Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

Antike Fundstücke: Aminet und AmokEd

Neujahr ist eine gute Gelegenheit, auszumisten. Das habe ich habe heute mit meinen alten Bookmarks getan. Schön, wenn man gleich fünf oder zehn auf einmal löschen kann, weil die Seiten nicht mehr existieren. Dabei bin ich auch auf eine alte Sammlung Amiga-Links gestoßen. Die konnte ich alle löschen – bis auf einen, der tatsächlich noch aktuell war: AmiNet.

Anfang der 1990er war es noch üblich, Software per Diskette zu verschicken, wobei diejenigen von Fred Fish besonders bekannt war. Die Begriffe "Freie Software" oder "Open Source" waren damals vielleicht geboren, aber auch wir Studenten kannten sie nicht. Für uns gab es "Freeware" oder "Public Domain" (und noch ein paar Kategorien wie "Shareware"). Und dann kam Aminet! Erst ein einzelner FTP-Server, später ein paar Spiegelserver, von denen an sich die Software direkt herunterladen konnte. Wie revolutionär das war, wir mir erst heute bewußt. Und ich gehörte zu den Privilegierten, die an der Uni Internet hatten und Aminet nutzen konnten.

Bis Mitte der 1990er wurde Aminet ein wichtiges Online-Archiv für Amiga-Software. Mehr zur  Bedeutung und Geschichte von Aminet (Selbstdarstellung) beschreibt der englische Wikipedia-Eintrag (der deutsche Eintrag berücksichtigt leider die aktuellere Entwicklung nicht).

Was mich aber am meisten fasziniert: Es gibt Aminet noch immer. Und auch die Daten sind noch da. Darunter eine Version meines Editors AmokEd von 1992, zu dem als Quelle "Fish collection" angegeben ist. Und auch die Fisk Disks gibt es noch als FTP-Archiv und im Fred Fish memorial archive.

Distributing Python programms for Windows using pyinstaller

While I not blogged on this topic yet, for several times now I looked into the topic of how to distribute Python for Windows users. There are several major problems, especially if one wants to cross-bundle from e.g. Linux. The later is a requirement for me, since my development platform is Linux and I do not want to boot into Windows just for creating a new distribution package.

With "cross-bundling" I mean "just" sticking together pure python programs, eventually with already compiled third-party packages like GTK. So one of the problems may be where to get the binary packages from. But I'll not going into this today.

The program I want to distribute is my pdfposter, which scales and tiles PDF images/pages to print on multiple pages. Basically this is a Python script, a Python package and another Python package (pyPDF). On a Unix system, installing it is quite easy, assuming that Python is already installed (which is the case on Linux).

Not so on WIndows!

On Windows users are used to get self-contained packages. For installing pdfposter, one needs to install Python, setuptools, (maybe pyPDF, if you are offline) and then pdfposter. Users get trapped be the provided .msi and pdfposter got horrible comments on Heise Software Verzeichnis. So I decided to release a Windows executable of pdfposter for the next release.

In 2008 I already did some work on pyinstaller, adding support for different target-platform and for relative imports (see this trak timeline). One of the major pros of pyinstaller is: the binaries required for bootstraping the program on the target platform are included prebuild. So one may really bundle cross platform.

Meanwhile, a lot has been worked on pyinstaller and it is now able to include Python eggs (this is packages packed into a zip-file or unpacked into a directory). Wow! py2exe (one of the major other options) still does not support this. There is still some more work to do until can use pyinstaller. [Now it's getting technical] Currently scripts defined via entry_points are not bundled. You may work around this by first installing the script, not this will not recognize the required module.

It seams as if there is time for some more contributions to pyinstaller.

Kartenvergleich OpenStreetmap vs. Google Maps

Ich habe ja schon öfter von OpenStreetmap geschwärmt. Heute habe ich in einem Artikel bei heise.de einen tollen vergleich zwischen Google Maps und OpenStreetmap gefunden: Es werden beide Karten transparent übereinandergelegt, mit einem Schieberegler kann man einstellen, welche der beiden Karten stärker durchscheint.

Es ist schon interessant, den Regler von Links (Google) langsam zur Mitte zu schieben und zu sehen, dass plötzliche viele, viele Details austauchen: Fuß- und Radwege, Parks, Gebäude.

Hier ein paar Beispiele:

  • Der englische Garten in München

  • Landshut, man beachte die Wege in der "Flutmulde"

  • Nürnberg, hier beachte man den Detailreichtum der Openstreetmap-Karte um den Dutzendteich und um den Tiergarten (Google kennt noch nicht einmal den Valznerweiher) oder im Hafen, Gibitzenhof und dem Rangierbahnhof.

Hier ein Beispiel, in dem Google die Nase vorne hat, wir uns wegen der Kartenfehler aber dann doch ordentlich verfahren hatten.

2010-11: IT-Sicherheit im Unternehmen: Eine interne oder externe Angelegenheit?

Die Verantwortung für IT Security liegt bei der Geschäftsführung. So steht es eindeutig im Grundschutzhandbuch und so definiert es die Sicherheitsnorm ISO 27001. Doch das Feld IT-Sicherheit ist anspruchsvoll und vielschichtig und verlangt enormes Fachwissen. Dafür braucht der Chef kompetente Fachleute – die meist nicht im Unternehmen zu finden sind. Ist Outsourcing aber eine gangbare Lösung für das sensible Thema Sicherheit?

Auf der Sicherheitsmesse it-sa in Nürnberg beteiligte ich mich an einer Podiumsdiskussion der (ISC)2 – dem Herausgeber der Zertifikate CISSP und CSSLP. Das Diskussionsthema lautete: "Das richtige Team für die IT Security". Die Gesprächsrunde sollte klären, wer zu einem idealen Security-Team gehört, welche technischen, welche theoretischen Know-how-Träger dafür nötig sind und wo welche Verantwortungen liegen und wie man dieser Verantwortung auch nachkommt. Sehr schnell tauchte die Fragestellung auf: Kann der Geschäftsführer seine IT Security guten Gewissens und auf rechtlich sicherem Terrain outsourcen? Kann er externen Mitarbeitern die Verantwortung für interne Unternehmensbelange übergeben?

Verantwortung heißt Priorität einräumen

Die Geschäftsführung für die Sicherheit zu 100 Prozent verantwortlich – und damit auch für die Schäden, die durch mangelhafte Vorkehrungen entstehen. Der erste Schritt, dieser Verantwortung gerecht zu werden heißt: Dem Thema hohe Priorität einräumen. Denn gleichgültig, wer IT Security in Unternehmen um- und durchsetzen muss, er braucht die volle Unterstützung der obersten Managementebene, sonst geht gar nichts. Wenn der Chef nicht mitzieht, ist es auch gleichgültig, ob der CISO (Chief Information Security Officer) fest angestellt ist oder als externer Experte "von draußen" eingekauft wurde. Er wird die nötigen Maßnahmen nicht durchsetzen können und die Mitarbeiter werden nicht mitspielen – denn Sicherheitsvorkehrungen empfinden die meisten doch als lästiges Übel.

Sich selber kümmern?

Kein Vorstand kann selbst die Arbeit eines "IT-Sicherheitsbeauftragen" oder "Information Security Officers" übernehmen. Dafür ist das Thema zu komplex und erfordert zu viel Spezialwissen. Auf der anderen Seite geht es bei IT-Security um sehr sensible Materie, um Informationen über Schwächen im Unternehmen, um interne Strukturen und Prozesse – die das Management auch am liebsten "im Haus" behalten würden. Ist also ein interner Mitarbeiter vorzuziehen, der aber teuer und schwer zu finden ist? Oder kann man einen Externen und als internen IT-Sicherheitsbeauftragen anheuern?

IT Security von draußen hat Vorteile

Ich bin seit einigen Jahren "Externer" und kann aus Erfahrung sagen: IT-Security lässt sich guten Gewissens auslagern. Denn die Grundvoraussetzungen für einen IT-Sicherheitsbeauftragen – egal ob intern oder extern – sind gleich: Er muss kompetent und verlässlich arbeiten, loyal zum Unternehmen stehen und in dessen Interesse handeln. Und die Geschäftsleitung muss ihm Vertrauen entgegenbringen. Wichtiger ist in beiden Fällen, dass die Geschäftsleitung zu ihrer eigenen Verantwortung für die IT-Security steht.

Ganz nebenbei hat jedoch das Outsourcing noch einige Vorteile gegenüber einem fest angestelltem Mitarbeiter:

Ein externer Mitarbeiter ist schon allein aufgrund seines eigenen Verkaufswertes gezwungen, sich wissensmäßig auf dem neusten Stand zu halten. Was bei einem dynamischen Gebiet wie IT-Security nicht trivial ist.

Und: Ein Externer wird ein Projekt leichteren Herzens kündigen, wenn er die Lust verliert, weil etwa die interne Unterstützung fehlt, als ein Festangestellter. Diese "verabschieden sich oft innerlich", bleiben auf dem Stuhl kleben und erfüllen den Job ohne Verantwortung und Loyalität. Und das ist für die IT-Sicherheit höchst fatal.

Meine Beiträge im iX Special "Sicher im Netz"

Gleich zwei meiner Vortragsthemen haben es in das neue  Special "Sicher im Netz" des iX Magazins geschafft. Sie finden sie in zwei Artikeln, die ich speziell für das iX Special überarbeitet und inhaltlich auf den neusten Stand gebracht habe:

  • "Konzept Jericho - kann man Firewalls abschaffen?"

  • "Sicherheitsaufgaben priorisieren mit CVSS"

Natürlich habe ich mich über das Interesse der iX-Redaktion sehr gefreut. Denn es belegt, dass meine Themen als Security-Berater für eine breite Leserschicht interessant sind. Und ganz nebenbei hat mich die Überarbeitung der Beiträge veranlasst, nochmal über den aktuellen Stand dieser Themen nachzudenken und um einige neue Aspekte zu erweitern.

Viel Spaß beim Lesen!

CSSLP-Gruppe in Xing gegründet

Die geschlossenen Gruppe für CISSPs auf Xing gefällt mir schon lange. Eine gute Möglichkeit, mit anderen CISSPs in Kontakt zu treten. Da ich nicht nur CISSP sondern eben auch CSSLP (Certified Secure Software Livecycle Professional) bin, habe ich hierfür eine geschlossenen Gruppe eingerichtet. Heute habe ich die Einladungen verschickt und hoffe auf rege Beteiligung.

2010-09: Mut zur Beschränkung

Wenn von Beschränkung von Benutzerrechten und Logging die Rede ist, geschieht das meinst unter dem Aspekt, absichtliche Veränderungen durch Nutzer zu verhindern. Ein reelles Anliegen. Doch fast noch nützlicher sind diese Maßnahmen, um User oder auch Experten vor unabsichtlichen Eingriffen zu schützen.

„Benutzerrechte müssen beschränkt werden“. So lautet eine der Grundregeln in der Informationssicherheit. Was sich so despotisch anhört, hat seinen Sinn, nämlich zu verhindern, dass Unberechtigte keinen Schaden anrichten können. Erster Gedanke sind hierbei Würmer oder Viren, die das Unternehmensnetzwerk verseuchen, weil etwa unter Windows jeder als „Administrator“ unterwegs ist. Oder der Mitarbeiter, der die Gehaltslisten der Buchhaltung ausspäht. Es geht also um Verbote.

Nur wenige denken bei der Forderung an selbst auferlegte Beschränkung. Ich bin ein Fan davon. Denn: Wohin ich nicht darf, dort kann ich nichts (unbeabsichtigt) anstellen. Und wenn dort etwas liegt, was mich nichts angeht, was soll ich dann dort? Unsere Nachbarn sperren ihre Wohnungstür immer zweimal zu. Das soll mir recht sein, denn dann kommen sie auch nicht auf den Gedanken, ich würde ihnen Geld aus dem Portemonnaie klauen. Ebenso im Firmennetz! Wenn etwas mit Daten passiert, auf die ich keinen Zugriff habe, kann mir auch schlecht jemand vorwerfen, ich wäre schuld! Also nehmt mir ruhig diese (Benutzer-) Rechte!

Auch dem Logging haftet eher der Odeur des Ausspähens, der Überwachung und Kontrolle an, nämlich zu überprüfen, ob Benutzer absichtlich Eingriffe und Veränderungen vornehmen. Dabei ist auch hier meiner Meinung nach ein anderer Aspekt viel wichtiger: Durch die Log-Dateien lassen sich etwas Fehlersituationen frühzeitig erkennen und mir hat ein sorgfältiges Logging in einem Projekt schon einmal „das Leben gerettet“:

Ich musste in einer unübersichtlichen Datenbank Einträge ändern. Leider war nicht nur die Datenbank unübersichtlich, sondern auch das Webinterface dafür. Und – schwupps – hatte ich Daten in einem Bereich geändert, in dem ich weder etwas zu suchen hatte, noch Zugriff hätte haben sollen. Am nächsten Tag stand der Herr dieser Daten vor mir – was war mir das peinlich. Gerade einmal eine Woche im Projekt und so ein Fauxpas.

Es war also bei den Benutzerrechten kräftig geschlampt worden. Glücklicherweise hatte jemand bei der Datenbank an anderer Stelle zuverlässig und gut entwickelt: Alle meine Änderungen waren geloggt und so konnte ich meine unbeabsichtigten Änderungen korrigieren. Der Frieden im Projektteam wieder hergestellt.

Es kann also durchaus auch nützlich sein, die eigene vermeintliche Wichtigkeit mal zurückzustellen.

Bitte "Antwort an" abschalten

Ein offener Brief an alle, die ihre Emailadresse als "Antwort an" eingetragen haben.

Ein offener Brief an alle, die ihre Emailadresse als "Antwort an" eingetragen haben.

Bitte entfernen Sie den Eintrag "Antwort an" in Ihrem Mailprogramm.

Das braucht man nur, wenn es eine andere Adresse ist als der Absender. Wenn die Antwort sowieso an den Absender gehen soll, dann ist der Eintrag völlig nutzlos.

Im Gegenteil: Wenn -- wie bei Ihnen -- nur die E-Mail-Adresse drin steht, dann geht die Anwort nur noch an "h.dampf@alle-gassen.de", nicht aber an "Hans Dampf <h.dampf@alle-gassen.de>". Den Realname (Echtname) geht also verloren. Wenn ich dann alle Nachrichten an "Hans" suche, finde ich diese nicht, weil im Empfänger der "Hans" nicht auftaucht. Und das Adressbuch merkt sich einen neuen Eintrag, weil "Hans Dampf <h.dampf@alle-gassen.de>" und "h.dampf@alle-gassen.de" eben zweierlei sind.

Bei einem Brief schreibt man ja auch nicht: "Die Antwort schicken Sie bitte an die Adresse XXX", wenn der Absender schon auf dem Briefpapier steht.

Also weg mit dem "Antwort an".

Danke!

2010-08: Scheingefechte um RIM

Ein heftiger Streit tobt: Einige Staaten wollen unbedingt Zugriff auf die verschlüsselten Blackberry-Messages und damit verhindern, dass sich staatsfeindliche Bösewichte unbeobachtet austauschen. Aber was soll eigentlich die Aufregung? Jeder kann doch seine Gespräche und Mails verschlüsselt übertragen – an allen Überwachungsorganen vorbei und ganz ohne Blackberry.

Indien, Saudi Arabien und die Vereinigten Arabischen Emirate ist es ein Dorn im Auge, dass Besitzer von Blackberry-Geräten unerkannt und unbeobachtet kommunizieren können. Sie wittern Gefahr und fordern Zugriff auf die Daten, die verschlüsselt per Blackberry versandt werden. Das Gezänk geht schon seit zwei Jahren – in den letzten Wochen aber wieder mit neuer Heftigkeit: Nach anfänglicher Gegenwehr scheint RIM nun klein beizugeben: Saudi Arabien soll die PINS und IMEI-Nummern der Geräte bekommen, Indien droht mit generellem Blackberry-Verbot und erhielt bereits von RIM Überwachungswerkzeuge. Betroffen von dem Streit ist übrigens nur der Blackberry von Privatkunden die den "Blackberry Internet Service" nutzen.

Unternehmenskunden mit Blackberry können sich also ohnehin beruhigt zurück lehnen, sie betrifft die Problematik nicht: Beim „Blackberry Enterprise Service“ werden die Daten zwischen dem Unternehmensserver und dem Blackberry-Telefon verschlüsselt.

Nun kann man vortrefflich darüber streiten, was die genannten Staaten mit ihren Forderungen eigentlich bezwecken. Die offizielle Lesart: Es sollen damit schwere Straftaten vereitelt werden. Lassen wir mal außen vor, dass in einigen Ländern schon regierungskritische Äußerungen und nacktes Fleisch als "schwere Straftat" geahndet werden.

Meiner Meinung nach läuft es ganz einfach auf Überwachung hinaus – so wie schon heute der „normale“ Mobilfunk überwacht wird. Übrigens auch in Deutschland, aber in den arabischen Ländern eben wesentlich restriktiver und mit drastischeren möglichen Konsequenzen. Ganz abgesehen davon, dass die Praxis zeigt, dass man damit allenfalls kleine Fische fängt.

Aber was soll dieses Scheingefecht überhaupt?

Wer ein richtiger Bösewichte ist und auf Geheimhaltung bedacht, ist doch nicht auf Blackberry angewiesen. Der benutzt einfach anstelle des Blackberry und dessen Blackberry Internet Service für Privatkunden ein ganz normales Standard-Smartphone. Auch das kann heute ganz abhörsicher per IMAPS und SMTP mit TLS kommunizieren. Oder die Nachrichten werden gleich per S/MIME verschlüsselt. Solange die Verschlüsselung sicher ist, kann auch hier kein Staatsorgan der Welt in diese Nachrichten hinein schauen.

An der Stelle stellt sich mir auch gleich die Frage, weshalb überhaupt so viele Unternehmen ein Gerät wie den Blackberry nutzen. Dessen Push-Service ist mit dem Standard IMAP IDLE auch auf anderen Smartphones verfügbar. Ganz ohne Abhängigkeiten von proprietären Herstellern, die dann die Zugangsdaten vielleicht doch an Indien oder Saudi Arabien ausliefen und mit der Möglichkeit, flexibel die Anbieter zu wechseln. Und die Verschlüsselung hat jedes Unternehmen damit selbst in der Hand.

Übrigens rät auch das Bundesinnenministerium von Blackberry (und iPhone) ab und empfiehlt das "Merkelphone". Hintergrund ist hier allerdings wohl weniger die Sorge um die Sicherheit der Bürger als die Angst vor Angriffen auf die eigene Infrastruktur und dem Durchsickern vertraulicher Informationen.

IPv6

Verscheidenes rund um IPv6

Verscheidenes rund um IPv6

Eine Sammlung von Tools, Texten und Anderem zu IPv6.

  • Eine "Locally Assigned Global ID erzeugen":createLULA, mit Hintergrund-Informationen, dem Quelltext des Programms, etc.