Heute war wieder Vortragszeit beim CCCS in der Stuttgarter Wagenhalle, diesmal mit Thomas Maus, zum Thema "Autopsie einer IT-Anwendung für die elektronische Patientenakte - Sicherheits- und Kryptoanalyse: Ein Beispiel aus der Praxis".
Der Vortragende war (nicht vom Hersteller) beauftragt worden, das bereits im Probebetrieb befindliche Modell zur Übertragung einer elektronischen Patientenakte zwischen Arztpraxen unter Sicherheitsgesichtspunkten zu begutachten, also in Form einer "Blackbox"-Analyse von außen ohne Kenntnis des zugrundeliegenden Codes, anhand der Dokumentation sowie eines bereitgestellten lauffähigen Systems (1 Server, 2 Clients). Dazu hatte er nur 4 Tage Zeit - aber die Ergebnisse sind dennoch (je nach Standpunkt) atemberaubend oder deprimierend. Glücklicherweise war der Auftraggeber bereit, die öffentliche Präsentation der Feststellungen (ohne Namensnennung von Roß und Reiter) zu genehmigen.
"Autopsie einer IT-Anwendung für die elektronische Patientenakte" vollständig lesen
Am Montag schrieb ich noch von Suchtgefahr - dabei hat sie sich längst schon realisiert, und ich habe die Abende (und Nächte …) der letzten Woche über besagtem Spiel verbracht. Nach anfänglichen Schwierigkeiten schon im dritten Level der ersten Kampagne habe ich einfach nochmal von vorne angefangen, dann nochmal, und schon flutschte das, so daß ich erst bei "The Siege of Elensefar" steckenblieb, da aber dann richtig. Keine Chance, mit meiner Handvoll Einheiten auf Level 3 (ein oder zwei) und 2 (drei Stück).
Also nochmal von vorne. Durch den ersten Level flott durch, Gold sammeln. Im zweiten XP sammeln, einige Einheiten kurz vor Level 2 bringen. Im dritten Level dann loslegen, die ersten Einheiten hochbefördern und dabei noch einiges an Gold und Bonus mitnehmen. Im vierten Level die anrückenden Landeinheiten zerstreuen und so insbesondere die Magier und Fernkampfeinheiten hochbringen. Im fünften Level, auf Muff Mala, ist alles diesmal wirklich nur noch ein Kinderspiel, das ich trotzdem bis zum Ende auskoste; lieber auf den Bonus verzichten, aber möglichst viel XP mitnehmen. 2x Level 3, 9x Level 2, darunter zwei Magier, etliche gut "vorbereitete" Level-1-Einheiten und 252 Goldstücke - vielleicht klappt es ja diesmal?
Ein spannendes Thema, aber leider ein enttäuschender Vortrag, zu dem heute abend der CCCS einmal wieder in die Stuttgarter Wagenhalle lud.
Das man bei diesem Thema nicht notwendig mit einer neutralen Sichtweise rechnen muß, ist ja klar und war daher nicht überraschend. Schade aber, daß nicht nur die Darstellung m.E. teilweise tendenziös war, sondern auch die Fachkenntnis des Vortragenden mit der Zeit immer zweifelhafter erschien. Ich glaube ja gerne, daß es nicht einfach ist, vom Verfassungsschutz Auskunft über gespeicherte personenbezogene Daten zu erhalten - aber der Großteil der begeistert ausgebreiteten Schwierigkeiten dürfte eher in der Unkenntnis des Anfragenden gelegen haben. Wer sich nicht nur darüber wundert, daß ein Gericht nach Klageerhebung einen Gerichtskostenvorschuß anfordert, und daher dort entsprechend nachfragt, warum er denn Geld bezahlen soll, sondern diese Frage dann auch noch dem Justizministerium stellt, hätte vermutlich besser jemanden gefragt, der sich damit auskennt.
Insofern blieb leider aus meiner Sicht auch sonst offen, auf welcher Faktenbasis die teilweise durchaus interessanten Darstellungen zu - angeblichen - tatsächlichen Vorgehensweisen des Verfassungschutzes, aber auch anderer Sicherheitsbehörden basieren. Schade eigentlich, denn der Komplex wirft auch ohne das genügend Fragen auf - so zum Beispiel, warum nicht nur Strafverfolgungsbehörden, sondern auch die Polizei für Eingriffe wie Post- und Telefonüberwachung, sei es nun repressiv oder präventiv, richterliche Anordnungen brauchen, der Verfassungsschutz aber offenbar nicht, so daß er nur parlamentarischer, nicht richterlicher Kontrolle unterliegt, über deren Effektivität ich mir wenig Illusionen mache …
Eigentlich hätte ich mich schon lange wundern müssen, warum in meinen gegateten Mailinglisten überhaupt keine Mail mehr aufschlägt. Oder warum ich keine Benachrichtigungen über Systemjobs mehr bekomme, und auch keine Berichte mehr über Followups auf meine Postings. Nicht mehr jedenfalls, nachdem ich das Onlineupdate seine Arbeit tun ließ.
Heute, als ich gerade einmal früh ins Bett gehen wollte, fiel mir das allerdings auf, und ich wunderte mich - wunderte mich genug, um mal in die Mailqueue zu schauen. Ein mailq und viele hundert Zeilen Output später beginnt dann leichtes Wundern, da es sich da ganz eindeutig um die Ausgabe eines Postfix handelt - das auf der Maschine, dem heimischen Server, aber gar nicht in Betrieb ist. Stattdessen werkelt da ein selbstkompilierter Exim, das Postfix ist stillgelegt und nur deshalb nicht entfernt, weil der tatsächlich in Betrieb befindliche MTA nicht in der rpm-Datenbank steht und deshalb mit Postfix der scheinbar einzige MTA entfernt würde, was aus Dependency-Sicht suboptimal ist. *hüstel*
"Ein MTA reicht mir völlig, dankeschön" vollständig lesen
Unter dem Titel "WPA und Wireless Security im heterogenen Umfeld" fand heute endlich mal wieder nach langer Zeit (Oktober vergangenen Jahres) ein Treffen der Karlsruher sage@guug statt. Und ich weiß nicht, wie’s den anderen Anwesenden ging, ich fand das Thema diesmal ungewohnt gut verständlich und praxisrelevant. 
Es ging nämlich nicht bzw. weniger um die theoretischen Grundlagen der Geschichte, sondern ganz praktisch darum, wie man seinen Mac (oder auch Windows-PC) authentifiziert und in ein verschlüsseltes drahtloses Netzwerk einbindet, komplett zusammen mit der Authentifizierung über RADIUS und einer Zertifikatsverwaltung.
Interessant auch die sage-Tips zum Thema "Wie lösche ich eine Festplatte, bevor ich sie an Dritte weitergeben / verkaufen / whatever kann?", "Debian vom USB-Stick booten" - letzteres von Julian Wingert sehr amüsant geschildert, der sein schriftliches HowTo dazu an die Mailingliste nachliefern wird - und "MacOS X remote updaten". Gleiches galt für die Möglichkeit, in den Räumlichkeiten des ZKM, wo die Veranstaltung stattfand, die dort ausgestellte Zuse Z22 in Augenschein zu nehmen. Schlicht beeindruckend!
Da ich diesmal motorisiert angereist war und daher nicht vergleichsweise früh den letzten Zug erreichen mußte, konnte ich mich den zwei Dutzend Zuhörern anschließen, die im Anschluß Richtung "Alter Brauhof" marschierten - eine Gelegenheit, nicht nur einige meiner Peeringpartner, bspw. aus der Gnuherde, 
einmal persönlich kennenzulernen, sondern auch einen Blick in Vorgänge hinter den Kulissen größerer ISPs zu erhaschen. Außerdem fand ich die Umgebung ganz angenehm und das Knoblauchrahmschnitzel gut. *g*
Manchmal - ganz selten - funktionieren Computer einfach einmal so, wie man sich das vorstellen würde: ohne Probleme, ohne Haken, ohne lange Einrichtungsorgien. Diese Tage kann man sich dann rot im Kalender anstreichen; und heute ist einer dieser Tage.
Aus irgendeinem Grunde mag - seit der Neuinstallation des Servers - der Adobe Reader auf meinem (Windows-)Laptop nicht mehr auf dem Netzwerkdrucker drucken (bei dem es sich um einen Laserjet handelt, der von CUPS unter samba gefüttert wird). Warum auch immer - vom Desktop-Rechner (ebenfalls Windows) aus geht es, und auch vom Laptop aus geht es aus anderer Software heraus. Nur Versuche, ein PDF zu drucken, scheitern daran, daß sich nicht mal das Druckauswahlfenster auf den Bildschirm begeben mag, warum auch immer - jedenfalls nicht innerhalb der Zeit, die ich zuzuwarten bereit bin (und die sich im Bereich von Viertelstunden bewegt).
"Wenn es einfach funktioniert" vollständig lesen
Nein, nicht was ihr jetzt denkt - vielmehr hat der CCCS es im Rahmen seiner allmonatlichen Vortragsreihe geschafft, einen Mitarbeiter des LKA, der u.a. mit dem Bereich der Auswertung von sichergestellten EDV-Anlagen beschäftigt ist, für einen Abend zu gewinnen.
Das Thema kam an, wie man nicht nur an den bis an den Rand gefüllten Räumlichkeiten in der Wagenhalle und auswärtigem Besuch aus Ulm und Karlsruhe ablesen konnte, sondern auch an der unermüdlichen Fragelust der Teilnehmer und der Dauer der Veranstaltung, die sich bis spät in den Abend zog. Herr Stimm, seit gut 15 Jahren in diesem Bereich tätig und der lebende Beweis dafür, daß es der Polizei nicht notwendig an EDV-Kompetenz mangeln muß, beantwortete unermüdlich und offen alle Fragen von Dialern über Kinderpornos, vom Umgang mit Großrechenanlage bis zur Vorgehensweise und der verwendeten Soft- und Hardware bei der Auswertung durch die Polizei, und berichtete Anekdotenhaftes aus seinem reichen Erfahrungsschatz, der sich nicht nur auf die Auswertung typischer PCs beschränkt.
Alles in allem ein sehr interessanter Vortrag zu einem spannenden Thema, noch deutlich besser, als ich es mir erwartet hatte.
Nachdem ich heute bis gegen 18 Uhr ja offline war, habe ich die Zeit - gzwungernemaßen - genutzt, die ohne (schnelle) Internetverbindung möglichen Punkte auf meiner Todo-Liste anzugehen (jedenfalls einige). Die Zubehörteile diverser Computer, Handbücher, Verpackungen und Datenträger sind in die passenden Schrankfächer verteilt, die herumliegenden Überreste einer Wohnungsauflösung vor anderthalb Jahren haben ihren jeweiligen Platz gefunden, damit da mal Ordnung hineinkommt, und ich habe eine neue Festplatte in dragon eingebaut.
"Es gibt genug zu tun" vollständig lesen
Es ist zwar noch nicht Frühling, aber Januar - und da bietet es sich an, Computer und Arbeitszimmer mal wieder etwas auf Vordermann zu bringen. Die alten Mails und Postings wollen wie üblich jahresweise archiviert werden, was bei mir immer zu einer stundenlangen Export- und Reimport-Aktion wird, diesmal verschärft durch mangelnden Plattenplatz; dann kann man einiges sicherungshalber noch wegbrennen und bei der Gelegenheit auch direkt Download sortieren, nicht mehr benötigte Dateien wegräumen usw. usf., große Reorganisation auf mehreren Rechnern eben. Und ich habe dann direkt auch mal wieder neue Rohlinge geordert, die erste Spindel meines Lebens ist nämlich leer, und ich brauche jetzt määääääähr.
"Großer Aufräumtag" vollständig lesen
Ich habe gestern angefangen, mal die umfangreichen verschiedenen Todo-Listen abzuarbeiten: da mal uralte Mails beantworten, hier IRC-Logs nachlesen, dort Newsgroups aufholen, Konfigurationen umkopieren, Mails archivieren, Software updaten, Dateien sortieren, Post abheften, Karten beantworten und was der Dinge mehr sind, manche kleine, manche größer, andere groß.
Und wie as so ist: es war schon eine ganze Menge, die ich da geschafft habe, aber so recht in Erinnerung ist mir nichts spezifisches mehr. Naja, außer einem Script zum Auslesen eines Newstickers, der Installation einer aktuellen Version von dailystrips und dem Update von PHPmyAdmin, zugleich mit dessen zentraler Installation für alle Benutzer - das aber auch nur, weil es sich aus dem Changelog ergibt.
Mal schauen, was ich an größeren Dingen in den nächsten Tagen noch erledigt bekomme.
Nachdem ich am Dienstag in Karlsruhe war, um mir etwas zum Thema "Creative Commons" anzuhören, gab’s heute hier was auf die Ohren zum Thema "Softwarepatente". Zwar weniger eine objektive Darstellung der Sachlage als ein klares Plädoyer dagegen und ein Aufruf, in diesem Sinne aktiv zu werden, nichtsdestotrotz aber ganz interessant (wenn auch am Anfang, da wohl auch auf "normales" Publikum zugeschnitten, etwas langwierig). An der Präsentation könnte man allerdings noch arbeiten; Overheadfolien brauchen eine gewisse Mindestschriftgröße. Ein Listing in - geschätzt - 10-Punkt-Schrift an die Wand zu werfen ist schlicht sinnlos. Die Location hat einen … hm … gewissen alternativen Charme und sogar eine Heizung, die allerdings zu laut war, um sie während des Vortrages zu betreiben. 
Dafür gab es leckeren Mozarellafladen (der allerdings in der Anfertigung etwas dauerte - vielleicht nimmt man doch lieber etwas fertiges?). Insgesamt bin ich gespannt, wie sich die Reihe entwickelt - und natürlich besonders auf den Vortrag im November, wo Framstag etwas zum Thema Spam erzählt.
Heute war mal wieder - und vielleicht vorerst zum letzten Mal? - Gelegenheit, an einem SAGE-Treffen in Karlsruhe, diesmal unter der Überschrift "Creative Commons" teilzunehmen und interessante Dinge über dieses Lizenzsystem, aber auch die Schwierigkeiten bei dessen Umsetzung in nationale Rechtsordnungen zu erfahren. Interessant auch die SageTips, insbesondere Marc Habers Kurzvortrag über die Möglichkeiten, den SSH-Zugriff via Key auf bestimmte IPs oder gar bestimmte auszuführende Kommandos zu beschränken.
So. Einen Tag herumgebracht mit dem Einrichten eines Servers, dem Ausprobieren von Stampit (nette Sache!), auf das ich dann ja doch recht lange warten mußte, dem Auffüllen des Blogs, der Ergänzung von gvv.th-h.de um ein Archiv und was es da sonst noch so gibt. gähn
Da sitzt man friedlich (und müde) im Zug und tippselt auf seinem Laptop herum, als dieser plötzlich unten im Display meldet, es sei ein anderer Rechner namens "TNDEFR-WC00294" in Reichweite - ob man Daten nach dort kopieren wolle? Wiewaswer? Kontrollblick: WLAN ist aus (nicht nur per Software, sondern auch hardwaremäßig per Schalter). Also schnell mal die Bluetooth-Einstellungen prüfen - man hörte da ja in letzter Zeit etliche böse Dinge im Zusammenhang mit Handies. Aber da müsste eigentlich alles abgeschaltet sein … Mit einiger Verzögerung dann auch die Eingebung, daß das Bluetooth-USB-Dongle ja gar nicht steckt. Aber was ist das dann bitte für ein Protokoll, auf dem sich da jemand breitmacht? Ein Blick in die Runde: gut, auf der anderen Gangseite sitzt auch jemand mit Laptop, mir quasi gegenüber. Der wäre für alles mögliche sicherlich nahe genug dran; aber was hat diese Kiste denn sonst noch für Schnittstellen? Bluetooth aus, WLAN aus, kein LAN-Kabel, keine Firewire, kein Modem - und für Tempest gibt’s vermutlich noch keine Windows-Treiber.
"Verflixt, wer ist TNDEFR-WC00294?" vollständig lesen
ICQ nutze ich schon lange nicht mehr wirklich - wenn ich online erreichbar sein will, dann bin ich im IRC. Nur gibt es ja immer noch ICQ-Nutzer, die man sonst nirgendwo findet. Aber warum zwei verschiedene Clients nebeneinander laufen lassen - und wie synchronisiere ich das am besten über verschiedenen Rechner? Da bietet sich als Lösung bitlbee an - ein IRC2IM-Gateway, das zum Client hin einen ircd simuliert und auf der anderen Seite AIM, MSN und ICQ spricht. So hat man dann sein ICQ im IRC; zunächst gewöhnungsbedürftig, aber durchaus praktisch. Ich bin begeistert - nachdem ich die Installation hinter mir hatte, die Dependencies sind teilweise nicht wirklich feierlich. :-/ Schön auch, daß man öffentliche bitlbee-Server aufsetzen kann - und zwar auch passwortgeschützt.