netz-guru blog

Als ich heute versucht habe, eine Mail an einen unserer Kunden zu schicken, staunte ich nicht schlecht als die Mail gebounced wurde. Unsere Mailserver seien angeblich SPAM-Schleudern und wurden mittel Barracuda Reputation geblockt. Folgt man dem angegebenen Link, kann man dann eine Anfrage stellen, den Mailserver aus der RBL entfernen zu lassen – das dauert dann (angeblich) bis zu 12 Stunden. Alternativ kann man sich bei emailreg.org einen Account anlegen um dort die IPs des Mailservers auf eine Whitelist setzen zu lassen – dass das Ganze dann 20 US $ Kosten soll, erfährt man erst wenn man sich einen Account angelegt hat – eine Unverschämtheit wie ich finde.

Dazu kommt noch dass der Aufwand die Mailserver dort aus deren RBL zu delisten bei einem Cluster mit vielen Mailservern enorm steigen kann. Man muss sich ja immer durch irgendwelche Forms mit Captchas durchhangeln – auf ein Feedback seitens Baracuda Central wartet man wohl vergeblich.

Ich kann nicht nachvollziehen, warum einige Mailserver-Admins der Meinung sind, dieses perverse System unterstützen zu müssen. Der Ärger mit Kunden die keine Mails zustellen können und der Aufwand whitelists zu Pflegen stehen doch in diesem Falle in keinem Verhältnis mehr. Dazu kommt noch, dass sich SPAM auch sehr effizient mit den üblichen Opensource-Lösungen wie dspam, spamassassin, diversen Filterlisten wie SpamCop und Spamhaus, amavisd, Greylisting etc filtern lässt.

Aber eine gute Geschäftsidee wäre es schon, einfach mal eine Blacklist aufzubauen, alles erst mal zu Blacklisten, für das Whitelisting Geld zu verlangen und dann irgendwelche Marketingmenschen in größeren Unternehmen dieses System als innovativ zu verkaufen und nochmals die Hand aufzuhalten. Dieser Gedanke könnte einem zumindest in den Sinn kommen, liest man sich diverse Foren im Netz durch.

Einfach nur frustrierend…

UPDATE:

http://packetstormsecurity.org/papers/evaluation/Barracuda_Evil.txt bestätigt meinen Verdacht, dass das Barracuda Zeug einfach nur Müll ist…

Seit ein paar Tagen bietet Google öffntliche DNS Recurser für jedermann an. Behauptet wird zudem, dass Googles DNS Services schneller seien als die vom ISP zugeteilten DNS Server. Ich kann dazu nur sagen, dass ich persönlich es für einen großen Fehler halte, die DNS Server von Google zu verwenden, denn zum einen kann man nicht wissen, was Google mit den DNS Anfragen der User so treibt (damit lässt sich zumindest leicht nachvollziehen, auf welche Seiten ein User so surft), zum anderen wage ich es zu bezweifeln, dass Googles DNS Server wirklich schneller sind als z.B. ein lokal laufender Nameserver auf einem Router, bzw die Nameserver welche der ISP selbst vorgibt. Hier kann man zwar auch nicht wissen, ob seitens des ISP gefiltert wird, aber wenn man sich in dieser Hinsicht gedanken macht, bleibt einem sowieso nur das Betreiben eigener Nameserver und Recursor.

Ein Test mit Namebench bestätigt, dass lokale Nameserver nicht langsamer sind als die von Google angepriesenen Services. Vereinzelt ist Google schneller, da Google natürlich sämtliche Anfragen von Usern cachen kann, während man lokal jedoch meist nicht so viele Seiten besucht und die Wahrscheinlichkeit eines Cachelookups dadurch natürlich sinkt.

Aus Datenschutzgründen sollte man die Nameserver von Google meiner Meinung nach nicht verwenden, selbst wenn ein Lookup 20ms schneller erfolgen sollte, als mit einem vom ISP zugewiesen Nameserver – diese 20ms fallen beim Surfen meist sowieso nicht auf.

Hier nochmal die Auswertung von Namebench für meinen lokalen Nameserver, meinen Nameserver in unserem RZ in Nürnberg sowie als Vergleich Googles Nameserver:

http://www.netz-guru.de/downloads/namebench_2009-12-05_2018.html

Es erscheint auch logisch, warum der lokale Nameserver schneller Antworten kann als ein Nameserver aus einem entfernten Netz – das liegt einfach an den Latenzen der Paketlaufzeiten zu den einezelnen Servern. Lokal hat man hier meist unter 0,1ms, während es bei DSL mindestens 10-20ms dauert, vorrausgesetzt das ist der Nameserver des ISP. Zu Googles Nameserver habe ich schon mal allein 110ms Latenz – da ist der eigentliche Request und die Zeit die das dauert bis ich eine Response bekomme noch nicht mitgerechnet.

Fazit: Finger weg von Googles DNS Services!

Wer den postfix-policyd auf einem Mailserver Cluster einsetzen möchte, der bekommt zumindest mit einer Mysql-Cluster-Datenbank als Backend Probleme, denn NDBCluster unterstüzt kein “Insert delayed” Syntax.

Deshalb hier ein kleiner Patch, der den aktuellen source von debian lenny (postfix-policyd-1.80) patched, damit postfix-policyd keine delayed inserts mehr macht und einwandfrei mit Mysql-NDB-Cluster funktioniert.

postfix-policyd-1.80_mysqlndb.patch

Installiert wird das Ganze mit:

apt-get source postfix-policyd

wget http://www.netz-guru.de/wp-content/uploads/2009/08/postfix-policyd-1.80_mysqlndb.patch.txt

patch -p0 <postfix-policyd-1.80_mysqlndb.patch.txt

cd postfix-policyd-1.80

dpkg-buildpackage  -uc -b

Am Freitag, den 17.04.2009 war es dann soweit. Die fünf größten Internet-Provider in Deutschland (www.t-online.de, www.arcor.de / www.vodafone.de, www.alice.de, www.kabel-deutschland.de und www.o2online.de / www.telefonica.de) haben einen Vertrag mit dem BKA unterzeichnet, in dem sie sich dazu bereit erklären, vom BKA gelieferte Listen von Domains über DNS-basierte Filter zu sperren.

Abgesehen davon, dass die Sperren an sich schon fraglich sind, da die Sperren gegen Artikel 5 GG verstossen, in dem es ausdrücklich heisst:

“(1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.“

haben die Sperren auch nicht die Wirkung, Kinderpornographie zu unterbinden, Kindesmisshandlungen oder Vergewaltigung zu verhindern, oder in sonst irgend einer Weise etwas auszurichten, außer dem BKA die Möglichkeit zu geben, willkürlich Seiten im Internet zu filtern. Willkürlich deshalb, weil diese Filterlisten “geheim” gehalten werden sollen, und weil es keine Möglichkeit der Kontrolle durch die Öffentlichkeit gibt. So können ebenfalls Webseiten unliebsamer Kritiker oder politischer Gegner gefiltert werden, ohne dass hierbei eine regulierende Instanz notfalls einschreiten könnte. Außerdem stellt sich die Frage, ob es nicht an sich schon strafbar ist, dass das BKA eine solche Liste weitergibt.

Was einem auch zu Denken geben sollte ist der Umstand, dass wenn eben eine solche Liste existiert auf der Webseiten erfasst sind, welche strafrechtlich relevantes Material verbreiten, warum denn dann die Strafverfolgungsbehörden nicht einfach die Provider anschreiben, in letzter Instanz die Server beschlagnahmen und den Geldfluss zu den eigentlichen Tätern zurückverfolgen.

Weiterhin ist es problematisch, über das DNS zu filtern, wenn man sich folgendes Szenario einmal vorstellt:

Angenommen, man möchte einen Konkurrenten im Internet ausschalten – man bräuchte nur einige anfällige Nameserver mittels DNS-Cache Poisoning mit IP-Adressen von Webseiten füttern, welche strafrechtlich relevantes Material anbieten und dann entweder abwarten, bis die Domain des Konkurrenten auf der Sperrliste des BKA landet, oder eben selbst nachhelfen, in dem man anonym die entsprechende Seite meldet.

Abgesehen davon ist es ein leichtes, die DNS Sperren der Provider zu umgehen:

• Man suche sich im Internet Nameserver, welcher keiner Zensur unterliegen, z.b. die Nameserver von OpenDNS (208.67.222.222 und 208.67.220.220)
• Man trage die Nameserver in die Netzwerkeinstellungen seines lokalen Rechners oder Router ein. (Bei Windows XP: Start -> Einstellungene -> Netzwerkverbindungen -> Lanverbindung -> rechtsklick Eigenschaften -> Internetprotokoll (TCP/IP) -> Folgende DNS Server verwenden)
• Alternativ dazu, VPNs oder Anonymizer wie the onio router (TOR),  JAP, oder eine Kombination von beidem.

Bei einem reinen DNS Filter reicht es aus, Nameserver zu verwenden, die eben nicht gefiltert werden und keiner Blacklist unterliegen. Gefilterte IPs aus dem Ausland kann man meist mittels einem VPN oder Anonymizern wie TOR erreichen, wenn der Endpunkt der Verbindung eben nicht mehr gefiltert wird.

Das war es schon – ich würde fast sagen, jeder halbwegs intelligente Mensch schafft es innerhalb von weniger als 10 Minuten die Nameserver zu ändern. Das Filtern an sich geht völlig am Problem des Kindsmissbrauchs vorbei und ist in meinen Augen einfach nur ein trojanisches Pferd um die Gesellschaft langsam an Internetfilter zu gewöhnen und kritisch Denkende oder der Politik Unliebsame aus dem Netz zu verbannen, damit diese keinen weiteren “Schaden” anrichten können. Weitere heiße Luft von diversen Politikern (und entsprechende Kommentare von denkenden Individuen) kann man hier finden:

• http://netzpolitik.org/2009/die-dreizehn-luegen-der-zensursula/
• http://blog.odem.org/2009/02/grundrechtseingriffe-wegzaubern.html
• http://www.bmfsfj.bund.de/bmfsfj/generator/BMFSFJ/Presse/pressemitteilungen,did=121758.html
• http://www.ccc.de/updates/2009/besucht-zensursula?language=de
• http://www.ccc.de/updates/2009/filter-mitschnitt?language=de

Alles in allem finde ich es mehr und mehr befremdlich, was in diesem Land so alles geschieht. Auf der einen Seite wird nach mehr Datenschutz und Datensicherheit gerufen (man denke an die zig Affairen Lidl, T-Com, Müller, etc..) – auf der anderen Seite werden Filterlisten etabliert um die User von angeblicher Kinderpornographie abzuhalten. Offensichtlich haben wir keine wichtigeren Probleme – die Umwelt, die Umverteilung von Ressourcen, Krankheiten, Energiegewinnung sind eben nicht so wichtig wie den Bürger unter Kontrolle zu halten…

Das IGZ feiert 10-jähriges

Am 31.07.2008 feierte das IGZ Hof sein zehnjähriges Bestehen und lud zur Jubiläumsfeier ein. Es fanden über 20 Fachvorträge über Internet, Marketing und E-Bussiness statt, von denen ich selbst 2 Vorträge abgehalten habe.

Der erste Vortrag den ich gehalten habe hatte den Titel “Bestellvorgänge in Online Shops verbessern”, der zweite Vortrag ging um die neuesten Bedrohungen im Internet. Trotz der Hitze und des schönen Wetters war das Event gut besucht und es waren viele Vertreter aus allen Bereichen anwesend. Aus diesem Anlass möchte ich hier kurz meine beiden Vorträge resümieren.
weiterlesen…

Der Grund warum ich diesen Post schreibe ist folgender: Ein Kunde ordert einen Root-Server bei uns. Soweit so gut. Das System ist recht flott, hat zwei identische Platten drin und wird von uns mit frisch installiertem Gentoo ausgeliefert.

Natürlich richten wir solche Server, sofern kein Hardware RAID integriert ist, mit Software RAID1 mit dem Linux md-device Driver ein. Dies hat den Vorteil, dass zum einen die Swap-Partition auf einem RAID1 Device läuft und somit das System nicht abstürzt, wenn die Swap-Partition defekte Blöcke aufweisst, zum anderen hat es den Vorteil, dass man generell vor dem Ausfall einer Disk und dem einhergehenden Datenverlust gefeit ist.
weiterlesen…

Sofern man diesem Link folgt, sieht man die Lücke auch schon

Seit gestern ist die Version 1.0.15 von joomla veröffentlicht worden, welche eine kritische Schwachstelle behebt die bis einschliesslich 1.0.14 funktioniert, mit der remote eingeschleuster PHP Code ausgeführt werden konnte.

Es wird daher dringend empfohlen, ein Backup des CMS anzufertigen und umgehend die neue Version einzuspielen, um Angreifern kein Ziel mehr zu bieten.

Weitere Informationen und Patch-Pakete gibt es direkt auf www.joomla.org

Flash-Dateien welche mit Tools wie z.B. Adobe Dreamweaver, Adobe Acrobat Connect (damals Macromedia Breeze), InfoSoft FusionCharts und Techsmith Camtasia erzeugt wurden, sind anfällig für Cross-Site-Scripting Attacken. Die mit diesen Programmen erstellten SWF-Dateien, welche auf zahlreichen Websites zu finden sind und unter anderem auch von prominenten Sites und auch von Banken verwendet werden, sind davon betroffen.

Das Problem liegt an der fehlerhaften Einbettung von JavaScript-Code in den SWF Dateien, mit welchen sich bestimmte Funktionen steuern lassen.

Der Action-Script Code wird jedes mal beim Speichern oder Exportieren einer SWF Datei automatisch mit in die SWF Datei eingefügt. Der Code lässt sich missbrauchen, um ein als Argument übergebenes JavaScript im Kontext der besuchten Seite auszuführen, obwohl der eingeschleuste Code nicht von dieser Seite stammt, sondern von einer vom Angreifer bereitgestellten Seite.

Siehe dazu auch:

XSS Vulnerabilities in Common Shockwave Flash Files, Bericht von Rich Cannings

Eine Auseinandersetzung mit der staatlichen Datensammelwut dies- und jenseits des Atlantiks unter dem Aufhänger des Kampfs gegen den internationalen Terrorismus stand am heutigen Freitag mit auf dem Programm des 24. Chaos Communication Congress (24C3) in Berlin. Konkret bemängelte Erik Josefsson als Brüsseler Vertreter der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) in Europa, dass nach der Vorratsspeicherung von Telefon- und Internetdaten die EU-Kommission nun unter anderem das Horten von Flugpassagierdaten vorantreibe. Mit ihrem Vorschlag zum Aufbau eines eigenen Systems zur Auswertung von Passenger Name Records (PNR) und dem bereits installierten vergleichbaren US-System, so die Kernkritik des Interessenvertreters, hätten Sicherheitsbehörden beider Regionen letztlich vollen Zugriff auf die kompletten Kundensysteme der Fluglinien.

Offiziell sieht das EU-Papier vor, dass die Fluggastdaten in einem dezentralen System regulär insgesamt 13 Jahre vorgehalten werden müssen. Die Fluglinien sollen die begehrten Mitteilungen, die unter anderem Namen, Geburts- und Flugdaten, Kreditkarteninformationen, besondere Essenswünsche, Buchungen für Hotels oder Mietwagen sowie E-Mail-Adressen und Telefonnummern enthalten, spätestens 72 Stunden vor dem Start sowie direkt nach dem Abfertigen einer Maschine an sogenannte Passagier-Informationseinheiten (Passenger Information Units, PIUs) in jedem Mitgliedsstaat weiterleiten und somit für den Zugriff durch Sicherheitsbehörden öffnen. Für europäische Carrier ist ein Push-System vorgesehen, in dem sie die Fluggastdaten aktiv zur Verfügung stellen. Bei ausländischen Fluglinien mit Transporten Richtung EU ist zusätzlich geplant, dass sich die PIUs auch selbst gemäß dem sogenannten Pull-Verfahren in deren Datenbanken mit den PNR eindecken können.

Für das Push-Verfahren sind die bestehenden Datenbanken der Airlines und das dahinter stehende Sabre-Reservierungssystem aber gar nicht ausgerichtet, brachte Josefsson nun schwere Bedenken gegen den Brüsseler Plan vor. Die bestehenden Strukturen zur Verwaltung der Kundendaten und PNR müssten daher grundlegend überarbeitet werden, was teuer käme. Bis dahin hätten die Behörden letztlich in Echtzeit Zugang zu den Systemen, so wie es auch im Rahmen des Abkommens zwischen Washington und Brüssel zur Fluggastdatenweitergabe der Fall sei.

Eine Besucherin des Hackerkongresses aus den USA bestätigte, dass im Rahmen des transatlantischen Datentransfers deutlich mehr Informationen erfasst und gespeichert würden, als offiziell angegeben. So habe sie nach der Teilnahme auch am Vorjahrestreffen der Hackergemeinde in Berlin beim zuständigen US-Heimatschutzministerium, dem Department of Homeland Security (DHS), ihre aufgezeichneten PNR-Einträge abgefragt. Dabei sei herausgekommen, dass neben der Atlantiküberquerung auch Anschlussflüge etwa von Berlin nach Prag in der Datenbank verzeichnet seien. Für Josefsson besteht daher kein Zweifel daran, dass auch bereits alle innereuropäischen Flüge in den PNR-Archiven der USA mit aufbewahrt werden. EU-Datenschutzbeauftragte drängen zwar seit längerem auf die Umstellung auf die Push-Methode, doch getan hat sich in dieser Hinsicht bei den Fluggesellschaften bislang offenbar nichts.

Auch andere Datenschutzvorkehrungen im EU-Vorschlag sowie im US-PNR-System taugen laut dem EFF-Vertreter wenig bis nichts. So sichern Brüssel und Washington zu, dass besonders sensible Daten aus den Flugpassagierangaben wie etwa zu Rasse, sexueller Ausrichtung, Gewerkschaftsangehörigkeit oder Krankheiten ausgesondert werden sollen. Der Haken dabei ist Josefsson zufolge, dass zusätzlich gemäß den Vorgaben eine Aufzeichnung von Änderungen an den PNR-Beständen vorzunehmen ist. In diesen Log-Dateien würden vermutlich also auch die ausgefilterten Daten doch erfasst bleiben. Allgemein schloss sich der Bürgerrechtsanwalt der sorgenvollen Stellungnahme des europäischen Datenschutzbeauftragten Peter Hustinx an, wonach die EU mit dem Gesetzesentwurf weiter in einen Überwachungsstaat Orwellschen Ausmaßes abdrifte.

Weiter warnte Josefsson davor, dass das DHS seine Systeme zur Einreisekontrolle derart umzuprogrammieren gedenke, dass jeder Ausländer beim Flug in die USA zunächst eine individualisierte Erlaubnis zum Betreten des Staatsgebietes erhalten müsse. Dafür sollten im Anklang an Systeme zum digitalen Rechtekontrollmanagement (DRM) Verfahren zum sogenannten Personal Rights Management (PRM) zum Einsatz kommen. Da das US-PNR-System mit dem europäischen Vorschlag weitgehend abgestimmt sei, dürften entsprechende Forderungen demnächst dann auch ergänzend aus Brüssel zu hören sein. Zweifelhaft sei dagegen, ob derartige Bestimmungen mit Abkommen wie dem Internationalen Pakt über bürgerliche und politische Rechte (ICCPR) der UNO vereinbar seien.

Insgesamt hofft Josefsson, dass Bürgerrechtsvertreter den politischen Entscheidungsprozess in Brüssel noch beeinflussen können und anders als in den USA nicht immer hauptsächlich auf den Rechtsweg gegen ausufernde Überwachungsprojekte angewiesen seien. Das EU-Parlament dürfe im Fall der PNR-Sammlung aber nur eine Stellungnahme abgeben, die der federführende EU-Rat und die Kommission nicht groß beachten müssten. Generell müsste daher stärker darauf geachtet werden, dass Datenschutzregeln schon auf technischer Ebene in neuen IT-Systemen verankert werden. (Stefan Krempl) /