Glorf IT

Offenbar ist Dr. Rod Thompson kein unbeschriebenes Blatt. Aber was hier in dieser Scam erreicht werden soll, ist mir völlig schleierhaft. Die Mail ist so im Original, die vermurksten Umlaute bitte selber rein denken:

Betreff: Hallo Freund mir bitte helfen
Datum: Mon, 12 Jul 2010 21:24:42 +0200
Von: Dr.Rod Thompson (rodthompson202@gmail.com)
Antwort an: rodthompson88@aol.com
An: undisclosed-recipients:;

Hallo Freund.

Wie Sie dies lesen, ich Sie, mir zu helfen mцchten, Mein Name ist Dr. Rod Thompson, ein Kaufmann.

Ich war sehr krank, die alle Formen der medizinischen Behandlung geschдndet hat, und jetzt habe ich nur ьber ein paar Monate zu leben, nach medizinischen Sachverstдndigen. Ich bin sehr reich, ich habe nie groЯzьgig war, habe ich nur konzentriert auf mein Geschдft als das war die einzige Sache, die ich betreut. Aber jetzt habe ich bedauere dies alles, wie ich jetzt weiЯ, dass es mehr im Leben als nur zu wollen haben oder machen das ganze Geld der Welt.

Ich glaube, wenn Gott mir eine zweite Chance, um diese Welt zu kommen habe ich mein Leben leben, wдre eine andere Art und Weise aus, wie ich es gelebt haben. Nun, Gott hat mich gerufen, ich habe gewollt, und da die meisten meiner Eigentum und Vermцgen zu meiner nдheren und weiteren Familienangehцrigen sowie ein paar enge Freunde.

Ich will Gott, sei mir gnдdig und nimm meine Seele, so habe ich beschlossen, Almosen an karitative Organisationen zu geben, wie ich diese wollen eines der letzten guten Taten ich auf der Erde sein.

Nun, da meine Gesundheit verschlechtert hat, so schlecht, ich kann das nicht mehr selber. Einmal fragte ich die Mitglieder meiner Familie zu einem meiner Konten und verteilen das Geld, das ich dort in der Charity-Organisation in Bulgarien und Pakistan nahe, sie lehnte ab und behielt das Geld fьr sich. Daher glaube ich nicht vertrauen ihnen mehr, da sie nicht zu sein mit dem, was ich fьr sie links zufrieden scheinen.

Der letzte von meinem Geld, das weiЯ niemand von der riesigen Kaution von 4,5 Millionen Euros. (Vier Millionen fьnf hundert tausend Euros ), dass ich mit einem Finance Bank in den Niederlanden haben. Ich mцchte, dass Sie mir helfen, dieses Geld zu sammeln und geben Sie es an karitative Organisationen die ich oben erwдhnt habe. Ich habe Flдchenstilllegung von 20% fьr Sie eingerichtet und fьr Ihre Zeit.
Gott mit dir, wie

Mit freundlichen GrьЯen,
Dr.Rod Thompson ( rodthompson88@aol.com )

Naja, so eine Flächenstilllegung von 20% ist natürlich keine alltägliche Sache… 😉

Ich fand eine weitere Security-Zeitschrift zum freien Download: "Information Security Magazine". In der Liste findet man die älteren Komplettausgaben als PDF. Auch hier sind die Artikel meist Level 200.

Der Artikel "Database activity monitoring keeps watch over your data." in der Mai-Ausgabe 2010 (Seite 19) könnte beispielsweise für Einsteiger interessant sein, bleibt aber doch recht Oberflächlich. So wird bspw. geraten die abgesetzten Statements zu überprüfen, um seltsame Dinge zu erkennen, wie "WHERE 1=1", um SQL-Injection zu erkennen. Konkrete Umsetzungsvorschläge bleibt der Artikel aber schuldig.

Die Reihe "Showplan Operator of the Week" von Fabiano Amorim ist inzwischen auf beachtliche acht Artikel angewachsen. Jede Folge ist gut dargestellt und mit einem oder mehreren schönen Beispielen versehen. Ich habe viele neue Infos gefunden.

• Assert
• Concatenation
• Compute Scalar
• BookMark/Key Lookup
• Spools, Eager Spool
• Lazy Spool
• Index Spool
• Row Count Spool

Ich bin mal gespannt, wie viele Folgen es dann insgesamt werden.

Manche Leute sind schon richtige Hardcore-SQL-Server-Fans:

OK, das ist ein Fake. Wie es geht: ImageChef.com

Es ist schon interessant, wie Firmen damit umgehen, wenn jemand in deren Software eine Sicherheitslücke entdeckt und Ihnen das sagt. Böse Menschen würden das für sich behalten und mit dem Exploit viel Geld verdienen. Andere sind ehrlich und geben die Info zur Behebung an die Firmen und/oder an die Betroffenen weiter, damit man sich darauf einstellen kann. Bei TecChannel wird beschrieben, dass eine Firma einen Sicherheitsexperten bedrohte, der einen Vortrag über seine entdeckten Schwachstellen halten wollte: er solle verhaftet werden.

Statt die Probleme zu beheben, scheinen sich die Hersteller nun auf Drohungen zu konzentrieren. Die Geldautomaten-Macher wollen Chisea im Falle des Nicht-Schweigens verhaften lassen. Chisea hatte aber bereits mehrere Auftritte bei anderen Konferenzen mit einer ganz ähnlichen Rede.

In der Vergangenheit war es meist so, dass die Firmen die Info bekamen und der Finder sie erst dann veröffentlichte, wenn die Firma einen Patch dazu auslieferte. Wie man hört, soll das aber durchaus mehrere Monate gedauert haben. Die Finder bekamen nichts, nur manchmal eine Nennung in dem Security Bulletin. Das Problem dabei: Bösen Jungs wussten möglicherweise längst um die Schwachstellen, die Anwender aber nicht und konnten sich nicht schützen. Deswegen konnten Hacker auch so bequem bei Google eindringen, obwohl MS die Schwachstelle schon kannte (aber nicht darüber informiert hatte und auch noch keinen Fix erstellt hatte). Das nennt man "non disclosure", weil der Finder nur den Hersteller informiert und ihm die vollständige Veröffentlichung überlässt. Hier haben es die Hersteller wohl etwas zu bunt getrieben, denn auf diese Bedingungen wollen sich viele nicht mehr einlassen.

Wird der Hersteller vorab informiert und erst nach einer gewissen Reaktionszeit die Benutzer, dann nennt man das übrigens "Responsible Disclosure" (verantwortungsbewusstes Aufdecken).

So machte es auch der seit kurzem bei Microsoft in Ungnade gefallene Tavis Ormandy, der dachte, er habe selber einen Workaround gefunden und veröffentlichte die Schwachstelle samt Behebung nur ein Wenige Tage nach der Info an MS. Aber die Schwachstelle war noch schlimmer als angenommen und MS war unter Druck. Die harsche Kritik an dem Entwickler ist wegen der kurzen Reaktionszeit einerseits verständlich, aber andererseits auch überzogen. Da MS in anderen Fällen erst nach vielen Monaten über die von ihm gemeldeten Probleme berichtete, kann ich verstehen, dass er seine Lösung schnell unter das Volk bringen wollte.

Als Reaktion auf einen gemeldeten Security-Bug den MS angeblich nicht oder nur sehr spät beheben wollte hat sich eine Gruppe gebildet, die sich der "full disclosure" (volle Offenlegung) verschrieben hat: Alle Infos werden sofort veröffentlicht, damit sich jeder schützen kann. Das ist dann sinnvoll, wenn man davon ausgeht, dass die Bösen den Angriff schon kennen. Falls nicht, dann lernen die sicher auch gerne dazu. Sie nennen sich "Microsoft-Spurned Researcher Collective" (MSRC). Kurz nach deren Veröffentlichung des Problems gab es schon bald Exploits und nun wird es Microsoft wohl doch schnell fixen müssen… Ich muss sagen, dass ich die Leute von der MSRC verstehen kann, denn auch meine gemeldeten Verwundbarkeiten stuft Microsoft bis heute nicht als Security-Probleme, sondern als Feature-Request ein und wird sie erst mit dem nächsten Visual Studio (?2012) beheben.

Wie ich neulich bei Heise las, gibt es neuerdings auch Firmen, die Sicherheitslücken gar nicht an die Hersteller weiter leiten, sondern das gewonnene Know-How als Marktvorteil nutzen: Nur die eigenen Kunden werden gewarnt und geschützt, der Rest der Welt darf weiter von Crackern angegriffen werden. Das ist auch eine direkte Reaktion auf die zurückhaltende Informationspolitik der großen Firmen: Man macht ein Geschäftsmodell daraus. 😉

Bei computerworld.ch gibt es ein paar wenigen Informationsfetzen als Vorschau auf die BI Survey von BARC:

In den anderen Wettkampfdisziplinen ergibt sich mehr oder minder das gleiche Bild: MicroStrategy führt, aber SAP ist dem Best-of-Breed-Anbieter dicht auf den Fersen. Der Rest der Konkurrent folgt in gebührendem Abstand. So erreicht MicroStrategy in "Scalability", der fünf KPIs umfasst, laut BARC einen Wert von 1,41, SAP BO kommt auf eine Wertung von 1,33 und SAP BEx auf 1,29 .

Mich interessiert vor allem wo Oracle und Microsoft stehen. Aber SAP hat durch die Zukäufe ja wohl beide schon überholt…

Zur Zeit lese ich das Buch "SQL Server MVP Deep Dives. Es ähnelt von der Zusammenstellung eher einer Konferenz: 59 Aufsätze von 53 verschiedenen SQL Server MVPs zu Themen mit denen sie sich gut auskennen. Einen roten Faden sollte man nicht erwarten, aber viele spannende Artikel. Mehr demnächst im SQL-PASS-Newsletter.

Der erste Artikel "Louis and Paul's 10 key relational database design ideas" (Paul Nielsen und Louis Davidson) ist als PDF verfügbar.

Ebenso der fünfte Artikel "Gaps and islands" (Itzik Ben-Gan).

Mein Kollege Vladimir machte mich darauf aufmerksam, dass Microsoft die aktuelle Spezifikation von TDS Anfang letzten Monats online stellte. Das ist dann die Version 7.0. Wer die immer schon mal lesen wollte, der findet sie hier…

Es ist krass und in meinen Augen unentschuldbar das Privatleben eines Menschen derart zu kompromittieren. Als ich bei Golem las, dass die persönlichen Daten eines Supportmitarbeiters von Blizzard und seiner Verwandten im Internet veröffentlicht wurden, war ich echt geschockt. Das ist echtes Cyber-Mobbing. Ob es reicht, dass er seinen Twitter-Account gelöscht und sein Telefon gesperrt hat?

Völlig inakzeptabel ist es seine Kunden dazu zu zwingen sich öffentlich als deren Kunden zu outen und deren spielerischen Vorlieben preis zugeben. Glücklicherweise kann man hier ja mit dem Geld abstimmen. Ich hoffe, dass die Spieler andere Alternativen nutzen, um sich eine neue Rollenspielwelt aufzubauen. Besonders nett finde ich den Spiegel-Artikel zu dem Thema.

Heute machte ich mich auf die Suche nach Zeitschriften zum Thema "IT-Security". Ich möchte hier gerne up to date bleiben und da erscheint mir eine auf dem Weg zur Arbeit gelesene Zeitschrift ein bequemer Weg. Dabei traf ich auf die Zeitschrift "Hackin9". Sie ist offenbar eher Level 200, was mir bei manchen Gebieten durchaus entgegen kommt. Ich las die Ausgabe 6, die mich noch nicht wirklich beeindruckt hat. Ich schätze der Artikel "Der Penetrationstest – Vorgehen und Tools eines Testers" könnte als Einstieg in das Thema recht interessant sein. Für versierte Fachleute ist das Magazin eher nicht geeignet.

Der Grund für das Posting ist, dass die Zeitschrift offenbar generell als kostenloser Download verfügbar ist (offenbar gibt es keine Print-Ausgabe). Wer in das Thema einsteigen will, der findet hier möglicherweise die ein oder andere Perle.

Hinweis: Wenn man über "Download" geht, dann muss man für den Download alter Ausgaben eine Mailadresse angeben. Über den Menüpunkt "Magazin" nicht.

Und schon wieder ist ein Monat vorbei, der nächste SQL-PASS-Vortrag in Franken naht. Letzten Monat ging es um Sharepoint 2010, diesmal um ETL oder auch nicht: "ETL oder nicht ETL, das ist hier die Frage!".

Microsoft bietet mit seiner SQL Server 2008 Plattform alle relevanten Werkzeuge um komplette Prozesse der Informationsintegration bis hin zur Erstellung von DataWarehouses und Datenwürfel abzubilden. Als Benutzerwerkzeuge gewinnen Excel und die Reports aus den MS Reporting Services immer mehr an Bedeutung. Braucht es dazu noch zusätzlich ein ETL – Werkzeug?

Herr Kaiser stellt in seinem Vortrag die Vorteile aber auch die Grenzen von zusätzlichen SQL Server basierenden ETL-Werkzeugen am Beispiel des iQ4bis DataServers vor.

Referent
Michael Kaiser ist seit 10 Jahren CRM – und BI – Berater und kennt verschiedenste BI Werkzeuge, wie z.B. Cognos, Cubeware, Talend Open Source, Oracle DataWarehouseBuilder und den iQ4bis DataServer. Er entwickelt BI-Lösungen auf Vorsystemen, wie Navision, Axapta, Infor, JDE, IFS und SAP. Als Diplom-Biologe, Informatik-Betriebswirt, NLP- und Judo-Trainer ist er darauf spezialisiert, über den (technischen) Tellerrand zu sehen und Technik und Anwender zusammenzubringen.

Infos über Michael Kaiser findet man auf der Homepage seiner Firma und bei Xing. Michael ist bereits öfters mal als Zuhörer da gewesen, vielleicht kennen ihn einige schon.

Gastgeber ist wieder die New Elements GmbH (Äußere-Bayreuther-Straße. 55, 90409 Nürnberg, mit der U2 ist der Ausstieg "Schoppershof").

Der Termin ist am Dienstag, den 13.07.2010, ab 18:30 Uhr.

Der Eintritt ist natürlich frei, auch Nicht-Mitglieder sind herzlich eingeladen. Bitte dennoch bei Michael Deinhard unter M.Deinhard(ät)newelements.de oder Klaus Oberdalhoff unter kob(ät)sqlpass.de anmelden, damit die Anzahl der benötigten Stühle abgeschätzt werden kann. Zwei mal musste ein Vortrag bereits wegen großen Ansturms ins benachbarte Hotel umziehen.

Mehr Infos hier.

Mein Kollege Vladimir machte mich auf einen Artikel aufmerksam in dem die Rechte beschrieben werden, die die SQL-Server-Dienste benötigen. Wenn man sich die sehr umfangreiche Liste durchliest, dann wird klar, warum Microsoft empfiehlt diese Rechte nicht manuell zu setzen, sondern durch den "SQL Server Configuration Manager":

Always use SQL Server tools such as SQL Server Configuration Manager to change the account used by the SQL Server or SQL Server Agent services, or to change the password for the account. In addition to changing the account name, SQL Server Configuration Manager performs additional configuration such as setting permissions in the Windows Registry so that the new account can read the SQL Server settings. Other tools such as the Windows Services Control Manager can change the account name but do not change associated settings. If the service cannot access the SQL Server portion of the registry, the service may not start properly.

Die vollständige Liste der von SQL-Server-Diensten benötigten Rechte stehen im Artikel "Setting Up Windows Service Accounts".