Seit gestern abend hatte ich Probleme im Netzwerk. Alle Geräte, die mit dem WG-Router per Ethernet oder 5GHz-WLAN verbunden waren, kamen einwandfrei ins Web. Alle Geräte, die per 2,4 GHz WiFi im Netz hingen (darunter Notebooks, iPad, Android-Phones und SIP-Telefon) erhielten zwar brav eine IP per DHCP aber eine Verbindung ins Netz kam nicht zustande. Mist.

Aber woran liegt es? Router wurde zurückgesetzt, Internet erfolglos durchkämmt, nichts.

Bis mir auffiel, dass ich ja vor einigen Tagen für einen Artikel DD-WRT auf einem zweiten Router installiert hatte. Um da rumzubasteln. Und idiotischerweise die gleiche SSID vergeben habe (warum auch immer…). Und der Router steht hier im Zimmer (ohne WAN-Verbindung). Und weil dessen Signal stärker ist als das Signal des Internet-Routers im Wohnzimmer verbinden sich die Geräte brav mit dem.

So was blödes. Klarer Fall von Pebcak. Oder einem Problem im Layer 8.

Schönes Wochenende.

Als nächstes folgte Enexy, ein Riegel für mehr Energie sowie Volt, der etwas maue Nachfolger der Jolt-Cola.

Inzwischen sind wir bei der vierten Folge, und ich konnte erstmals die Clube Mate (gesprochen etwa gluuub Maaaadthe) ausprobieren. Video ist hier:

Virtuelles Testlabor

Realisiert ist alles mit VMware Workstation 8. Die drei virtuellen Maschinen sind alle in einem Team zusammengefasst (ein neues Feature in Workstation 8, es würde auch mit den Gruppen in Workstation 7 klappen). Grundsätzlich sollte sich das aber auch mit Virtualbox und Co realisieren lassen, wichtig ist, dass ihr einen virtuellen Switch habt, der mehrere Netzwerke unterstützt. Aktuell sind es drei VMs: die pfSense-Appliance sowie ein Windows 7 und ein XP SP3.

pfSense ist ein Router/Firewall-System auf FreeBSD-Basis (hey, Linux kann ja jeder ). Ich kann nicht genau sagen, warum ich mich für pfSense und nicht IPCop entschieden habe (vielleicht, weil der Herr Donauer von den Bitblokes immer IPCop nimmt und ich mich von ihm absetzen muss ), aber das Ding bietet für den Anfang (und wahrscheinlich für immer) alle Funktionen, die ich brauche. pfSense hat zwei virtuelle Netzwerkkarten: Eine für den WAN-Zugriff (den Pfeil), eine für das LAN. Die WAN-Ethernetkarte ist gebridged, greift also auf mein “normales” Netzwerk zu und kann mit dem Internet kommunizieren. Die LAN-Karte ist im Host-Only-Modus und einem separaten Netzwerk für das virtuelle LAN. Im Grunde hab ich einfach das gemacht, was ein Router im normalen Netzwerk übernimmt: Das Internet ist in dem Fall mein lokales Netzwerk, pfSense erhält seien IP von meinem eigentlich Router und kann über den Traffic ins “wirkliche” Internet leiten. Das hat den großen Vorteil, dass ich die Konfigurationsseite von pfSensen von meinem Produktivsystem aus erreichen kann – das ist bequemer als wenn ich ständig von einer der virtuellen Maschinen aus zugreifen muss.

pfSense

Die beiden Windows-System wiederum erhalten ihre IP vom DHCP-Server von pfSense – die beiden Systeme kennen nur sich selbst, dass ist quasi wie bei The 13th Floor (ach, hätte Matrix nur auch so geendet, aber ich schweife ab). Beides sind Standard-Windows-Installationen, deren Status natürlich in einem Snapshot gesichert wurde. Zusätzlich hab ich auf beiden ein nettes Tool installiert, den Windows System State Analyzer (WSSA) sowie dem Windows System State Monitor (WSSM). Der WSSA erlaubt es mir, einen Snapshot des Systemzustandes anzulegen und diesen mit einem späteren Snapshot (etwa nach der Installation eins verdächtigen Programmes) zu vergleichen. Dadurch sollte ich relativ schnell sehen, was eine Software an Unfug anstellt (an so spaßige Dinge wie und Co traue ich mich noch nicht ran). Der WSSM zeigt Zugriff im Live-Betrieb an, mal schaun, was mir besser gefällt. Anschließend werden die Systeme zurückgesetzt und alles ist wieder sauber. Beide Tools sind im Paket des Server Logo Program Software Certification Tool enthalten. Aktuell ist das Tool nur auf dem Windows 7 System eingerichtet, auf XP sollte es aber auch gehen.

Oh, eine weiter großartige Sache von pfSense ist die Logging-Funktion. Das System bringt tcpdump mit und kann den kompletten Traffic protokollieren, der über den Router ins Web geht (SSL ausgenommen, aber das kann ich ja später probieren, für den Anfang sollte normaler Traffic reichen) . Die Datei kann ich anschließend runterladen und über WireShark oder CloudShark analysieren. Cool.

Was bringt mir jetzt das Ganze? Zum einen habe ich ein schöne Laborumgebung, mit der ich ein wenig herumspielen kann, ohne dass ich mein Produktivnetz (in dem auch noch ein paar andere Rechner von Mitbewohnern hängen) in Gefahr bringe. Sollte ich wirklich mal einen Virus analysieren wollen, kann ich die Verbreitung mit ein paar Firewall-Regeln (wohl) recht gut in den Griff kriegen. Und ich lerne neue Funktionen kennen und kann neue Dinge ausprobieren (pfSense kann auch massig neue Pakete nachladen, so dass ich das Teil auch in eine Snort-Installation oder einen VPN-Server umbauen kann – was zahlreiche neue Workshops ermöglicht). Dank dem VMware-Setup kann ich auch relativ leicht neue Systeme dazuhängen oder abschalten (etwa, wenn ich mich endlich mal ans Aufsetzen einer Domain wage). Und ich lerne neue Tipps und Tricks kennen.

Was ich komplett vergessen hatte war Grub. Der Linux-Bootloader konnte seine Config-Dateien nicht mehr finden, was dazu führte, dass er im Recovery-Modus starte. Das bedeutete leider auch, dass ich nicht ins Lenovo-Rescue-System starten konnte.

Ok, no problem, ich brauch nur einen USB-Stick mit nem Windows 7 drauf, hier standen Rechner rum, kein Problem, oder? Wieder falsch. Anders als bei den meisten anderen Konferenzen hat das CA-IT-Team eine hervorragende Arbeit geleistet und die Rechner komplett gesperrt. Das heißt: Keine Installieren von Dateien – und damit auch kein USB/DVD Download-Tool für Windows 7. Dazu kommt, dass die Systeme nicht mal USB-Laufwerke erkennen konnten – was ebenfalls blöd war.

Ok. Ich hab also die IT-Leute ein wenig genervt und sie haben mir Zugriff auf einen weniger gesperrten Rechner gegeben. Dank meines treuen Cruzer Blade war die ISO dann schnell bootbar auf dem Stick (denn natürlich hatte ich weder die  DVD dabei noch das Laufwerk in meinem treuen X301).

Grundsätzlich bringt  Windows 7  einen sehr guten Recovery-Modus mit, der vor allem Probleme mit dem Bootloader im MBR normalerweise automatisch. Normalerweise. Wenn er die Partitionen findet. Oder die Windows-Installationen. What. The. Fuck.

Ich konnte über die Kommandozeile problemlos auf die Festplatten zugreifen (sogar auf USB-Laufwerke) aber ich konnte den Bootsektor einfach nicht reparieren. .

Ok. Vielleicht geht es manuell. Die passende Anleitung dazu gibt es bei Neosmart. Kein Problem grundsätzlich, aber als es zum Befehl “” kam, war Schluss. Mit der Fehlermeldung “store import operation has failed. The requested system device cannot be found”. Fuck.

Weiter also im Web. Ich bin auf die Webseite “IdoneItMyself” gestoßen, die Schritt für Schritt mein Problem und die passende Lösung beschreibt, inklusive der Fehlermeldung. Sein Trick war es, die jeweilige Partition mit Hilfe von Diskpart.exe auf aktiv zu stellen. Kein Ding – geholfen hat es mir nicht, der Fehler bliebt der gleiche.

Irgendwann hab ich entnervt aufgegeben. Zuhause war der Plan, dass ich ein Rescue-System drüberhaue (und damit natürlich alle Einstellungen/Konfigurationen/Daten usw verliere). Ich hab noch ein Ubuntu Livesystem gestartet, um die wichtigsten Daten zu schützen und eine meiner externen Festplatten hat gesponnen. Ubtuntu gab mir den Tipp, doch auf der Festplatte einfach den Befehl

chkdsk.exe /f

auszuführen. Ich hatte nichts zu verlieren, bootete also erneut in den Recovery-Mode, hüpfte in die Kommandozeile, wechselte auf C: und gab den Befehl ein. Die Abfrage hab ich mit bestätigt und das Tool machte sich an die Arbeit. Ich hatte die Hoffnung fast schon aufgegeben, aber – es hat verdammt nochmal funktioniert! Beim Reboot war der Windows-Bootsektor wieder da und das Betriebssystem startete brav. Unglaublich. Der Schalter “/f” ist übrigens wichtig. Er sorgt dafür, dass chkdsk den Datenträger nicht nur überprüft, sondern auch gleich fehlerhafte Verknüpfungen reparieren kann. Weitere Infos gibt es hier bei der Wikipedia.

TL;DR: Einfach mal chkdsk.exe /f ausprobieren, wenn die normalen Wiederherstellungsfunktionen nicht funktionieren.

“Die Ermittlungs-Software wird nicht zu einer Beeinträchtigung der auf dem betroffenen Rechner installierten Sicherheitssoftware führen”, heißt es in Schäubles Haus bestimmt. Dritten werde somit ein Eindringen in den betroffenen Rechner durch den Einsatz des Bundestrojaners nicht erleichtert. Außerdem werde sichergestellt, dass die Software “keine eigenen Verbreitungsroutinen und einen wirksamen Schutz gegen Missbrauch durch Dritte beinhaltet”.

Heise

Schäuble und der Bundestrojaner. Wer sich erinnert, der frühere PanikInnenminister Schäuble hatte irgendwann die großartige Idee, dass man doch eine staatliche Malware entwickeln könnte, mit der man die Kommunikation von “Verdächtigen” remote überwachen kann. Das Bundesverfassungsgericht fand die Idee nicht so prickelnd und hat den Einsatz und die Funktionen 2008 kräftig eingeschränkt.

Sprung ins jetzt: Dem Chaos Computer Club wurden scheinbar mehrere Festplatten zugespielt, auf denen der Bundestrojaner installiert war. Nach einer Analyse stellten sie fest: Ja, das Ding funktioniert und es macht deutlich mehr als es soll. Wie jede gute Malware nimmt sie beispielsweise regelmäßig Screenshots vom Bildschirm aus und versucht gleich auch noch, die Verschlüsselung von Skype auszuhebeln. Die Daten landen dann wohl irgendwo auf einem Server in den USA (kann man so überhaupt sicherstellen, dass sie von niemanden manipuliert werden)? Außerdem haben die behördlichen Virenschreiber scheinbar kräftig bei ihren kriminellen Vorbildern abgekupfert. Laut dem CCC-Bericht kann der Bundestrojaner neue Module nachladen, um so etwa auf angeschlossene Webcams zuzugreifen.

Wie immer haben sie aber bei der Sicherheit geschlampt. Die abgefangenen Daten landen werden zwar verschlüsselt übertragen, sie Software selbst ist aber scheinbar so schlampig abgesichert, dass es dem CCC möglich war, die infizierten Rechner von außen zu übernehmen.

Lasst euch das auf der Zunge zergehen: Die Bundesregierung schreibt Malware, die schlechter abgesichert ist als Zeus und Co und bietet anderen Kriminellen so die Möglichkeit, neue Rechner in ihr Botnet aufzunehmen. Steuergelder bei der Arbeit. Vor allem: Was passiert denn, wenn ein so überwachter Computer von außen übernommen wird und anschließend für andere Attacken genutzt wird oder man illegale Inhalte aufspielt?

Auch die Sicherheit des Trojaners selbst ist fraglich. Beim Lawblog-Eintrag dazu fand sich dieses Zitat:

“Wir waren überrascht und vor allem entsetzt, das die Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen”, sagt der CCC-Sprecher. “Das Sicherheitsniveau dieses Trojaners ist nicht besser, als würde er auf allen infizierten Rechnern die Passwörter auf ’1234′ setzen.”

Als Artikel dazu empfehle ich den Beitrag der Zeit, schön aufgearbeitet und gut geschrieben. Außerdem hat sich Mikko Hypönnen von F-Secure dazu Gedanken gemacht.

Was mich am meisten enttäuscht ist, das die Sicherheitshersteller keine Signatur der Schäuble-Malware haben (das bessert sich inzwischen leicht), obwohl das in den Pressegesprächen so gegen 2008 von allen versprochen wurde (bösartige Software ist bösartige Software, egal wer sie schreibt – so ungefähre waren die Antworten). Ich geben den Hersteller nun mal einen Vertrauensvorschuss und denke, dass die eher daran liegt, dass relativ wenige Samples eingereicht wurden. Denn trotz allem dürfte die Software weniger häufig eingesetzt worden sein als jede andere Malware. Ich denke nicht, dass es gezielte Abmachungen im Hinterzimmer gegeben hat.

Fazit: Traue keinen Versprechungen der Innenminister, erst recht nicht, wenn die Begriffe “Sicherheit” und “Internet” in einem Absatz vorkommen. Und vielleicht: Wechselt zu Linux oder Mac OS X, dann seid ihr noch ein paar Jährchen sicher.

Steve Jobs war der Vater vieler Revolutionen. Seit Jahren kämpfte er mit dem Krebs. Nach seinem Tod fragen sich viele: Was wird jetzt aus Apple?

Steve Jobs hat Apple zu einem polarisierdenden Unternehmen gemacht-  man mag es oder man mag es nicht. Dazwischen ist nicht viel Platz. Aber er hat vor allem die Mobilfunkindustrie ordentlich angetrieben (ich erinnere mich mit Schaudern an die Touch-Screens der alten Windows Mobile Geräte wie etwa dem MDA Pro, das sind Welten zu heutigen iPhones/Androids/Nokias)

Ich bin selbst kein Apple-Fan und es hat mich viel Mühe und Überwindung gekostet, das Genie dieses Menschen anzuerkennen. Das iPad ist noch immer das beste Tablet. Und er hat uns Konzepte wie die App so ins Gehirn gehämmert, dass sogar Leute, die von IT keine Ahnung haben, kapieren, was das ist.

Ich möchte mich daher den Worten von Steve Ballmer anschließen:

“I want to express my deepest condolences at the passing of Steve Jobs, one of the founders of our industry and a true visionary. My heart goes out to his family, everyone at Apple and everyone who has been touched by his work.”

(Bild: Jonathan Mak)

Allerdings ist nicht die Kinderpornografie das Ziel, sondern das Schwulsein überhaupt. Der Senat stimmt über einen Vorschlag ab, der, wenn er Gesetz wird, Lehrern verbietet, homosexuelle Themen im Klassenzimmer anzusprechen. Die Idee dahinter könnte wohl direkt von der Ursula stammen: Wenn man nicht mehr über Schwule redet, dann gibt es sie auch nicht mehr.

Einer, der sich das nicht gefallen lässt, ist George “Mr Sulu” Takei (und da kommt jetzt der Schwenk zu unserem Themenspektrum, ha). Takei, der 2008 seinen Partner  Altman geheiratet hat, will mit einer, meiner Meinung nach recht cleveren Kampagne zeigen, wie sinnlos dieser Gesetzesvorschlag ist. Aber seht es euch selbst an:

Ich finde es einfach traurig, wenn sich Politiker blindlings in ein Thema verrennen. Das mag Homosexualität sein, Privatsphäre oder Technik an sich – berät denn niemand diese Leute? Glauben die wirklich, was sie sagen?
(übrigens: Nein, ich bin nicht schwul, aber ich finde das lächerlich. Als gäbe es keine größeren Probleme – auch und vor allem in den USA).

via Reddit

• Die Anzeigen sollen von Groupon, Visa und/oder Universal kommen
• Die Werbung kommt zunächst in den USA, Großbritannien und Deutschland
• Skype wird nicht überfrachtet, pro Tag soll anfangs eine Werbung erscheinen
• Die Werbung wird in erster Linie im Home-Tab auftauchen
• Es wird keine nervigen Pop-Ups geben

Allerdings eine Sache: Skype will zwar neutrale Werbung zeigen, allerdings behält sich der Anbieter vor, künftig die privaten Daten des Nutzers zu verwenden, um optimierte Werbung zu zeigen.

Skype Privatsphäre

Nutzer haben allerdings die Möglichkeit zum Opt-Out. Die Option dazu findet sich in “Aktionen – Optionen – Privatsphäre”. Hier einfach den Haken bei “Skype die Verwendung anonymer Informationen über mich zur Darstellung von Anzeigen erlauben” entfernen und gut ists.