Glorf IT

Bedingt durch die Ferien hätte ich fast verpasst, über den nächsten Vortrag im Rahmen der SQL-PASS Franken zu informieren. Obwohl es mir auf der Zunge liegt, geht es nicht um den Flux-Generator zur Reise in die Zukunft, sondern um den "flexiblen SSIS-Generator zur Erhöhung der ETL-Qualität". Das klingt ähnlich speziell, hat aber einen leicht anderen Schwerpunkt… 😉

Referent ist Markus Krenn. Leider fand ich weder die Internetseite seiner Firma, noch von ihm, daher kann ich keinen Link beifügen. Wer sie kennt, den bitte ich die Adresse als Kommentar zu posten.

Der Termin ist bereits morgen: Dienstag, den 28.6.2011 um 18:30 Uhr.

Er findet wieder im Vortragssaal der New Elements GmbH (Thurn-und-Taxis-Straße 10, 90411 Nürnberg) statt. Wie immer bitte vorher die Teilnahme bei Michael Deinhard (M.Deinhard(ät)newelements.de) oder Klaus Oberdalhoff (kob(ät)sqlpass.de) ankündigen, damit die Anzahl der benötigten Stühle abgeschätzt werden kann. Kosten: keine.

Hier die originale Beschreibung:

In Business Intelligence-Projekten sind oft sehr zeitintensiv eine Vielzahl von SQL Server Integration Service (SSIS)-Paketen für den ETL-Prozess zu erstellen und anschließend zu pflegen.
Anstelle der manuellen Paket-Erstellung hat Herr Krenn einen SSIS-Generator konzipiert und realisiert. Mit dem BIA Business Intelligence Accelerator® werden SSIS-Pakete anhand frei definierbarer Vorlagen generiert.
Dadurch erhält der Anwender eine wesentlich höhere Qualität als manuell erstellte SSIS-Pakete. Die oft sehr zeitintensive Erstellung und spätere Pflege der SSIS-Pakete fällt weg. Die integrierten Berichte bilden eine umfassende Dokumentation der Lösung und sind stets aktuell. Als Add-In von Visual Studio integriert es sich nahtlos in die BI-Entwicklungsumgebung.
Herr Krenn wird in seinem Vortrag seinen Lösungsvorschlag vorstellen und einen technischen Überblick der Software und den Einsatzmöglichkeiten geben.

An dieser Stelle komme ich nicht umhin mich über das "®" zu wundern. Der originelle Name "Business Intelligence Accelerator" ist mir nämlich schon gleich mehrfach begegnet, z.B. gibt es einen bei SAP ("SAP NetWeaver® BUSINESS
INTELLIGENCE ACCELERATOR"), Deloitte ("Retail Business Intelligence Accelerator") oder Oracle (Oracle Retail Business Intelligence Accelerator). Ich finde es immer wieder bedauerlich, dass so Allerweltsbegriffe gemischt und dann geschützt werden. Das gilt übrigens auch für "SQL Server", "Windows" oder Apple.

Aber mal zur Sache: Wenn man wirklich als BI-Berater unterwegs ist und regelmäßig SSIS-Pakete erstellen muss, dann könnte ich mir schon denken, dass der generative Ansatz nützlich ist. Da ich die SSIS gar nicht nutze, kann ich das aber nicht wirklich beurteilen.

So beschreibt der Referent sich selber:

Referenten Information
Markus Krenn ist seit vielen Jahren als BI-Berater tätig. Der Schwerpunkt liegt in BI-Projekten, die auf Basis von Microsoft BI Technologie umgesetzt werden. In den Projekten stellt er fest, dass viele Tätigkeiten auch automatisiert erstellt werden könnten – schneller und mit höherer Qualität als manuell. Dies veranlasste ihm 2010 das Unternehmen BIA Business Intelligence Accelerator E.U. mit Sitz in Linz zu gründen, das sich mit der softwaregestützten, standardisierten Einführung von Business Intelligence beschäftigt nach dem Motto „BI-Lösungen anstatt BI-Projekte“

Ich finde es positiv, dass bereits in der Beschreibung steht, dass der Referent für sein Produkt und seine Firma werben wird. Da ich mich dienstlich der Einladungen zu Produktpräsentationen kaum erwehren kann, bin ich nicht traurig, dass ich an dem Abend bereits anderweitig engagiert bin. 😉

Wer sich die nächsten Termine frei halten will, findet sie jeweils aktuell bei der SQL-PASS Franken. Hier der heutige Stand: 19.7. / 23.8. (Biergarten) / 20.9. / 18.10. / 15.11. / 13.12.

Weil in den letzten Tagen bei mir viel über Hacking zu lesen war, hier ein Link-Tipp zu einer angeblich wahren Geschichte über einen besonders begabten Hacker: "M4tr1x-Trilogie : Brain Farts" auf der Webseite StopHipHop.com ("Mehr Bildung für Rapper").

Nachdem es etwas ruhiger um Sony wurde, lohnt sich der Rückblick. Mich interessierte wie es sein kann, dass ein großer Konzern wochenlang immer wieder mit Sicherheitslücken zu kämpfen hatte und ob mich das als Datenbänker irgendwie tangiert. Der Titel sagt es ja schon: ja, es hat sehr viel mit SQL zu tun.
Vermutungen über Hintergründe äußerte ich bereits an anderer Stelle. Daher hier erst mal das Ergebnis meiner Recherchen:

• Anonymous kündigt Aktionen gegen Sony an:
  Ab dem 4.4.2011 beginnen DoS-Attacken gegen Sony-Webseiten durch das Anonymous-Kollektiv (Details). Weil das die Spieler aber massiv stört, hören sie am 7.4. wieder damit auf und entschuldigen sich bei den Spielern.
• 16.4.2011: Die Daten von Sony Online Entertainment (SOE) werden geknackt: erbeutet werden 24,6 Millionen Kundendaten (inkl. Kreditkartendaten bzw. Konteninfos). Entdeckt wurde das aber erst nach intensiven Untersuchungen rund um den PSN-Hack am 2.5.2011. Details siehe Heise.de. Zu diesem Hack hat sich meines Wissens noch niemand bekannt, dass führt zu einer Vermutung:
• 19.4.2011: Offenbar wurden durch die Aktionen auch echte Hacker/Cracker auf die Lücken bei Sony aufmerksam. Sie hacken sich in deren Spieler-Netz PSN, erbeuteten Millionen von Kredikarteninfos und bieten sie angeblich zum Kauf an. Der Einbruch gelingt, weil Sony Software mit 5 Jahre lang bekannten Sicherheitslücken nicht aktualisierte. Wie peinlich.
  Spiegel.de berichtete: "Hacker haben Daten von Millionen Nutzern der Online-Dienste des Konzerns erbeutet. Es geht um Adressen, Passwörter und möglicherweise auch um Kreditkartennummern, warnte Sony. Mehr als 75 Millionen Nutzer des Playstation Network (PSN) und des Video- und Musikservices Qriocity weltweit sind betroffen."
  Eine ganz ausführliche Beschreibung findet man im Artikel PSN-Hack Timeline – Die ganze Geschichte!.
• 7.5.2011: Veraltete Kundendaten von einem eigentlich inaktiven Sony-Webserver können ganz leicht via Google eingesehen werden: sie schlummerten seit 2001 als Excel-Datei nur ungenügend geschützt auf einem Webserver. Details siehe thehackernews.com und Sophos.com. Wie peinlich ist das denn?
• 17.5.2011: 2 Tage nach dem Neustart des PSN meldet die Spiele-Webseite Nylevia ernsthafte Probleme. Man kann leicht die Passwörter fremder Accounts ändern.
  Details bei Heise.de: "Dazu musste der Angreifer lediglich die E-Mail-Adresse und das Geburtsdatum des PSN-Mitglieds kennen. Diese Informationen gehören zu den persönlichen Daten, die die Datendiebe bei ihrem Einbruch in das PSN Mitte April erbeuten konnten."
• 20.5.2011: auf der Webseite von Sony-Thailand wurde injizierter Phishing-Code entdeckt, der Kreditkartendaten abgegriffen hat. Details siehe F-Secure.com.
• 21.5.2011: Der Internet-Provider SO-NET, der zu Sony gehört, wurde gehackt. Laut Heise-Online werden
  aus dem Kunden-Bonus-System nur ein paar Punkte erbeutet.
• 21.5.2011: Die Webseite von Sony-Music in Indonesien wird von einem Hacker geknackt und verändert. So etwas nennt man Defacement.
• 21.5.2001: Schlechter Tag für Sony, denn auch Sony-Music in Griechenland wurde gehackt und die Inhalte geändert. Das passierte laut thehackernews.com mittels einfacher SQL-Injection.
• 23.5.2011: Gleich zwei neue SQL-Injection-Lücken werden auf Sony-Music Japan von LulzSec veröffentlicht. Diese Lücke erfordert wenig Kenntnisse. Spätestens jetzt ist Sony in der Fachwelt blamiert. Die Art der dabei zugänglichen Informationen sind hier einzusehen.
• 24.5.2011: Die Webseite von Sony-Ericsson in Kanada wird durch den Hacker Idahc gehackt. Dabei kommen Kundendaten zu Tage (Mail, Name, Passwort-Hash, …), als Beweis werden 2000 Beispiele veröffentlicht. Wer weiß wie viele Daten von bösen Buben schon entwendet wurden. Der Screenshot zeigt: auch hierbei handelt es sich im Prinzip um eine SQL-Injection.
• 27.5.2010: Diesmal wird bloß eine XSS-Verwundbarkeit im Sony Playstation Store veröffentlicht. Schon fast ein kleiner Fisch…
• Am 2.6.2011 wird SonyPictures.com von LulzSec wieder mittels einfacher SQL-Injection geknackt. Am gleichen Tag werden 8 Datenbanken gehackt: Dort finden sie eine lange Liste von sensiblen Daten in verschiedenen Tabellen frei zugänglich: Benutzerdaten, teilweise inkl. Geburtstag und Klartext-Passwort. Details über die acht Hacks.
• Am 3.6.2011 wird dann die Webseite von Sony Europa durch den Hacker Idahc gehackt. Wieder mittels SQL-Injection, diesmal werden wieder Klartext-Passwörter und sonstige persönliche Daten erbeutet…
• Am 5.6.2011 ist dann die russische Webseite von Sony-Pictures dran: SQL-Injection was sonst. Die üblichen Inhalte…
• Ebenso am 5.6.2011 ist die Webseite von Sony-Music Brasilien mit Defacement dran: Die Inhalte wurden durch eine "Owned"-Meldung ersetzt, die über 12 Stunden online war.
• Am 6.6.2011 gelingt es LulzSec das Developer-Network von Sony zu hacken und veröffentlicht als Beweis dort erbeutete Quelltexte.
• Am 6.6.2011 veröffentlicht LulzSec interne Pläne über das Netzwerk bei Sony BMG, deren Infos wertvole Informationen für weitere Angriffe geben. Es ist unklar wo die herkommen. Offenbar sind sie auch dort eingedrungen.
• Am 8.6.2011 wird die Webseite von Sony-Musik-Webseite in Portugal (SonyMusic.pt) wieder von Adahc gehackt. Diesmal gleich auf drei verschiedene Arten: SQL-Injection, XSS (cross-site scripting) und iFrame-Injection. Und was kam zutage? Das übliche…
• Ebenfalls am 8.6.2011 bestätigt Sony-Japan, dass es einem Hacker gelang durch Spoofing Punkte im My-Sony-Club zu erbeuten. Dieser Club scheint also auch nicht sicher zu sein.

Und was lernen wir daraus? Die Webseiten von Sony konnten mit ganz alten und einfachen Tricks penetriert werden. Sony lernte nicht aus den Fehlern, Sony aktualisierte die Software nicht und hätte mal besser etwas mehr Geld für Sicherheitsfachleute investiert…

Was geht mich das als DB-Entwickler an?

Als Resümee aus der obigen Liste fallen mir drei Dinge ins Auge:

1. Wenn man die Liste durchgeht, dann überwiegen die SQL-Injection-Angriffe. Sie sind auch die Angriffe mit den schlimmsten Datenlecks. Ein Defacement ist ja noch harmlos, aber das Auslesen von Kundendaten ist kein Spaß. In einem Artikel verweist Sophos resigniert auf deren Artikel "Securing Websites".

2. Wenn ich mir die exponierten Daten so ansehe, dann kommt die Frage auf: Warum werden Passwörter im Klartext gespeichert? Wenn ein Hash gespeichert wird, ist er dann wenigstens gesalzen?

3. Wegen der vielen heterogenen Systeme wurden die gleichen Fehler immer und immer wieder gemacht. Offenbar hinderte die Organisationsstruktur die Sony-Admins und -Entwickler daran schnell und effizient Erfahrungen auszutauschen. Anders ist es nicht zu erklären, warum auch nach Wochen der ersten SQL-Injection-Angriffe immer noch weitere Webseiten dagegen verwundbar waren.

Diese drei Punkte gehen DB-Entwickler schon etwas an… 😉

PS: Als ich fast fertig war, entdeckte ich eine sehr gute und knappe englische Liste der Hacks… Pech. Die ist auch deswegen interessant, weil darin auch alte Hacks enthalten sind.

Nach der Installation von Microsoft Office 2010 hat sich auf meinem System einiges verändert. Offenbar nutzt Microsoft sein Hausrecht unter Windows, um das System des Kunden ungefragt umzukrempeln. Neben dem Firefox-Plugin und dem Plugin für den Internet Explorer nervt vor allem ein neuer Dienst:

"Microsoft Office Software Protection Platform Service" (OSPPSVC.EXE)

Hintergrundinformationen fand ich bei zdnet.de:

Microsoft hat angekündigt, Office 2010 mit verstärktem Kopierschutz auszustatten. So wolle man Kunden besser vor Raubkopien schützen. Die 2006 in Windows Vista und Server eingeführte Software Protection Platform (SPP) erreicht nun in modifizierter Form das Büropaket. Außerdem wurde die Echtheitsprüfung Office Genuine Advantage ausgeweitet.

Der Dienst dient also zu meinem Schutz. So bin ich als MSDN-Kunde besser vor Raubkopien geschützt? Wie das gehen soll, erschließt sich mir nicht… Immerhin hat die parallele Installation von LibreOffice nicht zerschossen. So weit geht der Schutz also nicht. 😉

Jedenfalls kann man den Dienst dazu bringen, dass er sich selber beendet, wenn er eine Zeit lang nicht mehr benötigt wurde. Die Anleitung steht hier im Detail beschrieben:

That said, while we do not default our service to timing out after inactivity, if this is something your organization values, you have the ability to control this. You may set the following registry key:

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OfficeSoftwareProtectionPlatform

ValueName: InactivityShutdownDelay

ValueType: DWORD

ValueData: The number in seconds, that the Office Software Protection Platform will stay running for, after the most recent activity. The windows default for this is 300 seconds.

After setting this key, simply restart the Office Software Protection Platform Service to use the new settings.

Das scheint unter WindowsXP nicht zu wirken, bei mir unter Windows 7 hingegen schon.

Während einige der zuletzt bekannt gewordenen Web-Angriffe eindeutig mit krimineller Absicht geschahen, geht es bei den Hacks zu Lasten von Sony eindeutig darum Aufmerksamkeit zu erzielen und die Firma zu blamieren. Es ist unmöglich zu ergründen, was genau passierte, aber hier ein persönlicher Versuch der Deutung.

Nachdem der Hersteller Sony seine Kunden sehr stark in der Nutzung der PS/2+3-Geräte einschränkte, griffen einige findige Entwickler zur Selbsthilfe und ermöglichten mit Jailsbreaks die freie Nutzung der Sony-Geräte. Warum machen Kunden das?

• Weil sie der Meinung sind, dass ihnen das Gerät gehört und die Firma nicht vorschreiben darf/soll, was man mit dem Gerät tun darf und was nicht.
• Weil sie die Geräte toll finden und Möglichkeiten erweitern wollen.
• Weil sie zeigen wollen, wie sinnlos die eingebauten Sperren sind.
• Und weil er geht.

Das Hacken solcher Geräte ist zu einem Volkssport geworden, beliebt sind vor allem Jailbreaks der Apple- und Sony-Geräte. Um ein Exempel zu statuieren, klagte Sony einen der Hacker an: GeoHot. Sony wusste, dass er keineswegs der einzige Hacker war. Dementsprechend ging auch das Jailbreaking unvermindert weiter, obwohl GeoHot längst schachmatt gesetzt war. Die Situation eskalierte als Sony sich am Ende als resistent gegen Argumente erwies und bewirkte, dass GeoHot sich zu vielen Einschränkungen verpflichten musste, um einer Verurteilung zu entgehen. Zum Beispiel darf er den Inhalt der Erklärung nicht veröffentlichen. Damit hat Sony einen Fan zu einem Gegner gemacht (Quelle: Golem.de):

Auf seinem privaten Blog schreibt Hotz, dass er ab sofort nie wieder ein Produkt von Sony kaufen wird, und ruft seine Leser auf, sich dem Boykott anzuschließen.

Aus verschmähter Liebe wird oftmals erbitterter Hass: Offenbar hat Sony damit aber nicht nur einen Fan gegen sich aufgebracht, sondern viele aus der Hacker-Szene. Anonymous drückt es gegenüber Sony so aus:

Congratulations! You are now receiving the attention of Anonymous. Your recent legal actions against fellow internet citizens, GeoHot and Graf_Chokolo have been deemed an unforgivable offense against free speech and internet freedom, primary sources of free lulz (and you know how we feel about lulz.)

You have abused the judicial system in an attempt to censor information about how your products work. You have victimized your own customers merely for possessing and sharing information, and continue to target those who seek this information. In doing so you have violated the privacy of thousands of innocent people who only sought the free distribution of information. Your suppression of this information is motivated by corporate greed and the desire for complete control over the actions of individuals who purchase and use your products, at least when those actions threaten to undermine the corrupt stranglehold you seek to maintain over copywrong, oops, "copyright".

Auf die Angriffe von Anonymous folgten echte Hacks und es wurde eine Zeit lang zum Hacker-Sport Sony zu blamieren und damit gegen deren Einstellung zu protestieren. GeoHot hat mit den Hacks offenbar nichts zu tun. Hier seine Worte, die ich glaubwürdig finde:

And to anyone who thinks I was involved in any way with this, I'm not crazy, and would prefer to not have the FBI knocking on my door. Running homebrew and exploring security on your devices is cool, hacking into someone elses server and stealing databases of user info is not cool. You make the hacking community look bad, even if it is aimed at douches like Sony.

One of the things I was contemplating back in early January was a PSN alternative, a place for jailbroken consoles to download homebrew and game without messing up anyone else's experience. Unfortunately events led me off of that path, but gamers, if I had succeeded you would have an alternative place to game online with your PS3 right now. I'm one of the good guys. I used to play games online on PC, I hated cheaters then and I hate them now.

Also, let's not fault the Sony engineers for this, the same way I do not fault the engineers who designed the BMG rootkit. The fault lies with the executives who declared a war on hackers, laughed at the idea of people penetrating the fortress that once was Sony, whined incessantly about piracy, and kept hiring more lawyers when they really needed to hire good security experts. Alienating the hacker community is not a good idea.

Stimmt, das Ergebnis zeigt, dass das Vorgehen von Sony keine gute Idee war. Die Hacker-Community ist aber keine fest umrissene Gruppe, sondern eine heterogene Masse. Daher sind auch die Angriffe auf Sony völlig unterschiedlich. Schließlich nutzen auch Kriminelle die offensichtlichen Sicherheitslücken und erbeuten Millionen von Kundendaten, z.T. mit Kreditkartendaten.

Was kann man daraus lernen?

Als Sony gerichtlich gegen einen der Hacker vorging, löste das mehr als nur Unverständnis bei den anderen Nutzern aus. Hatte Sony noch andere Möglichkeiten als gerichtlich gegen Nutzer vorzugehen?
Dass es auch anders geht, zeigte übrigens Microsoft: Hier wurde erkannt, dass die Kunden so begeistert waren, dass sie den Geräten einen erheblichen Mehrwert geben können. Nachdem Microsoft im Handy-Bereich den Anschluss an
die Konkurrenz verloren hatte, kam mit Windows Phone 7 endlich der erhoffte "Lichtbringer" auf den Markt. Damit wollte Microsoft endlich wieder positive Schlagzeilen und verlorene Marktanteile gut machen. Das Schlimmste passiert: Das System floppt, Hacker knacken sehr schnell Windows Phone 7 und installieren alle möglichen anderen Dinge auf die Handies. Anstelle der üblichen Reaktion der "Großen" kommt von Microsoft jedoch ein interessantes Angebot: Sie erkennen, dass hier sehr kreative und engagierte Köpfe von Windows-7-Phone begeistert waren und laden die Hackergruppe ChevronWP7 zu einer Diskussion mit den Entwicklern ein. Warum soll das neue System nicht offen für die Eigenentwicklungen von Kunden werden? (Quelle: Golem.de)

Ein Treffen mit ChevronWP7 gab es bereits – erklärtes Ziel ist es, Jailbreaking von Smartphones mit Windows Phone 7 unnötig zu machen und Homebrew-Entwicklern einen einfacheren Zugang zur Plattform zu verschaffen.

Mit einem T-Shirt für die Hacker gelang ihnen außerdem ein toller Coup. Die an das Team verschenkten T-Shirts hätte sicher jeder Hacker gerne, sie tragen die Aufschrift: "I was the first to jailbreak Windows Phone 7, and all I got was this lousy t-shirt"

Mit Kinnect ging es Microsoft ganz ähnlich: Die innovative Steuerung für die X-Box wurde bereits nach kurzer Zeit für die breite Nutzung zur Verfügung gestellt, nach dem sich zeigte, dass einige Hacker Interesse an der ausgefallenen Steuerung zeigten. Sony hätte die Jungs vermutlich verklagt. Für Microsoft hat sich das indes gelohnt: Die positive Publicity und die Verkaufszahlen sprechen für sich…

Bei einem der Hacks in den letzten Wochen wurden auch einige Passwörter veröffentlicht. Die nun ohnehin öffentlichen Passwörter habe ich daraufhin mal ausgewertet (ja, nur die Passwörter, Benutzerdaten habe ich nicht gespeichert). Die Basis sind etwa 26.000 Passwörter, etwa 20.000 verschiedene wurden verwendet: Beliebt waren reine Zahlenkolonnen oder Wörter in Kleinbuchstaben.

Beliebt waren außerdem 112233, 987654321, qwerty (war eine amerikanische Seite), upload, 666666, 121212, 123321, 654321 und 555555. Was kann man dazu sagen?

Anhand der verwendeten Passwörter vermute ich, dass die Webseite keine Mindestlänge vorgab. Daher ist die Auswertung besonders interessant:

Offenbar findet eine Konditionierung auf 6 oder 8 Zeichen lange Passwörter statt… 😉

Ich habe den Überblick verloren, daher sammele ich hier einfach mal die bisherigen erfolgreichen und bemerkten Hackerangriffe auf Spieleplattformen und andere Ziele. Ich bitte um Ergänzungen:

• DoS: Die Webseite der spanische Polizei wird am 12.6.2011 durch Anonymous lahm gelegt: Die Aktivisten wollen damit gegen die Festnahme von drei mutmaßlichen Anonymous-Mitglieder protestieren.
  Details bei Heise-Online: "Wie der staatliche Rundfunk RNE am Sonntag berichtete, hatte die Organisation Anonymous die Internetseite der Polizei so massiv mit Anfragen bombardiert, dass der Server zusammenbrach. In einer Mitteilung bekannte sich die Gruppe zu der Attacke. Darin betonte sie, dass ihre Mitglieder keine Terroristen seien, sondern Bürger, die sich für ihre Rechte einsetzten."
• Crack: Epic Games wurde am 10.6.2011 gehackt: E-Mail-Adressen und verschlüsselte Passwörter wurden erbeutet. Die Passwörter wurden zurück gesetzt.
  Details siehe Heise.de
• Hack: Das Sex-Portal Pron.com wurde am 10.6.2011 von Lulzsec gehackt: erbeutet und veröffentlicht wurden die Mailadressen der Benutzer mit deren Klartext-Passwörtern.
  Details siehe lulzsecurity.com
• DoS: Am 10.6.2011 war die Webseite der GVU durch Anonymous lahm gelegt.
  Details siehe netzwelt.de: "Zur Begründung gibt Anonymous an, dass "das Betreiben einer Suchmaschine für Videos nach unserem Ermessen nicht illegal" sei. Die Gruppe stellt die Aktion gleichsam in einen größeren Rahmen: "Wir verurteilen es zutiefst, dass der Staat Teile des Internets abschaltet. Somit wurde die Freiheit des Internets erneut von staatlicher Seite her angegriffen und ein weiterer Schritt in Richtung Zensur beschritten."
• Crack: Am 9.6. wurde erst bekannt, dass ein Hack der Citibank bereits im Mai entdeckt wurde: Aus dem "Citi Account Online" wurden Namen, Kontonummern und Mailadressen von etwa 1 Prozent der rund 21 Millionen Kreditkartenkunden in Nordamerika erbeutet.
  Detail bei Heise-Online.
  Update 15.6.2011: Die Daten waren offenbar durch simple URL-Manipulation abrufbar.
• Crack: Auch erst am 10.6.2011 wurde bekannt, dass ein Hack bei Codemasters am 3.6.2011 entdeckt wurde: daraufhin wurden alle Server offline genommen. Erbeutet wurden Kundendaten: Anschrift, Telefonnummer, Mailadresse, Passwort-Hash und Bestellverlauf. Im Kundenclub CodeM fanden sie auch noch Geburtsdaten, IP-Adressen, Benutzerbiografien und Xbox-Live-Gamertags.
  Details bei Heise-Security.
• DoS: Am 9.6.2011 wurde die Webseite der türkischen Telekommunikationsbehörde TIB (Zuständig für die geplante Internetregulierung) durch Anonymous mit der Aktion "Turkey" durch Anonymous lahm gelegt, um gegen die geplante Internetzensur zu protestieren.
  Details siehe Golem.de
• Hack: Nintendo wurde am 3.6.2011 von Lulzsec gehackt: hier wurden nur freundliche Grüße hinterlassen.
  Details bei areagames.de
• Hack: Die Sicherheits-Organisation InfraGard (Zusammenarbeit des FBI mit Privatunternehmen) wurde am 3.6.2011 von Lulzsec gehackt: sie veröffentlichten die persönlichen Daten von 180 InfraGard-Mitarbeitern sowie einige Kennwörter im Klartext und 700 MByte E-Mails.
  Details bei Heise-Security: "Anlass für den Angriff gab angeblich der Plan der USA, Hackerangriffe künftig als kriegerischen Akt zu behandeln. In einem Bekennerschreiben behauptet LulzSec, einige der Benutzer hätten ihre InfraGard-Kennwörter auch auf anderen Servern eingesetzt. Zudem steht im Bekennerschreiben, man habe Informationen über einen von der US-Regierung gesponserten Hackerangriff gegen Libyen erbeutet."
• und Sony … tja, was soll ich da schreiben. Auch hier habe ich den Überblick längst verloren. Die Ergebnisse meiner Recherchen veröffentliche ich morgen und übermorgen…

Als ich die Liste aufstellte, bemerkte ich, dass eine gewisse Differenzierung nötig ist. Ich sehe da auch wenigstens drei verschiedene Arten der Angriffe, die ich oben jeweils den Einträgen voran stellte:

1. Cracks: ausgeführte Angriffe von böswillige Cracker, die die Daten verkaufen oder benutzen wollen, um sich zu bereichern. Ich gehe davon aus, dass Cracker mit krimineller Energie sich in der Regel nicht erwischen lassen oder gar Notizen hinterlassen, daher ist mit einer hohen Dunkelziffer zu rechnen.
2. Hacks: Hacker, die aus verschiedenen Gründen in Systeme eindringen und die gefundenen Daten dann teilweise veröffentlichen: meist um die Firmen für ein aus deren Sicht falsches Verhalten abzustrafen oder einfach nur weil es geht. oftmals erst nachdem Hinweise auf die Sicherheitslücken von den Firmen ignoriert wurden. Dazu gehören auch die Angriffe auf Sony. Wer weiß wie viele unentdeckte Cracker vorher die Lücken schon nutzten…/li>
3. DoS: Denial-of-Service-Attacken, wie sie bspw. teilweise von Anonymous genutzt werden, um auf Ungerechtigkeiten aufmerksam zu machen, legen die Webseiten einfach nur durch unerhört viele Aufrufe lahm. Die Seiten sind überlastet und damit vorübergehend nicht erreichbar. Die Presse schreibt dann oft, dass die "Server unter der last zusammen brachen". Damit ist nicht gemeint, dass die Hardware danach kaputt war, sondern einfach nur, dass sie in der Zeit der Attacken nicht mehr rechtzeitig auf die Anfragen antworten konnten.

Die einzelnen Punkte wäre fast jeweils mal ein eigenes Posting wert. Mal schauen, ob ich irgendwann mal dazu komme…

Nach der Installation des "SQL Servers 2008 R2" auf meinem rechner daheim, musste ich mit Enttäuschung feststellen, dass die guten alten Tastaturkürzel nicht mehr funktionierten. Z.B. Strg+n zum Öffnen eines neuen Abfragefesters. Ich musste dauernd zur Maus greifen – wie eklig.

Um die alten Tastenkürzel wieder zu bekommen, muss man das Tastaturlayout umschalten: Extras -> Anpassen -> Reiter "Befehle" -> "Tastatur" (links unten) -> Tastaturschema "SQL Server 2000". Und schon ist es wie damals…

Hier meine Favoriten (hier die vollständige Liste):

• Strg+e – Ausführen (wie F5)
• Strg+t – Ausgabe der Abfrage als Text anzeigen
• Strg+d – Ausgabe der Abfrage als Grid anzeigen
• Strg+n – Neues Abfragefenster öffnen
• Strg+r – Ausgabeteil in Abfragefester aus-/einblenden
• F4 – Eigenschaften des aktuellen Objektes einblenden (besonders bei der Analyse von Zugriffsplänen spannend)
• F8 – Objekt-Explorer ein-/ausblenden

Wer gerne mal über Lehrer lästert, der wird das hier unterhaltsam finden: Die Ruhe vor dem Tsunami…

Heute fiel ich auf eine echt alte Geschichte rein, die mir Dank der neuen Systemkonfiguration passierte. An meinen frisch Daheim installierten "SQL Server 2008 R2" wollte ich die guten alten Testdatenbanken (z.B. Pubs, Northwind und AdventureWorks) anhängen. Ich setze erstmalig auch daheim einen 64-Bit-SQL-Server auf meinem 64-Bit-Windows-7 ein. Aber das Anhängen wurde mit einem eigentlich eindeutigen Hinweis verweigert:

Meldung 5120, Ebene 16, Status 101, Zeile 1
Die physische Datei 'E:\SQL-Scripts\Data\NORTHWND.MDF' kann nicht geöffnet werden. Betriebssystemfehler 5: '5(Zugriff verweigert)'.

Ich versuchte es zunächst über die grafische Oberfläche und dann mittels SQL: Beides wurde abgelehnt.

Die naheliegende Lösung erwies sich als unzutreffend: Der SQL-Server-Prozess hatte ausreichende Rechte auf die Dateien. Sie waren auch nicht im Zugriff durch andere Prozesse. Sogar REN, MOVE und COPY mittels xp_cmdshell war möglich.

Wie sieht es mit meinen Rechten aus? Ich bin Mitglied der lokalen Gruppe der Administratoren, die Vollzugriff auf die Dateien hat. Normale Benutzer hingegen hätten tatsächlich nicht genug Rechte gehabt. Macht es schon Klick? Ja, richtig: Schuld hat die Benutzerkontensteuerung (User Account Control, UAC).

UAC

Wenn man sich an einem Rechner mit dem vordefinierten Benutzer "Administrator" anmeldet, dann ist die UAC generell ausgeschaltet, damit man mit solchen Problemen gar nicht erst belästigt wird.

Normale Benutzer, die dann durch Mitgliedschaft der Gruppe "Administratoren" zu Admins gemacht werden, haben damit aber zu kämpfen. Obwohl man Admin ist werden erst mal alle Programme nur mit einem normalen Benutzertoken gestartet, d.h. der Prozess hat nur die Rechte von normalen Benutzern.
Bei Admin-Werkzeugen ist zum Beispiel in dem Manifest festgelegt, dass Admin-Rechte nötig sind. Man muss daher den Start bestätigen, dass man hier jetzt mit Admin-Rechten unterwegs ist.

Das war beim "SQL Server Management Studio 2008 R2" (SSMS) nicht der Fall. Beim Start kam keine UAC-Frage hoch. Daher war der Prozess nur mit normalen Benutzerrechten unterwegs (obwohl ich Admin bin). Das konnte ich auch leicht dadurch überprüfen, dass ich im SSMS versuchte den Dienst zu stoppen: erst jetzt kam die UAC-Meldung, die Admin-Rechte erforderte.

Was hat das alles mit dem Anhängen zu tun?

Der von Betriebssystem abgelehnte FileOpen wird vom SQL-Server-Prozess durchgeführt und nicht vom SSMS. Daher sollten die Benutzerrechte des Tools keine Rolle spielen, sondern nur die des SQL-Server-Prozesses. In bestimmten Situationen führt aber der SQL-Server eine Impersonifizierung mit dem Aufrufer beim Anhängen von Datenbanken aus: wenn man Windows-Authentifizierung verwendet. Früher auch noch, wenn man sich mit Named-Pipes verband und SQL-Authentifizierung verwendete. Seitdem Named-Pipes auf Shared-Memory umgeleitet wird, scheint das nicht mehr so zu sein (ich glaube seit SQL Server 2005).

Warum kam der UAC-Dialog nicht beim Assistenten zum Datenbank anhängen?

Wenn man sich bspw. mit dem SA verbindet, dann führt der SQL-Server keine Impersonifizierung durch (wie denn auch: er weiß ja nicht, welcher Windows-Benutzer dahinter steckt). Das Anhängen wird daher mit den Rechten des Benutzers durchgeführt in dessen Kontext der SQL-Server-Prozess läuft.

Abhilfemöglichkeiten

• Das "SQL Server Management Studio" immer mit Adminrechten starten. Dazu kann man sich eine Verknüpfung anlegen und bei der im Reiter Kompatibilität "Programm als Administrator ausführen" festlegen.
• Für solche Dinge den "SA" verwenden.
• Man sorgt dafür, dass man persönlich die nötigen Dateirechte hat, nicht nur über die Gruppe der Administratoren geerbt.

Nicht reproduzierbar?

Wer das nicht reproduzieren kann, der sollte bitte die Dateirechte kontrollieren. Wenn eine Datenbank einmal angehängt war, dann werden die Rechte beim Trennen der Datenbank umgeschossen. Hier bekommt der "Trenner" Vollzugriff und dann klappt das nächste Mal freilich das Anhängen problemlos… 😉

Neulich bekam ich diesen Fehler bei einem XCOPY:

C:\>xcopy E:\ToolPool g:\Backup\ToolPool /E /C /I /Q /H /R /K /Y /D
Nicht genügend Arbeitsspeicher
0 Datei(en) kopiert

Eine schnelle Überprüfung ergab, dass genug Hauptspeicher frei war, der XCopy forderte auch nur wenig an. In der Annahme die Fehlermeldung sei ungünstig übersetzt, kontrollierte ich den Plattenplatz im Ziel. Auch kein Problem.

Des Rätsels Lösung ist ebenso abwegig wie traurig: Obwohl NTFS bis zu 1024 Zeichen lange Pfade zulässt, kann XCOPY nur Dateien kopieren deren Pfadlänge 256 Zeichen nicht überschreitet. Kaum hatte ich die dort gespeicherten HTML-Dateien mit langen Namen gekürzt, klappte alles wunderbar…

Ist das ein Bug oder ein Feature? Wenn Microsoft das irgendwo dokumentiert hat, dann ist es wohl ein Feature. In der Beschreibung zu XCOPY fand ich aber keinen Hinweis darauf. Bei RoboCopy wird immerhin erwähnt, dass Pfade länger als 256 unterstützt werden.

Das scheint also ein Bug zu sein. Insbesondere, weil trotzt Angabe von Parameter "/C" sofort abgebrochen wird.

Es musste ja einmal so weit kommen… Aber zum Glück habe ich nur eine speziell für Neckermann angelegte Mailadresse angegeben:

Sehr geehrter Gewinnspielteilnehmer,

wir moechten Sie vorsorglich darauf hinweisen, dass neckermann.de
am 26. Mai 2011 einen Hacker-Angriff bei Gewinnspielen
festgestellt hat.

Der Angriff ereignete sich in einem Neben-System. Der Online-Shop
von neckermann.de war nicht betroffen. Von dem kriminellen
Angriff betroffen waren Name, Vorname und die E-Mail Adresse.
Weitere personenbezogene Daten der Gewinnspielteilnehmer wurden
nicht entwendet. Dies hat die umgehend eingeleitete
Sicherheits-Analyse des Angriffs eindeutig ergeben.

Nach Bekanntwerden der Straftat sowie nach umgehenden
Ermittlungen des Tathergangs haben wir die Sicherheit des
angegriffenen Servers wieder hergestellt und zusaetzlich
verstaerkt.

Es kann nicht ausgeschlossen werden, dass auch Sie in Folge des
Hacker-Angriffs unerwuenschte Werbe-E-Mails ("Spam") erhalten.
Wir raten Ihnen, keine E-Mail zu oeffnen, deren Absender Ihnen
nicht bekannt ist.

Bitte beachten Sie:
neckermann.de wird Sie wie bisher auch niemals per E-Mail
auffordern, Ihre Kundendaten zu veraendern oder per E-Mail zu
versenden.

Wir bedauern sehr, falls Sie in Folge dieses Hacker-Angriffs
Unannehmlichkeiten haben, und werden gemeinsam mit den Behoerden
an der Aufklaerung des Angriffs arbeiten. Dazu haben wir
Strafanzeige gegen Unbekannt bei der Staatsanwaltschaft
Frankfurt am Main gestellt.

Hacker-Angriffe kommen im Internetzeitalter weltweit zunehmend
haeufiger vor. Sie richten sich gegen zahlreiche Unternehmen
unterschiedlichster Branchen. Dabei handelt es sich um kriminelle
Handlungen, die strafrechtlich verfolgt werden, unabhaengig
davon, ob umfassende Daten oder – wie in diesem Fall – Vorname,
Name und E-Mail Adresse entwendet wurden.

Nach unserer Auffassung handelt es sich nicht um einen
behoerdlich meldepflichtigen Vorgang, dies haben auch externe
IT-Rechts-Experten bestaetigt. Trotzdem haben wir die zustaendige
Datenschutzbehoerde ueber den Hacker-Angriff informiert.

Unter der kostenlosen Hotline 0800 / 664 69 87 stehen Ihnen bei
Fragen unsere Kundenberater gerne zur Verfuegung.

Mit freundlichen Gruessen

Axxxxxx Bxxxxxx
Ihre Online-Beraterin

Verantwortlich fuer dieses Informations-Mailing ist die
neckermann.de GmbH.

Den Namen habe ich ausgeXt…

Auch Heise.de berichtet mittlerweile darüber:

Berichten zufolge wurden bereits Spammails an die Gewinnspielteilnehmer verschickt. Neckermann.de rät seinen Kunden, keine Mails von unbekannten Absendern zu öffnen. Sobald ein Angreifer jedoch Mails mit gefälschtem Neckermann-Absender verschickt, ist dieser Hinweis nutzlos. Auf diese Weise könnte man sich etwa durch ein als Rechnung getarntes PDF-Dokument mit Schadsoftware infizieren oder Opfer von Phishing werden.

Ich persönlich habe noch keine SPAM-Mail über die bei Neckermann angegebene Mailadresse bekommen. Mal abwarten… 😉