Glorf IT

Auch heute ist die Telekom wieder in den Schlagzeilen: Heute wurde der Vorstand "umgebaut". Herr Obermann räumt auf, will den Laden auf Vordermann bringen. Ich bin ja mal gespannt, wie er das anstellen will. Normalerweise wird derzeit ja das närrische Dreigestirn bemüht (1 – Kosten senken, 2 – Mitarbeiter entlassen bzw. Gehälter kürzen, 3 – Vorstandsbezüge erhöhen).

Aber ich muss offen gestehen, dass die Ideen des neuen T-Chefs in meinen Ohren ganz gut klingen:

"Wir müssen diesen schwierigen Spagat zwischen einem Sparkurs, bei dem wir jeden Cent zwei Mal umdrehen, bevor wir ihn ausgeben, und einer Servicekultur mit hoch motivierten Menschen hinbekommen", sagte Obermann in Bonn.

Aber ich habe es noch nicht erlebt, dass jemand Beides gleichzeitig geschafft hat. Meistens wurde gespart (und das bedeutet doch in Managersprache es wurden "Mitarbeiter freigesetzt") oder der Service wurde verbessert. Ich bin ja schon mal darauf gespannt, wie er das machen will.

Naja, dass der Service verbessert werden kann, kann ich lebhaft bestätigen. Immerhin hatte ich bisher ausschließlich unangenehme Erlebnisse mit T-Mitarbeitern. Hier mal das jüngste Beispiel:

Als wir wochenlang darauf warten mussten bis unser Telefon endlich umgezogen wurde, hatte sich in der neuen Wohnung (hatte vorher schon einen Telefonanschluss, der funktionierte, habe selber mit den Vorbesitzern telefoniert) ein T-Techniker angekündigt, um die Leitung freizuschalten. Zum Glück musst ich an dem Tag arbeiten und meine Frau hat sich um ihn gekümmert. Aus Ihrem Bericht hier eine Kurzfassung. Es sei noch vermerkt, dass wir schon vor dem Umzug kein Telekom-Kunde mehr waren, sondern Kunde der NefKom (regionaler Anbieter) sind.

Er kam, sah den Telekom-Splitter an der T-Dose, zog ihn raus und sagte, der würde nur mit der Telekom funktionieren. Wir sollen doch den Splitter verwenden, den uns unser Anbieter geschickt habe. OK, sogar meine Frau wusste, dass der T-Splitter vor dem Umzug prima mit der NefKom geklappt hat, sagte aber nichts.

Im Keller untersucht er den Anschluss, kam wieder hoch und berichtete, dass die Leitung schon belegt sei. Deswegen müsse er zu den Nachbarn rüber. Das hätte auch schon auf seinem Auftrag gestanden, dass er da vermutlich hin müsste. Leider hatten sie es uns nicht gesagt und unsere Nachbarn sind ebenso nette wie unternehmungslustige Leute. Sie sind fast ebenso oft geschäftlich in D oder F unterwegs wie daheim. Wäre für den T-Techniker ja auch nicht schlimm gewesen, dann wäre er halt nochmal gekommen, hätte nochmal die Gebühr kassiert und dann sein Glück versucht. Aber wir hatten Glück, die Nachbarn waren da.

Das half dem Techniker aber auch nicht weiter. Er musste daraufhin zu irgendeinem Verteiler und konnte das Problem dann dort bereinigen. Was er da genau tat, wird wohl auf ewig sein Geheimnis bleiben. Danach klappte das Telefon endlich.

Da ich nicht da war und auch keinen Einblick in die notwendigen Abläufe beim Freischalten eines vorhandenen Telefonanschlusses habe, kann ich dazu keinen konkreten Verbesserungsvorschlag machen. Aber ich vermute, dass hier Potential für eine Verbesserung des Service ist.

PS: Natürlich funktioniert der T-Splitter auch heute noch prima mit der NefKom…

PPS: Wer mal umziehen will und DSL hat, sollte den Umzug des Telefons wenigstens 6 Wochen vorher beantragen. Dann sollte der Termin von den Telefonfirmen zu schaffen sein. Darin ist eingerechnet, dass wir auf der Formular zuerst nicht angegeben hatten in welchem Zimmer der originale T-Telefonanschluss war. Andere Tricks kannten wir ja schon von der Kündigung bei der Telekom. Bspw. hatte die Telekom die Kündigung damals zunächst abgelehnt, weil nicht wir Beide unterschrieben hatten.

Na prima, da habe ich doch meinen ersten Trojaner entdeckt. Leider habe ich keine Ahnung wie er auf mein System kam. Da ich in letzter Zeit mit ziemlich vielen Programmen rumexperimentiert habe, ist das nicht so genau zu sagen. Vielleicht sollte ich mir mal die "Software Virtualization Solution" von Altiris ansehen, um Software in einer virtualisierten Umgebung zu testen ohne gleich jedesmal eine VM-Ware zu starten.

Gemeinerweise fand ihn mein Virenscanner nicht, auch auf der Virenscanseite von jotti.org erkannte ihn keiner der 15 als Schädling. Lediglich NOD32 merkte aufgrund der heuristichen Analyse an, dass dies möglicherweise ein Schädling sei.

Immerhin hat McAfee aufgrund meiner Einsendung gleich regiert. Im ersten Durchlauf schrieben die AVERT(tm) Labs, Aylesbury, UK bereits am gleichen Tag:

We have examined the file and didn't see anything suspicious. As an additional test, we tried to run it on a test system and observed no
suspicious behaviour.

If you still believe this is a virus or trojan file, please provide more
information on why you feel this is a suspect file.

Es ging um die Datei "C:\WINDOWS\system32\clipboard.exe". Sie behauptete von sich von Microsoft zu stammen, hatte aber eine ziemlich MS-untypische Versionsnummer, gehörte angeblich zu Windows 2000 (ich habe XP) und sei in "China (VR)" hergestellt worden.
Außerdem lief der Prozess permanent und hatte sich in der Registry eingetragen:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"clipboard.exe"="C:\\WINDOWS\\system32\\clipboard.exe"


Nach dem Anmelden startete ein Browserfenster und leitete mich auf eine mir unbekannte Webseite (irgendwas unter www.coolsheep.com, aber die Seite konnte wegen eines JS-Fehlers nicht dargestellt werden). Nach dem Austragen aus dem AutoRun war das Verhalten weg.

Nachdem ich Avert das geschrieben hatte, wurde die Datei als "Generic Backdoor.b" klassifiziert und mir eine neue Signaturdatei zur Verfügung gestellt, die den Schädling einwandfrei identifizierte und löschte. Sie kommt mit dem nächsten Update an alle Kunden. Offenbar hatte ich Glück, weil kein weiterer Schaden entstand…

Auf die Schliche kam ich dem Fießling übrigens mit der Werkzeug HijackThis.

E-Mails aus dem Internet durchlaufen in unserer Firma mehrere Sicherheitsfilter bevor sie uns intern weitergeleitet werden.
Seit ein paar Monaten erhalten wir sogar per Mail eine tägliche Aufstellung mit den rausgefilterten Mails: leider nur die Urzeit, die Absenderadresse und den Rauswurfgrund. Seitdem lese ich jeden Morgen schön brav nach, welche Mails abgewiesen wurden und welche nur verzögert ("greylisting").

Gestern war es tatsächlich mal soweit: zwei Mails von Absendern …@list.windowsitpro.com und …@lists.sqlmag.com wurden möglicherweise zu Unrecht rausgefiltert. Es klingt so als seien das zwei Newsletter gewesen, die ich seit Jahren bekomme. Schade eigentlich. Nachprüfen konnte ich das nicht, denn der Betreff wird beim Rauswurf nicht protokolliert.
Deswegen bat ich unsere Admins darum das zu checken und die Absender ggf. auf eine weiße Liste aufzunehmen.

Jetzt zeigte sich, dass unser Internet-Admin das auch nicht prüfen kann, denn die Mails sind ja schon nicht mehr da. Wech is wech. Er sagte, er selber könne auch nichts machen, weil der verwendete Mail-Server auf einer von uns verwendeten Sperrliste steht.
Deswegen wies mich unser Internet-Admin an, an die Postmaster der Absenders eine Mail zu schreiben. Als sie mit dem Vermerk "unzustellbar" zurückkamen, tröstete er mich damit, dass die Versender es bestimmt selber merken, dass sie auf unserer Sperrliste stehen und sich dann schon melden. Die könnten in ein paar Tagen schon wieder runter sein und in ein paar weiteren wieder drauf, wenn sich genug Leute gegen den Mailserver beschweren.
Ich solle einfach auf den nächsten Newsletter warten und ihnen dann wieder Bescheid geben…

Warum sind solche Sachen immer so mühsam?

oder wie eins zum anderen führt…

In meiner Firma gibt es viele Toiletten. In "unserer" Toilette nebenan sind wir gut dran, denn sie hat Fenster. So kann man nach Erledigung seiner Angelegenheiten ganz einfach unangenehme Nebenwirkungen beseitigen. Unter Fenstern sind in unserer Firma übrigens grundsätzlich Heizkörper angebracht.
Nun war jahrelang zu beobachten, wie in der kühlen Jahreszeit der Heizkörper entweder volle Pulle aufgedreht oder total aus war. Möglicherweise tobte hier von mir unbemerkt ein verbitterter Kampf der Warmsitzer und der Kalthocker. Das sind eben die wirklich wichtigen Dinge im Leben.

Jedenfalls wurden vor etwa 2 Monaten die regelbaren Thermostate gegen nicht verstellbare Exemplare ausgetauscht. Das fand ich sehr amüsant, weil mir da der "Wettstreit" erst richtig bewusst wurde. Eine Diskussion oder Information gab es dazu nicht. Der Aufwand hätte sich vermutlich nicht gelohnt. Seitdem wird also immer geheizt: ein Sieg für die warme Fraktion.
Frische Luft hatten wir dort auch, denn die Fenster waren immer noch die meiste Zeit geöffnet.

Vermutlich deswegen hängt seit letzter Woche ein offizieller Zettel von der Gebäudeverwaltung im WC, dass während der Heizperiode die Fenster nicht geöffnet werden sollen. Jetzt ist es immer noch warm dort, aber von "schön" würde ich nicht mehr reden. Allenfalls Leute mit sehr abgestumpftem Geruchssinn erleichterten sich dort noch gerne.
Es werden noch Wetten angenommen: Ist das jetzt ein neuer Versuch unserer Firma als Dilbert-Vorlage nominiert zu werden oder ist das ein salomonischer Kompromiss?

Heute jedenfalls waren plötzlich wieder alle Fenster geöffnet. In der frischen Luft riecht es jetzt nur noch nach Revolution… 😉

In unserer Firma wird sehr viel wert auf Sicherheit gelegt. Das finde ich gut, denn dadurch haben wir alle großen Viren- und Würmerwellen ausgelassen. Aber irgendwie kann man es auch übertreiben…

Bei uns läuft auf jedem Rechner ein On-Access-Virus-Scan-Programm der auf der Engine von McAfee basiert. Jeder Dateizugriff wird abgefangen und geprüft. Zusätzlich wird über ein Login-Skript überprüft, ob man auch regelmäßig, d.h. wenigstens einmal pro Woche einen vollen Virensuchlauf über alle Platten laufen ließ. War das nicht der Fall, dann wird der Prüflauf morgens nach den Anmelden gleich angestoßen. Wenn man den abbricht, dann wird man von System abgemeldet.
Der billigste Suchlauf dauert bei mir 3 Stunden, wenn alle Dateitypen und alle Archive geprüft werden, dann 5 Stunden. Die Systembelastung ist dadurch recht hoch. Das Developer-Studio brauche ich parallel dazu nicht öffnen…

Daran haben wir uns schon ganz gut gewöhnt, jetzt kam sogar eine neue Version, die auch SpyWare findet, und einen Stick sofort prüft, wenn man ihn ans System steckt. Die neue Version fand bei mir auch gleich drei suspekte Registry-Einträge:

HKEY_CLASSES_ROOT\appid\AtlBrowser.EXE Reg-Ezula(Potenziell unerwünschte Software)
HKEY_CLASSES_ROOT\AtlBrCon.AtlBrCon Reg-Ezula(Potenziell unerwünschte Software)
HKEY_CLASSES_ROOT\AtlBrCon.AtlBrCon.1 Reg-Ezula(Potenziell unerwünschte Software)

Interessanterweise wurde es nur als Warnung ausgegeben. Das Login-Skript kam irgendwie auf den Gedanken, die Prüfung habe ein verseuchtes System gefunden, und hat mich sogleich abgemeldet. Das habe ich aber nicht bemerkt, denn zu dem Zeitpunkt war ich gerade in einer Besprechung. Als ich wieder kam wunderte ich mich, meldete mich erneut an und musste mir anhören, dass ich schon lange nicht mehr geprüft habe und die Prüfung jetzt gestartet wird. Irgendwann nach dem Mittagessen war die Prüfung dann durch und brachte die drei Registry-Einträge. Ich hatte noch genug Zeit, um unseren obersten Virologen eine Mail zu schreiben. Dann wurde ich abgemeldet, weil ich die Prüfung abgebrochen habe. Hm, das war wohl ein ärgerlicher Fehler im Login-Skript. Nach dem nächsten Anmelden bekam ich die Mail, dass ich jetzt aus der Systemprüfung rausgenommen wurde…

Das Pikante daran war, dass diese Einträge überhaupt nicht von einem Schädlingsprogramm erstellt wurden, sondern vom "Microsoft Application Compatibility Analyzer" den ich damals vor der Einführung von Windows 2003 (oder war es vor XP?) installierte, um unsere Anwendungen zu untersuchen. Das fand ich aber erst am nächsten Tag heraus…

Sicherheit ist viel wert.

Unter dem Titel "Dinosaurier (m/w) gesucht" wird bei uns in der internen Stellenausschreibung gerade ein erfahrener Großrechner-Entwickler gesucht mit "langjähriger" Erfahrung.

Einerseits ist das mal ein ermutigender Kontrapunkt (und dann noch aus meiner Firma ) gegen den Jugendkult in der IT-Branche. Andererseits würde ich mich auf so ein Gesuch sicher nicht melden. Mein Kollege Hans sagte es treffend: "Es gehört eine Menge Selbstironie dazu sich auf so eine Anzeige zu melden." Ich persönlich verbinde ausschließlich negative Assoziationen mit der Bezeichnung "Dinosaurier" für Menschen…