Administrator Blog

Da ich oft unterwegs bin, und oft offene WLAN-Netze nutze (zum Beispiel in der Fachhochschule oder Hotspots) wurde mir irgendwann klar, dass es so nicht weitergehen darf und ich eine Lösung finden soll, wie ich meine Daten über das Netz verschlüsselt übertragen kann. Zu hause verwende ich eine AES-Verschlüsselung mit einem Passwort von über 60 Zeichen, in der FH rufe ich dagegen meine Mails einfach ab, obwohl da keine Verschlüsselung vorhanden ist.
Mein Ziel war also, eine Möglichkeit zu finden, meine Daten, die ich über das Netz schicke vorher zu verschlüsseln. Es ist schon klar, dass ich dafür eine Zwischenstelle benötigte. Mein Linux-Server war dafür sicherlich geeignet, ich musste nur eine Lösung finden, die plattformübergreifend funktioniert, da ich auf meinem Laptop Windows laufen habe. Eine der Möglichkeiten war, Squid so einzurichten, dass die Daten verschlüsselt werden. Das ist aber nicht so einfach, wie man zuerst denken kann und außerdem habe ich Squid für andere Zwecke aufgesetzt. Nach einer kurzen Recherche fand ich eine denkbar einfache Lösung. Diese beruht sich auf SSH-Tunneling-Prinzip. Nur da SSH kein Default-Windows Protokoll ist, sollte man auf Putty zurückgreifen.
Alles, was man dafür machen muss ist einfach eine neue Session zu erstellen und unter „Tunnels“ einen neuen „tunneling Port“ (z.B. 7070) hinzuzufügen, Radio-Buttons auf Auto und Dynamic umzustellen und bei Firefox dann Verbindung über Socks5 auszuwählen, als Host kommt 127.0.0.1 rein und als Port 7070. Ist einfacher, als Einrichtung von VPN oder Squid SSL-Verschlüsselung, oder?

Ich bin immer skeptisch, wenn es um Browser-Games geht. Das Niveau von solchen Spielen kann man mit herkömmlichen Spielen kaum vergleichen. Die meisten davon sind eher auf dem Stand des Anfangs bzw. Mitte der neunziger Jahre. Die Grafik ist oft von Hand gezeichnet, die Interaktion erfolgt auf dem Text-basierten Modus. Ich liebe zwar solche Spiele wie Goblins oder Monkey Island, aber die Zeit geht voran und die Technologien werden ständig weiterentwickelt, sodass ich keinen Grund sehe, sich auf die Möglichkeiten des vergangenen Jahrhunderts zu konzentrieren.
Als ich dann vom Quake als Browser-Game las, dachte ich zuerst, dass es mit dem Browser-Spielen vielleicht doch nicht so schlimm ist, wie ich es mir vorstellte. Denn, ein Spiel wie Quake III Arena für alle Spieler der Welt kostenlos bereitzustellen ist nicht nur eine Herausforderung für Flash-Programmierer, sondern auch für die Hardware, was die Leistung für eine große Menge von Menschen zur Verfügung stellen sollte. Ich wollte natürlich das Spiel sofort ausprobieren. Aber sofort ging es nicht. Zuerst sollte ich mich registrieren. Das ist zwar kein Problem, aber ich frage mich, wozu die Betreiber unbedingt meinen echten Namen wissen möchten. Das ist wirklich nicht sehr sinnvoll, zumal können sie sowieso nicht überprüfen, ob ich echte Daten eingebe oder nicht.
Aber was sehe ich da? Ich war anscheinend mit meinem Optimismus ein Bisschen zu früh. Die Webseite teilte mir mit, dass es noch 25817 Spieler gibt, die in der Warteschlange stehen, um Quake zu spielen.

Wenn man annimmt, dass es nur Interessente sind, die das Spiel eine Minute lang ausprobieren möchten, dann werde ich nach 18 Tagen dran kommen. Das finde ich uncool

Einige Tage lang war das Internet bei mir nur bedingt funktionsfähig. Mehrere IP-Adressbereiche waren nicht erreichbar. Zuerst dachte ich, dass das Problem bei der Namensauflösung liegt. Mit Hilfe von tracert konnte ich aber feststellen, dass an einer bestimmter Stelle die Pakete nicht weitergeleitet werden können. Nach einer kurzen Recherche fand ich heraus, dass diese Stelle nicht zum ersten Mal betroffen ist. Eine Lösung gab es anscheinend nicht. Das einzige, was ich machen konnte ist – Warten.
Oder doch nicht? Natürlich nicht! Zum Glück war mein Server, der übrigens auch bei 1&1 ist, erreichbar. Ich loggte mich über Putty ein und versuchte, eine Webseite mit Hilfe von lynx aufzurufen, die ich von meinem heimischen PC nicht erreichen konnte. Das ging problemlos. Da das Betrachten einer Webseite mit Hilfe von lynx nicht unbedingt eine Lösung darstellte, entschied ich mich, ein Proxy-Server aufzusetzen. Weil ich zuvor damit keine Erfahrungen machte, griff ich zur Hilfe von Linux-Community. Die Hilfe war rasch, aber wie immer zu kurz. Man empfahl mir Squid als Proxy-Server einzusetzen. Als Anleitung sollte mir „man squid“ dienen. Ich muss zugeben, ich hasse Anleitungen, die im Stil von „man“ geschrieben sind. Deswegen machte ich mich auf die Suche nach einem kurzem und verständlich geschrieben HowTo. Zum Glück gibt es jede Menge davon im Netz. Ich brauchte etwa eine Stunde, um zu verstehen, wie alles funktioniert. Der schwierigste Teil war für mich die Einrichtung der Passwortabfrage. Ich konnte zuerst dafür vorgesehenes Programm (ncsa_auth) nicht finden. Als ich aber dieses Programm fand, war ich schnell mit der Einrichtung fertig. Das Internet war wieder für mich zu 100% funktionsfähig.

Gestern entschied ich mich, meinen Arbeitsrechner auf Viren zu untersuchen. Die letzte Untersuchung machte ich, als ich noch Avira als Antivirus-Lösung verwendete. Seit einigen Monaten benutze ich Kaspersky Internet Security 2009 hatte aber seitem noch keine vollständige Prüfung des Systems ausgeführt.
Zwar konnte KIS keine Schadsoftware finden, dafür aber jede menge Sicherheitslücken. Die neue Version von Kaspersky sucht anscheinend nicht nur nach Viren oder Trojaner, sondern prüft auch, ob auf dem System installierte Software auf dem aktuellem Stand ist und keine Sicherheitslücken hat. Da waren meine Versäumnisse deutlich sichtbar. Aus dem Bericht erfuhr ich, dass auf meinem System Flash Player, außer einer aktuellen Version auch in älteren Versionen (8 und 9) vorhanden ist. Außerdem gab es bei mir einige Programme, die in Java geschrieben sind und ein unabhängiges Java Runtime Environment haben. Dieses JRE war bei 2 Programmen nicht auf dem aktuellen Stand und wies schwere Sicherheitslücken auf. Zwar ist ein Eingriff mit Hilfe eines solchen JRE eher unwahrscheinlich, da diese Programme nicht so verbreitet sind (Zum Beispiel Enzyklopädie Brockhaus), aber im Falle eines gezielten Eingriffes wären die Folgen fatal. Da würde auch die Tatsache, dass ich unter einem eingeschränkten Benutzerkonto arbeite, nicht helfen. Insgesamt fand KIS bei mir eine Dutzend von solchen Lücken.
Der Grund, warum es so viele Lücken bei mir gab, liegt darin, dass ich außer eines Arbeitsrechners, 2 weitere Rechner zu Hause habe. Irgendwann konnte ich den Überblick über alle von mir installierten Programmen nicht mehr behalten und so kam es zu solchen Versäumnissen. Es sind keine Viren oder Trojaner, aber eine solche Sicherheitslücke konnte durchaus dafür ausgenutzt werden, den Zugriff auf das System zu bekommen. Da bin ich echt froh, dass Kaspersky eine solche Feature bietet.

Gestern erreichte mich eine Nachricht, von einem Freund von mir, dass eine der meinen Webseiten einen Trojaner beim Öffnen der Seite auf den Rechner des Clients zu installieren versucht. Erstmal glaubte ich daran nicht und dachte, dass es ein Irrtum ist. Als ich diese Seite öffnen wollte, alarmierte mich das Kaspersky Internet Security, dass ein trojanisches Pferd auf meinem Rechner den Zugriff verschaffen versucht. Das war wirklich eine sehr unangenehme Überraschung für mich. Ich begann sofort mit der Suche. Zuerst überprüfte ich die Datenbank, der jeweiligen Webseite, konnte aber keine Spuren finden. Danach suchte ich die Konfigurationsdateien von Apache durch und fand ebenfalls nichts. Als ich aber zu Grep griff, war ich sofort fündig. Dem Angreifer ist es gelungen, ein Symlink, das auf index.php Datei zeigt, mit einer präparierten index.php Datei zu überschreiben. Diese Datei enthielt Code, dass per Java-Skript eine Installation von einem Trojaner veranlasste. Die Hacker integrierten in die Webseite außer Java-Skript ein Meta-Tag mit der Codierung 1251. Daraus kann man schließen, dass diese Leute aus dem russisch-sprachigen Raum
agieren.
Ich konnte soweit meine Webseite von diesem Unding bereinigen und alle Updates, was die TYPO3 Installation und Linux aufzuspielen. Leider konnte ich nicht herausfinden, welche Lücke, die Angreifer genau ausgenutzt hatten, um das Symlink zu überschreiben.

Ein großer Nachteil von Windows Betriebssystemen besteht darin, dass es keine zentral basierten Softwarelösung gibt, die um die Aktualität von auf einem System installierten Software kümmern würde. In Linux-Welt ist eine solche Software schon lange ein Teil des Betriebssystems. Bei SuSE Linux erledigt diese Funktion Yast, Debain bietet dafür APT und zahlreiche grafische Oberflächen (zum Beispiel Synaptic).
Als Administrator von einem Windows-Betriebssystem wird es mit der Zeit immer schwieriger, den Überblick, über die installierte Software zu behalten. Genau aus diesem Grund haben die Entwickler von Secuina eine Software namens Secunia PSI entwickelt. Dieses Programm ist, laut dem Hersteller, in der Lage, mehr als 4700 Applikationen auf die Aktualität zu überprüfen.
Das Programm funktioniert folgendermaßen: es sammelt Informationen über das jeweilige System und überträgt diese mittels einer verschlüsselten HTTPS-Verbindung zum Server, wo die Daten schließlich ausgewertet werden.
Secunia PSI befindet sich noch in Beta-Phase und funktioniert noch nicht ganz zuverlässig. Es gibt noch Probleme mit Programmen, die ohne Installation laufen, da diese anscheinend von Secunia PSI nicht wahrgenommen werden. Ansonsten fand ich das Programm sehr hilfreich. Ich konnte damit zum Beispiel erkennen, dass ich schon lange kein Update für WinSCP machte, was eigentlich für mich sehr wichtig ist. Das Programm ist übrigens für private Nutzung kostenlos, was ich sehr positiv finde.

Dieses Update war dazu gedacht, bei Windows XP und Windows 2000, die Benutzung statischen Quellports bei DNS-Anfragen zu unterbinden, da die Angreifer die Transaktions-ID der DNS-Abfragen mit einer sehr hohen Wahrscheinlichkeit erraten und danach die Antworten fälschen konnten.
Obwohl dieses Problem schon seit einigen Monaten bekannt war und mehrere Software-Hersteller an einer Lösung gemeinsam gearbeitet hatten, wurde Checkpoint, der Hersteller von ZoneAlarm, offensichtlich davon überrascht. Denn nach der Installation vom oben genannten Update, blockt ZoneAlarm alle Verbindungen, sodass es keine Namensauflösung mehr möglich ist und das Internet liegt praktisch lahm. Ich hatte dieses Problem gestern erlebt, als ich meinen Notebook startete. Dabei wusste ich bereits, dass es ein solches Problem existiert, da ich zu dem Zeitpunkt aber keine Probleme feststellen konnte, dachte ich mir, dass es wie es schon oft passierte, bei mir nicht der Fall wird. Da ich aber Windows AutoUpdate an hatte, wurde das Update natürlich auch auf meinem Rechner installiert. Als Folge konnte ich auf das Internet nicht zugreifen. Das Problem wurde aber gelöst, indem ich Firewall auf “Mittel” eingestellt habe, dann konnte ich ZoneAlarm auf die neuste Version updaten und damit das Problem beseitigen. Trotz der schnellen Lösung bin ich sehr enttäuscht, dass ich so was erleben musste. Es könnte durchaus sein, dass ich das gleiche Problem nicht zuhause, sondern bei einem der Kunden bekommen hätte. Es würde sehr unprofessionell wirken und dem Kunden wäre es sicherlich egal, ob das Problem bei Checkpoint liegt oder bei mir.

Ich habe auf meinem Rechner sowohl Linux, als auch Windows Vista installiert. Das ist sehr praktisch, da ich beide Systeme von Zeit zu Zeit für bestimmte Zwecke brauche. Da aber die Daten auf unterschiedlichen Partitionen gespeichert sind, muss ich ständig zwischen den Systemen wechseln, wenn ich bestimmte Daten brauche. Der Grund für dieses Problem liegt darin, dass Linux und Windows unterschiedliche Dateisystemformate haben. Alle aktuellen Windows Versionen setzen NTFS ein. Linux verwendet meistens EXT3. Ich kann zwar von Linux auf NTFS-Partitionen zugreifen, dafür kann ich nicht darauf schreiben. Wenn ich unter Windows bin, kann ich auf eine EXT3-Partition weder schreiben, noch diese lesen.
Ich wollte diesen Umstand nicht einfach hinnehmen und versuchte eine einfachere Möglichkeit zu finden, wie ich von Windows auf Linux-Partition zugreifen kann. Nach einer kurzen Zeit war ich fündig.
Es gibt mindestens zwei Programme, die einen Zugriff auf EXT3 erlauben.
Eins davon heißt LinuxReader von DiskInternals. Dieses Programm funktioniert unter Windows ab Windows 2000 und kommt mit der Dateien, die größer als 2GB zurecht.
Ein anderes Programm heißt Ext2 IFS for Windows. Der Autor davon ist Stephan Schreiber. Es funktioniert ebenfalls auf allen Windows-Versionen, ab Windows 2000 und kommt auch mit der Dateien, die größer, als 2 GB zurecht.
LinuxReader ist ein sehr praktisches Tool, das ein benutzerfreundliches GUI hat. Damit kann man wunderbar auf Daten von Linux-Partitionen zugreifen. Wenn man aber einen schreibenden Zugriff braucht, kommt man um Ext2 IFS for Windows nicht herum. Nach der Installation von Ext2 IFS werden die Linux-Laufwerke als gewöhnliche Laufwerke angezeigt. Der Zugriff erfolgt genauso wie auf die Windows-Laufwerke.
Eigentlich gibt es noch eine Möglichkeit, einen Lese- und Schreibzugriff zwischen NTFS und EXT3 zu gewährleisten. Dazu sollte man eine FAT32-Dateisystem verwenden. Der Hacken an FAT32 besteht aber darin, dass dieses Dateisystem eine Datei nur bis einer Größe von 4 Gigabyte unterstützt.

Reguläre Ausdrücke sind sehr gebräuchlich und stellen eine Art Filterkriterium dar, in dem der Ausdruck in Form eines Musters gematched wird.
Soviel die Theorie…
In der Praxis werden die reguläre Ausdrücke sehr oft verwendet, zum Beispiel um Strings zu Filtern oder Rewrite Rules für Apache zu erstellen. Um die reguläre Ausdrücke richtig zu verstehen, muss man sich mit EBNF beschäftigen, ich möchte im diesem Beitrag ein paar Grundlegende Regeln erläutern, damit man die Reguläre Ausdrücke besser verstehen könnte:

| – Pipe-Symbol steht für logisches „oder“.
() – Runde Klammern bedeuten eine Gruppierung.
z.B. (a|b) heißt a oder b.
[] – Die quadratische Klammern definieren einen Bereich von Zeichen, die vorkommen können. Zum Beispiel [0-6] heißt, dass es ein Ziffer von 0 bis 6 vorkommen kann.
[a-z] würde heißen, dass es eine kleine Buchstabe des Alphabets vorkommen kann.
Mann kann auch kombinieren: [a-zA-Z0-9] würde heißen dass es eine beliebige lateinische Buchstabe oder eine beliebige Ziffer vorkommen kann
[^f] – Ein ^-Symbol vor einem Zeichen würde in diesem Fall eine Ausnahme bedeuten, d.h., dass es alles außer f vorkommen kann.
. – Punkt steht für ein beliebiges Zeichen. (Achtung, falls man Punkt matchten möchte, sollte man ihn mit einem Backslash maskieren „\.“)
? – Der Ausdruck mit Fragezeichen ist optional.
Beispiel: (aaa)(abc)? Würde alle Zeichenketten mit dem Ausdruck „aaaabc“ finden, aber auch nur „aaa“.
+ – Der vorhandene Ausdruck kommt mindestens einmal vor, kann aber auch beliebig viele Male vorkommen.
Beispiel: (aaa)+ – Damit lassen sich Zeichenketten „aaa“ finden, aber auch „aaaaaa“ oder „aaaaaaaaa“ usw.
* – Dieser Ausdruck kann beliebig oft vorkommen, darf aber auch wegfallen.
Beispiel [a-z]*
{min,max} – Hiermit gibt man vor, wie oft der Ausdruck mindestens und höchstens vorkommen darf.
Beispiel: [0-9]{1,2} würde heißen, dass eine Ziffer von 0 bis 9 mindestens 1 mal und höchstens 2 mal gefunden werden soll.

Falls man Probleme hat und nicht weiß, wo der Fehler liegt, empfehle ich das Programm The Regex Coach, damit kann man wunderbar Debugging betreiben und die Fehler beseitigen.

Ich bin jetzt auf der Suche, nach einer guten Antiviren-Lösung, die http und ftp Traffic nach Vieren durchsucht und diese falls man fündig wird, löscht.
Das Problem ist, ich suche nach einer Windows-Lösung, die auch bezahlbar ist. Bis jetzt habe ich Lösungen von CA, F-Secure und Trend Micro gefunden. Vielleicht weiß jemand, welche Firmen, solche Lösungen für SBS anbieten und diese auch nicht zu teuer sind?