Deswegen nur kurz zusammengefasst:

Der  CCC hat im Sozialen Netzwerk von Haefft schwerwiegende Sicherheitslücken gefunden, die kaum zu übertreffen sind. Die Daten aller dort angemeldeten Schüler waren für jeden, der die Sicherheitslücke entdeckt hat, frei zugänglich.

Konkret hat es sich um folgende Schwachstellen gehandelt:

• Passwörter wurden im Klartext in der Datenbank gespeichert. Nicht als Hash und somit natürlich auch ohne Salt.
• Keine verschlüsselte Anmeldung. D.h. Username und Passwort wurden unverschlüsselt über das Internet übertragen
• Eingabedaten wurden ungefiltert an die Datenbank übertragen.

Doch das waren noch nicht genug Anfängerfehler. Jetzt kommt, wie ich finde, der eigentliche Hammer:

• Passwörter wurden mit dem ILIKE-Operator überprüft.

Zudem wurden sie [die Passwörter] mit dem ILIKE-Operator nur auf Ähnlichkeit verglichen, so daß sich die Paßwort-Abfrage mit einfachsten Mitteln umgehen ließ.

CCC-Blogpost

Wie die Überprüfung genau stattgefunden hat, weiß ich natürlich nicht. Ich kenne deren Quelltext nicht. Aber man möge sich nur mal vorstellen, was die Programmierer sich bei der Passwort-Abfrage gedacht haben:

“Wenn der Nutzer ein Passwort eingibt, was so oder so ähnlich aussieht, wie das was wir unverschlüsselt in der Datenbank gespeichert haben, dann ist er erfolgreich authentifiziert.”

Ja, wie kommt man denn darauf? Authentifizierung mit Hilfe von Wahrscheinlichkeiten?

“Authentifiziere dich mit dem User aus der unverschlüsselten Datenbank, der dem eingegebenen Datensatz am ehesten entspricht.” Oder was?

Ernsthaft, wie kommt man auf die Idee ein Passwort mit einem ILIKE zu überprüfen? Gibt es da evtl. sinnvolle Einsatzzwecke, die ich nicht kenne? Ich bezweifle es.

Der CCC frägt sich, angesichts der immer wiederkehrenden Datenskandale, zurecht inwiefern und ob man überhaupt sozialen Netzwerken sein Vertrauen schenken darf. Haefft verliert jetzt hoffentlich all seine Nutzer.

So etwas darf definitiv nicht passieren.

Ein täglicher auf den ISC-Blog von SANS lohnt sich definitiv. Heute wurde auf dem ISC-Blog ein interessantes Skript, welches ein User auf einem Server gefunden hat, vorgestellt. Dieses Skript ermöglicht es über PHP eine verteile Bruteforce-Attake auf Wordpress-Blogs durchzuführen.

Das Skript bedient sich dazu der Möglichkeit unter PHP cURL zu nutzen.

cURL:

A free and easy-to-use client-side URL transfer library, supporting FTP, FTPS, HTTP, HTTPS, SCP, SFTP, TFTP, TELNET, DICT, FILE, LDAP and LDAPS. libcurl supports HTTPS certificates, HTTP POST, HTTP PUT, FTP uploading, kerberos, HTTP form based upload, proxies, cookies, user+password authentication, file transfer resume, http proxy tunneling and more.

Wikipedia

Es wurde nicht das komplette Skript veröffentlicht, sondern nur einige Code-Snippets. Wer das Skript haben möchte, sollte schnell anfangen zu programmieren

Im ersten veröffentlichten Screenshot erkennt man eine Funktion, die 3 verschiedene Parameter erwartet. $ch ist dabei der Handle, der durch curl_init() erstellt wurde. Das ist im Ausschnitt nicht zu sehen.  An diesen Handle werden nun alle erforderlichen Einstellungen angehängt und am Ende mittels curl_exec($ch) ausgeführt.

Parameter 2 und 3 ergeben sich logischerweise aus ihrem Namen.

Enthält die Antwort des Servers, also die zurückgelieferte Webseite, den Ausdruck “Log Out” war die Brute-Force Attacke erfolgreich. Das wird mittels

[...]

eregi(“Log Out”,$result)

[...]

überprüft.

Interessanter als die Nutzung von cURL in PHP ist die Möglichkeit, Seiten, die gecrackt werden sollen, in einer zentralen Instanz zu verwalten um verteiltes Cracken zu ermöglichen.

Zunächst holt sich das Skript aus einer zentralen MySQL-Datenbank 200 URLs, die gecrackt werden sollen und markiert diese in der Datenbank mit seiner persönlichen “colo_id”. Bricht das Skript nun aus irgendeinem Grund ab, holt sich das Skript die vorher markieren Einträge wieder aus der Datenbank und kann an der Stelle weitermachen, an der es abgebrochen wurde. Genau diesen Schritt stehen wir hier in diesem Screenshot:

Mittels “select url, site_type from site where colo_id=’$colo_id’” werden die Einträge aus der Datenbank geholt, an denen dieser “colo”, also dieses Skript, vorher gearbeitet hat.

Interessant ist auch die Möglichkeit, Passwortlisten zentral in einer Datenbank zu speichern und so allen Skripts zur Verfügung zu stellen.

Auf jeden Fall eine interessante und erwähnenswerte Idee, wie ich finde.

Niemand, egal ob Student, Azubi oder Schüler, kommt inzwischen ohne das Zeichnen eines Struktogramm durch seine Ausbildung.

Eigentlich kein Wunder, denn Struktogramme sind ne tolle Sache, die das Verstehen eines Programms wirklich erleichtern.

Folgende Software hat es mir inzwischen besonders angetan: Der HUS Struktogrammer

Pro

• super Portable: nur eine exe, mehr nicht.
• Copy und Paste von Programmteilen funktioniert
• er tut (nur) das, was er soll. (Eine Eigenschaft die man bei vielen Programmen inzwischen leider vermisst)
• einfach zu bedienen
• Export zum Clipboard
• Funktioniert unter Linux mit Wine

Contra

• Export als jpg. Will man ein Struktogramm exportieren, muss man es halt über den Export ins Clipboard in ne jpg abspeichern. Das geht, ist aber leider umständlich.

Ein Blick lohnt sich definitiv!

Downloadmöglichkeiten gibt es bei Google zu Hauf. Eine davon:

http://www.phme.de/downloads/programme/09,hus-struktogrammer