Glorf IT

Gleich mehrere Studien vergleichen die Sicherheit von Datenbanksystemen und kühren Microsoft mit dem SQL-Server-2005 zu "Sieger". Wer hätte das noch vor wenigen Jahren geglaubt?

Im SQL Server 7, 2000 und 2005 wurden 59 Fehler entdeckt und gestopft während Oracle 233 Patches für Lücken in seinen Datenbank-Versionen 8, 9 und 10g herausgab. Zudem hat Litchfield 49 weitere Schwachstellen an Oracle gemeldet, die aber noch nicht veröffentlicht sind und daher noch nicht in die Wertung eingehen. Nach Litchfields Meinung sei SQL Server 2005 derzeit der sicherste Server; bislang gebe es keine einzige bekannte Lücke. Allerdings sei auch die Open-Source-Datenbank PostgreSQL sehr sicher. Oracle habe den Nimbus des "Unbreakable" längst verloren.

Außerdem scheint Litchfield speziell mit Oracle nicht zufrieden zu sein. Seine Äußerungen sind schon ziemlich krass:

Gegenüber US-Medien behauptete Litchfield sogar, er benötige nur fünf Minuten, um in Oracle 10g einen neuen Bug zu finden.

Ob ihn seine Erfahrungen zum Oracle-Kritiker gemacht haben oder die Ursache darin haben, dass er in Bezug auf Vista eng mit Microsoft zusammenarbeitete ist unklar.

Da Oracle in den letzten Jahren immer wieder wegen diverser Sicherheitslücken und deren Umgang damit in den Schlagzeilen war, tippe ich auf ersteres. Außerdem hatte ich ihn bislang noch nicht als MS-Fan wahrgenommen… 😉

Den Artikel zur Sicherheit von externen Festplatten bei tecCHANNEL.de finde ich wieder mal ziemlich gut. Ich selber nutze sowohl dienstlich als auch privat externe Festplatten. Nachdem vor zwei Jahren meine Festplatte im Arbeitsplatzrechner einen schnellen Tod starb (Amoklauf einer Testversion eines Virensuchprogramms) und sich die Festplatte im heimischen PC kurz darauf den Kopf anstieß (satter Headcrash), nutze ich die externen Dinger für das schnelle Backup zwischendurch.

Wenn ich mir so ansehe, welchen potentiellen Gefährdungen so eine externe Platte ins Auge sehen muss, dann frage ich mich, ob das so schlau ist…

Mehr bei tecCHANNEL.de im Artikel "Sicherheitsrisiko: Externe Festplatten im Test"

Was ich da bei TecChannel.de las wäre ein prima April-Scherz gewesen… Aber es gibt sie wirklich: Brio-Networkers. Das Holz-Spielzeug mit dem man E-Mail-Server spielen kann.
Das ideale Spielzweug für den „Nachwuchs der Internet-Generation“, die „Kinder, Patenkinder, Nichten und Neffen der New Economy“.

Die Bösewichte Para, Viro und PopUp dürfen natürlich nicht fehlen…

Update:
Man beachte den Text in der Box, der den Kleinen gleich vermittelt, wie es im Leben zugeht… Man kann hier seinen Freunden Viren schicken:

Die Empfänger von Viren im E-Mail-Briefkasten freuen sich oft sehr darüber! Gib Deine Daten zum Virenangriff an!

Tipp: Das Spiel unter "Du hast Post bekommen" erklärt einiges…

Mehr dazu bei Brio

In unserer Firma wird sehr viel wert auf Sicherheit gelegt. Das finde ich gut, denn dadurch haben wir alle großen Viren- und Würmerwellen ausgelassen. Aber irgendwie kann man es auch übertreiben…

Bei uns läuft auf jedem Rechner ein On-Access-Virus-Scan-Programm der auf der Engine von McAfee basiert. Jeder Dateizugriff wird abgefangen und geprüft. Zusätzlich wird über ein Login-Skript überprüft, ob man auch regelmäßig, d.h. wenigstens einmal pro Woche einen vollen Virensuchlauf über alle Platten laufen ließ. War das nicht der Fall, dann wird der Prüflauf morgens nach den Anmelden gleich angestoßen. Wenn man den abbricht, dann wird man von System abgemeldet.
Der billigste Suchlauf dauert bei mir 3 Stunden, wenn alle Dateitypen und alle Archive geprüft werden, dann 5 Stunden. Die Systembelastung ist dadurch recht hoch. Das Developer-Studio brauche ich parallel dazu nicht öffnen…

Daran haben wir uns schon ganz gut gewöhnt, jetzt kam sogar eine neue Version, die auch SpyWare findet, und einen Stick sofort prüft, wenn man ihn ans System steckt. Die neue Version fand bei mir auch gleich drei suspekte Registry-Einträge:

HKEY_CLASSES_ROOT\appid\AtlBrowser.EXE Reg-Ezula(Potenziell unerwünschte Software)
HKEY_CLASSES_ROOT\AtlBrCon.AtlBrCon Reg-Ezula(Potenziell unerwünschte Software)
HKEY_CLASSES_ROOT\AtlBrCon.AtlBrCon.1 Reg-Ezula(Potenziell unerwünschte Software)

Interessanterweise wurde es nur als Warnung ausgegeben. Das Login-Skript kam irgendwie auf den Gedanken, die Prüfung habe ein verseuchtes System gefunden, und hat mich sogleich abgemeldet. Das habe ich aber nicht bemerkt, denn zu dem Zeitpunkt war ich gerade in einer Besprechung. Als ich wieder kam wunderte ich mich, meldete mich erneut an und musste mir anhören, dass ich schon lange nicht mehr geprüft habe und die Prüfung jetzt gestartet wird. Irgendwann nach dem Mittagessen war die Prüfung dann durch und brachte die drei Registry-Einträge. Ich hatte noch genug Zeit, um unseren obersten Virologen eine Mail zu schreiben. Dann wurde ich abgemeldet, weil ich die Prüfung abgebrochen habe. Hm, das war wohl ein ärgerlicher Fehler im Login-Skript. Nach dem nächsten Anmelden bekam ich die Mail, dass ich jetzt aus der Systemprüfung rausgenommen wurde…

Das Pikante daran war, dass diese Einträge überhaupt nicht von einem Schädlingsprogramm erstellt wurden, sondern vom "Microsoft Application Compatibility Analyzer" den ich damals vor der Einführung von Windows 2003 (oder war es vor XP?) installierte, um unsere Anwendungen zu untersuchen. Das fand ich aber erst am nächsten Tag heraus…

Sicherheit ist viel wert.

Heute sprachen wir in der Firma darüber, das wir jetzt ziemlich hektisch alle unserer Programme auf den SQL Server 2005 umheben müssen, bloß weil Microsoft den SQL Server 2000 nicht mehr unter Vista lauffähig machen will.
Da wir ein ziemlich großer Laden sind und sehr viele Produkte entwickeln, werden sich jetzt sehr viele Leute damit befassen. Dazu kommen noch die Änderungen an den Programmen wegen Vista, dann die zugekauften Software-Pakete, die Treiber und Bibliotheken von anderen Software-Firmen, die wir einsetzen. Die müssen auch potentiell von denen auch jeweils angepasst werden.

Konkret bedeutet das, dass sich die Software-Industrie derzeit gegenseitig beschäftigt.
Und alles nur, damit die ganze Software auch nächstes Jahr unter Vista läuft. Das schlimme ist ja, dass die anderen Kunden dadurch keinen Zusatznutzen haben. Im Gegenteil: zusätzliche Funktionen oder gewünschte Bereinigungen müssen wohl verschoben werden, damit die Software rechtzeitig mit Vista fertig wird…
Was da derzeit rund um den Globus an Geld rausgehauen wird, ist der helle Wahnsinn.

Dennoch haben wir keine Wahl. Sollen wir unsere Software nicht auf Vista portieren? Sollen wir weiterhin den SQL Server 2000 einsetzen? Das würde langfristig bedeuten, dass unsere Software von der Masse der Kunden nicht mehr eingesetzt werden kann. Das ist auch keine echte Alternative…

Vorgestern blieb ich beim Radiozappen im Deutschlandfunk bei einem sehr amüsanten Beitrag über "Power-Point-Women und um sie herumwuselnde P-Guys" hängen. Da wurde gut beschrieben, dass es heutzutage zum guten Ton gehört, dass jeder Vortragende einen dicken Stapel Power-Point-Folien auf einem Beamer präsentiert. Meist nur abliest und dabei auch noch denkt, er/sie würde einen tollen Vortrag halten…

Leider gibt es bei uns in der Firma auch die Unsitte, dass jeder Foliensatz den gesamten Inhalt als Text enthalten muss, "damit man den Inhalt auch versteht, wenn jemand anderer die Folien hinterher liest, ohne beim Vortrag gewesen zu sein." Dabei tun mir Text-Wüsten immer weh, denn ich liebe "reiche" Folien die Vorgänge oder Zusammenhänge anschaulich darstellen, am liebsten nur mit der Botschaft drüber und sonst ohne Worte.

Aber dennoch gehöre ich ganz offensichtlich zu den "P-Guys"… 😉

Wer in letzter Zeit irgendwelche IT-Newsticker verfolgt hat, dem sind sicher schon die vielen Meldungen zum Thema "Wahlcomputer" aufgefallen. Irgendwo las ich neulich, dass es kein besseres Motiv für den Missbrauch von Wahlcomputern gebe als "Macht". Und genau darum geht es bei den Wahlen ja.

Es wird ja sicher auch niemand behaupten die Wahlcomputer seien unknackbar. Aber wie leicht sie tatsächlich zu knacken sind, fand ich dann schon erstaunlich. Daher bin ich sehr froh darüber, dass jemand eine Bundestagspetition gegen den Einsatz von Wahlcomputern ins Leben gerufen hat. Man kann sich online eintragen. Mit dem Stand von heute wird die Petition bereits von über 21 Tausend Bürgern unterstützt.

Bitte lest die Petition durch und unterstützt sie:DEUTSCHER BUNDESTAG – Petitionsausschuss

Über das Thema wurde ja sogar in den normalen Nachrichten berichtet. Mit einer interessanten Schlussbemerkung:

Ironie am Rande: Die wenigen Wähler, die den Einsatz von Wahlcomputern grundsätzlich kritisch sahen, kannten sich mit der Materie aus. Es waren Informatiker.

Wer sich weiter in das Thema vertiefen will, dem empfehle ich folgende Quellen:

• Analyse des CCC
• Schöne Link-Sammlung am Endes dieses Heise-Artikels

via IT-Blog

Ich erlebe leider immer wieder, dass für neue, innovative Produkte im Bereich Berichtswesen oder sogar Data-Mining die Präsentationstechnik der Ergebnisse unheimlich konservativ angegangen wird. Ich habe ziemlich viel mit dem Verwalten und Lesen von Daten zu tun. Vorrangig ist es dann meine Aufgabe für gute Performance zu sorgen. Dabei sehe ich aber immer auch die Oberflächen. Und es ist echt selten etwas dabei, was dem Benutzer neue Horizonte eröffnet.

Die Präsentation "Flight Patterns" ist zwar nicht unter diesem Aspekt erstellt worden, eignet sich aber meines Erachtens unheimlich gut, um komplexe Vorgänge zu visualisieren. Ich bin sicher, dass man diese Technik auch gut für andere Daten mit geografischem Bezug verwenden kann. Andererseits kann man auch einfach zwei Dimensionen raussuchen und daraus eine virtuelle Landkarte (im Sinne eines Koordinatensystems) entwerfen. Dann kann man eine dritte und vierte Dimension (hier die Zeit) visualisieren. Ich bin sicher, dass der Mensch Häufungen und Muster auf diese Weise besser erkennen kann als über Tabellen bzw. Matrizen. Optimal fände ich es, wenn man interaktiv die "Dimensionen" austauschen und sich (im Sinne eines Drill-Down) reinzoomen könnte.

gefunden bei ueba.net

Ich entwickle langsm echt eine Aversion gegen eingedeutschte Fachbegriffe: Ich kapiere dann oft einfach nicht was gemeint ist!

Anlass ist der heutige Artikel bei TecChannel: "SQL-Einspeisung gegen Coppermine Photo Gallery". Gemeint ist natürlich "SQL-Injection"… Bis ich darauf gekommen bin.

Ein anderes Beispiel sind die "Books Online" des SQL-Servers von Microsoft. In der deutschen Ausgabe habe ich regelmäßig Schwierigkeiten Informationen zu finden. Einfach deswegen weil man unter den Fachbegriffen nichts findet. Man muss dann schon genau wissen, wie MS den Fachbegriff eingedeutscht hat. Versucht doch mal Informationen zum "Clustered-Index" zu finden… Welches deutsche Wort könnte MS da verwendet haben?

Dieses Wochenende besuchen wir meine Eltern und in der Krempelkiste habe ich tatsächlich meinen alten Taschenrechner gefunden. Wenn ich mich richtig erinnere haben wir ihn in der 7ten Klasse gekauft. Da hatte ich erstmals Informatik in der Schule, ich glaube erst ab der 9ten durften wir in den Computerraum. Wir haben Programmieren zuerst am programmierbarer Taschenrechner TI 57 oder TI 58 gelernt. Ich glaube der TI 58 hatte einen Speicher, der das Programm nach dem Ausschalten nicht vergaß. Ich hatte jedenfalls das "billige" Modell TI-57 (siehe auch hier). Leider habe ich völlig vergessen wie man ihn programmiert und kann auch die Anleitung nicht mehr finden.

Dank Internet ist sowas ja kein Problem mehr: Hier ist die Anleitung (bei datamath.net), die heutzutage ziemlich putzig wirkt…

Jetzt stellt sich für mich die Frage, was ich damit anstellen sollen. Er funktioniert prima. Wegen des defekten Akku und des Wackelkontakts im Netzteil ist es wohl nicht mehr verkaufbar, obwohl es ja echt Leute gibt, die so ein Teil noch haben wollen. Naja, vermutlich werde ich normale Batterien reinstecken und das Teil mal mit nach Hause nehmen…

Diese Vorführung einer Software vom M IT finde ich ziemlich beeindruckend. OK, nicht so futuristisch, wie das von neulich aber dennoch sehr sehenswert:

Im TechEBlog wird ein Filmchen gezeigt in dem man einer "offenen" Festplatte bei der Arbeit zusehen kann. Echt nett: Hard Drive Exposed