Dümmster Spam des Tages

Eben fand ich die folgende Mail in den tiefen des Spamordners (natürlich automatisch verklappt):

Guten Tag Bla Fasel (Name von mir geändert ;),

Ihre 150,00 Euro können morgen überwiesen werden.

Folgende Daten werden noch benötigt:

- Vorname
- Nachname

Bitte besuchen Sie meine Internetseite, um das Geld zu erhalten. Weitere Daten werden nicht benötigt.

Klicken Sie hier:
http://<>

Mir freudlichen Grüssen,

Moritz Ahlborg

Anmerkung: Es stand mein Vorname und mein Nachname hinter "Guten Tag". Ausserdem mache ich hier nicht noch mehr Werbung für die Webseite mit Gedächtnisschwund.

Was soll ich denn jetzt davon halten?
Natürlich ist das Spam und selbverständlich klicke ich nicht auf den Link, um dort etwas anzugeben, was der Spammer bereits kennt!
Der Typ soll mir doch einfach all sein Geld überweisen (oder den Koffer mit Bargeld vor die Tür stellen), schliesslich werden ja keine weiteren Angaben benötigt.
Wie bescheuert sind die Leute, die Leute für so bescheuert halten?
Immerhin haben die Spammer inzwischen deutsch gelernt. Aber entweder es wird hier auf Menschen gesetzt, die Ihre Mails nicht lesen und alles klicken, was nicht bei drei auf den Bäumen ist oder dieser Spammer ist eine wildgewordene KI, die (noch) nicht weiß, wie Menschen funktionieren.
Fazit:
So werde ich meine Stupidophobie (Angst vor Dummheit) jedenfalls nicht bekämpfen :p

Server in VMware

Auf meiner Linux-Maschine läuft Debian Etch und Windows ist in einen virtuellen PC via VMware-Player verbannt. Aus mehreren Gründen läuft die virtuelle Netzwerkkarte im NAT-Modus:
Der virtuelle Rechner braucht keine eigene IP aus dem lokalen Netz, da er ja nach aussen die IP des Wirtes benutzt. Somit ist der "Rechner" auch nicht von aussen zu erreichen.
Das war bisher auch so gewollt. Nun will man aber manchmal eben doch einige Dienste von aussen ansprechen können (z.B. um per VNC Hilfe zu bekommen oder den lokalen Apache mit einer Entwicklerversion eines Webservice ansprechbar zu machen)
Dazu muß man entsprechende Einträge in der /etc/vmware/vmnet8/nat/nat.conf vornehmen.
1. VMware-Player beenden
2. Unter [incomingtcp] die Portweiterleitungen eintragen

[incomingtcp]
# Use these with care - anyone can enter into your VM through these...
PPP = xx.xx.xx.xx:PPP

xx.xx.xx.xx ist die private IP-Adresse der virtuellen Maschine
PPP ist der weiterzuleitende Port (z.B. 5900 für VNC oder 8080 für den erwähnten Apache-Dienst)
3. den VMware-Service (und damit die virtuellen Interfaces) beenden

/etc/init.d/vmware stop
/etc/init.d/vmware start

4. VMware-Player starten und die Ports werden vom Wirt zum Host weitergereicht

In meinem Fall ist der Dienst dann natürlich noch nicht aus dem Internet/Intranet erreichbar. Dazu muß auf dem vorgeschalteten Router ebenfalls eine Weiterleitung eingerichtet sein, wobei hier natürlich die IP des Wirts zu verwenden ist.
Beispiel:
[Internet]-->[Router]--NAT-->[Wirt]--NAT-->[VMware]
0.0.0.0:8080-->10.0.0.10:8080-->192.168.0.10:8080
PS: Das Gateway des vmnet-Interface hat die *.*.*.2 und nicht wie üblich *.*.*.1 - aber das sei nur am Rande bemerkt

Spekulationen um DoS-Schwachstelle im TCP-Protokoll

Ein möglicher Design-Fehler im TCP-Protokoll soll sich ausnutzen lassen, um beliebige Server im Internet unerreichbar zu machen.
Das ist beunruhigend, basiert doch meine globalisierte kleine Welt genau darauf, daß mittels dieses Protokolls alles was ich brauche vernetzbar ist (oder zumindest die Lieferanten dieser Dinge ein Netzwerk betreiben können, um mich damit zu versorgen).
Passend zu diesem Thema ist das untige Video. Daumen hoch!

PS: Gefunden in den Kommentaren zum gleichnamigen Artikel bei heise.de

Nachtrag: Hier der Link zum Song-Text (man beachte, daß er sich in der RIPE-Datenbank befindet)

Neulich in der U-Bahn

The dynamic link library MSWSOCK.DLL could not be found in the specified path C:\WINNT\system32 ...

Aha und ich dachte auf den Werbemonitoren in der Berliner U-Bahn läuft noch Windows 95 ;) Wie auch immer. Diese Absturzmeldung gab es nicht das erste mal und spricht nicht gerade für das System und deren Käufer. Aber vielleicht hat die BVG ja garnicht so viel Geld für unnötige Windows-NT-Lizenzen ausgegeben, weshalb das nicht registrierte Windows nun den Dienst einstellt.
Für so eine simple Kiosk-Anwendung braucht man im einfachsten Fall ein absolut abgespecktes Linux und von mir aus Java oder Flash oder sonstwas hypertoll Animierfähiges in einem Vollbild-Browser.
Das zur Wartung nötige WLAN (mit Verschlüsselung) wäre auch damit machbar.
Das man hiermit nur die Kosten der Lizenzen und nicht die der Administration spart, ist auch klar. Denn auch hier kann man dann nicht den Müller aus der Buchhaltung ran lassen, der das irgendwie in seiner Freizeit auch mal gemacht hat und weiß wie man Ubuntu installiert (nämlich mit CD einlegen und Knopf drücken).
"Ist doch nur ein Werbefenster, warum regst Du Dich so auf?"
Weil es indirekt mein Geld ist, da alle Kosten auf den Fahrgast umgelegt werden.
Weil es ein potentielles Sicherheitsthema ist. Möchte mal wissen, was passiert, wenn (vermeindlich) die BVG über diese Bildschirme mitteilt, daß der erste Wagen brenne (und der Fahrer deshalb keine Durchsage mehr machen könnne) und die Leute bitte Ruhe bewahren sollen.
Ich wünsche mir ein Schulfach: Medienaufklärung und Sicherheitsethik.

WLAN mit WPA2

Installation des integrierten WLAN-Moduls.

BIOS-Einstellungen:
* WiFi aktivieren

* HotKey deaktivieren


Bei der Gelegenheit mal ein konzentrierter Blick auf die Bluetooth-Einstellungen:
Aha, garkein Bluetooth-Modul verbaut.
Da hat der Kollege beim Bestellen wohl nicht aufgepaßt - hätte mir einiges an Fehlersuche gespart, wenn ich das vorher gewußt hätte, darum hier die Erwähnung.

Installationsanweisung leicht modifiziert ausführen:

* SubSystem ieee80211 ist schon vorhanden und erneutes Installieren des angegebenen Packets produziert unschöne Fehler.

* Download des Treibers ipw3945-1.2.0.tgz oder eine neuere Version (möglichst stable) von http://ipw3945.sourceforge.net

tar xzvf ipw3945-1.2.0.tgz
cd ipw3945-1.2.0
make

* Neueste Firmware-Version von http://bughost.org/ipw3945/ucode/

tar xzvf ipw3945-ucode-1.14.2.tgz
cp ipw3945-ucode-1.14.2/ipw3945.ucode /lib/firmware

* Neueste Daemon-Version von http://bughost.org/ipw3945/daemon/

tar xzvf ipw3945d-1.7.22.tgz
cp ipw3945d-1.7.22/x86/ipw3945d /sbin

Nun muß man sich noch klar machen, was WLAN heißt - nämlich ungerichtet Daten im Umkreis verteilen, also quasi Rundfunk - und sich für eine Verschlüsselung entscheiden. Aktuell sicherste Variante ist WPA2 und das unterstützt das Modul und mein Router natürlich auch (Posting folgt sicher noch).
Ich verwende die Variante mit einem Pre-Shared-Key (PSK), der von Zeit zu Zeit mal geändert wird und aus einer Phasphrase generiert wird (Diese sollte es einer Wörterbuch-Attacke nicht zu leicht machen und eine gewisse Länge haben).

In der Config wird nun der Key und nicht die PhasPhrase gespeichert, also müssen wir diesen generieren:
* evtl. fehlendes Pakete holen (apt-get install wpasupplicant)
* Key aus der Ausgabe extrahieren

wpa_passphrase MeineSSID MeinSchluessel
626d3fc95a3efe75acaebf1388ed167a90e59390efab91a5841242e49bc62b3a

DHCP für WLAN halte ich ebenfalls deaktiviert (daher der static eintrag). Die Geräte, die sich einwählen können, will ich alle kennen und bekommen von mir eine eindeutige IP zugewiesen (im Gegenzug muß ich noch die Mac-Adresse wissen und diese dem Router bekannt machen).
Da es sich nicht um ein öffentliches Netz handelt, verwende ich einen privates Netzbereich 10.xxx.yyy.zzz und trenne auch noch kabelgebundenes und drahtloses Netzwerk (z.B. 10.100.0.Z und 10.200.0.Z )
Zugegeben ist Sicherheit immer nur das Gefühl von Sicherheit, aber diese Schritte sind leicht zu konfigurieren.


* /etc/network/interfaces anpassen
bei mir ist es eth2 und hier ist nur diese Sektion angegeben.

iface eth2 inet static
network 10.X.Y.0
broadcast 10.X.Y.255
address 10.X.Y.Z
netmask 255.255.255.0
gateway 10.X.Y.1
wpa-ssid MeineSSID
wpa-key-mgmt WPA-PSK
wpa-psk 626d3fc95a3efe75acaebf1388ed167a90e59390efab91a5841242e49bc62b3a
post-up wpa_supplicant -Bw -i eth2 -D wext -c /etc/wpa_supplicant.conf
post-down killall wpa_supplicant

Zeit das Interface hochzufahren:

ifup eth2

Tips:

• Wenn ich nicht in meinem Heimnetz bin, gehe ich ins BIOS und deaktiviere das WiFi-Modul! Irgendwie blinkt nämlich das WiFi-Lämpchen trotz runtergefahrenem Interface - und nicht gebraucht = AUS ist generell eine gute Idee.
• PhasePhrase und Passwörter sollten hinreichend kompliziert und lang sein, aber nicht so schwer zu merken, daß man sie sich vor lauter Verzweifelung irgendwo aufschreiben muß!

• Configs vor der Änderung sichern (am besten "nahe" dem Original, um leicht ein Rollback machen zu können ohne lange suchen zu müssen). Beispiel:

  cp /etc/network/interfaces /etc/network/interfaces20070705-01

Der Vollständigkeithalber sei noch erwähnt, daß die Konfiguration von WPA2 unter Windows XP auch nicht ganz ohne handarbeit funktioniert.
Selbst mit Service Pack 2 ist WPA2 nicht verfügbar! Dazu muß ein weiterer Patch von Microsoft eingespielt werden (siehe dazu auch die gute Rubrik Netzwerke bei heise)
danach ist es gewohntes Klicki-Bunti

Warnung: Das Speichern von Passwörtern ist ein potentielles Sicherheitsrisiko! Gerade Laptops können schonmal ungewollt dauerhaft den Besitzer wechseln!
Ich gebe aber zu hier Gelegentlich auch zur Bequemlichkeit zu neigen.

Nachtrag: /etc/wpa_supplicant.conf muß auch angepaßt werden - siehe hier.

Nachtrag2: Das ieee80211 Subsystem muß doch ausgetauscht werden, da es sonst Probleme bei der Übertragung großer Dateien gibt. Siehe mein Eintrag zu TKIP: ICV error detected: STA=.