Glorf IT

Weil mein Kollege Markus und ich in dem Hotel keinen Computer (ich schreibe bewusst nicht "PC") mit Drucker hatten, konnten wir unsere Lufthansa-Flugtickets nicht wie beim Hinflug wieder selber ausdrucken. Als ich dann am Flughafen den Quick-Checkin an so einem Terminal versuchte, musste ich mich schon wundern. Bei meinem Kollegen klappte alles reibungslos. Bei mir nicht. Gesichtskontrolle?
Weil unser Flug erst um 19:50 Uhr losging und wir viel schneller zum Flughafen durch gekommen waren als erwartet, war das kein wirkliches Problem. Also zum Ende der langen Halle.

Wie vom Terminal vorgeschlagen stellte ich mich also brav an und wurde schon nach 10 Minuten am Schalter bedient. Aber auch die freundliche Damen konnte meine Flugdaten nicht finden. Als sie mich um die Buchungsbestätigung bat, erkannte sie sofort, dass mein Rückflug bei Air-Berlin gebucht worden war. Da hatte es unsere Reisestelle wirklich geschafft, dass mein Kollege und ich gleichzeitig (planmäßiger Abflug jeweils 19:50 Uhr) mit zwei verschiedenen Fluggesellschaften von Düsseldorf nach Nürnberg flogen. Sehr erstaunlich. Also wieder zurück in die Mitte der großen Halle… Am Terminal von Air-Berlin konnte ich dann ratz-fatz selber das Ticket ausdrucken – ohne erneutes anstehen.

Air-Berlin kam übrigens früher an. 😉

Was man so bei Heise-Online liest ist ja ziemlich ernüchternd. Es gibt sogar ein chinesisches Tool mit dem sich einfach eine anfällige Seite finden und übernehmen lässt. Die "Zielgruppe" ist nicht gerade eine Werbung für Microsoft:

Das Windows-Werkzeug mit chinesischer Bedienoberfläche sucht mit der Google-Suchmaschine nach verwundbaren Servern und kann dann eine SQL-Injection-Attacke ausführen, die in den aus der Datenbank generierten Webseiten einen iframe einfügt, der den Code zum Angriff auf die Webseitenbesucher nachlädt.

Der voreingestellte iframe in dem Tool enthält denselben Link, der Anfang des Jahres auf zahlreichen der manipulierten Webseiten auftauchte. Die Angriffe scheinen auf den Microsoft-SQL-Server sowie den Internet Information Server zugeschnitten zu sein. Das Werkzeug kontaktiert den Analysen des ISC zufolge vor der Nutzung auch einen weiteren Server in China, um offenbar einen Bezahlvorgang anzustoßen.

Jetzt kann Microsoft nichts dazu, dass jemand in seiner Webapplikation SQL-Injection ermöglicht, aber das hilft auch nicht weiter. Wenn man den SQL-Server im Systemkontext installiert, das wird bei der Installation als Option angeboten, dann kann der SQL-Server einfach alles – er hat schließlich Admin-Rechte.

Im unterhaltsamen Artikel "Peinlich-Werbung: Fremdschämen mit Microsoft" kann man auf Spiegel-Online lesen, wie ein Motivationsvideo für deren Verkäufer voll nach hinten los ging. Ein Mitarbeiter stellte das Video online und jetzt lacht die ganze Welt über Microsoft:

Ich finde interessant, dass die Microsofties für einen internen Event so viel Geld ausgeben, dass ein eigener Clip produziert wird. Naja, die haben wohl auch mit einem ganz anderen Umsatz-Volumen zu tun wie wir. An sich ist das genau auf die Zielgruppe zugeschnitten und kam bestimmt gut an. Allerdings wirkt es auf normale Leute, die nichts oder wenig mit Vertriebsmenschen zu tun haben einfach nur strange…