Wenn ich für einen Spammer gehalten werde…

Veröffentlicht am 6. Juni 2016 von Elias

Jeder Mensch, der schon einmal einen (altmodischen, mit der Sackpost versendeten) Brief geschrieben hat, weiß, dass man jeden beliebigen Absender auf den Brief schreiben könnte und dass es von Seiten der Post und des gesamten Trasportwesens dieses Briefes keinerlei Prüfung gibt, ob diese Angabe stimmt.

Von daher sollte auch jedem Menschen klar sein, dass diese Angabe auf einem Brief keinerlei Aussagekraft hat, wenn es um kriminell motivierte Briefe geht, deren Autoren das Anlegen von Handschellen um die Handgelenke vermeiden wollen. Niemand würde ernsthaft erwarten, dass ein Drohbrief oder ein Brief voller Beschimpfungen und Beleidigungen mit echtem Absender kommt. Und gesetzt dem Fall, er käme überhaupt mit einem Absender: Beinahe kein Mensch mit normaler Lebenserfahrung käme auf die Idee, diesem Absender zu antworten. Und beinahe jedem Menschen wäre völlig klar, dass man kein »Hacker« sein muss, um einen falschen Absender auf einen Briefumschlag zu schreiben.

Leider: Nichts von alledem gilt äquivalent für Spam. Obwohl man wahrlich kein »Hacker« sein muss, um einen falschen Absender zu einer E-Mail anzugeben – jedes aufgeweckte Kind ist dazu imstande. Es ist so einfach, wie die Angabe einer ausgedachten Absenderadresse auf einem Briefumschlag. Beinahe jede Spam wird mit gefälschtem Absender versendet. Es ist deshalb nicht möglich, einem Spammer zu antworten, indem man auf »Antworten« klickt.

Trotzdem antworten Menschen immer wieder auf eine Spam; meist (für mich nachvollziehbar) in sehr gereiztem Tonfall und zuweilen auch unter Androhung juristischer Konsequenzen. Diese Antworten landen nicht bei Spammern, sondern im günstigsten Fall im Nichts, im wesentlich häufigeren ungünstigen Fall bei einem völlig unbeteiligten Dritten. Zuweilen, wenn asoziale und kriminelle Spammer meine Mailadresse als Absender eintragen, bin ich dieser unbeteiligte Dritte, und dann habe ich mindestens mehrere hundert Mails der Genervten und Entrüsteten in meinem Posteingang, von denen ich nur noch eine kleine Auswahl so beantworten kann, wie ich das für angemessen halte (also freundlich, sachlich und informativ). Tatsächlich ist es dann für mich beinahe unmöglich, diese Spamflut auch nur überfliegend zu lesen. Ja, mein Mailpostfach kann durch diese Art »Sekundärspam« für mehrere Tage so unbenutzbar werden, dass ich dazu übergehe, kurzerhand die Mailadresse abzuschalten. Bei einer vorwiegend privat genutzten Mailadresse kann ich mir das erfreulicherweise erlauben. Vielen anderen Menschen und vor allem Unternehmen steht diese Option gar nicht offen.

Zum Glück haben die Polizeien inzwischen dazugelernt und ermitteln nicht mehr gegen den Nutzer der Absenderadresse, wenn eine Strafanzeige wegen der kriminellen Belästigung erstatt wird – jedenfalls nicht, ohne vorher einmal in die Header der Mail geschaut zu haben.

Das ist lobenswert. Es ist wenigstens ein kleiner Fortschritt. (Und der hat auch viel zu lange gedauert.)

Ich denke oft, dass wir im Jahre 2016 leben, dass das Internet nicht mehr wirklich neu ist und auch keine Spielwiese der Geeks mehr, sondern Bestandteil des Alltags für die meisten Menschen und dass deshalb eigentlich jeder wissen müsste, welche Folgen es hat, wenn man einem Spammer antwortet. Aber ich erlebe es immer wieder einmal, dass auf Spam geantwortet wird. In meinem Postfach. In Fluten. In Mails, die teilweise durchaus eine persönliche Antwort erfordern, ohne dass ich noch dazu imstande wäre, diese Antworten zu schreiben.

Unterdessen labern von keinerlei vertiefter Kenntnis beleckte Journalisten und Politiker in ihrer enthirnend-populistischen Politikspam immer wieder einmal vom »Cybercrime«. Mit absurden Forderungen nach mehr präventiver Überwachung und Abschaffung von Bürgerrechten, aber ohne die Spur einer Aufklärung der Menschen, die von solcher Kriminalität betroffen werden können.

Es ist deprimierend.

Wenn die Menschen wenigstens damit aufhören könnten, solche Politikspammer zu wählen oder ihre Zeitungen zu kaufen oder ihre Zeitungswebsites zu lesen! Aber nein: Diese »Spam« holen sie sich freiwillig.

Um sich anschließend im Internet wie die Dummköpfe zu verhalten.

Zum Schaden aller anderen Menschen.

Es ist deprimierend.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | Schreib einen Kommentar

Sieben Meter Licht

Veröffentlicht am 4. Juni 2016 von Elias

Veröffentlicht unter Musik | Schreib einen Kommentar

Computersicherheitsbullshit

Veröffentlicht am 20. Mai 2016 von Elias

Erstaunlich oft erlebe ich es, dass Menschen ohne besondere Kompetenz inzwischen damit anfangen, wiederzukäuen, was die Journalisten ihnen bei jeder Gelegenheit vorkäuen. Und dann sagen diese Menschen mir, dass Flash ja völlig unsicher sei und unbedingt verschwinden müsse.

Kurz darauf holen sie ihr Smartphone aus der Tasche, weil sie es regelmäßig tun, denn auf dem Smartphone tut sich ja regelmäßig etwas.

Und sie bemerken nicht eine einzige Sekunde lang, dass Flash wesentlich sicherer als Android ist, denn Flash bekommt wenigstens Updates bei schweren Sicherheitsproblemen – während die meisten Hersteller der Wischofone kein Problem damit haben, ihre Kunden mit ungepatchten, schweren Sicherheitslücken leben zu lassen. Sollen sie sich doch ein neues Wischofon kaufen…

Wenns Internet im Handy ist, ists Gehirn im Arsch.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | Schreib einen Kommentar

Nützliches für die .bashrc

Veröffentlicht am 28. April 2016 von Elias

Im Laufe der Jahre habe ich einige nützliche Dinge angesammelt, die ich in jede .bashrc übernehme, wenn ich auf einem Computer mehr als nur gelegentlich arbeite.

Einige davon sind vielleicht auch für andere Menschen von Nutzen.

(Wer es nicht sofort bemerkt: Nein, das hier ist kein Tutorial, wie man die Shell bedient. Es gibt nur sehr knappe Erläuterungen.)

Standardausgabe in das Clipboard kopieren

Hierfür muss xsel installiert sein. Die meisten »modernen« Linux-Distributionen installieren die alten Kommandozeilen-Tools für XWindows nicht mehr standardmäßig, so dass man es gegebenenfalls nachinstallieren muss.

Mit xsel könnte man sogar schon auskommen, aber als tippfauler Mensch mache ich meine eigene Funktion, die einerseits die Ausgabe auf die Konsole ausgibt, damit ich sie direkt lesen kann, und die sie andererseits in das Clipboard kopiert:

clip() {
    cat "$@" | tee /dev/tty | xsel -bi
}

Beispiel: ls -l | clip gibt das Verzeichnislisting aus und kopiert es gleichzeitig in die Zwischenablage.

HTML-Entitäten

Es kommt bei mir erstaunlich häufig vor, dass ich Texte auf die eben beschriebene Weise in die Zwischenablage kopiere, die ich anschließend in ein HTML-Dokument einfüge. Wenn dabei nur ein bis drei reservierte Zeichen von Hand durch die jeweilige Entität ersetzt werden müssen, geht das ja noch, obwohl ich es immer wieder einmal vergesse. Besser ist es für mich, dafür eine Funktion in der Shell zu haben:

htmlentities () {
    sed -e 's/&/\&/g' -e 's/"/\"/g' \
        -e 's/</\&lt;/g' -e 's/>/\&gt;/g' "$@"
}

Beispiel: Vermutlich kann sich jeder vorstellen, wie sehr es hirnt, so eine Zeile in HTML zu tippen. Gut, dass ich diese Funktion schon fertig in meiner .bashrc hatte, so dass ich sie folgendermaßen in die Zwischenablage bekam, um sie direkt in das Editorfenster einfügen zu können, in dem ich diesen Text schreibe:

$ sed -n '/^htmlentities/,/}/p' .bashrc | htmlentities | clip

🙂

Wer nicht sofort versteht, wie ich mit sed die Funktionsdefiniton aus der .bashrc extrahiert habe: Dieses olle Programm sed ist unendlich praktisch und kann einem leicht viel Arbeit sparen. Meiner Meinung nach sollte jeder Mensch, der öfter an einem Computer mit einem unixoiden Betriebssystem arbeitet, damit ein bisschen umgehen können. Leider ist die man-page (auf GNU-Systemen) sehr kurz angebunden und überhaupt nicht hilfreich. Wer gewohnheitsmäßig mit dem hervorragend dokumentierten vim editiert, hat es dafür aber leicht, sed zu erlernen, weil es der vim-Befehlszeile sehr ähnlich ist.

Besserer Prompt

Die eben angegebenen Funktionen werden auch mit anderen Shells funktionieren, insbesondere mit der ksh¹. Das gilt nicht für diesen Tipp, er geht in dieser Form nur mit der bash.

Grundsätzlich finde ich es ja gut, wenn mein aktuelles Verzeichnis im Prompt angezeigt wird – aber da ich sehr häufig tief verschachtelte Unterverzeichnisse mit zum Teil sehr langen Namen habe, ist es beim Arbeiten für mich eher verwirrend, dass mir der gesamte Pfad angezeigt wird. Wenn ich den genauen Pfad des Verzeichnisses wissen möchte, in dem ich mich befinde, kann ich immer noch pwd tippen. Deshalb schreibe ich in meine .bashrc immer folgendes:

export PS1='\u@\h [\W] \$ '

Das führt zu einer in meinen Augen wesentlich angenehmeren Darstellung des aktuellen Arbeitsverzeichnisses im Prompt:

elias@porz [~] $ pwd
/home/elias
elias@porz [~] $ cd /usr/local/share/games/mame/roms/
elias@porz [roms] $ du -hs .
42G     .
elias@porz [roms] $ pwd
/usr/local/share/games/mame/roms
elias@porz [roms] $ cd
elias@porz [~] $ _

Die Darstellung des Verzeichnisses in eckigen Klammern ist nur mein schlechter Geschmack, hier kann jeder machen, was er will. Zum Beispiel eine farbige Ausgabe mit ANSI-Sequenzen (finde ich persönlich schrecklich).

Wer nicht häufiger in ssh-Sitzungen auf anderen Rechnern arbeitet, kann natürlich die Angabe \u@\h weglassen, weil ja immer klar ist, an welchem Rechner man arbeitet. Ich hingegen würde neben dem bekannten who am i auch ein where am i benötigen… und die Verpeiltheit kommt manchmal dazu…

¹Weil die ksh die eigentlich POSIX-konforme Shell ist, die bash des GNU-Projektes hingegen in einigen Dingen (insbesondere in der Behandlung von Pipes in Kontrollstrukturen) inkompatible Wege geht, versuche ich immer ein bisschen an die ksh zu denken. Vielleicht muss ich einige meiner Skripten ja mal auf einem richtigen Unix laufen lassen…

Veröffentlicht unter Technisches | Verschlagwortet mit , | Schreib einen Kommentar

Aber es war immerhin keine SQL-Injection

Veröffentlicht am 27. April 2016 von Elias

Vor ein paar Jahren habe ich immer wieder die folgende Security-Dummaussage von Ahnungslosen gehört: »SQL-Injections sind ein häufiger und gefährlicher Angriff«. Und dann haben die Dummen und Ahnungslosen nicht etwa gesagt, dass man deshalb niemals unvorsichtig eine Benutzereingabe in einem SQL-Statement verwenden darf, dass man immer auf korrektes Quoting achten muss, dass man nach Möglichkeit bewährten Bibliothekscode verwenden sollte, der einem in dieser elementaren Sicherheitsangelegenheit unterstützt… sondern so etwas unsäglich Dummes wie »Mit eine NoSQL-Datenbank kann das nicht passieren«.

In der Tat, Herr Hirnamputiert, eine SQL-Injection ist damit nicht möglich.

Eine Security-Unfähigkeit der Größenordung »Die Datenbank nicht durch ein Passwort absichern, sondern quasi offen für jeden zugreifbar ins Internet stellen« kann dann aber immer noch dazu führen, dass die für einen Identitätsmissbrauch völlig hinreichenden Daten von 93 Millionen Wahlberechtigten in Mexiko veröffentlicht werden.

Dumme Antworten auf Probleme der Datensicherheit sind nämlich vor allem eines: Sie sind dumm.

Und dumme Antworten auf Probleme der Datensicherheit werden auch heute noch oft und gern gegeben, zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (die Hervorhebung im folgenden Zitat ist von mir):

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der Hannover Messe eine Sicherheitsanalyse des Kommunikationsprotokolls OPC UA veröffentlicht. Dieser Industriestandard gilt als essenziell für eine sichere Kommunikation zwischen Maschinen (M2M). Laut BSI hat OPC UA keine systematischen Sicherheitslücken – zumindest auf dem Papier

Mit Verlaub, aber eine technische Spezifikation ist deutlich einfacher frei von Sicherheitslücken zu halten als ihre Implementation in Form von Software – es ist doch schön, dass das BSI uns einmal allen diese triviale Wahrheit erzählt hat, wenn auch auf eine Weise, die das Potenzial in sich trägt, einige Satiriker arbeitslos zu machen. Zu den Spätfolgen dieser Erzählweise empfehle ich, in den nächsten fünf Jahren die Nachrichten von »gehackten« Industrieanlagen in der Bundesrepublik Deutschland zu verfolgen.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , , , | Schreib einen Kommentar