IT-Blogger

Niemand, egal ob Student, Azubi oder Schüler, kommt inzwischen ohne das Zeichnen eines Struktogramm durch seine Ausbildung.

Eigentlich kein Wunder, denn Struktogramme sind ne tolle Sache, die das Verstehen eines Programms wirklich erleichtern.

Folgende Software hat es mir inzwischen besonders angetan: Der HUS Struktogrammer

Pro

• super Portable: nur eine exe, mehr nicht.
• Copy und Paste von Programmteilen funktioniert
• er tut (nur) das, was er soll. (Eine Eigenschaft die man bei vielen Programmen inzwischen leider vermisst)
• einfach zu bedienen
• Export zum Clipboard
• Funktioniert unter Linux mit Wine

Contra

• Export als jpg. Will man ein Struktogramm exportieren, muss man es halt über den Export ins Clipboard in ne jpg abspeichern. Das geht, ist aber leider umständlich.

Ein Blick lohnt sich definitiv!

Downloadmöglichkeiten gibt es bei Google zu Hauf. Eine davon:

http://www.phme.de/downloads/programme/09,hus-struktogrammer

Es gibt genug Beispiele für schlechte Software. Fast täglich sehe ich welche. Heute hat sich eine besonders schlechte und damit natürlich erwähnenswerte Software bei mir auf den Rechner geschmuggelt.

Der erste Eindruck ist vielversprechend. GoFTP verspricht SFTP, FTPS und FTP-Support. Genau das was ich will: ein Multitalent. Dazu kommt seine beworbene, fast schon unglaubliche Schnelligkeit: 314% …. moment sich sags nochmal: 314% schneller als vergleichbare FTP-Programme. Ganz klar: Das könnte mein neuer Standard-Client werden.

Also installiert. Auch die Oberfläche sieht ganz akzeptabel aus. Die Software scheint ordentlich strukturiert zu sein und es springt einem kein regenbodenfarbenes Werbefenster an. Klasse.

Während der Eingabe der Daten: “Komisch … irgendwie scheint er während der Eingabe irgendwas zu machen. Da Blinkt ein Fenster mit rotem Hintergrund. ”

Invalid username or password reported by server.

“Klar, ich bin ja auch grad noch dabei das Passwort einzutippen. Wie sollst du dich auch einloggen können.Dummkopf.”

Tja jetzt ratet mal was er im Hintergrund gemacht hat… wer kommt drauf? Ich lasse kurz Bilder sprechen:

Phase 1 GoFTP

Phase 2 GoFTP

Phase 3 GoFTP - Ende.

Vielleicht sagen dem einen oder anderen diese Wireshark-Mitschnitte erstmal nichts. Deswegen nochmal etwas ausführlicher:

Während dem tippen des Passworts noch hat  GoFTP 5 gleichzeitige Verbindungen zum Server geöffnet. Um sich mit diesen 5 Verbindungen am Server zu authentifizieren, nimmt GoFTP einfach den Teil des Passworts, den man bis zu diesem moment im Passwort-Feld eingetragen hat. Egal ob das Passwort zu diesem Zeitpunkt vollständig eingegeben wurde oder nicht. (man tippt ja eigentlich in diesem Moment noch) (Phase 1)

Aber das wars noch nich… nee GoFTP  gibt nicht so leicht auf: Alle dieser 5 Verbindungen hämmern jedes mal an den FTP-Server,wenn der User einen weiteren Buchstaben im Passwort-Feld eintippt. Bei einem 10 Zeichen langen Passwort entstehen mal kurz 50 fehlgeschlagene FTP-Loginversuche.  (Phase 2)

Wer sich jetzt noch etwas auskennt weiß, dass FTP-Server sowas garnich mögen. Früher (und wahrscheinlich jetzt auch noch) wurde oft versucht FTP-Server mit einfachen Brute-Force Attacken zu cracken um darüber illegale Inhalte zu verteilen. D.h. jeder einigermaßen konfigurierte FTP-Server wird nach einigen fehlgeschlagenen Loginversuchen die Quell-IP auf die Blacklist setzen und die Verbindung von dieser Quelle verweigern. (Phase 3)

Damit ist man erstmal ausgeknocked. Auf den Server kommt man in den nächsten Minuten nicht mehr. Fail.

Wenn man täglich mit Rechnern zu tun hat kommt es nicht selten vor, dass einen Viren, Würmer und Konsorten beschäftigen, erstaunen und in den Wahnsinn treiben.

Die Unachtsamkeit der User ist meistens der Auslöser des Problems. Schnell mal geklickt und schon ist der Wurm auf dem PC. Mit Vista hat Microsoft einen richtigen Schritt gemacht – der User hat nicht mehr grundsätzlich Administrator-Rechte zur Verfügung. Er musst erst 2-3x auf “Fortsetzen” oder “Zulassen” klicken bevor er Adminrechte für diesen Vorgang bekommt.

Warum das einfach nur blöd ist? Weil man irgendwann von den Meldungen nur genervt ist und einfach immer auf “Fortsetzen” klickt. Bringt also nicht viel…

Erst letztens hatte ich einen Vista-Rechner vor mir. Nach der Anmeldung ging folgendes Fenster auf. Es ging, außer diesem Fenster, nichts. Der Desktop war nicht erreichbar, schließen konnte man das Fenster auch nicht:

“Echt? So viele Viren? 8-o”

Ich muss zugeben. Wäre eine derartige Meldung nach der XP-Anmeldung gekommen, hätte ich sofort gewusst, dass es Malware ist. Bei Vista musste ich kurz überlegen: “Privacy Center – Schonmal gehört??”. Es sieht aus wie Vista, es ist ein laaaanges License-Agreement dabei, es hat große Buttons und es ist ne “one-click-Solution”. Eigentlich müsste es von Vista sein.

» Read the rest of this entry «

Vor einiger Zeit, wahrscheinlich haben es alle mitbekommen, ging die erste Version des Wurms Conficker (auch:Downup, Downadup oder Kido) herum. Dieser hat unter anderem die AutoPlay-Funktion von Windows genutzt um sich zu verbreiten.

Dazu hat er sich, sobald ein USB-Stick an einem infizierten System eingesteckt wurde, in die autorun.inf auf dem USB-Stick geschrieben. Danach hat er darauf gewartet, dass dieser Stick an einen anderen Rechner gesteckt wird. Als der Stick eingesteckt wurde hat sich folgendes Fenster geöffnet:

Auf den ersten Blick sieht das Fenster normal aus. Man klickt auf  “Open folder to view files” und das USB-Laufwerk wird geöffnet. Naja, in diesem Fall nicht ganz:

Wähl man den hier markierten Eintrag aus, passiert das eben beschriebene. Wählt man aber, genervt von dieser Meldung, den oberen Eintrag aus installiert sich Conficker. Wo liegt der Unterschied?

Ganz einfach: Conficker hat etwa diese autorun.inf hinterlegt:

[AutoRun]
open=conficker.exe
icon=folder.ico
action=Open folder to view files

Der Eintrag icon= sorgt dafür, dass das Ordner-Symbol erscheint. action= für den passenden Text und open= sagt an welche exe gestartet werden soll.  Conficker hat also einfach nur den legitimen Eintrag kopiert und auf die Leichtsinnigkeit der User gehofft

Hintergrund: Windows wertet bei jedem Medium erst das Root-Verzeichnis aus und sucht nach einer autorun.inf. Diese wird dann interpretiert und in das Autoplay-Fenster eingebunden.

Conficker ist nicht der erste Wurm der hier auf die Unterstützung der User setzt. Mit Sicherheit wird es auch nicht der letzte sein. ESet hat einen deutlichen Trend festgestellt: Waren es in 2008 noch 1/15 Würmern, die autorun.inf zur Verbreitung genutzt haben, sind es in 2009 schon 1/10 gewesen.

Micrososft hat reagiert und Knowledgebase-Artikel sowie Patches veröffentlicht. Außerdem findet man in vielen Security-Blogs Beschreibungen, wie man diesen Autorun zu deaktivieren kann. Genau einen solchen Artikel hab ich zuletzt gelesen und dabei sind mir 2 nette Vorführungen von der CeBit eingefallen:

1) Dabei wurde ein USB-Stick so “manipuliert”, dass er sich als Wechseldatenträger und zusätzlich als USB-CD-Laufwerk ausgibt. (Im Grunde ist das keine Manipulation – für diese Sticks gibt es sogar einen Standard) Auf der CD-Partition des Sticks ist eine Software gespeichert, die ein Startmenü in die Tastleiste einbindet. Der beschreibbare Teil bietet Platz für die Software, die man mit diesem Stick nutzen kann und die in das Menü eingebunden wird.

Auf der CeBit wurden nun ein solcher USB-Sticks vorgestellt, bei denen auf der CD-Partition keine Daten für das Menü gespeichert waren, sondern irgendeine beliebige Malware. Diese Malware wurde durch Windows gestartet. Klar. Auch wenn man zu seiner eigenen Sicherheit Autorun bei Wechseldatenträgern deaktiviert hat, startet diese Variante trotzdem. Der Autostart passiert hier ja von einem CD-Laufwerk statt von einem Wechseldatenträger.

Man darf nicht vergessen: Ein Massenangriff, wie Conficker es getan hat, ist nicht möglich. Der Stick muss hardwareseitig manipuliert werden – und das geht zum Glück noch nicht übers Netz . Um diesen speziell präparierten Sick mal auf dem Firmenparkplatz zu verlieren, ist er aber durchaus geeignet…. An den CD-Autorun haben einige Admins wahrscheinlich nicht gedacht

2) Bei der zweiten Vorführung wurde auch ein USB-Stick vorgestellt. Dieser hat sich als Wechseldatenträger und zusätzlich als HID, also als Tastatur, ausgegeben. Nachdem der “Stick” angeschlossen war, wurde eine USB-Tastatur und ein Wechseldatenträger erkannt. Danach hat die virtuelle Tastatur einige Eingaben vorgetäuscht und schupps hat sich eine Anwendung auf dem USB-Stick gestartet. ( Völlig unabhängig von dem Windows-Autostart). War auf jeden Fall interessant. Was man als Admin dagegen machen kann? Keine Ahnung… Vielleicht jede Tastatur einzeln freischalten… oder nur spezielle Modelle erlauben Auch hier ist nur ein direkter Angriff möglich.

Interessant war es trotzdem!

Inzwischen habe ich den Eindruck, dass Viele Fast alle Computer-DAUs annehmen, dass jeder der weiß, dass Tux kein Keks ist, ein Allround-PC-Experte sein muss. Egal ob es um Videobearbeitung, Programmierung, Windows oder Security geht – der Computermensch weiß bescheid und kann jedes Problem innerhalb von max. einer Stunde lösen.

Weit gefehlt!

In der Praxis ist es leider so, dass man sich niemals in allen Themengebieten Experte sein kann. Wer was anderes Behauptet, lügt. :-O

So passier es halt auch mal, dass ich nen Tag da sitze um eine VHS-Kasette zu digitalisieren. Irgendwann ist mal halt völlig entnervt, weil man sich ein Tool wünscht was mit zwei Klicks die Kasette aufnimmt, ins passende Format umwandelt und dann am besten noch kurz brennt – und das alles kostenlos!

Dass das so nicht funktioniert merkt man spätestens, wenn die Leute auf der digitalen Version des Videos aussehen wie Schlüpfe ohne Hut…

Trotzdem bin ich begeistert von VLC. Man kann, wie ich jetzt herausgefunden habe, auch DirectShow-Geräte mit VLC aufnehmen. Einfach unter “Datei”  “Konvertieren/Speichern” auswählen und loslegen! Wirklich genial… Am liebsten würde ich den VLC-Entwicklern einen Award verleihen!