Steffen Wendzel

Two new Papers on Network Covert Channels

2012-02-11T09:52:00.000-08:00

Two new papers of mine will appear (see below). A summary of my recent covert channel research work can be found here.

Paper #1: The Problem of Traffic Normalization Within a Covert Channel's Network Environment Learning Phase

This paper will appear at the SICHERHEIT'12 conference in Darmstadt.

Abstract:
Network covert channels can build cooperating environments within overlay networks.Peers in such an overlay network can initiate connections with new peers and can build up new paths within the overlay network.To communicate with new peers, it is required to determine protocols which can be used between the peers -- this process is called the Network Environment Learning Phase (NEL Phase).We show that the NEL phase itself as well as two similar approaches are affected by traffic normalization, which leads to a two-army problem.Solutions to overcome this not completely solvable problem are presented and analyzed. A proof of concept code was implemented to verify the approach.

Keywords: network covert storage channel, traffic normalization, active warden

---

Paper #2: Covert and Side Channels in Buildings and the Prototype of a Building-aware Active Warden

This paper will appear at the First IEEE International Workshop on Security and Forensics in Communication Systems (SFCS 2012), Ottawa.

Abstract:
Covert channels and side channels are barely discussed topics in the area of building automation. We define a building in the context of multilevel security (MLS) and show that covert channels and side channels exist in building automation. Additionally, we present a system called the building-aware active warden to eliminate covert/side storage channels in building automation systems (BAS).
Active wardens aim to remove malicious (covert) elements in communications and are a well-known means from the area of network covert channels and steganography. Within the last years, new models, such as the network-aware active warden, were developed.
The presented building-aware active warden is an adoption of the concept of a network-aware active warden to building automation. Building-aware active wardens modify or drop building automation commands as well as building information requests from users based on their security levels to enhance a building's security.
We extended an interoperable system for building automation supporting hardware from two vendors for the purpose of a building-aware active warden and for providing an unified application programming interface.

Keywords: building automation security, covert channel, side channel

Erschienen: 5. Auflage von "Linux. Das umfassende Handbuch"

2012-01-27T11:01:00.000-08:00

5. Auflage von "Linux"

Heute erschien die fünfte Auflage unseres Linux-Bestsellers Linux. Das umfassende Handbuch (1.282 Seiten). Weitere Informationen (Inhaltsverzeichnis, Probekapitel) finden sich auf unserer Informationsseite zum Buch.

Das Openbook soll in der nächsten Woche fertig werden.

Viel Spaß allen Lesern!

Tunnel und verdeckte Kanäle im Netz: Wieder in Arbeit

2012-01-01T02:31:00.000-08:00

Tunnel und verdeckte
Kanäle im Netz

Heute habe ich endlich wieder Zeit gefunden, um am Manuskript für "Tunnel und verdeckte Kanäle im Netz" zu arbeiten -- mein nächstes Buch, das in einigen Monaten erscheinen wird. Das Manuskript möchte ich bis Ende Februar vollenden, was mit hoher Wahrscheinlichkeit auch klappen wird. Momentan sind circa 70% des geplanten Umfangs in textuelle Form gebracht. Gleichzeitig kommt mir beim Schreiben aber auch die eine oder andere Idee für neue Forschungsansätze und somit füllt sich auch mein Promotions-Notizbuch -- wie gut, dass ich mich damals dafür entschieden habe, ein großes Notizbuch zu kaufen, das zu dem auch viele Seiten beinhaltet. Ich will ehrlich sein: Zum Erwerbszeitpunkt war ich mir noch nicht sicher, ob sich das lohnen würde.

Wie dem auch sei. Bis auf ein Kapitel zu den fortgeschrittenen Techniken der verdeckten Kanäle und einem Kapitel zu Tunneling-Protokollen sind alle anderen Kapitel (4 an der Zahl, sowie die Einleitung) entweder fertig oder fast fertig. Somit beläuft sich das Manuskript derzeit auf knapp 140 von den geplanten 200 Seiten.

Interesting CS Articles/Papers (Dec-27-2011)

2011-12-26T23:00:00.000-08:00

I recently read some very interesting CS papers of which I want to recommend the most interesting subset to my readers. As some of you probably know, I began to become interested in HCI-related topics, what is obviously reflected in my recommendations.

J. Roberson and B. Nardi: Survival Needs and Social Inclusion: Technology Use Among the Homeless, in Proc.Conf. Computer Supported Cooperative Work (CSCW), ACM, pp. 445-448, 2010.

You will be suprised about the fact, how useful information technology became for homeless people.Read the article (pdf)

from the same proceedings: Xiang Cao et. al.: Understanding Family Communication across Time Zones (pp. 155-158).

I guess, that one is currently interesting for me since I face such a time zone-difference situation at the moment.Read the article (pdf)

B. Lampson: Privacy and Security. Usable Security: How to Get It?, In ACM Comm. Viewpoint, Nov-2009, Vol. 52(11), pp. 25-27, 2009.

This article deals with the problem of usability in the context of IT-Security and describes some basic problems such as the understanding of security methods by customers and the motivation to enhance security by the industry. Read the article

L. Fortnow: Time for Computer Science to Grow Up, In ACM Comm. Viewpoint, Aug-2009, Vol. 52(8), pp. 33-35, 2009.

This article is about the value of journal articles in CS in relation to conference papers. Very interesting to read. Read the article

Steganographic Ducks ;)

2011-12-20T02:25:00.000-08:00

One of the nice things here at Waikato's campus are the ducks (and all the other animals). However, as shown on the photo, the ducks are pretty good in covering theirselfs. You will probably find a few of the ducks on the picture (poor quality, made with my mobile), but there are plenty of them. Ergo, nature is good in steganography, too.

Neue Publikation: Einführung in Covert Channels

2011-12-16T14:26:00.000-08:00

Eine kleine Einführung in die Forschungsthematik der verdeckten Kanäle von J. Keller und mir ist in einem kleinen Open Access-Journal erschienen. Die Publikation ging aus dem Datenspuren Symposium im Oktober in Dresden hervor.

Wendzel, Steffen / Keller, Jörg (2011). Einführung in die Forschungsthematik der verdeckten Kanäle. Magdeburger Journal zur Sicherheitsforschung, Band 2, 2011, S. 115–124.

Abstract:
Verdeckte Kanäle stellen eine bisher nur wenig außerhalb der Forschung betrachtete Technik für unzensierte Kommunikation dar. Zugleich liegt in verdeckten Kanälen die Gefahr des unbemerkten Informationsverlusts (Data Leakage) und der unbemerkten Steuerung von Botnetzen. Dieser Artikel bietet zunächst eine Einführung in die Thematik der verdeckten Kanäle, ihre Risiken und Chancen. Anschließend werden exemplarisch einzelne Techniken zur Erzeugung von verdeckten Kanälen vorgestellt, sowie gängige Gegenmaßnahmen diskutiert. Der Artikel schließt mit einem Überblick über neuere Techniken der letzten Jahre.

Getting many things done

2011-12-16T03:52:00.000-08:00

Today, when we left the CS department's buildingafter midnight, a friend asked me: "How do you manage to get allthese things done?" and I explained him my simple, but (at leastfor me) working concept. It contains of two parts which are linked toeach other.

(1) I work on a high number of interesting projects.The key aspect here is to pick always the task that attracts me moston at the moment. Using this technique, I do motivated work since Ialways do only work on the task I like to work on. This is, ofcourse, not always 100% feasible, but I at least try.

(2) By working on so many tasks in parallel, Ireceive an useful amount positive feedback. So, while I work onsomething I like instead of something I am currently not motivated towork on, I will probably receive feedback for the task on which Icurrently don't want to work on. Thus, I get motivated for the othertask again (and can switch, if I like).

This easy and (probably not optimal) techniquerequires the ability to keep many things in mind (e.g. deadlines oftasks currently not in my focus). Sometimes, it even results inmultiple deadlines occurring at the same time and therefore resultsin long nights full of workload. However, one has to like this way ofworking. Also, point (2) can result in negative feedback instead ofpositive feedback what is a clear drawback of the presented strategy :) I also think, that it is not necessary to mention that working on many parallel things is only possible if one accepts that a single task takes long to finish in comparison to a model where only few tasks are handled.

Talk at Swinburne on Covert Channel Research

2011-12-15T17:16:00.000-08:00

Sebastian Zander kindly invited me to give a talk at the Swinburne CAIA Research Seminar about my recent research in the area of network covert channels. The talk is sheduled for Jan-12 and an abstract can be found on their website.

Summary of my recent Covert Channel Research

2011-12-13T20:39:00.000-08:00

As posted a few weeks ago, I continued my research in the area of network covert channels. This posting aims on providing a short summary on the work I've done in the area within the last years.

Covert Channels are hidden communication channels and a part of the Information Hiding research. Lampson defined them as "not intended for information transfer at all" in 1973 in his paper "a note on the confinement problem". I skip the details and the context of multi-level security (MLS), especially the Bell-LaPadula model. However, covert channels can now be used to bypass censorship and thus can support the free expression of opinions but they can also be used by botnets (a good introduction is provided by Zander et. al. in this journal article).

In 2006, I developed a tool called "vstt" (very strange tunneling tool) capable of using multiple network protocols to transfer data to a destination system and able to accept input via socket or (named) Pipe on Unix-like operating systems. One of the very first steps, after playing around with some Linux/BSD SOCK_RAW codes and by experimenting with the available "tunneling" software from the hacking community, was to develop the idea of protocol hopping (i.e. a protocol switching covert channel). The first program capable to do such a protocol switching was "LOKI2" by daemon9 (phrack magazine, 1997). LOKI2 is based on a manual "/swapt" command that let the user switch between ICMP and UDP. In 2007 (exactly ten years later) I implemented the first "protocol hopping covert channel" in the tool "phcct" (cf. my Hakin9 article about it (in German), or my english Hakin9 article on another covert channel type ("protocol channels", see next section) that contains a small discussion of protocol hopping covert channels, or try Google Scholar). Phcct did not demand on a user's input anymore and switched the protocol automatically as well as on a transparent way.

However, the idea of protocol switching resulted in another, similar idea: the "protocol channel". A protocol channel is a covert channel based on the idea to transfer information not by adding a special content or time information to a network packet but by using a specified network protocol. Thus, the hidden information was represented by the network protocol itself. You can read more about that in my paper on protocol channels. A proof of concept code called "pct" (protocol channel tool) can be found here.

However, let us come back to the protocol hopping covert channels. These covert channels are protocol switching covert channels, as explained in a paper called "low-attention forwarding for mobile network covert channels" [pdf] I wrote together with my Ph.D. advisor. The paper initially put the old basis for the protocol hopping into the scientific context.

The idea is to build a hidden covert channel overlay network and let the peers/proxies of the overlay network communicate using different protocol hopping covert channels. The overlay network's goal is to minimize the raised attention by using protocols and areas within protocol headers that are unlikely to raise attention on a given link. This optimization depends on the context (each network is different) and can be optimized to minimize the overhead or to minimize the amount of transferred data. Also the forwarding between two hops/proxies within the covert overlay network can be optimized by producing as few data packets as possible for forwarding a hidden message and by caching the hidden information for a time t. In that paper we additionally proposed an upgradable covert channel overlay network based on version and capability information exchange using the covert channel's micro protocol.

The exchange of protocol information, state information and other kinds of management information between hidden covert channel peers is done by a covert channel-internal communication protocol, a so-called "micro protocol" as I already invented it in 2008 while I wrote my diploma thesis at the University of Applied Sciences in Kempten on my very early-stage thoughts about both, protocol hopping covert channels and protocol channels. A current summary on my work on micro protocols can be found (in German) in the proceedings of Doktorandenkolleg Ruhr (page 35). However, the previously mentioned paper on low-attention forwarding extends the knowledge of these micro protocols from my old diploma thesis by important ideas (such as combining multiple areas of the TCP/IP network stack and giving different network protocols different "weights"/linking them to different sets regarding to their detectability) and you can find all the details there.

Additionally, one of my paper of mine covers the problem of traffic normalization (done with the previously mentioned micro protocols) that leads to a two-army-problem within the covert channel overlay network. This problem does not only apply for the kind of overlay network we proposed, but for other approaches (e.g. 'adaptable covert channels' by Yarochkin et. al.), too. The work will appear under the title The Problem of Traffic Normalization Within a Covert Channel's Network Environment Learning Phase at the SICHERHEIT'12 conference.

In 2011, I also finished my Master's thesis (University of Applied Sciences in Augsburg) on the analysis of known means that were developed to limit, prevent or detect network covert channels as well as local covert channels. It is not possible to summarize all the results in this posting but I work on a new german book that will be published in Q3-2012 that includes *all* details of my Master's thesis too. However, some examples and a general introduction (in German) is available as a video of my Datenspuren 2011 talk.

Last, but not least, I worked on the investigation of covert channels and side channels in building automation systems (BAS). A inter-operable BAS middleware was developed to limit covert storage and side storage channels in building automation systems by applying multi-level security (MLS). A paper addressing this hidden channels as well as the protection means will be presented under the title Covert and Side Channels in Buildings and the Prototype of a Building-aware Active Warden at the first IEEE International Workshop on Security and Forensics in Communication Systems (SFCS 2012), Ottawa.

I have currently much more research in the queue and will publish information as soon as it passed the scientific peer-review processes.

Updates:

2012-02-11: Added a few words about the BAS middleware paper (SFCS'12) and the traffic normalization paper (SICHERHEIT'12).

Rezension: Internetzensur in China

2011-12-12T22:37:00.000-08:00

Ich hatte kürzlich "Internetzensur in China. Aufbau und Grenzen des chinesischen Kontrollsystems" von Kim-Björn Becker gelesen. Als Nicht-Politikwissenschaftler habe ich mich eigentlich nur bedingt für die politischen Hintergründe dieser Thematik interessiert, doch muss ich sagen, dass ich die Aufbereitung des Thema durch dieses Werk erstmals als durchaus interessant einstufen würde. Zwar hätte ich mir mehr technische Hintergründe gewünscht (die dort vorliegenden sind leider nicht auf dem Level, auf dem ich es mir vorgestellt hätte, aber der Autor ist schließlich auch kein Security-Experte), aber dafür sind andere sehr spannende Inhalte zu finden. Dazu zählen etwa der Umgang der chinesische Regierung mit SARS oder die Entwicklung der Internetnutzung in China bzw. wie sie sich heutzutage darstellt (Land vs. Stadt, Smartphone-Relevanz, usf.). Entsprechend kann ich dieses Buch in meinem Blog auch empfehlen (und ich tue dies im Übrigen nicht, weil mich der Autor 6x zitiert hat).

Datenspuren-Video und andere Neuigkeiten

2011-10-23T01:35:00.000-07:00

Datenspuren-Video:Das Datenspuren-Video von meinem Vortrag über verdeckte Kanäle ist jetzt online verfügbar, allerdings in schlechter Qualität (da leider gegen eine Tür gefilmt wurde, ärgerlich!). Wie dem auch sei, hier ist es:

Alternativ gibt es eine AVI-Datei.

Slides vom CMS-Vortrag: Die Slides von meinem CMS-Vortrag sind jetzt ebenfalls online.

Poster Doktorandenkolleg: Aller guten Dinge sind drei. Hier noch die Sammlung der Beiträge vom Doktorandenkolleg Ruhr 2011, zu dem ich am Ende leider nicht erscheinen konnte. Dennoch: Mein Abstract findet sich auch in der Zusammenfassung (S. 35).

bash: Verkürzung möglich?

2011-10-13T06:00:00.000-07:00

Ich frage mich gerade, ob sich folgender Code weiter verkürzen lässt?

while [ 1 ];do xmessage trinken;sleep 1200;done

(47 Zeichen)

Tatsächlich ist eine Verkürzung als rekursive Funktion kein Problem:

f(){ xmessage trinken;sleep 1200;f;};f

(38 Zeichen)

Aus den 1200 Sekunden lassen sich wiederum 20 Minuten (20m) machen:

f(){ xmessage trinken;sleep 20m;f;};f

(37 Zeichen)

Aber lässt sich der Code noch weiter verkürzen? Ideen bitte als Kommentare posten, Danke.

PS. Selbstverständlich ist dabei "xmessage" nicht einfach durch Konsolen-Output zu ersetzen -- das wäre zu einfach :)

Warum OpenBSD nie so viele Features wie Linux haben wird

2011-10-10T13:19:00.000-07:00

Ich möchte einmal über meine speziellen Erfahrungen mit dem OpenBSD-Projekt berichten. Ich war besonders in den ersten Jahren nach dem Jahrtausendwechsel relativ aktiv daran beteiligt, Patches an OpenBSD zu senden, doch die Projektmitglieder schafften es, mich zu vergraulen. Dieses Posting ist keine Rache und auch keine komplette Zerlegung von OpenBSD -- das wäre auch nicht angebracht. Ich beschreibe den Grund, weshalb der Feature-Reichtum von OpenBSD so gering ist.

1. OpenBSD akzeptiert nur wenige Patches von Dritten

Ich hatte in den vergangenen Jahren diverse Patches für OpenBSD geschrieben, etwa hatte ich die Funktionalität von Solaris' psig und Solaris' tar-exclude-Parameter (regex) auf OpenBSD portiert, tcpdump-Ausgaben für das Cisco Discovery Protokoll leicht verbessert und das Clearing des IPv4-Reserved-Flags von Snort und norm auf OpenBSD portiert. Diese Veränderungen (teilweise sehr minimal) wurden alle abgelehnt. Features, die OpenBSD seit Jahren haben könnte.

Kürzlich hatte Remi Pointel die xz-Kompression als Flag für OpenBSDs tar (compress/decompress) bereitgestellt. Im Gegensatz zu meinen Erweiterungen hängt diese Veränderung von den OpenBSD-Ports ab und so folgte die Reaktion des Projektleiters Theo de Raadt zügig. Dennoch: Es brach zumindest eine Diskussion auf der Tech-Mailingliste los, die sich mit dem Thema auseinandersetzte.

Diese Strategie bewahrt OpenBSD vor für das relativ kleine Team unbezwingbarer Komplexität und ist daher nicht automatisch schlecht, sondern durchaus eine gerechtfertigte Entscheidung, doch sind so im Laufe der Jahre sehr viele Features nicht implementiert worden, die heute zur Verfügung stünden. Somit wird OpenBSD nicht mit dem Featurewachstum von Linux und Co. mithalten können, dafür aber stabiler und sicherer sein. Die Frage ist selbstverständlich: Muss so viel Featurereichtum für ein Spezialsystem überhaupt sein? Ich möchte sie hier nicht beantworten, sondern nur in den Raum stellen.

2. OpenBSDs Ports sind nicht immer aktuell, weshalb viele Features fehlen

Das Primärziel des OpenBSD-Projekts ist Security -- ein Ziel, dass für das Basissystem sicherlich sehr gut umgesetzt wird und in meinen Augen ist OpenBSD eine großartige Wahl für Hochsicherheitssysteme. Dennoch: Benötigt ein Benutzer 3rd-Party-Software (also Software aus den Ports), dann ist diese oftmals nicht aktuell (damit steigt die Gefahr für Sicherheitslöcher). Zwar gibt man sich bei den wichtigen Ports (etwa Firefox und KDE) Mühe, diese zumindest sicher zu halten, doch kann man die Versionen der Ports nicht aktuell nennen (Firefox 3.6.x und KDE 4.4.5 sind hierfür Beispiele der aktuellen Development-Version). Der Grund hierfür dürfte in der fehlenden Manpower liegen, womit die Lösung, nicht ganz aktuelle Versionen zu verwenden, sicherlich nicht falsch ist.

Problematisch ist in diesem Zusammenhang die fehlende Upgrade-Fähigkeit. Sicherheits-Upgrades müssen als Sourcecode-Patches ins System eingespielt werden und auch der Portstree muss von Hand aktualisiert werden (cvs up -d) , was durchaus zu Inkonsistenzen im System führen kann, da es vorkommen kann, dass im Laufe der Zeit zueinander inkompatible 3rd-Party Software auf dem System installiert wird. Gängige Linux-Distributionen lösen dieses Problem durch ihre versionabhängigen Software-Repositories, in denen alle Software-Packages aufeinander abgestimmt sind -- das ist klever und dadurch möglich, dass es keine Trennung zwischen Base-System und 3rd-Party-Software, sondern einfach nur "Software-Packages" gibt (egal, ob es sich hierbei um den Kernel, den gcc, die glibc oder GNOME handelt). Die Trennung von Base-System und Ports ist für BSD-Systeme historisch bedingt und wurde bis heute beibehalten.

Nun wird man klassisch gegen mein Posting argumentieren und sagen: OpenBSD sei nicht für den Desktop-Bereich gedacht. Wäre das wahr, könnte OpenBSD auf einen Großteil seiner Ports verzichten und wohl auch viele User verlieren.

Kurz: OpenBSDs Base-System ist ein großartiges Betriebssystem für Firewalls, Gateways, VPNs, dynamisches Routing und zentrale Dienste, aber viele Features fehlen gegenüber Linux-Systemen dennoch. Letztlich muss ein Benutzer entscheiden, was ihm wichtiger ist: Komfort (etwa ein vernünftiger vi mit Patches und Bedienkomfort) oder ein perfektioniertes Base-System.

For completing the abstracts: Creating Awareness for Efficient Energy Use in Smart Homes

2011-09-24T14:01:00.000-07:00

Here is my last scientific abstract posting for today. The paper was already presented in May at UDay IX.

Creating Awareness for Efficient Energy Use in Smart Homes

T. Rist, S. Wendzel, M. Masoodian, P. Monigatti, E. André
In Proc. Zusammenfassung der Beiträge zum Usability Day IX, Dornbirn, Austria, Feuerstein Gerhild, Ritter Walter (Hrsg.), pp. 162-168, 2011.

Abstract
Energy advisory services are designed to help habitants of smart homes to learn about their consumption patterns and eventually save and use energy more efficiently. In this paper we sketch some ideas for energy advisory services and present a layered software architecture that facilitates the integration of systems for power metering, home automation, and user interface technologies.

Keywords: building automation, ambient assisted living, usability, energy awareness

Vortrag Datenspuren 2011

2011-09-24T13:51:00.000-07:00

Bei den Datenspuren 2011 werde ich einen Vortrag zu verdeckten Kanälen halten. Hier ein kurzes Abstract:

Verdeckte Kanäle: Informationen durch die Hintertür

Stand der Forschung: Detektion, Prävention, Methoden

Das außerhalb der Forschung noch relativ unbekannte Thema der verdeckten Kanäle wird in den nächsten Jahren an Bedeutung gewinnen und dabei (als Dual-Use-Gut) aus zwei Gründen Aufmerksamkeit erregen:

Information Leakage Protection setzt in Zukunft die Verhinderung verdeckter Kanäle in Unternehmens-Netzen voraus um Pläne/Ideen/Know-How zu sichern.
Journalisten (oder generell: User), die sicher Informationen aus überwachten Netzen senden möchten, ohne dabei Zensurinstanzen aufzufallen, können in verdeckten Kanälen ebenfalls eine attraktive Technologie finden.

Der Vortrag beleuchtet die neueren Techniken, die in den letzten Jahren in der Forschung aufkamen, und die zugehörigen Detektions- und Präventionsmethoden aus dem Bereich der verdeckten Kanäle.

Einführung in das Thema (inkl. Bedeutung d. T.)
Versteckte Übertragung in Netzwerkprotokollen (und deren intelligente, automatisierte Auswahl über aufkommende Protokolle)
Absicherung während des SDL
Detektion von Covert Timing Channels; Detektion von Covert Storage Channels
optionale Inhalte: ggf. Vorstellung meines geplanten Buches zum Thema (falls erwünscht) und ggf. Vorstellung Open Covert Channel Detection-Projekt (ein Open Source-Projekt; derzeit in der Designphase)

New Paper: Low-attention forwarding for mobile network covert channels

2011-09-24T13:22:00.000-07:00

Another new paper for October: S. Wendzel and J. Keller: Low-attention forwarding for mobile network covert channels [pdf]. The paper will appear at the 12th Joint IFIP TC6 and TC11 Conference on Communications and Multimedia Security - CMS 2011, October 19th - 21st, 2011, Ghent, Belgium. It will appear in LNCS Vol. 7025, pp. 122-133.

Low-attention forwarding for mobile network covert channels
S. Wendzel and J. Keller

Abstract:
In a real-world network, different hosts involved in covert channel communication run different covert channel software as well as different versions of such software, i.e. these systems use different network protocols for a covert channel. A program that implements a network covert channel for mobile usage thus must be capable of utilizing multiple network protocols to deal with a number of different covert networks and hosts. We present calculation methods for utilizable header areas in network protocols, calculations for channel optimization, an algorithm to minimize a covert channel's overhead traffic, as well as implementation-related solutions for such a mobile environment. By minimizing the channel's overhead depending on the set of supported protocols between mobile hosts, we also minimize the attention raised through the channel's traffic. We also show how existing covert network channel infrastructure can be modified without replacing all existing infrastructure elements by proposing the handling of backward-compatible software versions.

Keywords: network covert channel, covert channel protocols, covert proxy, mobile security

Summary of my recent covert channel research.

New Paper: A Secure Interoperable Architecture for Building-Automation Applications

2011-09-24T13:17:00.000-07:00

In October, I will be present at the 4th International Symposium on Applied Sciences in Biomedical and Communication Technologies (ISABEL) where a paper of us was accepted. As usual, I want to publish the abstract here.

A Secure Interoperable Architecture for Building-Automation Applications
S. Wendzel, T. Rist, M. Masoodian and E. André

Building-automation systems enable building administrators and inhabitants to monitor and control their buildings from within the building itself, as well as from outside using remote access tools. In recent years, many such control systems have been developed for both residential and non-resi- dential buildings, with increasing levels of functionality.Due to the growing number of building-automation system manufacturers, which use different network and communication protocols with no interoperability, it is often not possible to integrate use of components from different manufacturers in a single building.To overcome this major limitation, we have developed a multi-layer architecture for building-automation, designed to allow remote management of buildings, while making it possible to use components from different manufacturers.Our architecture implements an advanced secure interface for building-automation software, using secure event-handling and Role-Based Access Control (RBAC). The architecture is designed to provide energy consumption and monitoring applications with an interface protecting their privacy.

Keywords: building automation security, energy awareness, privacy, usability

Informationsüberfluss

2011-09-03T08:10:00.000-07:00

Früher habe ich mich darüber beklagt, viel SPAM zu erhalten. Heute habe ich ein ganz anderes Problem, mit dem ich ebenfalls nicht allein sein werde, gegen das der SPAM aber irrelevant erscheint: Zu viel Input.

In meinem Atom/RSS-Reader habe ich weit über 100 Feeds gelistet, die ich versuche, zu verfolgen. Wenn ich mich beim Google Reader einlogge, habe ich immer >1000 ungelesene Inhalte. In Twitter versuche ich, mich auf 100 Personen zu beschränken, denen ich folge. Wie kann man dieser ganzen Informationsflut nur standhalten? Konsumiere ich Inhalte nicht, so erhalte ich auch nicht das darin enthaltene "Wissen". Aber mal ehrlich: Die meisten Leute sind doch heute so zugekleistert mit Inhalten, dass ihnen die Zeit fehlt, sich mit einem einzelnen Thema intensiv zu beschäftigen. Bücher liegen ungelesen herum, sie verstauben aber nicht, nein sie liegen vielmehr auf dem TODO-Stapel. Mein TODO-Stapel ist seit Jahren riesig, aber ich kaufe jetzt weniger hinzu. Der Stapel reicht von "Das Kapital" über "Metro 2033" bis zu Fachbüchern aus der Informatik.

Wofür ist eigentlich noch Zeit?
(Bild: Main Train Station in Stockholm, Jul-11)

Bis vor etwa einem Jahr habe ich mir noch täglich politische Diskussionen im Radio angehört und täglich die Süddeutsche online gelesen. Heute lese ich aus Zeitmangel nur noch circa 10-20 Beiträge aus der ZEIT pro Woche -- der einzigen Zeitung, die ich noch im Abo habe und behalten möchte und die mich auch (wegen des Titelthemas aus der vorletzten Woche) zu diesem Posting inspiriert hat. Stattdessen verfolge ich mittlerweile viele Blogs zu wissenschaftlichen Themen. Solche Themen sind für mich deutlich relevanter geworden, als das meiste politische Geschehen (man kann in 10 Minuten auf B5-Aktuell eigentlich alles wesentliche erfahren!). Mal im Ernst: Ich könnte mehr über unsere Minister von mir geben, als über meine Nachbarn. Das kann doch nicht wahr sein! Ich lese auch nicht mehr Heise.de und Golem.de. Beide Seiten sind praktisch Pflichtlektüre für Informatiker, bieten mir aber SO viel Input, dass ich einfach die Lust daran verloren habe, diesen ganzen Krämpel zu konsumieren. Oracle kaufte SUN und Linux wurde Version 3.0 -- na und? Jetzt kann ich zwar ständig ein "Hast du XYZ schon auf Heise gelesen?" hören und stelle leider fest, dass ich wirklich oft etwas interessantes verpasse, aber damit kann ich leben. Tatsächlich bleiben aber auch immer mehr von meinen Abo-Feeds ungelesen oder werden von mir komprimiert konsumiert (etwa lade ich mir nur noch 1x pro Woche alle interessanten Folgen vom DWissen-Netzreporter herunter und höre diese ganzen Folgen dann in einer Viertelstunde).

Dasselbe gilt für Projekte. Den wenigsten Menschen (zumindest im kreativen Bereich) dürfte es an Projektideen mangeln. Ich habe so viele Ideen für Open Source-Projekte, für Startups und für wissenschaftliche Papers, dass ich jeden Tag 24h durcharbeiten könnte -- und das auf Jahre. Aber für diese extreme Parallelität mit unzähligen Projekten ist der Mensch wohl eher nicht ausgelegt.

Wir müssen als Internet-User von einer weiter stark zunehmenden Informationsflut ausgehen. immer mehr Menschen publizieren mehr oder weniger interessante Inhalte und von diesen wahrscheinlich auch noch immer mehr Inhalte pro einzelne Person. Folglich müssen wir selektiver werden und Inhalte, die für uns eigentlich gar nicht sooo wichtig sind, "müssen" entrümpelt werden. Ich möchte jetzt nicht mein eigenes Posting bewerten, aber bei der Lektüre von diesem Text ging dem Leser sicherlich ebenfalls wertvolle Zeit verloren -- hoffentlich hat es sich diese zeitliche Investition zumindest halbwegs gelohnt (behaupten möchte ich das aber nicht, denn 90% von dem Krämpel, den ich lese, vergesse ich auch gleich wieder -- es fehlt ja schließlich auch die Zeit zur Reflexion!). In den letzten Monaten bin ich zudem dazu übergegangen, weniger Inhalte in meinem Blog zu posten, denn es gibt wenig nennenswertes. Jeder neue Patchlevel irgendeiner meiner Open Source-Softwareprojekte oder ähnlichen Krämpel muss ich nicht in einen Blog quetschen -- stattdessen genügt ein Einzeiler als Newsmeldung auf meiner Startseite. Damit werden insgesamt weniger Personen erreicht. Es werden aber auch insgesamt weniger Personen genervt.

Eine Möglichkeit, die Informationsflut im Netz drastisch zu reduzieren bestünde darin, wie in der Wissenschaft vorzugehen: Sauber recherchieren und sauber zitieren. Dann dauert es 1. länger, Postings zu erstellen, 2. wird die Qualität der Postings durch die Recherche besser, 3. wird nicht alles 10000000x von anderen Autoren veröffentlicht (wer hat denn nicht schon alles genau so ein Posting zum Informationsfluss geschrieben?¹). Das Problem dabei: Aufmerksamkeit ist ein wichtiges Gut und dieses Gut erhält der, der tippt, nicht der, der verlinkt. Vielleicht benötigt das WWW ein Redesign.

Footnotes:
¹ Google liefert sehr viele Resultate. Auch ich hatte vor geraumer Zeit einmal ein ähnliches Posting verfasst, habe es aber beim Blogtransfer nicht berücksichtigt und daher heute neu erstellt. Außerdem wollte ich den Wissenschafts-Gedanken verbreiten. Letztlich verstößt aber auch dieses Posting gegen meine eigene Idee.

Statusreport Promotion

2011-08-28T14:52:00.000-07:00

Teil 1: Sonntag, 28. August 2011

Seit fast zwei Jahren arbeite ich mittlerweile auf meinen Doktorgrad hin. Zeit für ein Lob bzw. eine Berichterstattung.

Ich glaube, ich dürfte etwa 15 gewesen sein, als ich anfing, mich für Projekte zu begeistern, von denen ich im Voraus nicht wusste, ob sie gelingen würden, die aber eine Herausforderung darstellten. Den aktuellen Gipfel dieser Projekte tituliere ich nun als Promotionsvorhaben und selbiges erwies sich bisher als großer Glücksfall. Nicht nur, dass ich durch eine äußerst glückliche Fügung an diese Möglichkeit geriet, sondern auch, dass ich mich über gute Betreuung freuen kann, tragen dabei zu meiner Zufriedenheit bei, nein, es liegt noch an einer ganz anderen Tatsache: Es macht unglaublich viel Freude, sich so außerordentlich intensiv mit einem Thema zu befassen, wie es im Rahmen einer Promotion wohl zwangsläufig erfolgen muss. Bereits vor geraumer Zeit zählte mein Literaturverwaltungsprogramm (JabRef) über 100 gelesene Papers (gezählt - natürlich - ohne Fachbücher und Fachartikel ohne Review).

JabRef 2.6 mit geladener Publikationsliste

Für spontane Ideen trage ich generell ein dickes Notizbuch mit mir herum. Jede Idee, die es in dieses Notizbuch schafft, wird mehrmals im Laufe der nächsten Wochen gelesen. Ich versuche die Ideen immer wieder in einen abstrakteren Kontext zu setzen oder nützlicher zu machen, als sie es derzeit sind.

Problemlos fügt sich dennoch nicht alles meinem Wunschlauf. So stehen einem angenommenen Konferenzpapier (s. hier) bisher 3 Rejections gegenüber und eigentlich wollte ich auch schon viel weiter sein. Auch mit der englischen Sprache habe ich stark zu kämpfen. Für mich steht zwar fest: Egal, wie lange es dauert, ich ziehe es - wenn man mich lässt - mit absoluter Sicherheit durch, doch heißt das nicht, dass ich mich ausruhe. Ganz im Gegenteil: Momentan befinde ich mich in einer äußerst produktiven Phase und überhaupt habe ich in den letzten Monaten sehr viel Zeit in Wochenenden investiert, die ich im Büro verbrachte, um zu recherchieren und zu tippen. Auch nächtliche Arbeitssessions (oftmals auch nicht allein, damit es wenigstens gemeinsame Kaffeepausen gibt, aber dafür bin ich in einsamer Arbeit produktiver) haben einen festen Platz in meinem Leben eingenommen. Da ich mit der Straßenbahn nur bis Mitternacht nach Hause komme, wird auch hin und wieder bis halb fünf Uhr Morgens gearbeitet (ab dann fahren hier in Augsburg wieder die Straßenbahnen).

Die Arbeit an den Papers ist äußerst zeitintensiv, bereitet mir aber viel Freude. Wie bei den Fachbüchern, so bringt auch hier jede getippte Seite ein gutes Gefühl mit sich. Der Unterschied liegt im Aufwand pro Seite: In einem Paper kann mir eine getippte Zeile mit neuem Zitat schon den Tag retten!

Schwed. Nationalbibliothek
(Kungliga biblioteket)
in Stockholm,
Aufgenommen im Aug. 2011.

Dass so viele promovierte Menschen in ihrer Dissertation von anderen abgeschrieben haben, das ist für mich nicht nachvollziehbar. Mein Verständnis dafür ist gleich Null. Auch dem jüngst in der ZEIT (Ausg. 35/2011) degradierten Dr. med. kann ich nur mit Kopfschütteln begegnen. Wieso lassen die Mediziner solche Praktiken bloß zu, schaden sie doch ihrem eigenen Ansehen in großem Maße? In der Informatik (und wohl allen MINT-Fächern) ist die Wahrscheinlichkeit für solche Betrugsfälle sicherlich sehr gering, da man gezwungen ist, wissenschaftliche Beiträge zu veröffentlichen. Diese Beiträge (Papers) werden durch fremde, einem nicht bekannte, Experten beurteilt und nur nach entsprechendem Begutachtungsresultat zur Präsentation freigegeben. Die eigentliche Dissertation dürfte (so, wie ich das bisher verstanden habe) nur noch das Zusammenschreiben der bisherigen Veröffentlichungen darstellen. Die eigentliche Leistung scheint mir dann doch eher in den Papers zu stecken. Das macht die Promotion in der Informatik zwar schwierig und lang (neulich war zu lesen, die Durchschnittsdauer für den Dr.-Ing. dauert an der RWTH im Schnitt 5,4 Jahre!, Quelle: Forschung&Lehre 7/11, S. 534-535), aber dafür wenigstens qualitativ hochwertig.

Durch meine Halbtagsstelle und die freie Zeiteinteilung für das Arbeiten als Fachautor bleibt mir zum Glück relativ viel Zeit, mich um die Forschung zu kümmern und durch die Arbeit an der Hochschule, die zwar nichts mit meinem Promotionsthema zu tun hat, aber wissenschaftlich ist, erlange ich viel wichtiges Wissen zum wissenschaftlichen Arbeiten/Forschungsalltag. Promotion und Forschungstätigkeit profitieren letztlich gegenseitig voneinander. Außerdem sind wissenschaftliche Publikationen außerhalb meines Promotionsthemas auch nicht verkehrt. Finanziell vergleiche ich mich besser nicht mit den Kommilitonen, die so schlau waren, nach dem Studium in einen hoch bezahlten Job zu gehen, aber das ist weniger wichtig, denn: Ich promoviere schon längst aus Idealismus und nicht für das Klingelschild! Bis zum Ziel werde ich wohl noch 2-3 Jahre brauchen.

Teil 2: Sonntag, 27. Februar 2012

Mittlerweile sind wieder sechs Monate ins Land gestrichen und es wird Zeit für eine Aktualisierung des Postings. Was gibt es denn an Neuigkeiten?

Zum einen habe ich neben verschiedenen kleinen wissenschaftlichen Präsentationen meine ersten richtigen Konferenzvorträge im Ausland gehalten, worüber ich mich sehr freue. Der Austausch mit anderen Menschen, die auf dem Spezialgebiet forschen ist sehr bereichernd. Bisher würde ich den Schluss ziehen, dass der Austausch mit anderen Wissenschaftlern umso interessanter ist, je spezieller und anspruchsvoller die Konferenz ist. Auch konnte ich Gastvorträge an anderen Universitäten halten.

Seit dem Posting von Teil 1 konnte ich zum anderen stapelweise weitere Papers lesen und habe zwei weitere Tagungspapiere unterbringen können. Außerhalb meiner Doktorandenforschung auf dem Gebiet der verdeckten Kanäle in Netzwerken konnte ich auch einige weitere wissenschaftliche Publikationen über das Forschungsgebiet erzielen, in dem ich eigentlich beruflich arbeite (Gebäude-Automation).

Da ich nun schon seit 2009 an meiner Doktorarbeit sitze, einige Erfolge erzielen konnte, und sich langsam, aber sicher, alles zu einem großen Ganzen zusammen reimt, plane ich außerdem, in den nächsten Monaten mit dem Aufschreiben der eigentlichen Dissertation in englischer Sprache zu beginnen. Zunächst möchte ich aber endlich meine Monographie zum Thema abschließen (quasi eine freiwillige Zusatzleistung neben der Promotion).

Meine aktuelle Publikationsliste

Vorschau: Cover für die fünfte Auflage

2011-08-08T08:01:00.000-07:00

Mittlerweile ist das Cover für die fünfte Auflage von unserem Linux-Handbuch veröffentlicht. Der zugehörige Inhalt kommt dann in etwa 4 Monaten ;)

Es handelt sich bei dieser Neuauflage hauptsächlich um das Resultat einer Aktualisierungsarbeit; neue Inhalte gibt es zwar auch, aber eher im kleinen Umfang. Unseren Fokus legen wir (wie immer) primär auf die Qualitätssicherung des Inhalts.

Underground Gopher

2011-06-26T06:36:00.000-07:00

Vor Kurzem kam mir die Idee, mich doch etwas näher mit Gopher (den Vorläufer des World-Wide-Web, ein Netzwerkprotokoll mit Standardport 70) zu befassen. Eine Einführung in Gropher gibt es auch. Hier noch eine weitere.

2004 hat Wired "Gopher" als "Underground Technology" bezeichnet.

Zitat: Mention gopher to a newcomer to the Web and you might get a blank stare. Mention it to an old-timer and you're likely to see a nostalgic smile. But to a community of developers and enthusiasts, gopher is alive and kicking. And if they have their way, it will have a healthy future..

Sucht man tatsächlich einmal nach Gopher-Servern (davon gibt es nicht mehr all zu viele), findet man hochgradig nerdige Textfiles (etwa Bücher wie das bekannte und empfehlenswerte Buch Kuckucksei oder auch Alice's Adventures in Wonderland), Midi-Dateien, aber auch Aktuelles, denn tatsächlich betreiben einige Menschen Gropher-Server oder setzen diese sogar neu auf.

Auch ältere Einführungen in den Gopherspace (gopher/welcome) oder das Gopher Manifesto lassen sich dort finden.

Im Internet Explorer hat Microsoft (laut Wikipedia) den Support für Gopher:// bereits vor geraumer Zeit eingestellt, mit diversen anderen Browsern kommt man aber (notfalls über Plugins) noch auf die Gopher-Server. Alternativ kann man sich auch einfach gopher, einen Konsolen-Client, installieren (s. Abb.).

Eine Liste bekannter Gropher-Server gibt es übrigens hier: http://gopher.floodgap.com/gopher/gw?gopher.floodgap.com/1/world -- dort gibt es ein HTTP-Interface für unzählige Gopher-Server -- fast schon schade. Gut ist der HTTP-Zugriff allerdings auch, denn floodgap.com stellt somit auch ein Archiv für nicht mehr existierende Gopher-Server bereit.

Wer einen eigenen Gopher-Server aufsetzen möchte, findet gopherd meist nicht mehr als Package für seine Distribution vor, dafür gibt es aber gofish und den Phyton-basierten pygopherd.

Arbeit an Buch Nummer 4

2011-06-08T09:41:00.000-07:00

Die Arbeit an meinem nächsten Buch "Tunneling und verdeckte Kanäle im Netz", welches Anfang 2012 bei Vieweg+Teubner erscheinen soll, macht deutliche Fortschritte. Von den geplanten ca. 200-250 Seiten sind bereits 124 Seiten in Rohform verfasst. Der besondere Reiz dieses Titels besteht für mich in der akademischen Eigenart der Thematik. Verdeckte Kanäle sind bisher ein reines Forschungsthema gewesen und fanden unter Security Professionals kaum Beachtung. Ein Grund mehr, mich auf meine nächsten Vorträge zu freuen!

Dieses Buch wird das erste umfassendere Werk zum Gesamtthema der verdeckten Kanäle sein. Eine Veröffentlichung, die sich allerdings auf eine spezielle Form verdeckter Zeitkanäle und zugleich auf die spezielle Anwendung für Web-Services beschränkt, gibt es bereits von H.G. Eßer. Eßers existierendes Werk macht für mich deshalb nur ein Buch zum generellen Thema der "verdeckten Kanäle" (und dem durchaus stark damit zusammenhängenden Thema "Tunneling") sinvoll.

Dieses Buch soll zugleich als Lehrbuch für das Studium, wie auch als Themeneinführung für zukünftige Doktoranden/Wissenschaftler auf dem Gebiet dienen.

Bei der derzeitigen Entwicklung rechne ich mit einer vorzeitigen Fertigstellung des Titels. Eine (bisher sehr kleine) Webseite zum Buch gibt es im Übrigen auch schon, nämlich hier: www.linux-openbook.de/site/index.php?id=75.

Parallel schreitet die erste Entwicklungsphase an einem gemeinschaftlichen Open Source-Pilotprojekt, dem Open Covert Channel Detector (OpenCCD), voran, für das sich bereits hochqualifizierte Mitstreiter fanden, und mit dem das erste NIDS für Network Covert Channels geschaffen werden wird. Wie brauchbar die Algorithmen aus der Forschung in der Praxis sein werden, wird sich aber erst im Laufe der Zeit und mit Einsatz und Erprobung von OpenCCD zeigen.

Call for Developers!

2011-06-03T07:04:00.000-07:00

OpenCCD (Open Covert Channel Detection)

Introduction

Covert channels are hidden communication channels not designed for information transfer. A covert channel can be used to signal secret information within a network, i.e. it is possible to leak secret information (e.g. confidential business data as well as research secrets).

Within the last years, I spent a huge amount of time doing research in the area of covert channels. My research includes both, covert channel creation, as well as covert channel detection/prevention. I just finished my master's thesis on the analysis of covert channel detection/prevention methods and I additionally developed a new detection method for so called "protocol channels". I also wrote my diploma thesis on covert channels and I am now writing my PhD thesis in the area of covert channels as well.

Idea

We have well-known intrusion detection systems (such as Snort) but there is currently no covert channel detection system available as a software solution. Thus, I started the development of an open source software with the aim to develop such a covert channel detection/prevention system able to work on network appliances. Covert channels can be used by intruders for information leakage. Therefore an information leakage protection is required. The importance of covert channels will raise within the next years (AT&T Chief Security Officer Ed Amoroso already mentioned that covert channel research must be resumed back in 2009).

Call for developers

I spent the last months, evaluating the existing covert channel detection/prevention methods. It turned out that the time, required for the development of a detection software, is way too much for one developer. It requires at least a small team of /skilled/ developers to reach this aim within the next years. Thus, this project requires open source software developers (with specialization in network programming in the Linux/Unix/BSD environment), and that is why I wrote this call:

If you are interested in contributing to the first and open covert channel detection/prevention software, then let me know. The goal is to build an international team of experts, as well as to do additional research in that area.

Requested skills: Linux/Unix/BSD, C, TCP/IP, Monitoring, IDS, and, if possible: knowledge in the area of covert channels.

Project website: www.openccd.org

Regards,
Steffen Wendzel
swendzel -at- ploetner-it -dot- de,
www.wendzel.de,
Jun, 3. 2011

Team

TBA

Vortragsankündigung CoSin'11: Covert Channels

2011-06-02T14:46:00.000-07:00

Und hier noch eine weitere Vortragsankündigung:

Sa, 25. Juni in Biel, Schweiz
Geplant für 15.30 Uhr
Bei: CCC Chaos Singularity 2011, www.cosin.ch

Thema: Aktuelle Techniken und Methoden der verdeckten Kommunikationskanäle.

Untertitel: Angriff, Detektion und Prävention -- wie weit ist die Forschung?

Der gesamte Fahrplan ist hier zu finden.

Vortragsankündigung: "Verdeckte Kanäle - Neuland für freie Software"

2011-05-09T04:36:00.000-07:00

Im Sommer findet folgender Vortrag statt (weitere Vorträge zu ähnlichen Themen an anderen Orten befinden sich derzeit in Planung).

Verdeckte Kanäle - Neuland für freie Software.

Termin: Freitag, 22. Juli 2011, 18:00 im "Café Netzwerk" (Luisenstr. 11, 80333 München).

Weitere Informationen.

Solaris Port Stealing

2011-03-29T08:41:00.000-07:00

Heute habe ich in Bugtraq ausnahmsweise mal wieder einen interessanteren Angriff entdeckt, der auch noch völlig trivial durchzuführen ist. Chris O'Regan bindet dabei einen unpriviligierten Port (bekanntlich die Ports >1024), der bereits von einem Dienst vergeben ist, der auf *.[port] läuft, über einen unpriviligierten User erneut an einen Dienst und erhält somit alle Daten des eigentlichen Dienstes, der auf *.[port] läuft.
Oracle weist auf die Kompatibilität zu BSD hin und schlägt als Lösung die Priviligierung des Ports vor (ndd -set /dev/tcp tcp_extra_priv_ports_add [port]).

Das gesamte Posting lässt sich hier einsehen: http://www.securityfocus.com/archive/1/517216/30/0/threaded.

Meine Schlussfolgerung: Wir brauchen komplett neue Operating System-Designs in der Praxis

Update 1: Der Autor hat in einem Folgeposting diesen Kommentar für ein Angriffszenario geliefert:

Imagine if you find a Solaris system running a web server that has a
remote exploit which allows for the execution of arbitrary code. If the
web server happens to be listening on the wildcard interface than you
can very easily insert your own web server in front of it!

Update 2: Mittlerweile hat ein Mitarbeiter von ORACLE in einem Folgeposting auf die Socketoption SO_EXCLBIND verwiesen (mit setsockopt() setzen), mit der exklusiver Portzugriff gewährleistet werden kann. Dazu habe ich folgendes Dokument finden können: http://arc.opensolaris.org/caselog/PSARC/2006/407/spec.txt.

Zitat:

+      A note about binding a TCP socket.  No two TCP sockets can
+      be bound to the same port unless the bound IP addresses are
+      different.  IPv4 INADDR_ANY and IPv6 unspecified addresses 
+      compare as equal to any IPv4 or IPv6 address.  For example, if a
+      socket is bound to INADDR_ANY or unspecified address and port X,
+      no other socket can bind to port X, regardless of the binding
+      address.

Dasselbe gilt auch für UDP.

Neue Rezension zu "Linux. Das umfassende Handbuch"

2011-03-24T06:10:00.001-07:00

Zu unserem umfassenden Linux-Handbuch:

IT FREELANCER-Magazin, 04/2011

Mit diesem Standardwerk lernt man alles Wissenswerte über Linux kennen. Das Buch bietet Themenvielfalt und Vollständigkeit.

Besten Dank!

Gedanken zur Hochschulbildung

2011-03-08T15:43:00.000-08:00

Da durch die Guttenberg-Affäre ein aktueller Blickpunkt auf der Promotion liegt und ich mich in den letzten Wochen doch recht intensiv mit dem Thema (und angrenzenden Themen) gedanklich befasst habe, möchte ich nun doch einmal meine Meinung dazu abgeben.

Bevor ich auf die Promotion zu sprechen komme: Ich finde es wichtig, dass selbst eine Masterarbeit so geschrieben wird, das sie einen Nutzen hat, der außerhalb der Person des Verfassers steht. Das heißt, sie soll nicht nur dem Abschluss dienen, sondern der Allgemeinheit. Auch sollten alle geschriebenen Arbeiten öffentlich zugänglich sein (sofern sie nicht gerade Firmengeheimnisse preisgeben, die von besonderer Bedeutung sind; aber auch in diesen Fällen sollte eine strenge Überprüfung einer solcher Behauptung stattfinden!).

Gegen dieses Argument der erzwungenen Veröffentlichung kann doch nur sein, wer etwas (etwa eine schlechte Leistung) zu verstecken hat. Bei Dissertationen, bei denen die Messlatte sicherlich deutlich höher liegt, als bei einer Masterarbeit, sollte der Aspekt der Nützlichkeit (wenn auch „nur“ für die Wissenschaft, und nicht für die Allgemeinheit/Praxis) im Vordergrund stehen. Eine Promotion für den Doktorgrad auf dem Klingelschild finde ich unehrenwert und ich möchte auch selber nicht für eine solch unnütze Doktorarbeit promoviert werden. Lieber investiere ich zusätzliche Jahre in meine Doktorarbeit, als dass ich nicht genug wissenschaftlichen Nutzen erzeuge.

Ich finde es außerdem schlimm, dass in einem Land wie Deutschland überhaupt Plagiate erstellt werden; es unterscheidet uns in keiner Weise von einer Bananenrepublik, wenn solche Abschlussarbeiten (oder sei es nur eine Studienarbeit!) durchgehen (zumindest bei Abschlussarbeiten sollte doch eine Überprüfung immer möglich sein!). Ich kenne leider zu viele Fälle von nutzlosen, kopierten Texten, von eigentlich zu 50% kopierten Abschlussarbeiten und von einer „ich will nur den verfluchten Abschluss, meine Arbeit schmeiße ich danach weg“-Mentalität! Wo ist die Begeisterung für das eigene Fach? Schlimm ist es, wenn solche Arbeiten mit guten Noten ausgezeichnet werden, hier sind auch die Professoren in der Verantwortung.

Gut erinnere ich mich noch an einen Arbeitstag im letzten Sommer. Ich verbrachte den Tag in der Bibliothek um Papers zu lesen, als mich ein unnötig lautes Tastaturgetippe anfing zu stören. Die Studentin, die sich als für diese Tipperei verantwortlich erwies, tat nichts anderes, als pausenlos die Seiten des neben ihr liegenden Buches abzutippen und ich habe innerlich gehofft, dass dieses Plagiat auffallen würde. Die Frage, die sich mir dabei aber auch stellt ist die, wie es dazu kommen konnte? Wie ist diese Gleichgültigkeit gegenüber dem Plagiat möglich und wie gering muss der innerliche Anspruch an die eigene Tätigkeit sein, um so zu handeln? Wäre jede Abschlussarbeit öffentlich, dann würde die Studentin sicherlich nicht wie beobachtet verfahren.

Bei diesen Beobachtungen wird mir immer wieder klar: Die meisten Studenten lernen nicht für‘s Leben, sondern für den Beruf. Das ist traurig. Ich erwarte aber noch mehr von uns: Wir leben in einem Land mit einer geisteswissenschaftlichen Tradition, aber viele Studenten befassen sich ja kaum mit den Grundlagen der Philosophie und Co. Wieso lesen so viele Studenten fast ausschließlich Schrottbücher, die von Gossenkomikern geschrieben sind, anstatt sich zu bilden? Auch das ist traurig. Wir sollten während des Studiums (und eigentlich für den Rest unseres Lebens als gebildete Menschen) doch in der Lage sein, uns für uns selbst zu bilden. Konfuzius sagte bereits: „Wer [...] seinen Geisteswitz auf Kleinigkeiten [verschwendet], der wird schwerlich Großes leisten.“

Ich sage ja nicht, man solle sich immer nur den ganzen Tag bilden und darf keinen Spaß haben (denn das wird mir sicherlich wieder nachgesagt werden, wenn ich dieses Posting veröffentliche!), ich sage vielmehr: Bildung ist Bereicherung und macht Spaß und natürlich sage ich auch nicht, das man sich nicht betrinken dürfe. Das dieses Posting kein Imperativ, sondern vielmehr eine Wunschvorstellung ist, erwähne ich nur, weil mir die Erfahrung lehrt, dass dies im Internet nicht ganz unwichtig ist.

NNTP-Server WendzelNNTPd-2.0.0-beta ist fertig!

2011-02-25T18:10:00.000-08:00

Nach etwa 1,5 Jahren Entwicklungszeit habe ich nun endlich die 2.0-Beta-Version von meinem Usenet-Server auf die Reihe bekommen. Leider steht mir für die Open Source-Entwicklung nicht mehr so viel Zeit zur Verfügung, wie noch vor einigen Jahren.

WendzelNNTPd ist ein Usenet-Server, den ich bereits seit 2004 entwickle und der mittlerweile vollständig in C geschrieben ist. Die begehrte C++-Oberfläche (Qt) habe ich für die neue Version in den Müll verfrachtet. Dafür wurde das Konsolentool 'wendzelnntpadm', mit dem die Administration erledigt wird, deutlich erweitert.

Was gibt es Neues? Nun, wahrscheinlich einige Features, die kein anderer Usenet-Server dieser Welt haben dürfte:

Einen Datenbank-Abstraktionslayer (man kann in der Konfiguration auswählen, ob man, nach wie vor, mit SQlite3, oder mit dem von nun an unterstützten MySQL arbeiten möchte). Das Hinzufügen weiterer Datenbanken ist (einmal vom Tippaufwand abgesehen) relativ einfach und vom eigentlichen Server-Code getrennt.
Es gibt nun Access Control Listen (ACLs) für erhöhte Sicherheit inklusive Role Based Access Control (RBAC), um beim Administrieren Zeit zu sparen. Ein Administrator kann also nicht nur einem Benutzer x Zugriff auf eine Newsgroup y geben, und einem Benutzer z nicht, sondern er kann auch einfach die Benutzer (a,b,c) in eine Rolle packen und der Rolle verschiedene Newsgroups zuweisen. Damit lassen sich etwa einfach 'mal zehn Entwickler mit einer Entwicklungsnewsgroup für ein neues Produkt verbinden.
Es gibt "invisible"-Newsgroups: Hat ein Benutzer keinen Zugriff auf eine Newsgroup, taucht sie nicht beim LIST'ing auf. Sollte der User dennoch in Erfahrung bringen, dass eine Newsgroup existiert, dann kann er sie natürlich trotzdem weder mitlesen, noch darin Posten.
Die Dokumentation ist neu geschrieben und liegt jetzt in LaTeX vor (verfügbar als HTML- und PDF-Version).
Unglaublich viele Bugfixes und unglaublich viel Code-Clean-Up.
Außerdem: Diverses Detailfehlverhalten ist nun standardkonformer (leider fehlen noch immer eine Menge NNTP-Befehle und Standard-Details).
Weitere NNTP-Commands werden unterstützt:

LISTGROUP
LIST OVERVIEW.FMT
XGTITLE
LIST NEWSGROUPS

Aber nicht vergessen: Der Code ist BETA -- und zwar erst seit einigen Stunden ;) Feedback ist selbstverständlich gern gesehen, Patches für neue Features aber noch mehr.

Anmerkung: Die regulären Ausdrücke, die u.a. bei XGTITLE [r] verarbeitet werden, basieren bei WendzelNNTPd auf der regex-Library, wie Sie bei Linux typisch ist. Die NNTP-Syntax für reguläre Ausdrücke passt also nicht exakt. Beispielsweise ist * bei WendzelNNTPd .* , die üblichen Ausdrücke, wie ^a, b$ usw. funktionieren selbstverständlich dennoch.

Blogumstellung

2011-02-24T12:43:00.000-08:00

Ich habe meinen Blog gestern zu Blogspot umgezogen und dabei die 52 brauchbarsten von ca. 200 Postings in mühsamer Arbeit übernommen.

Außerdem habe ich meine Webseite umgestellt (sie besteht nun aus statischem HTML-Code, den ich mit dem Apache Forrest-Publishingframework erzeuge).

Promotion mit FH-Diplom

2011-02-23T16:56:00.000-08:00

Promotion nach dem FH-Diplom -- geht das? Ich stelle diese Frage nicht zum ersten Mal und kann nach meiner Recherche sagen: es geht, ist aber schwierig. Promotionen können übrigens nur an einer Universität, also nicht an einer FH, durchgeführt werden, weshalb man folglich irgendwie an eine solche gelangen muss ...

Fri, 04 May 2007 11:23 (hin und wieder leicht aktualisiert)

Hier ein Zitat aus (Quelle: Uni Bielefeld): 1992 beschloss die Kultusministerkonferenz, besonders qualifizierten FH-AbsolventInnen den direkten Weg zur Promotion zu ermöglichen, ohne zuvor den Universitätsabschluss nachholen zu müssen. Die Bundesländer haben diesen Beschluss bisher nur teilweise und auch unterschiedlich umgesetzt.

Hier die interessanten Links:
~~Info#1~~ (Link geht nicht mehr) ~~Info#2~~ (Link geht nicht mehr) ~~Info#3~~ (Link geht ebenfalls nicht mehr) Diskussion#1

Außerdem möchte ich auf mein eigenes Posting verweisen, in dem ich unregelmäßig meinen eigenen Promotionsfortschritt protokolliere: siehe hier.

Besonders interessant: Einen Dr. in Deutschland nach der FH zu erwerben ist schwer. In Australien gibt es den PhD wohl nach 2-3 Jahren, wobei das FH Dipl. als "Bachelor (honours)" (also der bessere Bachelor, den man nach vier Jahren bekommt) gewertet wird, und der, wenn gut genug, direkt zur Promotionszulassung führen kann. In Österreich sei die Promotion nach der FH auch verhältnismäßig einfach (speziell für den Dr. tech.; den Dr. rer. nat. gibt es etwa in Linz nur nach einem Aufbaustudium). An einer deutschen Uni muss man oft erst ein paar Semester (im schlimmsten Fall das ganze Hauptstudium) nachholen, damit man offiziell ein Uni-Diplom hat (und mit dem man dann anschließend promovieren kann). Möchte man in Deutschland direkt mit dem FH-Dipl. promovieren, dann sollte man schon einen Schnitt von 2,0 oder besser vorweisen. Einige Unis verlangen auch einen Mindestschnitt von 1,5 sowie Zusatzleistungen. Mir sind auch Fälle bekannt, bei denen trotz 1er-FH-Masterabschluss noch umfangreiche Auflagen (in Form von zusätzlich zu erbringenden Prüfungsleistungen) verlangt wurden.

Aus Wikipedia: An den Fachhochschulen wird das Diplom ebenfalls als akademischer Grad verliehen, es wird jedoch seit 1987 zwingend mit dem Zusatz (FH) gekennzeichnet und berechtigt nicht grundsätzlich, aber unter besonderen Voraussetzungen, zur Promotion. Neben der im Gegensatz zum universitären Diplom eher anwendungsbezogenen Orientierung unterscheidet sich das Diplom der Fachhochschulen auch durch die in der Regel kürzere Studiendauer von 8 Semestern (bis Ende der 80er 6 Semester).

Letztlich hängt es wohl einfach davon ab, ob man Glück hat und an die richtigen Personen gerät ...
Alternativ kann man aber auch ein Masterstudium anschließen, was in Deutschland 3-4 (an einer Uni meist 4) Semester dauert, in Schweden habe ich (jedenfalls für Informatiker) aber auch schon einen 2-Semester-Master (60 ETCS) gefunden, der dann allerdings explizit als "Master of Science (1 Year)" tituliert wird (ähnliche Möglichkeiten gibt es an einigen spanischen Universitäten).
Bis vor kurzem bot die Hochschule Augsburg noch einen 60 CP-Master für Studenten mit 8-Sem. FH-Dipl. bzw. 8-Sem.-Bachelor an, der leider mittlerweile eingestellt und durch einen dreisemestrigen Master setzt wurde. Zum Glück konnte ich diesen Master selber gerade noch studieren, bevor er eingestellt wurde. Die Zulassung zur Promotion war für mehrere Absolventen mit sehr gutem Abschluss in diesem 60 CP-Master an verschiedensten Universitäten in Deutschland erfolgreich).

Hier noch ein interessanter Beitrag aus der Süddeutschen zum Thema: Dr. zweiter Klasse. Zitat: Damit würde sich auch ein anderes Problem lösen, das Geiger in Bezug auf die steigenden Promovierendenzahlen unter den FH-Absolventen sieht: "Solange die Studenten für die Promotion an eine Universität wechseln müssen, sind die guten Leute für die FHs oft verloren."

FAQ von Fragen, die ich öfters gestellt bekomme (neue Fragen bitte als Kommentar posten):
Q: Kann ich nach einem Master-Abschluss eigentlich den "(FH)"-Zusatz hinter meinem Diplom weglassen?
A: Nein. Der Grad muss so geführt werden, wie er verliehen wurde. Es steht allerdings jedem frei, sich *nur* Master-of-Wasauchimmer zu nennen (also nur "VNAME NNAME, M.Sc." anstelle von etwa "Dipl.-Inf. (FH) VNAME NNAME, M.Sc.").

"Hacking" gnometris highscores

2011-02-23T16:55:00.000-08:00

Where the hell does gnometris (a tetris game for GNOME) save his scores? I found it out :-)

(Date/Datum: 080824-00:22, Hits: 2540)

I like these tiny hacking challanges even if they -- like this one -- can easily be solved by a 10 year old comming-soon-nerd. Here is what I found out.

Here you can see how this game looks like:

First, I tried to figure out what files were opened by gnometris. Because of this I tried to make a syscall and library call trace of the binary, but gnometris change its behavior and prevented this very first attack by disabling the "Scores" menu entry:

Because of this (you can see it on the right picture) I tried to configure a keyboard shortcut for the scores menue by editing ~/.gnome2/accels/gnometris:

swendzel@steffenmobile:~$ cat .gnome2/accels/gnometris
...
...
; (gtk_accel_path "/MenuActions/NewGame" "n")
(gtk_accel_path "/MenuActions/Scores" "s")
; (gtk_accel_path "/MenuActions/About" "")
; (gtk_accel_path "/MenuActions/SettingsMenu" "")
; (gtk_accel_path "/MenuActions/Pause" "Pause")

The shortcut worked... but it worked only if I didn't any tracing ;-)

The easiest way would be to search google for a hint or to read the source code but ... there must be a nicer way to find out were the scores were saved (and in which format!).

Because of this, I tried gnomes minesweeper implementation. When you trace gnomines it shows a different behavior, it simply loads an empty scores table! Now I tried to figure out if all gnome games make use of an equal or even the same highscore storage system.

Another idea was that all gnome games seem to use a global highscore table for all users of the computer which means that they must be able to write to a system file that is not located in a users $HOME. Let's check that:

swendzel@steffenmobile:/tmp$ ls -l /usr/games/{gnomine,gnometris}
-rwxr-sr-x 1 root games 113056 2008-07-17 21:32 /usr/games/gnometris*
-rwxr-sr-x 1 root games  95168 2008-07-17 21:32 /usr/games/gnomine*

Yup! (Notice the 's'-flag). Hmm.. let's try the most easy possibility to find score files ...

sudo find / -name '*gnometris*'
...
/var/games/gnometris.scores
...

It was SO EASY. Only a file search was needed. But the rest was more fun ;-)

$ cat /var/games/gnometris.scores
30841 1215191332 swendzel
6440 1219527400 swendzel
4780 1219527140 swendzel
4720 1218969234 swendzel
4240 1219258843 swendzel
2620 1214769614 swendzel

And yup, the editing worked find. But I still don't know the meaning of the number in the middle of each line. Hmm.. WAIT!

swendzel@steffenmobile:/tmp$ cat <<>time.c
> #include
> int main(){printf("%i\n",time(NULL));return 0;}
> EOF
swendzel@steffenmobile:/tmp$ gcc -o time time.c
swendzel@steffenmobile:/tmp$ ./time
1219529987

Hehe ;-) It is just the UNIX time value (the number of seconds counted since 00:00:00 UTC, January 1, 1970).

Tote und pseudo-tote Projekte

2011-02-23T16:54:00.000-08:00

Sind Software-Projekte wirklich tot, wenn sie keine Entwicklungs-Aktivität zeigen?

(Date/Datum: 2010-03-28-18:29, Hits: 506) Als Administrator ist man generell gewillt, Software einzusetzen, die aktiv weiterentwickelt wird. Das heißt, dass das letzte Release nicht sonderlich alt ist und das etwas Aktivität auf den Entwickler-Repositories vorhanden sein sollte. Als Entwickler ist die Überlegung ähnlich: Mit Vorliebe werden aktive -- das heißt: nicht tote -- Projekte (etwa Bibliotheken) zur weiteren Entwicklung verwendet.

Kurz gesagt lautet die Faustregel also: Liegt das letzte Release oder die letzte Subversion-Aktivität nicht sonderlich weit in der Vergangenheit, so ist ein Projekt grob als aktiv einzustufen. Nun ist es aber so, dass etwa mein AstroCam-Projekt seit Mai letzten Jahres keine neue Version mehr gesehen hat (und auch diese enthält keinerlei halbwegs bedeutsame Quellcode-Änderung) und das Projekt dennoch nicht tot ist. Die letzte wirklich wichtige Version liegt gar noch deutlich weiter (knapp 2 Jahre) zurück: Version 2.7.4 vom 2. Mai 2008 enthält nämlich einen brauchbaren Bugfix.
Dennoch gilt: Würde ich einen neuen Bug finden oder würde mir ein Problem gemeldet werden, so würde ich es schnellstmöglich beheben.

Warum aber gibt es keinerlei neue Versionen? Gegenfrage: Weshalb sollte man ständig neue Versionen herausgeben mit Features die eh nur 2% der User verwenden und die übrigen 98% entweder nicht benötigen, oder nicht kennen? Projekte sind manchmal einfach ausreichend fertig entwickelt und deshalb nicht tot. Sie als tot zu betrachten während sie nur pseudo-tot sind, das sehe ich als vorschnell/uninformiert an. Manche Projekte haben (auch in der Open Source-Community) einfach nicht das Ziel, immer bunter, aufgeblähter und langsamer zu werden. Für meine Projekte gilt das ebenfalls: Lieber klein, sicher und stabil soll der Code sein. Dafür verzichte ich auf unnötige Features und deshalb ist AstroCam auch noch immer (wir schreiben Ende März 2010) auf meiner Webseite auch in der Liste der aktiven Projekte aufgeführt.

Covert Channel Mailinglist/Discussion Group

2011-02-23T16:53:00.000-08:00

I just set up a covert channel discussion mailing list. The list is for everybody interested in the topic.

(Date/Datum: 2008-12-30-16:28, Hits: 2504)

Micro-FAQ:

This list can be found at google groups: http://groups.google.com/group/covert-channel-research.

Web Archive of the OLD VERSION of this mailing list: Can be found here. All messages are available here.

Edit (2008-Dec-31, 15:00 CET): Already 23 Subscribers.

Edit (2009-Jan-12, 22:00 CET): Already 38 Subscribers.

Edit (2009-Apr-24, 11:26 CET): The list is now moderated since there where some spam messages in the list. This is needed to make sure that the list will stay spam free in future.

Edit (2010-Sep-28, 21:44 CET): I terminated the mailinglist due to inactivity.

Edit (2010-Sep-29, 00:17 CET): Just set up a new replacement for the list on google groups since there *is* activity on the list ... but the webspace is already quit.

H04x: Rebbi im Studivz und Gebühren in StudiVZ/MeinVZ/SchülerVZ

2011-02-23T16:51:00.000-08:00

H0Axe (bzw. Hoaxe) sind Falschmeldungen im Internet, die sich via Schneeballeffekt verbreiten. Sie lauten etwa so: "Achtung, der ICQ-Nutzer 10585823 ist ein Virus! Schicke diese Nachricht an alle deine Kontakte weiter, um sie zu informieren."

(Date/Datum: 2008-11-17-18:05, Hits: 14279) Auch im StudiVZ/MeinVZ/SchülerVZ ist so eine Meldung just wieder aufgetaucht und hat mich in vielfältiger Ausführung erreicht -- Grund genug, um etwas Aufklärungsarbeit zu leisten. Es handelt sich explizit um diese Meldung:

"Sag bitte allen leuten in deiner liste,
dass sie den kontakt mit Rebbi nicht annehmen sollen!
das ist ein Virus (über svz) der zerstört die ganze
festplatte und zieht sich die daten runter, wenn
ihn einer deiner kontakte erwischt, bist du auch
betroffen, weil er sich durch die liste frisst also
kopier das und schick es an alle"

Ein StudiVZ-Benutzer kann aus rein technischen Problemen kein Virus sein. Mehr zu Rebbi und seinen Kollegen.

Eine weitere Kettenmail dieser Art verbreitet das Gerücht, StudiVZ, MeinVZ und Co. würden kostenpflichtig werden:

"Nervt zwar,aber weiterschicken.
Ich will auch kostenfrei dabei bleiben.
-
also deswegen diese Mail an dich (ist auch nur weitergeleitet)

Studivz. wird ab dem nächsten Semester kostenpflichtig.
Mit einer Jahrespauschale von 10 € bleibst du dabei.
Wenn du diese Mail binnen 24 Std.nach dem lesen an 24 Freunde
schickst bleibst dein Account kostenfrei

Sag mal bitte allen leuten in deiner liste, dass sie den kontakt
mit Rebbi nicht annehmen sollen! das ist ein Virus (uber svz)
der zerstort die ganze festplatte und zieht sich die daten runter,
wenn ihn einer deiner kontakte erwischt, bist du auch betroffen,
weil er sich durch die liste frisst! also kopier das und schick
es an alle Bitte mach das"

Auch das ist natürlich Quatsch und einmal davon abgesehen wäre die Kommerzialisierung der VZ-Dienste das finanzielle Ende derselben.

Typische Falschmeldungen gibt es auch immer wieder per Mail (in den letzten Jahren zum Glück weniger häufig). In den Mails steht dann in etwa: "Die arme kleine Jenni ist 4 Jahre alt und wird ohne eine geeignete Knochenmarkspende sterben, da ihre Eltern arm sind (siehe erbärmliches Foto im Anhang)." Die meisten Menschen reagieren nicht direkt darauf, sie melden sich nicht als Spender, sondern geben die Verantwortung ab und holen sich ein reines Gewissen, indem sie der beigefügten Aufforderung folgen, diese Mail an alle Menschen in ihrem Adressbuch weiterzuleiten. Das ist nicht nur feige und verlogen, sondern auch genau das, was die Menschen, die diese Nachrichten entsenden, bezwecken.

Im schlimmsten Fall führen Hoaxe zu so genannten Denial of Service-Angriffen. Dabei wird ein Dienst (etwa StudiVZ oder ICQ) durch eine extreme Datenlast überfordert und somit nicht mehr erreichbar.

So funktionieren Hoaxe! Wieder ein Grund für meine Forderung, Aufklärung im Bereich der IT-Sicherheit bereits in der Schule zu vermitteln. Apropos: den Datenschutztest auf www.datenschutz-ist-buergerrecht.de kann ich empfehlen.

Covert Channels out of date?

2011-02-23T16:50:00.002-08:00

Within the last days some "security experts" told me that covert channels are something that was important within the past. I do not agree this. Covert channels are nowerdays more important than they have been ever before.

(Date/Datum: 2008-11-15-23:17, Hits: 1085) While writing and working on my diploma thesis (I cannot talk about the topic until it is finished but after I received my mark (in a few months) I upload a pdf of it) that is focused on some special parts of covert communication, I was just wondering why there are so few people which are interested in covert channels. I also submitted a research paper to a conference (I will not name it here) what was just rejected due to not fully comprehensible arguments (including the "out of date" thing).

On a talk about my thesis I gave on Thursday at kempten university of applied science a person of the audience (not a computer scientist and not one of these "security experts", what means that his question does not disqualify himself) asked me why I do reasach on this topic and if the only reason of this is to "hack some PC". I replied that if there is a person (for example in China) that wants to read critical news about the local government via internet, this person will maybe get into jail if someone will notice this. But if he uses covert communication, he will stay much safer!

I am sure that the importance of covert communication will increase within the next decades! At least it will increase in combination with cryptologic techniques.

-----------------------------------------

Kommentare:

Von: Dave Howe
of course - but while many people no doubt design and use covert channels, and would love objective (and informed) evaluations of its performance and detectability, such discussion instantly reduces the covertness of the channel...

as an example, I have a utility I wrote here that acts as a port forwarder - running on an arbitrary port, it listens for inbound connections, and then in turn opens a second connection to another instance of itself (again, on an arbitrary port) whose location is defined in the config of the forwarder. If the source IP is one for which it holds a message, then encoded in the sequence number increments during the tcp conversation will be the message; once all traffic held for that IP is passed, it reverts to random offsets in keeping with good practice.

externally, nothing much is visible - a packet capture will show a normal tcp transaction or transactions of some generic type (I usually forward to a webserver) and the message itself (once extracted from the header info) is not encrypted (although it is arbitrary binary data so could be externally encrypted). There are (at least) two downsides.

First, the channel itself is relatively slow - one byte per packet, with the first few packets constituting overhead. MTU is used to shrink the packet size down to increase traffic, for this reason (and to reduce messages being lost if non-proxied connections occur). The second is.. I just posted about it to a public webserver, so anyone interested in why a webserver is only accepting an MTU of 512 bytes is going to be looking at header fields to decode them...... (obviously, this was a toy to illustrate a method, and is not in use, or I wouldn t be disclosing it)

Security Though Obscurity is seldom the answer in any security field, but for covert channels, where even a reasonable suspicion can be considered grounds for at least further investigation (or in repressive countries possibly even rubber hose cryptography , discussing openly what approaches you take is probably not good practice if you are active in that field.

Distributionen zwischen Stabilität und Zukunft

2011-02-23T16:50:00.001-08:00

Linux-Distributionen haben ein Problem. Einerseits verspielen sie ihr Stabilitätsimage und andererseits gewinnen Sie dadurch viele neue Benutzer.

(Date/Datum: 080626-20:19, Hits: 1518) Linux-Distributionen werden bunter, komfortabler, benutzerfreundlicher und primär komplexer. Komplexität ist nicht nur schlecht, bedeutet es doch auch, dass mehr Pakete, mehr Funktionalitäten in den Paketen und mehr Hardwareunterstützung verfügbar sind. Auch Benutzerfreundlichkeit ist prima: Die Konfiguration des Systems geht wie von allein. Kurz: Jeder kann heute Linux verwenden und damit alles machen, was er sonst auch unter Windows tun würde (natürlich mit Ausnahme eventueller Spezialfälle weniger Benutzer).

Aber überstürzen sollte man den Entwicklungsprozess besonders im Endbenutzerbereich (etwa Desktop-Umgebungen, Browser, Office-Umgebungen etc.) dabei nicht. Die frisch gewonnenen Benutzer sind schnell wieder verloren, wenn Enttäuschungen auftreten sollten. Enttäuschungen treten auf, wenn Programme zwar bunt sind aber abstürzen. Natürlich: Funktionalität steht im Konflikt mit Stabilität und ich unterstelle den Entwicklern und Leitern der großen Open Source-Projekte, dass ihnen bewußt ist, zwischen beidem vernünftig abzuwägen.

Noch ist Linux ein äußerst stabiles System. Das Grundsystem ist sowieso mehr als stabil und Linux ist im Bereich Server, Security-Systeme und ähnlichen Bereichen großartig! Der Kernel wird qualitativ hochwertig entwickelt und die Basistools wie die bash, der vi, ifconfig oder getty sind seit Jahrzehnten im Test und in der Weiterentwicklung. Sie sind nach wie vor vollkommen zeitgemäß und ihre Stabilität lässt nirgends zu Wünschen übrig.

Nein, die ersten Anzeichen von Instabilität werden im Bereich der GUI-Anwendungen auftreten. Seit einigen Tagen stürzt etwa OpenOffice.org bei mir ständig ab. Was die Distributoren dagegen unternehmen? Einiges! Vorallem aber ist man vorsichtig. Als vor einiger Zeit die neue KDE-Version 4.0 erschien (mittlerweile sind wir bei Version 4.1beta2) haben die Distributionen ihre primäre KDE-Variante auf der letzten (und eben stabileren) 3'er Version (3.5.9) belassen. Slackware, Ubuntu und Co. bieten einfach weiterhin Version 3 an. Zwar gibt es bei einigen Distributionen auch die 4'er Version KDE, aber diese ist eben nicht die Defaultversion -- eben gedacht für die, die wissen, was sie tun oder die es einfach ausprobieren möchten.

Open Source Software und ihr Feedback

2011-02-23T16:49:00.001-08:00

OpenSource-Software zu verwenden ist toll, aber wie wäre es mit aktiver Teilnahme?

(Date/Datum: 080629-20:42, Hits: 1072) Aus meiner langjährigen Erfahrung als OpenSource-Entwickler weiß ich, wie wichtig Feedback für freie Projekte ist. Als Entwickler freut man sich darüber meist sehr; egal, ob es konstruktive Kritik, ein Bugreport, ein kleines Dankeschön dafür, dass man die Software programmiert hat oder eine Frage ist.

Große Projekte, bei denen der Quellcode ständig komplexer wird, erhalten oftmals recht viel Feedback, aber auch diesen Projekten würde ich mehr Feedback wünschen. Denn: Desto mehr Feedback man als Anwender einer Software den Entwicklern gibt, desto ehr können diese ihre Software verbessern.

Besonders bei OpenSource-Projekten ist es besonders einfach, Feedback an die Entwickler zu verschicken. Meist bekommt man nämlich sehr leicht (oft über die Hilfe-Funktion eines Programms oder über dessen Projektwebseite) die Mailadressen der Entwickler in die Finger und kann dann seine Erfahrungen, etwa den Programmabsturz bei einer bestimmten Funktion, den Entwicklern mitteilen und damit wertvolles Feedback liefern.

Ein Hindernis dabei mag die Faulheit sein, schließlich hat man besseres zu tun, als Kontakt mit den Entwicklern aufzunehmen. Wer aber just in einem Moment etwas gutes tun möchte, der kann sich doch auch einmal die fünf Minuten nehmen und den Entwicklern der Software ein kurzes Feedback schicken. Das Resultat eines behobenen Fehlers kann man dann nämlich nicht nur selbst in der nächsten Version genießen, sondern auch alle anderen User.

Ich weiß, es gibt Projekte, bei denen alles, was kein Source Code-Patch ist, kein willkommenes Feedback darstellt. Und wer weder Lust noch Zeit oder einfach nicht die Kenntnisse dazu hat, einen Patch zu programmieren, der kann solches Feedback eben nicht geben. Das ist nicht schlimm und Entwickler, die ihre Feedbackgeber aus solchen Gründen beleidigen sind es nicht wert, das man sich als Benutzer über sie ärgert. Trotzdem! Die meisten Entwickler sind für Feedback recht dankbar und das zu Recht!

"Slackware will never die"? (Teil 1 und 2)

2011-02-23T16:46:00.000-08:00

"Slackware will never die"? - Teil 1

Ich habe mir Gedanken über die Zukunft meiner Lieblingsdistribution gemacht und sehe für ihre Zukunft relativ schwarz. Die Frage ist: Warum Slackware sich ändern muß, um auch in Zukunft noch eine Chance zu haben.

(Date/Datum: 080416-14:09, Hits: 1378) Wir schreiben das Jahr 1993, Patrick Volkerding hat Slackware ins Leben gerufen und auch das Debian Projekt wird in Kürze existieren. Zur damaligen Zeit war man sehr froh über ein einfaches, tolles Paketsystem, wie es Slackware bot. Zwar wurde das Paketsystem im Detail auch weiterentwickelt und es existieren auch Zusatztools, die aus dem sehr einfachen Slackware-Paketsystem ein umfangreicheres zu machen versuchen und etwa eine Funktionalität für Auto-Updates der Pakete über das Internet bereistellen (etwa slapt-get oder auch slackpkg), doch diese müssen erst von Hand nachinstalliert werden.

Hinweis: Zu diesem Posting habe ich noch ein Kontra-Posting veröffentlicht, dass sich weiter unten finden lässt.

Diese Einfachheit des Slackware-Paketsystems ist wirklich eine sehr schöne Sache, doch gemessen an den heutigen Anforderungen (im Besonderen: Abhängigkeiten von Paketen), ist es nicht mehr State of the Art. Natürlich gibt es Anhänger der Slackware Distribution, die noch immer glauben, dass Slackware niemals untergehen wird (was in gewisser Weise auch der Fall ist, da Slackware andere -- auf ihr basierende -- Distributionen hervorgebracht hat), doch dies ist nicht mehr wahr.

Ich möchte noch hinzufügen, dass ich dies nicht als Slackware-Gegener von mir gebe, sondern als Slackware-Anhänger. Slackware-Linux war mein erstes Linux-System, dass ich je installiert hatte und die Security-Distribution "Hardened Linux", die ich ins Leben rief, basierte auf Slackware (sie bekam allerdings ein eigenes, abwärtskompatibles Paketsystem mit mehr Funktionalitäten). Während der Entwicklung von Hardened-Linux kamen übrigens immer wieder Fehler in den Slackware Paketen zum Vorschein, die durch bessere Package-Build Scripte (ein erster Ansatz war unser MetaBuild Script, dass automatisch beim Auftreten von Fehlern den Build-Vorgang abbrach), so wie wir sie einsetzten, hätten vermieden werden können.

Leider ist Slackware allerdings nicht bereit, ein neues Paketsystem zu integrieren, es könnte so einfach und klein wie das von Hardened Linux sein, würde aber doch mehr Features zur Verfügung stellen, ohne, dass es gleich ein riesiges apt sein muss.

Ein solches Paketsystem könnten sicher auch die meisten Ur-Anhänger der Distribution akzeptieren, doch, was auch wichtig ist, es würden sich neue Anhänger mit Slackware anfreunden können. Natürlich, ein Verlußt des Freak-Faktors wäre ein relativ sicherer Tod für die Distribution, doch nichts zu tun, und weiterzumachen, wie bisher, dass ist ein ebenso sicherer Tod.

Ein weiterer Kritikpunkt ist die Begrenzte Paketauswahl. Zwar gibt es im Netz 3rd Party Packages, doch Pakete müssen einfach Bestandteil einer Distribution sein. Ein Befehl sollte genügen, damit ein Paket, samt Abhängigkeiten installiert ist. Eine Lösung für die Unterscheidung zwischen "eigenen" und 3rd-Party Paketen kennen etwa Ubuntu-User durch "universe" Packages. Dem Ubuntu-User kann es von der Nutzung und Installation her egal sein, ob ein Paket direkt von den Core-Developern gepflegt wird, oder eben ein Universe-Package ist.

Slackware muss also 1. ein aufgebohrtes Paketsystem liefern, dass die Anhänger der Distribution nicht abwirft, und 2. mehr Pakete (etwa GNOME, Evolution, Sylpheed, ...) zur Verfügung stellen. Falls dies Patrick Volkerding nicht alleine schafft (das Package-Management eines Distributors ist -- aus eigener Erfahrung kann ich das sagen -- eine sehr umfangreiche Aufgabe), soll er sich eben mehr Entwickler ins Bot holen!

Slackware will never die -- Teil 2

Slackware ist ein Ur-Gestein, eine Linux-Distribution, die viele Anhänger hat, aber bei der man sich doch fragt, wie lang dies noch so bleiben wird.

(Date/Datum: 080502-10:47, Hits: 1180) In meinem letzten Posting zum Thema Slackware ging es darum, dass Slackware für die Zukunft relativ schlechte Karten hat. Heute werde ich mich darüber auslassen, wie großartig Slackware ist, und warum es eben doch eine Chance für die Zukunft gibt (obgleich diese Chancen größer sein könnten, aber das habe ich ja bereits im ersten Posting erläutert).

Gründe für Slackware

Slackware verwendet im Gegensatz zu vielen anderen Distributionen einen (relativ) naturbelassenen Kernel, ist stabil, sauber und vorallendingen simpel: _Alles_ ist _glasklar_ und leicht nachzuvollziehen.

Das Paketsystem ist sehr einfach aufgebaut und durch Shellskripte umgesetzt. Wer ein Paketsystem verstehen lernen möchte, der sollte mit diesem anfangen. Das Paketsystem kennt auch keine Abhängigkeiten, weshalb man in etwa wissen sollte, welche Pakete voneinander abhängen. Diese Einfachheit macht das Paketsystem allerdings äußerst stabil (man wird nie Fehlermeldungen bzgl. nicht erfüllbarer Abhängigkeiten etc. bekommen).

Ausserdem ist das BSD-like rc.d-System als Vorzug zu nennen. Für mich persönlich ist Slackware nicht zuletzt durch sein rc.d-System eine Distribution zwischen Linux und BSD (nur eben ohne *BSD-Kernel und Ports).

Warum Slackware eben doch nicht so schnell untergehen wird

Slackware hat viele erfahrene User, die an das System gewöhnt sind und es mögen. Ausserdem sind andere Distributionen oft recht komplex aufgebaut und langsam. Möchte man bei solchen Distributionen etwas "von Hand" machen (und das ist schließlich das tolle an Linux!), muss man sich eventuell erst mit langweiligen Dingen (etwa Regeln des jeweiligen Paketsystems) auseinandersetzen.

What is the difference between a good security concept and a great one?

2011-02-23T16:45:00.002-08:00

In my point of view this is a question very easy to answer!

(Date/Datum: 080303-01:01, Hits: 1465)

I think good security concepts simply work. They work in the reality. They work for their developers and their users. A good example for a good security concept is the systrace project: One can use it without being a genius in CS security but one has to learn HOW to use it first. Other "good" security concepts are network security monitoring and IDS log things. Also my fuzzy user profile IDS patch for OpenBSD (FUPIDS) was only a good idea but not a great one. But why?

A great security concept instead is like a good security concept but it provides MORE than it. This doesn't mean that it provides something a "good" concept doesn't provide. It must provide one special feature: The user should use it while he doesn't have to know that it even exists!

A pretty great example for this is the GCC stack smashing protection (SSP) or the kernel space address space randomization implemented by projects like PaX. You don't even have to configure it. All work is done by the developers of SSP/PaX and the developers of the Linux distribution. The user simply IS protected by it and doesn't need to do ANYTHING for it.

I think we should focus on these things. Okay, it is pretty hard to have such an idea but it is much more interesting than everything else!

PS. Of course, these are my glasses :)

Ever thought about indirect web attacks?

2011-02-23T16:45:00.001-08:00

(Date/Datum: 080218-00:55, Hits: 1349) I work since more than one year on the development of a huge commercial website (LAMP) with lot of functionality. Today I developed a communication system which can be used to contact other users, view messages already sent, delete messages and the like (these tasks aren't finished @the moment).

Did you ever thought about the scripts such a big site runs in the background? For example a script that deletes all users messages older than 4 weeks or so to keep the message database small and clean? Such scripts exist and it is maybe very hard to attack them -- and of course: you can only do it indirect -- but this should be possibly.

About writing professional IT books and blogs

2011-02-23T16:44:00.002-08:00

Within the last months I noticed some important facts about the community of book and blog writers in the area of professional IT related topics. I want to discuss some of them in this posting. I also want to discuss possible ways to increase the quality of online content.

(Date/Datum: 2011-01-07-04:19, Hits: 145) The first point I want to mention is that professional IT books are becoming boring. The reason for my opinion is as follows: Since about 1999 I write articles and texts about IT security as well as about Linux/Unix operating systems and since 2003 I write books about it. Within the last years I saw so many books that just cover the same topic again and again. This is boring since most books only provide small changes to prior books. Of course, I could, for example, write a book about the Slackware Linux distribution or something like that and maybe I would find a publisher for such a book but there are already so many books available about that topic and it would be very boring to write a third Linux book! What are the reasons for people to still write about these topics? There are some reasons:

The first reason is, that it is easy to write about these topics because they are easy to learn (there are already many books available a potential author can learn from). The second reason is to become popular. Combined with the first reasons, this means that this is an easy way to become popular. The third reason is maybe that an author can earn lots of money by writing such a book but this is insane since there are too many competitors on the market and there are new books about the same professional IT topics every week.

The second point I want to mention is that blogs cover the more interesting up to date topics. Blog postings cover current topics and can change daily, and books usually cover long time topics. While it can take only a few minutes to write a good blog posting, it takes months or even years to write or even just to update a book. I don't remember a case where, after finishing a manuscript, a book was published in less than tree months after that. This probably sound evil but it actually is a good thing since this long time is spend to improve the quality of a books content. I think the quality of a average book is at least as good as the quality of very good blog postings.

Like mentioned before, blogs can cover up to date topics that books can only cover in some cases. This sounds good but it is a fact that not every blog does that. Most of the blogs cover basics problems that were already published and discussed in countless other blogs as well as in all books that cover the topic. These blog postings do not even add any additional information to what we already know since decades. For instance, I don't know how many blog postings I noticed about basic commands like 'ls' or 'du' within the last years. People write these postings to become a little bit popular (what is eligible, because this is how people can get motivated in society and, of course, everybody wants that!) but it would be much better to link other blogs or link textbooks or to edit Wikipedia. Every blog entry can contain errors and many blog postings can contain numerous errors. If more people would focus on fewer texts and would cooperate in writing them and fixing them, we would have fewer but better blog postings, Wikipedia entries and fewer redundancy.

This concept sounds good and it is what we need but it will not work since there are problems that occur with it: The first problem is that, if a one person edits Wikipedia, nearly nobody will notice that because his Nickname (usually not even his real name) will occur in the changelog entry only. Ergo, Wikipedia does not increase popularity of a single person. We can be more than happy, that Wikipedia works nevertheless. But I expect not many blog authors to write for Wikiedia.

The second problem is the design of the commercial Internet: If a person adds content to his own website, it can display commercial ads (e.g. using Google AdSense) on the website and can start earning money. This does not work, if a person contributes to Wikipedia (= no money for the person) or, if the person links other websites about the topic (=the OTHER website owner will probably earn more money (if he displays Ads) but the person that linked the website will earn nothing).

How can we solve these problems?

One way would be to create a shared, distributed Wikipedia-like website where every author is allowed to put commercial Ads on the site. This only works if there is a quality-control instance, that controls the Ad itself and the quality of every contribution (e.g. a editor that fixed a typo should not be able to display as many Ads as the person that wrote 90% of the article ; and a person that took care about the article for the last years while the original author didn't, should earn more money than at the beginning while the original authors “importance” will decrease and with it the Ad display slice).

Sounds good? Yes, but it will result in new problems and will probably not work:

Of course, we currently live with a commercial free Wikipedia and we can be happy about that.

And of course, we could maybe decrease the redundancy in the Internet with the non-commercial free Wikipedia.

But the fact is, that, if Ads are displayed in the Internet, the company that pays for the Ads is not willing to be displayed next to every Wikipedia entry. Every commercial Ad will harm a free encyclopedia because a free encyclopedia has to cover all opinions while a company wants the people to focus on a opinion they want them to believe in. For instance, let's say that British Petrolium (BP) would be willing to put commercial Ads on Wikipedia. In this case, they will probably don't like any information about problems related to oil transport. Now they can try to force the encyclopedia to remove all related entries or they will cancel their Ads.

This is why there is currently no way out of a redundancy overloaded and low-quality content overloaded Internet.¹ Ergo, we can be happy about the fact, that many websites link each other due to cooperations and maybe even more than that, we can be happy about the fact that Wikipedia *works*. The only way to keep this running is to contribute to Wikipedia without getting anything for the knowledge we provide but what we get is the knowledge of others.

¹ Of course, books focus similar problems like weblogs since they have only few authors that usually cover similar opinions, not to mention the publishers.

Werbung im Internet schalten und ansehen

2011-02-23T16:44:00.001-08:00

Wer sein Geld -- zumindest teilweise -- online verdient, der hat sicherlich schon einmal über Online-Werbung nachgedacht. Unzählige Webseiten/Blogs schalten Werbung, in der Regel über Google.

(Date/Datum: 2010-06-26-21:27, Hits: 314) Ich schalte auf diversen Blogs (größtenteils experimenteller Art, wie etwa der Blog Neu im Studium -- für Studienanfänger) und Webseiten (dann meist über die Firma, etwa inmolibre.com oder zeitarbeiter-wohnungen.de) auch Werbung und muss feststellen, dass die Einnahmen der Blogs extrem variieren. In den letzten Wochen hatte ich beispielsweise testweise Werbung auf diesem Blog (wendzel.de) laufen, die bei jedem betrachteten Posting eingeblendet wurden. Exakt Null mal hat jemand darauf geklickt, weshalb ich die Werbung jetzt wieder entfernt habe.

Besucher von Blogs klicken generell kaum auf Werbung und nehmen diese gar nicht mehr richtig war. Auch haben viele User einen Blocker in ihrem Browser installiert, damit sie Werbung gar nicht mehr angezeigt bekommen. Die Denkweise dahinter ist: "Ich will alles gratis!".

Ich teile diese Einstellung explizit nicht, denn ich habe schon öfters interessante Werbung gesehen. Besonders textuelle Werbung (nicht die nervig blinkende Flashplayer-Werbung) kann hin und wieder interessant sein. Ein weiterer Grund: Ich möchte die Macher von Blogs und Webseiten gerne durch einen Klick auf deren Werbeeinblendungen unterstützen. Schließlich ist eine gewisse Belohnung nie verkehrt und für die Betreiber, die oft viel Zeit in ihre Blogs stecken ein kleiner Anreiz. Apropos Einnahmen: reich wird durch Werbeeinnahmen von Blogs ganz sicher fast Niemand.

Ich finde: Die Internetnutzer sollten Ihre Meinung zur Online-Werbung einmal überdenken.

Blogge um Dein Leben?

2011-02-23T16:43:00.000-08:00

Hier ein neues Unterblog meiner Webseite (neben dem zur IT-Sicherheit ist es heute bereits das zweite neue Unterblog). Sinn und Zweck der neuen Blogs ist es, mehr Strukturierung in meine Blogs zu bringen. Die Themen waren mir bisher zu schlecht kategorisiert. Doch jetzt zum Postingthema: Warum bloggen jetzt eigentlich so viele Leute?

(Date/Datum: 2008-08-27-23:36, Hits: 864) In den letzten Jahren konnte man beobachten, dass immer mehr Leute dazu übergingen, sich einen Blog anzulegen. Ich selbst blogge seit circa 2002 oder 2003 und habe seit 1999 permanent eine oder mehrere Webseiten gehabt. Ich finde, es ist eine unglaubliche kulturelle Bereicherung für die Gesellschaft, insbesondere für die daran interessierten bzw. beteiligten. Letztere nennen sich übrigens die digitale Bohème.

Erst vor einiger Zeit habe ich verstanden, dass viele Leute sich allein durch ihre Weblogs einen Lebensunterhalt sichern können (dazu müssen Traffic-Raten von Nöten sein, von denen ich bisher nur träumen kann ;-)). Ich verdiene zwar nicht selbst Geld durch meinen Blog, und daher ist mein Weblog (mal mit Ausnahme der Bücherwerbung) frei von Werbeelementen (wie etwa Google-Ads), aber dafür (und das gehört auch zur digitalen Bohème) betreibe ich mit Kollegen ein Online-Startup (und zwar ein Immobilienportal (inmolibre.com), das im Übrigen wegen der recht ansehnlichen Konkurenz recht große Anlaufschwierigkeiten hat und jetzt etwa ein virtel Jahr online ist). Es gibt also nicht nur die Euphorie, sondern auch die Konkurenz; eine enorme Konkurenz! Selbst in noch nicht sooo internetsüchtigen Staaten gibt es eigentlich schon fast alles (oder noch kein Internet). Würde man etwa in Deutschland eine Immobilien-Webseite gründen, könnte man ohne enorme Marketingausgaben gleich einpacken, da die Konkurenz zu groß ist. Selbst für uns in Südamerika ist es enorm schwierig. Man hätte vor Jahren auftauchen müssen, aber vielleicht können wir ja noch irgendwann mal soetwas wie echte Einnahmen verbuchen -- Spaß macht es jedenfalls trotzdem und wenn dieses Projekt nichts wird, dann kommen andere. Aber ... wie wird es mit dem Website-Boom weitergehen? Werden jetzt die ganzen Nischenseiten weiter explodieren, bis alle nur erdenklichen und auch nur halbwegs versprechenden Nischen gefüllt sind (kann ja nicht mehr sooo lang dauern) und dann dem gemeinsamen Bankrott entgegensegeln, oder wird der Erfolg noch viele Jahre bleiben und bleibt der Kuchen groß genug für alle?

In meiner Begeisterung für diese Subkultur, der ich mich angehörig fühle, die eine neue Freiheit in Form einer gewissen Unabhängigkeit und Selbstverantwortung lebt, habe ich mir das Buch "Wir nennen es Arbeit" bestellt (okay, das ist ein Partner-Link, ich gebe es zu). Gestern wurde es geliefert und bisher mag ich es. Die Autoren haben den Begriff "digitale Bohème" geprägt und -- soweit ich es bisher beurteilen kann -- ein wirklich tolles Buch geschrieben. Gut finde ich ganz besonders, dass der positive Einfluss dieser sehr kreativen Subkultur auf die Wirtschaft gezeigt wird. Ich werde, sobald ich es durchgelesen habe, noch eine Rezension nachreichen. Zum Buch gibt es im Übrigen auch ein Weblog!

Wenn man meine obige Frage aufgreift und von Kommerzseiten auf Blogs überträgt, dann gelange ich zu der Frage, was passiert, wenn in einigen Jahren 10x so viele Menschen versuchen, online durch Blogs ihr Geld zu verdienen. Werden dann Rivalitäten ausbrechen (neben den Einnahmen gibt es ja schließlich auch Anerkennung zu kassieren)? Werden die Einnahmen pro Klick bei Werbeeinblendungen an Wert verlieren? Werden insgesamt die Trafficzahlen sinken? Oder wird durch die Zunahme an interessierten Bloglesern ein Konstantes oder gar steigendes Trafficniveau bevorstehen (Laut "Wir nennen es Arbeit" sind angehörige der Subkultur gegenseitig ihre besten Kunden ...)? Ich weiß nicht, ob das Buch auch darauf eingeht, aber die Zukunft wird meine Frage beantworten. Derzeit kann man diese Frage wohl noch nicht beantworten, aber zumindest ist bisher eine kollektive Co-Existenz der Blogs zu beobachten (man verlinkt sich ja schließlich gegenseitig um sich etwas gutes zu tun!).

OpenSource-Geschichte

2011-02-23T16:42:00.000-08:00

Heute habe ich für die nächste Auflage (erscheint nicht vor 2009/2010!) von unserem Buch 'Linux. Das distributionsunabhängige Handbuch' das Kapitel zur Geschichte von Linux und OpenSource erweitert.

(Date/Datum: 080728-18:27, Hits: 1157)

Speziell wichtige Details sind hinzugekommen (etwa die Gründe, die Richard Stallman (Blog) dazu bewogen haben, das GNU-Projekt zu gründen oder die Tatsache, dass es Bootdisks und Rootdisks gab, die quasi als Zwischenschritt zwischen reinem Kernelquellcode und dem Softlanding Linux System (SLS), also quasi der ersten Distribution, zu sehen sind).
Nachtrag:
Um wenigstens noch zu erklären, was ich heute auf Papier gebracht habe ...
Zu Richard Stallmans Gründen, das GNU-Projekt zu gründen: Stallman war ja zunächst am Labor für künstliche Intelligenz am MIT beschäftigt. Das ganze hat sich dann nach und nach aufgelößt (soweit ich weiß wurden die einzelnen Mitarbeiter in Firmen tätig, aber genaue Gründe sind mir nicht bekannt, weshalb ich hier auch im Buch nicht ins Detail ging, denn etwas falsches möchte ich nicht schreiben). Stallman vermißte die dortige Hacking-Atmosphäre und erhielt sie erst durch das GNU-Projekt wieder. Ein anderer Grund zur Gründung des GNU-Projekts war, dass damals mehr und mehr Code binär vertrieben wurde (das bestätigen zumindest zwei Bücher und Wikipedia) und Stallman quelloffene Software weiter existent haben wollte (und Ziel des GNU-Projekts ist es ja nunmal, dass ein freies Betriebssystem entsteht). Daher auch der von Stallman vorgeschlagene Bezeichnung 'GNU/Linux' (aber das ist bereits in der aktuellen Auflage erklärt: siehe hier).
Zu Boot/Rootdisks: Linus Torvalds (also der, der Linux zunächst alleine entwickelt hatte), fing an, Images von Boot- und Rootkdisks auf den FTP-Server zu laden, auf dem auch die Kernelimages lagen. Der Grund dafür ist, dass nicht jeder Anwender wusste, wie man seinen eigenen Kernel kompiliert, dann bootet und Software für dieses System baut (klar!, kann heute auch kaum jemand!). Die Boot/Rootdisks haben diese Situation etwas erleichtert. Zunächst wurde die Bootdisks in den Rechner eingelegt und der Rechner neu gestartet.
Die Bootdisk beinhaltete den Linux-Kernel, der dann geladen wurde. Nachdem der Kernel-Bootvorgang abgeschlossen war, musste man dann die Rootdisk einlegen, sie enthielt verschiedene Grundprogramme, mit denen man dann bereits arbeiten konnte. So wurde Linux schließlich einer viel höheren Zahl an Anwendern zugänglich. Der nächste Schritt, den man in Richtung Benutzerfreundlichkeit unternahm, war dann das SLS (s. oben), dass die erste Linux-Distribution darstellte. Linux-Distributionen beinhalten bereits den Linux-Kern sowie diverse Benutzersoftware und eine Installationsroutine. Später hat Patrick Volkerding dann die älteste, noch bestehende Linux-Distribution "Slackware-Linux" erstellt. Slackware-User mussten (das habe ich selbst noch in Erinnerung) noch viele Jahre die Images der Boot- und Rootdisks auf Disketten schreiben. Allerdings gab es eine ganze Reiher verschiedener vordefinierter Bootdisks zur Auswahl (etwa eine mit IDE-Treibern, eine mit einer gewissen Anzahl von SCSI-Treibern usw.).
So, nun habe ich dazu mehr Informationen in meinen Blog geschrieben, als in das Kapitel des distributionsabhängigen Handbuches :-)

Tutorial: canto: Ein Feedreader für die Konsole

2011-02-23T16:40:00.002-08:00

Heute habe ich Canto ausprobiert -- einen RSS-Reader für die Konsole. Hier eine Kurzanleitung und Kritik.

(Date/Datum: 2010-12-29-05:41, Hits: 174) Canto kann über HTTP und HTTPs auf RSS- und ATOM-Feeds zugreifen und unterstützt Unicode. Programmiert wurde Canto in Python und benutzt eine NCurses-Oberfläche.

Die Einrichtung von Canto ist einfach: Nach erstmaligem Starten wird ~/.canto angelegt, in dem vom nun an alle wichtigen Dateien abgelegt werden. Außerdem wird eine Beispielkonfigurationsdatei (~/.canto/conf.py.example) erstellt. Beenden kann man Canto mit der Taste q.

Nach dem ersten Start erstellt man sich eine eigene Konfigurationsdatei indem man ~/.canto/conf.py anlegt. In diese Datei trägt man alle Newsfeeds ein, die canto abrufen soll. Für jeden Feed muss die Feed-URL der add-Funktion übergeben werden:

add("http://www.wendzel.de/rss.php")
add("http://linuxbuch.blogspot.com/feeds/posts/default")

Mit dem Tool canto-fetch werden alle Feeds abgerufen (canto-fetch sollte man einfach periodisch als Cronjob starten). Die News können dann mit canto betrachtet werden.

Ausgewählte Artikel können über die Leertaste angezeigt werden. Mit den Pfeiltasten (Links/Rechts) kann ein Artikel als gelesen/ungelesen selektiert werden (weitere Tastenbelegungen stehen in der Manpage und können über die Konfigurationsdatei angepasst werden).

Um festzulegen, welche Programme zum öffnen von Weblinks und Bildern gestartet werden sollen, werden folgende Konfigurationszeilen benötigt:

link_handler("firefox \"%u\"")
image_handler("fbv \"%u\"", text=True, fetch=True)

Möchte man auf der (leider recht unübersichtlichen Oberfläche) nicht völlig die Übersicht verlieren, so können über filters=[show_unread] die bereits gelesenen Artikel ausgeblendet werden.

Fazit: Da ich ca. 50 Newsfeeds im Abo verfolge, ist mir Canto ganz einfach zu unübersichtlich. Von Mozilla Thunderbird her bin ich gewohnt, Unterordner für die Kategorisierung meiner Feeds anzulegen und darauf möchte ich nicht verzichten. Das Scrollen dauert ebenfalls ewig.
____________

gedit-autocomplete: Auto-Vervollständigung für Quellcode in gedit

2011-02-23T16:40:00.001-08:00

Heute habe ich nach einem gedit-Plugin umgesehen, mit dem ich in Quellcodes eine Autovervollständigung erreichen kann. Ich wurde tatsächlich fündig.

(Date/Datum: 2010-11-09-20:40, Hits: 290) Den autocompletition plugin für gedit gibt es hier. Geschrieben ist er in Python. Nach dem Download muss das install-Skript ausführbar gemacht werden, danach ausführen, in gedit das Plugin aktivieren, fertig! Leider scheint das Plugin einfach alles zu scannen, was es in den Source-Files finden kann (also auch Kommentare), was zu Nebeneffekten führen kann, wie ich sie hier im Screenshot festgehalten habe:

Diese nachteilige Funktionsweise hat allerdings den positiven Nebeneffekt, dass auch *alle* Programmiersprachen unterstützt werden.

Das Plugin kann so konfiguriert werden, dass es entweder nur für eine Datei (local) funktioniert, oder aber, dass es alle geöffneten Dateien nach Inhalten durchsucht (global).

Mail/NNTP/RSS/Adressen-Synchronisierung mit Thunderbird und Unison unter Linux (Ubuntu)

2011-02-23T16:39:00.000-08:00

Heute habe ich mich den halben Tag lang damit befasst, wie ich es nur hinbekommen kann, auf eine elegante Weise, meine Mailpostfächer zwischen zwei Linux-Systemen zu synchronisieren. Dazu ein Bericht.

(Date/Datum: 2010-03-20-00:58, Hits: 828) Ausgangssituation:
Die letzten circa zehn Jahre habe ich fast ausschließlich das Mailprogramm Sylpheed benutzt, das ich sehr schätze. Sylpheed läuft auf meinem Notebook und auf meiner Workstation getrennt, und damit mit getrennten und zugleich unvereinbaren Mailbeständen der letzten Jahre. Beide Systeme laufen mit der gleichen Ubuntu-Version. Sylpheed verfügt zudem über keinerlei Plugins zum Synchronisieren. Beide Systeme verfügen außerdem über getrennte ToDo-Listen, die ich mit gtodo seit einigen Jahren führe. Außerdem gibt es auf beiden Systemen einen RSS-Reader (liferea). gtodo und liferea synchronisiere ich hin und wieder via Unison.

Verschiedene Ansätze:
Zunächst hatte ich Evolution auf beiden Systemen ausprobiert (damit hoffte ich, auch meine Termine und ToDo-Listen synchronisieren zu können). Das Synchronisieren mit opensync via MultiSync und Unison hat nie korrekt geklappt und ist zudem umständlich.

Der nächste Ansatz bestand darin, claws-mail (ein auf Sylpheed basierendes Mailprogramm) zu verwenden. Es verfügt zwar nur über einen WindowsCE-Sync-Plugin, jedoch wollte ich es mit Unison synchronisieren. Claws-Mail ist in der Lage, alle Einstellungen und Mails von Sylpheed zu importieren. Selbst meine umfangreichen Filter-Regeln wurden übernommen. Auf diese Weise konnte ich neue Mailbestände für claws-mail anlegen und würde die alten behalten können. Leider stellte sich heraus, dass beim Synchronisieren mit Unison zwar Accounts, Folder und Einstellungen übernommen wurden, die Folder waren jedoch leer und somit waren alle lokal gespeicherten Mails nicht zu sehen.

KDE-PIM ist zwar äußerst ausgereift, dennoch wollte ich es nicht ausprobieren, da ich wegen der Performance meines alten Rechners nicht mit KDE-4.x arbeite. Einen Kurztest mit opensync gab es dennoch, und der war leider ebenfalls enttäuschend.

Lösung: Als fast perfekte Lösung (und bei mir auch erst seit einigen Stunden im Einsatz) hat sich Mozilla-Thunderbird (Version 2.0.x) in Kombination mit Unison und dem Thunderbird-Plugin ReminderFox herausgestellt.

Dazu habe ich auf beiden Rechnern Thunderbird eingerichtet (mit einigen Zusatzpaketen, die mir gefielen):

$ sudo aptitude install thunderbird thunderbird-gnome-support thunderbird-locale-de thunderbird-traybiff

Anschließend habe ich auf einem der Rechner Thunderbird konfiguriert. Dazu habe ich zunächst alle Mailaccounts und NNTP-Accounts eingerichtet. Es folgte ein RSS-Account für all meine RSS-Abonents. Mit der Möglichkeit, Folder innerhalb von anderen Foldern zu erstellen, ließ sich auf diese Weise auch gleich eine vernünftige Hierachie in meinen Feed-Abo-Baum integrieren, wie das folgende Bild zeigt:

Anschließend habe ich das Plugin ReminderFox (s. auch hier) installiert, mit dem ich Termine und zu erledigende Aufgaben verwalten kann. Zu finden ist das Plugin nach der Aktivierung rechts unten in Thunderbird.

Um das Adressbuch zu importieren (ich hatte zum Glück noch die Daten von Evolution), exportierte ich die Evolution-Daten zunächst in CSV-Form, was Thunderbird allerdings nicht korrekt einlesen konnte! Ein Umweg führte über den VCARD-Export von Evolution:

$ evolution-addressbook-export --format=vcard > adbuch.vcard

Diese Daten habe ich anschließend mit KAdressbook, das ich dazu extra installieren musste, importiert und anschließend in das LDIF-Format übertragen. Das LDIF-Format wiederum ließ sich von Thunderbird fehlerfrei importieren.

Die eigentliche Synchronisation lasse ich Unison erledigen (dazu muss das Verzeichnis $HOME/.mozilla-thunderbird verwendet werden). Am einfachsten geht das über die grafische Oberfläche ``unison-gtk''. Mehrere Tests übernahmen alle Konfigurationsänderungen sowie Änderungen an den Mailbeständen völlig problemlos!

Fast perfekt? Ja, hier die Probleme:
1. Ich benutze den NNTP-Server der FernUni Hagen, für den eine Authentifizierung notwendig ist. Thunderbird fragt mich leider immer wieder nach dem Benutzernamen und dem Passwort für den Account, obwohl ich diese Daten speichern lasse. Nachtrag: Auch für meine POP3-Accounts musste ich nun schon diverse Passwörter mehrfach eingeben. Bisher habe ich keine Ahnung, woran es liegt. Nachtrag: Problem gelößt durch Löschen der Passworteinträge in den Einstellungen und erneute Eingabe (erst danach wurden die neuen Passwort-Werte wirklich akzeptiert, muss wohl ein Bug sein ...).

Sicherheitshalber habe ich noch die Darstellung von HTML-Mails deaktiviert und ein Masterpasswort für meine Passwörter verben, das ich bei jedem Thunderbird-Start eingeben muss. Thunderbird kann mit Spamfiltern und AV-Programmen zusammenarbeiten -- diese Features nutze ich jedoch nicht. Außerdem versucht Thunderbird anscheinend automatisch Phishing-Angriffe zu erkennen.

2. Filterregeln lassen sich in Thunderbird *anscheinend* (zumindest in meiner 2.0.x-Version) leider nur für einzelne Accounts anlegen, sodass ich eine Regel nicht accountübergreifend verwenden kann.

Ich hoffe, dieses Posting ist hilfreich. Fragen/Anregungen/Kritik können wie immer über die Kommentarfunktion gepostet werden.

Fazit
Thunderbird hat sich zumindest *bisher* (es ist erst seit einigen Stunden bei mir im Einsatz) als insgesamt gute Lösung für meine Anforderungen erwiesen. Großartig ist, dass ich mit einem Unison-Aufruf nun Adressbuch, Mails, RSS-Feeds, Termine und Aufgabenliste synchronisieren kann. Ich hoffe, die oben genannten Probleme lassen sich auch noch (vielleicht ja mit Version 3.x?) beheben.

Nachtrag:
Ich arbeite nun seit einer Weile mit Thunderbird und bin nach wie vor sehr zufrieden. Auch durch vielfaches Synchronisieren ergaben sich bisher keine Probleme.

Grundlegendes zur Linux-Sicherheit für Otto Normalverbraucher

2011-02-23T16:37:00.002-08:00

Diese FAQ enthält typische Fragen zum Thema Linux-Sicherheit, die mir oft gestellt werden. Ich hoffe, es hilft auch online einigen Lesern ... Ich habe dabei versucht, Fragen zwar fachlich korrekt, aber so kurz, wie es mir möglich erschien, zu beantworten. Sollten weitere Fragen auftauchen, können diese über die Kommentarfunktion gestellt werden.

(Date/Datum: 2010-03-09-22:32, Hits: 829)

Frage: Ich benötige keinen Virenscanner/keine Firewall unter Linux, stimmt das?
Kürzest mögliche Fach-Antwort: Ein Virenscanner schadet theoretisch niemals. Jedes Betriebssystem kann von Viren befallen werden, auch wenn für Linux wesentlich(!) weniger Viren existieren (nämlich nur etwa eine Hand voll), als für bspw. Windows (das hängt u.A. mit dem Verbreitungsgrad von Windows zusammen), kann Ihr Linux-Rechner von Viren theoretisch befallen werden. Virenscanner für Linux gibt es so direkt nicht für den Desktop, sondern eher für Mailserver, wobei sie dann hauptsächlich Windows-Viren filtern, die Ihrem Linux-System nicht schaden.
Linux bringt eine Firewall mit, die aber nicht mit einer typischen Windows-Desktopfirewall gleichzusetzen ist. Um die Beantwortung kurz zu halten: Eine Firewall müssen Sie in den meisten Fällen genauso wenig installieren (denn dazu müssten Sie sich zunächst intensiv mit TCP/IP-Protokollen und deren Sicherheit befassen), wie einen Virenscanner. Stellen Sie unbenötigte Netzwerkdienste lieber gleich ab und benutzen Sie Ihr Linux-System auf Sicherheit bedacht (lesen Sie dazu bitte auch die folgenden Fragen).

Frage: Kann ich mit Linux sicher im Internet surfen?
Kürzest mögliche Fach-Antwort: Web-Browser sind mittlerweile enorm komplex. Solch komplexe Software ist niemals frei von Bugs (und damit auch nicht frei von Sicherheitslöchern). Ob Sie den Firefox-Browser nun unter Windows oder unter Linux nutzen – wenn Sie sich auf nicht sonderlich vertrauenswürdigen Seiten die Zeit vertreiben, sind sie schnell in Gefahr (Linux, wie auch jedes andere Betriebssystem, hat nicht den Zweck, Sie vor Phishing-Angriffen und Co. zu schützen). Auch ändert ein normales Betriebssystem nichts daran, ob Sie nur verschlüsselte Webverbindungen nutzen und ob ein Angreifer „irgendwo im Internet“ Ihre Daten (etwa Passwörter) mitlesen kann. Das alles liegt in Ihrer eigenen Verantwortung.

Frage: Es darf nur kein Mensch „root“-Zugriff auf mein Linux-System bekommen, oder?
Kurze Antwort: Es genügt eine Zugriffsmöglichkeit auf genau Ihren Benutzeraccount, um an alle Ihre privaten Daten (E-Mails, Text-Dokumente, Fotos, gespeicherte Passwörter, ...) zu kommen. Dazu ist kein Administrator-Zugriff (also root-Zugriff) notwendig. Das ist keine Schwachstelle von Linux, sondern in jedem handelsüblichen Betriebssystem eine Notwendigkeit.

Frage: Wenn ich eine Linux-Distribution benutze, dann bin ich doch sicherer, als mit Windows?
Eine fachlich korrekte Antwort minimaler Länge: Linux wird frei und offen entwickelt, daher ist es sehr unrealistisch, dass geheime Hintertüren (etwa von einem Geheimdienst oder einer anderen Organisation) in einem Linux-System enthalten sind (das gilt zumindest für die am meisten überwachten Projekte wie den Linux-Kernel an sich oder die Standard-Linux-Programme und -Bibliotheken). Auch die Standardabsicherung von Linux-Systemen ist sehr hoch. Eine hohe Standardabsicherung haben auch andere Betriebssysteme wie OpenBSD, FreeBSD und mittlerweile sogar Windows. Letztlich hängt die Sicherheit eines Systems aber zum Großteil an dessen Benutzer. Wenn Sie unter Linux irgendwelche Programme aus dem Internet herunterladen und installieren oder jede noch so wenig vertrauenswürdige Webseite besuchen, sind Sie kaum sicherer unterwegs, als mit jedem anderen Betriebssystem. Es liegt in Ihrer Verantwortung, sich mit dem Thema Sicherheit zu befassen und sich um die Sicherheit Ihres Computers zu kümmern. Ihre Autoreifen fahren Sie ja schließlich auch nicht ohne Profil und Ihre Haustür schließen Sie wahrscheinlich ebenfalls ab.

Frage: Muss ich unter Linux Backups anlegen?
Kurze Antwort: Ja, auch Linux kann Sie nicht davor bewahren, Ihr System zu zerschießen oder das eine Festplatte ausfällt. Mehr dazu hier.

Frage: Warum ist Linux dann so toll?
Kurze Antwort: Ich sage nicht, das Windows sicherer ist, als Linux. Ich persönlich halte Linux für insgesamt deutlich sicherer. Doch (und das wollte ich mit diesem Blogposting vermitteln), hängt die Sicherheit zum Großteil vom Benutzer ab. Wenn Sie ein nur 4 Zeichen langes Passwort wählen, Ihre Festplatte nicht verschlüsseln, obwohl es mit Linux schon während der Installation per Mausklick geht, usw., dann kommen diese ausgereiften Sicherheitsfeatures nicht zum tragen (ich sage es lieber dazu, um Missverständnisse zu vermeiden: Das ist bei Windows natürlich nicht anders, auch dort müssen Sie solche Features explizit nutzen, jedoch sind sie unter Linux vertrauenswürdiger). Nutzen Sie also solche Eigenschaften von Linux!
Linux wird zudem offen und frei entwickelt, beinhaltet nicht diverse grundlegende Einschränkungen, die Windows mit sich bringt (siehe hier hier und hier). Warum ist freie Software aber so gut? Dazu habe ich ein weiteres Blogposting geschrieben.

Fachliches Nachwort:
Linux bietet äußerst ausgereifte Sicherheitskonzepte, etwa verschiedene Benutzerarten, Access Control Lists, kernelseitigen Speicherschutz (ASLR), compilerseitigen Schutz (gcc SSP), eine hervorragende Firewall, Distributionen mit sicheren Standardkonfigurationen und ständigen Sicherheitsupdates, Festplatten- und Auslagerungsspeicher-Verschlüsselung, diverse weitere kryptografische Programme (etwa zur Mailverschlüsselung und -Signatur oder zur Bildung virtueller privater Netzwerke), ausgefeilte Backup- und Monitoring-Software uvm. Windows bietet viele dieser Features aber auch (und das wird oftmals bei der Argumentation (auch manchmal in der Wikipedia) nicht bedacht!). Sie können Linux aus Überzeugung nutzen und es ist meiner persönlichen Meinung nach deutlich vertrauenswürdiger (und weniger einschränkend), als eine propritäre Software, aber für Ihre Sicherheit sind Sie weitestgehend selbst verantwortlich. Denken Sie daran: Ein System kann zwar das Denken für Sie hier und da übernehmen, MUSS sie aber dann jeweils in Ihrer Entscheidungsfreiheit eingrenzen, sie also entmündigen. Ich schließe mit Immanuel Kant: Habe Mut, dich deines eigenen Verstandes zu bedienen!

Weiterführende Literatur
Unser Linux-Handbuch (das Sie hier online gratis lesen können) beinhaltet ein Kapitel zur Linux-Sicherheit.
Mehr Grundlegendes zu Linux gibt es in diesem Kapitel und in unserem Einsteigerbuch Einstieg in Linux.

Weitere Fragen
Weitere Fragen können Sie gern über die Kommentarfunktion posten.

Wie Sylpheed seine Versionsnummer auf Aktualität prüft

2011-02-23T16:37:00.001-08:00

... wollte ich mit einem Sniffer herausfinden, was natürlich kein Problem war. Es passiert folgendes:

$ telnet 202.32.10.40 80
Trying 202.32.10.40...
Connected to 202.32.10.40.
Escape character is '^]'.
GET /version.txt? HTTP/1.1
Host: sylpheed.sraoss.jp
Accept: */*

HTTP/1.1 200 OK
Date: Fri, 29 Jan 2010 07:44:55 GMT
Server: Apache
Last-Modified: Fri, 15 Jan 2010 02:28:17 GMT
ETag: "e7801c-20-47d2ac1997240"
Accept-Ranges: bytes
Content-Length: 32
Content-Type: text/plain

RELEASE=2.7.1
DEVEL=3.0.0.beta6

In welchem Geschäft kann ich Hardware kaufen, die unter Linux läuft?

2011-02-23T16:36:00.002-08:00

Unter Linux Users Welcome findet sich von nun an eine neue Webseite. Sie enthält eine Liste mit Geschäften, die es Linux-Usern leichter machen, passende Hardware für ihr Betriebssystem zu finden.

Die Projektidee von Christian Beuschel wurde im UbunuUsers-Forum vorgestellt. Dort finden sich generell weitere Informationen zur Idee.

Schwedische/Spanische Sonderzeichen unter Linux

2011-02-23T16:36:00.001-08:00

In unseren Büchern kam das Thema bisher nicht vor, aber dafür jetzt hier in meinem Blog: Eine Kurzzusammenfassung, wie man spanische und schwedische Sonderzeichen unter Linux hinbekommt.

(Date/Datum: 2009-04-06-16:29, Hits: 1593) ... und zwar mit einer deutschen Tastaturbelegung ...

1. Spanisches Zeichen mit Akzent (é,ó,í etc.)
Erst '`' und anschließend das jeweilige Zeichen drücken.

2. Spanisches ñ
Erst '~' (Tilde, AltGr und '+'), dann n drücken.

3. Spanisches ¡ und ¿
AltGr + Shift + ! bzw. + ? drücken.

4. Schwedisches å (Kringel-a)
Für ein å sind eigentlich zwei getrennte Aktionen nötig. Zunächst muss AltGr+Shift+ü gedrückt werden. Und anschließend a für ein kleines å bzw. Shift+a für ein großes Å.

Ich hoffe, diese Informationen sind nützlich.

Shellskript Programmierung - Teil 7 (Variablen mit der Tastatur einlesen)

2011-02-23T16:35:00.002-08:00

Es ist mal wieder Zeit für einen neuen Teil meines Tutorials zur Shellskript-Programmierung. Dieses Mal gibt es sogar ein kleines Detail, dass erst in der 3. Auflage von 'Linux. Das distributionsunabhängige Handbuch' enthalten sein wird. Also ein Vorgriff.

(Date/Datum: 2009-02-08-01:05, Hits: 2445)

Was Variablen sind, und wie man ihnen Werte direkt zuweisen kann, dass habe ich ja bereits in den vorherigen Teilen des Tutorials erklärt. Wie aber kann man Werte von der Tastatur einlesen (bspw. damit ein Benutzer seinen Namen oder ein Passwort eingeben kann)? Die Lösung ist einfach:

Zum Einlesen von Werten wird das Kommando read verwendet. read übergibt man als Parameter den Namen einer Variablen (aber ohne $-Zeichen). Anschließend kann man auf den Wert zugreifen. Hier ein kleines Beispiel zum Einlesen eines Namens:

$ read name
Steffen Wendzel # das ist die Eingabe des Benutzers
$ echo $name
Steffen Wendzel

Wie man sieht, wird die Eingabe des Benutzers angezeigt, was etwa bei Passwörtern nicht sicher ist. Je nach verwendeter Shell sollte read den Parameter '-s' unterstützten, der die Ausgabe der eingegebenen Zeichen auf dem Terminal unterdrückt. Mit diesem können dann auch "unsichtbare" Eingaben getätigt werden:

$ read -s name
(unsichtbare Eingabe)
$ echo $name
Steffen Wendzel

Soll nun noch ein schöner Eingabetext ausgegeben werden, was mit echo ja kein Problem ist, kann man auch noch verhindern, dass die Eingabe von Passwörtern und Benutzernamen in einer neuen Zeile angezeigt wird. Einige echo-Implementierungen kennen zu diesem Zweck den Parameter '-n', der nach der Ausgabe des Textes kein Zeilenende (also kein Newline-Zeichen (\n)) ausgibt.

$ echo -n "Benutzername: "; read name
Benutzername: sw
$ echo $name
sw

Was aber, wenn man nur ein Zeichen einlesen möchte und der Benutzer nicht die Return-Taste drücken müssen soll? Dazu kann der read-Parameter '-n [Anzahl Zeichen]' verwendet werden.

read -s -n 1 befehlszeichen
echo "Es wurde das Zeichen $befehlszeichen eingegeben"

-----------

Änderungen:

18. Feb. 2009: '-s'-Parameter fehlte bei read-Aufruf für die unsichtbare Eingabe eines Wertes.

Wer braucht schon Datenschutz im Web?

2011-02-23T16:35:00.001-08:00

Letzte Woche feierte das Allgäu-Forum in Kempten (ein großer Konsumtempel mit vielen Geschäften darin) fünfjähriges Bestehen. Natürlich gab es etwas zu gewinnen (ein Auto). Um eine Chance auf einen solchen Gewinn zu haben, muss man lediglich seine Adressdaten (man spricht juristisch gesehen von "personenbezogenen Daten") in eine Lostrommel werfen und ein paar Kreuzchen machen.

(Date/Datum: 2008-10-14-23:16, Hits: 1376) Aus meiner Sicht war es schockierend, zu sehen, wie dermaßen voll die transparente Lostrommel war. Bei solchen Gewinnspielen gibt man praktisch immer die Zustimmung zur Weiterverwendung der persönlichen Daten und in der Lostrommel lagen hunderte oder gar tausende Zettel. Dazu ist anzumerken: Adressdaten sind pures Geld wert und Adresshandel ist durchaus luktrativ. Es ist folglich anzunehmen, dass die Adressdaten (wie es so üblich ist) weiterverkauft werden, um den Wert des verlosten Objekts (=Auto) gegenzufinanzieren. Ist man schlau, druckt man in das Kleingedruckte noch hinein, dass der Gewinn auch in anderen Kaufhäusern etc. gewonnen werden kann (dadurch sinkt natürlich die Gewinnchance einer Einzelperson). So erhält man entsprechend viele Adressdaten und hat am Ende einen höheren Datenwert, als das eigentliche Auto kostet (=Optimalfall für den Verloser). Ob das Allgäu-Forum auch so handelt, weiß ich nicht, und es ist an dieser Stelle auch nicht von Belang.

Wichtig ist vielmehr, dass bei solchen Aktionen die Daten von Leuten gesammelt werden, die nicht auf Datenschutz achten. Diesen Menschen kann man also evtl. durch Telefonanrufe noch weitere Daten entlocken und ganz andere Produkte verkaufen. Wer seine Daten abgibt, der muss ganz klar damit rechnen, in Zukunft mehr Webepost in Papierform und in elektonischer Form zu erhalten.

Damit soetwas nicht passiert, sollte meiner Meinung nach bereits in Schulen Datenschutzaufklärung durchgeführt werden! Und auch im Rest der Bevölkerung sollte sich damit auseinandersetzen. Alles, was wir jetzt versäumen, zahlen wir schließlich später! Das Desinteresse an diesem Thema ist zwar groß (es ist für die meisten Menschen sicher nicht so spannend, wie für mich), aber das heißt nicht, dass es nicht wichtig ist.

Um noch ein zweites, die Wichtigkeit des Datenschutzes verdeutlichendes, Beispiel zu geben: Es gibt unzählige soziale Netzwerke im Internet. Dort gibt man allerlei Informationen an, die man gar nicht angeben hätte müssen. Doch um das eigene, langweilige Profil zu gestallten, läd man Fotos ins Netz, die einen im betrunkenen Zustand zeigen, subscribed sich in Benutzergruppen mit dämlichen Namen usw. usf. Arbeitgeber besuchen schon LÄNGST Webseiten wie Studivz und schauen sich ihre zukünftigen Arbeitgeber dort an. Man kann sein Profil für die Öffentlichkeit zwar oftmals sperren, aber diese Funktion wird nicht oft genug (soll heißen: nicht immer) benutzt.

Ein anderes soziales Netzwerk stellt bereits Familienbeziehungen her. Dort kann man beispielsweise sehen: X ist Opa von Y. Denkt man etwas weiter, dann führt X vielleicht ein Weblog über seine Diabetis-Hilfsmittel/-Erfahrungen. Ein Versicherer/Arbeitgeber/Angreifer kann dann sagen: Wenn X an Diabetis leidet, dann leidet vielleicht auch in einigen Jahrzehnten Y daran. Das ist kein Spaß, das ist ernst! Apropos: Bruce Schneier schrieb in seinem Buch 'Secrets and Lies' bereits vor einigen Jahren, wie günstig (nur wenige Hundert Pfund) eine Krankenakte in GB ist. Ich hoffe, das verdeutlicht, dass meine Formulierungen keineswegs übertrieben sind. Es fehlt meist nur das Bewußtsein dafür, das Thema ernst zu nehmen -- schließlich merkt man (noch) nicht, was mit den eigenen Daten passiert. Wenn man aber auf einmal keine preiswerte Krankenversicherung mehr bekommt oder eine Stelle nicht bekommt (oder gar verliert), dann wird man es schmerzlich erfahren und sich sicher ärgern, dass man sich nicht zuvor mit dem Thema Datenschutz beschäftigt hatte.

Natürlich sind auch ganz anderes Aspekte des Themas wichtig (etwa Absicherung vor Angriffen in Netzwerken, wie Johannes und ich in unserem Praxisbuch Netzwerksicherheit beschrieben hatten), aber genug der Eigenwerbung -- das Buch von Schneier ist für Leihen allemal sehr interessant. Der Autor führt auch einen interessanten Blog zum Thema IT-Sicherheit.

PS. Auch das Risks Magazine (ebenfalls englischsprachig) ist auch zu empfehlen und erschien vorhin in einer neuen Ausgabe.

Warum in PHP programmieren?

2011-02-23T16:34:00.001-08:00

Immer wieder höre ich Gründe, die gegen PHP sprechen (schlechte Performance, viele Sicherheitslücken), heute möchte ich mal kurz darlegen, warum ich hier auf wendzel.de und im Unternehmen PHP einsetze.

(Date/Datum: 080827-01:23, Hits: 1334)

PHP ist eine enorm einfach zu erlernende Programmiersprache, die genau aufs Web ausgelegt ist. Mit Perl/Mason kann man zwar ähnliche Features bekommen, aber PHP läuft überall, ist extrem einfach zu lernen und einzurichten.

Das bedeutet, dass man als Unternehmer auch sehr einfach an PHP-Entwickler kommt, wenn man welche benötigt (bisher war das bei uns noch nicht nötig, aber ich bin mal optimistisch ...). Natürlich muss man die Webseiten, die man mit PHP programmiert auch aufwändig absichern, aber das ist bei jeder Sprache fürs Web der Fall User-Input ist nunmal immer gefährlich. Hier muss man allerdings zwischen der Skript-Sicherheit und der Sicherheit des PHP-Interpreters und/oder mod_php unterscheiden. In den letzteren wurden ganz klar bereits einige Lücken entdeckt und auch ich betreibe PHP nur mit Suhosin-Patch. Ich hoffe, dass in PHP nur so viele Patches gefunden werden, weil diese Sprache einfach mehr Leute für die Web-Entwicklung einsetzen, aber vielleicht ist es in dieser Hinsicht wirklich verbugter.

Bezüglich der Performance bin ich auf meinen Mini- und Medium-Size-Seiten bisher zufrieden. Die performancekritischste Stelle war bei mir/uns bisher immer die Datenbank und weniger die Programmiersprache. Vielleicht ist PHP auf Systemen mit sehr hoher Auslastung oder besonders aufwändigen Skripten eine wirkliche Katastrophe -- kann sein, aber bisher bin ich nicht in solche Bereiche vorgedrungen und 95% der Webentwickler kommen wohl auch nicht in diese Situation.

Klar sagt das Hacker-Ego jetzt soetwas wie "PHP kann jeder, ich mach nur Perl!", aber das ist bescheuert. Wenn man eine wirklich performancekritische Komponente im PHP-Skript hätte, dann könnte man ja immernoch -- etwa via SVR4-IPC -- auf einen C-Prozess weiterleiten oder enorm performancekritische Komponenten in C mit FastCGI hacken. Admin-Oberflächen und wohl die meisten anderen Komponenten, die eben nicht so enorm frequentiert werden, gehen aber sicher auch mit PHP nicht unter.

Ein anderer wichtiger Punkt ist die gesparte Entwicklungszeit. PHP ist eben nicht nur enorm einfach, nein, es senkt auch die Entwicklungszeit. PHP Code zu fabrizieren, der die 0-8-15-Internet-Aufgabe-X erledigt, geht meist rucki-zucki. Und miesen Code kann man ja definitiv in jeder Sprache hacken.

Vorteile freier Software am Beispiel von Linux

2011-02-23T16:33:00.000-08:00

Dieses Posting ist für Jedermann. Wenn man es gewohnt ist, mit freier Software zu arbeiten, dann merkt man manchmal gar nicht, wie groß die Vorteile derselben sind, bis man wieder mit kommerzieller Software in Kontakt kommt. Heute ein Posting zur Erinnerung an Vorteile freier Software aus einer Sicht, wie sie ein normaler PC-Anwender hätte.

(Date/Datum: 080812-14:27, Hits: 3710) Ich werde mich kurzfassen um langweilige Ausführungen zu vermeiden (es wird eh genug Text geben), dieses Posting richtet sich vorallendingen an den normalen Windowsbenutzer und stellt freie Software über dessen Vorteile vor. Natürlich gibt es auch Nachteile (manchmal fehlender Support, wobei es ja für wichtige Software auch kommerziellen Support gibt), aber diese sind meines Erachtens nach nicht sonderlich groß (besonders nicht für Privatanwender).
1. Vorteil: Kosten werden gespart. Auf dieses Postingthema bin ich gekommen, da ich heute den Ubuntu-Linux-Rechner meiner Eltern auf die aktuelle Version update. Man kann sich dies Vorstellen wie ein Update von Windows XP auf Windows Vista. Nur mit einem entscheidenen Unterschied: Es kostet nichts! Man hat sich also analog das Geld für Windows Vista gespart? Ja, aber man hat sich auch das Geld für Windows XP gespart! Würden öffentliche Einrichtungen und Firmen noch mehr, als bisher, auf freie Software setzen, würden unglaubliche Geldmengen eingespart werden. Zum Glück verwenden bereits viele Einrichtungen freie Software.
2. Vorteil: Featurereichtum und Vielfalt freier Software. Freie Software bietet mittlerweile derartig viele Features, dass sie den kommerziellen Produkten oft nicht mehr nachstehen bzw. sie sogar übertrumpfen. Man denke an freie Software wie den Firefox-Browser (Kommerzielles-Gegenstück: Internet-Explorer) oder das Mailprogramm Mozilla Thunderbird (Kommerzielles-Gegenstück: Outlook Express) bzw. das Mailprogramm Evolution für Linux (Kommerzielles Gegenstück: Microsoft Outlook und andere). Auch ganze Office-Umgebungen wie OpenOffice.org oder KOffice, die von der Textverarbeitung über Tabellenkalkulation und Datenbanksoftware bis hin zur Präsentationssoftware in jeglicher Hinsicht mit Programmen wie Microsoft Office Word/Excel/Powerpoint/... vergleichbar sind. Auch Desktop-Publishing Software wie Scribus oder das Grafikprogramm GIMP (Kommerzielles Gegenstück: Adobe Photoshop) sind sehr ausgereift. Man denke auch hier wieder an Vorteil #1: Kosten-Ersparnis! Auch im Unternehmensbereich, etwa bei Serveranwendungen wie Webservern, Datenbanksystemen etc. stellt freie Software hochqualitative Gegenstücke bereit. Unser Unternehmen etwa benutzt ausschließlich freie Software (LAMP+Exim+...) und spart damit hohe Lizenzkosten! Übrigens stehen die grafischen Oberflächen, die etwa Linuxsysteme mit sich bringen, in Punkto Benutzerfreundlichkeit und Grafikeffekte Oberflächen wie der von Mac OS X oder Windows Vista in nichts nach! Videos davon kann man sich hier (3D Effekte, Transparenz usw.), hier (ebenso) und hier (zeigt den KDE-Desktop in der aktuellen Version 4.1) ansehen.
3. Vorteil: Freiheit. Wer heute Windows Vista kauft, der kauft nur eine Lizenz des Produkts, er darf sein Vista nur auf einem Rechner installieren, hat Beschränkungen bzgl. der Anzahl der Prozesssoren, Hauptspeichermenge, der gleichzeitig auf dem System arbeitenden Benutzer usw. Wenn man stattdessen Linux oder *BSD verwendet, hat man dieses Problem (zumindest mit Ausnahme bestimmter kommerzieller Supportverträge, die für Heimanwender und auch einen Teil der Firmen nicht von Belang sind) nicht. Egal, ob man das Linux-System 1x oder 1000x installiert hat und ob man es auf einem Heimrechner mit einem CPU und 1 GB Hauptspeicher installiert, auf Server mit 4 CPUs und 64 GB Hauptspeicher und 20.000 Benutzern, oder ob man es auf einem Supercomputer installiert: Man darf es tun und man kann damit machen was man will! Apropos Supercomputer: Es gibt eine aktuelle Liste der 500 schnellsten Supercomputer, die derzeit existieren. Davon werden 427 (!), das sind 85.4%, mit Linux betrieben! Fünf hingegen werden mit Windows betrieben.
4. Vorteil: Update für alles! Linux-Distributionen verwenden Paketmanager. Vergleicht man dies mit Windows, sieht man, dass Windows auch über einen Updatemanager verfügt. Dieser updated allerdings nur die Programme von Microsoft, die zum Windows-System gehören. Alle anderen Anbieter verwenden entweder einen eigenen Updatemanager oder gar keinen! Der Vorteil der Paketmanager unter Linux (und ähnlichen freien Betriebssystemen) ist, dass generell alles updated wird. Das heißt, dass bei einem Update mit wenigen Klicks neue Versionen für alles vom Betriebssystemkern hin bis zum Browser auf neue Versionen hin überprüft und ggf. aktualisiert wird!
Weitere Vorteile. Es gibt noch zahlreiche weitere Vorteile, etwa den offenen Quellcode oder die unzähligen freien Entwicklertools, aber diese Vorteile sind für Heimanwender in der Regel nicht so sehr von Belang, weshalb ich sie hier nicht aufführen werde.
Nachteile für Heimanwender: Zunächst einmal muss man sich an das neue System gewöhnen. Ich finde aber, dass die Vorteile klar überzeugen und die Gewöhnung auch viel Spaß machen kann. Ein weiterer Nachteil (und das ist wohl der größte) ist, dass Windows-Programme nicht einfach auf Linux lauffähig sind. Zwar gibt es viele Programme, die auf beiden Betriebssystemen laufen (etwa Firefox oder OpenOffice.org), aber man kann eben keine .exe-Dateien ausführen und die meisten Computerspiele gibt es nach wie vor nur für Windows. Dies wird aber nicht ewig so bleiben und ändert sich langsam.
Links. Wem ich freie Software nun schmackhaft machen konnte, dem kann ich empfehlen, eine der aktuellen Linux-Distributionen herunterzuladen. Und sich die folgenden Links anzusehen.

Etwas Eigenwerbung: Unser 1100 Seiten umfassendes Linux-Handbuch online lesen (es ist gratis). Außerdem haben wir ein Einsteigerbuch zu Linux verfasst. Beide Bücher beinhalten eine bzw. zwei DVDs mit verschiedensten Linux-Distributionen).
Wer Linux nun ausprobieren möchte, und nicht weiß, welche Distribution er wählen soll (ich empfehle für Einsteiger entweder Ubuntu (siehe auch diesen nützlichen deutschsprachigen Link), OpenSuSE oder Fedora, die sind sehr benutzerfreundlich), der kann sich vom Linux Distribution Chooser helfen lassen.
Stop Using Windows Vista (ein Projekt der FSF) (beides englischsprachige Links)
Das GNU-Projekt

Kommentare:
Von: Sebastian
Ieks. :-/ Nettes Posting, aber... du verwechselst Freie Software mit OpenSource hier mehrfach.

Bei 1. Kosten gehst du davon aus, dass es kostenfrei für dich ist. Dies ist bei FreeSoftware nicht immer der Fall: you should think of free as in free speech, not as in free beer , http://www.gnu.org/philosophy/free-sw.html

Bei 2. Featurereichtum zählst du auch einige Software auf - jede davon ist sicher OpenSource, bei FreeSoftware würde ich das nicht behaupten. Ausserdem ist bei der Behauptung, dass GIMP brauchbar und ein echter Photoshop-Ersatz ist, sehr viel Spielraum. Ich habe schon Menschen Stunden lang darüber sich streiten hören. Es kommt immer auf die Anforderungen der Leute an.

Bei 4. Updatefreiheit - Naja. Wenn du dir ThirdParty-Software unter GNU/Linux installierst, hast du dafür auch kein Updatesupport und so ist s halt auch bei Windows. Aber ja, die Paketmanager machen einem das Leben schon leichter, mal mehr und mal weniger .oO(Slackwares Packetmanager würde ich auch nicht als grossen Vorteil gegenüber einem Windows empfehlen). Und für MacOS X gibt s bspw. auch brauchbare Programme, was nebenen deiner Softwareaktualisierung für den Apple-Teil auch ThirdParties abklappert und nach Updates automagisch sucht. Also auch dort ist nicht kommerziell gleich kommerziel gleich schlechter als (vermeindlich) frei.

Bei Nachteile sollte man wirklich eine längere Migrationsphase anführen. Man sollte sich an OpenSource-Software langsam gewöhnen. Auf Windows schonmal OpenOffice und Firefox probieren und so stückweise den Absprung schaffen.

Sieh s bitte nicht als Kritik von mir, ist mir blos so aufgefallen beim Durchlesen. :-)
____
Von: Steffen
Zur Verwechslung: Wikipedia sagt: "In der eigentlichen Bedeutung unterscheidet sich die Open-Source-Definition nicht von freier Software. Der Begriff Open Source Software scheint aber mit der Betonung der Überlegenheit des Entwicklungsprozesses (siehe The Cathedral and the Bazaar von Eric Steven Raymond) eher die Entwicklersicht wiederzugeben, während der Begriff Freie Software den Nutzen für den Anwender und die Gesellschaft heraushebt."; Zu den Kosten: Die meiste (besonders die allgemeinwichtige) freie/open source-Software ist gratis. Das man auch Geld verlangen kann, würde (das Posting richtet sich an normale PC-Nutzer und Anfänger) hier ehr für Verwirrung sorgen, fürchte ich. Zum Thema Slackware hast Du auch meine volle Zustimmung. Da habe ich mich bereits hier zu ausgelassen: http://steffen-wendzel.blogspot.com/2011/02/slackware-will-never-die-teil-1-und-2.html
____
Von: Sebastian
Ah. Den Slackware-Artikel kannte ich noch nicht. Aber erstaunlich wie gut du es dennoch da stehen lässt. ;-)
Naja. Distributionen sind eh reine Geschmackssache finde ich.
____
Von: Rainer
Dein Posting spricht mich sehr an. Seit nunmehr 15 Jahren ausschließlich mit Windows-Systemen beruflich befasst, entdecke ich nun Linux für mich.

Ich habe vor wenigen Wochen auf einem IBM Thinkpad A31 OpenSuse 11 installiert, und bin nach den ersten Versuchen und Tests begeistert über dieses System. OpenSuse läuft auch auf einem älteren System sehr gut.

Ich bin mir klar, dass für den Anfang eine harte Einarbeitungszeit vor mir steht, um auch die Tiefen des Systems kennenzulernen. Doch bei Windows war dies noch nie anders, wenn ein Nachfolger in Sicht kam.

Linux macht viel mehr Spaß.

Mehrere Versuche, mich an Vista zu gewöhnen, sind gescheitert.

Nun also Linux. Auf der Systems habe ich zudem die aktuellen Notebookmodelle von Mac in der gebotenen Kürze der Zeit inspiziert und war von der Genialität des Betriebssystems und der Standardprogramme begeistert.

Für die Zukunft denke ich an einen Wechsel in meinem privaten Arbeitszimmer zu Apples MacBook.

PHP Registrierungen

2011-02-23T16:32:00.000-08:00

Wie erstellt man eigentlich eine vernünftige Registrierung in PHP?

(Date/Datum: 080706-23:11, Hits: 4621) Ziel soll es für dieses Posting sein, ein vorhandenes Registrierformular so zu verändern, dass eine Überprüfung der Mailadresse durchgeführt werden kann. Aus der Sicht des Benutzers läuft es dabei üblicher Weise folgendermaßen ab:

1. Der Benutzer registriert sich und gibt dabei seine Mailadresse an.
2. Der Benutzer erhält eine Mail mit einem Bestätigungslink zum anklicken.
3. Der Benutzer klickt den Link an und dadurch wird sein Account aktiviert.
4. Die Mailadresse ist damit automatisch verifiziert und der Benutzer darf sich einloggen.

Hier also eine Kochanleitung:

Gegeben seine Datenbank im Hintergrund. Dann gibt es sicherlich eine Tabelle mit Benutzern. Dieser Tabelle fügt man zunächst ein Flag reg_sf (das steht für registration_successful) hinzu. Nachdem ein Benutzer sich registriert, wird in diesem Flag zunächst eine '0' oder ein 'n' eingetragen, was bedeutet, dass der Account noch nicht aktiviert wurde.

Zeitgleich wird in einer neuen Tabelle, ich nenne sie authkeys, ein Aktivierungscode für den Benutzer hinterlegt. In der Tabelle muss eigentlich nur die User-ID und der Authentifizerungs-Key (den der Benutzer per Mail bekommt) eingetragen werden.

Den Authentifizerungskey muss man zunächst erzeugen, dann in die Datenbank eintragen und anschließend dem Benutzer (in Linkform) per Mail schicken. Erzeugen lässt sich ein solcher Key etwa mit einer Hashfunktion (160 Bit oder mehr sollten es mindestens sein!). Dazu kann man nun verschiedene Attribute des Users (die dann aber einzigartig sein müssen!), die Zeit, Zufallszeichen etc. in einem String kombinieren. Einfach angewandt würde dies etwa so aussehen:

Erzeugung des Hashwertes:

$sha1key = sha1($username."ewfwoengerugberig43t34wg".
               $password.$vorname.'abcd43ghe3gh349gherughergerg'.time());

Eintragen des Keys in die Datenbank:

/* Hier sollte man noch sicherheitshalber einige Sonderzeichen rausfiltern,
* aber das gilt ja für praktisch alle Inputs, die man in PHP bekommt.
* Dazu werde ich vielleicht in einem Posting etwas schreiben, aber google
* weiß auch Rat!
*/
$sqlcmd = "INSERT INTO authkeys (uid,authkey) values ";
$sqlcmd .= "(".mysql_real_escape_string($uid).", ".$sha1key.");";
if (!($res = mysql_query($sqlcmd))) {
     die('Invalid MySQL query');
}

Nachdem der Key mit einem INSERT in die Datenbank übertragen wurde, wird der User nun noch (am besten via HTML-Mail zum "draufklicken") informiert. Wie das geht, erfährt man hier. Der Link hat dann die Form eines typischen PHP-Links, etwa http://meineseite.xyz/?sub=aktivierung&user=maxmuster&authkey=94jg34ng3904ugn34gn34g.

Jetzt fehlt noch die Aktivierungsseite (also die Seite, auf die der Benutzer in seiner Mail klickt). Diese Seite prüft, ob der Aktivierungsschlüssel für den Benutzer existiert. Ist dem so, dann werden noch folgende Schritte durchgeführt:

1. Das reg_sf-Flag für den Benutzer wird auf 'y' bzw. '1' gesetzt.
2. Das Tupel (User-ID, Authentifizerungs-Key) wird aus der authkeys-Tabelle gelöscht.

Account aktivieren und Benutzer löschen:

UPDATE `users` SET `reg_sf`='y' WHERE `uid`='...' AND ...;
DELETE FROM `authkeys` WHERE `uid`='...' AND `authkey`='...';

Nun ist man fast fertig. Aber eine Sache fehlt noch: Der Code hinter einem Login-Formular muss dahingehend modifiziert werden, dass er beim Login von nun an das Flag reg_sf überprüft.

Modifizierung des Login-SQL-Befehls:

SELECT COUNT(*) FROM `users` WHERE `username`='...' AND `password`='...' and `reg_sf`='y'

Man sollte an dieser Stelle aber bei einer Produktivseite auf GAR KEINEN Fall vergessen, dass alle bisherigen Benutzer keine aktivierten Accounts haben. In diesem Fall ist es sinnvoll, das reg_sf-Flag für alle alten Benutzer auf 'y' zu setzen. (Das ist dann die Bestrafung dafür, dass man nicht gleich eine entsprechende Funktion implementiert hat ;-))

Feedback und Fragen sind von mir wie immer ausdrücklich erwünscht!

PHP Includes absichern

2011-02-23T16:31:00.002-08:00

Über die Absicherung von PHP include()s wurde bereits viel geschrieben. Hier kommt eine kurze Zusammenfassung sowie ein Zusatzhinweis, wie ich meine Webseite absichere.

(Date/Datum: 080303-15:08, Hits: 6837)

PHP ist, auch wenn sie als nicht sonderlich sicher und zudem langsam als gilt, eine sehr populäre Skriptsprache im Bereich der Webprogrammierung.

Eine der wichtigsten Techniken für PHP ist dabei das dynamische Nachladen von Seiteninhalten mittels der include()-Anweisung. Damit ein PHP-Skript dann auch weiß, was es in die aktuelle Seite laden soll, wird meist ein Dateiname oder ein bestimmter Code als Variable übergeben. Etwa in der Form http://doomed-reality.org/index.php?sub=steffen.

Nur ganz unerfahrene Entwickler machen sich hierbei nicht die Mühe, die übergebenen Werte zu überprüfen, was besonders in der Vergangenheit, als es noch kein so großes Bewußtsein für Web-Sicherheit gab, zu einer sehr simplen Form von Angriffen führte. Dabei versuchte man etwa die passwd-Datei mittels ?sub=/etc/passwd zu laden um sich so eine Übersicht über die Accounts des Systems zu verschaffen und eventuell einen Remote-Login auf dem Webserver zu bekommen.

Absicherung

Die Absicherung ist einfach (und wurde von mir im Praxisbuch Netzwerksicherheit beschrieben): Man definiert einfach alle gültigen Werte und lässt nur diese zu. Dies lässt sich mit if-Abfragen und switch-Anweisungen am einfachsten erledigen.

if ($_GET["sub"] == "ABC")
  include("ABC.xyz");
else if ($_GET["sub"] == "XYZ")
   include("XYZ.xyz");
else
   include("START.xyz");

Auf dieser Webseite habe ich es mir noch etwas einfacher gemacht und alle gültigen Werte in ein Array gesteckt. Ist der Wert der Variable gleich eines Wertes im Array, so wird die Seite eingebunden. Andernfalls nicht.

Verstecken von Include-Dateien

Was hingegen weniger häufig anzutreffen ist, ist das die Dateien, die eingebunden werden, auch versteckt werden. Zugegebener Maßen ... dies habe auch ich lange Zeit nicht beherzigt. Bei einem Angriff versucht der Angreifer dann an den Quellcode einer Datei, die eingebunden wird, zu kommen.

Nehmen wir wieder das Beispiel vom Anfang. Es wird ein GET-Request auf http://wendzel.de/index.php?sub=steffen ausgeführt. Dann könnte der Angreifer davon ausgehen, dass sich im Dateinamen der einzubindenden Datei das Wort "steffen" befindet. Nun könnte er versuchen, die Datei durch einen direkten Request zu entdecken. Hier ein paar Beispiele, die ein Angreifer wohl ausprobieren wird:

steffen.sub
steffen
steffen_sub
steffen.inc
steffen_inc
inc.steffen
steffen.txt
steffen.php
steffen.php3
...

Vielleicht denkt der Angreifer auch an Unterverzeichnisse, und probiert nun auch solche Dateinamen aus:

inc/steffen.sub
sub/steffen.sub
subs/steffen.sub
inc/steffen.inc
...

Mit kleinen (und zudem nicht aufwändigen) Skripten lassen sich solche Angreife leicht automatisieren.

Auch hier gibt es Gegenmaßnahmen

Erschweren kann man dem Angreifer seine Tätigkeit aber mit sehr einfachen Mitteln: Beispielsweise könnte man sonderbare Dateinamen verwenden (etwa GE203fgn2-steffen-23490gt) oder könnte aus Kleinbuchstaben Großbuchstaben machen (und umgedreht).

Am einfachsten und besten finde ich aber die Methode, die ich auch hier anwende: Die Dateien werden aus einem .htaccess-Geschützten Unterverzeichnis geladen (und sind natürlich zusätzlich mit einer Modifikation im Dateinamen versehen). So müsste ein Angreifer Benutzer und Passwort, das Unterverzeichnis selbst und die Modifikation der Dateinamen erraten (eine leere index.html-Datei schützt die Dateinamen im Verzeichnis -- alternativ könnte man aber auch Directory Listings deaktivieren).

KOMMENTARE AUS DEM ARCHIV:

Kommentare:

Von: just me
Hallo,
es ist doch aber so, auch wenn der Angreifer an eine Datei steffen.php3 heran käme, so würde er von der Datei ja nicht den Source Code bekommen, so lange es sich bei dem Inhalt um PHP handelt? Oder sehe ich da etwas falsch? Der Server, sofern php installiert und lauffähig ist, "compiliert" doch den Code bevor dieser verschickt wird.
Gruß
____
Von: Steffen Wendzel
An den Code einer .php-Datei kommt der Angreifer nur bei einer Fehlkonfiguration des Servers. Wenn man aber keine php-Dateien einbindet, sondern Dateien mit einer anderen Endung, dann können diese direkt mit Quellcode abgeholt werden. Man kann natürlich auch direkt .php-Dateien einbinden, das wäre auch nicht soooo unsicher. Doch dann sollte man unbedingt darauf aufpassen, dass diese Dateien nicht ohne die einbindende index.php-Datei für Angriffe ausgenutzt werden können! (bspw. Überschreiben von irgendwelchen Variablen, die sonst die index.php setzen würde etc.)
____
Von: just me 2
Hallo,
was wäre den eine schnelle UND sichere Sprache für das WWW?

Gruß
____
Von: Steffen Wendzel
Hi justme2!

Die Sicherheit kommt primär auf dich an (eine sichere Sprachimplementierung sei mal gegeben). Mit PHP (das ja des öfteren bzgl. seiner Sicherheit in der Kritik stand) habe ich in den letzen 1,5 Jahren eine große Seite (noch immer nicht online) aufgebaut und bin mit der Performance (die aber primär auf die -- leider riesige -- Datenbank geht) nicht ganz zufrieden. Ich werde wohl für das nächste Projekt Perl/Mason (www.masonhq.com) ausprobieren, das für Highperformance-Seiten ausgelegt ist (Amazon benutzt das angeblich auch).

Die Performance kommt zudem auf deine Programmierkenntnisse an. Du kannst auch eine Webseite in C programmieren, die langsam ist (wobei ein optimiertes und super implementiertes C-Programm praktisch immer das schnellste sein wird, was du kriegen kannst!). Wenn Du aber die Möglichkeiten der Sprache (speziell C) kennst und weißt, welche Algorithmen/abstrakte Datentypen zur Lösung von Aufgabe X am schnellsten sind, dann hast du eben gewonnen.

Eine andere Problematik besteht darin, eine relativ schnelle Sprache (etwa Perl, Python) zu verwenden und dann ein "tolles", aber aufgeblasenes Web-Framework zu nutzen, was dir die Performance wieder klaut.

Trotzdem (und zurück zum Thema Sicherheit): Wenn Du nicht über die webbasierten Angriffsarten informiert bist, dann hast du schon verloren.

Apropos, Johannes und ich halten im Juni wahrscheinlich einen Workshop zum Thema Linux- und Websicherheit ab, da kannst Du dann mehr über die Sicherheit von Web-Anwendungen erfahren.

Steffen
____
Von: fip25
Ich mache das so, die z.B. index.php Datei mit den Includes definiert eine Konstante z.B.
define( HAUPTSEITEGELADEN , true);

Alle Includes haben auf den ersten Zeilen dies:
if (!defined( HAUPTSEITEGELADEN ))
{
exit;
}

Funktioniert prächtig!
____
Von: Steffen
Hi fip25,

das hört sich nach einer guten Idee an. Allerdings unter der Bedingung, dass die Dateien die Endung .php kriegen, damit sie nicht direkt aufgerufen werden können. Andernfalls würde ich die Include-Dateien in jedem Fall trotzdem verstecken bzw. mit .htaccess-Schützen.

Steffen
____

Shellskript Programmierung - Teil 6 (Kommandosubstitution)

2011-02-23T16:31:00.001-08:00

Eines der mächtigsten Feature der bash ist die Kommandosubstitution. Im sechsten Teil dieser Kurzeinführungen soll es um genau dieses Thema gehen.

(Date/Datum: 080302-19:32, Hits: 2465)

Im Normalfall führt man Kommandos aus und kann anschließend deren Ergebnisse betrachten oder leitet deren Ausgabe vielleicht durch eine Pipe an ein anderes Programm weiter.

Bei der Kommandosubstitution ist das anders. Bei dieser wird ein Unterkommando in Backticks (`-Zeichen) gesetzt. Dies bewirkt, dass die Ausgabe des Kommandos als Parameter für ein anderes Kommando benutzt wird.

Ein einfaches Beispiel

Dieses Beispiel ist etwas unsinnig, für den Einstieg wird es allerdings gute Dienste leisten. Und zwar soll die Ausgabe des ls-Programms benutzt werden, um Dateinamen aufzulisten. Die Auflistung der Dateinamen soll aber das echo-Programm übernehmen, das die Ausgabe von ls als Parameter geliefert bekommen soll.

Dies ist möglich, weil das echo-Programm das, was man ihm als Parameter angibt (einmal abgesehen von einigen speziellen Parametern) auf der Standardausgabe ausgibt. Und da es nun die Ausgabe von ls (also die Dateinamen) als Parameter geliefert bekommt, gibt es diese einfach aus.

Es ist hier zu beachten, dass das ls-Kommando in Backticks geschrieben steht:

$ echo `ls`
a b c d e f

Datum in echo-Ausgabe einbauen

Ein typischer Anwendungsfall für die Kommandosubstitution ist die Ausgabe des Datums innerhalb eines Texts mit echo. Die Syntax ist hierbei gleich:

$ echo "Heute ist der `date`".
Heute ist der So 2. Mär 19:29:06 CET 2008

Ein netteres Beispiel

Richtig nützlich wird die Kommandosubstitution aber erst dann, wenn Variablen (vgl. Teil 4) mit ins Spiel kommen. Variablen können nämlich die Ausgabe einer Kommandosubstitution als Werte annehmen.

So ist es etwa möglich, die Ausgabe von ls als Variablenwert zwischenzuspeichern. Um dies zu verdeutlichen soll nun die Ausgabe von ls zunächst in einer Variablen zwischengespeichert und dann durch echo ausgegeben werden.

$ DATEIEN=`ls`
$ echo $DATEIEN
a b c d e f

Mehr dazu findet man in Einstieg in Linux und in Linux. Das umfassende Handbuch.

(void) printf(...) vs. printf(...)

2011-02-23T16:30:00.003-08:00

(Date/Datum: 080218-20:51, Hits: 1668)

Es macht übrigens keinen Unterschied, ob man ein (void) vor printf setzt. Dies unterdrückt lediglich Warnmeldungen von lint:

swendzel@hikoki:/tmp$ cat test?.c
#include
int main(){printf("katze");return 0;}

#include
int main(){(void)printf("katze");return 0;}
swendzel@hikoki:/tmp$ gcc -S test1.c
swendzel@hikoki:/tmp$ gcc -S test2.c
swendzel@hikoki:/tmp$ diff -up test?.s
--- test1.s     2007-08-09 16:26:47.000000000 +0200
+++ test2.s     2007-08-09 16:26:48.000000000 +0200
@@ -1,4 +1,4 @@
-       .file   "test1.c"
+       .file   "test2.c"
   .section        .rodata
.LC0:
   .string "katze"

Shellskript Programmierung - Teil 5 (Pipes/Ausgabeumlenkung)

2011-02-23T16:30:00.001-08:00

(Date/Datum: 080218-20:37, Hits: 2533) Ein in all unseren Linuxbüchern ausführlichst behandeltes Thema sind so genannte Pipes. Pipes sind eine äußerst einfache Form der Kommunikation zwischen Prozessen. Man bezeichnet dies auch als Inter-Process-Communication (IPC). Hier eine kleine Einführung, denn Pipes sind in der grundlegenden Anwendung eigenltich ganz einfach zu verwenden und gleichzeitig äußerst nützlich.

Funktionsweise

Eine Pipe dient dazu die Ausgabe eines Programms aufzunehmen und an ein anderes Programm weiterzuleiten. Gibt ein Programm 'A' eine Zahl aus, so wird diese an Programm 'B' als Eingabe weitergereicht.

Schreibweise

Man schreibt eine Pipe mit dem |-Zeichen, dass sich auf deutschen Tastaturen meist neben der 'Y'-Taste befindet. Zusammengedrückt mit der Taste 'ALT' erscheint das Zeichen auf dem Bildschirm.

Die Anwendung schreibt sich nun folgendermaßen:

$ Programm1 | Programm2

Dabei wird die Ausgabe des ersten als Eingabe des zweiten Programms verwendet.

Beispiel Hier nun ein Beispiel: Es soll die Ausgabe von 'ls' an das Programm 'grep' weitergeleitet werden, dass die Eingabe nach bestimten Ausdrücken untersucht und diese herausfiltert.

Wir möchten nun alle Dateien sehen, die ein 'a' beinhalten:

$ ls | grep a
...

'ls' gibt die Dateiliste aus und 'grep' sucht alle Zeilen mit einem 'a' heraus. Wie gesagt: Die Verwendung von Pipes ist kinderleicht.

Ausgabeumlenkung

Normalerweise wird nur die Standardausgabe in eine Pipe geleitet, möchte man nun aber die Fehlerausgabe ebenfalls in eine Pipe leiten, so empfiehlt sich eine Ausgabeumlenkung.

$ ls /datei-existiert-nicht 2>&1 | grep a

Hier würde grep auch die Fehlermeldung der nicht existierenden Datei als Eingabe geliefert bekommen. Die Schreibweise 2>&1 heißt in diesem Fall, dass die Standardfehlerausgabe (Deskriptor 2) in die Standardausgabe (Deskriptor 1) eingehängt werden soll.

Weiteres

In unserem Buch 'Linux. Das distributionsunabhängige Handbuch' gehen übrigens noch auf die Systemprogrammierung (in C) mit Pipes ein. Und zwar im Kapitel zum Thema 'Prozesse und IPC' (ich tippe mal auf Seite 700-900, was ich im Moment nicht überprüfen kann, da ich im Rechenzentrum der Hochschule sitze).

Shellskript Programmierung - Teil 4 (Variablen)

2011-02-23T16:29:00.002-08:00

(Date/Datum: 080218-20:35, Hits: 2899) Heute gibt's eine kleine Einführung in Shell-Variablen! Ich werde mich dabei auf das Nötigste beschränken.

Zur Erinnerung: Variablen sind benannte Speicherbereiche. Sie haben eine Bezeichnung und besitzen einen Wert.

Beispielsweise könnte eine Variable "ORT" den Wert "Berlin" bekommen. Man darf ihr aber auch den Wert "38348" oder "Hallo" zuweisen. Zwischen der Bezeichnung und dem eigentlichen Wert muss also kein Zusammenhang bestehen.

Dabei wird zwischen lokalen und globalen (oder Umgebungs-) Variablen unterschieden. Eine lokale Variable wird nicht an aus einer Shell gestartete Programme übergeben. Globale Variablen hingegen sind auch innerhalb von Programmen verfügbar, die in der Shell gestartet wurden.

Variablen anzeigen

Die aktuell verfügbaren Umgebungs-Variablen können in der 'bash' mit dem Befehl 'export' angezeigt werden:

$ export
declare -x BOOKS="/mnt/sda1/books"
declare -x BUCH="/mnt/sda1/books/kompendium2"
declare -x COLORTERM=""
declare -x CVSROOT="cvs@***********.de:/home/cvs"
declare -x CVS_RSH="ssh"
declare -x DISPLAY=":0"
...

Möchte man hingegen alle Variablen, also auch solche, die keine Umgebungsvariablen sind, anzeigen lassen, so hilft ein Aufruf von 'set'. Allerdings zeigt 'set' auch alle verfügbaren Shellfunktionen (die ich in diesem Blog noch nicht behandelt habe) an.

$ set
...

Variablen erzeugen

Eine Variable wird ganz einfach erzeugt. Man schreibt: NAME=Wert. Die Ausgabe einer Variable erfolgt über ein vorangestelltes $-Zeichen und den bereits bekannten Befehl 'echo'. Hier ein Beispiel:

$ ORT1=Augsburg
$ ORT2=Kempten
$ echo $ORT1
Augsburg
$ echo $ORT2
Kempten
$ PFAD=/etc
$ cd $PFAD
$ pwd
/etc

Übung

Benutzen Sie die Variable $HOME um mit dem cd-Befehl in Ihr Heimatverzeichnis zu wechseln.

Lösung: cd $HOME.

Bemerkung: Wird 'cd' ohne Parameter aufgerufen, so wechselt es automatisch in das eigene Heimatverzeichnis.

Shellskript Programmierung - Teil 3 (Shells wechseln)

2011-02-23T16:29:00.001-08:00

(Date/Datum: 080218-20:34, Hits: 2149) Von Shell zu Shell

Ich habe bereits erklärt, dass sich die registrierten Login-Shells des Systems in der Datei /etc/shells befinden. Diese Shells können -- sofern sie wirklich alle installiert sind -- durch ihren Dateinamen gestartet werden.

Hier ein Beispiel:

$ pdksh              # bash
$ csh                # pdksh
amilo:~> exit        # csh
$ exit               # pdksh
$                    # bash

In der Bash starte ich die Public Domain Korn-Shell (eine freie Variante der Korn Shell) und in dieser die C-Shell. Anschließend verlasse ich die C-Shell wieder (Shells verlässt man u.A. mit dem "exit"-Befehl), worauf ich mich wieder in der pdksh befinde. Diese verlasse ich ebenfalls, und bin nun wieder in der Bash.

Eine Login-Shell wechseln

Doch was, wenn man seine Login-Shell, also die Shell, die automatisch nach einem erfolgreichen Login gestartet wird, wechseln möchte? Das geht mit dem Programm chsh, welches zum Standardumfang einer Linux-Distribution gehört.

$ chsh
Password:
Ändere die Login-Shell für swendzel
Geben Sie einen neuen Wert an oder ENTER für den Standardwert
     Login-Shell [/bin/bash]: /bin/csh

Shellskript Programmierung - Teil 2 (Welche Shells gibt es?)

2011-02-23T16:28:00.002-08:00

(Date/Datum: 080218-20:33, Hits: 2971) Die wichtigsten Shells

Heute werde ich einen kleinen Überblick über die unter Linux verfügbaren Shells geben. Normalerweise befinden sich diese Shells im Verzeichnis /bin und enden auf 'sh'. Beispiele sind /bin/sh, /bin/bash oder /bin/csh.[1]

Die im System registrierten Shells, die auch für den Login bei Benutzern erlaubt sind, sind in der Datei /etc/shells gelistet. Mit dem Programm 'cat' kann man diese Datei auf dem Bildschirm ausgeben lassen:


$ cat /etc/shells
# /etc/shells: valid login shells
/bin/ash
/bin/csh
/bin/sh
/usr/bin/es
/usr/bin/ksh
/bin/ksh
/usr/bin/rc
/usr/bin/tcsh
/bin/tcsh
/usr/bin/zsh
/bin/sash
/bin/zsh
/usr/bin/esh
/bin/bash
/bin/rbash

Die Familie der Bourne-Shell

Die Standardshell unter den meisten unixartigen Systemen ist die Bourne-Shell bzw. eine Shell, die auf ihr basiert. Die Bourne Shell wurde bereits 1977 von Steve Borne in den Bell Labs entwickelt. Sie befindet sich in /bin/sh, wobei dies unter Linux fast immer ein Link auf die Datei /bin/bash ist. Die 'bash' (Borne Again Shell) basiert wie auch die Ksh (Korn-Shell) auf der Bourne-Shell und die Shellskripte dieser Shells sehen sehr ähnlich aus. In den folgenden Postings zum Thema "Shellskript Programmierung" werde ich mich auf die bash beziehen, da fast jeder diese Shell benutzt und auch die Skripte für den Systemstart in dieser Shell geschrieben sind.

Die Familie der C-Shell

Die C-Shell (/bin/csh) ist ebenfalls immer auf Linux-Systemen vorhanden. Ihr Syntax ist an die Programmiersprache 'C' angelehnt. Meist steht dem Benutzer auch die Weiterentwicklung 'tcsh' zur Verfügung. Hier sind zehn Gründe, um die C-Shell nicht zu verwenden: http://www.grymoire.com/Unix/CshTop10.txt Ich persönlich habe den Text nicht gelesen, aber vielleicht interessiert sich ja jemand dafür.

Weitere Shells

Es gibt noch einige weitere erwähnenswerte Shells, die ich aber nur sehr kurz erwähnen möchte:

Z-Shell. Eine besonders funktionale Shell die die Features von tcsh, ksh und bash vereint und zudem Module zur Verfügung stellt. Die meisten in den folgenden Postings besprochenen Funktionalitäten werden auch mit dieser Shell funktionieren.
ash (Almquist Shell) und auf ihr basierend die 'dash' (Debian Almquist Shell). Diese Shell ist unter den meisten BSD-Derivaten die Standardshell und die in den folgenden Postings besprochenen Skripte werden in vielen Fällen auch in dieser Shell funktionieren, da auch sie relativ kompatibel zur Bourne-Shell ist.
scsh (Scheme Shell). Diese Shell ist angelehnt an die funktionale Programmiersprache "Scheme", die ein LISP-Dialekt ist.

[Fußnote 1] Für Interessierte: Unter BSD befinden sich Shells, die nicht zum Standardumfang des Derivats gehören sondern aus Ports erstellt werden, meist in /usr/local/bin, wobei in /bin nur wenige Shells zu finden sind.

Shellskript Programmierung - Teil 1 (Einführung)

2011-02-23T16:28:00.001-08:00

(Date/Datum: 080218-20:30, Hits: 2489)

In unserem Buch "Linux. Das distributionsunabhängige Handbuch" hatte ich vorletztes Jahr ein etwa 120 Seiten dickes Kapitel zur Shell(skriptprogrammierung) geschrieben. Das Kapitel habe ich schließlich in mehrere kleine Häppchen aufgeteilt (damit es lesefreundlicher wurde). In "Einstieg in Linux" kommen der Shell(skriptprogrammierung) auch noch etwa 70+ Seiten zu Gute.

Der Grund dafür ist die Wichtigkeit der Shell. Zwar kann man mittlerweile fast alles über grafische Anwendungen erledigen, doch die Shell kann einem, auch wenn die Oberfläche einmal nicht läuft, noch zur Verfügung stehen. Zudem bietet sie wesentlich mehr Möglichkeiten als man sich vorstellen kann, wenn man noch nie richtig mit ihr gearbeitet hat!

In meinem Blog werde ich versuchen eine möglichst simple Einführung in die Shellskriptprogrammierung zu geben.

Unter Linux (und auch unter Unix und BSD) gibt es nicht nur eine Shell, sondern eine ganze Menge verschiedener Shells mit verschiedener Syntax. Alle diese Shells dienen generell dazu, die eingegebenen Befehle auszuführen, können aber meist wesentlich mehr!

Hinweis: Arbeitet man unter der grafischen Oberfläche, so gelangt man über einen Terminalemulator in eine Shell. Dazu reicht es, wenn man den Befehl "xterm" ausführt. In GNOME kann man stattdessen auch das "Terminal" und unter KDE die "Konsole" (oder das von mir bereits besprochene yakuake) verwenden. Es gibt noch massenhaft weitere Programme dieser Art, aber mehr dazu vielleicht in einem späteren Posting.

Welche Shell man verwendet ...

Es ist eigentlich ganz einfach herauszufinden, welche Shell man im Moment verwendet. Dazu gibt man den Befehl 'echo $SHELL' in sein Terminal ein. Im Folgenden soll das Zeichen $ am Anfang einer Zeile immer zeigen, dass es sich um eine Eingabeaufforderung (Prompt) handelt.

$ echo $SHELL
/bin/bash

Die Erklärung des Befehls ...

Der Befehl 'echo' gibt Text auf dem Bildschirm aus. Hier ein kleines Beispiel:

$ echo Hallo Welt
Hallo Welt

Im obigen Fall hat echo für uns die Programmdatei der verwendeten Shell ausgegeben, die in einer so genannten Variable namens SHELL gespeichert ist. Eine Variable wird -- sofern man ihr nicht grade einen Wert zuweist -- durch ein Dollarzeichen am Anfang des Namens verwendet.

Die Ausgabe /bin/bash bedeutet, dass ich die Programmdatei 'bash' (borne again shell) verwende, die sich im Verzeichnis /bin befindet.

Der nächste Teil gibt einen kleinen Überblick über die derzeit verfügbaren Shells.

In welcher Programmiersprache wurde Linux geschrieben?

2011-02-23T16:27:00.000-08:00

Heute werde ich etwas darüber erzählen, in welchen Programmiersprachen Linux und seine Software geschrieben wurde.

Der Kernel

Der Linux-Kernel ist fast vollständig in C (nicht C++!) geschrieben. Einige sehr hardwarenahe Komponenten wurden aber auch direkt in Assembler codiert. Man verwendete also keine objektorientierte Programmiersprache für Linux. Die Kernel der BSD-Derivate sind übrigens auch in C und etwas Assembler geschrieben. Wer in die Kernelprogrammierung einsteigen möchte, der kommt um ausgereifte C-Kenntnisse folglich nicht herum!

Userspace

Die Userspace Tools sind natürlich in allen möglichen Programmiersprache verfasst. Die meisten Startskripte, die beim Booten vom System ausgeführt werden, sind Shellskripte. Fast alle grundlegenden Anwendungen und Bestandteile einer Linux-Distribution sind jedoch ebenfalls in C verfasst. Dazu gehört zum Beispiel die C-Library glibc, der Editor vi und diverse Shells.

Es gibt einige Ausnahmedistributionen wie PerlLinux, bei denen versucht wird, diese Komponenten möglichst vollständig durch eine andere Programmiersprache zu ersetzen, doch das ist nicht unbedingt sinnvoll.

Sicherheit

C wird nachgesagt, es sei eine zu unsichere Sprache, weil sie anfällig für Buffer-Overflows sei, doch mit Stack Smashing Protection im Compiler und kernelbasierten Erweiterungen, wie Address Space Layout Randomization (ASLR) durch PaX, ist C eine diesbezüglich relativ sichere Programmiersprache. Im Übrigen gibt es massenhaft weitere Sicherheitsprobleme (Race Conditions, Of-by-One-Errors, ...) die auch in anderen Programmiersprachen auftauchen können.

C: [] ist kommutativ!

2011-02-23T16:26:00.000-08:00

(Date/Datum: 080218-00:58, Hits: 1738)

Heute möchte ich wieder etwas über meiner Lieblingssprache C schreiben.

Dazu zunächst eine Randbemerkung:
Wenn ein mathematischer Operator kommutativ ist, dann bedeutet dies, dass man die Operanden vertauschen kann. Beispielsweise ist der Multiplikations-Operator kommutativ, denn man kann sowohl schreiben

a * b

als auch

b * a

Nun zum eigentlichen Thema:
In der C-Programmierung gibt es auch viele solcher kommutativer Operatoren und einer davon ist der Operator [] (für Array-Indizes). Vielen ist nicht bekannt, dass es möglich ist bei diesem Operator die Operanden zu vertauschen und aus Gründen des guten Programmierstils sollte man sich auch hüten, von der üblichen Schreibweise abzuweichen. Erklären möchte ich dieses Feature meiner Lieblingssprache trotzdem.

Gegeben sei

int a[10];

Möchte man nun auf Array-Index 6 (also das 7. Element) zugreifen, dann schreibt man üblicher Weise entweder a[6] oder auch *(a+6). Beides ist leicht verständlich und weit verbreitet.

Weniger üblich ist hingegen die Schreibweise 6[a]. Der []-Operator addiert quasi die Adresse von a mit der Zahl 6. Aus diesem Grund kann man genauso gut die Zahl 6 mit der Adresse von a addieren.

Natürlich sind dem entsprechend auch Ausdrücke wie *(&(6[a])) korrekt formulierter C-Code.

"Covert Channel Research Must be Resumed"

2011-02-23T16:25:00.001-08:00

AT&T Chief Security Officer Ed Amoroso offers his thoughts on covert channel research.

Covert Channels are in my research focus since a few years and here is the AT&T video video.

Hiding in Plain Sight

2011-02-23T16:24:00.000-08:00

As a reader of the 'Risks' magazine, I just received the new 'Risks Digest 25.56' (you can find it here) and found an interesting Article about one of my favorite topics in it.

(Date/Datum: 2009-02-20-10:52)

Here is the posting:

Date: Thu, 19 Feb 2009 12:05:44 -0500
From: Jeremy Epstein
Subject: Hiding in plain sight

I recently started working on a project that has a * in the middle of its
name - think of GM's On*Star as an example.  Google (and other search
engines I tried, including Microsoft Live, Yahoo!, and Lycos) all treat the
* as a wildcard, and don't allow wildcard escaping.

Now On*Star isn't hard to find with Google, because the words "on" and
"star" rarely appear together except in this context.  But if you take two
other words that frequently occur together, put a * between them, and then
try to find references to that unique term, you won't get very far.  For
example, stimulus*package would not be a good name, nor would high*tech.

It's not clear to me whether the people who started this project knew that
their project name would make it effectively impossible to find the project
and either did that intentionally or didn't care, or whether it's a
happenstance that is now a problem.  But in any case, it's a way to hide in
plain sight - any websites they have can be indexed by robots, but won't be
found by searchers.

The risk is the interaction between name selection and search engine
operation.  If someone deliberately picks a name this way, and then the
search engines change their behavior, the value (anonymity) instantly
disappears.  The classic security problem of a distributed system with
uncoordinated security policies....

Cat Spoofing!

2011-02-23T16:23:00.000-08:00

OMFG. I just received a very funny but possibly true posting about the possibility to get access to a house by spoofing a housecat in front of a cat trap.

(Date/Datum: 2009-01-30-00:25, Hits: 972)

You can read the full posting to the full disclosure mailing list here: http://archives.neohapsis.com/archives/fulldisclosure/2009-01/0948.html. The website of the vendor can be found here.

Großes leisten kann man nicht wirklich alleine – ein Plädoyer für Dankbarkeit zu Zeiten der Superstar-Mentalität

2011-02-23T16:22:00.001-08:00

Es ist wohl ein Trugschluss, zu denken, dass man als Einzelperson im Stande sei, ganz Großes zu leisten. Die heutige Medienwelt vermittelt uns, dass wir Stars werden können, dass wir ganz besonders toll sein können und uns andere Menschen zujubeln könnten. Doch das ist ein trügerisches Bild, ein Bild, das unserem Ego sicherlich zusagt, aber meines Erachtens nach tatsächlich ein Irrtum ist.

(Date/Datum: 2010-02-06-15:14, Hits: 588) Ich habe mir überlegt, was wäre, wenn ein Erfinder einen Preis für seine Erfindung bekommen würde. Was würde ich an seiner Stelle in einer anlässlichen Festrede erwähnen? Was wäre wirklich richtig und was wäre irrtümlich und verblendet?

Zum Einen kommt mir dabei der Gedanke, dass es einen Preis doch nur geben sollte, wenn ein Grund dazu besteht, einen Preis zu verleihen. Ein Grund besteht vielleicht bei einer interessanten Entdeckung, die die Fachwelt entzückt, aber eine wirklich große Entdeckung ist sie nur, wenn andere Menschen davon einen Nutzen haben. Nehmen wir an, jemand würde das Fernsehen erfinden und es würde niemand einen Nutzen dafür entdecken. Was wäre diese Erfindung dann wert, wenn sie brach liegen würde? Erst wenn Fernsehwerke entstünden und TV-Geräte gebaut werden würden, wenn Sendestationen entstehen und senden würden und viele Menschen TV-Geräte kaufen und sinnvoll nutzen könnten, dann wäre diese Erfindung wirklich etwas wert. Verleiht man dann einen Preis, sollte der Preis durchaus an den Erfinder gehen, aber ist er dann nicht Stellvertreter der gesamten Menschen, die in der Gegenwart einen Nutzen daraus ziehen und in Zukunft einen Nutzen daraus ziehen werden?

Zum Anderen kommt noch ein ebenso wichtiger Gedanke. Wie kann die Person in der Lage sein, etwas zu erfinden, OHNE andere Menschen? Das notwendige physikalische Wissen zur Erfindung eines Fernsehers kommt nicht von alleine und kein Mensch wird während seiner Lebenszeit alles dafür notwendige Wissen von Null an erforschen können. Er müsste in Wirklichkeit, wäre er ohne kollektives Wissen, bei Erfindungen wie dem Faustkeil beginnen. Also sollte der Erfinder des Fernsehens auch allen Menschen danken, die vor seiner Lebenszeit und während seiner Lebenszeit das notwendige Know-How erdacht und entwickelt haben. Das bezieht alle Lehrer und Lehrers-Lehrer, Professoren und deren Professoren etc. mit ein; ganz zu schweigen von den Unterstützern seiner Arbeit. Letztlich müssen wiederum auch die Lehrgebäude gebaut, die Bücher gedruckt und geschrieben werden etc. Wieder unzählige Einträge auf der Dankesliste (wer baut die LKWs, die die Steine, die von wem abgebaut wurden, zur Baustelle transportiert, und wer die Straßen, auf denen diese fahren?)

Weiterhin ist zur kreativen Arbeit ein persönliches Wohlbefinden und damit ein Umfeld, dass ein solches ermöglicht (am Arbeitsplatz und in der Familie/bei Freunden) notwendig. (Ein besonders interessantes Buch über den emotionalen Teil der Führung von Mitarbeitern ist übrigens [Goleman02].) Dazu sind Grundwerte notwendig, die über Jahrhunderte und Generationen in der Kultur entstanden sind. Für diese Grundwerte waren etwa Prozesse wie die Aufklärung notwendig, letztlich müssen sie aber durch das persönliche Umfeld jedem neuen Menschen – besonders durch die Eltern – vermittelt werden. Die Dankesliste wäre also erneut deutlich länger.

Sollten wir auch unseren Religionen dankbar sein? Wenn ja, dann aber nicht ausschließlich unserer eigenen, denn wir profitieren eben auch von fremden Kulturkreisen mit anderen Religionen (man denke an die Algebra aus dem islamischen und hinduistischen Raum und die ersten Astronomen aus ihren Regionen; oder auch an die frühen Ärzte aus Persien, die zu ihrer Zeit deutlich weiter waren, als unsere europäische Medizin (nachzulesen im Roman Der Medicus)). Die Kulturen haben sich ganz klar immer wieder gegenseitig stark beeinflusst.

Wir sollten das Bild „Ich bin ein potentieller RTL-Superstar" überdenken, da die „Superstars" ohne die Erfindung des Fernsehens und ohne Promotion einer Sendeanstalt und ohne unzählige verblendete Fans völlig unbekannt in ihrem Wohnort vielleicht weiter ihrer Metzger-Ausbildung folgen würden. Auch sie sind von unzähligen Zufällen, geschichtlichen Zusammenhängen und damit Menschen abhängig.

Weiterhin ist anzumerken, dass durch diese Vorgaben vielleicht(?) auch eine Schuld besteht, das Beste aus seinem Leben zu machen und eben doch zu versuchen, Großes (oder für das Kollektive nützliches) zu leisten (ob es nun klappt, oder nicht, sei dahingestellt). Es ist die Maxime, die zählt.

Sollte also irgendwann tatsächlich einmal ICH einen Preis für irgendwas bekommen, werde ich das bedenken. In Wirklichkeit kommt es jedoch nicht auf Preise, sondern darauf an, etwas wirklich nützliches zu tun. Über diese Erkenntnisse kann sich jeder Mensch freuen; außerdem macht uns Dankbarkeit zu glücklicheren Menschen, wie ich jüngst aus [Scobel10] gelernt habe.

Nicht als Links dargestellte Referenzen:
[Goleman02] Goleman, D., Boyatzis, R., McKee, A.: Emotionale Führung, Econ, 2002.
[Scobel10] 3Sat Scobel, Podcast vom 14. Januar zum Thema „Wege zum Glück". http://podfiles.zdf.de/podcast/3sat_podcasts/100114_glueck_scobel_p.mp3

Bilder der Hochschule Kempten

2011-02-23T16:21:00.001-08:00

m Rahmen von einem Dokumentarfilmdreh für die FH ...

(Date/Datum: 080627-13:32, Hits: 2255)

... konnte ich heute vom Asylantenheim, auf dessen Dach wir zwecks Panorama-Aufnahmen durften, Fotos vom Campus machen (das Heim steht neben bzw. auf dem Campus und wird zu Jahresende 2008 abgerissen).

Verwaltungsgebäude (rechts) und Wirtschaft/Allgemeinwissenschaften (links):

Im Hintergrund Mensa+Bibliothek; Ausserdem Informatik/Elektrotechnik-Gebäude (h.l.), Mashinenbau (links) und Wirtschaft (vorn):

Mashinenbauer-Halle:

Noch mehr vom Campus inkl. Wohnheim (hinten):

Hier noch ein paar weitere Umgebungsbilder, die ich vom Dach aus machen konnte:

Studieren an der Hochschule Kempten (FH)

2011-02-23T16:18:00.000-08:00

Dieses Posting ist eine kleine Eindruckswiedergabe meines Informatikstudiums in Kempten. Ich habe dieses Posting über die Jahre hinweg aktualisiert. Da mein Studium mit dem SS2009 jedoch abgeschlossen ist, werden jetzt keine weiteren Aktualisierungen mehr folgen (es sei denn, jemand schreibt einen Kommentar).

(Date/Datum: 080508-23:04, Hits: 3709)

Dieses Posting verfasse ich für alle, die darüber nachdenken, in Zukunft ein (Informatik-)Studium an der Hochschule Kempten zu beginnen. Es sei noch angemerkt, dass dieses Posting meine sehr subjektive Meinung wiederspiegelt.

Zunächst einmal ist zu sagen, dass die FH recht klein ist. Momentan (WS2008/09) sind hier etwa 3.300 Studenten immatrikuliert. Mit den neuen Studiengängen werden es aber anscheinend ca. 4.500 Studenten werden. Erreichen kann man die HS von der Innenstadt binnen weniger Minuten zu Fuß. Die Stadt Kempten (ca. 65'000 Einwohner) ist nicht gerade der Kracher -- außer vielleicht für Wintersportler, die in die Berge fahren.

Hier ist ein Webcam-Bild, dass ich im letzten Wintersemester (WS2007/08) von der FH-Seite kopiert habe:

Allgemeinwissenschaftliche Wahlfächer

Im Studium muss man (im Falle vom Informatik-Diplomstudiengang) insgesamt 6 SWS (Semesterwochenstunden), also recht wenig Zeit, mit sogenannten "Allgemeinwissenschaftlichen Wahlfächern" zubringen. Diese Fächer sind meiner Meinung nach mit das Beste im ganzen Studium! Wer hier nicht selbst mehr Fächer belegt, als vorgeschrieben sind, ist selbst schuld. Nie wieder nach dem Studium bekommt man so viel Allgemeinbildung gratis verpasst!

Ich habe meine 6 SWS mit 'Japanisch für Anfänger' (recht gut) und 'Politische Hintergründe internationaler Wirtschaftskonflikte' (ein unglaublich tolles Fach!) zugebracht. Außerdem habe ich noch -- ohne Prüfung, und quasi nur zum Spaß -- 'Wirtschafts- und Kulturgeschichte', 'Denken der Gegenwart', und -- darauf aufbauend --, 'Philosophie der Gegenwart' (alle drei beim gleichen Dozenten und jeweils sehr empfehlenswert) belegt. Außerdem sehr zu empfehlen: 'Rhetorik für Anfänger' (benötigt aber manchmal etwas viel Überwindung, weil der Kurs primär aus Praxisübungen -- d.h. vor der Gruppe Vorträge halten -- besteht, die sich aber lohnt) und 'Einführung in das wissenschaftliche Arbeiten'. Ebenfalls sehr empfehlenswert: 'Angewandte Persönlichkeits- und Kommunikationspsychologie'.

Ansonsten gibt es noch viele Sprachkurse (Französisch, Japanisch, Russisch, Englisch, Spanisch) und diverse weitere Kurse, die mir im Moment nicht einfallen. Manche Orchidenkurse (etwa 'Japanisch für Fortgeschrittene') kommen aber auf Grund von geringen Teilnehmerzahlen praktisch leider(!) nie zu Stande.

Vorteil Gruppengröße

Ich habe des öfteren von Elite-Programmen von großen Unis gelesen, in denen zum Master eben nur 30 Leute zugelassen werden, damit eine persönliche Atmosphäre entsteht. In Kempten ist -- zumindest im Hauptstudium -- genau das der Normalzustand (zumindest in der Informatik). Wir waren im 1. Semester 65 Studenten, im Hauptstudium waren es vielleicht noch 35 und in den Vertiefungsveranstaltungen sind wir wohl etwa zu zwölft gewesen. Außerdem gibt es einige Wahlpflichtfächer in denen man dann durchaus mal zu fünft sitzt (und das, wenn alle angemeldeten Studenten anwesend sind!) Ich habe auch schon als Einzelperson eine Vorlesung bekommen und des öfteren waren wir zu zweit oder zu dritt! Das Betreuungsverhältnis ist in Kempten also großartig.

Studiengebühren

Die Studiengebühren belaufen sich seit der Einführung pro Semester auf 400 EUR (Stand: Januar 2009). Hinzu kommen die 35 EUR Semesterbeitrag. Die Gebühren summieren sich also auf 870 EUR/Jahr (bis WS2008/09 noch 970 EUR/Jahr, da 85 EUR Semesterbeitrag zu entrichten waren) . Im Praxissemester müssen übrigens keine Studiengebühren bezahlt werden.

Bilder der Hochschule

Ich habe ein weiteres Posting mit Bildern der HS erstellt: hier.

Informatikstudium

Bisher geht das Studium acht Semester (Dipl.FH), den Bachelor wird es in Zukunft nach dem 7. Semester geben. Enthalten ist ein Grundpraktikum, das nicht als Semester zählt, und leider in den Semesterferien des Grundstudiums abgeleistet werden muss (18 Wochen) und ein zwanzigwöchiges Praxissemester. Man studiert also quasi 9 Semester für das Diplom, benötigt aber 1 Semester weniger Zeit.

Ich persönlich bin kein Freund vom Praxissemester und fand sowohl mein Praxissemester, als auch mein Grundpraktikum ordentlich überflüssig. Andere hingegen haben davon sehr profitiert und haben sicherlich gute Möglichkeiten, nach dem Abschluss in der entsprechenden Firma einsteigen zu können.

Die Vorlesungen sind größtenteils sehr grundlegend (was aber u.a. daran liegt, das die Informatik so themenreich ist und schließlich alle wichtigen Themen im Studium vermittelt werden müssen). Ich bezweifle, dass andere Hochschulen (inkl. Universitäten, die aber sicher mehr Theorie vermitteln werden) mehr Wissen vermitteln. Wer wirklich etwas können will, der muss sich eben -- ob mit oder ohne Studium -- selbst weiterbilden und zusätzlich Zeit investieren. Jedenfalls gibt es zu vielen Fächern praktische Übungsaufgaben, bei denen das Wissen dann auch umgesetzt wird (was generell recht gut ist, denn Auswendiglernen bringt sowieso nicht viel).

Leider sind die Übungsaufgaben Pflicht (anders würde es wohl kaum funktionieren), und so muss man diese auch erledigen, wenn man den Stoff bereits kann und/oder man keine Lust darauf hat :-)

Vertiefung und Master

Als Vertiefungsgebiete gibt es Praktische- und Wirtschaftsinformatik. Die Wirtschaftsinformatik gibt es aber mittlerweile auch als eigenen Studiengang. Außerdem wird seit SS-2009 ein Masterstudiengang für Angewandte Informatik in Kooperation mit der Hochschule Weingarten angeboten, der sich über drei Semester (90 ETCS) erstreckt.

Misc

Ansonsten bleibt nicht mehr sonderlich viel zu sagen: Die meisten Professoren sind freundlich, die Bibliothek ist (eben entsprechend der Hochschulgröße) etwas klein (aber hübsch), die Mensa-Qualität akzeptabel, die Stadt Kempten ist zum Teil recht schön (und natürlich im Allgäu gelegen), es gibt einige (aber meist kleine und nicht so sehr die weltweit bekannten) Partnerhochschulen (und regelmäßige Informationsveranstaltungen zum Thema Auslandssemester) und die Vorlesungsräume sind sauber, hell und wirken modern.

Außerdem gibt es immer mal wieder recht interessante Vorträge an der FH (ich habe ja schon des öfteren in meinem Blog davon berichtet).

Weitere Informationen finden sich auf der Webseite der Hochschule: www.hochschule-kempten.de

Nachträge:

03. Jun. 2008: 1 Nachträgliche Information: 1. Die Oeffnungszeiten der Bibliothek und des Rechenzentrums sind uebrigens sehr schlecht, wie mir heute wieder bewusst wurde. Nach 16 Uhr bzw. 18 Uhr kann man im RZ nichts mehr machen und die Bibliothek hat ab dem spaeten Nachmittag leider auch geschlossen; sich die Naechte zwischen Buechern um die Ohren schlagen (eine schoene Vorstellung, wie ich finde!) geht also leider nicht. Andere Hochschulen, etwa die Uni-Konstanz, haben hingegen 24h am Tag ihre Bibliotheken geoeffnet.

09. Jun. 2008: 1 Update: 1. Bessere Formulierung der Saetze.

15. August 2008: 1 Update: 1 Minimale Überarbeitungen.

10. November 2008: 3 Updates: 1. Link auf Bilderposting hinzugefügt. 2. Außerdem minimale Überarbeitungen/Aktualisierungen. 3. Einige Zusatzinformationen eingebaut.

04. Januar 2009: 2 Updates: 1. Link-Updates (neue FH-Webseite) sowie 2. minimale inhaltliche Updates.

23. Januar 2009: 3 Updates: 1. Semesterbeitrag wurde von 85 auf 35 EUR gesenkt ; 2. Masterstudium Informatik wird bereits angeboten ; 3. Fix: {Einführung in die} -> {Angewandte} Persönlichkeits- und Kommunikationspsychologie.

11. Februar 2009: 1 Update: 1. Kommentar zum Betreuungsverhältnis hinzugefügt.

17. August 2009: 1 Update: 1. Mini-Aktualisierungen eingefügt. Posting wird von nun an nicht mehr aktualisiert, da mein Studium in Kempten abgeschlossen ist. Neuigkeiten bitte als Kommentare im Blog posten, damit andere Sudenten darüber informiert werden.

Die Killer-App

2011-02-23T16:17:00.002-08:00

Unter den OpenSource-Entwicklern gibt es einen ganz besonders großen Wunsch: Eine "Killer-App" zu schreiben.

(Date/Datum: 080430-22:39, Hits: 1263) Software zu schreiben, die von vielen Leuten benutzt/benötigt wird, und mit der man sich dann auch noch identifizieren kann, das ist eine ganz tolle Sache. Wenn diese Software auch noch äußerst tolle Features hat oder aus einem anderen Grund besonders hervorsticht, dann kann es durchaus vorkommen, dass man diese Anwendung als "Killer-App" (also Killer-Application) bezeichnet.

Selber ein solches Programm zu schreiben, dass wollen wir OpenSource-Entwickler doch alle. Am besten wäre es doch, wenn man sagen könnte, man hätte Slackware, den Linux-Kernel, den vi-Editor oder ähnliches erschaffen. Nur gibt es diese Programme alle schon ... und überhaupt: Eigentlich gibt es ja schon fast alles! Jedenfalls ist es aus diesem Grund gar nicht so einfach, sich etwas neues auszudenken. Wenn dieses "neue", dann auch noch die Killer-App-Anforderungen erfüllen soll, ist es dann wiederum nochmals deutlich schwerer.

Eine recht vernünftige Lösung ist dann die, sich einem größeren Projekt (beispielsweise einer Linux-Distribution, dem KDE-Projekt oder sonstigem) anzuschließen. Damit bekommt man zwar als einer von vielen Entwicklern nicht die Aufmerksamkeit, die man sich eventuell wünscht, weiß aber, dass die Software, die man schreibt, von vielen benutzt werden wird. Ausserdem arbeitet man mit Leuten zusammen, die sich für das interessieren, was man auch tut.

Diese beiden Möglichkeiten (Kreativer Alleingang und Community-Projekt) bieten sich dem OpenSource-Entwickler also heute.

Gute Software braucht Ausdauer

2011-02-23T16:17:00.001-08:00

In meinen letzten Postings ging es um die Freiheit und die Kunst des (Software-)Hackers. Heute geht es um die ehr unerfreulichere Seite: Die Ausdauer während der Entwicklung.

(Date/Datum: 080322-17:59, Hits: 1931)

Bei der Eigenentwicklung von OpenSource-Projekten fiel mir immer wieder auf, dass diese Projekte speziell zu Entwicklungsanfang einen großen Spaßfaktor mit sich brachten. Man plant die Software und ihre Bestandteile und macht es ganz nach Lust und Laune mit oder ohne (in meinem Fall: fast komplett ohne) erlernte Entwicklungsmodelle, UML-Diagramme, Bildchen usw., einen ersten, (zweiten, (dritten, ...)) Entwurf des tollen neuen Projekts.

Der nächste Schritt besteht oft darin, die besonders interessanten Komponenten zu programmieren (das erinnert mich an einen Satz, den ich während des Studiums "lernen" durfte, und den ich nie vergessen und schon gar nicht in mein Denken übernehmen werde: "Das Programmieren ist der stupide Teil der Softwareentwicklung." -- soetwas sagen nur Menschen, die meinen, Software-Architekten seien über die lausigen Entwickler erhaben ...). Nachdem dann alle besonders interessanten Komponenten implementiert wurden, kommen die aufgeschobenen, langweiligen Arbeitsschritte auf einen zu. Und genau hier liegt der Grund, warum viele OpenSource-Projekte scheitern: Die Entwickler verlieren das Interesse! Im kommerziellen Umfeld kann der Vorgesetzte an diesem Punkt eventuell durchgreifen und die Entwicklung vorwärtstreiben (das muss er sogar können!), doch in OpenSource-Projekten gibt es eine solche Antreiber-Person oft gar nicht. Trotzdem gibt es unzählige Vorzeige-Projekte, die von OpenSource-Entwicklern erstellt wurden.

Dem Entwickler bieten sich dann mehrere Möglichkeiten an:

Möglichkeit 1: Er veröffentlicht ein "unvollständiges" Projekt als "Spezialprojekt" (so, wie ich es beispielsweise mit meinem XyriaDNSd getan habe (und diese Software als Extreme-Performance-Server hingestellt habe), weil ich zu faul war das gesamte DNS-Protokoll RFC-konform zu implementieren). Im Übrigen ist dieser DNS-Server mindestens einer der schnellsten der Welt, vielleicht sogar der schnellste!

Möglichkeit 2: Er macht es sich noch einfacher und bricht das Projekt ab.

Möglichkeit 3: Er beißt in den sauren Apfel und zwingt sich dazu, das Projekt weiter zu entwickeln. In diesem Fall tut er nicht das, was er eigentlich tun will und -- für den Fall, dass er seine Tätigkeit so, wie ich, als Kunst ansieht -- wird er sich die Frage stellen, ob er damit nicht seine künstlerische Freiheit in gewisser Weise einschränkt und ob das gut für ihn ist.

Möglichkeit 4: Er übergibt das Projekt einem anderen Projektleiter, den er zunächst suchen und begeistern muss (bei kleinen Projekten oft kaum möglich). Fündig werden könnte der Entwickler beispielsweise beim SourceForge.net-Jobforum. Dort muss er aber nicht nur einen oder mehrere Entwickler finden, sondern auch fähige.

Möglichkeit 5: Er sucht sich Entwickler, die für ihn die Implementierung vollenden. Hier gibt es ähnliche Probleme, wie bei Möglichkeit #4.

Nach längeren Überlegungen und der Betrachtung meiner bisherigen Halbfertig-Projekte bin ich zum Schluss gekommen, dass eine gewisse Ausdauer wohl doch von Nöten ist, um ein gutes Ziel zu erreichen. Aber nur manchmal. Weniger ein sich-zwingen als vielmehr ein sich-motivieren scheint der gesunde und richtige Schlüssel dazu zu sein.

Der Grund dafür ist der übliche: Guter Code und gute Kunst braucht Begeisterung!

Vielleicht könnte man also sagen, dass es -- analog zur ausgewogenen Ernährung, bei der leider nicht alles toll schmeckt -- eine ausgewogene OpenSource-Entwicklung benötigt, bei der Begeisterung und Ausdauer zwei Kernbestandteile sind.

Die Informatik

2011-02-23T16:16:00.000-08:00

Die Informatik hat ein Image, welches sie nicht verdient. Meiner Meinung nach liegt es daran, dass viele Menschen eine falsche Vorstellung von der Informatik haben.

(Date/Datum: 080224-18:50)

Wenn man heute erzählt, man studiere Informatik, dann sind die Reaktionen darauf äußerst verschieden. Oftmals gilt man als furchtbarer Nerd, der furchtbare Dinge -- nämlich fuchtbar langweilige, tut (welche das wohl sind?).

Dabei wird die Informatik doch heute in so vielen interessanten Bereichen eingesetzt und ist eine wirklich bedeutsame Wissenschaft! Womit sich der Informatiker beschäftigt, das sind aktuelle Themen die ganz und gar nicht langweilig sein müssen. Ich bin bei diesem Thema natürlich nicht parteilos, aber allein, wenn man die Entwicklung der so genannten Bindestrich-Zweige der Informatik betrachtet, dann sieht man, wieviel Spielraum man als Informatiker hat, wenn es darum geht, sich ein oder mehrere Spezielagebiete zu suchen.

Da gibt es nicht nur mehr die vier Teildisziplinen Theoretische-, Praktische-, Angewandte-, und Technische-Informatik sowie die ebenfalls sehr bekannte Wirtschaftsinformatik. Es gibt vielmehr komplett neue Studienfächer der Informatik, die mittlerweile nunmal so groß sind, dass sie einen eigenen Studiengang benötigen. Dazu zählen etwa die Bioinformatik, Geoinformatik, medizinische Informatik, Automobil-Informatik, Medieninformatik, Computer-Linguistik, Software-Engineering und Chemo-Informatik. Ausserdem gibt es noch Disziplinen wie Rechtsinformatik, Umwelt-Informatik, Informationslogistik, Computervisualistik u.v.m.

Die "eigentlichen" Gebiete der Informatik sind allerdings auch nicht uninteressant. Programmiersprachen, Kryptographie, Netzwerke, Sicherheit, Grafik, theoretische Überlegungen usw. sind eben auch faszinierende Gebiete.

Und ja: Zwar sinken die Gehälter, aber man kann trotzdem noch viel Geld in der Informatik verdienen und trotzdem noch gute Ideen haben. Die Forschung im Bereich der Informatik ist ebenfalls sehr vital.

Apropos Gehälter: Heute ist jeder noch so schlechte Fachinformatiker ein "Spezialist" für Windows-Administration oder was auch immer. Eine ähnliche Ausbildung habe ich auch hinter mir, aber seien wir mal ehrlich: Selbst im Studium lernt man viel zu wenig, auf das autodidaktische kommt es an! Wie dem auch sei, dadurch, dass es jetzt recht viele Informatiker gibt, ist mehr Konkurenz auf dem Job-Markt vertreten und die Gehäter sinken. Ein Systemadministrator ist eben kein Halbgott mehr, sondern ein Dienstleister. Es gibt besonders bei den Webdesignern und Administratoren recht viel Konkurenz. Die Unterschiede bei deren Fähigkeiten sind allerdings enorm! Das gleiche gilt für Programmierer. Es gibt viele Programmierer (ich liebe das Programmieren), aber die Qualitätsunterschiede bei den selbigen sind ebenfalls recht beeindruckend.

Aber zurück zum eigentlichen Thema. Die Informatik hat die Gesellschaft sehr verändert. Heute benutzt jeder das Internet. Man kommuniziert mit anderen Menschen über Netzwerke oder handelt über diese. Schon Kinder können mit anderen online Computerspiele spielen, Computertomographie, Wettersimmulationen und unzählige andere positive Dinge sind der Informatik zu verdanken.

Soweit mein Plädoyer für die Informatik. Zumindest fürs Erste.

Tutorial: Notebook Battery State in Fluxbox

2011-02-23T16:15:00.000-08:00

Today I will give a short introduction how to use my tool "Fluxbat". Fluxbat displays the battery state of your notebook in the Fluxbox menu.

(Date/Datum: 2010-03-07-21:03)

The software itself is GPLv2ed and the last release is from 2007. You can download fluxbat from my website

INSTALLATION

1. First, you need to compile fluxbat (if your battery info can NOT be found in /proc/acpi/battery/BAT0, you need to modify the path in fluxbatgen.sh first).

$ make
$ su
# make install

2. Since fluxbat is a daemon process, you should not start it every time you start X since it would run multiple times then. Simply run it on system bootstrap (e.g. by creating an rc script in /etc/rc.d/ (e.g. Slackware) or /etc/init.d (e.g. Debian, Ubuntu, ...).

I added an rc.fluxbat script for this reason. You can place it in /etc/depends-on-your-distribution/.

3. Every user who wants to activate fluxbat in fluxbox should include /var/fluxbat/battery.menu in his own ~/.fluxbox/menu file by adding this line:

[include] (/var/tmp/fluxbat/battery.menu)

SOME NOTES

Fluxbat depends on:

fluxbox (tested with v. 1.0rc2)
#!/bin/dash (not bash!)
bc
md5sum
xterm and vi (to display "more info")
xmessage (for warning messages if percentage goes under 4% of the battery power)
for compiling: make,gcc,binutils,libc and such things

I hope this posting was helpful ... You can post questins below.

Rezension: Versteckte Botschaften

2011-02-23T16:11:00.001-08:00

In den letzten Tagen habe ich das Buch 'Versteckte Botschaften. Die faszinierende Geschichte der Steganografie' von Klaus Schmeh gelesen um mir ein wenig Inspiration für meine Doktorarbeit zu holen und etwas mehr über die Geschichte und die allgemeine Steganografie zu erfahren -- schließlich beschäftige ich mich schon seit geraumer Zeit mit verdeckten Kanälen in Netzwerken. (Date/Datum: 2010-02-18-17:47)

Ich nehme es gleich vorweg: Das Buch ist interessant und ich bin froh, eine so leichtverständliche Einführung in die Steganografie in die Finger bekommen zu haben. Schön am Buch ist die Aufteilung in kurze Kapitel. Das hat zumindest bei mir den Effekt, dass ich beim Lesen schneller vorwärts komme, da ich mir immer wieder sage: "Ach, ein kurzes Kapitel geht noch." Auch lobenswert ist die Vielzahl der interessanten Bilder und (ich erwähne es hier, weil es in den meisten Büchern inkl. meiner eigenen nicht der Fall ist (dafür aber in meiner Diplomarbeit)) die jeweilige Angabe der Seitenzahl bei Literaturverweisen. Im Buch erfährt man etwa, wie die Steganografie zu Kriegszeiten aufblühte und welche aufwändigen Methoden genutzt wurden, um deren Nutzung durch Spione einzudemmen. Heutzutage wird dies in Kriegszeiten wohl kaum anders sein. Überhaupt werden derart viele Anwendungen der Steganografie erwähnt, dass ich mir die Recherchearbeit als enorm umfangreich vorstellen muss.

Das Werk gliedert sich in vier Teile: Ein Streifzug durch die Steganografie, Klassische Steganografie, Steganografie mit dem Computer und den einzigen für mich weniger interessanten vierten Teil (den ich tatsächlich nur überflogen habe) zum Thema Para-Steganografie (dort fallen Themen wie der Bibel-Code etc. hinein).

Details zum Buch:
Autor: Klaus Schmeh
Titel: Versteckte Botschaften. Die faszinierende Geschichte der Steganografie
Verlag Heinz Heise, 246 Seiten, 1. Auflage 2009, 18 EUR
ISBN 978-3-936931-54-9
Dieses Buch bei Amazon bestellen

Rezension: Nur die Stärksten überleben - ein Campus-Roman

2011-02-23T16:10:00.000-08:00

Gestern Nacht habe ich "Nur die Stärksten überleben" von der norwegischen Autorin Helene Uri fertig gelesen ... Eigentlich ... um mich für mein weiteres Studium zu motivieren. (Date/Datum: 2009-08-25-21:57)

Das Buch handelt von Rivalitäten unter Forschern an der Universität Oslo. Inhaltlich geht es primär um drei Personen: Pål Bentzen kommt als junger Forscher an die Uni und ist der Sohn einer berühmten Schriftstellerin, die unter Pseudonym schreibt. Es folgt als ebenfalls neue Kollegin Nanna, die von allen gemocht wird. Dann gibt es noch Edith Rinkel, die ist schon sehr lange Professorin und wird nicht besonders gemocht; dafür ist sie für ihre bisherigen Leistungen, die sie für die Wissenschaft erbracht hat, hoch angesehen. Alle sind am gleichen Institut für futuristische Linguistik beschäftigt und innerhalb des Instituts gibt es unglaublich viel ... wie heißt das noch gleich ...? Ah ja: Klatsch; voller Klatsch (das Wort scheibe ich hiermit zum ersten Mal in diesem Leben und sofort denke ich an billigstes Privatfernsehn und BILD!).

Man merkt der Autorin an, dass sie selbst Linguistik studiert hat, denn im Buch werden ständig entsprechende Fachthemen erwähnt (und für mich als Laien auch halbwegs verständlich). Jedenfalls kommt Pål Bentzen eines Tages der Verdacht, Edith Rinkel könnte Forschungsunterlagen von Nanna geklaut haben. Mehr verrate ich nicht, außer, dass ich mir ein anderes Ende gewünscht hätte und das die ganzen Affären im Buch verhindern, dass es langweilig wird. Ich hoffe, es geht nicht wirklich so herzlos in der Wissenschaftswelt zu, das wäre sehr schade und vorallendingen abschreckend!

Empfehlen kann ich das Buch dennoch. Als nächstes lese ich "Der Campus" von Dietrich Schwanitz. Ich hoffe doch, das dieses Buch mich mit einem Ende versorgt, dass leichter zu ertragen ist und meine Vorstellung von der Welt etwas ausbügelt!

Nur die Stärksten überleben: Bei Amazon bestellen

Rezension: Die Software-Rebellen

2011-02-23T16:09:00.000-08:00

Das Buch 'Die Software-Rebellen' von Glyn Moody ist äußerst detailreich und behandelt die "Erfolgsstory von Linus Torvalds und Linux". (Date/Datum: 2008-09-28-19:23)

Zweifellos hat es Glyn Moody in 'Die Software-Rebellen' geschafft, eine tolle geschichtliche Abhandlung der Entstehungsgeschichte von GNU, Linux und einigen anderen großen Projekten zu liefern. Ließt man dieses Buch, dann kommt man zwischendurch in die Versuchung sich doch noch den großen Aufgaben es Unix-Hackers zu stellen und sich ein eigenes Mini-OS und einen eigenen Editor sowie einen eigenen Compiler oder Interpreter zu programmieren.

So ein Buch kann nur jemand schreiben, der sich mit der Geschichte dieser Projekte und der Personen, die dahinterstecken, enorm gut auskennt, was man an der Detailverliebtheit der einzelnen Kapitel merkt. Teilweise sind allerdings SO viele Details im Buch, das es langweilig wird. Man kann wirklich erfahren, wer wann was in welche Newsgroup gepostet hat und wer auf welches Posting wie antwortete. Wie konnte Moody nur seine Faszination aufrecht erhalten und diesen Schreibprozess überstehen? Eine wirkliche Meisterleistung, aber wie gesagt: Die Langeweile fördert diese Herangehensweise auch.

Doch weiter zum Inhalt! Dieses Buch liefert seltene und besondere Einblicke in geschichtliche Entwicklungen und nach diesem Buch weiß man definitiv mehr. Dies liegt auch daran, dass der Autor es schafft, Elemente wie die Bedeutung der Atmosphäre im MIT-Lab für Richard Stallman sowie die grandiose Analyse der Situation der Parallelentwicklung mehrerer Unix-Derivate und den damit verbundenen Nachteil (doppelt-gemoppelter Code, Benutzerfreundlichkeit, ...) gegenüber Windows gut zu skizzieren. Und obwohl man seltene Aussagen findet, denen man nun wirklich nicht zustimmen kann (etwa, dass Emacs die "berühmteste und leistungsfähigste Software, die je geschrieben worden (ist)" sein soll), findet man auch kritisches Denken in diesem Buch (etwa das "Ich-will-der-beste-Hacker-sein-Verhalten beim Krieg der Unix-Derivate).

Insgesamt ist das Buch sehr gelungen, hätte aber auch einige langweilige Details und eben an ein, zwei Stellen den Superlativ einsparen sollen. Daher vergebe ich 4.25 von 5.0 Punkten, die sich das Buch besonders durch seine recht seltenen Hintergrundinformationen sowie die teilweise sehr gute Situationsanalyse des Autors gesichert hat.

Rezension: Wir nennen es Arbeit

2011-02-23T16:08:00.000-08:00

Endlich habe ich mit "Wir nennen es Arbeit" von Holm Friebe und Sascha Lobo mal wieder ein wirklich gutes Buch durchgelesen. Hier kommt die verdiente Rezension. (Date/Datum: 2008-09-28-19:23, Hits: 962)

In "Wir nennen es Arbeit" geht es darum, welche Möglichkeiten heute bestehen, im Internet Geld zu verdienen und wie sich so eine Tätigkeit gestalltet. Außerdem geht es um die damit verbundene Kultur.

Das Autorenduo gibt zunächst einen Einblick in den Begriff der 'digitalen Boheme', mit dem die kreativ schaffenden, selbständigen Menschen gemeint sind, die durch das Internet ihr Geld verdienen. Im Nachwort erfährt man dann auch, dass sich der Ursprung des Wortes auf 1994 zurückdatieren lässt. Später widmen sich die Autoren dann noch der Einengung, der man unter Umständen bei einer Festanstellung unterliegt, dem Thema Respekt als Währung innerhalb der digitalen Boheme-Subkultur, den Möglichkeiten, die sich den so tätigen Menschen bieten, dem Arbeiten in öffentlichen Cafes (das gesamte Kapitel 'Place does matter' ist besonders empfehlenswert!), Blogs, dem Geldverdienen über Online-Spiele und diversen anderen interessanten Themen.

Sehr gut gefällt auch, dass im letzten Kapitel noch der Gedanke einer neuen Renissance eingebracht wird und das Grundeinkommen sowie ein Ausblick auf eine alternative Gesellschaftsbeschäftigung aufgenommen wurde.

Steht man dem Begriff der digitalen Boheme zunächst vielleicht noch minimalskeptisch gegenüber, so wird dies im Laufe des Buches anders. Mit einer gewissen Faszination habe ich die Kapitel als selbst Betroffener verschlungen -- endlich eine öffentliche Arbeitsweise mit der man sich identifizieren; und sie hat sogar einen Namen! Insgesamt zeichnen die Autoren ein äußerst positives Bild der digitalen Boheme und lassen dabei leider kaum die Nachteile (etwa sich selbst um Buchführung und Papierkram zu kümmern oder die Schwierigkeit, eine kommerzielle Webseite bekannt zu machen) durchblicken, die so ein Leben mit sich bringt.

Insgesamt vergebe ich 4.7 von 5.0 möglichen Punkten, sowas gibt es selten! Diese Rezension bezieht sich auf die aktualisierte Auflage von 2008.

Das Buch bei Amazon kaufen

Liste großartiger Fachbücher zum Thema Linux/Unix/BSD Systeme/Netzwerke/Sicherheit

2011-02-23T16:05:00.000-08:00

Diese Liste werde ich immer wieder updaten; sie beinhaltet nur die Bücher, die ich als besonders großartig betrachte.

Update 27. Feb. 2010: Neue Bücher (Versteckte Botschaften, Die Software Rebellen, Die Hacker-Ethik, Just for Fun) aufgenommen.
Update: 07. Jul. 2008: Um dieses Vorhaben (und damit diese Liste) quasi zu intialisieren bin ich zu meinem Bücherregal, das voller Bücher zum Thema Linux/Unix/BSD, Netzwerksicherheit, TCP/IP-Netzwerke usw. ist, gegangen und habe die fünf besten darin enthaltenen Bücher herausgezogen um sie in diese Liste aufzunehmen. Die fünf Kandidaten sieht man auf diesem Foto:

Liste großartiger Fachbücher zum Thema Linux/Unix/BSD Systeme/Netzwerke/Sicherheit

Unter der Auswahl finden sich zwei englischsprachige und drei deutschsprachige Fachbücher.

Versteckte Botschaften., Von: Klaus Schmeh; Gelesen: Feb-2010
Schmeh liefert mit diesem Titel ein reines Steganografie-Buch. Es ist nicht sonderlich technisch, dafür aber hervorragend recherchiert und vorallendingen geschichtlich interessant.
Die Hacker-Ethik und der Geist des Informations-Zeitalters, Von: Pekka Himanen; Gelesen: ca. 2007/8
Dieses Buch ist eine sehr interessante Betrachtung der Hacker-Gesellschaft. Der Autor vergleicht die Hacker-Ehtik dabei mit der protestantischen Ethik und definiert Hacking als Kunst, bei der auch die Freiheit des Schaffens eine große Rolle spielt.
Die Software Rebellen. Die Erfolgsgeschichte von Linus Torvalds und Linux, Von: Glyn Moody; Gelesen: ca. 2008
Moody beschreibt in diesem Buch die Geschichte von Unix, GNU, BSD, Open Source und Linux. Seine Beschreibungen sind äußerst detailreich und gut recherchiert.
Just For Fun. Wie ein Freak die Computerwelt revolutionierte, Von: Linus Torvalds und David Diamond; Gelesen: ca. 2005/6
Dieses Buch ist als Biographie des Linux-Entwicklers Linus Torvalds zu betrachten. Es ist sehr unterhaltsam und sehr persönlich geschrieben. Durch den Schreibstil wird das Buch nicht langweilig.
Expert C Programming. Deep C Secrets., Von: Peter v. d. Linden; Gelesen: 2006
Ich würde sagen, dieses Buch ist das einzige großartige und mit enormen Abstand beste C-Programmierbuch, dass mir bisher in die Finger fiel. Ich habe es während meines Praxissemesters im Bus gelesen und mir viele Markierungen an wichtigen Stellen gemacht. Eigentlich dachte ich, ich würde C bereits beherrschen, doch dieses Buch konnte mir tatsächlich mehrere Informationen liefern, von denen ich bisher nichts wusste.
Forensic Discovery., Von: Dan Farmer, Wietse Venema; Gelesen: 2005
Ein großartiges Buch über die Forensik auf Unix-Systemen!
PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren, Von: Christopher Kunz, Stefan Esser, Peter Prochaska; Gelesen: 2007
Kurz und knapp werden alle wichtigen Sicherheitsmerkmale zum Betrieb von PHP basierten Seiten erläutert. Ich mag Bücher ohne Geschwafel. Der Inhalt des Buchs ist zwar nicht neu und seit Jahren im Internet zu finden, aber trotzdem verdient dieses Buch seinen Platz in dieser Liste. Ich hoffe auf Neuauflagen!
Buffer Overflows und Format-String-Schwachstellen: Funktionsweisen, Exploits und Gegenmaßnahmen, Von: Tobias Klein; Gelesen: 2006
Die Wahrscheinlich umfangreichste und beste Abhandlung des Themas. Der Autor hat auf seiner Webseite auch noch lehrreiche Informationen zur GCC Stack Smashing Protection nachgereicht.
Programmieren von UNIX-Netzwerken. Netzwerk-APIs: Sockets und XTI, Von: Richard Stevens; Gelesen: 2000/2001
Vielleicht gibt es mittlerweile bessere (und sicherlich aktuellere) Bücher zum Thema, doch dieses Buch war, als ich es etwa 2000/2001 in die Finger bekam, das Beste, was es zum Thema gab (Na gut, vielleicht ist das englischsprachige Original tatsächlich noch besser, so hieß es damals zumindest, aber das interessiert mich wenig). Das Besondere an diesesm Buch ist die Tiefe. Auf praktisch jeder Seite gibt es Fussnoten, an denen man merkt, dass der Autor keine Details auslassen möchte und zu noch viel mehr Tiefgang bereit währe. Apropos: Dieses "mehr" an Tiefgang hat er dann in den drei Bänden TCP/IP Illustrated (von denen ich Vol. 1+2 gelesen habe und nur Vol. 2 besitze) umgesetzt. Leider ist der Autor bereits verstorben.