Du bist Terrorist

20. Mai 2009

Du bist Terrorist“, angelehnt an die Aktion „Du bist Deutschland“ von vor vier Jahren, soll aufzeigen, inwiefern wir alle in der Politik als potenzielle Terroristen betrachtet werden und was das genau bedeutet. Wir sollten uns wirklich mal überlegen, ob das richtig und sinnvoll ist. Nettes Video, welches das ganze Überwachungsthema nochmal zusammenfasst.

Werbevideos für Linux

20. Mai 2009

„What does it mean to be free?“ auf YouTube

„The Origin…“ auf Vimeo

„Linux Pub“ auf YouTube

„Linux Sets You Free“ auf YouTube

„Be Linux“ auf YouTube

„IBM Linux Werbung“ auf YouTube

Kurze Notiz: Beim Gericom Masterpiece Radeon 2440 handelt es sich um ein Notebook des Modelltyps G732, wie man dem BIOS kurz nach dem Start entnehmen kann. Support-Dateien gibt es bei den Downloads von Gericom. Hergestellt wurde es von ECS und war bei verschiedenen Firmen in der Produktpalette. Außerdem finden sich auf der „G732 Notebook Info Page“ weitere Informationen rund um das Modell sowie Downloads. Außerdem wird beschrieben wie man das Gerät öffnet und man den immer laufenden Grafikkarten- und Chipsatz-Lüfter an die Stromzuführ des CPU-Lüfters hängt, so dass dieser wie der CPU-Lüfter reguliert wird. Inwiefern dadurch das Risiko einer Überhitzung besteht weiß ich nicht.

Coldplay - LeftRightLeftRightLeftSeit ein paar Tagen verschenkt die bekannte, britische Band Coldplay ihr neues Live-Album „LeftRightLeftRightLeft“ im Internet. Außerdem verteilt sie die CDs umsonst auf ihrer Tour. Erste Bilianz: 3,5 Millionen Downloads. Wer es noch nicht hat, kann es sich über die dafür eingerichtete Downloadseite nach Angabe von Land und E-Mail (wird nicht verifiziert) holen. Die Aktion läuft noch bis zum Ende der aktuellen Tour, also vorraussichtlich dem 19. September.

Als im Blog virtualpixel.de fröhlich verkündet wurde, das nächste Apple iTunes sei mit Unterstützung für das Betriebssystems Linux geplant, wurde fast vergessen, dass es sich um den erste April handelte. Aufgrund des vielen Feedback wurde am Tag danach eine Umfrage durchgeführt, aus der sich ergab, dass etwas weniger als die Hälfte sich kein iTunes für Linux wollten, während die Anderen eine solche Version begrüßt hätte. Und jetzt weiß ich auch warum …

Ich habe schon länger einen iPod classic, bis jetzt hatte ich einfach meine schon von einem iPod photo bestehende iTunes-Installation unter Windows weiter verwendet. Doch vor kurzem habe ich nur noch Linux auf der Festplatte. Und so muss ich mich langsam mal nach einem guten Musik-Allrounder unter Linux umsehen. Denn neben Radio, was ich zur Zeit sehr viel höre, möchte ich auch mal wieder meine Musik selbst bestimmen können und Podcasts auch abseits des Computers hören.

Meine Anforderungen an ein geeignetes Programm sind zwar nicht klein, doch eigentlich nicht außergewöhnlich:

  • selbst organisierende Musikbibliothek
  • Podcasts
  • eventuell Videosupport
  • iPod-Synchronisation

Nun ja, so groß ist die Auswahl leider nicht. Für mich kamen allein vom ersten Eindruck her nur Amarok, Banshee, Rhythmbox und Songbird in Frage.

Amarok ist sehr mächtig, scheint mir aber eigentlich schon zu überladen und außerdem gefällt mir die aktuelle Oberfläche von Amarok 2 nicht. Rhythmbox scheint keine Videos zu unterstützen und mit automatischer Ordnerstruktur (Ordner für jeden Interpreten, darin dann Ordner für die jeweiligen Alben, die dann die Musikdateien enthalten) sieht es auch nicht so gut aus. Und Songbird ist ja ganz nett, allerdings scheint man das Phänomen „Podcast“ ganz vergessen zu haben. Podcasts als automatische Wiedergabelisten einzubinden ist zumindest nicht sehr komfortabel. Video wird auch noch nicht unterstützt.

Bleibt also noch Banshee, das Programm macht auch optisch auf den Screenshots einen gelungenen Eindruck, unterstützt Videos und Podcasts ebenso wie iPods und bringt eine selbst strukturierende Musikbibliothek mit. Toll! Bin gerade dabei die alten Musikordner zu importieren. Ob alles geklappt habt werde ich dann demnächst berichten.

Dennoch eins ist bereits jetzt klar: An iTunes reicht das Programm auch nicht heran. Vielleicht hat es hier und da seine Vorteile, aber z.B. die Podcastunterstützung ist doch meist recht mager.

Kann man unter Apples Programm doch für jeden Feed eigene Löschregeln festlegen. Macht auch durchaus Sinn, so kann man jeweils nur die aktuellste Tagesnachrichten auf den Rechner behalten, während man von seiner Lieblingssendung keine Folge auslassen möchte und diese erst nach vollständigem Ansehen gelöscht werden soll. Ach und das Hörspiel, bei dem die jeweils aktuellste Folge kostenlos per Podcast abonniert werden kann, soll am besten für immer behalten werden.

Auch nicht zu vergessen, dass man unter iTunes schön per Markierung regeln kann, welche Titel aus der Bibliothek nun wirklich auf den iPod sollen. Gut, das lässt sich wahrscheinlich auch in Banshee per Wiedergabeliste lösen.

Vielleicht sollte man Musik, Video und Podcasts auch aufspalten, seperate Programme, die auch den iPod untertützen, scheinen teilweise in ihrem Gebiet etwas ausgereifter. Ich bin also noch weiterhin auf der Suche nach einen Programm, dass als Gesamtpaket iTunes endlich mal das Wasser reichen kann. Vielleicht hat hier ja jemand einen guten Tipp für mich.

Lange wusste ich gar nicht, dass mein Notebook Acer Aspire 1692 WLMi eine LED zur Benachrichtigung bei neuen E-Mails hat. Unter Windows gab es nie eine Option dafür, anscheinend geht das nur über irgendein mittelmäßiges Acer-Tool, mit Integration in ein E-Mail-Programm sieht es da eher schlecht aus.

Im letzten Jahr viel mir dann mal auf, dass die Grafik auf dem E-Mail-Hotkey eine andere Farbe hat als die der anderen Tasten und bei genauerem betrachten könnte es ein halbtransparentes Plastik sein mit einem Licht dahinter. Das haben dann meine Recherchen auch ergeben. Doch wie man diese anspricht wusste ich nicht.

Heute habe ich mich nochmal mit dem Thema auseinandergesetzt, es geht ziemlich einfach.

sudo modprobe acerhk               # lädt das Kernelmodul
echo 1 > /proc/driver/acerhk/led   # Mail-LED an (Blinken)
echo 0 > /proc/driver/acerhk/led   # Mail-LED aus

Sehr verbreitet scheint aber allgemein der Einsatz von Mail-LEDs nicht zu sein. Zwar haben viele Notebooks eine solche, aber sie wird von den meisten Programmen nicht unterstützt. Für Mozilla Thunderbird und Pidgin gibt es aber jeweils ein Plugin, zwar für die Asus- oder IBM-ACPI, aber die die lassen sich ja dank des Open-Source-Prinzips bestimmt leicht anpassen.

Days with my father

9. April 2009

My Mum died suddenly on September 4th, 2006.
After she died, I realized how much she‘d been shielding me from my father’s mental state.
He doesn’t have alzheimers, but he has no short-term memory, an is often lost.

So beginnt der bebilderte Bericht „Days with my father“ von Phillip Toledano. Er erzählt von den letzten Erlebnissen mit seinem Vaters, nachdem seine Mutter verstarb. Er wirkt verlohren aufgrund seines Verlustes des Kurzzeitgedächtnisses und doch sind es prägende Momente mit ihm. Eine traurige Geschichte. Wirklich lesenswert!

(via Bloodys Blog, vielen Dank)

Als Kunde von T-Online darf man seit wenigen Tagen die „T-Online Navigationshilfe“ nutzen. Ruft man im Browser eine nicht vergebene Adresse ein, erscheint nicht mehr eine Fehlermeldung im Browser. Stattdessen wird man auf eine Suchseite der Telekom weitergeleitet und passende Treffer zur Falscheingabe in einem Frame angezeigt.

Text der T-Online Navigationshilfe

Die gesamte Seite für die Domain „beispielfehler.de“ kann man sich hier ansehen. Interessant ist übrigens der Parameter „depp“. ;-) Auf der Seite werden übrigens auch Anzeigen eingeblendet, also kann sich da die Telekom noch ein bisschen Geld dazuverdienen …

Vorreiter war wohl VeriSign, ein Internetdiensleister zuständig für die Top-Level-Domains .com und .net sowie Zertifizierungsstelle für digitale Zertifikate. 2003 wurde ein „Site Finder“ bei nicht registrierten Domains dieser Endungen angezeigt, allerdings wurde nach einiger Kritik der Dienst nach einem Monat wieder eingestellt. Nun probierten es die Provider, wie z.B. Alice und nun die Telekom.

Ich will das nicht! Ich will nicht, das fehlerhafte Anfragen gleich bei der ach so sicheren Telekom landen und außerdem finde ich jede Manipulation der Nameserver der Telekom falsch, weil sie meiner Meinung nach gegen das Domain Name System (DNS) verstößt. Übrigens ist das ganze auch die diskutierte Praxis, mit der Filter für kinderpornographische Seiten eingerichtet werden sollen. Vielleicht übt die Telekom ja schon mal. Umgangen kann das ganze allerdings sehr einfach, in dem man einen anderen Server, z.B. einen des OpenDNS-Projektes, zur Namensauflösung einstellt. Also ein toller Schutz.

Immerhin kann man den Telekom-Dienst jederzeit im Kundencenter deaktivieren. Dannach muss man nur noch den Router neustarten, damit er einen neuen DNS-Server zugewiesen bekommt.

Es ist unglaublich, aber eigentlich traurig, wie viele große Newsportale diesem neuen „Skandal“ hinterherrennen: „Datenleck bei T-Com – Bis zu 14 Millionen Kunden betroffen“, „E-Mail-Dienstleister: Adressverzeichnisse nicht ausreichend geschützt“, „Schwachstelle auf Webseiten erlaubt Diebstahl von Kundendaten – E-Mail-Dienste: IT-Firma deckt Sicherheitslücke auf“ Doch was ist wirklich los?

Der in der Erotik- und Musikbranche tätige Mainzer Unternehmer Tobias Huch, bekannt durch seinen Hinweis auf ein Datenleck bei der Telekom letzten Herbst, hat wieder einmal eine Fährte gewittert. Huchs IT-Unternehmen hätten angeblich ein neues Datenleck gefunden, welch Telekom-Datenskandal. Aber auch andere Anbieter sollen davon betroffen sein. Dem Sicherheitsteam sei es nämlich gelungen eine Liste der Haupt-E-Mail-Adressen der Telekomkunden auszulesen und auch Spammer könnten im Besitz einer vollständigen Liste sein.

Wie haben sie das gemacht? Nun ganz einfach, man probiert schlichtweg alle möglichen Zeichenkombinationen (Brute-Force-Methode) vor dem Domainnamen (@t-online.de, @gmx.de/.net/.com/.org …) aus. Bei der Telekom sei das ganze besonders einfach, weil dort die Haupt-E-Mail durch die Zugangsnummer, einer neunstelligen Kennung besteht und man lediglich die Nummern hochzählen muss. Alle nicht alphanumerische Adressen seinen nur Aliase, die letztendlich wieder auf die Hauptadressen zeigen würden. So ließen sich dann in kürzester Zeit vergebene E-Mail-Adressen herausfinden und könnte so Werbung oder Phishing-Attacken direkt an gültige Adressen senden. Zur Verifizierung soll hierbei die typischen Hilfeseiten zum Zusenden eines neuen Passwortes („Passwort vergessen“) dienen.

Die ganze Meldung ist einfach nur lächerlich. Diese Möglichkeit gab es schon immer. Es ist ja auch gewünscht, dass man beispielsweise beim Registrierungsvorgang über die Verfügbarkeit der gewünschten Adresse informiert wird, oder? Genauso dass man beim Versenden an eine nicht existierenden E-Mail-Adresse eine Nachricht in Form einer „failure notice“ bekommt. Ist das eine Sicherheitslücke? Nein. Nur beim fehlerhaften Anmelden wird man nicht darauf hingewiesen, worin nun der Fehler in der Kombination Benutzer und Passwort liegt.

Nicht nur hier darf man sich von der unglaublichen Intelligenz Huchs überzeugen. Auch wenn man die Pressemitteilung liest, merkt man schnell, was für ein Schwachsinn das ganze ist:

„Bei GMX und Web.de bräuchten wir mit Sicherheit ein paar Tage oder Wochen länger, um einen großen und wertvollen Datenbestand zusammen zu haben, aber wir haben genügend Rechnerpower und eine 1000 MBit/s-Anbindung im Unternehmen, was für eine solche Unternehmung ausreichen dürfte. Professionelle Datendiebe und Spam-Versender haben nach unserem Stand der Erkenntnis sogar noch weit größere Ressourcen, um solch eine Lücke auszunutzen“, so Huch.

Es fällt natürlich kein bisschen auf, wenn man einfach mal mehrere Millionen E-Mail-Adressen innerhalb kürzester Zeit (mit 1000 MBit/s) abfragt. Da mag vielleicht noch so ein großes, dezentral Botnetz benützen, die anfallenden Datenmengen sind einfach nicht zu verschleiern. GMX beispielsweise verfolgt schon seit langem größere Anfragen, die durch Scripte verursacht werden.

Mal abgesehen davon, dass es bei den heutigen Ausmaßen den Spammern fast schon egal ist, ob sie erst eine Liste mit gültigen Adressen anlegen bzw. kaufen oder gleich an alle möglichen Adressen senden. Letztendlich zählt ja, wer auf die unerwünschten reagiert und dafür gibt es bestimmt schon seit Jahren entsprechende Listen.

Insgesamt wirkt Herr Huch wie ein Schuljunge, der gerade herausgefunden hat, dass man einfach jede erdenkliche Telefonnummer ausprobieren kann um herauszufinden, ob diese bereits vergeben ist und für Anrufe taugt. Heureka!

Ergänzung: Natürlich ist es durch das AJAX-Backend für Spammer unglaublich einfach zu überprüfen, ob eine E-mail-Adresse bereits vergeben ist. Doch kann man auch auf andere Wege, z.B. einfach durch gefälschte Registrierungen die Verfügbarkeit überprüfen. Dies ist doch elementar für jede Registrierung. Es ist eine Sache, die man vielleicht besser vor Scripten schützen soll, doch als kritische Lücke mit einer solchen Medienwirksamkeit würde ich es nicht einstufen.

Es ist eigentlich unglaublich, aber bei der Telekom leider war: Lasst bloß die Finger von neuen Firmware-Versionen, es sei denn sie ist schon länger Verfügbar und es sind wirklich keinerlei Probleme bekannt. Und stellt bloß die „Automatische Konfiguration“ ab, hinter dieser Funktion versteckt sich nämlich unter anderem ein automatisches Aktualisieren der Betriebssoftware. Mal abgesehen davon, dass es schlichtweg eine Sicherheitslücke ist, wenn man seinen Router fernsteuern lässt.

Nachdem lange nur die bereits vorinstallierte Firmware-Version 65.04.58 verfügbar war, veröffentlichte die Telekom irgendwann 65.04.71. Schon die 65.04.70 verspricht eine bessere DECT-Basis, DSL-Optimierung, UMTS-Sticks und eine korrigierte Weboberfläche, bringt aber anscheinend Probleme mit der Updategeschwindigkeit mit sich. Könnte ja in der 71er behoben sein, also gleich installiert. Zuerst gab es keine Probleme, allerdings wird schnell das WLAN instabil und bricht mehrmals am Tag zusammen.

Deswegen habe ich mich jetzt im Netz kundig gemacht. Ein Downgrade ist ja nicht gerade einfach, das Einspielen über die Weboberfläche wird abgelehnt. Es gibt nun zwei Wege. Entweder macht man es umständlich, muss sich im richtigen Moment beim Starten des Routers per FTP anmelden und eine Telnet-Verbindung aufbauen, Dateien aus dem Image der alten Firmware, die man zuerst auftreiben muss, kopieren und Befehle ausführen. Oder aber man findet die Datei Speedport_W_920V.AnnexB.04.58.recover-image.exe. Diese muss man lediglich unter Windows ausführen und den Anweisungen folgen. Einstellungen gehen natürlich beim Downgrade verloren und können auch nicht aus Sicherungsdateien der vorherigen höheren Version übernommen werden.

Es ist auch nicht das erste mal, dass ich besser bei einer älteren Version geblieben wäre. Schon bei dem alten Router T-Sinus 154 DSL hatte ich Probleme mit der letzten Firmware. Alternativ könnte man beim Speedport auch eine angepasste Fritzbox-Firmware installieren, doch scheint mir dass ein wenig fehleranfälliger und zu aufwändig, schließlich bestehen bei uns keine großen Anforderungen an das Gerät. Aber auf ein Ausbessern seitens der Telekom, darauf kann man noch lange warten …

Archiv

Kategorien