datenritter blog

Es ist wohl eine Besonderheit unserer Zeit, dass man inzwischen erstaunt ist, wenn man mit Support-Anfragen etwas erreicht, anstatt mit ewig gleichen Standardmails abgewimmelt zu werden. Dass letzteres die Regel ist, könnte man zumindest vermuten, wenn man zum Beispiel "Vorsicht Kunde" in der c't liest.

Ein Freund von mir erzählte mir einmal, dass er am Telefon dem Kundenservice eines Unternehmens relativ schnell klarzumachen versucht, dass er vom Fach ist und sein Anliegen ohnehin nicht von demjenigen, der seinen Anruf zuerst entgegennimmt, bearbeitet werden kann. Scherzhaft formulierte er:

Guten Tag, ich möchte gerne gleich mit jemandem sprechen, der sich auskennt.

Wir haben uns köstlich amüsiert, aber mit einer solchen Plattitüde erreicht man natürlich nichts. Die Mitarbeiter im First-Level-Support größerer Unternehmen hören und lesen täglich irgendwelche mehr oder weniger sinnvollen Phrasen — und sicher auch eine Menge Drohungen.

Dennoch habe ich die Erfahrung gemacht, dass ein klar umschriebenes Problem, eventuell sogar mit Diagnosedaten angereichert, den Support spätestens im zweiten Anlauf anscheinend so verwirren kann, dass das Anliegen an einen qualifizierteren Mitarbeiter weitergegeben wird. Oder dass man sich doch einen Moment mehr Zeit nimmt, statt nur Textbausteine zu kombinieren.

In der Vergangenheit ist mir das bei vier Unternehmen gelungen: Home of Hardware, DHL, dem Hermes-Versand und Garmin... ""Vielen Dank für Ihren ... »

Wie ich schrieb, habe ich mein Smartphone zerschossen, als ich gerade meine Daten sichern wollte. So richtig. So, dass Daten und Einstellungen verloren schienen. PANIK!

In solchen Momenten hilft es, Ruhe zu bewahren. Die Daten sind nicht weg, man kommt nur nicht ran. Also tut man erst mal nichts, bis man weiß, was zu tun ist. Bei android-hilfe.de habe ich sogar jemanden gefunden, der sein Smartphone deswegen seit einem Jahr im Schrank liegen hat.

Das Problem ist, dass man nicht einfach jede beliebige Firmware neu flashen kann. Der Bootloader des Telefons nimmt nur signierte Dateien mit der Original-Firmware (Stock-Firmware) des Herstellers an. Diese würde einen vielleicht schon an die Daten lassen, zumindest aber die Installation eines Rettungssystems (Recovery) erlauben, startet jedoch nicht, wenn man nicht, wie in den einschlägigen Smartphone-Foren in vielen redundanten Threads und "How-Tos" mit großen bunten Buchstaben nachzulesen, einen "Factory-Reset" oder "Wipe" vornimmt. Was bedeutet, die persönlichen Daten vom internen Speicher zu tilgen.



Ohne ein Rettungssystem saß man bislang in der Zwickmühle. Bislang. "HowTo: Daten vom zerflashten ... »

Vor ein paar Tagen wollte ich endlich auch für mein Smartphone eine vernünftige Backup-Prozedur einrichten. Also habe ich ein paar Euro für eine Pro-Version von TitaniumBackup (siehe auch hier) ausgegeben. Die Anwendung sollte vollständige Backups erstellen und diese automatisch auf ein Netzlaufwerk schieben. Ein automatisierter Vorgang ist bequem und könnte vielleicht auch mal bei einem defekten Bildschirm helfen.

TitaniumBackup streikte. Ich ignorierte die Warnungen, dies bei meinem Cynogenmod auf keinen Fall zu versuchen, und probierte ein BusyBox-Update — ein wirklich dummer Fehler. Damit habe ich das BusyBox-Binary durch ein ungeeignetes ersetzt und damit mein Android und das Recovery-System 2ndInit gleich mit zerschossen. An die Daten, die nicht auf der SD-Karte, sondern im internen Speicher abgelegt sind, wie SMS und Kontakte, heranzukommen, erschien zunächst aussichtslos. Ich habe dann aber doch eine Lösung gefunden.


Ein automatisches Backup einzurichten sollte eine der ersten Aufgaben an einem System sein, nicht eine der letzten. Und Smartphones sind schnell weg oder kaputt.

Ich habe seit einiger Zeit eine DVB-S2-Tuner-Karte TeVii S471. Angeblich sind die TeVii-Karten energiesparend, weil sie die LNB-Speisespannung abschalten, wenn sie nicht benötigt wird. Das scheint zu stimmen, denn die Karte ist fühlbar kühler als andere TV-Karten, die ich bisher hatte. Im Hinblick auf die thermischen Verhältnisse in meinem wassergekühlten und somit von nur wenig Luft durchströmten PC eine gute Sache. Außerdem funktioniert sie ohne proprietäre Treiber. Man benötigt lediglich ein Firmware-File dvb-fe-ds3000.fw, das in /lib/firmware abgelegt wird. Ich habe auf meinem System außerdem noch alle anderen Firmware-Files (und nur die — nicht die Treiber) aus dem liplianin-Treiberpaket installiert. Nur für den Fall.

Die S471 ist relativ neu und läuft unter Debian Linux mit Kerneln ab 3.5. Ein wheezy-Kernel reicht also nicht! Der aktuelle backports-Kernel ist eine 3.9er-Version, welche wegen einer Regression ebenfalls nicht funktioniert.

Mit einem selbstgebauten Kernel 3.8.8 funktioniert es einwandfrei. Natürlich müssen die Module für den Conexant cx23885 und den DS3000 kompiliert werden.

Pixray, das ist ein Dienst, der im Netz nach bösen Urheberrechtsverletzungen sucht. Sicher wollen die damit ist damit nicht beabsichtigt, das Abmahnwesen zu fördern, kleine Leute wegen Belanglosigkeiten auszunehmen oder gar Jurastudenten vorzutäuschen, sie hätten trotz anhaltend viel zu hoher Absolventenzahlen ernsthaft gute Einkommensaussichten. Die Macher von Pixray wollen bestimmt nur durch ein Stück Hochtechnologie die Welt verbessern, in der wir leben.

Leider haben diese Nervensägen guten Menschen dabei nicht bedacht, dass das massenhafte Herunterladen von Bildern einer Website viel Traffic und damit möglicherweise Kosten verursacht und irgendwann dumm auffallen könnte. Auch ist es unwahrscheinlich, dass CAPTCHAs aus urheberrechtlich geschütztem Material anderer Leute bestehen. Mir schleierhaft, wieso Pixray sie trotzdem herunterlädt. *räusper*

Nach einer rigorosen und gewissenhaften Prüfung meiner Webseite bin ich zu der Überzeugung gelangt, dass sich hier keinerlei fremde unlizensierten Inhalte befinden und habe Pixray durch einige Firewall-Regeln schon mal vorab mitgeteilt, dass von einer weiteren Prüfung meiner Seiten abgesehen werden kann. Nett von mir, oder?

Diese Regeln sehen so aus:

-s 176.9.0.12 -j DROP
-s 176.9.0.13 -j DROP
-s 176.9.19.103 -j DROP
-s 176.9.7.28 -j DROP
-s 188.40.65.130 -j DROP
-s 188.40.85.200 -j DROP
-s 46.4.116.100 -j DROP
-s 46.4.118.74 -j DROP
-s 46.4.118.75 -j DROP
-s 46.4.119.231 -j DROP
-s 46.4.121.154 -j DROP
-s 46.4.92.141 -j DROP
-s 46.4.19.85 -j DROP
-s 46.4.92.140 -j DROP
-s 46.4.92.140 -j DROP
-s 176.9.0.12 -j DROP
-s 176.9.0.13 -j DROP
-s 176.9.19.103 -j DROP
-s 176.9.7.28 -j DROP
-s 188.40.65.130 -j DROP
-s 188.40.85.200 -j DROP
-s 46.4.116.100 -j DROP
-s 46.4.118.74 -j DROP
-s 46.4.118.75 -j DROP
-s 46.4.119.231 -j DROP
-s 46.4.121.154 -j DROP
-s 46.4.92.141 -j DROP
-s 46.4.19.85 -j DROP
-s 46.4.92.140 -j DROP
-s 46.4.92.140 -j DROP
-s 88.198.64.132 -j DROP
-s 88.198.65.99 -j DROP
-s 88.198.67.134 -j DROP
-s 88.198.67.197 -j DROP
-s 188.40.66.214 -j DROP
-s 46.4.125.109 -j DROP


Bis auf die letzten beiden Zeilen stammen die IP-Adressen aus diesem Blogbeitrag.

In der momentanen stable-Version von Debian (squeeze) hängt Firefox, bzw. Iceweasel auf einer 3er Version fest. Aus dem testing-Repository (wheezy) einen neueren Iceweasel installieren zu wollen, führt zu unauflösbaren Konflikten bzw. einem Update des halben Systems. Außerdem sind die dortigen Versionen, obwohl wheezy inzwischen recht reif ist, noch immer nicht die aktuellsten.

Stellt sich heraus, dass auf der Download-Seite von Mozilla ein auch unter squeeze lauffähiges Paket der aktuellen Version (bis Ende des Monats wohl 9.0.1) angeboten wird. Das tar.bz2-File entpackt man als root zum Beispiel in /opt. Die neue Version lässt sich problemlos von der Konsole aus starten. Persönliche Einstellungen hat man eh im home-Verzeichnis, die werden also weiter verwendet – auch geöffnete Tabs. AddOns werden vom Firefox automatisch aktualisiert, inkompatible vorerst deaktiviert.

Früher oder später wird sich der Firefox mit nervigen Update-Aufforderungen zu Wort melden. Updates installiert man, in dem man Firefox als root startet und dann über das "Hilfe"-Menü die eingebaute Updatefunktion nutzt. Das geht, sofern root den Screen des gerade angemeldeten Uers nutzen darf, am einfachsten auf der Konsole mit sux und /opt/firefox/firefox.

Danach sind ein oder zwei Maßnahmen notwendig, damit der aktuelle Firefox auch zum Standard-Browser wird. In KDE sollte man die Systemeinstellungen öffnen und dort unter "Standard-Komponenten" den Browser auf /opt/firefox/firefox %u stellen, nicht auf /opt/firefox/firefox-bin.
(Seltsamerweise scheint diese Einstellung bei mir nicht gespeichert zu werden.) Den Link /etc/alternatives/x-www-browser löscht man und ersetzt ihn durch einen neuen: ln -s /opt/firefox/firefox-bin x-www-browser – ein update-alternatives --config x-www-browser funktioniert hier nicht, weil /opt/firefox/ nicht im PATH ist.

Einzelne Applikationen muss man ggf. manuell so einstellen, dass sie den neuen Firefox aufrufen, wenn ein Link angeklickt wird.

Zur Installation einer aktuellen Version des Mailers Thunderbird kann man genauso vorgehen.


Ein häufiges Problem scheint außerdem zu sein, dass das Thunderbird-Pendant Icedove keine Links in Mails öffnet. Hier hilft eine Datei user.js im Profil-Verzeichnis ~/.icedove/(irgendwas).profile mit folgendem Inhalt:

user_pref("network.protocol-handler.app.http", "/opt/firefox/firefox");
user_pref("network.protocol-handler.app.https", "/opt/firefox/firefox");
user_pref("network.protocol-handler.app.ftp", "/opt/firefox/firefox");

Endlich kann man wieder komfortabel Arbeiten und muss Links nicht mehr fummelig in die Zwischenablage kopieren.

Zurück zu Firefox: Die neueren Versionen sparen Platz, in dem sie die Status- bzw. Add-on-Leiste nicht mehr dauerhaft zeigen. Es ist sinnvoll, die Symbole nützlicher AddOns nach oben in die Adressleiste zu schieben, damit es dabei bleiben kann. Ich verwende und empfehle die folgenden:

• CookieMonster zum Blockieren und selektiven Zulassen von (ggf. nur Session-)Cookies.
• NoScript zum Blockieren und selektiven Zulassen von Scripten. Das schützt nicht nur vor Ausforschung durch Scripte von Drittanbietern, es spart nebenbei auch eine Menge Rechenleistung, wenn man viele Tabs offen hat. Und vor bösen Überraschungen durch eingebettete Videos und Musik.
• Adblock Plus, das ich ohne Abonnement verwende und stattdessen mit einer nach und nach aufgebauten eigenen Filterliste betreibe. Sämtliche Zählpixel, lästige Werbeblöcke mit Flash und überflüssige Inhalte von Drittanbietern werden gnadenlos ausgefiltert.
• Tab Mix Plus, weil ich nur damit effizient mit vielen Tabs arbeiten kann und es vor Abstürzen schützt, in dem es offene Tabs mit jeweiliger History und Formularinhalten in kurzen Intervallen speichert.
• Theme Font & Size Changer zum Verkleinern der für Menüs, Buttons und Tabs verwendeten Schriftarten. Sonst hat man mit dem neuen Design einfach zu wenig Platz.
• Certificate Patrol zur Prüfung von SSL/TLS-Zertifikaten. Das wird schnell lästig und ist nur etwas für Leute, die wissen, was die Meldungen bedeuten, und was das Problem mit SSL ist.
• Und mit ScrapBook kann ich Webseiten zum Offline-Lesen speichern, was bei automatisch generierten Seiten – zum Beispiel in Wikis – nützlich ist, da es den Server entlastet und schneller aufzurufen ist. Auch damit sollte man allerdings umgehen können, eine falsche Einstellung kann Schaden anrichten. Grundsätzlich sollte man bei einer Verzeichnistiefe von 0 bleiben!

Außerdem habe ich noch ein paar AddOns, die Suchen deutlich effizienter und umfassender möglich machen. Aber die verrate ich hier nicht. :-p

Update 2012-07-22: Hinweise zum komfortablen Update und zu Thunderbird, kein direkter Aufruf des Binarys.

Es ist 2011-12-13 14:15.

Netzpolitik.org berichtet über ein Urteil, dass einem Phishing-Opfer Schadenersatz zuspricht, obwohl dieses auf der Phishing-Seite 100 TANs eingegeben hatte.

Bei dem Fall handelt es sich um sauberes social engineering in Kombination mit einem Trojanerangriff. Daraus kann man was lernen – wenn man sich nicht von der hohen Zahl der preisgegebenen TANs zu falschen Schlüssen verleiten lässt. Die Zahl ist genau der Trick.

Im ersten Moment erscheint es absurd. Liest man jedoch die Urteilsbegründung, stellt man fest, dass in diesem konkreten Fall dem Kläger aus nachvollziehbaren Gründen keine grobe Fahrlässigkeit zur Last gelegt wird. Die Bank hatte in ihrem etwas ungenauen Sicherheitshinweis lediglich davor gewarnt, TANs ohne vorangegangene Aktion, wie "z.B.(!) eine Überweisung", einzugeben. Die Aufforderung zur Eingabe der 100 TANs wurde durch einen Trojaner auf dem Rechner des Opfers erzeugt, und zwar erst nach Anmeldung auf der Banking-Webseite durch Eingabe der PIN. Das ist schon mal eine gute Ausgangsposition. Weitere Glaubwürdigkeit errang der Angreifer dadurch, dass er zur Eingabe sämtlicher TANs eines TAN-Blocks aufforderte, weil dieser wegen einer Sicherheitslücke aus dem Verkehr gezogen werden müsse. Dass ein unbedarfter Anwender dies für plausibel hält (und nicht weiß, dass die Bank die TANs bereits kennt und sowieso blockweise deaktivieren kann), ist durchaus nachvollziehbar.

Das Gericht schreibt hierzu auch:

Umgekehrt wäre es vielmehr als grob fahrlässig zu bewerten, wenn der Kläger beispielsweise 50 oder 60 TAN-Nummern eingegeben und dann mit der Eingabe weiterer Nummern aufgehört hätte, weil ihm die Sache verdächtig erschienen wäre.

Es lohnt sich, das Urteil ganz zu lesen.

Ich bin ja mal gespannt, wann wir von den ersten Fällen hören, in denen eine Bank wegen Angriffen mit gefälschten SSL-Zertifikaten zahlen muss. Schließlich ist es durchaus zuzumuten, den Fingerprint des verwendeten Server-Zertifikats schriftlich zu verbreiten und zur Überprüfung aufzufordern. Das könnte man zum Beispiel zusammen mit der EC-Karten-PIN machen – oder zusammen mit dem ganzen Werbemüll, der einem regelmäßig ins Haus flattert.

Die Erklärung eines ehemaligen australischen Polizisten, dass Undercover-Einsätze durch soziale Netzwerke und Gesichtserkennung unmöglich werden, hat den Sprung in die Medien geschafft:

Facebook has proven to be one of the biggest dangers in keeping undercover police officers safe due to applications such as facial recognition and photo tagging, according to a adjunct professor at ANU and Charles Sturt University.

(...)

All respondents aged 26 years or younger had uploaded photos of themselves onto the internet.

“The thinking we had with this result means that the 16-year-olds of today who might become officers in the future have already been exposed.

"It’s too late [for them to take it down] because once it’s uploaded, it’s there forever.”

Ich glaube, diese Betrachtung greift viel zu kurz. Auch mit und in sozialen Netzwerken mit Gesichtserkennung ist es möglich, eine Legende zu pflegen. Sehr wahrscheinlich wird es sogar deutlich einfacher, wenn die automatische Erkennung hilft, alle Schwachstellen zu finden und so den Agenten und sein Umfeld zu schützen.

Die etwas angestaubte "Weisheit" dass der Versuch, Informationen aus dem Netz zu entfernen, genauso sinnlos sei, wie Pisse aus einem Pool zu fischen, ist nur die halbe Wahrheit. Die andere Hälfte ist, dass man die Pisse eben auch nicht bemerkt, wenn man in den Pool springt. Anders gesagt: Was man nicht findet, ist nicht relevant. Was man findet, kann man entfernen. Das Netz behält nicht alles, es verliert durchaus auch Informationen. (Durch Löschung oder eben Unauffindbarkeit.) Es kommt letztendlich darauf an, wie viele Menschen ein Interesse daran haben, in den Pool zu pinkeln, bzw. eine Information verfügbar zu halten. Erfahrungsgemäß sind die meisten eher an der Haarfarbe von Politikern interessiert als an der Identität von Gangmitgliedern.

Natürlich ist das alles eine Frage des Aufwands. Aber die höhere Wahrscheinlichkeit, etwas zu entdecken, gilt für Angreifer und Verteidiger gleichermaßen. Die Guten[TM] können den Bösen[TM] zuvorkommen, indem sie die gleichen Werkzeuge einsetzen. Nebenbei sollte eine gute Legende ohnehin so konsistent und glaubwürdig sein, dass sie gegenüber widersprüchlichen Informationen überwiegt. Nichts neues.

Der eigentliche Knackpunkt scheint ein anderer zu sein: Macht. Im verlinkten Artikel wird erwähnt, dass Facebook sich oft weigere, Bilder zu entfernen. Während es für amerikanische Behörden ein Klacks sein dürfte, Bilder bei Facebook entfernen oder Informationen abändern zu lassen und Facebook darüber hinaus noch zum Stillschweigen zu verpflichten, haben ausländische Institutionen es sicher nicht so leicht. Die Technologie selbst ist aber wie meistens nicht das Problem.

Nachtrag: Nach einem Hinweis von mir hat Bruce Schneier auch was dazu geschrieben:

There's another side to this issue as well. Social networking sites can help undercover officers with their backstory, by building a fictional history. Some of this might require help from the company that owns the social networking site, but that seems like a reasonable request by the police.

Ich musste kurz überlegen, ob http://www.german-hacker.de nicht vielleicht ein Scherz ist. Schließlich ist die SPD als Netzpartei bekannt.

Aber die Seite ist echt. Der Bürgermeister der fränkischen Stadt Herzogenaurach heißt German Hacker. Doktor German Hacker. Großartigst.

Und was sehen meine müden Augen: Der Mann ist Physiklehrer und weiß, was passiert, wenn man Längeneinheiten multipliziert – man bekommt eine Flächeneinheit. Tjaha.

Nur dumm, dass das für Pixel nicht gilt, die sind nämlich schon zweidimensional. Wenn von "Pixeln pro Zoll" oder ähnlichem die Rede ist, ist der Abstand zwischen den Mittelpunkten zweier Bildelemente gemeint. (Und jetzt alle mal überlegen, in welche Richtung... *g*)

"Optimiert für 1024 x 768 px²" ist also nicht nur Blödsinn, weil eine Website (ebensowenig wie für bestimmte Browser) nicht für irgendwelche individuellen Bildschirmeinstellungen "optimiert" zu sein hat, sondern auch, weil Quadratpixel irgendwie, nunja — vierdimensional wären. Dürfte schwer sein, das am Bildschirm einzustellen.

Im dreidimensionalen heißen Bildelemente übrigens Voxel.

Ich schreib dem Herrn Bürgermeister jetzt mal 'ne Mail. :-)