Wie nutzt man die Cloud?

Nicht so, wie MS das gemacht hat: alle Daten der Kunden auf einem Server und dann bei einer Migration auf den falschen Knopf drücken und alle Daten vernichten.

Die Cloud ist an sich kein übles Konzept, aber man muss auf zwei Sachen achten:
1. Man darf sich nicht auf eine Lock-In-Situation einlassen, d.h. man muss die Anwendung, wenn man mit dem Anbieter unzufrieden sein sollte, auf einen anderen Dienstleister übertragen können.
2. Es muss möglich sein, die eigenen Daten aus der Cloud herauszuholen und auf eigenen Medien zu speichern. Und, natürlich, dieses Backup auch wieder in den Dienst einspielen zu können. Hätte MS das vorgesehen, wäre das aktuelle Desaster bei MS/Danger nicht so wild gewesen.

De-Mail ist sinnlos

Der Zweck von De-Mail ist, dass man Mails verschicken kann, wo der Absender zweifelsfrei feststellbar ist. Z.B. dass die Gegenseite sicher weiß, dass die Unterschrift unter dem Abovertrag, der da von karl.wrzlbrmft@de-mail.de eintrudelt, auch wirklich von Karl Wrzlbrmft stammt.

Das scheitert an zwei Problemen:
1. Karl Wrzlbrmft kann behaupten, jemand Drittes hätte seinen Rechner ferngesteuert und die Mail abgeschickt.
2. Karl Wrzlbrmft kann sogar selbst die Fernsteuerungssoftware auf dem Rechner aufspielen, der Gerichtssachverständige wird die Spuren finden.
3. Karl Wrzlbrmfts Rechner könnte auch vom Abofallenbetreiber eine Fernsteuersoftware aufgespielt bekommen haben.

Fazit: Rechtsgeschäfte am PC lassen sich nicht gegen Manipulation absichern, De-Mail kann seinen Zweck gar nicht erfüllen.

Jetzt wird über die UN gespielt

Da hat die UN eine Sonderberichterstatterin für Kinderprostitution und -pornografie. Und die sagt, es würden täglich 200 neue Kinderbilder ins Internet hochgeladen. Und dann gäbe es noch Staaten, wo das nicht mal verboten sei.

So weit, so schlimm.

Nur, Punkt 1: täglich 200 missbrauchte Kinder sind 200 zuviel, nur bringt es vielleicht mehr, sich mal um die Kinder zu kümmern, die täglich von ihren Eltern oder Mitschülern einfach nur geschlagen und unterdrückt werden. Und um die Kinder, die keine Ausbildung kriegen. Und die Kinder, die kein Essen kriegen. Das sind Milliarden, nicht 200; da wird ein schlimmes, aber seltenes Problem hochgespielt und von genau so schlimmen, aber viel verbreiteteren Problemen abgelenkt.
Und, Punkt 2: Neben anderen Dingen erwähnt sie, dass es in den USA nicht verboten sei, sich Kindern in sexueller Absicht zu nähern. Jetzt weiß ich zufällig, dass die USA da eine äußerst restriktive Gesetzgebung haben; wer über 18 ist und mit eine unter 18-Jährigen Sex hat, landet im Knast. Und zwar völlig unabhängig davon, ob das einvernehmlich war oder nicht. (Die 16-Jährigen Mädels in den USA werden deshalb gern als „jail bait“ bezeichnet – Deutsch „Knastköder“. Insbesondere, wenn sie grad ihre Wirkung auf Männer ausprobieren.)
Auch im Irak und Oman sei Kinderpornografie nicht verboten… das sind islamische Staaten, dort dürfte Pornografie schon ganz allgemein verboten sein. (Ach ja… einmal Google anwerfen, und siehe da, es gibt eine entsprechende Meldung zum Irak, und im Oman ist Pornografie schon ganz allgemein verboten.)

Wie nennt man jemanden, der irreführende Informationen verbreitet? Unglaubwürdig.
Was darf man vermuten, wenn jemand Unglaubwürdiges Internetsperren propagiert? Den Wunsch zur Einführung einer Internetzensur.

MS im patentierten Schafspelz

Jedenfalls, wenn man nach Groklaw geht.

Die Story geht wie folgt:

Microsoft hat einen Haufen Patente, von denen etliche durch Linux verletzt werden.
Angeblich. Ob es tatsächlich der Fall ist, ist höchst fraglich, aber das spielt keine allzugroße Rolle: Erfahrungsgemäß sind Patentstreitigkeiten sehr teuer und gehen mit einer gewissen Wahrscheinlichkeit auch mal „falsch“ aus, so dass Linux am Ende auf jeden Fall Lizenzgebühren zahlen müsste. Und da Linux nicht verkauft wird, hält man sich an die Nutzer – nicht, dass man die Privatnutzer mit Klagen überziehen würde, aber bei Firmen mit vielen Installationen gibt es auch was zu holen.

Nun hat Microsoft ein Problem, das ihnen diese Waffe ein bisschen schwergängig macht. Erstens würde dann sofort die Welt aufheulen und von Monopolmissbrauch und räuberischen Geschäftspraktiken sprechen. („Räuberische Geschäftspraktiken“ sind ein feststehender Begriff im US-Handelsrecht, es wäre gar nicht gut, wenn man ihnen das ernsthaft vorwerfen würde.)
Außerdem brauchen sie kompetenten Programmierernachwuchs. Wenn sie in der Öffentlichkeit allzu fies darstellen, wird ihre Auswahl kleiner.
Es mag noch weitere Probleme geben.
Auffällig war jedenfalls, dass sie immer mal wieder nebulös von diesen Patenten gesprochen haben, aber nie genau gesagt haben, welche Patente das sind und in welcher Form sie diese Patente nutzen wollen.

Schließlich sind sie auf den Gedanken verfallen, diese Patente an Patenttrolle zu verkaufen – das sind Firmen, die davon leben, andere Firmen wegen angeblicher oder tatsächlicher Patentverletzungen zu verklagen, ohne selbst Erfindungen zu machen oder gar Produkte herzustellen.
Sie haben wohl eine Auktion veranstaltet, zu der nur solche Trollfirmen eingeladen waren. Und in den Beschreibungen, wofür welches Patent gut sein könnte, sehr genau beschrieben, wie die jeweiligen Patente gegen Linux eingesetzt werden können.

Hätte der Plan funktioniert, hätten die Trolle die Patente aufgekauft und Linux-Anwender in jahrelange, langwierige Streitigkeiten verwickelt, während Microsoft relativ unschuldig dagestanden wäre (schließlich haben sie „nur“ ihre Patente verkauft, die eigentlich Bösen wären ja die Patenttrolle gewesen).

Hat er aber nicht.
Zur Auktion wurde auch eine Firma namens AST eingeladen.
Und ob AST nun noch eine Rechnung mit MS offen hatte, oder ob AST von vornherein mit Firmen verbandelt war, die Linux mögen, oder ob es einfach nur der beste Preis war: AST hat die Patente für einige Dutzend Millionen an das Open Invention Network weiterverkauft. Zusammen mit der Information, dass diese Patente aus der MS-Auktion stammen und welche Empfehlungen MS für die Verwertung dieser Patente ausgegeben hat.
Und das Open Invention Network sammelt Patente, um sie für Linux kostenfrei zur Verfügung zu stellen.

Und das alles nur wenige Wochen, nachdem sie ein Open-Source-Institut gegründet, einiges an Software unter Open-Source-Lizenz gestellt und allgemein eine neue Charmeoffensive in Richtung Open Source gestartet haben.
Glaubwürdigkeit sieht anders aus.

Microsofts „10 Immutable Laws of Security“

Schon interessant, wie Microsofts Sichtweise auf die Sicherheit aussieht.

Punkt 1: „Wenn Sie einem Bösewicht erlauben, ein Programm auf Ihrem Rechner auszuführen, gehört der Rechner nicht mehr Ihnen.“
Nur, wenn in der Betriebsumgebung keine vernünftigen Sicherheitsgarantien umgesetzt sind. Wobei man Ihnen zugestehen muss, dass das mit heutigen Betriebssystemen, Browsern und Plug-ins wie Flash und Java ein Stück weit stimmt – der Bösewicht kennt die Sicherheitslücken darin und nutzt sie aus. Fragt sich, warum es immer noch keine sicheren Betriebssysteme gibt (was nicht allein die Schuld von Microsoft ist, vor 10 und 20 Jahren wurde man als Paranoiker ausgelacht, wenn man sich über Sicherheit Gedanken machte).
So ganz stimmt’s trotzdem nicht – es hätte heißen müssen „gehört der Computer nicht mehr allein Ihnen“. Ist ja unangenehm genug.

Punkt 2: „Wenn ein Bösewicht das Betriebssystem auf Ihrem Rechner ändern kann, gehört er nicht mehr Ihnen.“
Das Betriebssystem ist auch nur ein Programm, das ist in Wirklichkeit nochmal Punkt 1.

Punkt 3: „Wenn ein Bösewicht persönlichen Zugang zu Ihrem Rechner hat, gehört er nicht mehr Ihnen.“
Wieder gilt: „gehört er nicht mehr allein Ihnen“.
Hier hat MS Recht. Detailkritik: die geklaute Festplatte ist kein Problem, wenn sie verschlüsselt ist. (Das ändert nichts an den anderen  Beispielen.)

Punkt 4: „Wenn der Bösewicht Programme auf Ihre Website hochladen kann, gehört sie nicht mehr Ihnen.“
Wieder gilt: „gehört sich nicht mehr allein Ihnen“.
Da haben sie komplett Recht.

Punkt 5: „Schlechte Passwörter stechen gute Sicherheit.“
Recht haben sie. Nur der Tipp für gute Passwörter ist wenig hilfreich, die Würfelmethode ist sowohl einfacher als auch sicherer.

Punkt 6: „Die Sicherheit eines Rechners ist nicht besser als die Vertrauenswürdigkeit des Administrators“
Stimmt so nicht.
Erstens hängt es immer davon ab, was für ein Administrator gemeint ist. Mit einem abgestuften Rechtemodell kann jeder Administrator nur an den Sachen schrauben, die für ihn freigegeben sind. Auf einem Webserver kann man einen Administrator für das installierte CMS haben, der kommt auf die Systemebene aber trotzdem nicht runter.
Zweitens gibt es eine wichtige Ausnahme: Passwörter. Die kann man einer Einwegverschlüsselung unterwerfen, bei Anmeldungen wird die einwegverschlüsselte Eingabe mit dem einwegverschlüsselten Passwort verglichen. Wenn die Passworteingabe auf einem anderen Rechner erfolgt als der Passwortvergleich, gewinnt man damit einiges an Sicherheit. (MS versucht gerade, eine aktuelle Sicherheitslücke im ISS als „ist ja nicht so schlimm“ abzuwiegeln – doch, ist schlimm, im Hauptspeicher rumliegende Passwörter werden von den Nutzern z.B. auch anderswo genutzt, z.B. Online-Banking.)

Punkt 7: „Verschlüsselte Daten sind nur so sicher wie der Schlüssel“
Korrekt, aber wenn sie sagen, dass man den Schlüssel nicht auf dem Rechner ablegen soll, dann übertreiben sie ein bisschen – man kann den Schlüssel durchaus in verschlüsselter Form ablegen. So funktionieren „Key Agents“ wie z.B. Pageant. (Der Schlüssel liegt allerdings im Klartext im Hauptspeicher, solange der Key Agent aktiv ist. Sowas sollte man nicht auf einem Server laufenlassen, sondern nur auf dem Rechner, auf dem man ohnehin seine Passwörter eingibt.)

Punkt 8: „Ein veralteter Virenscanner ist nur wenig besser als gar kein Virenscanner.“
Richtig.
Dem bleibt nur hinzuzufügen, dass selbst ein aktueller Virenscanner eine Erkennungsquote zwischen 60% und 80% hat. Setzt man mehrere Virenscanner ein, kriegt man zwischen 80% und 90% – das reicht auch nicht wirklich.
Punkt 1 kann man damit nicht wirklich berücksichtigen, wenn man überhaupt Software installiert…

Punkt 9: „Weder im normalen Leben noch im Web ist vollkommene Anonymität machbar.“
Stimmt.

Punkt 10: „Technik ist kein Allheilmittel“
Stimmt, und sie haben recht, dass selbst eine perfekt sichere Technik nichts gegen die unvermeidlichen Irrtümer der Anwender ausrichtet.
Allerdings ist die heutige Technik weit vom Machbaren entfernt. Man könnte Windows und Websoftware noch viel, viel sicherer machen.

Die Hinweise und Ratschläge sind durchaus nützlich.
Schön wär’s, wenn MS sich nicht dahinter verstecken würde, dass perfekte Sicherheit nicht machbar ist und damit alle Verantwortung für ihre eigenen Lücken ablehen würden. Immerhin haben sie gelernt und nehmen diesen Punkt noch ernst – aber die alten Reflexe, dass man die Lücken herunterspielt, die sind offenbar immer noch in Kraft.

Straßen abschaffen!

Das war jedenfalls mein Fazit nach dem Lesen eines Artikels von Adrian Kreye auf der Seite der SZ.

Warum?

Er sagt, Pirate Bay sei wie die Filmfigur Thomas Crown, der Tätern aus Langeweile Pläne für perfekt begangene Verbrechen liefert.

Das ist aber Unsinn. Mit Thomas Crown wäre Pirate Bay nur vergleichbar, wenn es ausschließlich illegalen Zwecken dienen würde. Es werden aber auch völlig legale Angebote vermittelt wie z.B. die Verteilung von Softwareupdates.

Pirate Bay ist damit eher mit jemandem vergleichbar, der Straßen baut. Ein erstaunlich hoher Anteil des Verkehrs auf den Straßen dient illegalen Zwecken (insbesondere der Wirtschaftskriminalität), und manche Straftaten werden dadurch erst möglich (Menschen überfahren, Fahrerflucht), trotzdem werden nicht die Straßen verboten, sondern nur die darüber möglichen illegalen Taten.

Straßen sind sogar schlimmer als Pirate Bay.
Die über Pirate Bay vermittelten illegalen Angebote schädigen meist nur Medienkonzerne, deren Verhalten in vielerlei Hinsicht ohnehin recht fragwürdig ist.
Im Straßenverkehr sterben Menschen, wird die Umwelt vergiftet.

Also: Straßen abschaffen! 🙂

„Gute“ Rootkits

Technology Review berichtet von einem Anbieter von Rootkit-Software. Das soll ausnahmsweise mal ein „gutes“ Rootkit sein, das einen sicheren Bereich schafft, in dem die ganze Schadsoftware nicht hineinkommt.
Sowas ist für Banken interessant. Ein Kunde, dessen Online-Banking von Schadsoftware manipuliert wurde, ist ein unglücklicher Kunde, mit dem man sich rumstreitet und der Geld kostet.

Klingt wunderbar.

Aber nur bis zu dem Tag, an dem eine Bank selbst mit kriminellen Machenschaften anfängt.
Oder wenn der Sysadmin der Bank bestochen wird und die Malware der Virenschleudern gleich mit ausliefert.
Oder wenn die Malware-Programmierer das Rootkit selbst als Angriffsziel ausgucken.

Einen Nutzen hat das Rootkit trotzdem: dass jemand einen Markt dafür sieht, ist ein klarer Beleg, dass die Betriebssystemhersteller in punkto Sicherheit ihre Hausaufgaben nicht gemacht haben.

Regulierung die x-te

Die Franzosen haben mal wieder die Vorstellung, das Internet regulieren zu wollen.

Nur wird es immer Länder geben, die sich der Regulierung verschließen. Und sei es irgendein Inselstaat, der durch eine Nichtregulierung viel zu gewinnen hat (nämlich eine florierende Internetindustrie). Und den man auch nicht so ohne weiteres vom Internet abklemmen kann, weil wichtige transozeanische Kabel durchlaufen – Seychellen, Bahamas, Pazifikinseln, wasauchimmer.
Oder vielleicht einer richtig großen Staaten wie China oder Russland, die zwar intern gern zensieren, aber auch ein Herz für florierende Industrien haben.

Also wird man versuchen, das Äquivalent zur Großen Firewall zu bauen, nur diesmal halt und die Freie Welt vor den Raubpornografierern zu schützen.

Das ist ein gigantischer Anreiz zum Umstellen auf verschlüsselten Datenverkehr.
Und verschlüsseln wird man ohnehin. Schließlich ist die Wirtschaft auf Verschlüsselung angewiesen, um ihre Geschäftsgeheimnisse zu schützen. Und Privatleute, um ihre Privatsphäre zu schützen.

Also wird man im nächsten Schritt versuchen, der Spur der Werbung zu folgen. Wer für Illegales wirbt, wird bestraft (und schon haben alle Werbeagenturen ein Problem, weil ihnen die Konkurrenz erst unauffällig einen Kinderpornoauftrag unterschiebt und danach die Staatsanwaltschaft informiert).
Da das also wegen Missbrauchsgefahr nicht allzugut funktionieren wird, wird man versuchen, die Bestellseiten zu blockieren. Was die Illegalen dazu bewegen wird, mit wechselnden IP-Adressen zu arbeiten; entsprechende Protokolle sind zwar kompliziert herzustellen, aber dieses Tauziehen wird ja ein paar Jahrzehnte laufen, und die Bösen Buben haben genug Geld, um sich wirklich fähige Programmierer zu leisten.

Nebenbei wird natürlich jeder dieser Schritte die Internetkommunikation des Normalbürgers schärferen Regeln unterwerfen: Verschlüsselungsverbote, Blockade von IP-Adressen (egal ob man dort etwas Legitimes vorhat oder nicht), undsoweiter.

Und, natürlich, die dabei gewonnenen Daten werden zu mehr Zwecken als nur der Strafverfolgung genutzt werden. Auch die Mafia interessiert sich für die Datenberge, und ein bestechlicher Administrator findet sich. (Dass auch Polizisten bestechlich sein können, sollte seit den Tagen der Prohibition in den USA nun wirklich Allgemeingut sein…)

Es bleibt wieder das alte Fazit: Kommunikation verhindern bringt wenig und beschädigt nebenbei die Freiheiten derer, die sich nichts zuschulden kommen lassen.
Statt die Freiheiten zu beschränken wär es sinnvoller, mal die Mittel für die Polizeiarbeit aufzustocken, statt die ständig zu kürzen. Ein paar Sekretärsstellen für den ständig wachsenden Formularkram würden die Jungs gewaltig entlasten und ihnen erlauben, sich wieder auf die Arbeit zu konzentrieren, für die sie eigentlich ausgebildet sind: Verbrecher ausfindig machen und verhaften. (Zu teuer? Dann sollte vielleicht mal wer darüber nachdenken, wie viel von diesen ganzen Berichtspflichten mehr nützt als kostet…)

Datenverluste

Wieder mal machen die Briten mit Datenverlusten bei den Behörden Schlagzeilen. Verlorene, verschwundene, gestohlene Daten über Patienten, Häftlinge, Berufsbewerber, und und und.
Und das sind nur die Datenlecks, die aufgefallen sind, Datendiebstahl hinterlässt ja keine auffälligen Lücken.
Ich kann mir kaum vorstellen, dass das nur bei den Briten passiert. Auch in Deutschland dürfte ein Gutteil der Daten, die irgendwer irgendwann über irgendwen erhoben hat, auf dem Schwarzmarkt verfügbar sein. Die meisten Daten werden ohnehin von Insidern geklaut…

Java-Classpath in Ant-Projekten

Da findet man im Internet einen Tipp, wie man sehr einfach den Classpath für ein Java-Projekt mit Ant setzt:

<path id="class.path">
  <fileset dir="lib">
    <include name="**/*.jar" />
  </fileset>
</path>
<javac srcdir="${src.dir}" destdir="${build}">
  <classpath refid="class.path" />
</javac>

Und dann stellt man fest, dass der Umweg mit <path id=“…“> gar nicht nötig ist:

<javac srcdir="${src}" destdir="${build}">
  <classpath>
    <fileset dir="lib">
      <include name="**/*.jar" />
    </fileset>
  </classpath>
</javac>

Das mit der refid kann natürlich trotzdem sinnvoll sein, wenn man den Classpath noch woanders benötigt.