Veröffentlicht am

Kein Netz ohne Netz

Ohne IT-Infrastruktur wird es eng.

Also simulieren die Behörden im Rahmen der Lükex 2011 was passieren könnte, wenn ein IT-Netzausfall die Kommunikation behindert.

So eine ähnliche Simulation gab es schon einmal. Mit relativ spannenden Ergebnissen.

Ausgangsszenario damals: Die Stromversorgung fällt flächendeckend aus. Die Konsequenzen waren weit reichend, denn ohne Strom fallen binnen kürzester Zeit gewohnte Zivilisationsstandards weg.

Kühltruhen in Geschäften versagen, nicht einmal die elektrischen Türen funktionieren noch. Keine Kassensysteme mehr. Und wie zahlt man beim Händler? Mit EC-Karte oder bar? In den Banken fehlt der Strom, um den Tresor zu öfnen, die Geldautomaten fallen aus.

Bald fällt auch der Nachschub an Lebensmitteln aus, denn die LKW für die Nachlieferung brauchen Diesel. Wie kriegt man den in den Tank? Die Pumpen sind alle elektrisch.

Gravierend auch damals die Tatsache, dass alle Rundfunkgeräte digitalisiert wurden. Es geht nicht wie früher: Batterie, ein paar Transistoren und Spulen und man konnte im Rundfunk hören was passiert. Die heutigen Geräte haben einen deutlich höheren Stromverbrauch. Und vor allem: Wer hat heute noch ein altes analoges Radio?

Und wenn man was hören könnte, wie soll man es senden? Kann man einen Sendebetrieb eigentlich noch aufrecht erhalten? Größtes Problem auch damals: die Kommunikation! Wie kann die Menschen weiter informieren? Was tun wenn Panik ausbricht?

Es wird dringend Zeit, diese technologiehörige Zivilisation einmal kritisch zu hinterfragen. Lassen wir uns überraschen, was die Lückex 2011 an Ergebnissen bringt. Denn es gibt eine Menge kritischer Punkte in der IT-Infrastruktur. Man muss sie nur sehen (wollen).

Veröffentlicht am

Apache-Dienst kann gesamten Server blockieren

ApacheMomentan besteht eine Verwundbarkeit des bekannten Apache Webservers unter Linux. Es können bestimmte Anfragen an den Server gesendet werden, die ihn ao auslasten, das andere Dienste auf dem gleichen Server ausfallen.

Auslöser ist eine für den Download großer Datenmengen gedachte Funktion, bei der der Browser vom Server spezielle Dateiblöcke über den „Range“ Header-Request anfordert. Die Funktion wurde entwickelt, um dem anfragenden Browser zu ermöglichen, einen abgebrochenen Download ab einer bestimmten Stelle neu zu beginnen.

Über viele nacheinander abgesetzte Anforderungen auf verschiedene Ranges führt das im jetzigen Szenario zu einem Denial-of-Service durch die Belegung des gesamten Speichers.

 

Es existiert derzeit noch kein entsprechender Sicherheits-Patch, es sind jedoch momentan mindestens zwei Workarounds verfügbar. VICO hat beide getestet, einer davon scheint aber nicht sicher zu funktionieren. Es hat sich hier gezeigt, dass ein Filtern mit Regular Expressions nicht sicher greift, zumal es bestimmt sehr bald zu Variationen des öffentlich verfügbaren verfügbaren Angriffsskripts kommen wird.

 

Hier funktioniert der folgende Workaround, für den allerdings Administratorrechte für den Server notwendig sind:

Prüfen ob der Apache-Server das Modul „mod_headers“, bzw. „headers“ bereits geladen hat.

Wenn ja, muss in die Konfigurationsdatei apache.conf nur eine einzelne Zeile: RequestHeader unset Range

Wichtig hierbei ist, dass diese Zeile unter der Include-Zeile stehen muss, in der die Module geladen werden!

Sollte das Modul nicht geladen sein, muss ein symbolischer Link der verfügbaren Module in die zu aktivierenden Module gesetzt werden: ln -s /etc/apache2/mods-available/headers.load /etc/apache2/mods-enabled/headers.load

 

Danach auf jeden Fall den Apache-Dienst neu starten lassen: apache2ctl restart

(Diese Pfade können in Ihrer aktuellen Installation anders lauten. Bitte vorher prüfen!)

In Umgebungen mit vielen virtuellen Webservern muss geprüft werden, ob es in den jeweiligen <VirtualHost>-Direktiven der einzelnen Server nicht eine gegensätzliche Einstellung gibt! Diese haben Vorrang vor der globalen Konfiguration.

 

Durch diese Anweisung ignoriert der Server die entsprechende Anforderung nach einem bestimmten Datei-Range. Er liefert dann zwar immer gnadenlos die gesamte Datei zurück, überlebt den Angriff aber zumindest unbeschadet.

 

(Alle Informationen basieren auf den bei VICO eingesetzten Standard-System unter Debian ‚Lenny‘ und ‚Sqeeze‘. Eine generelle Funktionsgarantie kann nicht gegeben werden. Vor dem Einsatz in Produktivsystemen bitte auch Abhängigkeiten zu anderer Software und anderen Diensten prüfen!)

Veröffentlicht am

Der Löwe ist los…

lion_600px-300x200Jedenfalls bald.

Ab Juli steht das neue Aple MacOS-X 10.7 („Lion“) dann zum Download über den App-Store bereit.

Viele neue Funktionen werden kommen. Gestensteuerung, Vollbild-Apps, Launchpad und viele andere Funktionen ziehen ein. Im Grund alles Funktionen und Bedienelemente die in Smartphones Standard sind.

Als langjähriger Apple-Benutzer aus dem professionellen Umfeld kommt man allerdings ins Grübeln. Die Ausrichtung von Apple zeichnet sich immer deutlicher ab. Multimedia, Soziale Netze und die Cloud als zentraler Lagerplatz aller Medien. Das Hin zum innovativen Bedienkonzept des „Multimedia-Hub“ bedeutet gleichzeitig die Abkehr vom Business-Umfeld.

Auch die vertriebliche Seite wandelt sich. Statt Software kauft man Apps. Und zwar nicht beim Fachhändler der einen gut berät, sondern im App-Store. Teilweise für den Bruchteil dessen, was die Box im Wiederverkauf bislang kostete. Es ist schon erstaunlich wenn z.B. ein Produkt wie Apple Aperture im klassischen Kanal rund 250,- € kostet und im App-Store nur noch 69,- €. Mit der Marge des weggefallenen Fachhandels ist das mit Sicherheit nicht zu erklären.
Das hieraus resultierende Kaufverhalten ist interessant und passt sehr gut in aktuelle Trends: Einfach mal für 29,90€ die Software ausprobieren, ist ja nicht sooooo teuer. Nicht lange nachdenken und prüfen, ob das Programm kann was ich erwarte. Einfach mal kaufen und dann mal sehen…. Funktioniert nicht? Egal, war ja nicht so teuer, aber das andere Programm kann das bestimmt. Und das kostet ja auch nur 12,90€.

Apropos: Verkaufs-Versionen von „Lion“? Fehlanzeige. „Lion“ kommt wohl nur als Download aus dem App-Store. Der Haken dabei: Rechner unter MacOS-X 10.5 („Leopard“) müssen zwingend erst auf MacOS-X 10.6 („SnowLeopard“) aktualisiert werden, da erst ab dieser Version der App-Store zur Verfügung steht.

Ein kluger Schachzug. Denn so bringt man einerseits User, die bislang nicht mitgezogen haben in Zugzwang. Und andererseits verdient man doppelt. Einmal zahlt der User für den Verkauf des Updates auf Leopard und dann noch einmal für das auf „SnowLeopard“.

Für Business-User, die derzeit noch unter MacOS-X 10.4 („Tiger“) und eben „Leopard“ arbeiten kann das momentan nur bedeuten, das Update auf das noch verfügbare MacOS-X 10.6 schnellstens durchzuführen. Nur so kann im klassischen Businessumfeld noch eine Weile so weitergemacht werden wie bisher. Vorinstallierte Rechner werden vermutlich schon bald nur noch mit „Lion“ ausgeliefert werden. Und ab dem Punkt wird es bestimmt spannend. Und bestimmt auch weil alle Daten in der Cloud liegen und die Kreditkartendaten bei Apple. (Zum Thema Cloud auch hier mal ein paar Sätze.)

Willkommen in der schönen neuen Welt.