Open-Source-Buchprojekt

Wir kommen allmählich mit den Infinite Adventures voran. Wer schon immer einmal einen Blick hinter die Kulissen werfen wollte, kann das jetzt tun: Das Projekt ist inzwischen öffentlich, und vielleicht ein nettes Beispiel für eine etwas unkonventionelle Nutzung von GitHub zur Entwicklung eines Romans statt eines Computerprogramms. 🙂

https://github.com/InfiniteAdventures/ia-trilogy/projects/2

Computerspiel-Melodien auf einem Flügel

00:00 Turrican 2 (Christopher “Chris” Hülsbeck)
– 00:24 The Final Fight, Part 1
– 00:46 Concerto for Laser and Enemies
– 01:15 Intermezzo: Xixit Melody 2 (Andrew “Necros” Sega, Kenny “C.C.Catch” Chou, Andrew “Nemesis” Wise & Jon Dal “Mesonyx” Kristbjornsson)
– 01:52 The Final Fight, Part 2
02:35 Wings of Death: Level 5 (Jochen Hippel)
(How dare you experiment with the electronic light control interface while I need the black keys?! :P)
05:43 Touhou (Jun’ya Ota)
– 05:44 Bad Apple, Touhou 4: Stage 3 Theme
– 06:13 Satori Maiden, Touhou 11: Satori Komeiji’s Theme
– 06:58 Intermezzo: The Great Giana Sisters: Menu Theme by Christopher Hülsbeck)
– 07:19 back to „Satori Maiden“
08:11 Supertux: Forest Dance (Marek Möckel, http://discarded-ideas.org , CC by-sa)
09:29 Korobeiniki (traditional Russian folk song, also known as the “Tetris melody”)
– 09:30 Korobeiniki, Part 1
– 10:15 Intermezzo: Prophecy (Marek Möckel, http://discarded-ideas.org , CC by-sa)
– 10:31 Korobeiniki, Part 2
10:51 Concerning Hobbits (Howard Shore for “The Lord of the Rings: The Fellowship of the Ring”)
11:50 Easter Egg / Historic Remnant: „Two Years Ago“ from my 2014 album „FreeMusic“
12:10 He’s a Pirate (Klaus Badelt & Hans Zimmer for “Pirates of the Caribbean: The Curse of the Black Pearl”)

Recorded by a friendly colleague who played wonderful melodies before and after my intermezzo. I’ll happily link to his compositions if he uploads them somewhere. 🙂

„Antivirenprogramm“

Auch „Antivirenprogramme“ haben Sicherheitslücken – teilweise ziemlich gravierende. Googles „Project Zero“ findet regelmäßig neue Schwachstellen bei allen Produkten, von denen ich jemals gehört habe. Unter Zeitdruck entstehen teilweise abenteuerliche Konstruktionen, die nicht vor Viren schützen, sondern ihnen ein Einfallstor zur Verfügung stellen. Und da die meisten „Antivirenprogramme“ mit Administratorrechten laufen, lohnt sich das Ausnutzen von Sicherheitslücken dort besonders. Mit den Rechten eines gekaperten „Antivirenprogramms“ kann man Schaden anrichten, den es ohne dieses Programm gar nicht gegeben hätte.

Beispiel für einen besonders haarsträubenden, inzwischen behobenen Fehler in Kaspersky Antivirus:

„This vulnerability is obviously exploitable […] on all systems using Kaspersky Antivirus.
[…]
Where does that pointer come from? […] Directly from the input file, so this is obviously exploitable for remote code execution as NT AUTHORITY\SYSTEM.“

https://bugs.chromium.org/p/project-zero/issues/detail?id=528

Öffnest du blind jeden E-Mail-Anhang, der in deinem Postfach eintrifft? Nein? Dein „Antivirenprogamm“ tut genau das. 😀

Malware in CCleaner

Kostenlose „Tools“ wie CCleaner bieten keinen Mehrwert, stellen aber manchmal ein Risiko für die Sicherheit des Computers dar.

Unter Windows gibt es schon seit Ewigkeiten die sogenannte „Datenträgerbereinigung“, die alle sinnvollen Punkte erledigt. Gefährliche Aktionen wie das zudem vollkommen sinnlose „Säubern“ der Registry werden aus guten Gründen nicht angeboten.

Zu allem Überfluss gab es ein virenverseuchtes CCleaner-Update, das auf manchen Rechnern sogar automatisch installiert wurde. Die Empfehlung, „nochmal zu updaten“, um den Virus wieder loszuwerden, hilft nur, falls die Virenprogrammierer sich keine Mühe gegeben haben.

https://www.heise.de/security/meldung/Backdoor-in-CCleaner-ermoeglichte-Fernzugriff-Update-dringend-empfohlen-3834851.html

https://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

https://blog.fefe.de/?ts=a7415076

https://www.spiegel.de/netzwelt/web/ccleaner-schadprogramm-infiziert-bekannte-wartungssoftware-a-1168505.html

Da ist der „friedliche“ G20-Protest.

Die Videos der Wut
https://www.faz.net/aktuell/g-20-gipfel/g20-gipfel-2017-in-hamburg-videos-dokumentieren-randale-15095982.html

Brennende Autos, Gewalt gegenüber Polizisten und Anwohnern, eingeschlagene Scheiben, und das alles in einer Brutalität und Gleichgültigkeit, die nicht nur die Hamburger zutiefst erschreckt hat.

Schwarz vermummte Gestalten ziehen durch die Straße wie eine Todesschwadron, stecken Autos in Brand, werfen Schaufenster ein, in gespenstischem Schweigen. Nicht weit davon entfernt schildern teils verängstigte Anwohner den Reportern, wie sie den Durchzug des Mobs erlebt haben. Wie sie bedroht und angegriffen wurden, wie ihre Autos in Flammen aufgingen, wie hilflos sie sich fühlen angesichts dieser Brutalität.

Anwohner geschlagen und getreten
https://www.faz.net/aktuell/politik/randale-in-der-elbchaussee-anwohner-geschlagen-und-getreten-15095725.html

Wilde Horden rennen durch Hamburg und hinterlassen eine Spur der Verwüstung. Anwohner auf der Elbchaussee berichten, wie sie attackiert wurden. Die Vermummten zündeten Autos an, schlugen Scheiben ein und prügelten auf Unschuldige ein.

Die neue faschistische Gewalt der Linken – und ihrer Freunde
https://www.welt.de/debatte/kommentare/article166394843/Die-neue-faschistische-Gewalt-der-Linken-und-ihrer-Freunde.html

Ihr schwarzes Fitnesskostüm verrät, dass ihre Ästhetik von den Schwarzhemden Mussolinis inspiriert ist. Sie agieren wie Faschisten. Sie schüren Angst und Unsicherheit. Der Schwarze Block hat seit Donnerstagabend Hamburg in eine Bürgerkriegslandschaft verwandelt. Er fackelt die Kleinwagen von – sagen wir – Krankenschwestern, Kasserierinnen und Verdi-Betriebsräten ebenso lustvoll ab wie die Ikea-Zentrale in Altona. Auf den Videos ist zu sehen, wie beschwingt der Vandalismus vonstattengeht.

Die Polizei hat mit Augenmaß auf diese Bedrohungslage reagiert. Schon am Freitagvormittag stellte sich heraus, dass die Aufrüstung der Verteidiger des staatlichen Gewaltmonopols die enthemmte Abenteuerlust der Linksradikalen unterschätzt hat. In dramatischen Appellen wurde Verstärkung aus anderen Bundesländern angefordert. Die so schlecht bezahlten Polizisten, deren Job so wichtig ist für unsere Freiheit, müssen ausbaden, was an Laschheit über Jahre und Jahrzehnte im Umgang mit linker Gewalt aufgebaut worden ist: Hausbesetzer mit Hausbesitzern zu verwechseln, Parks zu rechtsfreien Räumen verlottern zu lassen, im Zweifel den selbst ernannten Antifaschisten mit ihrer faschistischen Gewaltliebe sogar Förderung zukommen lassen. All das rächt sich jetzt.

Liveblog der ZEIT
https://www.zeit.de/politik/2017-07/g20-gipfel-hamburg-live

„Dass die Eskalation von der Polizei ausgeht, ist ein linksradikales Ressentiment, das wir regelmäßig hören“, sagte Hamburgs Innensenator Andy Grote (SPD) der ZEIT. „Wer sich heute in der Stadt umschaut, weiß, dass es anders ist.“

In den Einkaufspassagen Altonas sind zahlreiche Geschäfte beschädigt, die Scheiben jedes zweiten Ladens sind zersplittert – ganz gleich, ob Einzelhandel oder Filialen großer Handelsketten.

Vor den Läden stehen fassungslose Anwohner, die die Schäden fotografieren. „Warum machen die das?“, fragt eine ältere Dame ihre Freundin, die darauf auch keine Antwort hat.
Einige Stunden vorher waren kleinere Gruppen von Autonomen durch die Straßen gezogen, bewaffnet mit Hammern und Brandsätzen.

Angesprochen auf die brennenden Autos heute Morgen an der Max-Brauer-Allee, sagte der Welcome-to-Hell-Sprecher, er könne verstehen, dass die Demonstranten jetzt ihrer Wut Ausdruck verleihen: „Wir distanzieren uns jetzt erst mal von gar nichts.“

 


 

Update: Hier ist ein guter Kommentar bei der ZEIT:

https://www.zeit.de/gesellschaft/zeitgeschehen/2017-07/g20-krawalle-polizei-gewalt-proteste-kommentar

CVE-2014-9773

Mir fiel gerade auf, dass eine von mir gemeldete Sicherheitslücke im Projekt „Atheme“, das von vielen IRC-Netzwerken wie Freenode und EsperNet für die Registrierung von Benutzernamen und Kanälen verwendet wird, eine CVE-Nummer erhalten hat:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9773

Das Programm ist in den Debian-Repositories als „atheme-services“ enthalten.
Die Sicherheitslücke wurde vom Gründer des Projekts am 31.08.2011 eingeführt: https://github.com/atheme/atheme/commit/5c734f28068cf47b9b450af4dcf37195734b15be#diff-93b50498ce9c5e7fe8588b05681daf63
Am 02.11.2014 habe ich sie entdeckt und gemeldet: https://github.com/atheme/atheme/issues/397

Das Projekt sollte damals eingestellt werden und solche Änderungen wurden nicht mehr angenommen. Später wurde Atheme wiederbelebt, und am 06.03.2016 wurde das Problem endlich behoben. 😉

(Elektronische) Post von der EFF

Dear Tobias,

Thank you.

If you’re getting this email, we think that you participated in the Tor Challenge last year (details) and that you have maintained your relay at least 80% of the time in the last year.

Basically, we think you’re awesome.

Tor is one of the strongest tools for protecting privacy online. It’s used by millions of people worldwide to route around Internet censorship and browse the Web with anonymity. Whistleblowers, journalists, activists, and everyday people rely on Tor.

And Tor relies on you.

Tor exists because volunteers worldwide are contributing computing power to the network. You’re part of a community of people helping defend privacy online. I don’t think it’s an exaggeration to call Tor node operators heroes. Without you, there would be no Tor.

As a small token of our appreciation, we’d love to send you a limited-edition sticker. If you’d like to receive the sticker, just give us your mailing address on this form: […]

Please fill this out by August 20. Note that it may take several weeks for your prize to arrive.

We also believe that the bandwidth of your relay qualifies you for our special prize — a custom T-shirt. If you’d like to receive the t-shirt, please also include your shirt size.

The Tor Challenge was a joint campaign of EFF, the Free Software Foundation, the Freedom of the Press Foundation, and the Tor Project. This is the second edition of the Tor Challenge, and over 1,600 nodes participated.

If you aren’t already on the EFF email list, please consider joining. We’d love to stay in touch.

For a more private Web,

Rainey Reitman
EFF Activism Director
Support our work with a donation today.

Das Bundesverfassungsgericht über Grundrechte

In der freiheitlichen Demokratie des Grundgesetzes haben Grundrechte einen hohen Rang. Der hoheitliche Eingriff in ein Grundrecht bedarf der Rechtfertigung, nicht aber benötigt die Ausübung des Grundrechts eine Rechtfertigung.

Dieses Zitat (Bundesverfassungsgericht, 2007) bezieht sich auf das Grundrecht der Versammlungsfreiheit in Deutschland, aber es gefällt mir allgemein und unabhängig von diesem Fall: https://www.bundesverfassungsgericht.de/entscheidungen/rk20070606_1bvr142307.html

Gefunden habe ich es in der Signatur eines domainfactory-Forenbenutzers. 🙂

DDoS abgewehrt… mit Varnish und nerviger Musik

Die Schachburg wurde in der Nacht zum 23. Juni zum Opfer eines DDoS-Angriffs, siehe hier. Als ich meine Hilfe anbot und als ersten Schritt die Sperrseite von DomainFactory durch diese Seite ersetzte, zog ich die Aufmerksamkeit des Angreifers auf mich. Mit dem übermütigen Ziel, mir zu beweisen, dass er nicht nur Shared-Hosting-Angebote, sondern auch einzeln genutzte Server lahmlegen könne, griff er daraufhin das Freiwuppertal-Forum an…

Der Besucherrekord liegt bei 3488 Besuchern, die am 24. Jun 2013 22:41 gleichzeitig online waren.

…scheiterte allerdings am Varnish-Cache, der den Apache-Server zwar durchaus an seine Leistungsgrenze brachte, aber irgendwelche Folgen oder Abstürze verhinderte. Statische Ressourcen, die den Großteil jeder Seite ausmachen, werden hier sowieso von nginx geliefert.

Ein Blick auf die Ausgabe von „varnishlog“ und „varnishtop“… die „Angriffe“ waren eigentlich recht simpel. Der Möchtegern-Botnetbesitzer hatte auf einer international besuchten und anscheinend recht beliebten Erotikwebseite 1-Pixel-iframes von Forenbeiträgen aus der Schachburg und dem Freiwuppertal-Forum eingebaut. Daher wiesen alle Anfragen denselben Referrer auf – eben diese Seite. Eine Zeile VCL genügte, um das Problem loszuwerden.

Wieder ein Blick ins varnishlog: Noch immer kamen unglaublich viele Anfragen an, wurden aber direkt am Cache mit einer Fehlermeldung abgewiesen. Wie langweilig. Irgendwie wollte ich das Problem an der Quelle lösen, nicht mit simplen Fehlermeldungen. Der Angreifer sollte einen Anlass dazu bekommen, die iframes wieder auszubauen; der idiotisch ignorante Hoster, bei dem die Seite registriert ist, war nicht als Anlaufpunkt geeignet.

Also ging es darum, die Besucher zu verärgern, Kunden zu vergraulen. Wenn niemand mehr die Seite besucht, ist die Gefahr gebannt; wenn der Admin die iframes ausbaut, um das zu verhindern, ist für mich ebenfalls alles in Ordnung. Was wäre da besser geeignet, als nervige Musik abzuspielen? Sicherlich nicht das, was die Konsumenten in diesem Moment hören wollten.

Nach einer Weiterleitung aller ungewünschten Gäste auf eine Webseite voller Bilder (auch durch lange Ladezeiten wird man Besucher los), die noch dazu automatisch „Never Gonna Give You Up“ von Rick Astley abspielte, in älteren Browsern durch JavaScript-Tricks das Fenster auf dem Bildschirm herumspringen ließ und ein Schließen der Seite durch andauernde Dialogmeldungen mit dem Liedtext verhinderte, war ziemlich schnell Ruhe. 😉


Update/Anmerkung: Eine andere Methode, um solche Angriffe recht effizient zu stoppen, ist der „X-Frame-Options“-HTTP-Header. Das funktioniert allerdings nur, wenn die unfreiwilligen Angreifer einen aktuellen Browser installiert haben; in unserem Fall kamen auch einige Zugriffe von Smartphones und wahrscheinlich ein paar veralteten Browsern. Es sollte aber kein Problem sein, veraltete Browser am User-Agent zu erkennen und auszusortieren.