Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

30. Juni 2011 um 19:42

Lesetipp zu skalaren Funktionen

In dem Artikel "Unintended Consequences of Scalar -Valued User Defined Functions" des "Microsoft SQL Server Development Customer Advisory Teams" wird ein gängiges Performanceproblem mit skalaren Funktionen beschrieben.

Leider wird nicht erwähnt, dass eine Umwandlung der skalaren Funktion in eine Table-Valued-Function (TVF) hier Abhilfe schaffen kann. Eine Erkenntnis, die ich meinem Kollegen Diethard verdanke: Da hier ein Join durchgeführt wird, ist die Performance in der Regel deutlich besser. So lange die Funktionen eine gewisse Komplexität nicht übersteigen, können sie mit vertretbarem Aufwand in eine TVF umgewandelt werden. Das hat zugleich den Vorteil, dass die Entwickler nicht mehr in Einzelsätzen denken, sondern in Mengen denken müssen.

29. Juni 2011 um 23:03

Linktauschangebote sind für mich SPAM

In immer kürzer werdenden Zyklen bekomme ich Mails, die mir Linktausche oder das Verfassen von Gast-Beiträgen auf meinem Blog. Anfangs habe ich auf die Mails geantwortet, aber mittlerweile antworte ich auf die nahezu täglichen Standardmails nicht mehr. Warum sollte ich meine Zeit damit vergeuden auf Serienbriefe zu antworten? Da auch noch mein vor Jahres stillgelegter Zweitblog online erreichbar ist, bekam ich auch schon nahezu gleich lautende Mails pro Weblog.

Hier ein repräsentatives Beispiel:

Guten Morgen Herr Glörfeld,

durch meine Recherche im Internet nach interessanten Websites bin ich auf glorfmorph.de gestoßen und wollte mein Interesse an einem Linktausch bekunden.

Bei einem Linktausch ist mir der thematische Bezug sehr wichtig, daher möchte ich Ihnen meine themenrelevanten Projekte gern näher vorstellen. Bitte geben Sie mir kurz bescheid, ob ein Linktausch in Ihrem Interesse ist. Sehr gern nenne ich Ihnen dann meine Websites und erkläre Ihre nähere Einzelheiten.

Vielleicht wissen Sie nicht, was ein Linktausch ist. Durch das Setzen von Backlinks in redaktionell gepflegte Artikel auf thematisch passenden Seiten verweisen und empfehlen wir uns gegenseitig Besuchern. Außerdem macht sich eine Verlinkung positiv auf unsere Besucherzahlen bemerkbar, da wir bei Suchmaschinen wie Google leichter zu finden sind.

Viele Grüße
[Name entfernt]

Besondere Kennzeichen der Mail:

  • Der Absender kann meinen Weblog glorfmorph.de/blog nicht wirklich angeschaut haben: Auf der Titelseite steht, dass er stillgelegt ist.
  • Er hat sich nicht die Mühe gemacht zu schauen, um welche Themen es auf meinem Blog geht, sonst hätte er Beispiele gebracht.
  • Er dürfte seine Gründe haben, warum er nicht sagt um welche Webseite es geht: vermutlich um eine ganze Farm.
  • Er hält mich für einen Volldepp, der nicht weiß, was ein Linktausch ist und wie sich das auf meine Webseite auswirken kann.

Leider kommt in letzter Zeit ein paar Wochen nach der ersten Anfrage eine "Erinnerung", die mich dann richtig annervt. Hier wieder in echtes Beispiel, dass sich auf das obige Beispiel bezieht:

Guten Tag Herr Glörfeld,

zunächst wünsche ich Ihnen einen stressfreien Einklang in das Wochenende und möchte mich bei dieser Gelegenheit kurz in Erinnerung rufen. Vor einiger Zeit habe ich Ihnen eine Kooperationsanfrage bezüglich eines möglichen Gastartikels bzw. Linktauchs zugesandt. Bisher blieb die E-Mail jedoch unbeantwortet, sodass ich einen Fehler beim Versandt vermute.

Nach einigem Durchstöbern von Blogs bin ich auf Ihre Website glorfmorph.de gestoßen. Ihre Themenvielfalt gefällt mir sehr gut, daher würde ich sehr gern einen Gastartikel für Sie schreiben. Natürlich achte ich hierbei auf Themenrelevanz und schaffe einen Mehrwert für Ihre Leser. Dafür möchte ich keine Vergütung oder ähnliches. Vielmehr würde ich mich freuen, einen themenrelevanten Link unauffällig in Form einer Quellenangabe einbinden zu dürfen.

Auch einen Linktausch könnte ich mir sehr gut vorstellen. Zusammen mit Freunden schreibe ich regelmäßig für unsere eigenen Blogs. Wenn Sie möchten, stelle ich Ihnen unsere Websites, die in Frage kommen, näher vor.

Sehr gern lasse ich Ihnen weitere Informationen zukommen. Vielleicht möchten Sie mir einfach kurz Bescheid geben, ob an sich Interesse besteht.

In der Hoffnung, dass meine E-Mail dieses Mal erfolgreich zugestellt wird, verbleibe ich mit besten Grüßen.
[Name entfernt]

Kennzeichen:

  • Auch hier wird wieder nur ganz allgemein geschrieben, sodass die Mail an Jeden rausgehen kann.
  • Wieder keine Info zum Thema oder der zu verlinkenden Webseite.
  • Eine Suche bei Google nach dem Absender, der regelmäßig mit seinen Freunden bloggt, verlief *völlig* ergebnislos. Das finde ich schon eigenartig, weil er doch so auf Publicity aus ist und sich mit Google-Treffern auskennt.
  • Ich fand lediglich einen Blogger, der fragte, ob andere auch von dem Absender Anfragen zum Thema Linktausch bekommen hätten.

Keine Ahnung ob ich diesmal antworten werde. Einmal machte ich mir die Mühe eine ausführliche Antwort zu schreiben, obwohl ich schon auf die erste Frage ablehnend geantwortet hatte. Eine Antwort bekam ich leider nicht:

Hallo Herr […],

ich habe Ihre Mail erhalten. Eine Antwort haben ich noch nicht
geschrieben, weil Ihre zweite Anfrage keine für mich neuen Informationen
enthielt und ich ungern nahezu gleich lautende Mails hintereinander
verschicke. Diese Art von Kontakte empfinde ich als belastend und
schiebe sie gerne nach hinten.

Bitte bedenken Sie, dass ich meine Webseite zu meinem Vergnügen
betreibe. Die mittlerweile tägliche Abwehr von kommerziellen Angeboten
zum Linktausch macht mir hingegen keinen Spaß. Ich empfinde das im
Gegenteil als besonders mühsam und unnötig.

Da Sie offenbar gewerblich unterwegs sind, haben Sie vielleicht einen
Tipp für mich wie ich auf freundliche, aber dennoch verbindliche Weise
Angebote zum Linktausch im Vorfeld vereiteln kann. Die Hinweise im
Impressum haben hier nicht geholfen. Manche setzen die Mail bzw. die
ganze Adresse nicht im Klartext ein, sondern als Bild. Würde das aus
Ihrer Sicht helfen?

Mit freundlichen Grüßen

Thomas Glörfeld

Die erbetenen Hinweise blieben leider aus… Hat jemand von Euch einen guten Tipp, wie man solche Typen proaktiv entmutigen kann? Tatsächlich verderben mir diese Mails den Spaß an meinem Blog und binden unnötig Kräfte.

Mein subjektiver Eindruck ist, dass ich für diesen Blog wirklich weniger Anfragen bekomme, seitdem ich im Impressum meine Anschrift und Mailadresse als Bild eingebunden habe: nicht mehr täglich. Vielleicht kam die obige Anfrage deswegen nur wegen dem alten Blog, wo meine Adresse noch herkömmlich drin steht…

29. Juni 2011 um 21:39

Lesetipp: Why can't I attach a database to SQL Server 2008 R2?

Neulich berichtete ich über einen gängigen Grund warum eine Datenbank nicht angehängt werden kann. Daher freut es mich, dass im Blog des "Microsoft SQL Server Development Customer Advisory Team" das Problem ein paar Tage später ebenfalls aufgegriffen wurde: "Why can't I attach a database to SQL Server 2008 R2?". Allerdings scheint Ihnen die Arbeitsweise der UAC nicht vertraut zu sein.

Ich wurde allerdings erst durch den aktuellen SQL-PASS-Newsletter darauf aufmerksam…

27. Juni 2011 um 20:58

SQL-PASS Franken: Präsentation eines flexiblen SSIS-Generators zur Erhöhung der ETL-Qualität

SQL-PASSBedingt durch die Ferien hätte ich fast verpasst, über den nächsten Vortrag im Rahmen der SQL-PASS Franken zu informieren. Obwohl es mir auf der Zunge liegt, geht es nicht um den Flux-Generator zur Reise in die Zukunft, sondern um den "flexiblen SSIS-Generator zur Erhöhung der ETL-Qualität". Das klingt ähnlich speziell, hat aber einen leicht anderen Schwerpunkt… 😉

Referent ist Markus Krenn. Leider fand ich weder die Internetseite seiner Firma, noch von ihm, daher kann ich keinen Link beifügen. Wer sie kennt, den bitte ich die Adresse als Kommentar zu posten.

Der Termin ist bereits morgen: Dienstag, den 28.6.2011 um 18:30 Uhr.

Er findet wieder im Vortragssaal der New Elements GmbH (Thurn-und-Taxis-Straße 10, 90411 Nürnberg) statt. Wie immer bitte vorher die Teilnahme bei Michael Deinhard (M.Deinhard(ät)newelements.de) oder Klaus Oberdalhoff (kob(ät)sqlpass.de) ankündigen, damit die Anzahl der benötigten Stühle abgeschätzt werden kann. Kosten: keine.

Hier die originale Beschreibung:

In Business Intelligence-Projekten sind oft sehr zeitintensiv eine Vielzahl von SQL Server Integration Service (SSIS)-Paketen für den ETL-Prozess zu erstellen und anschließend zu pflegen.
Anstelle der manuellen Paket-Erstellung hat Herr Krenn einen SSIS-Generator konzipiert und realisiert. Mit dem BIA Business Intelligence Accelerator® werden SSIS-Pakete anhand frei definierbarer Vorlagen generiert.
Dadurch erhält der Anwender eine wesentlich höhere Qualität als manuell erstellte SSIS-Pakete. Die oft sehr zeitintensive Erstellung und spätere Pflege der SSIS-Pakete fällt weg. Die integrierten Berichte bilden eine umfassende Dokumentation der Lösung und sind stets aktuell. Als Add-In von Visual Studio integriert es sich nahtlos in die BI-Entwicklungsumgebung.
Herr Krenn wird in seinem Vortrag seinen Lösungsvorschlag vorstellen und einen technischen Überblick der Software und den Einsatzmöglichkeiten geben.

An dieser Stelle komme ich nicht umhin mich über das "®" zu wundern. Der originelle Name "Business Intelligence Accelerator" ist mir nämlich schon gleich mehrfach begegnet, z.B. gibt es einen bei SAP ("SAP NetWeaver® BUSINESS
INTELLIGENCE ACCELERATOR
"), Deloitte ("Retail Business Intelligence Accelerator") oder Oracle (Oracle Retail Business Intelligence Accelerator). Ich finde es immer wieder bedauerlich, dass so Allerweltsbegriffe gemischt und dann geschützt werden. Das gilt übrigens auch für "SQL Server", "Windows" oder Apple.

Aber mal zur Sache: Wenn man wirklich als BI-Berater unterwegs ist und regelmäßig SSIS-Pakete erstellen muss, dann könnte ich mir schon denken, dass der generative Ansatz nützlich ist. Da ich die SSIS gar nicht nutze, kann ich das aber nicht wirklich beurteilen.

So beschreibt der Referent sich selber:

Referenten Information
Markus Krenn ist seit vielen Jahren als BI-Berater tätig. Der Schwerpunkt liegt in BI-Projekten, die auf Basis von Microsoft BI Technologie umgesetzt werden. In den Projekten stellt er fest, dass viele Tätigkeiten auch automatisiert erstellt werden könnten – schneller und mit höherer Qualität als manuell. Dies veranlasste ihm 2010 das Unternehmen BIA Business Intelligence Accelerator E.U. mit Sitz in Linz zu gründen, das sich mit der softwaregestützten, standardisierten Einführung von Business Intelligence beschäftigt nach dem Motto „BI-Lösungen anstatt BI-Projekte“

Ich finde es positiv, dass bereits in der Beschreibung steht, dass der Referent für sein Produkt und seine Firma werben wird. Da ich mich dienstlich der Einladungen zu Produktpräsentationen kaum erwehren kann, bin ich nicht traurig, dass ich an dem Abend bereits anderweitig engagiert bin. 😉

Wer sich die nächsten Termine frei halten will, findet sie jeweils aktuell bei der SQL-PASS Franken. Hier der heutige Stand: 19.7. / 23.8. (Biergarten) / 20.9. / 18.10. / 15.11. / 13.12.

16. Juni 2011 um 20:17

alt aber gut: Hacking 127.0.0.1

Weil in den letzten Tagen bei mir viel über Hacking zu lesen war, hier ein Link-Tipp zu einer angeblich wahren Geschichte über einen besonders begabten Hacker: "M4tr1x-Trilogie : Brain Farts" auf der Webseite StopHipHop.com ("Mehr Bildung für Rapper").

15. Juni 2011 um 20:14

Die Hacks gegen Sony – SQL-Injection überwiegt

Nachdem es etwas ruhiger um Sony wurde, lohnt sich der Rückblick. Mich interessierte wie es sein kann, dass ein großer Konzern wochenlang immer wieder mit Sicherheitslücken zu kämpfen hatte und ob mich das als Datenbänker irgendwie tangiert. Der Titel sagt es ja schon: ja, es hat sehr viel mit SQL zu tun.
Vermutungen über Hintergründe äußerte ich bereits an anderer Stelle. Daher hier erst mal das Ergebnis meiner Recherchen:

  • Anonymous kündigt Aktionen gegen Sony an:
    Ab dem 4.4.2011 beginnen DoS-Attacken gegen Sony-Webseiten durch das Anonymous-Kollektiv (Details). Weil das die Spieler aber massiv stört, hören sie am 7.4. wieder damit auf und entschuldigen sich bei den Spielern.
  • 16.4.2011: Die Daten von Sony Online Entertainment (SOE) werden geknackt: erbeutet werden 24,6 Millionen Kundendaten (inkl. Kreditkartendaten bzw. Konteninfos). Entdeckt wurde das aber erst nach intensiven Untersuchungen rund um den PSN-Hack am 2.5.2011. Details siehe Heise.de. Zu diesem Hack hat sich meines Wissens noch niemand bekannt, dass führt zu einer Vermutung:
  • 19.4.2011: Offenbar wurden durch die Aktionen auch echte Hacker/Cracker auf die Lücken bei Sony aufmerksam. Sie hacken sich in deren Spieler-Netz PSN, erbeuteten Millionen von Kredikarteninfos und bieten sie angeblich zum Kauf an. Der Einbruch gelingt, weil Sony Software mit 5 Jahre lang bekannten Sicherheitslücken nicht aktualisierte. Wie peinlich.
    Spiegel.de berichtete: "Hacker haben Daten von Millionen Nutzern der Online-Dienste des Konzerns erbeutet. Es geht um Adressen, Passwörter und möglicherweise auch um Kreditkartennummern, warnte Sony. Mehr als 75 Millionen Nutzer des Playstation Network (PSN) und des Video- und Musikservices Qriocity weltweit sind betroffen."
    Eine ganz ausführliche Beschreibung findet man im Artikel PSN-Hack Timeline – Die ganze Geschichte!.
  • 7.5.2011: Veraltete Kundendaten von einem eigentlich inaktiven Sony-Webserver können ganz leicht via Google eingesehen werden: sie schlummerten seit 2001 als Excel-Datei nur ungenügend geschützt auf einem Webserver. Details siehe thehackernews.com und Sophos.com. Wie peinlich ist das denn?
  • 17.5.2011: 2 Tage nach dem Neustart des PSN meldet die Spiele-Webseite Nylevia ernsthafte Probleme. Man kann leicht die Passwörter fremder Accounts ändern.
    Details bei Heise.de: "Dazu musste der Angreifer lediglich die E-Mail-Adresse und das Geburtsdatum des PSN-Mitglieds kennen. Diese Informationen gehören zu den persönlichen Daten, die die Datendiebe bei ihrem Einbruch in das PSN Mitte April erbeuten konnten."
  • 20.5.2011: auf der Webseite von Sony-Thailand wurde injizierter Phishing-Code entdeckt, der Kreditkartendaten abgegriffen hat. Details siehe F-Secure.com.
  • 21.5.2011: Der Internet-Provider SO-NET, der zu Sony gehört, wurde gehackt. Laut Heise-Online werden
    aus dem Kunden-Bonus-System nur ein paar Punkte erbeutet.
  • 21.5.2011: Die Webseite von Sony-Music in Indonesien wird von einem Hacker geknackt und verändert. So etwas nennt man Defacement.
  • 21.5.2001: Schlechter Tag für Sony, denn auch Sony-Music in Griechenland wurde gehackt und die Inhalte geändert. Das passierte laut thehackernews.com mittels einfacher SQL-Injection.
  • 23.5.2011: Gleich zwei neue SQL-Injection-Lücken werden auf Sony-Music Japan von LulzSec veröffentlicht. Diese Lücke erfordert wenig Kenntnisse. Spätestens jetzt ist Sony in der Fachwelt blamiert. Die Art der dabei zugänglichen Informationen sind hier einzusehen.
  • 24.5.2011: Die Webseite von Sony-Ericsson in Kanada wird durch den Hacker Idahc gehackt. Dabei kommen Kundendaten zu Tage (Mail, Name, Passwort-Hash, …), als Beweis werden 2000 Beispiele veröffentlicht. Wer weiß wie viele Daten von bösen Buben schon entwendet wurden. Der Screenshot zeigt: auch hierbei handelt es sich im Prinzip um eine SQL-Injection.
  • 27.5.2010: Diesmal wird bloß eine XSS-Verwundbarkeit im Sony Playstation Store veröffentlicht. Schon fast ein kleiner Fisch…
  • Am 2.6.2011 wird SonyPictures.com von LulzSec wieder mittels einfacher SQL-Injection geknackt. Am gleichen Tag werden 8 Datenbanken gehackt: Dort finden sie eine lange Liste von sensiblen Daten in verschiedenen Tabellen frei zugänglich: Benutzerdaten, teilweise inkl. Geburtstag und Klartext-Passwort. Details über die acht Hacks.
  • Am 3.6.2011 wird dann die Webseite von Sony Europa durch den Hacker Idahc gehackt. Wieder mittels SQL-Injection, diesmal werden wieder Klartext-Passwörter und sonstige persönliche Daten erbeutet…
  • Am 5.6.2011 ist dann die russische Webseite von Sony-Pictures dran: SQL-Injection was sonst. Die üblichen Inhalte…
  • Ebenso am 5.6.2011 ist die Webseite von Sony-Music Brasilien mit Defacement dran: Die Inhalte wurden durch eine "Owned"-Meldung ersetzt, die über 12 Stunden online war.
  • Am 6.6.2011 gelingt es LulzSec das Developer-Network von Sony zu hacken und veröffentlicht als Beweis dort erbeutete Quelltexte.
  • Am 6.6.2011 veröffentlicht LulzSec interne Pläne über das Netzwerk bei Sony BMG, deren Infos wertvole Informationen für weitere Angriffe geben. Es ist unklar wo die herkommen. Offenbar sind sie auch dort eingedrungen.
  • Am 8.6.2011 wird die Webseite von Sony-Musik-Webseite in Portugal (SonyMusic.pt) wieder von Adahc gehackt. Diesmal gleich auf drei verschiedene Arten: SQL-Injection, XSS (cross-site scripting) und iFrame-Injection. Und was kam zutage? Das übliche…
  • Ebenfalls am 8.6.2011 bestätigt Sony-Japan, dass es einem Hacker gelang durch Spoofing Punkte im My-Sony-Club zu erbeuten. Dieser Club scheint also auch nicht sicher zu sein.

Und was lernen wir daraus? Die Webseiten von Sony konnten mit ganz alten und einfachen Tricks penetriert werden. Sony lernte nicht aus den Fehlern, Sony aktualisierte die Software nicht und hätte mal besser etwas mehr Geld für Sicherheitsfachleute investiert…

Was geht mich das als DB-Entwickler an?

Als Resümee aus der obigen Liste fallen mir drei Dinge ins Auge:

1. Wenn man die Liste durchgeht, dann überwiegen die SQL-Injection-Angriffe. Sie sind auch die Angriffe mit den schlimmsten Datenlecks. Ein Defacement ist ja noch harmlos, aber das Auslesen von Kundendaten ist kein Spaß. In einem Artikel verweist Sophos resigniert auf deren Artikel "Securing Websites".

2. Wenn ich mir die exponierten Daten so ansehe, dann kommt die Frage auf: Warum werden Passwörter im Klartext gespeichert? Wenn ein Hash gespeichert wird, ist er dann wenigstens gesalzen?

3. Wegen der vielen heterogenen Systeme wurden die gleichen Fehler immer und immer wieder gemacht. Offenbar hinderte die Organisationsstruktur die Sony-Admins und -Entwickler daran schnell und effizient Erfahrungen auszutauschen. Anders ist es nicht zu erklären, warum auch nach Wochen der ersten SQL-Injection-Angriffe immer noch weitere Webseiten dagegen verwundbar waren.

Diese drei Punkte gehen DB-Entwickler schon etwas an… 😉

PS: Als ich fast fertig war, entdeckte ich eine sehr gute und knappe englische Liste der Hacks… Pech. Die ist auch deswegen interessant, weil darin auch alte Hacks enthalten sind.

15. Juni 2011 um 18:11

Microsoft Office Software Protection Platform Service (OSPPSVC.EXE)

Nach der Installation von Microsoft Office 2010 hat sich auf meinem System einiges verändert. Offenbar nutzt Microsoft sein Hausrecht unter Windows, um das System des Kunden ungefragt umzukrempeln. Neben dem Firefox-Plugin und dem Plugin für den Internet Explorer nervt vor allem ein neuer Dienst:

"Microsoft Office Software Protection Platform Service" (OSPPSVC.EXE)

Hintergrundinformationen fand ich bei zdnet.de:

Microsoft hat angekündigt, Office 2010 mit verstärktem Kopierschutz auszustatten. So wolle man Kunden besser vor Raubkopien schützen. Die 2006 in Windows Vista und Server eingeführte Software Protection Platform (SPP) erreicht nun in modifizierter Form das Büropaket. Außerdem wurde die Echtheitsprüfung Office Genuine Advantage ausgeweitet.

Der Dienst dient also zu meinem Schutz. So bin ich als MSDN-Kunde besser vor Raubkopien geschützt? Wie das gehen soll, erschließt sich mir nicht… Immerhin hat die parallele Installation von LibreOffice nicht zerschossen. So weit geht der Schutz also nicht. 😉

Jedenfalls kann man den Dienst dazu bringen, dass er sich selber beendet, wenn er eine Zeit lang nicht mehr benötigt wurde. Die Anleitung steht hier im Detail beschrieben:

That said, while we do not default our service to timing out after inactivity, if this is something your organization values, you have the ability to control this. You may set the following registry key:

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OfficeSoftwareProtectionPlatform

ValueName: InactivityShutdownDelay

ValueType: DWORD

ValueData: The number in seconds, that the Office Software Protection Platform will stay running for, after the most recent activity. The windows default for this is 300 seconds.

After setting this key, simply restart the Office Software Protection Platform Service to use the new settings.

Das scheint unter WindowsXP nicht zu wirken, bei mir unter Windows 7 hingegen schon.

14. Juni 2011 um 19:47

Wie aus "Sony versus Hacker" schließlich "Hacker versus Sony" wurde

Während einige der zuletzt bekannt gewordenen Web-Angriffe eindeutig mit krimineller Absicht geschahen, geht es bei den Hacks zu Lasten von Sony eindeutig darum Aufmerksamkeit zu erzielen und die Firma zu blamieren. Es ist unmöglich zu ergründen, was genau passierte, aber hier ein persönlicher Versuch der Deutung.

Nachdem der Hersteller Sony seine Kunden sehr stark in der Nutzung der PS/2+3-Geräte einschränkte, griffen einige findige Entwickler zur Selbsthilfe und ermöglichten mit Jailsbreaks die freie Nutzung der Sony-Geräte. Warum machen Kunden das?

  • Weil sie der Meinung sind, dass ihnen das Gerät gehört und die Firma nicht vorschreiben darf/soll, was man mit dem Gerät tun darf und was nicht.
  • Weil sie die Geräte toll finden und Möglichkeiten erweitern wollen.
  • Weil sie zeigen wollen, wie sinnlos die eingebauten Sperren sind.
  • Und weil er geht.

Das Hacken solcher Geräte ist zu einem Volkssport geworden, beliebt sind vor allem Jailbreaks der Apple- und Sony-Geräte. Um ein Exempel zu statuieren, klagte Sony einen der Hacker an: GeoHot. Sony wusste, dass er keineswegs der einzige Hacker war. Dementsprechend ging auch das Jailbreaking unvermindert weiter, obwohl GeoHot längst schachmatt gesetzt war. Die Situation eskalierte als Sony sich am Ende als resistent gegen Argumente erwies und bewirkte, dass GeoHot sich zu vielen Einschränkungen verpflichten musste, um einer Verurteilung zu entgehen. Zum Beispiel darf er den Inhalt der Erklärung nicht veröffentlichen. Damit hat Sony einen Fan zu einem Gegner gemacht (Quelle: Golem.de):

Auf seinem privaten Blog schreibt Hotz, dass er ab sofort nie wieder ein Produkt von Sony kaufen wird, und ruft seine Leser auf, sich dem Boykott anzuschließen.

Aus verschmähter Liebe wird oftmals erbitterter Hass: Offenbar hat Sony damit aber nicht nur einen Fan gegen sich aufgebracht, sondern viele aus der Hacker-Szene. Anonymous drückt es gegenüber Sony so aus:

Congratulations! You are now receiving the attention of Anonymous. Your recent legal actions against fellow internet citizens, GeoHot and Graf_Chokolo have been deemed an unforgivable offense against free speech and internet freedom, primary sources of free lulz (and you know how we feel about lulz.)

You have abused the judicial system in an attempt to censor information about how your products work. You have victimized your own customers merely for possessing and sharing information, and continue to target those who seek this information. In doing so you have violated the privacy of thousands of innocent people who only sought the free distribution of information. Your suppression of this information is motivated by corporate greed and the desire for complete control over the actions of individuals who purchase and use your products, at least when those actions threaten to undermine the corrupt stranglehold you seek to maintain over copywrong, oops, "copyright".

Auf die Angriffe von Anonymous folgten echte Hacks und es wurde eine Zeit lang zum Hacker-Sport Sony zu blamieren und damit gegen deren Einstellung zu protestieren. GeoHot hat mit den Hacks offenbar nichts zu tun. Hier seine Worte, die ich glaubwürdig finde:

And to anyone who thinks I was involved in any way with this, I'm not crazy, and would prefer to not have the FBI knocking on my door. Running homebrew and exploring security on your devices is cool, hacking into someone elses server and stealing databases of user info is not cool. You make the hacking community look bad, even if it is aimed at douches like Sony.

One of the things I was contemplating back in early January was a PSN alternative, a place for jailbroken consoles to download homebrew and game without messing up anyone else's experience. Unfortunately events led me off of that path, but gamers, if I had succeeded you would have an alternative place to game online with your PS3 right now. I'm one of the good guys. I used to play games online on PC, I hated cheaters then and I hate them now.

Also, let's not fault the Sony engineers for this, the same way I do not fault the engineers who designed the BMG rootkit. The fault lies with the executives who declared a war on hackers, laughed at the idea of people penetrating the fortress that once was Sony, whined incessantly about piracy, and kept hiring more lawyers when they really needed to hire good security experts. Alienating the hacker community is not a good idea.

Stimmt, das Ergebnis zeigt, dass das Vorgehen von Sony keine gute Idee war. Die Hacker-Community ist aber keine fest umrissene Gruppe, sondern eine heterogene Masse. Daher sind auch die Angriffe auf Sony völlig unterschiedlich. Schließlich nutzen auch Kriminelle die offensichtlichen Sicherheitslücken und erbeuten Millionen von Kundendaten, z.T. mit Kreditkartendaten.

Was kann man daraus lernen?

Als Sony gerichtlich gegen einen der Hacker vorging, löste das mehr als nur Unverständnis bei den anderen Nutzern aus. Hatte Sony noch andere Möglichkeiten als gerichtlich gegen Nutzer vorzugehen?
Dass es auch anders geht, zeigte übrigens Microsoft: Hier wurde erkannt, dass die Kunden so begeistert waren, dass sie den Geräten einen erheblichen Mehrwert geben können. Nachdem Microsoft im Handy-Bereich den Anschluss an
die Konkurrenz verloren hatte, kam mit Windows Phone 7 endlich der erhoffte "Lichtbringer" auf den Markt. Damit wollte Microsoft endlich wieder positive Schlagzeilen und verlorene Marktanteile gut machen. Das Schlimmste passiert: Das System floppt, Hacker knacken sehr schnell Windows Phone 7 und installieren alle möglichen anderen Dinge auf die Handies. Anstelle der üblichen Reaktion der "Großen" kommt von Microsoft jedoch ein interessantes Angebot: Sie erkennen, dass hier sehr kreative und engagierte Köpfe von Windows-7-Phone begeistert waren und laden die Hackergruppe ChevronWP7 zu einer Diskussion mit den Entwicklern ein. Warum soll das neue System nicht offen für die Eigenentwicklungen von Kunden werden? (Quelle: Golem.de)

Ein Treffen mit ChevronWP7 gab es bereits – erklärtes Ziel ist es, Jailbreaking von Smartphones mit Windows Phone 7 unnötig zu machen und Homebrew-Entwicklern einen einfacheren Zugang zur Plattform zu verschaffen.

Mit einem T-Shirt für die Hacker gelang ihnen außerdem ein toller Coup. Die an das Team verschenkten T-Shirts hätte sicher jeder Hacker gerne, sie tragen die Aufschrift: "I was the first to jailbreak Windows Phone 7, and all I got was this lousy t-shirt"

Mit Kinnect ging es Microsoft ganz ähnlich: Die innovative Steuerung für die X-Box wurde bereits nach kurzer Zeit für die breite Nutzung zur Verfügung gestellt, nach dem sich zeigte, dass einige Hacker Interesse an der ausgefallenen Steuerung zeigten. Sony hätte die Jungs vermutlich verklagt. Für Microsoft hat sich das indes gelohnt: Die positive Publicity und die Verkaufszahlen sprechen für sich…

14. Juni 2011 um 18:54

Beliebte Passwörter

Bei einem der Hacks in den letzten Wochen wurden auch einige Passwörter veröffentlicht. Die nun ohnehin öffentlichen Passwörter habe ich daraufhin mal ausgewertet (ja, nur die Passwörter, Benutzerdaten habe ich nicht gespeichert). Die Basis sind etwa 26.000 Passwörter, etwa 20.000 verschiedene wurden verwendet: Beliebt waren reine Zahlenkolonnen oder Wörter in Kleinbuchstaben.

Passwort Anzahl %
123456 671 2.59
123456789 212 0.82
12345 111 0.43
1234 75 0.29
12345678 72 0.28
password 66 0.25
1234567 65 0.25
1234567890 52 0.20
123 49 0.19
123123 41 0.16
111111 40 0.15
000000 36 0.14

Beliebt waren außerdem 112233, 987654321, qwerty (war eine amerikanische Seite), upload, 666666, 121212, 123321, 654321 und 555555. Was kann man dazu sagen?

Anhand der verwendeten Passwörter vermute ich, dass die Webseite keine Mindestlänge vorgab. Daher ist die Auswertung besonders interessant:

Passwortlänge Anzahl %
6 6453 24.90
8 5496 21.21
7 3868 14.92
9 2910 11.23
10 2779 10.72
5 1160 4.48
4 972 3.75
11 837 3.23
12 539 2.08
13 238 0.92
3 230 0.89

Offenbar findet eine Konditionierung auf 6 oder 8 Zeichen lange Passwörter statt… 😉

13. Juni 2011 um 15:15

Hackerattacken in den letzten Tagen (3.6. bis 12.6.2011)

Ich habe den Überblick verloren, daher sammele ich hier einfach mal die bisherigen erfolgreichen und bemerkten Hackerangriffe auf Spieleplattformen und andere Ziele. Ich bitte um Ergänzungen:

  • DoS: Die Webseite der spanische Polizei wird am 12.6.2011 durch Anonymous lahm gelegt: Die Aktivisten wollen damit gegen die Festnahme von drei mutmaßlichen Anonymous-Mitglieder protestieren.
    Details bei Heise-Online: "Wie der staatliche Rundfunk RNE am Sonntag berichtete, hatte die Organisation Anonymous die Internetseite der Polizei so massiv mit Anfragen bombardiert, dass der Server zusammenbrach. In einer Mitteilung bekannte sich die Gruppe zu der Attacke. Darin betonte sie, dass ihre Mitglieder keine Terroristen seien, sondern Bürger, die sich für ihre Rechte einsetzten."
  • Crack: Epic Games wurde am 10.6.2011 gehackt: E-Mail-Adressen und verschlüsselte Passwörter wurden erbeutet. Die Passwörter wurden zurück gesetzt.
    Details siehe Heise.de
  • Hack: Das Sex-Portal Pron.com wurde am 10.6.2011 von Lulzsec gehackt: erbeutet und veröffentlicht wurden die Mailadressen der Benutzer mit deren Klartext-Passwörtern.
    Details siehe lulzsecurity.com
  • DoS: Am 10.6.2011 war die Webseite der GVU durch Anonymous lahm gelegt.
    Details siehe netzwelt.de: "Zur Begründung gibt Anonymous an, dass "das Betreiben einer Suchmaschine für Videos nach unserem Ermessen nicht illegal" sei. Die Gruppe stellt die Aktion gleichsam in einen größeren Rahmen: "Wir verurteilen es zutiefst, dass der Staat Teile des Internets abschaltet. Somit wurde die Freiheit des Internets erneut von staatlicher Seite her angegriffen und ein weiterer Schritt in Richtung Zensur beschritten."
  • Crack: Am 9.6. wurde erst bekannt, dass ein Hack der Citibank bereits im Mai entdeckt wurde: Aus dem "Citi Account Online" wurden Namen, Kontonummern und Mailadressen von etwa 1 Prozent der rund 21 Millionen Kreditkartenkunden in Nordamerika erbeutet.
    Detail bei Heise-Online.
    Update 15.6.2011: Die Daten waren offenbar durch simple URL-Manipulation abrufbar.
  • Crack: Auch erst am 10.6.2011 wurde bekannt, dass ein Hack bei Codemasters am 3.6.2011 entdeckt wurde: daraufhin wurden alle Server offline genommen. Erbeutet wurden Kundendaten: Anschrift, Telefonnummer, Mailadresse, Passwort-Hash und Bestellverlauf. Im Kundenclub CodeM fanden sie auch noch Geburtsdaten, IP-Adressen, Benutzerbiografien und Xbox-Live-Gamertags.
    Details bei Heise-Security.
  • DoS: Am 9.6.2011 wurde die Webseite der türkischen Telekommunikationsbehörde TIB (Zuständig für die geplante Internetregulierung) durch Anonymous mit der Aktion "Turkey" durch Anonymous lahm gelegt, um gegen die geplante Internetzensur zu protestieren.
    Details siehe Golem.de
  • Hack: Nintendo wurde am 3.6.2011 von Lulzsec gehackt: hier wurden nur freundliche Grüße hinterlassen.
    Details bei areagames.de
  • Hack: Die Sicherheits-Organisation InfraGard (Zusammenarbeit des FBI mit Privatunternehmen) wurde am 3.6.2011 von Lulzsec gehackt: sie veröffentlichten die persönlichen Daten von 180 InfraGard-Mitarbeitern sowie einige Kennwörter im Klartext und 700 MByte E-Mails.
    Details bei Heise-Security: "Anlass für den Angriff gab angeblich der Plan der USA, Hackerangriffe künftig als kriegerischen Akt zu behandeln. In einem Bekennerschreiben behauptet LulzSec, einige der Benutzer hätten ihre InfraGard-Kennwörter auch auf anderen Servern eingesetzt. Zudem steht im Bekennerschreiben, man habe Informationen über einen von der US-Regierung gesponserten Hackerangriff gegen Libyen erbeutet."
  • und Sony … tja, was soll ich da schreiben. Auch hier habe ich den Überblick längst verloren. Die Ergebnisse meiner Recherchen veröffentliche ich morgen und übermorgen…

Als ich die Liste aufstellte, bemerkte ich, dass eine gewisse Differenzierung nötig ist. Ich sehe da auch wenigstens drei verschiedene Arten der Angriffe, die ich oben jeweils den Einträgen voran stellte:

  1. Cracks: ausgeführte Angriffe von böswillige Cracker, die die Daten verkaufen oder benutzen wollen, um sich zu bereichern. Ich gehe davon aus, dass Cracker mit krimineller Energie sich in der Regel nicht erwischen lassen oder gar Notizen hinterlassen, daher ist mit einer hohen Dunkelziffer zu rechnen.
  2. Hacks: Hacker, die aus verschiedenen Gründen in Systeme eindringen und die gefundenen Daten dann teilweise veröffentlichen: meist um die Firmen für ein aus deren Sicht falsches Verhalten abzustrafen oder einfach nur weil es geht. oftmals erst nachdem Hinweise auf die Sicherheitslücken von den Firmen ignoriert wurden. Dazu gehören auch die Angriffe auf Sony. Wer weiß wie viele unentdeckte Cracker vorher die Lücken schon nutzten…/li>
  3. DoS: Denial-of-Service-Attacken, wie sie bspw. teilweise von Anonymous genutzt werden, um auf Ungerechtigkeiten aufmerksam zu machen, legen die Webseiten einfach nur durch unerhört viele Aufrufe lahm. Die Seiten sind überlastet und damit vorübergehend nicht erreichbar. Die Presse schreibt dann oft, dass die "Server unter der last zusammen brachen". Damit ist nicht gemeint, dass die Hardware danach kaputt war, sondern einfach nur, dass sie in der Zeit der Attacken nicht mehr rechtzeitig auf die Anfragen antworten konnten.

Die einzelnen Punkte wäre fast jeweils mal ein eigenes Posting wert. Mal schauen, ob ich irgendwann mal dazu komme…

13. Juni 2011 um 14:06

Microsoft Windows 8 Event at Computex 2011

Bereits letzte Woche machten mich meine Kollegen Ulf und Stefan gleichzeitig auf dieses Video über Windows 8 aufmerksam. Darin wird ein Vortrag von Michael Angiulo über die neue Oberfläche vin Windows 8 auf der CompuTex 2011 in Taipeh gezeigt. Er hebt die Möglichkeit plattformübergreifende Apps zu schreiben hervor: Das ist schon beeindruckend. Basis ist HTML5, Java-Script und CSS:

Weitere Details hier.

12. Juni 2011 um 20:51

die guten alten Tastaturkürzel

Nach der Installation des "SQL Servers 2008 R2" auf meinem rechner daheim, musste ich mit Enttäuschung feststellen, dass die guten alten Tastaturkürzel nicht mehr funktionierten. Z.B. Strg+n zum Öffnen eines neuen Abfragefesters. Ich musste dauernd zur Maus greifen – wie eklig.

Um die alten Tastenkürzel wieder zu bekommen, muss man das Tastaturlayout umschalten: Extras -> Anpassen -> Reiter "Befehle" -> "Tastatur" (links unten) -> Tastaturschema "SQL Server 2000". Und schon ist es wie damals…

Hier meine Favoriten (hier die vollständige Liste):

  • Strg+e – Ausführen (wie F5)
  • Strg+t – Ausgabe der Abfrage als Text anzeigen
  • Strg+d – Ausgabe der Abfrage als Grid anzeigen
  • Strg+n – Neues Abfragefenster öffnen
  • Strg+r – Ausgabeteil in Abfragefester aus-/einblenden
  • F4 – Eigenschaften des aktuellen Objektes einblenden (besonders bei der Analyse von Zugriffsplänen spannend)
  • F8 – Objekt-Explorer ein-/ausblenden