WannaCry-Nachbetrachtung: Du sollst nicht wissen!

Was mich bei der journalistischen und propagandistischen »Nachbehandlung« des sich sehr erfolgreich durch die Netze gefressen habenden Erpresstrojaners und -wurms »WannaCry« ein wenig erschreckt, ist, dass niemand die Frage aufzuwerfen oder zu behandeln scheint, wie »WannaCry« überhaupt in diverse Firmennetzwerke gelangt ist, um sie anschließend verwurmen zu können? Stattdessen wird überall gecybert, dass es nur so in den Ohren fiept. Auch die idiotischsten »Analysen« und Vorschläge finden ihren Platz in der Berichterstattung, immer mit einer ordentlichen Portion gefügig machender Angst gewürzt, damit Raum für wirkungslose Bullshit-Forderungen geschaffen werden kann.

Eine Aufklärung des Vorfalles, die zu einem wirksamen zukünftigen Schutz vor solchen Schäden führt, findet hingegen nicht statt. Stattdessen quillt der Bullshit aus allen Kanälen, und alle machen weiter wie gehabt.

Es gibt im Wesentlichen drei Möglichkeiten, wie »WannaCry« auf einen Computer in einem Firmennetzwerk landen kann (und dort die Möglichkeit zur Verbreitung als SMB-Wurm erhält). Es handelte sich ja ganz offenbar nicht um einen gezielten Angriff auf bestimmte Unternehmen, bei denen bezahlte Insider beteiligt waren, sondern um eine Verbreitung über das Internet. Alle drei möglichen Wege zeigen auch, wie so etwas verhindert werden kann.

  1. Über das Internet erreichbare SMB-Dienste auf Windows-Rechnern
    Ich kann mir beim besten Willen keinen Grund vorstellen, warum die entsprechenden Ports durch einen Router über das Internet freigegeben worden sein sollten. Wenn dies irgendwo der Fall war, handelt es sich um einen Zustand völliger Unfähigkeit der technischen Administration und/oder vollständiger Verdummung derjenigen Menschen, die Entscheidungen treffen und die Durchsetzung dieser Entscheidungen durch die technische Administration einfordern.
  2. Über einen Link aus einer E-Mail oder einen Anhang
    Ich will es mal so sagen: Wenn jemand in seine Bewerbung für einen Job reinschreibt, dass er Computerkenntnisse hat und trotzdem in einer unsignierten, nicht über einen anderen Kanal als E-Mail zuvor abgesprochenen E-Mail herumklickt, um Links und Anhänge aus dieser E-Mail zu öffnen, dann mache ich diesen Menschen vollumfänglich für die damit angerichteten Schäden haftbar (und lasse ihn vorher unterschreiben, dass er das weiß). Ich würde ja auch jemanden haftbar machen, der Betriebsstätten anzündet, indem er grob fahrlässig mit Feuer oder brandfördernden Substanzen umgeht. Mehr zu diesem Thema habe ich schon an anderer Stelle geschrieben. Eine Ergänzung dieser energisch durchgesetzten betrieblichen Richtlinie durch durchgängige Verwendung digitaler Signaturen in der E-Mail schafft mehr Schutz als jedes Antivirus-Schlangenöl.
  3. Als Drive-by-Download in einer Website
    Ich will es mal so sagen: Mit NoScript und einem wirksamen Adblocker als Browser-Plugin kann das nicht passieren. Größere Unternehmungen könnten natürlich auch über einen Zwangsproxy filtern, um der technischen Administration die Arbeit zu erleichtern.

Alle drei »Infektionswege« setzen Inkompetenz und Ahnungslosigkeit bei den Verantwortlichen voraus. Da hilft kein Antivirus-Schlangenöl und auch keine Cyberbomben abwerfende Cyberwehr, da hilft nur das gute, altmodische Gehirn und seine Lern- und Einsichtsfähigkeit. Mit der Einsichtsfähigkeit scheint es aber nicht so weit her zu sein, wenn zum Beispiel bei der Deutschen Bahn die Computer für die Anzeigetafeln und Fahrkarten-Automaten im gleichen Netzwerk wie die normalen Arbeitsplatzrechner zu hängen schienen, so dass die Infektion über SMB möglich war… :(

Ja, »WannaCry« war ein Angriff. Aber es war ein Angriff auf die Dummheit, Gleichgültigkeit, Unfähigkeit und Ahnungslosigkeit. Niemand sollte sich da von Journalisten, Politikern und den PR-Abteilungen diverser Unternehmen »alternative Fakten« in das Gehirn cybern lassen.

Ich schließe – insbesondere im Hinblick auf das kollektive Verschweigen der Gefahr durch Drive-by-Angriffe über »verseuchte« Werbebanner im gesamten deutschsprachigen Journalismus – mit einem Selbstzitat:

So lange Journalisten lieber ihre Leser als ihr (unseriöses) Geschäftsmodell durch Reklamevermarktung gefährden, kann ich nur davon abraten, sich aus journalistischen Produkten zu informieren

Es ist traurig, aber leider wahr.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

Der Unterschied zwischen Linux und Unix…

Das eine hat mehr Bloat, das andere hat mehr brauchbare Dokumentation in den man-pages

$ uname -a
Linux simson 4.4.0-77-generic #98-Ubuntu SMP Wed Apr 26 08:34:02 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
$ which ls
/bin/ls
$ ls -lh `which ls`
-rwxr-xr-x 1 root root 124K Feb 18  2016 /bin/ls
$ man ls | wc -l
234
$ _ 

Ja, ich weiß, Unbuntu… ;)

$ uname -a
SunOS openindiana 5.11 illumos-48d8443e35 i86pc i386 i86pc
$ which ls
/usr/bin/ls
$ ls -la `which ls`
-r-xr-xr-x   1 root     bin      46K Mai  2 09:13 /usr/bin/ls
$ man ls | wc -l
    1743
$ _

Übrigens: OpenIndiana rockt! Obwohl inzwischen recht viel GNU-Software drin integriert ist (die immer ein ganz dickes Problem mit Bloat hat), fühlt es sich auch sehr flott an. Die Standardshell, die man in einem Terminalfenster oder nach einem Login bekommt, ist die sicherlich vielen Menschen gut vertraute bash – aber natürlich ist OpenIndiana POSIX-konform und deshalb ist sh ein Symlink auf die Korn-Shell (mit der man meiner Meinung nach auch für die interaktive Nutzung ganz gut leben könnte). Erfreulicherweise gehört – anders als beim letzten Solaris, das ich vor vielen Jahren unter die Finger bekommen habe – auch ein vim zur Standardinstallation. Allerdings würde ich mindestens 2 GiB RAM empfehlen.

Wer schon einmal mit Solaris zu tun hatte, wird sich schnell wohlfühlen.

Für Anfänger oder Linux-Umsteiger mit geringen Erfahrungen ist OpenIndiana allerdings… ähm… nicht so gut geeignet, wenn sie nicht gerade eine größere Lernbereitschaft mitbringen. Auch kann es Probleme mit Treibern geben. In diesen Fällen dürfte eine der vielen Geschmacksrichtungen von BSD viel besser geeignet sein, wenn man ein »richtiges« Unix haben oder einmal ausprobieren möchte.

Veröffentlicht unter Technisches | Verschlagwortet mit , | Hinterlasse einen Kommentar

Immer noch ein Gefängnis…

»Secure Boot« ist immer noch ein Gefängnis, und auch die kommende Version der beliebten Linux-Distribution Debian wird »Secure Boot« nicht unterstützen. Es ist ja auch immer noch ein Gefängnis, und warum sollte man sich eigens von Microsoft die Türe aufschließen lassen, um in einem Gefängnis Platz zu nehmen. Zumal die jüngeren Ideen von Microsoft wahrlich keine Grundlage für irgendein Vertrauen sind.

Leider klingt es, als würde selbst in dieser oft etwas weltabgewandten Bastion der Widerstand bröckeln.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

Ich bin erfreut

Vor etwas mehr als einem Jahr habe ich die Prognose gewagt, dass es bis zum Ende der Werbung im Web nur noch zwei Jahre sein werden. In den letzten Tagen habe ich mich öfter einmal gefragt, ob ich da nicht den Mund ein bisschen zu voll genommen habe, denn bis jetzt deutet leider noch nichts auf einen bevorstehenden Zusammenbruch des unseriösen und für die Computersicherheit unverantwortbaren Werbeirrsinnes im Web hin.

Um so froher macht es mich, dass ich heute lesen durfte, dass es jetzt einen angeblich nicht mehr durch technische Maßnahmen blockbaren Adblocker gibt¹, der sogar mit schwierig zu blockierender Reklame wie etwa jener auf Facebook klarkommt.

Ich wünsche allen Menschen, die trotz Werbeblocker immer noch Werbung sehen, viel Spaß beim Ausprobieren des Browser-Addons.

¹Gegen eventuelle Probleme in der Bimbesrepublik Abmahnistan hier auch eine dauerhaft archiverte Version des t3n-Artikels. In der BRD wurden bereits Menschen juristisch (und in meinen Augen: rechtsmissbräuchlich) zum Löschen von wirksamen Hinweisen zur Werbe- und Schadsoftwareblockade aus dem Web gezwungen.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , , , | 1 Kommentar

Zum π-Tag

Auch, wenn ich weiterhin den Tag vor dem Monat schreibe und niemals einen π-Tag erleben werde, weil es weder einen 31.4. noch einen 3.14. gibt, wird der 14. März wegen der US-amerikanischen Datumsschreibweise 3/14 und wegen der weltweiten Strahlkraft der US-amerikanischen Müllkultur als »Pi-Tag« verstanden – und der »Internetgenießer« bekommt allerhand Irrelevantes über die Konstante π zu lesen.

Da möchte ich mich auch nicht länger zurückhalten. Ich habe mich gefragt, wie die Ziffern in der ersten Million Stellen von π verteilt sind. Nach einem beherzten sudo apt install pi¹ in einem Terminalfenster ist es relativ einfach, diese Frage zu beantworten. Dafür ist nach der Installation von pi noch nicht einmal Programmierarbeit erforderlich, es geht alles mit Standardtools aus der Shell heraus:

$ pi 1000000 | tr -d . | sed 's/\(.\)/\1\n/g' | sed '/^$/d' | sort | uniq -c
  99959 0
  99757 1
 100026 2
 100230 3
 100230 4
 100359 5
  99548 6
  99800 7
  99985 8
 100106 9
$ _

Ich hoffe, mit der Klärung dieser Frage, die für mich von erfreulich geringer existenzieller Bedeutung ist, den Erkenntnisfortschritt der Menschheit ein wenig vorangebracht zu haben. ;)

Und sei es nur, weil sich der oder die eine oder andere für die Shell zu interessieren beginnt…

pi 1000000 gibt die erste Million Stellen von π aus. Auf meinem sich zum Antiquitätenhändler vordrängelnden Computer braucht die Berechnung dieser Ziffern rd. dreieinhalb Sekunden; etwas zeitgemäßere Hardware wird wesentlich schneller sein.

Diese Ausgabe wird zur Eingabe von tr -d ., was einfach nur den Dezimalpunkt löscht und die reinen Ziffern ausgibt.

Diese Ausgabe wird zur Eingabe von sed mit einem zugegebenermaßen für Neulinge leicht abschreckenden regulären Ausdruck, der aber nichts weiter macht, als jedes Zeichen durch sich selbst, gefolgt von einem Newline zu ersetzen. Im Ergebnis wird jede Ziffer in einer eigenen Zeile ausgegeben.

Diese Ausgabe wird nochmal zu einer Eingabe von sed, weil am Ende eine leere Einzelzeile dadurch entsteht, dass auch an die letzte Ziffer ein Newline angefügt wurde. Diese leere Zeile wird gelöscht.

Diese Ausgabe wird zur Eingabe von sort und wird in aufsteigender Reihenfolge sortiert wieder ausgegeben.

Und diese Ausgabe wird schließlich zur Eingabe für uniq -c. So werden aufeinanderfolgende Vorkommen der gleichen Zeile gezählt. So landet ein Ergebnis im Terminalemulator. ;)

Man kann durchaus einige hundert Dezimalstellen von π auswendig lernen, und es gibt erstaunlich viele Menschen, die einen solchen Zeitvertreib für eine so gute Idee halten, dass sie einen Teil ihrer begrenzten Lebenszeit mit dieser wenig geistfördernden Anstrengung verleben. Ich halte es allerdings für eine viel bessere Idee, sich mit den rd. dreißig elementaren Tools vertraut zu machen, die man mit jedem richtigen Betrübssystem² zur Verfügung hat – und natürlich mit der Shell, die aus diesen Tools mit dem leicht verständlichen Konzept der pipe (und der Ein-Ausgabeumleitung) ein mächtiges Baukastensystem macht, das einem erstaunlich oft richtige Programmierung erspart. Im Gegensatz zu einer für Alltagsanwendungen überpräzisen Memorierung einer Ziffernfolge kann man mit diesem Wissen oft erstaunlich viel anfangen, und nicht alles ist so sinnlos wie dieses Beispiel. ;)

Und wenn man wirklich einmal sehr viele Stellen von π benötigt, ist ein Programm zur effizienten Berechnung (wie pi) schnell installiert. Alternativ kann man natürlich auch die allwissende Müllhalde befragen.

¹So installiert man bei debianoiden Linuxen.

²Inzwischen sogar für Microsoft Windows von Microsoft selbst geliefert… das ich das noch einmal erleben durfte! Cygwin ist eine ältere Möglichkeit.

Veröffentlicht unter Allgemeines | Verschlagwortet mit , , , | 1 Kommentar