Veni, Vidi, VISA - Job

Frage des Tages

blog@strcat.de (Christian Schneider) — Wed, 08 Sep 2010 13:53:25 +0200

"Haben wir mit dem Firewallkonzept dann auch uneingeschränkten Zugriff auf das Internet?!"
m(

Linux vs. *BSD auf sicherheitsrelevanten Systemen

blog@strcat.de (Christian Schneider) — Fri, 20 Aug 2010 18:03:55 +0200

Nachdem ich im vorherigen Eintrag geschrieben habe das ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht, haben mich schon einige Mails erreicht wo mir erklärt wurde, das man auch Linux auf solchen Systemen verwenden kann.
Stimmt auffallend. Die Frage ist nur ob man das auch wirklich will? Das kein System wirklich sicher ist, steht außer Frage (mal XTS-400 und diverse TCSEC-B1 - Systeme mal außer Acht gelassen) und das Sicherheitslücken gefunden werden lässt sich bei komplexen Systemen nicht vermeiden. Aber was ein absolutes KO-Kriterium sein kann, ist, wie auch gefundene Sicherheitslücken reagiert wird. Bei *BSD (damit ich mich auch den vorherigen Eintrag beziehe) gibt es dafür Mailinglisten und Advisories auf der Homepage wo man sich informieren bzw. auf dem laufenden halten kann. Bei Linux gibt es weder noch; nur einen kurzen Log im git-log. Gut.. besser als nix werden sich jetzt einige denken, aber das ist für Admins alles andere als auch nur irgendwie brauchbar. Ein Admin hat i. d. R. keine Zeit um sich ein Repo zu clonen und dort in den Shortlogs nach Änderungen Ausschau zu halten die sich auf Sicherheitslücken beziehen. Und - auch wenn ich jetzt einige enttäuschen muss - es bringt auch nicht viel das z. B. Debian die Mailingliste debian-security-announce@ hat, wo man über Sicherheitslücken benachrichtigt wird. Deren Aufgabe ist es, Patche über ihr Paketmanagementsystem verfügbar zu machen, damit sie eingespielt werden können. Aber das können sie erst, nachdem der Patch auch verfügbar ist.
Wenn eine bekannte Sicherheitslücke über zwei Monate lang nicht behoben wird, dann ist das absolut untragbar und die Tatsache das in keiner Art und Weise veröffentlicht wird, dass es sich um die Behebung eines sicherheitsrelevanten Bugs handelt, ist für mich ein Grund meinen Kunden Linux auf sicherheitsrelevanten Systemen als letzte Möglichkeit zu empfehlen (und selbst da nur mit Einschränkungen).

Vim 7.3 verfügbar und eine alte Sicherheitslücke im Linuxkernel behoben

blog@strcat.de (Christian Schneider) — Thu, 19 Aug 2010 16:08:34 +0200

Vim 7.3 Announcement. Was genau geändert wurde, kann man unter :h version-7.3 nachlesen.. mehr oder weniger.. eigentlich mehr weniger, weil es wieder mal keinen brauchbaren Changelog gibt *sigh*

Und eine Sicherheitslücke im Linuxkernel wurde geschlossen. Nach zwei Monaten. Und selbstverständlich ohne irgendeinen Hinweis darauf das es eine Sicherheitslücke war. Hey.. geht ja nur um das kleine Problem das lokale User root-Rechte erreichen können. Langsam wird es echt mal Zeit das jemand einen funktionierenden Fork von Linux rausbringt; allein schon deswegen damit ich nicht ständig *BSD anstelle von Linux installieren muss wenn es sich um sicherheitsrelevante Systeme dreht.

Ich habe fertig!

blog@strcat.de (Christian Schneider) — Mon, 09 Aug 2010 16:51:34 +0200

So.. keine Aufträge mehr in der Warteschleife. Zum ersten Mal seit fast einem Jahr wo ich mehr als vier Tage zusammenhängenden Urlaub habe bzw. es so drehen konnte das ich keine Aufträge mehr hatte. Jetzt mach ich bis zum 06.09.2010 gar nichts. Nicht mal gar nichts.

Woche der Bugs

blog@strcat.de (Christian Schneider) — Tue, 20 Jul 2010 15:32:09 +0200

Nein.. damit meine ich nicht die Windows-LNK-Lücke oder iTunes Sicherheitslücke, sondern viel unwichtiger.. zumindest für die Medien; für $FIRMA jedoch alles andere als unwichtig.
$ADMIN hat durch einen Hardwareschaden des Routers mal schnell den Austauschrouter konfiguriert. Gab auch so gut wie keine Komplikationen seitens der User was die Authentifizierung betraf. Der war nämlich so gut konfiguriert, dass man sich vom offenem WLAN ohne jegliche weitere Authentifikation ins Intranet der Firma einloggen konnte und auch Zugriff auf die internen Datenbanken hatte. Der Router lief das ganze Wochenende in dieser Konfiguration, weil Freitag und wenig Zeit und Wochenende und so.
Jetzt wurde aus meinem "Mal schnell zwei neue Server aufsetzen, ins Intranet einbinden und konfigurieren" ein "Wir brauchen ein Sicherheitskonzept um gegen alle Eventualitäten abgesichert zu sein!". Meinen Vorschlag den vorhandenen Admin gegen einen Kompetenten auszutauschen um eine brauchbare Grundlage zu haben, überlegen sie sich anscheinend noch. So wie ich das sehe werde ich in dieser Firma noch einige Male beschäftigt sein.

Und - ein viel schwerwiegenderer Bug als diese Peanuts grad eben - mein Bot hat sich heute mit einem Coredump verabschiedet und ich hab vergessen ihn mit ``DEBUG'' zu kompilieren *narf*

Ein denkwürdiger Tag!

blog@strcat.de (Christian Schneider) — Tue, 29 Jun 2010 13:40:54 +0200

Die - bereits vorhandenen - Backupscripte funktionieren problemlos und werden verschlüsselt übertragen/gespeichert, die Securityupdates sind alle eingespielt, die Software optimal konfiguriert und auf dem aktuellsten Stand, die Bannermeldungen (issue{,.net}, motd, .plan, ..) aussagekräftig und informativ, Logins sind ebenfalls nur verschlüsselt möglich, Logins werden mittels cracklib geprüft, Passwörter verfallen nach bestimmter Zeit und wichtige Informationen stehen über RSS und/oder Mailingliste zur Verfügung. Ich musste nur noch zwei Kisten neu aufsetzen, die Dokumentation übergeben, eine kurze Einweisung machen und zum ersten Mal tut es mir schon fast leid das ich hier fertig bin. Und das liegt nicht nur daran das der "Hauptadmin" eine Frau ist.

Ueberhax0r bei der Arbeit

blog@strcat.de (Christian Schneider) — Mon, 14 Jun 2010 13:55:20 +0200

Wenn sich Debian/testing ein update/dist-upgrade mit folgender Fehlermeldung quittiert:

Errors were encountered while processing:

 linux-image-2.6.32-5-686

 linux-image-2.6-686

E: Sub-process /usr/bin/dpkg returned an error code (1)

A package failed to install.  Trying to recover:

Setting up linux-image-2.6.32-5-686 (2.6.32-15) ...

Running depmod.

Running update-initramfs.

update-initramfs: Generating /boot/initrd.img-2.6.32-5-686

initrd.img(/boot/initrd.img-2.6.32-5-686

) points to /boot/initrd.img-2.6.32-5-686

 (/boot/initrd.img-2.6.32-5-686) -- doing nothing at /var/lib/dpkg/info/linux-image-2.6.32-5-686.postinst line 400.

vmlinuz(/boot/vmlinuz-2.6.32-5-686

) points to /boot/vmlinuz-2.6.32-5-686

 (/boot/vmlinuz-2.6.32-5-686) -- doing nothing at /var/lib/dpkg/info/linux-image-2.6.32-5-686.postinst line 400.

Running update-grub.

User postinst hook script [update-grub] failed to execute: No such file or directory

dpkg: error processing linux-image-2.6.32-5-686 (--configure):

 subprocess installed post-installation script returned error exit status 255

dpkg: dependency problems prevent configuration of linux-image-2.6-686:

 linux-image-2.6-686 depends on linux-image-2.6.32-5-686; however:

  Package linux-image-2.6.32-5-686 is not configured yet.

dpkg: error processing linux-image-2.6-686 (--configure):

 dependency problems - leaving unconfigured

Errors were encountered while processing:

 linux-image-2.6.32-5-686

 linux-image-2.6-686

Reading package lists... Done

Building dependency tree

Reading state information... Done

Reading extended state information... Done

Initializing package states... Done

Reading task descriptions... Done

dann hilft es nichts zu beteuern das man schon Jahrzehnte lang mit Linux arbeitet und sonst immer jedes Problem lösen konnte und das garantiert ein schwerwiegender Bug von Debian sein muss. Da sollte man einfach nur die Fehlermeldung lesen, feststellen das update-grub nicht vorhanden ist, das mit apt-file search update-grub suchen und dann das Paket mit aptitude(8) installieren.
Die geballte Fachkompetenz einiger Admins treibt mir regelmäßig Tränen in die Augen und das Essen aus dem Magen.

Neue T-Shirtaktion von 3Dsupply

blog@strcat.de (Christian Schneider) — Thu, 22 Apr 2010 01:05:30 +0200

Guckst Du auf http://www.3dsupply.de/shirt4link/. Ich hab da auch das Feed me-Tshirt und das Ich wähle keine Spielekiller her. Also nicht nur die beiden, sondern da hab ich schon mehrere bestellt; aktuell interessiert mich gerade das hier: http://www.3dsupply.de/products/382-you-make-me-facepalm/. Bilder sagen nämlich mehr als 1000 Worte wie es so schön heißt

Geheimhaltung über meine beruflichen Aktivitäten

blog@strcat.de (Christian Schneider) — Wed, 21 Apr 2010 02:31:28 +0200

Weil ich schon mehrere Fragen via Mail bekommen habe, wieso ich Betriebsgeheimnisse über $Firma ausplaudere..
Tue ich nicht. Habe ich nicht und werde ich auch nicht. U. a. weil in meinem Vertrag eine glorreiche Geheimhaltungsklausel enthalten ist, die wie folgt lautet:



(1) Der/Die Mitarbeiter/in hat über alle im Rahmen der Tätigkeit zur Kenntnis gelangenden vertraulichen 

geschäftlichen Angelegenheiten und Vorgänge in der Firma oder der mit der Firma verbundenen Unternehmen, 

Kunden und Lieferanten, insbesondere über Geschäfts- und Betriebsgeheimnisse, Stillschweigen gegenüber 

Unbefugten zu wahren. Er/Sie hat geeignete Vorkehrungen zu treffen, dass Unbefugte von den genannten 

Angelegenheiten und Vorgängen keine Kenntnis erlangen.



(2) Unbefugte sind sowohl Außenstehende als auch Mitarbeiter/innen der Firma, die mit der betreffenden 

Angelegenheit oder dem betreffenden Vorgang nicht befasst sind.



(3) Die in Absatz 1 genannte Verpflichtung gilt auch nach Beendigung des Vertragsverhältnisses fort.



(4) Bestehen für den/die Mitarbeiter/in Zweifel daran, ob eine Angelegenheit oder ein Vorgang vertraulich zu 

behandeln ist, hat er/sie vor deren auch nur teilweiser Offenbarung gegenüber Unbefugten eine Weisung der 

Geschäftsleitung  einzuholen.

D. h. ich darf auch weiterhin schreiben das $Admin von $Firma ein lernbefreiter Vollpfosten ist. Was ihr hier definitiv nicht lesen werdet, sind personen- und/oder firmenbezogene Daten, die Rückschlüsse auf selbige zulassen.

Nicht wundern weil ich zur Zeit so gut wie gar nichts poste, aber ich habe z. Z. relativ viel um die Ohren (aus beruflicher Sicht) und beschränke meine Onlinezeit auf das Nötigste. Ab nächster Woche sollte sich das aber eigentlich wieder normalisiert haben.. also hoffe ich zumindest.

"Wer beachtet werden will, muss Aufmerksamkeit erregen!"

blog@strcat.de (Christian Schneider) — Mon, 15 Mar 2010 18:15:05 +0100

hat mal mein "Mentor" gesagt und recht hat er. Wie immer sind bei Mitarbeiterschulungen die Mitarbeiter nicht sonderlich interessiert; besonders dann, wenn es sich um einen Vortrag handelt, von dem sie denken das dessen Inhalt für sie sowieso nicht wichtig ist. Ergo muss man sie davon überzeugen, dass es notwendig ist das sie einem zuhören. Und was wäre ein besserer Motivator als sich mit einem handgeschriebenem Zettel hinzustellen, einen Benutzernamen aufzurufen und nach der Handmeldung sein Passwort zu nennen?! Einige Mitarbeiter haben Anfangs noch missachtend auf die anderen runtergesehen, allerdings jeder der 18 Mitarbeiter kam an die Reihe. Naja.. fast jeder. Ein paar Benutzernamen hab ich nur nacheinander vorgelesen und mit "Auf die Passwörter gehe ich erst gar nicht ein, weil die Passwörter sogar ein 12 Jähriger cracken könnte!". Aber ich bin ja kein Arsch das gezielt Mitarbeiter niedermacht. Auch der zuständige Admin bekam sein Fett weg, weil sein System solche Passphrasen überhaupt akzeptiert.
Für den danach folgenden Vortrag hatte ich dann auf jeden Fall ungeteilte Aufmerksamkeit. Bleibt nur zu hoffen das sie in Zukunft solche Sachen wie "Ausloggen wenn der Arbeitsplatz verlassen wird", "Bildschirmschoner mit Passwort versehen", .. beachtet werden.

btw. bevor jetzt irgendjemand anfängt zu kollabieren.. an die Passwörter bin ich im Beisein des Chefs gekommen. D. h. er stand hinter mir und hat mir zugesehen wie ich die (auf Zetteln, unter Tastaturen, ..) notierten Passwörter abgeschrieben und geändert habe. Einige wenige musste ich cracken, aber da kein Passwort länger als fünf Zeichen war, war das nicht weiter wild. Anschließend wurden die Passwörter geändert und neue vergeben die sich die Mitarbeiter dann persönlich bei mir abholen konnten (sie wurden auch drauf hingewiesen das sie die Passwörter baldmöglichst ändern sollten).

Von wegen "Ich hab schon alle notwendigen Präsentationen/Vorträge"..

blog@strcat.de (Christian Schneider) — Wed, 10 Mar 2010 14:47:17 +0100

Nach einigen Jahren in dem Job hab ich gedacht das ich dann doch alle notwendigen Präsentationen und Vorträge.. von wegen. Nächste Woche darf ich einen Tag lang zum Thema Sensibilisierung in Bezug auf Passwortsicherheit und Datenschutz am Arbeitsplatz in $FIRMA einen Vortrag halten und die Mitarbeiter schulen. Ich halte zwar ungern Vorträge, aber immerhin legt $FIRMA wert auf dieses Thema. Und zwar ohne vorherigen Vorfall.

"Fremdchat", aber ohne wirkliche Folgen

blog@strcat.de (Christian Schneider) — Tue, 09 Mar 2010 22:49:19 +0100

In $Firma wurde ein Irc-Server aufgesetzt, damit die Angestellten einen direkten Draht zum Admin haben und sich die einzelnen Projektgruppen untereinander absprechen können. Soweit, so gut. Dumm nur, wenn $Freundin des Admins nicht weiß das nicht er, sondern ich an dem Host im Serverraum sitze und sie ihm.. also mir.. ein ziemlich eindeutiges Query schickt. Auf mein "Ich glaube Sie verwechseln mich mit $Admin. Kann das sein?!" kam ein "Sind sie nicht $Admin?!" als Antwort. Und - man möge mir verzeihen, aber ich konnte einfach nicht anders - ich musste einfach an Simon Paul Travaglia denken und mit "Ja. Ich bin nicht $Admin! ABER ICH HABE IHRE IP UND WEIß IN WELCHEM BÜRO SIE SIND!". antworten. ~0,0001 Sekunden kam ein /quit und sie war weg.

"Ich begehe Vertragsbruch"

blog@strcat.de (Christian Schneider) — Mon, 01 Mar 2010 18:55:56 +0100

$KUNDE hat mit mir vor zwei Wochen einen Vertrag abgeschlossen in dem meine Aufgaben, sowie die eingesetzte Software explizit festgelegt wurde (Standard halt). Heute sollte ich dort anfangen und den ganzen Schmarrn installieren/konfigurieren. Ich komme in $FIRMA an und dann erklärt mit der Admin das es nach Absprache mit dem Vorstand eine kleine Änderung gegeben hat und jetzt nicht wie vereinbart Debian, sondern Windows Vista installiert werden soll. Jetzt muss ich dazu sagen das ich unter kleiner Änderung zwar was anderes verstehe, aber nun gut. Ich hoch zum Cheffe, dem erklärt das - und wieso ich - Windows Vista nicht installiere und sogleich wurde mir vorgeworfen das ich "Mit dieser Haltung eindeutig Vertragsbruch begehe" und er (also El Cheffe) das an die Rechtsabteilung der Firma weiterleiten wird, wenn ich meinen "Verpflichtungen nicht augenblicklich nachkomme".
Sowas ist mal wieder ein eindeutiger Beweis dafür, dass der Großteil aller Anzugträger Vollpfeifen sind. In meinem Vertrag steht drin das ich ausnahmslos "Unix-Derivate und unixoide Betriebssysteme" einsetze (mit einer dezenten Fußnote die Mac OS und Windows nochmal zusätzlich ausschließt) und ich über "Änderungen nach Vertragsunterzeichnung seitens des Auftraggebers rechtzeitig zu informieren bin" (das ganze Blablabla in Bezug auf "Zurücktreten vom Vertrag", .. lass ich mal weg). Ich hab das ganze dann meinem Anwalt geschildert, bin heim und harre der Dinge die da kommen werden (also exakt gar nichts).

Wayne.. ich brauch die Server ja nicht.

Debian mit aktueller Software

blog@strcat.de (Christian Schneider) — Wed, 17 Feb 2010 09:49:46 +0100

$USER: Ich hab außer unserem Update-Skript wirklich nix angeklickt und trotzdem kommen beim Start von jedem Programm lauter Fehlermeldungen!
$ME: (cat update-skirpt -> enthält nur ein sudo apt-get update ; sudo apt-get upgrade)
$USER: Das Skript hat unser Admin so geschrieben, weil wir einige aktuelle Programme brauchen.
$ME: (cat /etc/apt/sources.list enthält nur unstable)
(Als ich dann dem User erklärt habe das unstable seinen Namen nicht ganz zu unrecht trägt, weil da doch mal was Unstable sein kann, kam ein verwunderter Blick und die Erklärung überhaupt:)
$USER: Unser Admin hat gesagt das er nur die Software aktualisiert und nicht das System!

Zuerst hab ich gedacht das das mal wieder eine Ausrede ist, aber ich hab dann auf anderen Workstations genau das gleiche Skript gesehen und von den Usern die exakt gleiche Erklärung bekommen. Der Admin ist latürnich nicht da, sondern im Urlaub.
Manchmal glaub ich wirklich das die das alles mit Absicht machen. Bastarde!

"Du weißt hoffentlich das die Seite im IE Scheisse aussieht!?"

blog@strcat.de (Christian Schneider) — Mon, 18 Jan 2010 13:22:50 +0100

Das war meine Frage an den Admin und zugleich Webmaster als ich die Webpräsenz der Firma (die, für die ich grad im Keller rumkollabiere) im IE des Laptops gesehen habe der hier rumsteht. Seine Antwort darauf war "Jo.. war 'ne scheiss Arbeit das Ding so gekonnt zu vermurksen. Dafür sieht sie unter lynx gut aus und aus unserer Firma .".
Ich glaub den hänge ich mal an die Liste der anderen BOfH an. Ich mag ihn..