Getagged : Problem

in Ärger, Politik, Security, Wirtschaft

Sicherste Technik, die es gibt – wer’s glaubt

Mustermann nPA (neuer Personalausweis ab 1.11.2010) / Bundesministerium des Innern / Genehmigung: §5 (1) UrhG, official work

Mustermann nPA (neuer Personalausweis ab 1.11.2010) / Bundesministerium des Innern / Genehmigung: §5 (1) UrhG, official work

Nun ist er da, der “sagenumwobene” nPA (neuer elektronischer Personalausweis)!

Und die Befürworter aus Staat und Industrie versuchen trotz des Zwangsstartes dieser Woche diesen in positiven Licht darzustellen. Der erhoffte “Run” auf den neuen Ausweis blieb aber weit hinter den Erwartungen. Speziell in den “neuen” Bundesländern ging der Einführungstermin einher mit auslaufenden alten Ausweisen. Dumm nur, dass im Vergleich zu den regulären Ausweisbeantragungen in der letzten Woche sehr viele noch den guten alten Ausweis in Auftrag gaben, wie es zB. die Piraten in Potsdam in ihrem letzten Wochenrückblick aufzeigen. Sicherlich mag hier der Umstand ebenso geschuldet sein, dass man für ein derartiges Dokument statt 8€ nun 28,80€ auf den Tisch legen muss und viele Leute mit dieser Hyper-Technik nichts am Hut haben.

Dass es hier nicht nur um Sicherheit geht, sondern auch um wirtschaftliche Interessen, zeigt zB. ein Interview vom 01.10.2010 auf Radio1 (interessant ab ca. 4:00). Ein “sicheres Bonuspunkte-Programm kann damit abgewickelt werden – soso. Was das bisherige (und in meinen Augen sehr zweifelhafte) Bonuspunkte-Programm des Handels unsicher darstellen lässt, läuft wohl eher dahingehend hinaus, dass man z.B. nicht eindeutig einen Einkauf auf eine Person zurück schließen lassen kann. Mit dem nPA ja alles kein Problem mehr und wird auch noch fertig gebacken dem “Kunden” in naher Zukunft aufgezwungen. Man kann ja dann ohne nPA die tollen Funktionen nicht nutzen und auch nicht mehr “sicher” einkaufen.

Kritik gab es zudem viel – besonders im Zusammenhang mit dem durch die Bundesregierung erworbenen Sicherheitskits, die gratis unters Volk geworfen werden sollten. Speziell diese haben ein eklatantes Sicherheitsproblem, da die 6-stellige PIN via Computer-Tastatur eingegeben werden muss. Der CCC hatte hierzu Sicherheitsmängel aufgezeigt, weil es dadurch mit einfachen Mitteln möglich ist, die PIN bei Eingabe auf dem Computer auszulesen und diese gar automatisiert durch ein Schadprogramm zu nutzen. Ich denke der letzte Satz ist genau der ausschlaggebende Punkt:

Mitlesen der PIN und automatisierte Legitimation

Wohl bemerkt: das alles, wenn der nPA in der Nähe des Lesegerätes sich befindet.

Nun gibt es auf der FAZ seit gestern ein “tolles” Interview mit der IT-Beauftragten der Bundesregierung Cornelia Rogall-Grothe. Dieses Interview zeigt, dass man keine Juristen in die Position des Bundes-CIO hieven sollte. So oft kann man sich nicht an die Stirn schlagen, wie man eigentlich gern wollte (#facepalm).

Aber beginnen wir von vorn … Weiter lesen …

in Hard & Software, Kommentar, Kurioses, PC

Windows 7 nur mit Windows

Um Windows 7 mal nativ auf dem Mac Pro die nächsten Tage testen zu können, wollte ich einfach “nur” die 64-Bit Edition von Microsoft herunter laden. Die Bedingungen für den Download lasen sich gut: benötigt werde der IE7, IE8 oder Firefox. Kein weiterer Ton zum benötigten Betriebssystem oder sonstigen Voraussetzungen.

Ich also frisch ans Werk, mich mit meinem bestehenden Account angemeldet und – nichts passiert. Er sprang immer wieder zur vorherigen Seite zurück und startete den Download nicht einmal ansatzweise. Also eine virtuelle Maschine mit Windows XP gestartet und das Ganze von dort ausgeführt und – es ging problemlos herunter zu laden.

Frage an MS: Ihr wollt doch eure Software an den Mann (oder Frau) kriegen, oder? Dann solltet ihr auch den Download von nicht Windows-Systemen aus zulassen. Wer, wenn er nicht gerade eine DVD bereits sein Eigen nennt, installiert sich vorher ein Windowssystem, um Windows 7 herunter laden zu können?

in Kommentar, Politik, Security, Wirtschaft

DNS-Manipulation und eine seiner Folgen

Ich hatte mich ja bereits über die eingeführte DNS-Manipulation seitens der Telekom geäußert. Jetzt taucht schon mit einer der ersten Fälle auf, wo diese “Domain nicht existent – ich leite auf Telekom-Server”-Sache mitunter “Schaden” anrichtet.

Viele Firmen haben Sicherheitsvorkehrungen gegen Spam und anderes Gedöhns, wo z.B. bei einer eingehenden Mail ein DNS-Lookup durchgeführt wird, um die Korrektheit der Absenderdomain festzustellen. Das ist mitunter ein Indiz, ob es sich um Spam handelt oder nicht. Durch die Umleitung der DNS-Anfrage oder besser dem Vorgaukeln, dass die falsche Domain doch existiert (auf dem Telekom-Server) wird durch diese Prüftools fälschlicherweise angenommen, dass die Absenderdomain existiert und ok ist.

Dieses Verfahren der ISPs stört sämtliche Sicherheits- und Überprüfungsverfahren, die auf Validierung der DNS-Namen angewiesen sind. Schöne “sichere” Welt, oder?

in Arbeit, Hard & Software, Hilfe, PC

Ade, AD und DNS! Oder etwa doch nicht?

Wenn es nach der gestrigen intensiven Google-Suche meinerseits geht, ist das gestern aufgetretene (berufliche) Problem bei einem Kunden mehr als selten. Informationen hierzu waren spärlich, wenn nicht sogar armseelig. Anscheinend taucht es niemals auf – obwohl es das tut. Was war passiert? Ich versuch es so ausführlich wie möglich, aber bedenkt – ich mach es aus dem Kopf, da ich die Fehlermeldungen nicht mehr vorliegen habe.

Die genauen Hintergründe sind mir selbst verborgen. Anfangs lag der Verdacht auf ein fehlerhaftes Update eines Antiviren-Programmes, welches ich aber nach erster Recherche beim Kunden vor Ort ausschließen konnte. Nach Start des Servers (hier ein MS 2003 Server Standard), war eine Anmeldung nicht möglich, da ein Fehler im Verzeichnisdienst (Active Directory) aufgetreten ist. Um es mit einfachen Worten zu sagen, die Active Directory Informationen waren im Anus.

Im Verzeichnisdienstwiederherstellungsmodus war es mir nicht möglich die ntds.dit-Datei (welche die AD-Informationen beinhaltet) mit den üblichen Tools, wie ntdsutil oder esentutl zu reparieren. Ich hatte an dieser Stelle fast aufgegeben, da eine aktuelle Sicherung nicht vorhanden war. Der Server pfiff eh schon auf dem letzten Loch und die Datensicherung war genauso zuverlässig und glaubwürdig, wie Backsteine in der Luft schweben können.

Die Betonung lag hier auf “aktuelle” Sicherung. Ich hatte noch Zugriff auf eine Sicherung von 2006. Also relativ zeitnah möchte ich anmerken. Aus dieser holte ich im Modus Verzeichnisdienstwiederherstellung die ntds.dit und überschrieb die Originale (nach händischer Sicherung) im Ordner C:\WINDOWS\NTDS. Die Prüfungsmechanismen mittels ntdsutil verliefen fehlerfrei und ich startete den Server durch. Ich konnte mich daraufhin anmelden aber das nächste Problem folgte – der DNS Server. Es handelte sich um eine AD mit integriertem DNS und die rückgesicherte ntds.dit war einfach viel zu alt, sodass der DNS Server dies nicht akzeptierte. Ich konnte den DNS Server nicht konfigurieren oder eine neue Zone erstellen – beides wurde mit einer Meldung in der Art “konnte nicht in Active Directory (null) schreiben”. Ebenso war es mir nicht möglich, mit den mir verständlichen Mitteln den DNS Server zu deinstallieren und blanko zu installieren. Es schlug jeder Eingriff fehl.

Somit konnten auch die Clients keine Namensauflösung mehr machen, geschweige denn sich an der Domäne anmelden. Intern, wie auch extern war der Zugriff auf DNS-Namen nicht möglich. Ein Glück, dass der Kunde mittels HTTP-Proxy surfte. Zumindest war der Server via \\IP-Adresse erreichbar. Eine Konstellation, die dem Kunden “erst einmal ausreichte”. Ich versprach mich darum zu kümmern, denn völlig mich einer Neuinstallation hingeben lag mir fern. Ich recherchierte gestern über 5 Stunden zu Hause und stieß auf den für mich letzten besaglichen Strohhalm.

Heute beim Kunden angekommen, habe ich das auch gleich umgesetzt, Daumen gedrückt, weggesehen und … es lief! Einzig allein die wenigen Arbeitsstationen musste ich aus der “alten” Domäne austreten und in die “neue” Domäne eintreten lassen und alles funktionierte, wie es sollte. Und für alle die, die ungeduldig warten, was ich getan habe, hier eine “Kurzanleitung” am Hauptserver (DC+DNS).

  1. Deinstallation des DNS-Servers (Systemsteuerung->Software->Windowskomponenten hinzufügen/entfernen)
  2. Löschen (vorher sicherheitshalber sichern) der Dateien netlogon.dns und netlogon.dnb (hier unter C:\WINDOWS\SYSTEM32\CONFIG)
  3. Löschen (vorher sichern) des kompletten Ordners DNS (unter C:\WINDOWS\SYSTEM32)
  4. wenn noch nicht vorhanden, die Support Tools von M$ installieren
  5. CMD starten und folgenden Befehl eingeben (vom Support Tools Installationspfad aus): netdom resetpwd /server:SERVERNAME /userd:SERVERNAME\Administrator /passwordd:*
  6. es wird nun nach dem Kennwort gefragt: hier kann einfach das alte Administratorkennwort eingegeben werden
  7. DNS Server installieren (Systemsteuerung->Software->Windowskomponenten hinzufügen/entfernen)
  8. Sicherstellen, dass die oben entfernten Dateien und Ordner wieder erzeugt wurden
  9. CMD starten und netdiag /fix ausführen
  • Restarbeiten (Aus- & Eintritt der Client-PCs in die Domäne)
  • Feierabend machen

Mindestens durch die alte ntds.dit Datei, wenn nicht durch einen Fehler in der DNS Konfiguration oder anderen Ursachen, wurde das Kerberos-Passwort des Administrators zurückgesetzt. Mittels netdom wird dieses “aufgefrischt” und dann sollten in dieser Hinsicht diese Probleme beseitigt sein.

Hoffe es hilft Einem – dem Kunden für sein Geschäft und mir für das “Wissen” auf jeden Fall.

in Arbeit, Hard & Software, Hilfe, Netz, PC

Genaue Fehlerbeschreibung

Zum Glück hatte ich heute nichts Wichtiges vorgenommen, denn ansonsten hätte der Kunde !heute! alt ausgesehen. Um 19.00 Uhr bimmelt mein Telefon, während wir uns gemütlich eine Folge Babylon 5 ansehen. Ein Angestellter des Hotels lässt verlauten, dass ein Rechner, der mitunter wichtig ist (wie alle Rechner), ständig die Netzwerkverbindung trennt und wieder aktiviert und somit ein Arbeiten im Netz, sprich mit über das Netz laufende Betriebsanwendungen, nicht möglich ist. Somit sind die Buchungen, Bestellungen, Reservierungen usw. – sprich der gesamte Hotelablauf nicht möglich.

Auf meine Frage, ob es nur diesen Rechner betrifft, erhalte ich ein definitives “JA”. Das schränkte für mich das Problemfeld auf den Rechner ein – ergo Kabel oder Netzwerkkarte. Ich rückte also von zu Hause in die Firma raus, um Netzwerkkarten und Werkzeug zu holen und hottete dann zum Kunden. Dort angekommen wollte ich gerade mich ans Werk machen, begutachtete schon das Problem (welches sich ohne Vorführeffekt auch mal zeige), als ich noch einmal sicherheitshalber nachfragte, ob das Problem wirklich nur an diesem Rechner auftritt.

Natürlich erhielt ich dann die Aussage, dass sich das Problem auch auf andere Rechner ausgeweitet hätte. Dieses Problembild ist natürlich vollkommen anders und schließt als Erstes ein Problem mit einer Netzwerkkarte eines Rechners aus – Murphy schlägt nicht ohne Weiteres so schlimm zu. Es ging daraufhin in den Keller, denn mir schwante schon Übles. Ich begutachtete die Switche eine Weile und an einem Port fiel mir auf, dass dieser alle paar Minuten komplett dunkel wurde, bis er darauf wieder mit voller Last kommunizierte. Wenige Augenblicke später war die LED des Ports wieder aus und so weiter und so fort.

Ich verfolgte das Kabel, welches auch prompt ins Nirvana verschwand. Die Kabeldokumentation war schlichtweg nicht existent und ich hatte schon den Switch in Verdacht. Ich spielte das Ganze gedanklich, als auch verbal durch und der Angestellte meinte darauf hin, dass oben unter dem Tisch nachträglich auch so ein Switch angeschlossen wurde.

Also wieder hoch und quer durch das Hotel gestiefelt und den “neuen” Switch dort unter die Lupe genommen und siehe da: dieser meinte alle paar Minuten einen Reset durchzuführen, welcher dazu führte, dass die Rechner ihre Verbindung zum Netzwerk verlierten. Klasse Sache! Er war übermäßig heiß und das Problembild und die Begleiterscheinungen passten wie die Faust aufs Auge.

Auf ins Auto, zurück in die Firma und einen passenden Switch gesucht und in Windeseile wieder zurück, angeschlossen und alles funktioniert wieder. Fertig war ich dort kurz vor 22.00 Uhr. Die Hin- und Herfahrten und das “falsche” Suchen des Problems forderten ihre Zeit. Aber wäre die später zugetragene Info, dass alle Rechner in einem Bereich davon betroffen sind, früher gekommen, hätte ich schon vorher einen passenden Switch mitgebracht. Das hätte knappe 50 Minuten Zeit einsparen können. Interessant war dann zu erfahren, dass sie schon knappe 2 Wochen das Problem hatten. Nur kristallisierte sich es in Form von Programmaussetzern, temporären Datenfehlern oder allgemeinen Problemen bei Netzwerkzugriffen.

In diesem Sinne – ein schönes und “arbeitsfreies” Wochenende!

in Privates, Security

Digitale Langzeitarchivierung?

Gibt es das überhaupt? Diese Frage stelle ich mir seit einigen Tagen vehement. Ich denke, jeder von uns, der seine Daten archiviert, kennt das Problem. Datei-Formate werden abgelöst und alte Dateien müssen umkonvertiert werden. Programme zum Darstellen oder Erzeugen dieser Formate ändern ihr Format beim nächsten Release oder sind von der Struktur her anfällig (Word). So weit so gut.

Aber was passiert mit Daten, die verschlüsselt oder mit einer Signatur versehen sind? Der Schlüssel hierfür ist zeitlich begrenzt und nach Ablaufen des Zeitraumes sind die Daten Geschichte. Wieso? Bei konsequenter Nutzung von Signaturen werden verschlüsselte bzw. signierte Daten ungültig und aus ebenso aus oben genannten Aspekt unlesbar.

Das wird sicher interessant bei den Vorhaben der Politik – ich verweise zum Beispiel mal in Richtung ELENA oder eGK, wo die Signatur sich alle 3 Jahre ändert. Ebenso bei anderen Vorhaben Dokumente, wie Geburts- und andere Urkunden signiert zu archivieren. Besonders pikant wird es, damit das Dokument seine Gültigkeit auch bei der sogenannten Übersignierung behält, dass ich diese mit einem neuen Schlüssel übersignieren muss.

Und selbst wenn ein anderer, wie bei einer beglaubigten Kopie, anstelle meiner einer das Ganze übersigniert, wie vertrauenswürdig ist diese Person? Und auf dem “Original” ist die alte Signatur abgelaufen – das passiert bei einem Papier-Original nicht, wo meine Unterschrift drauf ist.

Ob sich die da oben dazu überhaupt Gedanken gemacht haben? Schwieriges Thema – vielleicht habe ich ja einen Denkfehler. Ich stelle das mal hier zur Diskussion.