Frost on a roof

Blog.Archive

Bild Nummer 37

Das Wochenende verbrachte ich mit dem Sortieren der Fotonegative, die sich als Relikt aus meiner Analogfilmära seit 1996 angesammelt hatten. Dabei fiel mir auf, dass im Labor Negativstreifen aneinander geklebt werden, vermutlich damit sie als ein langer Film durch die Maschine gezogen werden können. Nach dem Entwickeln werden die Negative dann in kurze Abschnitte aufgeteilt und eingetütet. Das Filmende wird jedoch nicht am Klebestreifen durchtrennt, sondern kurz davor. Man findet in seiner Negativtasche also stets noch ein paar Millimeter vom benachbarten Filmstreifen.

An sich ist das kein Thema, wenn da nicht manche Kameras wären, die auf einen 36-er Film noch ein 37. Bild quetschen. Meistens geht das gut, und man findet dann tatsächlich 37 Abzüge in der Fototasche. Manchmal wird der Film aber auch am Bild 37 jäh mit dem nächsten Film verklebt, und schon wandern ein paar Millimeter jenes Bildes in die Negativtasche eines Fremden.

Das hier sind die Bilder, die ich auf diese Weise gefunden habe:

Ein großer Teil des Bildes wird vom Klebestreifen verborgen. Wenn man den Kleber rückstandslos entfernen könnte, könnte man sogar noch deutlich mehr sehen.

PHP-Angriff von EviLuTz

Gestern hat ein netter Zeitgenosse offenbar versucht, meine Websites zu hacken. Er klapperte auf gut Glück eine Liste von über 700 URLs ab, die alle versuchen, die URL http://glendalehills.am/photo.gif? einzubinden. Hierbei handelt es sich nicht um ein Bild, sondern um ein simples PHP-Script:

<?php
echo ("EviLuTz hacked you");
?>

Der Sinn hinter dieser Aktion wird sein, die angegriffenen Server auf ein bei Hackern sehr beliebtes PHP-“Feature” abzuklopfen. PHP erlaubt es beim include()-Kommando, URLs anzugeben, die PHP dann artig vom externen Server nachlädt und einfach mal ausführt. Idiotischerweise ist diese Funktionalität per Default erlaubt, und kann auch erst seit PHP 5.2.0 gezielt abgeschaltet werden. Wenn man nun einen Parameter ungeprüft übernimmt und in das include() füttert, um normalerweise eine lokale PHP-Datei einzubinden, ist die Sicherheitslücke auch schon da. Leider tappen viele PHP-Entwickler in diese Falle. Vermutlich auch, weil dieses Feature erst irgendwann nachträglich dazukam. Andererseits dürfen Parameter, die vom Besucher der Site kommen, sowieso niemals ungeprüft verwendet werden.

Aber zurück zum Thema: Wenn der Angreifer nach dem Aufruf eine Seite zurückbekommt, in der der Text “EviLuTz hacked you” enthalten ist, weiß er, dass die Site angreifbar ist. Ob er dann sofort ein Hack-Script nachschiebt oder erst mal nur die Server sondiert, kann ich nicht sagen.

Der Angriff ging gegen mehrere Domains, aber immer von der IP 91.121.31.184 aus. Sie gehört offenbar einem dedizierten Server eines französischen ISPs. Auffällig ist auch der User-Agent, der mit der Anfrage mitgeschickt wird: “Toata dragostea mea pentru diavola” (laut Google-Übersetzer ist das Rumänisch für “Alle meine Liebe für den Teufel”).

Die Domain glendalehills.am gehört laut Whois seit 2005 der Firma “Glandale Hills” (sic!) in Armenien.

Als schnelle Gegenmaßnahme empfiehlt sich, die IP und/oder den User-Agent zu sperren. Auf jeden Fall sollte bei PHP außerdem allow_url_include abgeschaltet werden, um sich generell gegen diese Angriffe zu wehren. (Leider erfordert manche PHP-Software dieses Feature, zum Beispiel um externe Plugins nachzuladen.) Und der übliche Rat: Wikis, Foren, CMSe und weitere Software, die auf PHP aufsetzt, sollten immer auf einem möglichst aktuellen Stand gehalten werden.

PS: allow_url_include = Off stoppt nur die schlimmste Möglichkeit, nämlich dass fremde PHP-Scripte auf dem eigenen Server ausgeführt werden. Wenn die verwendete PHP-Software aber grundsätzlich anfällig ist (also HTTP-Parameter ungeprüft included), ist weiterhin eine gefährliche Sicherheitslücke offen, da darüber auch lokale Dateien gelesen oder zum Beispiel Administrations-Skripte aufgerufen werden können.

Der Datensauger

Was macht man mit selbstgebrannten CDs, wenn man sie nicht mehr braucht? Zum Wegwerfen sind sie an sich viel zu schade. Der Trägerkunststoff ist hochwertig und kann gut recycelt werden. Eine CD gehört deshalb nicht in den Restmüll. Und in den Gelben Sack schon gar nicht! Mittlerweile nehmen viele kommunale Müllsammelstellen CDs an und führen sie dem Recycling zu.

Bleibt nur ein zweites Problem: Wie bekommt man die Daten von der CD wieder herunter? Wenn es sensible personenbezogene Daten sind, hilft eigentlich nur eines: Die CDs müssen dann mit einem Spezialschredder in kleine Partikel zerschnippselt werden.

Eine Methode, die im Internet kursiert, ist die Bestrahlung der CD in einer Mikrowelle für wenige Sekunden. Allerdings werden dabei giftige Gase freigesetzt, außerdem kann ein Feuer entstehen oder die Mikrowelle dabei zerstört werden. Die Methode Mikrowelle kommt also keinesfalls in Frage.

Ich habe eben zufällig eine Methode gefunden, die sauber ist und zumindest den einfachen Datenvoyeur von nicht ganz so sensiblen Daten fernhalten kann. Man braucht dazu nur ein Cuttermesser und ein Gerät, das man in jedem Haushalt finden sollte: einen Staubsauger.

Continue reading...
Wie man den Belkin SurgeMaster anschließt

Da mich die Frage in letzter Zeit häufiger erreicht, schreibe ich hier mal eine Antwort für alle. 😀

Das Gerät

Der Belkin SurgeMaster Maximum verspricht neben dem Schutz von Elektrogeräten gegen Überspannung auch den Schutz für Telefon und Netzwerk. Auf dem Karton ist sogar ausdrücklich “DSL Schutz” erwähnt. Außerdem beinhaltet das Paket eine Garantie, die dann greift, wenn ein korrekt angeschlossenes Gerät dennoch durch eine Überspannung gegrillt wird.

Ich habe mich vor allem wegen dem ausdrücklichen DSL-Schutz für den SurgeMaster entschieden. Der ist nämlich nicht selbstverständlich. Ein anderer Anbieter teilte mir mit, dass deren Schutzstecker wegen der Filterwirkung nicht für DSL geeignet sei.

Das Problem

Beim Auspacken kam dann die Ernüchterung. Die “Anleitung” bestand aus einem kopierten A4-Zettel, auf dem von DSL auf einmal keine Rede mehr war. Und als Telefonkabel war ein Kabel beigelegt, das an beiden Enden einen so genantnen Westernstecker hat. In Deutschland werden aber TAE-Stecker verwendet. Damit ist der SurgeMaster, so wie er ausgeliefert wird, an sich nicht für den deutschen Markt geeignet.

Auf Anfrage bestätigt mir der Belkin-Support immerhin schon mal, dass der Surgemaster zwischen Telefondose und Splitter geschaltet wird.

Das Anschließen wäre damit aus technischer Sicht nicht mehr das Problem. Es würde reichen, das bereits vorhandene Kabel von der Telefondose zum Splitter aufzutrennen und zwei RJ-11-Stecker anzuklemmen. Die Kunststoffstecker kosten nur ein paar Cent. Die Klemmzange ist teurer, aber die könnte man sich auch ausleihen oder einen Elektronik-Fachhändler fragen, ob er die Stecker für eine Spende in die Kaffeekasse aufklemmt.

Es geht aber um das korrekte Anschließen im juristischen Sinne, denn immerhin will man von Belkin gleich ein paar tausend Euro haben, wenn trotzdem ein Blitz den Computer und die Heimkinoanlage zerstört. Eine selbst gebaute Verkabelung führt möglicherweise dazu, dass Belkin die Garantieleistung verweigern wird. Aus dem Grund kam für mich die einfache Lösung nicht in Frage.

Die Lösung

Vorab: Ich gehe davon aus, dass die Verwendung handelsüblicher Adapter nicht zum Erlöschen der Garantie führt. Irgendwie muss man das Gerät ja anschließen, um die auf dem Karton beworbenen Eigenschaften auch nutzen zu können. Das ist allerdings meine persönliche Meinung. Wenn du deinen SurgeMaster ebenfalls so verkabelst, machst du das auf eigenes Risiko. Im Zweifelsfall solltest du vorher Belkin und/oder einen Anwalt konsultieren.

Das Anschließen des SurgeMaster an die Telefondose ist noch relativ einfach. In fast jedem Elektronikhandel gibt es Adapter von TAE-F-Stecker auf RJ-11-Buchse. Die braucht man zum Beispiel, um ein Notebook ans Telefonnetz anzuschließen. Diesen Adapter steckt man in die Telefondose, daran dann das beim SurgeMaster mitgelieferte Telefonkabel. Das andere Ende steckt man in den Telefoneingang des SurgeMaster.

Schwieriger ist es aber, den Splitter an den Ausgang anzuschließen. Ein Kabel mit RJ-11 auf der einen und dem am Splitter verwendeten DEC-Typ-Stecker auf der anderen Seite habe ich beim besten Willen nicht finden können. Nach langer Suche konnte ich wenigstens einen fertigen Adapter von RJ-11-Stecker auf TAE-Buchse bei einem MediMax auftreiben. Er wird an den Telefonausgang des SurgeMaster gesteckt. An die TAE-Buchse wird dann der TAE-Stecker des Splitters eingesteckt.

Fertig ist die Konstruktion. Und trotz der vielen Zwischenstecker und Überspannungsfilter funktioniert sie bei mir selbst mit ADSL2 und 18MBit/s noch tadellos.

Ich durfte dafür aber mehrere Tage herumsuchen und für die Adapter noch zusätzlich 12 Euro zahlen. Die Tatsache, dass ich gut zwei Jahre später immer noch Anfragen zum Anschluss kriege, zeigt mir, dass Belkin das Problem zwischenzeitlich nicht behoben hat. Eigentlich ist das eine Unverschämtheit.

To see what condition my Exim was in...

Es war wie verhext. Mein Mailserver arbeitete soweit einwandfrei, der Server war nicht überlastet, die meisten Mails kamen auch problemlos durch, und doch...

Und doch gab es Probleme. Manche Absender beschwerten sich, dass es ziemlich lange dauert, bis mein Mailserver eine E-Mail annimmt. Bei wenigen lieferte deren Mailserver sogar einen Bounce, dass mein Mailserver gerade nicht erreichbar sei und es noch ein paar Stunden lang probiert werden würde. Die Mail kam dann erst Stunden später bei mir an.

Des Rätsels Lösung ist eine RFC1413-konforme Voreinstellung vom Exim. Der schickt nämlich bei jeder Anfrage erst mal eine “ident”-Anfrage an den Absender zurück. Und je nachdem, wie dicht die Firewall des Absenders ist, wird diese Anfrage verworfen und nie beantwortet. Der Exim wartet dann erst mal 30 Sekunden lang, bevor er dem Absender überhaupt seine Aufmerksamkeit schenkt.

Bei manchen Absendern war der MTA wiederum so eingestellt, dass er bereits nach weniger als 30 Sekunden ohne Lebenszeichen von meinem Server aufgibt und die E-Mail später zuzustellen versucht.

Die maßgebliche Option in der exim.conf lautet "rfc1413_query_timeout". Dieser ist auf 30 Sekunden voreingestellt. Folgende Zeile schaltet die ident-Rückfrage ganz aus:

rfc1413_query_timeout = 0s

Seitdem läuft mein Mailserver endlich reibungslos.

Technisch gesehen lag die Ursache nicht wirklich an meinem Server, sondern an der Firewall des Absenders. Dort sollte wenigstens ein Fake-Identd-Service laufen, oder eine Verbindungsanfrage an Port 113 nicht einfach verworfen, sondern zurückgewiesen werden.

Die ident-Anfrage ist nicht wirklich sinnlos. Sie ermöglicht es in manchen Fällen, den wahren Absender einer E-Mail zu ermitteln. Wer das Feature also behalten möchte, kann auch einen kleineren Wert wie “10s” oder “1s” einstellen.