Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

31. Mai 2011 um 22:13

Nun wurden auch meine Daten geklaut

Es musste ja einmal so weit kommen… Aber zum Glück habe ich nur eine speziell für Neckermann angelegte Mailadresse angegeben:

Sehr geehrter Gewinnspielteilnehmer,

wir moechten Sie vorsorglich darauf hinweisen, dass neckermann.de
am 26. Mai 2011 einen Hacker-Angriff bei Gewinnspielen
festgestellt hat.

Der Angriff ereignete sich in einem Neben-System. Der Online-Shop
von neckermann.de war nicht betroffen. Von dem kriminellen
Angriff betroffen waren Name, Vorname und die E-Mail Adresse.
Weitere personenbezogene Daten der Gewinnspielteilnehmer wurden
nicht entwendet. Dies hat die umgehend eingeleitete
Sicherheits-Analyse des Angriffs eindeutig ergeben.

Nach Bekanntwerden der Straftat sowie nach umgehenden
Ermittlungen des Tathergangs haben wir die Sicherheit des
angegriffenen Servers wieder hergestellt und zusaetzlich
verstaerkt.

Es kann nicht ausgeschlossen werden, dass auch Sie in Folge des
Hacker-Angriffs unerwuenschte Werbe-E-Mails ("Spam") erhalten.
Wir raten Ihnen, keine E-Mail zu oeffnen, deren Absender Ihnen
nicht bekannt ist.

Bitte beachten Sie:
neckermann.de wird Sie wie bisher auch niemals per E-Mail
auffordern, Ihre Kundendaten zu veraendern oder per E-Mail zu
versenden.

Wir bedauern sehr, falls Sie in Folge dieses Hacker-Angriffs
Unannehmlichkeiten haben, und werden gemeinsam mit den Behoerden
an der Aufklaerung des Angriffs arbeiten. Dazu haben wir
Strafanzeige gegen Unbekannt bei der Staatsanwaltschaft
Frankfurt am Main gestellt.

Hacker-Angriffe kommen im Internetzeitalter weltweit zunehmend
haeufiger vor. Sie richten sich gegen zahlreiche Unternehmen
unterschiedlichster Branchen. Dabei handelt es sich um kriminelle
Handlungen, die strafrechtlich verfolgt werden, unabhaengig
davon, ob umfassende Daten oder – wie in diesem Fall – Vorname,
Name und E-Mail Adresse entwendet wurden.

Nach unserer Auffassung handelt es sich nicht um einen
behoerdlich meldepflichtigen Vorgang, dies haben auch externe
IT-Rechts-Experten bestaetigt. Trotzdem haben wir die zustaendige
Datenschutzbehoerde ueber den Hacker-Angriff informiert.

Unter der kostenlosen Hotline 0800 / 664 69 87 stehen Ihnen bei
Fragen unsere Kundenberater gerne zur Verfuegung.

Mit freundlichen Gruessen

Axxxxxx Bxxxxxx
Ihre Online-Beraterin

Verantwortlich fuer dieses Informations-Mailing ist die
neckermann.de GmbH.

Den Namen habe ich ausgeXt…

Auch Heise.de berichtet mittlerweile darüber:

Berichten zufolge wurden bereits Spammails an die Gewinnspielteilnehmer verschickt. Neckermann.de rät seinen Kunden, keine Mails von unbekannten Absendern zu öffnen. Sobald ein Angreifer jedoch Mails mit gefälschtem Neckermann-Absender verschickt, ist dieser Hinweis nutzlos. Auf diese Weise könnte man sich etwa durch ein als Rechnung getarntes PDF-Dokument mit Schadsoftware infizieren oder Opfer von Phishing werden.

Ich persönlich habe noch keine SPAM-Mail über die bei Neckermann angegebene Mailadresse bekommen. Mal abwarten… 😉

30. Mai 2011 um 19:07

Buchvorstellung: Microsoft TRANSACT-SQL – The Definite Guide

Weil ich in den letzten Wochen ohnehin das Buch "Microsoft TRANSACT-SQL – The Definite Guide" von Jeffrey Garbus, Alvin Chang, Plamen Ratchev und Joe Celko gelesen habe, habe ich auch gleich eine Buchrezension dazu geschrieben. Sie wurde heute in der Juni-Ausgabe des SQL-PASS-Newsletters veröffentlicht.

Wer mag, kann sich auf der Webseite des Verlages eine eigene Meinung über das Buch bilden. Dort ist Google Preview eingebettet und man kann fast das ganze Buch online anschauen. Ich persönlich war enttäuscht. Der Titel und die Beschreibung hatten allerdings auch große Erwartungen geweckt. Für Leute mit fortgeschrittenen Kenntnissen im Performancetuning ist es meiner Ansicht nach eher nicht geeignet, aber durchaus für Einsteiger, die sich mit dem Thema erstmals befassen.

30. Mai 2011 um 19:01

FTP-Passwörter in FileZilla

Auf meiner Suche nach gespeicherten Passwörtern fand ich Schockierendes in FileZilla. Hier werden sämtliche Passwörter der gespeicherten Sessions im Klartext in der Datei %APPDATA%\FileZilla\sitemanager.xml gespeichert.

Man kann das Programm immerhin im sicheren Modus betreiben. Das wird aber offenbar eher als Problem gesehen. Unter Tipps und Tricks steht bspw. unter "Tipp 3":

Problem: In der "Seitenverwaltung" bietet FileZilla auf Ihrem PC unter Umständen nur ein ausgegrautes Passwort-Eingabefeld an, Sie können keine Passwörter speichern und müssen das Passwort bei der Herstellung jeder FTP-Verbindung erneut eingeben.

Ursache: Offensichtlich haben Sie das Programm im "Security Mode" (sicheren Modus verwenden) installiert. Dann sind die Passwörter für den Benutzer nicht auf dem PC abspeicherbar.

So geht es nicht: Registry-Hack oder Installationsoptionen

Leider half die dort beschriebene Methode nicht im umgekehrten Fall: Ich will den sicheren Modus verwenden, damit keine Passwörter mehr gespeichert werden. Das Setzen der genannten Registry-Keys brachte keinen Erfolg.

Auch die Deinstallation mit anschließender Neuinstallation brachte nichts (außer zwei erzwungenen Reboots): Die Passwörter wurden weiterhin gespeichert. Ich wurde bei einer Neuinstallation nicht nach dem "Secure mode" gefragt.

So aber: Config-Datei

Wenn man hingegen im Programmverzeichnis (z.B. "C:\Program Files (x86)\FileZilla FTP Client") aus dem Unterverzeichnis "Docs" die Datei "fzdefaults.xml.example" eine Verzeichnisebene höher kopiert und in "fzdefaults.xml" umbenennt, dann kann man die Datei editieren, dass sie so aussieht:
<FileZilla3>
<Settings>
<Setting name="Config Location">%APPDATA%/filezilla/</Setting>
<Setting name="Kiosk mode">1</Setting>
<Setting name="Disable update check">0</Setting>
</Settings>
</FileZilla3>

Danach muss man noch die Sessions-Datei verändern (%APPDATA%\FileZilla\sitemanager.xml):

  • Zuerst muss man alle dort gespeicherten Passwort-Einträge löschen (<pass>…</pass>),
  • danach muss man den Passwort-Modus auf "nach Passwort fragen" ändern: "<Logontype>2</Logontype>"

Unter "Bearbeiten –> persönliche Daten löschen" kann man statt dessen auch alle gespeicherten Sessions löschen und die Daten dann neu eingeben (ohne Passwort).

Alles Vertrauenssache

Wenn man sich das nächste Mal verbindet, muss man das Passwort eingeben und wird gefragt, ob man es speichern möchte (der Haken ist leider zuerst gesetzt und muss entfernt werden). Wenn man dann "Passwort speichern" sagt, dann kommt keine Fehlermeldung. Man muss also davon ausgehen das Speichern habe geklappt. Tatsächlich wurde es bei mir aber nicht gespeichert. Das verunsicherte mich schon. Ich würde mir wünschen, dass die Auswahl im Kiosk-Mode gar nicht erst angeboten wird. Leider sieht man nirgends, ob die Software im Kiosk-Mode gestartet wurde und dementsprechend Passwörter gespeichert werden oder nicht. Offenbar wurde die Sicherheit nicht wirklich verinnerlicht.

Wenn man darauf vertraut, dass der Kiosk-Mode in den zukünftigen Versionen noch genauso funktioniert, dann kann man sich schon etwas sicherer fühlen. Leider sind so weiterhin die Server- und Benutzernamen im Klartext lesbar, aber immerhin nicht mehr die Passwörter. Schade, dass kein Master-Passwort zur Verschlüsselung der Daten angeboten wird.

Ein Entwickler meinte in einem Forum das sei Aufgabe des Betriebssystems und man solle die Dateiverschlüsselung von Windows Professional verwenden. Offenbar geht er davon aus man wolle sich davor schützen, dass andere Benutzer des gleichen Computers die Daten lesen. Da denen die Rechte auf mein Benutzerverzeichnis fehlen, geht das ohnehin nicht. Leider übersieht er, dass alle Prozesse, die in meinem Benutzerkontext laufen, die Dateien dann trotzdem lesen können, Z.B. gekidnappte Anwendungen/Browser/ActiveX-Controls oder echte Schadsoftware (Trojaner etc.). Das nutzt also nichts und wird unter Windows Home/Starter etc. ohnehin nicht angeboten.

29. Mai 2011 um 19:50

FTP-Passwörter in BeyondCompare2

Auf meiner Suche nach gespeicherten Passwörtern kam ich auch bei BeyondCompare2 vorbei. Das verwende ich, um die Webseiteninhalte auf Dateiebene mit dem Stand auf meinem PC zu synchronisieren. So habe ich immer ein aktuelles Backup, bemerke Änderungen von anderen (z.B. den Hackerangriff von neulich oder Änderungen von den anderen Admins) und kann problemlos Updates aufspielen. 30$, die sich lohnten. Ich sollte mal einen Upgrade bestellen, bin aber eigentlich ganz zufrieden mit Version 2.

Bei BeyondCompare2 werden Passwörter für hinterlegte Sessions in der Registry gespeichert: HKEY_CURRENT_USER\Software\Scooter Software\Beyond Compare\FTP\Passwords. Sie sind zwar nicht im Klartext gespeichert aber nur mit XOR "verschleiert".

Scooter-Software geht damit recht offen um, hier ist eine Beschreibung, wie man das Speichern umgehen kann:

To clear saved passwords, select Tools|Options. Go to the FTP > Firewall / Proxy section. Click the "Clear Passwords" button.

If you enter an FTP path directly using the form ftp://userass@server/, BC will automatically save the password.

If you enter a username and password in the FTP browse dialog, it will also save the password.

If you enter a URL without a password, such as ftp://user@server/, or if you only enter a username in the FTP browse dialog, BC will prompt you for a password. The "Enter Password" dialog has a "save password" check box. If you leave this unchecked, it won't save your password.

Der Knopf "Clear Password" hat bei mir funktioniert. Danach war alles leer. Wenn ich danach eine Verbindung aufbaue, dann werde ich nach dem Passwort gefragt und kann ich bei "Save Password" den Haken entfernen. Erfreulicherweise merkt der Dialog sich die Einstellung und ich muss den Haken nie wieder entfernen…

28. Mai 2011 um 10:40

Umgang mit Passwörtern

Neulich berichtete ich von einem Hackerangriff auf unsere Webseite Fairlangen.org, sie dient zum Informationsaustausch zu fair gehandelten Produkten in Erlangen und Umgebung. Bisher konnten wir nicht klären, wie der Angreifer an das Passwort kam. Daher steht zu vermuten, dass es entweder über eine Lücke von unserem Provider abgesaugt wurde (hier werden die Passwörter nicht nur als Hash gespeichert) oder über den Rechner eines der Admins. Da es keine Anzeichen für einen massenweisen Hack der Webseiten unseres Providers All-inkl.com gibt, müssen wir wohl von letzterer Möglichkeit ausgehen.

Daher machten wir uns auf die Suche nach Stellen an denen die Passwörter leicht lesbar gespeichert werden. Hilfreich war hier der Artikel Sesam, öffne Dich nicht – Sicherheit von Passwörtern in Theorie und Praxis. (Für Nicht-Abonnenten kostet der Download €1,50. Das lohnt sich auf jeden Fall. Wem das zu viel ist, kann in der örtlichen Bibliothek in der Zeitschrift ct, Heft 2/2011, Seite 150, nachlesen. )
Die Idee der Passwortmethodik gefällt mir sehr gut und wird von mir zukünftig eingesetzt. Natürlich nicht die dort Beschriebene… 😉 Eine gute Alternative finde ich einen Passwort-Safe, z.B. leistet mir Keepass seit Jahren gute Dienste.

Passwörter im Browser verschlüsselt speichern

Außerdem habe ich sofort ein Master-Passwort für meinen Browser vergeben, damit die gespeicherten Passwörter nicht mehr im Klartext ausgelesen werden können…

  • Bei Firefox geht das ganz leicht über Einstellungen -> Sicherheit: Haken bei "Master-Passwort verwenden". Jetzt werden die Passwörter nur noch verschlüsselt gespeichert und können nicht mehr einfach ausgespäht werden…
  • Bei Opera ist das etwas komplizierter: Preferences -> Advanced -> Security: "Set Master Password" und dann einen Haken bei "Use master password to protect saved passwords"
  • Beim Internet Explorer 9 gelang es mir nicht die gespeicherten Passwörter irgendwie zu schützen. Hier kann man nur löschen und danach nichts mehr speichern: Extras–>Internetoptionen–>Inhalte–>Autovervollständigen–>Einstellungen–>Verlauf von Autovervollständigen löschen (man wird gefragt, was alles gelöscht werden soll).

Immer wenn ich herausfinde, wie es um FTP-Programme oder dergleichen steht, dann stelle ich die Info dazu ebenfalls online.

25. Mai 2011 um 21:54

Tracking leicht gemacht

In letzter Zeit häufen sich die Webseiten bei denen ich kleine Teile der Webseite nicht richtig sehe: Immer wenn IFrames von fremden Seiten eingebettet werden, z.B. bei Spiegel.de. Meistens handelt es sich dabei um Facebook. Im Bild rechts kann man ganz gut sehen, dass ein IFrame geladen wird mit der Adresse der aktuell besuchten Webseite. Wäre das bei mir nicht blockiert, dann würde dank Cockies durchaus noch mehr passieren. Was dabei genau passiert wird in dem Heise-Artikel "Das Like-Problem – Was Facebooks Gefällt-Mir-Buttons verraten" ganz gut beschrieben. Hier ein Auszug:

Dabei sendet der Browser an Facebook unter anderem als Referer die URL der gerade geöffneten Spiegel-Seite. Außerdem schickt er dem Facebook-Server auch das von ihm bereits früher gesetzte Cookie. Ist der Anwender gerade in einem anderen Fenster bei Facebook angemeldet, enthält das seine Sitzungs-ID. Damit kann Facebook diesen Aufruf der Spiegel-Seite einer konkreten Person zu ordnen.

Konkret kann Facebook also während Sie dort angemeldet sind beobachten, welche Web-Seiten Sie aufrufen, sofern diese einen solchen Like-Button enthalten. Angesichts des Erfolgs des sozialen Netzwerks nimmt deren Zahl ständig zu. Und anders als Statistik-Server wie Google Analytics, die IVW oder auch die Server von Anzeigen-Dienstleistern, die mit anonymisierten Daten oder schlimmstenfalls IP-Adressen arbeiten, kann Facebook diese Daten direkt mit einer realen Person verknüpfen, deren Adresse und Freunde es kennt.[…]

Das mit dem Like-Button war schon eine schlaue Idee von Facebook…

24. Mai 2011 um 21:46

Zug hüpft um Strommast herum

Wenigstens könnte man das denken, wenn man in Nürnberg an der S-Bahn-Haltestelle Rothenburger-Straße Richtung Innenstadt auf die alte Bahntrasse schaut. Der Bahnhof wurde vor kurzem wieder eröffnet und man kann ganz gut sehen was da rund herum so los ist. Beispielsweise im Norden kann man zwischen vielen alten Gleisen zunächst ein neues Schotterbett sehen, mit neuen Bahnschwellen, aber noch ohne Schienen, sie liegen schon daneben bereit. Aber sie können offenbar nicht eingebaut werden, weil genau auf der Trasse auch ein neuer Strommast errichtet wurde. Als mir das heute klar wurde, konnte ich es zuerst gar nicht glauben, was ich sah…

Hier das Foto in groß.

24. Mai 2011 um 19:39

Windows 8 noch in 2012

Nun ist es also offiziell: Steve Ballmer kündigte Windows 8 offiziell für 2012 an. Das bedeutet auch, dass Nutzer von SQL Server 2000 oder SQL Server 2005 langsam auf eine neuere Version umsteigen müssen. Genauso wenig wie SQL Server 2000 auf Windows Vista, Windows 7 bzw. Windows Server 2008 unterstützt ist, wird wohl der SQL Server 2005 auch nicht unter Windows 8 unterstützt werden. Eigentlich schade, denn SQL Server 2000 ist noch bis April 2013 im Extended-Support, SQL Server 2005 noch bis April 2016.

Details zu Windows 8 finden sich im Golem-Artikel "Microsoft: Steve Ballmer kündigt Windows 8 offiziell an". Infos zum Support-Life-Cycle hier.

21. Mai 2011 um 23:38

Unterschied zwischen gut gemeint und gut gemacht…

Ob sich der Star-Trek-Fan gefreut hat der diese Torte bekam?
Starprise Entership

15. Mai 2011 um 18:48

Admin-Passwort bei Windows 7 vergessen

Zur Vorbereitung der MySQL-Schulung im letzten Jahr erstellte ich eine VM mit Windows 7. Weil ich nirgends das Passwort notierte, hatte ich heute einen guten Anlass auch für Windows-7 mal das Tool "Offline NT Password & Registry Editor" auszuprobieren. Ich kannte es bisher nur für Windows 2000 und XP. Da klappte es prima.

Einfach von den ISO-Image "Offline NT Password & Registry Editor" oder einem USB-Stick booten und der Anleitung folgen. Wer den Ablauf einmal trocken sehen will, der findet hier eine schön bebilderte Beschreibung.

Um Angreifern den Zugang remote zu erschweren lohnt sich m.E. ein Passwort übrigens unbedingt. Selbst wenn man es bei physischen Zugriff leicht entfernen kann…

14. Mai 2011 um 20:52

persönliche Engelsbotschaften bei Ebay

Zufällig sah ich heute, dass bei EBay unter der Rubrik Software persönliche Engelbotschaften ersteigern kann. Das Angebot erscheint mir etwas fragwürdig…

14. Mai 2011 um 12:13

Wie viel darf Sicherheit kosten?

Auf die Frage wie viel man für die Sicherheit ausgeben darf gibt es offenbar keine richtige Antwort: "so viel wie nötig" ist eben auch nicht wirklich hilfreich. Daher hat mich der Spiegel-Artikel "Umstrittenes Bauwerk – Riesenmauer rettete japanisches Dorf vor Tsunami" schon beeindruckt. Gegen viele Widerstände drückte ein Bürgermeister ein riesen Bauwerk durch, was sich so gerade als groß genug entpuppte.

Der letzte Satz des Artikels hat mich berührt:

"Auch wenn es Widerstand gibt, habt Vertrauen und beendet, was Ihr begonnen habt", sagte er bei seiner Verabschiedung zu den Angestellten. "Am Ende werden die Leute verstehen."

Lange nach seinem Tod ist er plötzlich der Held der Stadt. Hier kann man die erwähnte Mauer sehen.