Dr. Thorsten Schneider hat zu lehrzwecken eine Linuxdistribution zusammengestellt, die jedem Admin schlaflose nächte bereiten würde (Golem.de berichtete). Die Distribution “Damn Vulnerable Linux - Codename Infectious Disease” wird mit Anleitungen zum Ausnutzen von Buffer-Overflows, Shellcode-Entwicklung, Web-Exploits und SQL-Injection ausgeliefert. Ideal um in die Thematik Computersicherheit einzusteigen.

Auch für Computerbegeisterte mit der Frage “Wie werde ich Hacker?” dürfte das All-In-One Paket eine wertvolle Information sein. Ebenso lässt es sich auch am Unterricht in Berufsschulen verwenden.

Hier geht es direkt zum Projekt und Download.

Das hat jetzt zwar nichts mit IT oder Internet zu tun, aber es beschäftigt mich trotzdem gewaltig. Wer hat denn noch nicht im Radio die Staumeldung von der A3 bei Würzburg gehört?

Nun wird zu allem Überfluss auch noch die B19 gewartet und der Zeller Block gesperrt. Schon davor hatte Würzburg kaum Verkehrs-Überkapazitäten. An allen Ecken und Enden spriesen Baustellen aus dem Boden. Auf der anderen Seite wird von den Würzburgern jedes Bauvorhaben neuer Straßen, die vielleicht wenigstens etwas Verkehrsentlastung bringen würden, boykottiert.

So zum Beispiel bei der B26n oder der B19-B8 Spange. Dabei ist Würzburg jetzt schon ein einziger Stauherd. Wenn das so weiter geht, wird Würzburg erst durch die Abwanderung einiger Staugeplagter verkehrsmäßig entlastet.

Die Straßenführung ist so ausgelegt, dass sie den Durchgangsverkehr in die Stadt lockt, anstatt den Stadtverkehr möglichst herauszuleiten. So zum Beispiel die B19. Mal abgesehen von der Überbrückung des Mains macht es verkehrstechnisch kaum Sinn, dass sie mitten durch Würzburg führt. Da dort sehr oft Stau herrscht würde doch kein Würzburger auf die Idee kommen, diese mehr als nur nötig für fahrten innerhalb der Stadt zu nutzen.

Jemand aus Würzburg unter den Lesern?

Für Personen die Plesk verwenden ist diese Information vielleicht interessant. Seit der letzten Version erscheint in der Weboberfläche von Horde Webmail immer diese nervige Werbung “Top News” mit “Sponsored Link” auf der linken Seite.

Man wird sie allerdings leicht los und muss keinen Source-Dateien suchen…

Einfach in Plesk einloggen und auf der Startseite auf “Skins” klicken.  Dort den Reiter “Sichtbarkeit von Oberflächen-Steuerelementen” anklicken und den Hacken bei “Keine Newsfeeds in WebMail und auf Standard-Domainseiten anzeigen” anwählen.

Die überall zu lesenden Tipps mit “Server -> interface administrator -> interface templates -> preferences -> Hide newsfeeds /Hide Virtuozzo promotion /Hide Fotolia promotion” funktionieren in der deutschen Version anscheinend nicht.

Viel Erfolg beim Entfernen der lästigen Fremd-Werbung von Eurem (!) Server.

Wie man bereits seit einigen Tagen überall lesen kann, gibt die Denic nach einer Klage von VW am 23. Oktober 2009 Domains mit ein oder zwei Buchstaben und reine Zahlendomains frei. Wer sich nun als Endverbraucher denkt: Super - da kann ich eine Kurze Domain anmelden ist aber schief gewickelt. Zwar steht es grundsätzlich jedem frei sich über einen Domainregistrar dort für eine Domain anzumelden. Jedoch sind bereits jetzt im Vorfeld beliebige Zufallsfolgen mit Ziffern und garantiert alle Domains mit weniger als 2 Zeichen bei den Registraren vorreserviert. Warum?

Antwort: Die Registrare mussten ihr Anmeldesystem für Domainnamen erst überarbeiten, damit die Anmeldung neuer Domains möglich ist. Sobald diese damit fertig waren haben sie die Anmeldemöglichkeit natürlich unangemeldet den Kunden zur Verfügung gestellt. Nun musste man schon besonderes Glück haben um genau dann Zufällig auf der Webseite vorbeizusehen, wenn der Anmeldeprozess gerade freigeschalten war. Dies dürfte den meisten arbeitenden Menschen nicht gelungen sein. In der Zwischenzeit haben sogenannte Domaingrabber automatisiert und somit schnell alle mehr oder weniger attraktiven Domains bei einem oder gleich mehreren Registraren registriert. Dies ist die erste Ungerechtigkeit bei diesem Verfahren.

Die zweite folgt nun, falls man es doch geschafft hat, sich bei einem der Registrare für eine Domain vorzumerken kommt im nächsten Schritt, dass per Zufallsprinzip entschieden wird, welcher Registrar nun den Zuschlag bekommt und die Domain an seinen Kunden weitergeben kann. Insgesamt ein Lottospiel.

Wer aber sicher gewinnt, das sind die Domaingrabber. Sie registrieren tausende Domains automatisiert um sie für Traumpreise weiterzuverkaufen oder zu versteigern. Natürlich profiteren auch die Versteigerungsplattformen: Auf united-domains.de heißt es: “Tipp: Ihre gewünschte Domain ist bei united-domains bereits vorbestellt. Evtl. besteht die Chance, Ihre Wunschdomain über die Sonderauktion bei sedo.de zu erhalten. Noch bis 22.10.2009, 18.00 Uhr ist dort die Abgabe eines Gebotes möglich. Der Gebotsbetrag wird nur im Erfolgsfall fällig”

Warum wirft die Denic den Domaingrabbern das Geld in die Tasche? Warum versteigert die Denic nicht gleich die Domains an den Meistbietenden? Dann könnte das Geld für wohltätige Zwecke gespendet werden, statt mit dem First-Come First-Served-Prinzip dubiose Vorgehensweisen zu unterstützen.

Insgesamt liest man bisher wenige kritische Blogbeiträge, wenn man bedenkt, welche Farce sich hier abspielt - Dann müsste ein Sturm der Entrüstung durch das deutsche Web gehen. Den Beitrag von Domainsmalltalk kann ich mich anschließen.

Liebe Leser, falls Sie kein Domaingrabber sind und trotzdem auf diesem Weg eine Wunschdomain erhalten haben, dann hinterlassen sie bitte einen Kommentar. Es würde mich doch sehr wundern. Alle Anderen dürfen natürlich auch ihrem Unmut hier Luft machen.

Windows lässt sich bis zu 24h zum einspielen von Updates Zeit. Wenn man nun zum Beispiel ein neues System installiert hat ist das erstmal schlecht, nicht sofort alle Sicherheitslücken zu stopfen. Man muss aber nicht darauf warten, dass Windows alle Sicherheitsupdates installiert, sondern kann mithilfe des Kommandozeilenbefehls

wuauclt /detectnow

Windows sofort nach Systemupdates suchen lassen. Natürlich kann man auch die Webseite windowsupdates.com besuchen und darüber manuell updaten, aber wer mag sich schon extra dafür den Internet Explorer installieren und auf die Ausführung des langsamen ActiveX warten.

Mithilfe von Free PDF XP lassen sich mehrere Dokumente, Bilder etc. in eine PDF Datei drucken. Ideal also um zum Beispiel für eine Online-Bewerbung Bewerbungsunterlagen in einer PDF Datei mit dem Anschreiben unterzubringen.

Ich denke viele Personalchefs werden es danken nicht 4-5 verschiedene Dateien für eine Bewerbung öffnen zu müssen.

Damit Free PDF XP funktioniert muss man zuvor Ghostview installieren. Eine Installationsanleitung für Ghostview findet man unter diesem Link.

Viel Erfolg damit!

Einen sehr treffender Artikel über die geplante Internetzensur in Deutschland, den ich selbst nicht besser formulieren könnte habe ich bei burgraf endeckt. Sehr sachlich und lesenswert. Hier der komplette Artikel von Jens Scholz:

Ich distanziere mich hier auch noch einmal deutlichst von Kinderpornografie- ich finde jedoch, dass es durchaus wirksamere Methoden gibt, als den Zugriff auf Webseiten zu sperren und die Besucher solcher Seiten unter Generalverdacht zu stellen! (z. Bsp. mehr Beamte die sich diesen Fällen annehmen können, bessere internationale Zusammenarbeit, Ermittlung der Urheber!, härtere Strafen, Websserver offline schalten)

Warum es um Zensur geht

Da reiben sich gerade so viele die Hände, daß man eigendlich ein beständiges Rauschen hören müsste. Die Idee, das Thema Kinderpornografie als Popanz vorzuschicken, um das nun geplante Internet-Zensursystem einzuführen war aber auch wirklich eine richtig gute. Hat das ja zuvor mit den Themen Terrorismus und Internet-Kriminalität nicht wirklich hingehauen, kann man hier spitzenmäßig mit dem Holzhammer wedeln und Kritiker einfachst diffamieren, indem man die eigentliche Kritik ignoriert und ihnen vorwirft, sie wollten die Verbreitung von Kinderpornografie schützen. Wie schnell schon der Vorwurf zum beruflichen und gesellschaftlichen Tod führen kann, zeigte man nur wenige Wochen zuvor ja schonmal anschaulich am Exempel Tauss (der übrigens natürlich nicht im Netz “erwischt” wurde, sondern über Handykontakte und DVDs per Post).
Aber ich schweife schon wieder - wie es durch die Wahl dieses Themas ja auch gewünscht ist - ab.
Denn das Problem, das die Kritiker haben, ist ja natürlich nicht, daß man den Zugang zu Kinderpornografie sperren will, sondern das Sperrinstrumentarium, das man dazu baut. Schaut man sich das an, merkt man schnell: Es geht nicht um Kinderpornos und wie man dagegen vorgeht. Ging es nie.
Es geht um die Installation eines generellen technischen Systems und die generelle Art und Weise, wie es betrieben wird: Es geht darum, daß eine waschechte, diesen Namen zu Recht tragende, Zensur ermöglicht wird. Auch wenn die zunächst gesperrten Websites tatsächlich nur Kinderpornografie beinhalten (was die Liste eigentlich extrem kurz halten müsste) wäre sowohl die Technik, die Verwaltung und sogar die Psychologie installiert, um sofort eine effektive Zensur betreiben zu können.

Technik
Die Provider sollen ihre Nameserver so umbauen, daß Webseiten, die das BKA aussucht und ihnen nennt, nicht erreichbar sind und dem Nutzer bei Aufruf stattdessen eine Sperrseite angezeigt wird. Gleichzeitig soll das BKA jederzeit abrufen könne, welche Nutzer auf Webseiten aus dieser Liste zugreifen wollten und stattdessen auf die Sperrseite geleitet wurden.
Ein normaler Internetnutzer, der seinen Nameserver nicht auf einen freien DNS-Server umstellt, sieht bestimmte Seiten nicht und erhält die Mitteilung, er wolle sich gerade Kinderpornografie ansehen. Ob das stimmt, weiß er nicht und nachprüfen darf er das auch nicht, da ja schon die Suche nach Kinderpornografie strafbar ist. Der Nutzer muss sich in diesem Moment weiterhin im Klaren sein, daß er gerade etwas getan hat, was das BKA als illegal ansieht und als Grund ansehen kann, gegen ihn vorzugehen.
Die allein schon technisch verursachten Risiken für jeden Internetnutzer sind immens, noch dazu, weil man damit auch noch eine perfide Beweisumkehr eingebaut hat: Sie müssen künftig ihre Unschuld beweisen, z.B. daß sie “versehentlich” die gesperrte Seite angesteuert haben. Viel Spaß beim Versuch, Richtern TinyUrls, iFrames, Rootkitangriffe, Hidden Scripting und so weiter zu erklären, wenn Sie überhaupt wissen, was das ist.
Die Lösung zunächst: Den Nameserver umstellen, um sich dieser Gefahr vollständig zu entziehen. Geht schnell und kann jeder.
Die Technik ist allerdings interessanterweise das kleinste Problem in dieser ganzen Geschichte. Es gibt Staaten, die in ihren Zensurbemühungen schon wesentlich weiter sind. Die Menschen dort können dennoch sowohl anonym als auch unzensiert das Internet benutzen. Das Internet ist von Nerds gebaut worden. Ein Staat kann da so viel fordern wie er will, er wird das Netz auf technischer Ebene never ever kontrollieren können.

Verwaltung
Hier liegen die springende Punkte, die das Ganze zum Zensurinstrument machen:
1. Die gesperrten Inhalte stehen auf einer Liste, die das BKA direkt und ohne Prüfungsinstanz erstellt und die die Provider möglichst ohne sie anzuschauen zu installieren haben. Es entscheidet kein Richter über den Inhalt, es überprüft keine unabhängige Institution über die Rechtmäßigkeit, es gibt keine Regelung, wie Adressen überhaupt wieder von der Liste gelöscht werden könnten. Die Polizei, die Verbrecher verfolgt, bestimmt, welcher Wunsch nach welcher Information ein Verbrechen ist. Vorab zu definieren, was ein Verbrechen ist und hinterher darüber zu entscheiden, ob ein Verbrechen begangen wurde ist aber nicht Aufgabe der Polizei.
2. Die Liste ist geheim. So lange diese Liste nicht in die Öffentlichkeit gerät kann alles drinstehen und nichts davon muss gerechtfertigt werden. Wer das in Frage stellt wird zum Verdächtigen. Wie Zensur in Reinform eben funktioniert.
3. Der Gesetzentwurf ist schwammig genug, daß das BKA im Prinzip alles in die Liste setzen kann. Da im Web jeder Inhalt nur einen Klick weiter vom letzten entfernt ist und das Gesetz möchte, daß auch “mittelbare” Seiten gesperrt werden können, kann somit de facto auch jede Seite gesperrt werden.
4. Das System soll die direkte Verfolgung von Zugriffen erlauben. es wird nicht nur gesperrt, sondern es kann auch nachgeschaut werden, wer sich die gesperrten Seiten ansehen will. Dies kann dann Anlass für verdeckte Überwachungen, Hausdurchsuchungen und andere existenzbedrohende Vorgänge sein.
Die Staatsanwälte dieses Landes üben ja seit einiger Zeit kräftig an der Vorverurteilungsfront, indem Sie inzwischen gerne mal Pressemitteilungen über eingeleitete Verfahren rausgeben und die Presse direkt zu möglichst spektakulär und öffentlichkeitswirksam inszenierten Verhaftungen mitnehmen (Zumwinkel, Tauss, Frau B.).

Psychologie
Womit wir schon beim gewünschten Effekt von Zensur sind: Die Einführung der Schere im Kopf. Die wirksame Selbstzensur, weil man nicht weiß, was eventuell passiert, wenn man zu laut und deutlich Kritik äußert. Die Geheimhaltung der Sperrliste und ihre völlige Unverbindlichkeit durch das Fehlen jeglicher Kontolle ist ein bewußt eingesetzes Instrument, um Verunsicherung zu erzeugen.
Ein anderes ist die Verknüpfung mit dem Thema Kinderpornografie, womit wir wieder am Beginn dieses Artikels wären. Man weiß ja inzwischen, daß auch nur der leiseste Ruch, man könnte eventuell irgendwas mit Kindesmissbrauch und Pädophilen zu tun haben, die Existenz vernichten kann, selbst wenn hinterher rauskommt, daß tatsächlich nichts an den Vorwürfen dran war. Wie nahezu generell nichts rauskommt. Das ist ein so extrem starkes und wirksames Druckmittel, was natürlich beispielsweise ein Herr Gorny sofort erkennt, weil sein Versuch, diese Schere im Kopf einzuführen (durch den Versuch, Filesharing als schreckliches Verbrechen zu diskriminieren), wirkungslos blieb und er sich nun an den besser funktionierenden Trigger dranhängt (indem er Urheberrechtsverletzung mit Kindesmissbrauch gleichsetzt).
Die Justizministerin gibt dann noch Tipps in die richtigen Richtungen, die natürlich prompt reagieren. Überhaupt, das mal ganz nebenbei, finde ich es immer wieder seltsam, daß Frau Zypries immer wieder als Warnerin vermittelt wird. Dabei war - so sagt sie zumindest - sie es, die den Gesetzentwurf gegenüber dem Vorabvertrag von Frau von der Leyen verschärfen ließ und dieser nun schon den Zugriff auf Stopp-Seiten verfolgen lassen will.

Um die Frage zu beantworten, warum und wann es in einer Gesellschaft überhaupt dazu kommen kann, daß ein Teil davon meint, einen solchen Eingriff vornehmen zu müssen und der andere Teil (zu dem ich u.a. mich zähle) darin ein so massives Unrecht sieht, das es zu bekämpfen gilt, kann man sich bitte den Artikel “Kampf der Kulturen” drüben bei netzpolitik.org durchlesen.

Antivir ist nun in der Version 9 erhältlich. Wesentliche Neurung für den Privatbereich ist die Spyware Erkennung und die Integritätsprüfung von wichtigen Systemdateien.

Das Update läuft ohne Probleme. Antivir 8 wird automatisch entfernt.

Der Trick die Werbung beim Update zu verhindern funktioniert noch.

Heute musste ich mit entsetzen feststellen, dass die Uni Würzburg zwar wieder neue E-Books anbietet, diese aber durch die Firma Ciando mit einem Digital Right Management versehen sind. Das bedeutet, der Student kann mit den PDFs nicht frei arbeiten und muss sich vor Betrachten des PDFs eine undurchsichtige DRM Software des Herstellers unterjubeln lassen. In der Vergangenheit sind solche Programme des Öfteren negativ aufgefallen, da sie unbemerkt Änderungen am System des Benutzers durchführen können um ihre Restriktionen im Bezug auf den Umgang mit den digitalen Medien durchsetzen zu können.

DRM bedeutet kurz, dass man mit dem PDF nicht machen darf, was man gerne will. So lässt es sich weder komplett ausdrucken, noch kann man es im Falle der Ciando Bücher der Bibliothek der Uni Würzburg länger als 6 Stunden auf seinem Computer lesen. Danach wird die PDF Datei einfach unbrauchbar.

Das knacken von DRMs ist in Deutschland illegal. Erlaubt ist laut Prof. Dr. Michael Seadle das bildliche abkopieren des E-Books durch Screenshots. Dies kann auch automatisiert Mithilfe von Software erfolgen. Der Nachteil ist, dass das E-Book dann als Bild statt als Text vorliegt, man kann also die Suchfunktion nicht mehr verwenden und das PDF wird je nach Seitenanzahl riesig. Zum Glück gibt es Texterkennungsprogramme (OCR) die diesen Text dann wieder erkennen können und aus dem Bild ein übliches (DRM freies) PDF mit annehmbarer Dateigröße erstellen können.

Was man dagegen erst garnicht probieren braucht ist das Benutzen eines PDF Druckers oder das Kopieren des Textes mittels Copy&Paste, all dies Verhindert die DRM-Software auf dem eigenen PC.

Das Adobe PDF DRM Verfahren ADEPT wurde allerdings vor kurzem geknackt, der Hacker veröffentlichte zwei Python Skripte, sein Verfahren nennt er neckisch “INEPT - for Incabbages iNformation Extraction and Preservation Technology”. Ein “PDF decryption tool” - das eigentliche neue Verfahren, und ein “Key retrieval tool”. Inzwischen musste der Hacker die Links zu den beiden Tools auf juristisches Drängen von Adobe von seiner Webseite nehmen. Da sie lange genug im Netz verfügbar waren, muss Adobe allerdings damit rechnen, dass sich die Verbreitung nicht mehr aufhalten lässt.

Das original Statement des Hackers für Interessierte (Die Links wurden aus rechtlichen Gründen entfernt):

“One unpublished algorithm and a full PDF parser later, the same ADEPT per-user key-pair allows full decryption of ADEPT-encrypted PDF files. Nothing terribly exciting here from a security perspective, except to note that Adobe putting all its “content-protection” eggs in one DRM basket has only made breaks in the system more fruitful. If all/most e-book suppliers used a single common DRM scheme across all formats – as argued for by some people at Adobe – how long do they honestly think the system would remain secure? As turned out to be the case with the DVD Content Scramble System, more implementations meant more opportunities for breaks. Wider use of the system meant more incentive to break the system. Not a good combination, from the DRM-provider perspective.

But now what you’re really here for – the PDF decryption tool: REMOVED LINK. (And if you don’t already have it, the key-retrieval tool: REMOVED LINK.)

And I wasn’t originally going to go here, but I’ve decided Adobe just left themselves too open by calling their DRM system “ADEPT”. The overall ADEPT-removal system is now called “INEPT,” for I♥cabbages iNformation Extraction and Preservation Technology. Sorry, Adobe. ^_^

Nicht nur Wolfgang Schäubles Internetauftritt wurde aufgrund der aktuellen Sicherheitslücke im beliebten Context Management System (CMS) Typo3 gehackt. Zahlreiche Unternehmenswebseiten mussten schon daran glauben. Es wird also höchste Zeit für ein Update auf die im Moment “sichere” Version 4.2.6.

Eine etwas angestaubte Anleitung für das Update gibt es auf der deutschen Typo3 Webseite typo3.net. Zum Download der aktuellen Version von Typo3 geht es hier lang (lest bitte erst den Artikel hier zu Ende, bevor ihr loslegt)

Vergesst bitte nicht das Installationsskript “install/index.php” nach dem Update wieder unbrauchbar zu machen. Ebenso wurde in der Anleitung auf typo3.net vergessen, dass es im Installationsskript einen Punkt “3. Update Wizard” gibt. Den kann man zusätzlich ebenfalls ausführen, eventuell müssen dann aber Änderungen im Typoscript erledigt werden.

PS: Bei mir trat nach dem Update der Fehler: “The page is not configured” auf. Dies lag daran, dass Typo3 das Typoscript aus den Templates einfach abgeschnitten hat. Copy&Paste über das Notepad aus dem alten Template hat hier geholfen. Warum Typo3 beim Datenbankupdate die Templates einfach abschneidet ist zugegebenermaßen ein seltsames und unerwartetes Problem. Sicherheitshalber und um sich arbeit zu sparen, sollte man das Typoscript des Templates also vor dem Update in der Zwischenablage oder in einer Textdatei sichern.