Was man bei den vereinten nazjonen kriegt

Na, heute schon die aktuelle schadsoftwäjhr von einem sörver der vereinten natzjonen abgeholt?

Hunderttausende kürzlich infizierte Webseiten haben mehrere Sicherheitsdienstleister entdeckt. Sie verweisen alle auf einen chinesischen Server und laden von dort ein JavaScript nach, mit dem Besuchern durch das Ausnutzen von Schwachstellen ein Trojaner untergejubelt werden soll. Betroffen sind sogar Seiten von Regierungseinrichtungen wie beispielsweise der Vereinten Nationen (un.org) und von Großbritannien (.gov.uk).

Was sich da mal wieder für geballte sicherheits-kompetenz bei großen staatlichen und überstaatlichen organisazjonen angesammelt hat! Unfassbar! Mit einer simplen "SQL-injection" konnten mal eben große webseits von verbrechern zu schleudern für automatisierte angriffe gegen privatrechner umgemünzt werden. Wer macht bei denen eigentlich die administrazjon des sörvers? Ein praktikant? Manchmal glaube ich, dass jeder müllwerker mehr kwalifikation und ausbildung hat als diese menschen, die sich um die IT-infrastruktur großer staatlicher und zwischenstaatlicher behörden kümmern.

Automatisches kräcken

Das kräcken von fehlerhafter softwäjhr lässt sich prinzipjell automatisieren, indem die kräcker die sicherheits-pätsches analysieren. Natürlich ist das im moment nur eine machbarkeitsstudie, die aber schon "ermutigend" ist. Der letzte große vorteil des konzeptes "closed source", die "security by obscurity" durch den unbekannten kwelltext, ist damit wohl dahin. Zumindest wird er bald dahin sein, wenn diese idee von kräckern ausgenutzt wird. Und das wird wahrscheinlich nicht so lange dauern, da die grundsätzliche vorgehensweise sehr einfach ist.

Datensicherheit in oklahoma

Der folgende text ist nicht von mir, sondern die auszugsweise übelsetzung eines textes von WTF. Die darin beschriebenen zustände sind durchaus typisch für schlampig programmierte anwendungen. Was es für den betroffenen einzelnen bedeuten kann, wenn sein datensatz durch eine sehr einfache manipulazjon verändert wird, kann sich angesichts des gegenwärtigen technokratischen wahnsinnes wohl jeder vorstellen.

Ab jetzt meine teilweise übelsetzung.

Oklahoma legte zehntausende sozjalversicherungsnummern und andere sensitive daten offen

Eine der grundregeln der kompjuterprogrammierung besagt, dass man den eingaben niemals trauen sollte. Dies gilt in besonderer weise, wenn diese eingaben von benutzern kommen, und noch viel mehr, wenn sie aus einer anonymen, allgemeinen öffentlichkeit stammen. Wie es scheint, haben die entwickler in oklahomas abteilung für korrekturen an diesem unterrichtstag geschlafen, und darüber hinaus auch allen gesunden menschenverstand in den wind geschlagen. Es ist nicht nur so, dass den benutzereingaben auf der öffentlich sichtbaren webseit blind vertraut wurde, nein, sie wurden auch noch blind ausgeführt und jedes so erhaltene ergebnis wurde angezeigt.

Als ergebnis dieser unsäglich schlechten programmierung entstanden sehr ernste konsekwenzen: die namen, adressen, sozjalversicherungsnummern von zehntausenden einwohnern oklahomas wurden über einen zeitraum von drei jahren hinweg für jeden öffentlich zugänglich gemacht. Bis gestern, den 13. april 2008, konnte jeder mit einem web-brauser und den kenntnissen aus dem ersten kapitel von „SQL für dummies“ leicht an diese daten gelangen – und sie möglicherweise auch verändern. Ich benötigte eine ganze minute, um herauszukriegen, wie man 10597 vollständige datensätze über die webseit der abteilung für korrekturen herunterlädt.

Wie der titel des letzten bildschirmfotos zeigt, wurden diese datensätze durch das staatliche „register für sexuell und gewalttätig provozierende menschen“ verfügbar gemacht. […]

Der ganze rest der geschichte wird noch haarsträubender. Die URL für die gewöhnliche anzeige enthielt eine vollständige SQL-anweisung, es war ohne weiteres möglich, hier eine andere abfrage zu übergeben. Nachdem der behörde mitteilung gegeben wurde, ging die website eine zeitlang offlein. Und als sie wieder onlein ging, konnte über diesen trick nicht mehr die sozjalversicherungsnummer angezeigt werden. Dies ließ sich allerdings leicht umgehen, da sich in der entsprechenden spalte in der datenbank nur eines geändert hatte: sie begann nun mit einem großbuchstaben. Was für ein zugewinn an sicherheit! Ich will nur noch kotzen, wenn ich sehe, was man dortens für „experten“ beschäftigt. Erst auf energischen hinweis auf den vollen umfang dieses loches wurde abhilfe geschaffen und die wirklich schäbig programmierte webseit verschwand endgültig.

Vielleicht sollten die dort einmal programmierer einstellen, die etwas von ihrem beruf verstehen.

Totgebloggt

Tja, ein dasein als hilfsarbeiter ist für den gelderwerb eben würdevoller und weniger gesundheitsschädlich als der versuch, vom bloggen zu leben, wie man bei telepolis nachlesen kann:

Die neuen Aufmerksamkeitstools von Web 2.0 haben nach einem Artikel der New York Times ihre Kehrseite. So sollen Blogger lange und bis zur Erschöpfung arbeiten, wenn sie Geld oder Aufmerksamkeit als Karrieresprung anvisieren. Da sie mitunter, bezahlt nach Postings wie am Fließband, rund um die Uhr arbeiten müssen, würden auch schon die ersten Todesopfer zu beklagen sein. Tausende, wenn nicht Zehntausende würden wohl in den USA für Geld bloggen und so zu den Informationsarbeitern der “pay-per-click”-Ökonomie gehören.

Hier "entzückt" nicht nur der begriff einer "ökonomie" der kostenpflichtigen klicks, sondern die völlige verzerrung dessen, was ein blog eigentlich ist.

Codezeile des tages

Da sage mir mal einer, dass python nicht seine kranken und kryptischen abgründe habe. Eben ertappte ich mich beim schreiben der folgenden zeile code:

f = lambda s: '(%s)' % (', '.join(["'%s'" % (i, ) for i in s]), )

Grund dafür: aus einzelbuchstaben in einem string wie ‚blah‘ soll eine eingeklammerte liste mit den einzelnen zeichen als strings gemacht werden, also (‚b‘, ‚l‘, ‚a‘, ‚h‘). Diese findet dann als bestanteil einer SQL-anweisung verwendung. Das lambda ist eine etwas seltsame art, kurze funktionen zu definieren, ohne diesen kurzen trick sähe das gleiche so aus…

def f(s): return '(%s)' % (', '.join(["'%s'" % (i, ) for i in s]), )

…und wäre nicht einen deut lesbarer.

Wenn mir noch mal jemand etwas über die tolle und intuitive python-syntax erzählt…

Aprilscherze…

…gelten gemeinhin als harmloses vergnügen, aber was mir heute das rote blog in den fiehd-leser warf, das war vorsätzlich körperverletzend. Zumal auch eine gewisse einheit von inhalt und diesein hergestellt wurde:

Vielleicht sollte es einfach so bleiben, denn wird es gewisse menschen auch weniger zum prollen widerspruch reizen…

Ich blogge hier ja über die mäjhlschnittstelle…

…und finde immer wieder, dass das ziemlich gut funkzjoniert, wenn man nicht gerade bilder einfügen will. Es ist zwar kein richtiges XMLRPC, wie ich es von anderen blogs gewohnt bin, aber es ist ein gangbarer weg.

Und manchmal stelle ich mir merkwürdige und recht kranke fragen.

Zum beispiel ersticke ich gerade mal wieder in mäjhl-spämm. Da frage ich mich, ob ich nicht einfach eine entsprechende weiterleitung auf ein blog bei blogger.com einrichten sollte. Die spämms würden unmittelbar in einem blog erscheinen, der eine vollautomatische sammlung von müll wird. Das wäre nicht nur viel einfacher als das schreiben von texten zum tema, es hätte auch einen gewissen dadaistischen liebreiz. Außerdem könnte dies das erste blog von mir sein, in dem ich werbung einblenden ließe – denn ich wüsste, dass die mein einziges blog ist, das nicht durch werbung entwertet wird.

Aber ich glaube, man macht sich damit keine freunde…