Glorf IT

Erstmals seit Juli 2003 gibt es wieder einen Security-Hotfix für den SQL Server. Der Fehler wird aber nicht als "critical", sondern bloß als "important" eingestuft. Wenn ich es richtig sehe, dann ist jede Version des SQL-Servers betroffen, die noch unterstützt wird! Die Liste seht im Dokument "Microsoft Security Bulletin Advance Notification for July 2008" im Abschnitt "Affected Software". Das Problem besteht darin, dass jemand sich höhere Rechte erschleichen kann, als er sollte ("Elevation of Privilege").

Die Detailinformationen wird Microsoft leider erst am 8.7.2008 veröffentlichen. Bei ENTmag.com fand ich dennoch schon einige Details:

The first important fix addresses an elevation-of-privilege problem in SQL Server. Hackers can gain back-door access into the database and change fields to configure user access parameters, giving themselves superuser or unlimited access to run amok on a network.

In the last week of June, Redmond issued a security advisory pertaining to certain components of SQL Server, citing a recent "escalation in a class of attacks targeting Web sites" and using the database application as an incursion vector. […]

The SQL patch affects Windows 2000 Service Pack 4 and Windows Server 2003 (SP1 and SP2), including 64-bit editions. Windows Internal Database (WYukon) is also affected as the patch relates to all versions of Windows Server 2008 except for Itanium-processor-based systems.

Das klingt so richtig garstig. Schade, dass damit die Serie der Jahre ohne Security-Hotfix für SQL-Server gebrochen ist. Echt sch…

Ich finde es gut, wenn unsere Wissenschaftler kreativ sind. Und manche Idee, die auf den ersten Blick idiotisch klingt, kann durchaus gut Ergebnisse bringen. Mal im ernst: Wer hätte gedacht, dass man mit Propellern aus Wind Energie erzeugen kann. Warum sollten das nicht auch mit Gummischläuchen unter Wasser funktionieren?

Wer mehr darüber lesen will, kann den Artikel "Giant rubber snake could be the future of wave power" lesen. Die Versprechungen klingen allerdings ziemlich phantastisch:

A full-scale device should produce 1 megawatt – enough to power around 200 houses.

By comparison, each jointed steel cylinder of the Pelamis wave power system which is being trialled in Portugal generates just 0.75 MW.

Aber wer weiß… immerhin wird dazu wohl kein CO2 in die Umwelt gepustet.

Wie derzeit überall zu lesen ist, haben diesmal die Datenforscher bei TNS Infratest/Emnid die persönlichen Daten von Testkäufern ins Internet gestellt. Bei Heise.de steht es so:

Neben Namen und Anschriften sind in den Datensätzen Geburtsdatum, E-Mailadressen und Telefonnummern vermerkt. Zahlreiche Datensätze sind zudem mit sensiblen Informationen gespickt: Monatseinkommen, Ausbildung, Kontoverbindungen, Krankenversicherungen, ob und welche Kreditkarten benutzt werden, welche elektronischen Geräte im Haushalt verwendet werden, Alter der Kinder und viele weitere private Daten.

Die Kollegen vom CCC untersuchten das und konnten mit einen recht simpel klingenden Trick über 41.000 Datensätze auslesen. Dazu musste man nur eine an die Adresse angehängte ID ändern (Quelle CCC), im Beispiel "XXXX":
https://
www.report-global.com/mimitacon/(kkpadc20lxlev5qcbvgvq3u4)/pages/business/masterdata.aspx?fromWhere=base&id=11XXXX
Ich bin mal gespannt, ob der Verursacher hier anständig reagiert und neben der Beseitigung der kritischen Lücke sich auch bei den Betroffenen entschuldigt. So richtig einsichtig zeigen sich die Verantwortlichen aber nicht. Sie spielen es herunter, weil nur Umfrageteilnehmer (bzw. Leute die ein Passwort eines Teilnehmers erraten oder ergaunern) die Daten der Anderen sehen konnten. Ich hoffe die Manager müssen nicht am eigenen Account erleben was es für eine "riesige" Hürde ist, Passwörter zu erraten. Wer es auch nicht glaubt, der kann ja mal eine Liste auf die beliebtesten Passwörter in Deutschland werfen… "123456" ist die Nummer Eins. Noch Fragen?

Update 5.7.2008: Auf deren Webseite steht dazu, dass sie die Webseite nach 5 Minuten vom Netz genommen haben. Wobei sie vermutlich meinen nachdem sie informiert wurden. Wie lange die Webseite derartig offen war, schreiben sie allerdings nicht… 😉

Wenn ich so bei heise online lese, wie Oracle seinen ehemaligen Kunden das Leben schwer macht, dann kann ich echt jeden verstehen, der gar nicht erst in diese Software investiert:

In dem Urteil heißt es laut Oracle auch, der Vertrieb von "gebrauchten" Einzelplatzlizenzen und der Vertrieb von "gebrauchten" Lizenzen sei auch bei Übergabe eines Originaldatenträgers nicht zulässig. Auch bei Einzelplatzlizenzen müsse eine weitere Vervielfältigung der Software auf die Festplatte des Rechners vorgenommen werden, wozu eine Übertragung des Nutzungsrechts erforderlich sei, die gemäß Paragraph 34 UrhG nur mit Genehmigung von Oracle erfolgen könne.

Konkret bedeutet das: Wer Oracle-Lizenzen erwirbt, der kann diese Lizenzen nicht wieder verkaufen, selbst wenn sich das Unternehmen "nur" verkleinert, die Geschäfte schlecht laufen oder man dringend Knete braucht. Das Geld ist weg, einfach weg. Das nenne ich eine schlechte Investition.

Oder will es Oracle seinen Kunden damit erschweren zu den agilen Konkurrenten Microsoft oder IBM zu wechseln? Oder neuerdings sogar nach Sun….

Wie man auf handwerk-magazin.de nachlesen kann, gab es von 2006 auf 2007 20% weniger Existenzgründer. Das ist besonders unangenehm, weil es bereits von 2005 auf 2006 einen Rückgang bei den Existenzgründungen um 15% gab. Dabei wären gerade jetzt besonders viele Neugründungen nötig, um die vielen Insolvenzen aufzufangen. Die wirtschaftliche Lage scheint doch noch nicht so rosig zu sein, wie die Presse immer wieder behauptet… 🙁

Wenn man keine Einblicke in die Arbeit eines Anderen hat, dann macht man sich vermutlich falsche Vorstellungen. Als ich neulich in die Teeküche kam, war eine unserer Reinigungskräfte gerade dabei Wasser in ihren Putzeimer zu füllen. Dazu hatte sie die Tür der Spüle geöffnet, den Mülleimer herausgenommen, die Tüte darin zur Seite gestellt und ließ das warme Wasser in den Mülleimer laufen.

Ich sagte dazu zwar nichts, sondern grüßte nur freundlich, muss aber wohl doch ein etwas verblüfftes Gesicht gemacht haben – Pokerface war noch nie meine Stärke. Denn die Gute füllte nur den einen Mülleimer voll in ihren recht großen Putzeimer. Danach baute sie den Mülleimer wieder zusammen und benutzte einen Wassererhitzer als Transportbehälter.

Und? Ist schon wer auf die Lösung gekommen? Ich dachte ja, dass läge daran, dass sie den sehr großen und dann schweren Eimer nicht aus der Spüle heben wollte. Aber vermutlich hat meine Kollegin Christiane damit recht, dass der Eimer so hoch ist, dass er nicht unter den Wasserhahn passt… Dann muss man eben kreativ sein, wenn man warmes Wasser will.

Und nein, sie hat nur den Boden damit gewischt. An meinen Schreibtisch hätte ich sie mit dem Wasser nicht gelassen… 😉

Wer sich nicht davor ekelt ein virtuelles Herz schlagen zu sehen, der kann auf der Webseite von "Hybrid Medical Animation" ein Beispiel von deren Kunst sehen. Ich brachte es nicht über mich das hier einzubetten…

Dennoch glaube ich, dass sich diese Software sehr gut für Schulungen einsetzen lässt und eine Menge Anwendungspotential darin steckt. Im Prinzip kann man damit auch technische Zeichnungen anzeigen.

In der Zeitschrift "Windows IT Pro" las ich einen Test über Software mit der man zentral steuern kann, welche Rechner USB-Devices erlauben und welche nicht. Wer sich wundert, was das soll: Damit kann man seinen Mitarbeitern den Datendiebstahl erschweren. Das wäre beispielsweise dann lukrativ, falls ein Angestellter plant sich selbstständig zu machen. Dann wäre ein illegal beschaffter Adressenstamm schon interessant…

Naja, jedenfalls war in dem Artikel auch ein Hinweis auf eine Beschreibung, wie man seit Windows-XP-SP2 generell einstellen kann, dass alle USB-Devices nur lesende Zugriffe erlauben: "Q. How can I mark my USB storage devices as read-only?"

Am einfachsten geht das mit einer REG-Datei (Inhalt in Datei mit Endung REG kopieren):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

Dazu muss man natürlich Admin-Rechte haben. Rückgängig machen können das Admins indem der Wert auf "0" gesetzt wird…

Falls jemand tiefer einsteigen will: Im Dokument "Guide to Preventing Information Leaks (Windows)" werden auch noch andere Möglichkeiten beschrieben. Will man komplett verhindern, dass USB-Gerät angeschlossen werden können, dann findet man die Beschreibung im KB-Artikel 823732.

Update 7.7.2008: Mein Kollege Michael wies mich darauf hin, dass diese Methode nicht 100% sicher ist. Microsoft selber schreibt dazu:

Dieser Registrierungsschlüssel bietet einen teilweisen Schutz vor ernsthaften Bedrohungen. Einem erfahrenen Angreifer stehen jedoch noch viele andere Möglichkeiten zur Verfügung, um Daten mit einem USB-Gerät zu stehlen. Zur Umgehung dieser Sicherheitsmaßnahme kann ein USB-Gerät z. B. so programmiert werden, dass es nicht als Blockspeichergerät, sondern beispielsweise als Drucker oder CD-ROM-Gerät aufgelistet wird.

Es ist also so, dass es nur vor dem "alltäglichen" Bedrohungsszenario schützt: Ein edv-mäßig normal begabterer Mitarbeiter kann keine Daten auf einen USB-Stick kopieren.
Vor dem Szenario des professionellen Angriffs schützt es nicht: ein mit speziell präpariertem USB-Datenträger ausgerüsteter Datendieb kann immer noch Lücken ausnutzen. Das kann natürlich auch ein bestochener Mitarbeiter sein… 😉

Ich muss schon zugegen, dass ich nicht ganz verstanden habe, was Microsoft meinte als sie mir neulich Infos zum Thema "Vereinheitlichung der Kommunikation" schickten. Leider finde ich das jetzt nicht mehr, das habe ich wohl etwas zu voreilig gelöscht… 😉

Als ich das folgende Video sah, da habe ich es erst kapiert… (Vorsicht: Werbung, aber gute)

Video: Video 1

Hier ist auch noch ein Video zu der absolut coolen Video-Konferenz-Hardware…

Update 5.7.2008: In der Juli-Ausgabe des TechNet-Magazins wird die ganz praktische Seite im Artikel "Planen Ihrer Migration zu Unified Messaging beleuchtet.

Mit der Version 2005 hat Microsoft ja bekanntlich die Systemtabellen im SQL-Server umgebaut und versteckt. Man kommt nun eigentlich gar nicht mehr dran.

Aber wenn man beim SQL-Server-2005 die Liste der internen Systemtabellen sehen will, dann geht das immerhin ganz einfach:

SELECT O.object_id
, SCHEMA_NAME(O.schema_id)
+'.'+[name] AS "internal system table"
FROM sys.objects AS O
WHERE O.type=N'S'
ORDER BY O.object_id;

Und so sieht das Ergebnis aus:

Und was man damit machen kann, beschrieb ich neulich ja schon… 😉

Microsoft gibt zu, dass der SQL-Server Probleme mit "VIA Eden CPUs and Transmeta CPUs" hat:

The computer on which you try to install SQL Server Express or SQL Server Express with Advanced Services is equipped with a CPU that does not support cache prefetching.

The affected CPUs include VIA Eden CPUs and Transmeta CPUs. Typically, these CPUs are used in devices when low power consumption, low heat, or low noise is important.

Aber wie mir mein Kollege Robert sagte, trifft das wohl auch auf modernen VIA-CPUs zu. Die CPU muss schon Cache-Prefetching unterstützen, damit man dort eine SQL-Server-Express-Edition einsetzen kann. Das ist ziemlich schade, weil ja gerade wieder die ganz kleinen Laptops auf dem Vormarsch sind. Mein Kollege erzählte mir das bestimmt schon vor einem Jahr. Aber erst jetzt, nachdem im Fahrwasser des Eee-PC mehrere Hersteller Mini-Laptops mit solchen CPUs raus bringen, wird es wieder für uns relevant. Ein Beispiel ist HPs 2133, dass sich mit seiner vergleichsweise guten Ausstattung offenbar gerade an Geschäftskunden wendet. Die deutschen One-Mini-Laptops haben auch eine VIA-CPU und werden – wenn ich es richtig in Erinnerung habe – in der aktuellen c't beschrieben.
VIA selber bietet ja sogar ein Referenzdesign an, mit dem Laptophersteller recht einfach solche Mini-Laptops entwerfen können.

Damit eignet sich diese Art der Mini-Laptops möglicherweise nicht für (professionelle) Anwendungen, die den SQL-Server als Datenhaltung einsetzen. Das wäre echt schade. Hat jemand schon Erfahrungen mit so einem Netbook und dem SQL-Server gesammelt?

Wenn man sich mit dem Firefox 3 seine gespeicherten Passwörter ansehen will, dann geht das jetzt mit sehr einfach:

Im ersten Schritt muss man einfach auf das Icon vor der Adresse klicken, um die Seiteninformationen aufzurufen. Dort stehen generell viele interessante Infos.

Anschließen muss man nur auf den Knopf "gespeicherte Passwörter" klicken und fertig. Das finde ich extrem nützlich, weil ich mich bei ganz vielen Communities registrieren musste und irgendwelche Accounts anlegte, deren Passwort der Browser speicherte, aber ich vergessen habe.

Seit einiger Zeit setze ich übrigens die Open-Source-Software KeePass zum Speichern der Passwörter ein. Dazu muss ich sie aber erst mal wissen… 😉

via jeetblog.com