Montag, 7. Dezember 2009

Zensierte Mediathek/unvollständige Nachrichten

Schöne neue Welt - oder - warum sich mir bei dem Thema GEZ-Gebühr für Computer die Nackenhaare sträuben.

Ich wollte mich heute in unserem unabhängigen öffentlich-rechlichem Staatsfernsehen über die Geschehnisse des gestrigen Tages informieren.

Dies wollte ich bei unserem Zweiten Deutschen Fernsehen tun, deren neueste Mediathek-Version ja sogar endlich unter Linux funktioniert.

Nachdem die Nachrichten ja schon bei der Berichterstattung zur Leichtathletik-WM zensiert worden waren (man besitzt keine Rechte an den Bildern zur 'Ausstrahlung' im Internet) ist mir heute endgültig die Hutschnur geplatzt.

Bei Zeitpunkt 12:28 - mitten in einem Bericht zur Bombardierung der Tanklaster - kommt folgende Einblendung:

Ich fühle mich ehrlich gesagt verarscht, gerade weil immer nach den Nachrichten der Hinweis kommt, man könne sie ja im Internet nochmal sehen, wenn man sie verpasst hat.

Diese Einblendung wird ermöglicht durch Ihre Rundfunkgebühren - TOLL.

Wer selber nachsehen will kann dies hier tun. Aber dran denken: Die Sendung ist nur begrenzte Zeit verfügbar - auch wenn sie von unserem Geld bezahlt ist.

Ich habe über das Kontaktformular mal um Informationen gebeten, insbesondere wie das mit der Forderung nach vollen GEZ-Gebühren für PCs zusammengehen soll.

Montag, 9. November 2009

Things you don't want to see when creating a filesystem...

Wo wir schon beim Thema sind. Habe eben ein altes kernel-log auf meinem nas gefunden:
BUG: unable to handle kernel NULL pointer dereference at 00000004
IP: [] mempool_free+0xe/0x97
*pde = 00000000 
Oops: 0000 [#1] PREEMPT 
Modules linked in: xfs raid456 async_xor async_memcpy async_tx xor md_mod dock container video output wmi ohci_hcd nfsd auth_rpcgss exportfs ac battery ipv6 nfs lockd nfs_acl sunrpc loop parport_pc parport floppy pcspkr rtc i2c_i801 i2c_core rng_core button intel_agp agpgart evdev ext3 jbd mbcache cbc dm_crypt crypto_blkcipher dm_mirror dm_snapshot dm_mod ide_generic ide_cd_mod cdrom ide_disk sd_mod usb_storage dc395x 3c59x mii scsi_mod piix ide_core ehci_hcd uhci_hcd usbcore thermal processor fan

Pid: 27646, comm: md0_raid5 Not tainted (2.6.25.1 #3)
EIP: 0060:[] EFLAGS: 00010286 CPU: 0
EIP is at mempool_free+0xe/0x97
EAX: cf5f15a0 EBX: 00000000 ECX: c15f7990 EDX: 00000000
ESI: 00000000 EDI: cf5f15a0 EBP: 00000000 ESP: cf77be20
 DS: 007b ES: 007b FS: 0000 GS: 0000 SS: 0068
Process md0_raid5 (pid: 27646, ti=cf77a000 task=cf484b00 task.ti=cf77a000)
Stack: ...
Call Trace:
 [] return_io+0x2b/0x33 [raid456]
 [] handle_stripe5+0x488/0xdf9 [raid456]
[...]

Der Bug war übrigens reproduzierbar, wenn man versuchte auf einem gerade im Aufbau befindlichen Raid5 einen LUKS-Container anzulegen und darin dann das Filesystem zu erzeugen.

Things you don't want to see when checking a filesystem...

Out of memory: kill process 3641 (xfs_check) score 20034 or a child
Killed process 3642 (xfs_db)
# xfs_check /dev/sda1
Segmentation fault.
*aargh* 1 GB RAM (davon >700MB frei) sollten meiner Meinung nach für ein fsck auf xfs reichen. Und egal wie kaputt das Dateisystem ist, von einem Superblock mit invaliden Daten sollte es keinen Segfault geben.

Sonntag, 27. September 2009

Heute ist Bundestagswahl: Geh Wählen!

Ein kurzer Reminder an alle:
Heute, am 27.09.2009, ist Bundestagswahl
Wer nicht wählen geht, darf sich hinterher nicht beschweren! Ansonsten gilt (nach GBO) für die Wahl dasselbe wie für den Zahnarzt: Geht man zu lange nicht hin, wird's braun. In diesem Sinn:
Beweg Dich und geh zur Bundestagswahl!
... damit sie sich noch wünschen wir wären nur politikverdrossen!

Samstag, 12. September 2009

Mein Bild der Berliner Polizei...

...hat heute einen weiteren, diesmal sehr heftigen Knacks bekommen.

Anlass ist ein Video - dessen Inhalt ich kaum glauben mag.

Zu sehen ist eine Gruppe Polizisten und einige Demonstranten. Einer der Demonstranten will wohl gerade eine Anzeige gegen einen der Polizisten aufgeben, weil er bei der Festnahme eines anderen Demonstranten seiner Meinung nach zu brutal vorgeganden ist.

Das Ergebnis für diesen Demonstanten: Mindestens eine gebrochene Nase - und zwar nicht für den Festgenommenen, sondern für den, der die Anzeige aufgeben will - denn plötzlich wird er, schon im Gehen, von zwei Polizisten festgehalten und ein dritter schlägt ihm mit der Faust und mit voller Wucht in das Gesicht. Hält man das Video an, stellt sich bei mir der Eindruck ein, der Zuschlagende würde auch noch grinsen und das Zuschlagen genießen.

Ich finde das unerträglich!

Video: http://www.lawblog.de/index.php/archives/2009/09/12/mustergultiger-einsatz-ii/

Zynischerweise fand dies am Rande der Demonstration 'Freiheit statt Angst' statt - bei den Bildern bekommt dann auch Angst - vor dem Staat bzw. seinen Organen.

Leider deckt sich das aber mit meinen 'Erlebnissen' mit der Berliner Polizei, was die Begleitung von Demonstrationen angeht. Sonst sind alle Beamten immer höflich und korrekt gewesen.

Bei einer der Demos der Studentenproteste an der TU habe ich gesehen, wie einer der Polizisten uns Studenten angepöbelt und beleidigt hat, die Faust in die Höhe gestreckt hat und unsere Slogans als 'blah blah' abgetan hat (durch Zeichensprache). Sowas trägt natürlich unheimlich zu einem freundlichen Miteinander bei - zumal das direkt am Beginn passierte, ohne dass bis dahin was wesentliches passiert ist. Später setzen diese Beamten es sich dann auch in den Kopf, mit ihrer Wanne mitten durch den Demonstrationszug fahren zu müssen, so dass es notwendig war die Demonstranten die davor liefen zur Seite zu schubsen. Das war mein erstes 'negatives' Erlebnis.

Das zweite durfte ich vor meiner Haustür sehen, als 5-6 Polizisten auf Grund einer Verwechslung auf einen Demo einen Einzelnen aus dem Zug zerrten und danach mit Pfefferspray um sich sprühten. Es sei erwähnt, dass der Demonstrant nicht mal die Chance hatte zu reagieren, weil er vorher nicht angesprochen wurde doch bitte mitzukommen: Es rannten sofort die oben erwähnten 5-6 Polizisten in kompletter Kampfmontur auf ihn zu - was natürlich Reaktionen bei Umstehenden auslöst - in diesem Fall die Polizisten zu filmen und in Richtung Hausecke zu folgen.

Als sporadischer Demonstrationsteilnehmer muss ich sagen, bin ich geschockt und frage mich, was man in so einer Situation machen kann, denn jede Form der Einmischung ist von Widerstand gegen die Beamten bis hin zu versuchter oder vollzogener Gefangenenbefreiung sanktioniert oder endet eben im Krankenhaus.

Mittwoch, 2. September 2009

Wir brauchen dringend Internetsperren, denn wir haben zu wenig Ermittler!

Langsam wird es deutlich: Die Politik hat offenbar kein Interesse, wirksam gegen Delikte aus dem Bereich der Kinderpornographie vorzugehen.

Woher ich diese Erkenntnis diesmal ziehe? Aus einem Artikel der Netzeitung.

Zitat: "In Sachsen-Anhalt müssen Verfahren wegen des Verdachts auf Kinderpornographie eingestellt werden, weil kein Personal zur fristgerechten Sichtung der Beweismittel da ist."

Randnotiz: Der Ministerpräsident des Landes ist Wolfgang Böhmer (CDU), ein Parteigenosse unserer Familienministerin...

Dort liegen Datenträger seit 3 Jahren zur Auswertung. Wie sollen so Hintermänner gefasst werden?

Und was bedeutet das für möglicherweise unschuldig Verdächtigte?

Sämtliche Hardware wird bei einer Durchsuchung beschlagnahmt. Alle Datenträger sind weg.

In der Praxis heisst das heute, dass man als moderner Mensch in seiner Existenz gefährdet sein kann, nicht nur wenn man sein Geld mit dieser IT verdient.

Die Steuererklärung könnte ich zum Beispiel nicht mehr machen, denn alle von mir geschriebenen Rechnungen liegen nur digital vor, abenso wie die Kalkulationen der letzen Jahre. Das Finanzamt schätzt mich also.

An mein Onlinebanking komme ich auch erstmal nicht, der Rechner ist ja weg, man muss sich also einen Ersatz beschaffen.

Alle Studienunterlagen auf dem Rechner (auch Diplomarbeit, Hausaufgaben, Klausurvorbereitung) sind nicht mehr zugreifbar, Dokumente des Arbeitgebers nicht verfügbar, Programmierprojekte, Quellcode, alles weg.

Und das für mehrere Jahre, wenn man nicht auf Herausgabe der Datenträger klagt.

Für echte Täter andererseits bedeutet es, dass sie möglicherweise gar nicht belangt werden, Spuren vernichten können, die Hintermänner niemals ermittelt werden.

Man fügt also unschuldigen unermesslichen Schaden zu und gefährdet sie in ihrer Existenz, während Täter unter Umständen für die eigentlichen Taten nicht belangt werden.

Welche Spuren können nach 3 Jahren bei diesen Delikten denn noch gesichert werden? Und um mit unserer Familienministerin von der Leyen zu sprechen: In diesen 3 Jahren gehen die schrecklichen Verbrechen an den Kindern doch weiter, denn es handelt sich um dokumentierten Kindesmissbrauch!

Aber wir brauchen dringend Stoppschilder? Wir brauchen fähige Ermittler! DRINGEND!

Sonntag, 30. August 2009

Webseiten automatisch vor Überlast schützen am Beispiel einer MediaWiki-Seite

Das Szenario: Man ist stolzer Betreiber eines eigenen Servers auf dem ein Wiki läuft. Plötzlich berichtet Heise über das eigene Projekt oder man wird von einer anderen der großen Nachrichten-Portale verlinkt und plötzlich geht auf dem Server gar nichts mehr. Selbst der Zugriff per SSH um zu schauen was los ist funktioniert nicht mehr richtig und alle Nagios-Instanzen schlagen Alarm.

Damit es zu diesem Szenario nicht kommt, gibt es natürlich verschiedene Ansätze. Von redundant vorgehaltenen Servern, die per DNS Round-Robin angesprochen werden, über Loadbalancer auf Routingbasis, etc.

Viele dieser Maßnahmen sind aber entweder recht kostspielig oder haben den Nachteil nicht so gut mit soetwas wie einem Wiki zusammenzuarbeiten.

Es gibt aber eine weitere Möglichkeit, die den Dienst http://coralcdn.org benutzt.

Coral Content Distribution Network

Das Coral Content Distribution Network funktioniert transparent durch das Anhängen einer Domain des Dienstes an eine beliebige Webadresse. So wird aus www.google.de ganz schnell die gecachte Version, wenn man statt dessen www.google.de.nyud.net aufruft.

An dieser Stelle vielen Dank an rbu für den Hinweis auf Coral!

Doch wie kann man diesen Dienst benutzen, um ein Wiki bei Überlast des Servers noch einigermassen erreichbar zu halten?

Ein eigener Host für Coral

Zunächst habe ich zum Testen einen weiteren Virtual Host für das Wiki aufgesetzt, so dass ich dort Einstellungen machen kann, ohne das Wiki unbrauchbar zu machen.

Ausserdem hat das den Vorteil, dass ich https-Zugriffe verhindern bzw. umlenken kann, die über Coral natürlich nicht richtig funktionieren.

Und, noch etwas, dieser Virtual Host soll später vielleicht mal auf einen weiteren Rechner umziehen und kann so noch mehr Last abfedern, indem er statische Dateien wie Bilder direkt aus seinem Cache ausliefert.

Dieser VHost hört auf den originellen Namen cache.meinedomain.tld.

Folgende Parameter wurden (zusätzlich) gesetzt:


      #Dies soll ein Proxy werden, also Zugriff auf
      #folgende Seiten per proxy erlauben:

      <Proxy proxy:http://wiki.meinedomain.tld/ >
            Order deny,allow
            Allow from all
      </Proxy>

      ProxyVia On
      ProxyRequests Off

      #Diese Seite liefern wir auf / aus:
      ProxyPass / http://wiki.meinedomain.tld/
      ProxyPassReverse / http://wiki.meinedomain.tld/

      #Ausserdem Cachen wir auf der Festplatte
      CacheRoot /var/cache/apache2
      CacheDirLevels 2
      CacheDirLength 10
      CacheMinFileSize 10
      CacheMaxFileSize 2000000
      CacheEnable disk /
      CacheEnable disk http://wiki.meinedomain.tld/
      CacheEnable disk proxy:http://wiki.meinedomain.tld/

      #Die Cookies wollen wir nicht mit speichern...
      CacheDefaultExpire 3600
      CacheIgnoreHeaders Set-Cookie

      # Bis hier war das nur die (optionale) proxy-Konfiguration
      # kommen wir nun zum LoadBalancer

      RewriteEngine on
      RewriteCond %{HTTP_USER_AGENT} !^CoralWebPrx
      RewriteCond %{QUERY_STRING} !(^|&)coral-no-serve$
      RewriteMap    lb      prg:/var/www/loadbalance.sh
      RewriteCond   ${lb:%{REQUEST_URI}|NULL} !^NULL
      RewriteRule   ^(.*)$ ${lb:$1|%1}           [P,L]

Der zweite Block definiert ein shellscript als Entscheidungshilfe für das Ziel eines Redirects, wenn der Request nicht von dem coral-webproxy kam. Diese Ausnahme müssen wir konfigurieren, da wir sonst den Coral-Server auf sich selbst umlenken würden.

Und dieses Script ist auch schon das Geheimnis.

Das Redirect-Script

Das folgende Script wird vom apache sofort beim Start geforkt und erhält auf stdin fortan die angefragte URL und kann auf stdout dann ausgeben, wohin denn der Request umgelenkt werden soll.

Damit kann man nun nach eigenem Ermessen Paramter suchen, die für einen Redirect sorgen sollen.

Ich nehme hier das maximum von zweien der Load-Werte, so dass bei zuviel Ansturm die Besucher umgelenkt werden und mit Abflauen des Ansturms (die Besucher bleiben dann ja auf dem Proxy) auch wieder neue Besucherrequests angenommen werden.

Ein wenig zusammengehackt und sicherlich nicht die schnellste Implementierung, aber es erfüllt erstmal seinen Zweck, sollte aber durch ein C-Programm ersetzt werden, welches ein _wenig_ effizienter implementiert ist.

#!/bin/bash

loadbalancer="cache.meinedomain.tld.nyud.net";

while read LINE; do
 load="$(awk '{gsub("\\.",""); if ($1>$2){ print $1} else { print $2 }  }'< /proc/loadavg)"
 if [ "$load" -gt "$(cat /var/www/maxload.conf)" ]; then
   logger -t "loadbalance-cache" "redirecting due to load=$load. request: $LINE"
   printf "http://%s/%s\n" "${loadbalancer}" "${LINE}"
 else
   printf "NULL\n"
 fi
done

In der Datei /var/www/maxload.conf habe ich testweise einfach die Zahl 550 eingetragen, so dass ab einer Load größer 5.5 ein Redirect erfolgt.

Konfiguration des Wikis

Bei Zugriffen über den Proxy muss das Wiki read-only arbeiten. Dafür gibt es mehrere Gründe:

Zum Einen sollen nicht die privaten Previews eines Benutzers gecached werden, zum anderen redirecten wir ja wegen hoher Last - und ein Edit eines Artikels wird sicherlich nicht zum Senken der Last beitragen.

Dazu gibt es einen Codeblock in der LocalSettings.php des Wikis:

if ( preg_match( "/^CoralWebPrx/", $_SERVER['HTTP_USER_AGENT']) > 0
    || preg_match( "/coral-no-serve$/", $_SERVER['QUERY_STRING']) > 0) {

 $wgReadOnly="<span style=\"background-color:yellow;\">Das Wiki ist aus Lastgründen read-only. Du greifst daher gerade über ein Cache auf eine gespeicherte Version zu.</span>";
}

Dadurch verlieren wir zwar auch die PageHits-Zählung im Wiki, aber über einen Proxy werden diese ohnhin nicht mehr korrekt gezählt.

Konfiguration des Wiki-Hosts

Nachdem alles getestet ist und funktioniert, können wir bei Überlast alle Requests auf den Wikiserver direkt auf die cache-Variante von Coral lenken. Dies machen wir mit einigen Zeilen in der Definition des Virtual Hosts:

RewriteEngine on
RewriteMap    lbwiki      prg:/var/www/wiki.meinedomain.tld/loadbalance.sh
Folgende Regeln fügen wir nun an die .htaccess des Wikis an. Das muss geschehen, da wir dort noch andere Rewrite-Regeln definiert haben.
# Alle requests des coral-proxies auf den cache lenken,
# requests von unserem Cache nicht auf unser Cache umlenken.
RewriteCond %{REMOTE_ADDR} !^127.0.0.1$
RewriteCond %{REMOTE_ADDR} !^IP.DES.EIGENEN.PROXIES$
RewriteCond %{HTTP_USER_AGENT} ^CoralWebPrx
RewriteRule   ^(.*)$ http://cache.meinedomain.tld/$1           [R,L]

RewriteCond %{REMOTE_ADDR} !^127.0.0.1$
RewriteCond %{REMOTE_ADDR} !^IP_DES_CACHES$
RewriteCond %{QUERY_STRING} (^|&)coral-no-serve$
RewriteRule   ^(.*)$ http://cache.meinedomain.tld/$1           [R,L]


#Folgender Block prueft ob die load zu hoch ist und
#redirected dann auf den gecachten cache...
#RewriteMaps muessen global in der vhost konfig gemacht werden.
RewriteCond %{REMOTE_ADDR} !^127.0.0.1$
RewriteCond %{REMOTE_ADDR} !^IP_DES_CACHES$
RewriteCond %{HTTP_USER_AGENT} !^CoralWebPrx
RewriteCond %{QUERY_STRING} !(^|&)coral-no-serve$
RewriteCond   ${lbwiki:%{REQUEST_URI}|NULL} !^NULL
RewriteRule   ^(.*)$ ${lbwiki:$1|%1}           [R,L]


Wichtig ist hier, dem LoadBalancer einen anderen Namen zu geben.

Wir benutzen für diesen Artikel wieder dasselbe script, so dass direkt auf den Host cache.meinedomain.tld.nyud.net verwiesen wird.

Der erste Block ist eher 'Kosmetik' und verhindert, dass man auf wiki.meinedomain.tld über Coral zugreifen kann.

Samstag, 29. August 2009

easyjet: was kann man alles falsch machen?

Eine Bekannte schrieb mir, beim Buchen von Flügen per easyJet kämen Zertifikatsfehler. Was das denn zu bedeuten habe?

Das Zertifikat für https://www.easyjet.de ist nur für www.easyjet.com gültig. Nungut, kann passieren. Versuchen wir denen das mal zu sagen... Pustekuchen. Ein Kontaktformular haben die auf ihrer Seite gar nicht. Najaah, schauen wir mal im whois, da wird doch - nein, Fehlanzeige, keine Telefonnummern oder Emailadressen im whois. Nur eine Postadresse in London. Hach, raten wir ne mailadresse per telnet auf port 25:
$ dig mx easyjet.de +short
10 mxhost-2.vi.net.
5 mxhost-1.vi.net.
los gehts:
$ nc mxhost-1.vi.net  25
220 mxhost-1.vi.net ESMTP Postfix
HELO mail.xxxxxxxxxxx.net
250 mxhost-1.vi.net
MAIL FROM: <postmaster@xxxxxxxxxxx.net>
250 2.1.0 Ok
RCPT TO: <webmaster@easyjet.de>
554 5.7.1 <webmaster@easyjet.de>: Relay access denied
wat?! Der für die Domain zuständige MTA weigert sich dorthin zu relayen?

Dann kann und will ich ihnen auch nicht mehr helfen...

Die betreiben da unter easyjet.de Flugbuchungen, aber weder ihr SSL-Zertifikat funktioniert, noch ihr Mailsystem?! Super!

Aber das passt zu den Buchungsmails die sie verschicken. Multipart mit text und html-Teil. Aber: Der Text-Teil ist komplett leer, im html-Teil stehen dann die Buchungsdaten.

Freitag, 28. August 2009

Demokratie in Deutschland...

"Ein unkontrolliertes, geheimes Gremium erstellt unter umgehung aller Gewaltenteilung und aushebelung der Unschuldsvermutung, nur stichprobenartig kontrollierte geheime Listen von geheimen Seiten, die mittels eines geheimen Verfahrens umgesetzt werden. Kontrolle ist illegal, Bekanntmachen ist illegal, umgehen zur Kontrolle ist illegal. Danach fragen macht verdächtig, versehentlicht darauf landen macht verdächtig, dagegen sein macht verdächtig." Quelle: Heise-Forum

Natürlich ist das Gesetz keine Zensur, noch nicht, weil noch werden angeblich nur illegale Inhalte gefiltert. Eine umfassende Kontrolle findet jedoch nicht statt, und wer sagt denn, dass die Liste, die das BKA an die Kontrollorgane weitergibt, identisch mit der ist, die an die Provider geschickt wird. Immerhin ist es vorgesehen, dass die Liste sich alle paar Stunden ändern kann. Da hat man halt kurz nach dem Versenden an die Kontrollorgane die Liste schon wieder geändert und sich leider in der Version vertan

Aber in Deutschland ist ja auch mittlerweile normal, dass im Parlament Aussprachen nur noch schriftlich stattfinden, ohne dass die Redebeiträge gehalten werden. Wenn es dann doch mal sogenannte Debatten gibt, finden diese auch mal nachts um halb vier statt, und ein Agrarausschuss entscheidet über IT-Themen.

Der einzelne Parlamentarier fühlt sich dem Fraktionszwang verpflichtet und stimmt dann auch mal "mit Bauchschmerzen" für ein Gesetz, dass er für falsch hält. Danach hat der Parlamentatier auch noch die Stirn, dies zu sagen, verbunden damit, er gehe ja ohnehin davon aus, dass das Bundesverfassungsgericht das Gesetz stoppt.

Dann haben wir noch eine spezielle Ministerin, die von ihr selbst in Auftrag gegebene Gutachten als "unterirdisch" bezeichnet und dieses sowie alle Experten schlicht ignoriert.

Andere Minister vergeben den Auftrag Gesetze zu machen dafür gleich ganz an ausländische Anwaltkanzleien oder haben in ihrem Ministerium Angestellte, mit eigenem Büro, die von der Industrie bezahlt werden und an den Gesetzen mitarbeiten, die dann für diese Industrie gelten. Natürlich nur, um den Sachverstand zu nutzen, den diese mitbringen, und einen lebendigen Austausch zwischen Wirtschaft und Politik zu ermöglichen.

Fazit: Ich fühle mich jedenfalls derzeit verkauft und verraten von diesen sogenannten Volksvertretern und werde meine Kreuze entsprechend setzen.

Andererseits: Vielleicht habe ich das auch nur falsch verstanden, Staubsaugervertreter setzen sich ja auch nicht für die Rechte von Staubsaugern ein...

Montag, 3. August 2009

Zwischenruf und Nachdenkliches zum Urlaub

Bevor es ein paar Tage Urlaub gibt, sind mir doch noch ein paar Dinge über den Schirm gelaufen, die mich beschäftigen.

Zum Einen der Zwischenruf von Hans-Ulrich Jörges im Stern.

Er spricht mir in so vielen Punkten aus der Seele. Wenn ich mir ansehe, dass in diesem Land Gesetze nicht mehr im Parlament verhandelt, sondern dort lediglich noch die Reden schriftlich zu Protokoll gegeben werden, wenn ich höre, dass man der Fraktionsdisziplin wegen für das Gesetz stimmt, aber nur mit Bauchschmerzen, aber man ja ohnehin davon ausgeht, dass das Verfassungsgericht das Gesetz für nichtig erklärt - da frage ich mich schon, was aus unserer Demokratie geworden ist.

Dann kommt auch noch ein so genanannter Spitzenkandidat aus Sachsen, der Herr Thomas Jurk, daher und verkündet, dass er über dem Grundgesetz steht, und das ja nicht für alle gelten könne.

Übrigens meinte das auch unser Verteidigungsminister beim Thema des Abschiessens von Passagierflugzeugen. Man würde sich schon einen Piloten suchen, der den Befehl ausführt. Dies verstößt aber gegen das Urteil des Verfassungsgerichts.

Gleichzeitig werden Milliarden in die Autoindustrie geblasen um vor der Wahl ein Strohfeuer zu entfachen, damit es ja nicht vor der Wahl zu einem Kollaps kommt. Was die Banken an Steuergeldern verbrannt haben, darüber möchte ich gar nicht erst nachdenken - aber schön, dass sie alle schon wieder Gewinn erwirtschaften und Boni zahlen können. Nun, die Manager haben ja auch erfolgreich neues Geld aquiriert - von daher, chapeau!

Aber was mich wirklich aufregt ist, wie dreist man belogen wird. Wieder und wieder aus dem Hause unserer Familienministerin Zensursula von der Leyen.

Diesmal blamiert sie uns zwar nicht bei den Indern, so dass es keine Entschuldigung an die Indische Botschaft geben muss, nein, diesmal vertritt sie die Meinung, dass man auch mal darüber nachdenken könne andere Inhalte im Internet ebenfalls zu verstoppschildern.

Getreu dem Motto was schert mich heut mein Geschwätz von Gestern. Toll!

Gleichzeitig frage ich mich immer wieder, was die ganzen Kinder eigentlich unbeaufsichtigt im Internet machen, die man hier in Chatrooms und Social Networks vor irgendwas schützen muss.

Immerhin lassen die Erziehungsberechtigten die Kinder hier mir einem Kriegsinstrument unbeaufsichtigt alleine!

Das Internet ist von Wissenschaftlern für die Wissenschaft ersonnen und später durch das Militär weiterentwickelt worden.

Aber im Ernst: Kann man wenn man unter 18 Jahre alt ist einen eigenen Internetanschluss bekommen? Geht das ohne volle Geschäftsfähigkeit? Nein? Ach! Wie also kommen die 8-12 Jährigen dann ins Internet - wer missachtet da seine Aufsichtspflicht?

Montag, 13. Juli 2009

freenode - fail

In seinem Blog berichtet Martin über freenode, und zeigt recht lustig, wieso man mit Wortfiltern nicht wirklich weit kommt, bei Zensur.

Auch wenn ich freenode sogar ein wenig verstehe, weil sich zuviele Scriptkids da draussen mit 'lustigen hostnamen' einen Schabernack erlauben. Sei's drum.

Auch einige Schulen haben da schon so ihre Erfahrungen, wenn sie das böse Wort Sex filtern, und sich die Schüler dann nicht mehr über die Laufbahn der Pädagogen informieren können, weil das Wort Staatsexamen leider auch geblockt wird.

Ich finde, Martin sollte freenode mal vorschlagen, den Hostnamen des irc-servers zu ändern. Wenn ich nach wolfe google, finde ich da recht eindeutige Verweise auf eine Filmproduktion namens wolfevideo. Ob das nicht zu obszön ist?

Dienstag, 16. Juni 2009

Wer braucht noch Streetview?

Bei diesem Ausschnitt aus Google-Maps frage ich mich schon, wer da noch Google Streetview braucht?

Donnerstag, 11. Juni 2009

Internetsperren für "Online-Gewaltspiele" gefordert

Heise: CDU-Bundestagsabgeordneter erwägt Internetsperren für Online-Gewaltspiele

Wie kommen die eigentlich immer auf diesen Trichter, alles sperren zu müssen?

Und vor allem, wem kann man eigentlich glauben? Zypries will bei Urheberrechtsverletzungen sperren, Hessen bei Glücksspiel, andere bei Nazi-Seiten, andere bei denen von Linken Gruppen, etc...

Haben die Angst?

Vielleicht hilft ja Wikipedia?

Thomas Strobl ist Mitglied der Heidelberger Studentenverbindung Alte Leipziger Landsmannschaft Afrania. Seit 1996 ist er mit Christine Schäuble, der Tochter des CDU-Politikers Wolfgang Schäuble, verheiratet.

Wir haben es also nicht nur mit Lobbyismus zu tun, einem, bei dem Firmen Personal in Ministerien entsenden um dort 'beratend' an Gesetzesentwürfen zu arbeiten, wir haben es nicht nur damit zu tun, dass Ehegattinnen die Position ihres eigenen Vereins über den Wirtschaftminister von und zu Guttenberg 'einbringen', sprich das Gesetz erarbeiten, nein, wir haben es auch an anderen Stellen mit deutlich sichtbarer Vetternwirtschaft zu tun.

Ich finde ja, man sollte ein Verbot einführen, dass Personen die über weniger als 3 Ecken miteinander verwandt oder verschwägert sind nicht zusammen in den Bundestag dürfen oder so...

Aber einen Schießstand in einer Hauptschule einrichten für den Schützenverein, das geht!

arghl!

Donnerstag, 4. Juni 2009

Kategorie: Lesenswert!

Da ich im Moment keine Zeit habe, sei hier auf einen sehr erschreckend-aufklärenden Artikel hingewiesen:

http://blog.handelsblatt.de/indiskretion/eintrag.php?id=2141

Zum Einen erwähnt er einen Blogeintrag, der ebenfalls den Generationenkonflikt näher beleuchtet, zum Anderen hilft er, einige der Vorgänge der letzten Monate (Jahre?) zu erklären - auf erschreckende Weise, wie ich finde!

Sonntag, 24. Mai 2009

Der betroffene "Chefretter" von Guttenberg et. al.

Man kann sich schon wundern, wie schnell die Regierung einen neuen Wirtschaftsminister gefunden hat. Wie aus dem Nichts war er da, niemand kannte ihn vorher, selbst die Zeitungsredaktionen waren darauf angewiesen ihre dürftigen Informationen aus der Wikipedia zu beziehen.

Und so wundert es nicht, dass unserem Wirtschafsminister ein Vorname angedichtet wird, und auch sonst einige ungeprüfte Fakten über ihn verbreitet werden.

Es scheint aber so, als würde auch unser Wirtschaftsminister selbst nicht mit offenen Karten spielen. Guttenberg selbst hat in Interviews stets von seinen "Erfahrungen im Familienunternehmen" gesprochen - und einige echte Journalisten haben sich tatsächlich die Mühe gemacht, die dpa-Meldung mal nachzurecherchieren.

Bei ihren Nachforschungen stellten sie dann fest, dass weder das Wirtschaftsministerium noch die CSU Auskunft geben konnte, um welches Unternehmen es sich handelt. Man bekam vom Wirtschaftsministerium sogar die Adresse einer Baustofffirma gleichen Namens genannt, deren Geschäftsführer aber wohl Christoph Frhr. von Guttenberg und eben nicht Karl-Theodor zu Guttenberg ist.

Was die Journalisten jedoch herausfanden ist, dass es durchaus eine GmbH gibt, deren Geschäftsführer unser Wirtschaftsminister war. Dieses Familienunternehmern mit ca. 3 Angestellten hatte jedoch lediglich die "Verwaltung des eigenen Vermögens" als Zweck.

Es ist schon verwunderlich, warum man in der CSU nicht wenigstens einen echten Unternehmer zum Wirtschaftsminister machen konnte.

Das Video der Sendung ZAPP (NDR) findet sich bei YouTube unter dem Titel: Die peinliche Wahrheit über Wirtschaftsminister Guttenberg!

Ahnungslos, aber betroffen...

Seine Rolle im Aufbau der deutschen Zensurinfrastruktur ist auch alles andere als rühmlich. Er verkündet doch tatsächlich öffentlich:

Es macht mich schon sehr betroffen, wenn pauschal der Eindruck entstehen sollte, dass es Menschen gibt, die sich gegen die Sperrung von kinderpornographischen Inhalten sträuben. Das ist nun wirklich eines der wichtigsten Vorhaben in vielerlei Hinsicht. (Karl-Theodor zu Guttenberg, u.a. ausgestrahlt in der Tagesschau)

Ich muss sagen: Mich macht es nicht nur betroffen sondern wütend, wie schlecht beraten dieser Minister hier offenbar wurde. Er hat selbst offenbar den Text der Online-Petition nicht ein einziges Mal gelesen, sonst wüsste er, dass es eben keinen Grund gibt, wegen der Meinung von mittlerweile 90000 Menschen in diesem Land betroffen zu reagieren.

Es ist schon erschreckend, dass ein Politiker betroffen reagiert, wenn er damit konfrontiert wird, dass Bürger eine andere Meinung vertreten als er selbst.

Aber schauen wir doch einmal kurz die Verwandschaftsverhältnisse an.

Familiärer Lobbyismus

Verheiratet ist Herr von Guttenberg mit Stephanie Gräfin von Bismarck-Schönhausen, der Präsidentin der deutschen Dependance des Vereins „Innocence in Danger“.

Dieser Verein ist es auch, der die Mär von den 23 Millionen (dort übrigens Dollar) Umsatz der sogenannten Kinderporno-Industrie verbreitet. Dafür gibt es keinerlei Belege. Auch nicht im Familienministerium, dass nur die Auskunft gibt, zu derartigen Zahlen lägen keine Erkenntnisse vor. Interessant, oder?

Auch fordert dieser Verein noch strengere Gesetzte zur Zensur des Internets, um den "Jugendschutz" im Internet voll durchzusetzen.

Nun frage ich mich: Welcher Internetserviceprovider in Deutschland schließt bitte mit nur eingeschränkt geschäftsfähigen Personen einen Vertrag ab? Wie kommen die ganzen Kinder und Minderjährigen denn bitte 'ins Internet'?

Sind es nicht etwa Eltern, Betreuer, Lehrer und andere, die Kinder und Jugendliche unbeaufsichtigt das Internet nutzen lassen? Ist es ein Wunder, dass bei Abwesenheit von Aufsicht, Aufklärung und Erziehung Dinge schieflaufen?

Es geht nicht um die Kinder!

Wer ernsthaft den Jugendschutz im Internet durchsetzen will möge bitte ersteinmal dafür sorgen, dass:

  • Kinder nicht mehr durch Zigarettenrauch geschädigt werden
  • Beratungsstellen und Notunterkünfte genügend Geld erhalten
  • Jugendtreffs nicht geschlossen werden müssen
  • Jugendliche eine Ausbildung erhalten und einen Job, auch wenn es "nur" ein Staatsbetrieb ist, der ohne Gewinn arbeitet
  • Medienkompetenz in Schulen unterrichtet wird
  • Polizei und Ermittler vernünftig geschult werden und genügend Geld erhalten

Leider gibt es mit diesen Forderungen ein Problem: Sie kosten erstens Geld und sind zweitens nicht Wahlkampftauglich. Ausserdem dauert es mitunter, bis Effekte zu sehen sind.

Würde es Frau von der Leyen tatsächlich um den Schutz von Kindern gehen, hätte sie die letzen Jahre vielleicht einfach mal an den internationalen Konferenzen zu diesem Thema selbst teilnehmen sollen. Man hätte die Zeit auch nutzen können, um eine europaweite Zusammenarbeit beim Abschalten entsprechender Webseiten zu vereinbaren.

Es ist mir mir unbegreiflich, wie ein Verein wie Carechild auf einer Liste, die nach Aussage der Behörden selbst mittlerweile zwei Jahre alt sein soll, noch eine zweistellige Zahl von Webadressen finden konnte, die kinderpornographisches Material enthielten und deren Betrieb aus der EU erfolgte, auch aus Deutschland!

Der Staat als Dulder von Kindesmissbrauch?

Dies bedeutet: Ein Staat hat Kenntnis darüber, dass dort möglicherweise noch Kinder missbraucht werden, gibt sich jedoch damit zufrieden, dass die eigenen Bürger dies nicht sehen müssen. Er unterlässt es jedoch, das Land in dem der Server physikalisch steht zu informieren, was dort geschieht. Meiner Meinung nach müsste man hier den Ersteller der Liste wegen unterlassener Hilfeleistung und Begünstigung einer Straftat belangen, aber ich bin kein Jurist.

Übrigens: Verwendet man auf einer satirischen Webseite ein Logo eines Bundesministeriums, wird die Seite innerhalb einer Woche geschlossen, indem der Provider angeschrieben wird!

Ein interessantes Video, wieder von Zapp, zur PR von Frau von der Leyen:ZAPP: Von der Leyen - Viel Show und wenig Konkretes

Schade eigentlich. Man könnte mit ein wenig gutem Willen und einem Bruchteil der Bankenrettungsfonds tatsächlich viel für die Kinder erreichen.

Falsches Spiel

Ein weiterer Aufreger sind die falschen Zahlen, mit denen operiert wird. Nicht nur, dass man das Thema Kinderpornographie nicht vernunftig diskutieren kann, weil mann immer sofort in die Ecke gestellt wird, man sei ja ein Unterstützer von Kindesmissbrauch, nein, es werden auch bewusst falsche und völlig übertriebene Zahlen benutzt.

So erfolgte angeblich ein Anstieg von über 100% bei den Fällen von Kinderpornographie. Jeder der nur ein wenig Ahnung von Statistiken hat, sollte jetzt laut aufschreien. Was ist passiert, damit es diesen enormen Anstieg geben konnte?

Nun, das eine ist, dass mehr Fälle in die Statistik gekommen sind, weil mehr Ermittelt wurde. Das andere ist jedoch, dass hier Äpfel mit Birnen verglichen werden. Denn der Anstieg der Fallzahlen bezieht sich lediglich auf die Anzahl der Ermittlungsverfahren.

Es ist ja noch nicht einmal klar, um wieviele Verdächtige es hier geht, weil bei der Operation Himmel und anderen zunächst nur IP-Adressen ermittelt wurden. Dabei können durchaus eine bis 10 unterschiedliche Adressen zu einem einzelnen Verdächtigen führen.

Und der nächste Skandal ist, dass von diesen Verfahren wohl über 90% eingestellt wurden, da man den Verdächtigen nichts nachweisen konnte, oder weil sie nicht bewusst auf diese Seiten gelangt sind, die hier überwacht wurden.

Auch hier antwortet das Familienministerium übrigens auf eine Anfrage von Herrn Tauss, es lägen keinerlei Erkenntnisse vor, wieviele Ermittlungsverfahren eingeleitet, abgeschlossen, eingestellt oder mit einem Verfahren fortgesetzt wurden.

Daraus kann man nur folgern, dass das Familienministerium diese Zahlen gar nicht wissen möchte!

Verdrehte Fakten, fehlende Erkenntnisse

Die weiteren Argumente des Familienministeriums werden in einem Gastbeitrag in der Zeit übrigens sehr schön zerlegt.

Die fehlenden Zahlen des Familienministeriums können übrigens, inklusive dem Antwortschreiben, auf der Webseite von Herrn Tauss nachgelesen werden: Der Bundesregierung liegen keine Erkenntnisse vor.

Man fühlt sich für Dumm verkauft

Mich als durchschnittlich intelligenten, hoffentlich aufgeklärten Bürger, macht es mittlerweile fassungslos und wütend zugleicht, mit welch fadenscheinigen Argumenten hier Privatinteressen von Politikern zu Lasten einer Nation durchgedrückt werden sollen.

Es scheint tatsächlich einen neuen Generationenkonflikt zu geben, und zwar gleich in beiden Richtungen.

Der doppelte Generationenkonflikt

Diejenigen, die heute als Politiker die Interessen des Volkes vertreten sollen, sind durch die Bank Berufspolitiker. Was einerseits im Sinne einer professionalisierung des Betriebs durchaus wünschenswert sein kann, hat jedoch tatsächlich fatale Folgen für das Tagesgeschäft.

Über Jahre musste diese Elite sich in den Parteien hocharbeiten, stets darauf Bedacht sich keine Feinde zu machen, die Parteilinie zu vertreten, nicht zu stark negativ aufzufallen, es allen Recht zu machen. Dies erzeugt Politiker ohne eigene Meinung, ohne Rückrat.

Diese Politiker sind ihren Gönnern verpflichtet, die sie zu dem gemacht haben, was sie sind. Sie haben oft kein echtes weiteres Standbein, sind auf die Politik und die damit verbundenen Posten als Einkommensquelle angewiesen.

Adenauer würde sich im Grabe umdrehen, dessen bin ich mir sicher.

Während es hier also einen Generationenkonflikt gewissermaßen nach Oben gibt, haben die Entwicklungen der letzten Jahre außerdem eine Spaltung nach unten vollzogen.

Neudeutsch wird hier von den "digital natives", den digitalen Ureinwohnern gesprochen.

Es sind jene, die mit dem Internet als neues Medium aufgewachsen sind, jene, die eine Unterhaltung via IRC als ebenso echt und persönlich empfinden wie andere ein Telefonat.

Die Generation der "Internetausdrucker" hingegen sieht das Internet vornehmlich als Gefahr für die Seele des Menschen. So wie die Gegner der Dampflock der Meinung waren, ein Mensch käme zu Tode, bewege er sich mit höheren Geschwindigkeiten, damals also 30 Stundenkilometer, fort.

Diese Generation sieht im Internet lediglich ein Mittel zum Daten und Informationsaustausch, wenn überhaupt.

Krass fällt dies auf, wenn man sich die Folge der Kinderreporter ansieht, in der unsere Justizministerin sich nicht erinnern kann, was ein Browser ist - gut, muss sie auch nicht. Wirklich nicht, aber entlarvend fand ich die Arroganz, mit der eines der Kinder gefragt wurde, ob es denn auch eine eigene Homepage habe, und stolz davon berichtete, dass dies der Fall sein. Das Gesicht des Herrn Struck ist in diesem Moment wirklich sehenswert. (für die Ungeduldigen bei 2:13) siehe hier.

Dieser Bericht der Kinderreporter kann einem wirklich die Augen öffnen, wie stark die Nutzung des Mediums Internet sich unterscheidet und wie unterschiedlich es wahrgenommen wird.

Die neue Arroganz der Obrigkeit

Dabei stehe ich nicht auf dem Standpunkt, dass Frau Zypries die verschiedenen Browser aufzählen können muss, aber ich verachte die Arroganz, mit welcher die Kinderreporter hier behandelt werden, und diese zieht sich mittlerweile durch weite Teile der Politik.

Für mich gipfelt sie bisher in den Äusserungen des Herrn Wiefelspütz, der sich vielfach zu Schade ist, dem Untertan zu antworten. Man darf dann lesen:

mir gefällt der Ton Ihrer Frage nicht. Es fehlt Ihnen an Respekt. Suchen sie sich einen anderen Gesprächspartner. (Wiefelspütz auf abgeordnetenwatch.de)

Dem vorangegangen war eine Anfrage, die Herr Wiefelspütz recht "drollig", man könnte auch sagen typisch arrogant, beantwortet hatte, welche wiederum die folgende, als respektlos empfundene, Nachfrage eines Bürgers auslöste:

Sehr geehrter Herr Dr. Wiefelspütz,
gehe ich recht in der Annahme, dass Wahlkampf aggressiv macht, oder entspricht es Ihrer allgemeinen Auffassung von Demokratie, dass man als innenpolitischer Sprecher der SPD Bundestagsfraktion Menschen, die sich mit ihren Fragen und Ängsten an Sie wenden, anpöbeln und mit unsachlichen Äußerungen wie "DNS, TLD, GAGA, GOGO, TRALAFITTI oder was?" zum Narren halten sollte, anstatt, wie man es von einem Volksvertreter erwarten würde, auf deren Fragen und Argumente einzugehen?

Aber gut, der Bürger, den er ja vertreten soll, ist ihm wohl egal:

"das Gesetzgebungsverfahren werde durch die Petition "nicht beeinträchtigt". Zwar sei es "das gute Recht" eines jeden, Bürgerbegehren einzureichen. Die Maßstäbe der Internet-Gemeinde seien aber "teilweise undifferenziert"."

Aha. Wiefelspütz wurde dann gebeten, diese Äußerung doch mal näher zu erläutern, darauf seine Einlassung:

der Kölner Stadtanzeiger hat mich korrekt zitiert. Ich habe dem nichts hinzuzufügen.
Meine Erklärungen gegenüber der Presse erläutere ich nicht, weil ich mich klar, deutlich und allgemeinverständlich ausdrücke.

Fazit

Ich kann mich eigentlich nur noch dem Tagesspiegel anschließen: Der Staat wird zum Problem: Peng Du bist tot!.

Auf die Politikverdrossenheit folgt der Ekel.

Samstag, 23. Mai 2009

Warum Filter nichts bringen.

Warum Filter nichts bringen sieht man sehr schön an dem Service "http://www.jugendschutzprogramm.de/" - der sich als International, EU-Unterstützt und ICRA-Konform zeigt. Folgende Ergebnisse erhielt ich gerade:
  • Die Seite linux.com ist bereits in unserem Filter enthalten und wird als 'Default ab 14' eingestuft.
  • Die Seite google.com wird von uns für unbedenklich gehalten.
  • Die Seite bild.de wird von uns für unbedenklich gehalten.
  • Die Seite gentoo.org ist bereits in unserem Filter enthalten und wird als 'Default ab 14' eingestuft.
  • Die Seite gentoo.de ist bereits in unserem Filter enthalten und wird als 'Default ab 14' eingestuft.
  • Die Seite guug.de ist bereits in unserem Filter enthalten und wird als 'Standard gesperrt' eingestuft.
  • Die Seite blog.fefe.de ist bereits in unserem Filter enthalten und wird als 'Standard gesperrt' eingestuft.

Mir scheint, da will jemand nicht, dass unsere Jugend sich über alternative Betriebssysteme informiert. Lieber das nette Mädchen von Seite 3 auf bild.de ansehen, als etwa die Seiten der German Unix User Group oder gentoo.

60 Jahre Grundgesetz!

Quelle: http://blog.pantoffelpunk.de

Deshalb am 23.05.09 dem Aufruf von MOGIS folgen: Das Grundgesetz lesen. Ich bin dabei, und ihr?

Mittwoch, 20. Mai 2009

Nur ein kleiner Umbau...

Warum muss Murphy eigentlich so grausam sein?

Ich habe ein externes AIT1 Laufwerk ausgegraben sowie ein AIT2-Laufwerk. Nun dachte ich mir, die Laufwerke sind ja beide gehäusetechnisch kompatibel, sogar die Dipswitches sind an derselben Stelle, also baue ich das AIT2-Laufwerk in das externe Gehäuse ein und hänge es an meinen Fileserver. Weil: Backup ist wichtig!¹

Nachdem der Umbau beendet war wollte ich die Frontblende des Gehäuses wieder einsetzen. Tja, passt nicht, denn bei dem AIT2 Laufwerk handelte es sich wohl um eines, dass in einer Lib zum Einsatz gekommen war, jedenfalls hatte es erstens keine Klappe vor dem Slot und war zweitens etwa 4 mm zu breit. Egal, zum Testen reichts erstmal - jedenfalls wenn man das richtige SCSI-Kabel findet...

Okay, nachdem das Kabel gefunden war (ein internes zwar und bestimmt zu lang, aber egal, denn zum Testen reichts erstmal...) konnte das Laufwerk in Betrieb genommen werden. Ergebnis: läuft

Nächster Schritt: Einbauen

Also heute frisch ans Werk, das Laufwerk gehört in den Server, dann ist es nicht mehr so laut, weil kein eigener Lüfter, und ausserdem ist dann weniger Geraffel und Kabelsalat im Schrank - und das Gehäuse konnte ich ja eh nicht zumachen.

Bei der Gelegenheit wollte ich auch mal schauen welcher RAM im Server verbaut ist - weil das ist definitiv zu wenig im Moment.

Also flux alle Kabel getrennt, Server aus dem Rack gezogen, *uffissderschwer*, aufgemacht, Ram ausgebaut, Riegel verglichen. Natürlich hat man keinen Kompatiblen Riegel hier und es steht auch nicht drauf was für welcher das ist, also nachher mal Google bemühen - Ramriegel neben das Notebook.

Kommen wir zum Laufwerk. Das Gehäuse wird flink zerlegt, Laufwerk raus und zum Server getragen. Nun, das Laufwerk hat zwar die Höhe eines 5 1/4 Laufwerkes, aber nicht die Breite. Gut, Einbauschienen hängen hier auch noch an einer alten SCSI Platte im Schrank, das passt schon - leider erst beim dritten Versuch.

So langsam werde ich leicht genervt, denn jetzt geht das Suchen nach SCSI Kabeln und Adaptern los - intern ist nur noch ein 50 pol. Flachbandstecker am SCSI Controller frei, das Laufwerk hätt aber gerne ein 68 pol. Anschluss. Nach einigem Suchen und dem Auffinden von 10 Stück IDE-Kabeln findet sich schliesslich alles ein.

Also Laufwerk ist eingebaut, Deckel drauf, Klappe zu - Klappe zu?! *arrgh*

Das Laufwerk ist 0,5 cm zu lang, bzw, schaut vorne aus dem Gehäuse raus.. *heul*

Egal zum testen.... also die linke Frontklappe abgebaut, Server ins Rack, und los.

Jetzt noch die Kabel anschliessen, vor allem die USB *AUTSCH*!

Meister, warum is da Saft drauf?

Hmm. Warum bekomme ich am USB-Kabel der externen Festplatte nen Stromschlag?

Mal verifizieren. *AUTSCH* - okay, da ist Strom drauf... Messgerät!

Oh, interessant: 219 Volt, 50 Herz. 20mA gegen Erde, keine Phasenverschiebung. Nur woher kommt das? Die USV ist aus, primär ist ein Schalter in der Steckdosenleiste, der ist aus, dahinter ein Verteiler, ebenfalls mit Schalter, dann die Festplatte. Alles aus. Eigentlich.

Kaltgerätekabel von der USV abgezogen: keine Spannung. Aha, daher weht der Wind?

Also mal das Voltmeter in richtung USV verschoben. An beiden äußeren Pins des Kaltgeräteausgangs liegen 219 Volt gegen Erde. Yay!

Ich hab also mal wieder den Jackpot geknackt: Der Schalter in der Steckdose schaltet also ganz offensichtlich nur einpolig ab - und natürlich, bei einer Chance von 50:50, schaltet der NICHT die Phase ab. Warum auch. Und dann sind da wohl noch irgendwelche Y-Kondensatoren in dem Schaltznetzteil der Festplatte, die sie, mangels Erde weil Eurostecker, wohl gegen die USB-Masse gesetzt haben. *seufz*

Gut, also Stecker um 90 Grad drehen und weitermachen, Zweipoliger Trenner kommt dann morgen.

Also Kabel ran und los.

pieeeeeep

Hmm. Warum piept der jetzt?

Moment, da war doch noch was - aaah, der RAM liegt noch auf dem Schreibtisch.

Ich brauch jetzt erstmal nen Kaffee!

Nach dem Kaffee werde ich wohl das Laufwerk wieder ausbauen, dafür den Ram einbauen, das AIT1 Gehäuse mit einer kleinen Trennscheibe bearbeiten und das Laufwerk da wieder einbauen. *nerv*


¹ Ein Raid ist nett, aber kein Backup, ein Fehler beim mdadm und alles ist weg - wenn man nicht wie ich Glück hat und nur 20 GB verliert, weil man den Rebuild abgebrochen hat. Details vielleicht in einem späteren Post ;)

Samstag, 9. Mai 2009

gpg: SHA1 durch SHA256 ersetzen

Es ist wieder einmal Zeit, einem alten Freund Lebewohl zu sagen.

Wir trauern um
SHA1
*1995       †2009

Viele Jahre hat SHA1 uns stets dabei unterstützt, unsere Nachrichten unverändert ans Ziel zu bringen. Als Nachfolger von SHA0, der viel zu früh von uns gegangen ist, gab uns SHA1 wieder Zuversicht. Doch letzlich mussten wir lernen, dass nichts von Dauer ist.

SHA1 - Du wirst stets unvergessen bleiben.

Die Beisetzung findet im engsten Kreise statt. Wir bitten von Beileidsbekundungen am Grab Abstand zu nehmen. Statt Blumen bitten wir um die Umstellung Ihrer Applikationen auf stärkere Hashverfahren.

In tiefer Trauer,
die Internetgemeinde.

Mehr Informationen gibts hier.

Aus diesem Artikel habe ich auch den Hinweis entnommen, wie man in GnuPG die Hash-Algorithmen 'umstellt':

Zunächst sollte man dafür sorgen, dass alle Nachrichten, die man selbst signiert, nicht mehr mir SHA1 signiert werden. Dazu fügt man an die Datei gpg.conf im .gnupg Verzeichnis zwei drei Zeilen an:

cat >>~/.gnupg/gpg.conf <<EOF
personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
EOF

Danach teilt man noch den Gesprächspartnern mit, dass man gerne mehr Sicherheit hätte, indem man die Vorgaben seines Schlüssels ändert:

$ gpg --edit-key $KEYID
[...]
> setpref SHA512 SHA384 SHA256 RIPEMD160 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
> save
und den geänderten Schlüssel wieder veröffentlicht:
$ gpg --keyserver keys.gnupg.net --send-key $KEYID

PS: Die 'Vorschau' von Blogger saugt :( PPS: SHA-1 wird immer ale eine der letzten enthalten sein, weil der RFC das verlangt, aber wichtig ist die Reihenfolge - es ist dann nur noch Fallback. Update: Wie das Update des Originalartikels habe ich "default-preference-list" hinzugefügt, damit neue keys gleich entsprechend erstellt werden.

Freitag, 8. Mai 2009

obfuscated bash contest...

Guess what this (bash) one-liner does:

bc <<< `tar -c /tmp/a /tmp/b  2>/dev/null | xxd | \
awk '{print $10}' | tr -d '\n' | \
sed -n 's|^.*[0-9]\{7\}\.[0-9]\{7\}\.[0-9]\{7\}\.000000\
00000\.\(.*\)\.[0-9]\{6\}.*[0-9]\{7\}\.[0-9]\{7\}\.[0-9]\{7\}\.000000\
00000\.\([0-9]\{11\}\)\.[0-9]\{6\}.*$|\1 - \2|p' `
In my case it just printed -5... ;o)

Donnerstag, 7. Mai 2009

Zensursulas PR

Ein wirklich sehenswerter Bericht, wie unsere Bundesmutter mit der Presse agiert. Wirklich sehr gefallen hat mit der Auftritt von unser aller Justiz-Zypresse kurz nach Position 4:30.

zum Video

Im Moment sind es übrigens 49.606 Mitzeichner bei der Petition gegen die Einführung von Internetzensur in Deutschland die, unter dem falschen Vorwand Kinder schützen zu wollen, eingeführt werden soll.

Frau Zypries überlegt offenbar schon, diese Möglichkeiten bei Delikten gegen 'geistiges Eigentum' anzuwenden, in Hessen möchte man Glücksspielseiten sperren, und die ersten Forderungen jegliche Gewaltdarstellungen zu sperren kamen auch schon. Wo war doch gleich der Unterschied zu China?

Nicht vergessen: MITZEICHNEN. JETZT.

Und nicht bei 50.000 aufhören, sondern weitermachen!

PS: jetzt schon (49.652)

Mittwoch, 29. April 2009

BOSCH - beeindruckender Service!

Ich bin beeindruckt. Whow!

Am Montag bei Bosch über ein Webformular auf der Webseite nach einer Bedienungsanleitung zu einem alten Faxgerät gefragt. Am Dienstag drauf ist sie in der INBOX!

Aus der Kopie der Anfrage:
Gesendet: Montag, 27. April 2009 14:34
An: BCC DE (ST-CC/OPM8-Mb); BCC DE (ST-CC/OPM8-Mb)
Betreff: Anfrage per Kontakt-Funktion // Rückrufwunsch: Betriebsanleitung FAX-TEL 267 gesucht

Am 28.04.2009 04:51 (!) erhalte ich CC die Weiterleitung meines Anliegens an avaya, die wohl die Manuals haben.

Die Antwort:
Date: Tue, 28 Apr 2009 15:41:00 +0200
Subject: AW: Anfrage per Kontakt-Funktion // Rückrufwunsch: Betriebsanleitung FAX-TEL 267 gesucht

Sehr geehrter Herr ......,

anbei übersende ich Ihnen die gewünschte Bedienungsanleitung zu dem Gerät „FAX-TEL 267“.

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung. 

Das nenne ich mal Service! Da können sich einige eine Scheibe von Abschneiden!

Nicht nur, dass die Anfrage innerhalb von 25,5 Stunden vollständig bearbeitet ist, allein die Tatsache, einem nicht mal Kunden die Anleitung zu schicken! In der Anleitung ist noch von der BRD die Rede - das Gerät ist viele Jahre vom Markt verschwunden - ich habe es nicht mal selber gekauft, und die schicken mir die Anleitung!!!

/me ist sprachlos!

Mittwoch, 22. April 2009

Internetzensur bei Kabel Deutschland

Das Kabel Deutschland mit zu den Zensurprovidern gehört, war ja klar, wenn man sich ansieht, wer da im Aufsichtsrat sitzt.

Auf meine Anfrage, wie das denn nun mit den Sperren läuft und auf welcher Rechtsgrundlage sie das machen wollen, habe ich nach 3 Wochen immerhin die Antwort, dass sie es an eine andere Abteilung weitergeleitet haben.

Die brauchen also allen Ernstes 3 Wochen für das Weiterleiten einer E-Mail.

Mein Faxgerät funktioniert übrigens immer noch nicht am KD-Anschluss, Telefonate klappen oft auch nur in eine Richtung, häufig ist besetzt, ohne dass der Angerufene telefoniert. Und das obwohl es VoIP mit ihrer Hardware über deren Kabelnetz ist - Bandbreite also nicht das Problem ist.

Übrigens: Die Zweckbindung der Zensur wurde aus dem heute eingebrachten Gesetzesentwurf gestrichen. Das BKA soll also beliebige Seiten auf die Sperrlisten setzen können. Nachprüfen ob die Sperre gerechtfertigt ist ist darf man nicht - weil man sich ja beim Zugriff evtl. schon strafbar macht.

Nachtrag:

Es ist natürlich nicht bei dieser kleinen Änderung geblieben. Laut Heise soll nun auch ermittelt werden, wenn man wiederholt auf die Stoppseite gelangt, und dann nachweisen müssen, dass es ein Versehen war oder eine automatische Weiterleitung. Ich bin gespannt wie das gehen soll.

Und schliesslich sollen die Provider verpflichtet werden 'mindestens' eine 'DNS-Sperre' einzurichten. Man darf gespannt sein, was da in Zukunft also alles versehentlich mit weggefiltert wird.

Samstag, 28. März 2009

'Kinderpornosperre' in 27 Sekunden 'umgehen'

Einfach um zu zeigen wie schwachsinnig die Pläne unserer Regierung sind hat jemand ein kleines Video gedreht. Es zeigt, wie man innerhalb von 27 Sekunden(!) die geforderten Sperren mit Stoppseiten etc. umgehen kann. Viel Spaß: Internetsperre in 27 Sekunden umgehen

Unter Linux geht es natürlich noch schneller:

  $ echo "nameserver 193.254.184.230" > /etc/resolv.conf
oder
  $ sudo bash -c 'echo "nameserver 193.254.184.230" > /etc/resolv.conf'

Mittwoch, 25. März 2009

Die Zensur wird in Deutschland wieder salonfähig!

Der medienpolitische Sprecher der CDU/CSU-Bundestagsfraktion, Wolfgang Börnsen, und der Justiziar der Union, Günter Krings, begrüßten zudem im Vorfeld einer aktuellen Stunde zur Bekämpfung von Kinderpornographie im Parlament am Donnerstag, dass das Eckpunktepapier auf rechtliche Spitzfindigkeiten verzichte und den einzig vertretbaren Weg weise: "Im Internet haben die Schänder keinen Platz." Auch im Cyberspace habe die Freiheit ihre Grenzen, hinterfragten sie zugleich indirekt einen auf Kinderpornographie begrenzten Ansatz: Auch Rassismus und Gewaltverherrlichung, Volksverhetzung oder Nazi-Propaganda dürften im Netz nicht geduldet werden. Quelle: Heise mal wieder.

Genau, und Gewaldarstellungen muss man auch filtern, und alles böse. Weil wenn man das Böse nicht sieht, ist es nicht da!

Neben dem Originalartikel bei Heise kann ich jedem nur empfehlen die Pressemittelung der FITUG zu lesen!

Montag, 23. März 2009

Bald Internetzensur bei Kabel Deutschland?

Sehr geehrte Damen und Herren,
mit entsetzen musste ich heute eine Meldung zur Kenntnis nehmen, nach der Kabel Deutschland angeblich einer willkürlichen Sperrung von Webseiten anhand einer Liste des BKA zugestimmt haben soll:

"In der Internet-Branche stoßen die Pläne von der Leyens für eine freiwillige Vereinbarung nicht auf allzu große Unterstützung; zuletzt berichtete der "Kölner Stadt-Anzeiger", dass sich mehrere deutsche Internet-Provider gegen den Plan sperrten, kinderpornografische Seiten im Zuge einer solchen Vereinbarung zu blockieren. Die Gespräche mit Vodafone und Kabel Deutschland seien positiv verlaufen, berichtet das Blatt unter Berufung auf einen internen Vermerk des Innenministeriums."

Quelle: http://www.heise.de/newsticker/Bundesregierung-Keine-Internet-Zensur-aber-Web-Sperren-gegen-Kinderporno--/meldung/134976

Bitte teilen Sie mir mit:
  • ob dieser Bericht den Tatsachen entspricht
  • auf welcher Rechtsgrundlage Sie derartige Massnahmen durchführen wollen
  • wie Sie die Sperren technisch realisieren wollen
  • wie Sie die Einhaltung des Datenschutzes in Bezug mit den 'Stopp-Seiten' realisieren wollen
  • ob Sie ausschliessen können, dass auch Inhalte wie 'Glücksspielseiten' und 'Killerspiele' gefiltert werden, wie vermehrt gefordert wurde.
  • Ich weise Sie schon jetzt darauf hin, dass ich vermutlich von meinem Recht einer Vertragskündigung Gebrauch machen werde, sollten Sie diese Massnahmen an meinem Anschluss durchführen. Entweder in Form eines Sonderkündigungsrechts wegen einseitiger Änderung des Vertrages oder wegen Nichterbringung von Leistung.

    Mit freundlichen Grüßen,

    Samstag, 21. März 2009

    Bundestrojaner jetzt auch zur normalen Strafverfolgung

    Die Regierungskoalition will künftig die heimliche Online-Durchsuchung auch für die Aufklärung schwerer Verbrechen erlauben. [...] Wolfgang Bosbach, der stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, sagte gegenüber dem Blatt, dass noch in dieser Legislaturperiode eine Änderung der Strafprozessordnung vorgenommen werden solle. Ein entsprechender Entwurf der Bundesjustizministerin Brigitte Zypries (SPD) läge bereits vor. Quelle: Heise Online

    Da sind ja die beiden Namen, die bei mir wieder alle Alarmglocken angehen lassen zusammen: Zypries und Bosbach.

    Ich erinnere mich noch an die Aussagen, dass man ja den Bundestrojaner ausschliesslich gegen Terroristen einsetzen werde, und das auch nur in wenigen Ausnahmefällen im Jahr. Aber Frau 'Was war noch mal ein Browser' Zypries und Herr 'Killerspiele verbieten' Bosbach scheinen da ganz offensichtlich anderer Meinung zu sein.

    Ich möchte in diesem Zusammenhang noch auf das Urteil des Bundesverfassungsgerichts zur "Vertraulichkeit und Integrität informationstechnischer Systeme" erinnern.

    Ich gehe mal davon aus, dass es auch hier wieder einen Streit bis zur BVerfG gebe wird. Alleine die Tatsache dass dieser schöne Trojaner selbst zum Manipulieren von Daten eingesetzt werden kann (unde soll!) macht die damit gewonnenen Erkenntnisse wertlos in Strafverfahren.

    Dazu der Hinweis: Es wurde tatsächlich als eine der Funktionen beschrieben, dass man Daten auf dem System ändern müsse, um z.B. Rezepte von Sprengstoffen gegen wirkungslose Rezepuren auszutauschen. Da freue ich mich schon, dass mal der Bundestrojaner auf den Rechner eines Unernehmens kommt, der Sprengstoffe herstellt. Das wird ne Gaudi, wenn deren Rezepte nicht mehr funktionieren.

    Ich denke dann noch an den Polizisten, der Leute erpresst hat, man habe auf ihrem Rechner kinderpornographisches Material gefunden - der hatte die Namen seiner Opfer offenbar aus dem Polizeisystem.

    Aber beim Bundestrojaner wird das alles ja nicht passieren.

    Wenn es nicht so traurig wäre, würde ich mich jetzt ja freuen, dass bisher so ziemlich alle meine Voraussagen in dieser Richtung eingetreten sind. Als nächstes wird der Bundestrojaner dann in Fällen von kinderpornographie-Verdacht eingesetzt, wetten?

    Und wenn einer in einem Internetforum einen Amoklauf androht muss man doch auch rausbekommen, wer das ist - Bundestrojaner.

    Und bei einer Ehrverletzenden anonymen Eintragung in einem Blog!!! - Bundestrojaner...

    Montag, 16. März 2009

    Internetfilterei

    Es hat ja wirklich lange gedauert.

    Nachdem Frau von der Leyen im Moment ganz massive Probleme damit hat, die Provider zur Unterschrift eines illegalen Vertrages zu überreden und selbst Frau Zypries da mittlerweile ganz heftige Bedenken hat, dass das mit noch geltendem Recht zu vereinbaren ist, kommt hier nun schon die nächste Forderung:

    Web-Filter gegen 'Killerspiele'

    Petke verlangte auch ein Verbot für Videospiele, die Gewalt verherrlichen. Allem Anschein nach seien die jugendlichen und heranwachsenden Amokläufer gleichzeitig Konsumenten dieser von Gewalt beherrschten Spiele. "Diese Machwerke gehören verboten." Das Verbot müsse auch im Internet durchgesetzt werden, wobei die betreffenden Dienstleister in der Pflicht stünden. "Die Zeit der Ausflüchte ist vorbei. Wir brauchen entsprechende Web-Filter, die von den Internet- Providern betrieben werden." Quelle: Heise-Newsticker.

    Vielleicht sollte der Herr einfach mal nach China auswandern, da hat er dann sein wohlbehütetes kleines "Internet"

    Das sind dieselben, die auch illegales Glücksspiel filtern wollen, eine Sendezeitbegrenzung für Erotikangebote im Internet durchsetzen (kein Scherz! Die gibt es! Nur in Deutschland!).

    Vielleicht sollten wir das Internet einfach mal einen Tag lang komplett abschalten, sozusagen als Ausblick auf das maximal gefilterte Netz, damit er sieht, wie gefährlich es ist mit DNS und Routingtabellen rumzuspielen und ein ohnehin verdammt komplexes System noch instabiler zu machen.

    Sven Petke ist übrigens exakt die Art von Politiker die ich nicht mag: Er ist ein Berufspolitiker. Er hat laut Vita auf seiner Webseite nicht ein einziges Mal ausserhalb der Politik gearbeitet. Nach dem Studium kam direkt ein Job im Ministerium und der Eintritt in die Partei.

    Es ist übrigens DER Sven Petke...

    Montag, 2. März 2009

    CeBIT - ich komme...

    So. Nun fahre ich also auch mal zur CeBIT. Der größten Computermesse überhaupt. Da arbeiten bestimmt nur Profis. Die besten der Besten und so...

    Nur leider schaffen es diese Experten nicht, eine RFC-konforme Email zu bauen, das regt mich ja schon wieder auf:

    Im Subject haben sie es ja noch hinbekommen, mit dem Encoding. Nur leider im Body nicht.

    Es könnte natürlich an der Frickelsoftware liegen, die sie da benutzen ;)

    X-Mailer: Microsoft CDO for Exchange 2000
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4133
    

    Der Body ist dann jedenfalls latin1, 8bit, ohne Encoding-Angabe:

    Content-Type: text/plain
    Content-Transfer-Encoding: 8bit
    

    Naja, wenigstens kein html...

    Montag, 23. Februar 2009

    Zischen und Zirpen aus den Lautsprechern.

    Ich hatte die letzen Wochen immer wieder ein Problem: Sobald gnome gestartet wurde, war ein ununterbrochenes Zirpen und Zischen aus den Lautsprechern zu hören.

    Sobald man den esd gekillt hatte, wurde es still. Wollte man wieder Musik wiedergeben, fing das Gezische wieder an. Soweit so nervig, vor allem, wenn man Podcasts einer Vorlesung bearbeiten will.

    Was zwischendurch ein paar Mal geholfen hatte, war alsaconfig aufzurufen. Ich habe die Probleme letztlich auf ein Kernelupdate geschoben, und mir nicht soviel weitere Gedanken gemacht.

    Gestern habe ich dann wieder mal ein Kernelupdate gemacht, mit dem Ergebnis, dass die komischen Geräusche der Soundkarte auch mit alsaconfig nicht mehr wegzubekommen waren.

    Schliesslich fand ich per Zufall die Lösung des Rätsels, als ich nach und nach versuchte, die Kernelmodule zu entladen, die ein 'snd' im Namen trugen. Bei zweien davon weigerte sich der kernel beharrlich. Eines davon: snd_pcsp.

    Nachdem ich im Gnome-Lautstärkeregler dann eine Einstellung für eine Basisfrequenz gefunden habe und bei einer Änderung das Gezirpe die Tonhöhe ebenfalls änderte, wusste ich, was mir hier vorgespielt wird...

    Alsa hat seit einiger Zeit eine Emulation zur Soundausgabe über die normalen, alten PC-Speaker. Dummerweise klappt das auf meiner Hardware nicht so besonders, so dass ständig Nebengeräusche entstehen. Aaarghhh

    Hiermit sei derüber gebloggt, eventuell finden andere Opfer dann einen Eintrag per Google, der ihnen hilft ;)

    Technische Daten für die googlesuche:

      00:1b.0 0403: 8086:284b (rev 03)
      00:1b.0 Audio device: Intel Corporation 82801H (ICH8 Family) HD Audio Controller (rev 03)
      snd_intel8x0m,snd_intel8x0,snd_ac97_codec,snd_hda_intel,snd_pcm,snd_timer
    

    Sonntag, 15. Februar 2009

    ddos - Mittäter und Opfer (Update)

    Tja, so kanns gehen. Eben noch rege ich mich darüber auf, dass mein Hoster manitu von einer ddos heimgesucht wird, schon darf ich feststellen, dass einer meiner Nameserver an einer anderen Distributed Denial of Service Attacke munter mitgewirkt hat. grmpf.

    Aufgefallen ist mir das ganze per munin:

    Okay, zwei/drei Anfragen pro Sekunde sind nicht viel, nur sieht man leider dadurch im Graphen den Rest nicht mehr. Ausserdem könnte der Angreifer ja auf die Idee kommen, auch mal mehr Requests zu schicken. Aber was will der eigentlich von mir - und wie ist er auf meinen Server gekommen?! Und zwei Anfragen - wo soll hier der DOS sein? Und warum fragt der ständig nach den Nameservern der '.'-Zone?

    Was soll also der 'Mist'?

    Des Rätsels Lösung: Natürlich bin ich nicht das Opfer, das war mir eigentlich klar, aber es ist fast noch schlimmer: Ich Mein Nameserver ist Mittäter und die scheinbaren Angreifer sind die tatsächlichen Opfer.

    Jemand im Internet schickt gerade an massiv vielen Nameserver diese Anfragen mit gefälschtem Absender. Das Ergebnis: Nameserver die nicht ganz korrekt konfiguriert sind antworten dann freigiebig mit der Liste aller Root-Nameserver.

    Bei wirklich großen Nameservern fallen diese Anfragen vermutlich nicht mal auf, weil sie im Hintergrundrauschen untergehen, so dass nur wenige Admins den Missbrauch ihrer Systeme überhaupt bemerken werden.

    (Die Liste der Root-Nameserver gibt es hier oder beim Nameserver Eures Vertrauens per $ dig . NS @nameserver. )

    Warum ist das nun ein Problem? Ganz einfach: der Angreifer schickt ein paket mit 40 bytes los, das Opfer erhält aber eine Antwort, die um ein vielfaches größer ist. Die Nameserver fungieren also als Verstärker des Angriffs. Schade eigentlich.

    Selbst ein korrekt konfigurierter Nameserver, der die Anfrage ablehnt, antwortet noch mit der Ablehung, trägt also immernoch ein bischen zum DOS bei.

    Gegenmassnahmen?

    Es sind mehrere denkbar:

    Einerseits haben die Anfragen alle denselben Inhalt und sind daher alle 40 byte groß. In 40 byte kann man auch sonst kaum eine sinnvolle Anfrage unterbringen, also kann man alles was per udp auf port 53 ankommt und weniger als 45 byte Größe hat blocken. Damit antwortet man sogar nicht mal mehr mit der Ablehnung und die Anfragen sind aus den logs. Man sollte nur seinen Provider und primäre/sekundäre Nameserver der eigenen Domains whitelisten, für den Fall, dass der Angreifer mal diese als neues Ziel definiert.

    Dann könnte man ein rate-limit per IP einführen, so dass bei mehr als 20 Anfragen in 20 Sekunden der port 53 für diesen Host für einige Zeit gesperrt wird. Auch hier: Whitelisten nicht vergessen.

    Oder man kann regelmässig seine Logs durchgehen, wer denn nun schon wieder soviele Anfragen produziert, und dann diese IP's für port 53 sperren.

    Achja, und ganz wichtig: Das Secure BIND Template umsetzen und die default policy der BIND-Installation unter debian ändern, damit man auf die Anfragen nicht die Liste liefert² ;)

    In dem Template werden übrigens Views für verschiedene Hostgruppen definiert. Sehr schick - und ich habe auch endlich welche in meinen Configs definiert. Wollte ich schon lange machen.

    Damit kann man unterschiedlichen Hostgruppen per acl unterschiedlich antworten. Also z.B. allen hosts aus dem Firmennetz die privaten Adressen und Namen auflösen und mit demselben Nameserver von aussen diese Anfragen nicht erlauben oder eine komplett andere Antwort geben.

    Damit könnte man auch mit einem einzigen Nameserver ein Wlan derart gestalten, dass alle noch nicht authentifizierten Benutzer auf die Anmeldeseite gelangen, wo sie einen vpn-Client herunterladen können und später - ohne Ändern der resolv.conf¹ - mit der IP die sie innerhalb des VPN's haben korrekte Namensauflösung vom Nameserver erhalten. (Aber das ist ein anderes Thema...)


    ¹ Es ist sehr eklig, denn der DHCP-Client im Wlan andere Nameserver einträgt, als der VPN-Tunnel braucht, dann kloppen sich DHCP-Client und VPN-Client nämlich schön darum, wem die resolv.conf gehört. Läuft die DHCP-Lease ab, trägt der DHCP-Client 'seine' DNS-Server ein und man landet wieder nur auf der Startseite für das WLAN mit dem Hinweis, man solle sein VPN aktivieren. Arrrgh.

    ² Einer meiner anderen Nameserver, der auf ein minimales gentoo aufsetzt, hat interessanterweise diese Anfragen von Anfang an refused, obwohl die Konfiguration nicht wesentlich von der auf dem debian abwich. Grummel.


    Nachtrag: Wirksame Gegenmassnahme

    Tja, auf die Einfachsten Dinge kommt man zum Schluss: Offenbar sehen die Anfragen ja immer identisch aus, also kann man einfach die Anfrage als solche blocken:

     iptables -I INPUT -i eth0 -p udp  --destination-port 53 \
           -m string --algo kmp --from 30 --hex-string "|010000010000000000000000020001|" -j DROP
    
    und fertig ist die Laube... Ab Position 30 fängt der eigentliche Query an.
    0100 - standard Query mit Recursion (1)
    0001 - Eine einzelne Frage ist enthalten
    
    Gegen Ende dann:
    0002 - NS wird angefragt
    0001 - Class IN
    

    Samstag, 7. Februar 2009

    DHL - (k)ein Update

    Offenbar hat DHL zur Zeit etwas größere interne Probleme. Wundert mich ja alles nicht, wenn ich so darüber nachdenke, wie oft ich kleinere und größere Katastrophen mit der Deutschen Post DHL erlebt habe. (siehe z.B. hier)

    Aktuell berichtet der Hostblogger über seltsame Anrufe von DHL, in denen DHL nachfragt, ob bestimmte Sendungen tatsächlich angekommen sind oder die Paketboten sie sich unter den Nagel gerissen hat.

    Ich werde mich in den kommenden Tagen wohl doch noch daran machen, einen Brief an die Innenrevision von DHL zu senden, der sich stark an die von DHL selbst genutzen Textbausteine ihrer automatisch generierten Antworten anlehnt ;)

    Vielleicht ändert sich ja doch mal was wird das mit denselben hohlen Phrasen beantwortet...

    Letztlich gilt für DHL die Binsenweisheit: You get what you pay for!

    Wer als Paketdienst über Jahre hinweg sogar den Transport der Pakete von und zu den eigenen Filialen an Subunternehmer auslagert, die natürlich mit Dumpinglöhnen abgespeist werden, darf sich nicht wundern, wenn Unterschriften gefälscht, Pakete geleehrt oder schlicht Pakete sehr unsanft behandelt werden.

    Freitag, 23. Januar 2009

    Unqualifizierte Spammer

    Gutes Personal ist schwer zu finden...

    Die Spammer sind jedenfalls auch nicht mehr das, was sie mal waren:

    Received: from [222.130.153.142] (helo=RHVNFQA)
     by mail.tu-berlin.de (exim-4.69/mailfrontend-d) with esmtp
     id 00000-000000-00¹; Thu, 22 Jan 2009 14:33:23 +0100
    Subject: [?var=cssubj]
    X-Envelope-From: <wrappingg4@teleios-systems.com>
    X-Priority: 3
    Date: Thu, 22 Jan 2009 21:32:46 +0800
    Content-transfer-encoding: 7bit
    To: <XXXXXXXXXXXXXX²@tu-berlin.de>
    From: [?var=TAGMAILFROM]
    
    ...
    

    Testen die ihre Software nicht, oder warum steht da im Betreff und im From noch der Name der Variable im Template?

    Es sollte schon auffallen, dass im From sogar das @ fehlt. Am besten finde ich aber bei diesen Spams jene, bei denen sogar der Spamtext nur den Variablennamen enthält

    Wie bei jeder Software gilt also: testen, testen, testen!


    ¹,²: von mir geändert...

    Gemütlichkeitsdrohungen!

    Ich bin im IRC auf einen Bericht zu automatisch übersetzter scareware hingewiesen worden.

    In dem Zusammenhang habe ich dann mal versucht herauszufinden, was eine Gemütlichkeitsandrohung wohl ist. Es scheint sich um googles deutsches Wort für "privacy threat" zu handeln. Jedenfalls übersetzt Google:

    >RFID travel cards' privacy threat => RFID reisen die Gemütlichkeitsdrohung von Karten

    Bei der Suche bin ich dann auf diese Seite hier gestossen. Mal im Ernst: Was hat man eigentlich davon, diese so dermassen verkorksten Übersetzungen zu lesen, wenn man kein Englisch kann? Selbst mir fällt es schwer zu verstehen, wass das im Original geheissen haben könnte, und ich behaupte mal der Sprache mächtig zu sein.

    Es lohnt sich aber auf jeden Fall die Seite mal zu besuchen, hier einige der besten Stilblüten:

    Das Versionszielen, nehmen Sie zwei
    Microsoft kehrt Version um, die Verzug ins Visier nimmt
    Leichte Firefox-Schläge: Handlung!
    Auf der Sicherheit stirbt Windows '98 mit einem Wimmern, nicht einem Schlag
    Für gedrängte E-Mails ausgegebene 5 Milliarden $?!
    Stiefellager tut Linux
    ...hat jetzt Linux zum Stiefelcampinglager hinzugefügt.
    RFID reisen die Gemütlichkeitsdrohung von Karten
    Alle Bit auf dem Deck!
    Wir sind als als Lattenschlag zufrieden, Webentwerfer, CSS Sausen, Mikroformat-Händler, ...
    Nicht der Standardschalter Ihres Vaters

    In diesem Sinne, schönen Freitag ;)

    Dienstag, 20. Januar 2009

    nur ein Monat...

    19.12.2008: Bundesrat nickt BKA-Gesetz endgültig ab
    20.01.2009: BKA-Chef will Bundestrojaner auch gegen organisierte Kriminalität einsetzen

    Im Februar dann gegen alle per EDV begangene Taten, wie üble Nachrede in einem Forum?

    DHL-Update: Zweites Paket auch nicht zugestellt!

    Es gibt Neuigkeiten zu meinem Versuchen, von DHL ein Paket zugestellt zu bekommen.

    Damals hatte ich schon ein Update zum zweiten Teil dieser Geschichte geschrieben.

    Nachricht via eBay

    Diese Woche hat mir dann die Verkäuferin meines eBay-Artikels geschrieben. Der bestellte Scanner ist nach zwei Monaten im Paketzentrum an sie zurückgekommen. Angeblich würde die angegebene Packstation nicht mehr existieren. Also das Kontaktformular von DHL funktioniert ja echt klasse.

    Mir hat bei meiner Nachfrage damals DHL mitgeteilt, das Paket sei in ihrem System nicht mehr nachweisbar - ich solle einen Nachforschungsauftrag durch den Absender veranlassen. Nun also bekommt der Absender das zurück. Warum man es dann nicht mir zustellen kann, frage ich mich dann allerdings doch - schliesslich sind auch meine Kontaktdaten im System vorhanden, und man könnte im Zweifel den Absender einfach mal fragen, ob die Adresse stimmt. grummel.

    Die angegebene Packstation existiert übrigens noch. Jedenfalls steht da ein großer gelb-roter Kasten rum. Ich habe ausserdem mit exakt der selben Anschrift zwei Pakete zu Weihnachten erhalten. Sicherheitshalber habe ich nach der Mitteilung aber doch mal den Packstationfinder bemüht.

    DHL hat die Packstation offenbar umbenannt!

    Ich fass' es ja nicht. Meine Packstation 201¹ findet man nicht mehr - nun heisst sie 281¹. Einfach so. Kein Hinweis per SMS, keiner per Post, per Mail. Nix. Aber Sendungen an die 201¹ sind bisher angekommen.

    Das allerbeste aber kommt zum Schluss...

    Die Online-Sendungsverfolgung

    Den 26.11. und den 29.12. finde ich ja am besten.

    DHL scheint von ihren Kunden hellseherische Fähigkeiten zu verlangen, denn woher soll ich denn wissen, dass ein seit dem 26.11. im System nicht mehr nachweisbaren Paket, angeblich ab dem 22.12. in einer Filiale auf micht wartet? Und in welcher Filiale? Und warum nicht in der Packstation? Und warum habe ich keine Email und keine SMS erhalten und keine Karte im Briefkasten?!

    AAarrghh!

    Hier der gesamte Auszug, bevor DHL die Sendungsnummer recycled.

    Fazit: Ich hätte doch nach Rüdersdorf fahren sollen um mein Paket selbst zu suchen...

    Sendungsnummer    xxxxxxxxxxxxxxx
    
    Details  Details
    Produkt / Service:      DHL PAKET- Rücksendung
    Empfänger:              XXXXXXX                  <- Der eBay-Verkäufer
    
    Status:         Die Sendung wurde ausgeliefert.
    
    Status von:     06.01.09 13:16
    
    Verlauf Ihrer Sendung
    Sendung oder Daten erhalten Transport Bearbeitung In Zustellung Zugestellt
    
    Datum/Uhrzeit   Status  Beschreibung
    
    24.11.08 17:12  Sendung in Filiale/Agentur eingeliefert
                    Der Kunde hat die Sendung in der Filiale/Agentur
                    eingeliefert.
    
    24.11.08 20:18  Einlieferungs-Paketzentrum
                    Die Sendung wurde im Einlieferungs-Paketzentrum bearbeitet.
    
    25.11.08 04:55  Paketzentrum
                    Die Sendung wurde im Paketzentrum bearbeitet.
    
    25.11.08 05:05  Paketzentrum
                    Die Sendung wurde im Paketzentrum bearbeitet.
    
    25.11.08 05:31  Zustell-Paketzentrum    15 Rüdersdorf
    
    25.11.08 05:31  Zustell-Paketzentrum    15 Rüdersdorf
    
    26.11.08 08:58  Zustellbasis
                    Die Sendung wurde in der Zustellbasis bearbeitet.
    
    29.12.08 08:20  Abholung Filiale/Agentur
                    Der Empfänger hat die Sendung innerhalb der siebentägigen
                    Lagerfrist nicht in der Filiale abgeholt.
    
    30.12.08 19:14  Paketzentrum
                    Die Sendung wurde im Paketzentrum bearbeitet.
    
    05.01.09 18:45  Einlieferungs-Paketzentrum
                    Die Sendung wurde im Einlieferungs-Paketzentrum bearbeitet.
    
    06.01.09 05:07  Zustell-Paketzentrum
                    34 Staufenberg
    
    06.01.09 08:24  Zustellbasis
                    Die Sendung wurde in der Zustellbasis bearbeitet.
    
    06.01.09 13:16  Zustellung
                    Die Sendung wurde ausgeliefert.
    
    

    ¹ Name von der Redaktion geändert ;)

    Freitag, 9. Januar 2009

    große pdf-Dateien mittels gimp und LaTeX verkleinern

    Alles fing damit an, dass ich 10 Seiten Unterlagen von einer Bekannten kopiert haben wollte. Sie wohnt nicht in Berlin, also auf den Kopierer werfen ging nicht so einfach.

    Sie hat aber einen Scanner und eine Software, die aus den Scans offenbar zusammenhängende pdf-Dateien erzeugen kann. Soweit so gut.

    Als ich das pdf dann von ihrem Webspace gezogen habe, wurde ich ob der Größe der Datei schon einmal stutzig - war die Datei doch 38 Megabyte groß.

    Ausserdem hatten die Scans schwarze Ränder - sowas mag ich beim Ausdruck nicht haben.

    Erster Versuch

    Man ist ja erfinderisch, also was tut man, richtig, man importiert das pdf erstmal in gimp und sagt, dass man keine einzelnen Ebenen pro Seite sondern eigene Bilder pro Seite haben will.

    Mein Notebook knallte daraufhin seine 2GB Ram und 1GB SWAP zu und die CPU (Dualcore, 2,4 GHz) war auch beschäftigt. Gut, also war das keine gute Idee, alles auf einmal zu öffnen...

    # killall gimp

    Zweiter Versuch

    Gut, versuchen wir es nur mit Seite 1 und 2. Klappt, wunderbar. Mist, 100 dpi sind zu wenig, da kann man nichts mehr lesen. Also nochmal mit 600 dpi.

    krrrzzzsss Ah - er swappt. grummel...

    Auch wenn wieder 1,2GB meines Arbeitsspeichers von gimp belegt waren, konnte ich die Bilder erfolgreich im Kontrast anpassen, gerade rotieren, schwarze Ränder abschneiden und die Palette von RGB auf schwarz-weiss ändern.

    Das ganze als png gespeichert und aus gimp ausgedruckt. Die Druckjobs hatten alle unter 500kb.

    Mein HP Laserjet 2200 (Postscriptfähig) brauchte dazu dann aber doch pro Seite 13(!) Minuten. *argh*

    Das habe ich auch durchgezogen und 130 Minuten lang Seiten gewendet, weil doppelseitig drucken geht bei Einzelseiten nicht sooo gut.

    Dritter Versuch

    Heute morgen hatte ich dann eine hervorragende Idee: Latex kann doch Grafiken einbinden und ein pdf erzeugen!

    Eine kurze Nachfrage im IRC channel #latex auf freenode ergab den Tipp, die png-Dateien nach pdf umzuwandeln und dann als einzelne Seiten einzubinden. Klappte via 'pdfpages' super!

    Die Umwandlung habe ich dann sogar per Webinterface gemacht, es waren keine kritischen Unterlagen. Danke nochmal tlhiv ;) (URL: http://www.tlhiv.org/rast2vec/)

    Die resultierende pdf-Datei hatte dann noch 2,2MB und war innerhalb von 3 Minuten gedruckt. Komplett, alle 10 Seiten. Und dafür hab ich die Nacht durchgemacht (unter Anderem) - aargh

    Für alle, die es interessiert, hier ein Beispiel LaTeX-Schnipsel dazu:

    \documentclass[a4paper,10pt]{report}
    \usepackage[utf8]{inputenc}
        \usepackage[pdftex]{color}
        \usepackage[pdftex]{graphicx}
    \pdfcompresslevel9
    \newcommand{\checkpage}
    {
    \thispagestyle{empty}
    } 
    \usepackage[T1]{fontenc}
    \usepackage{pdfpages}
    \pagestyle{empty}
    \begin{document}
    \setlength{\topmargin}{-0.5cm}
    \includepdf[pagecommand={\thispagestyle{empty}}]{p1.pdf}
    \includepdf[pagecommand={\thispagestyle{empty}}]{p2.pdf}
    \end{document}