Oskar Welzl: Weblog zur Homepage

Es ist Ewigkeiten her, daß ich in Wien mit dem Auto unterwegs war (abgesehen von den Fahrten, bei denen ich hinten saß und vor dem Aussteigen zahlen mußte). Heute habe ich mich wieder in die Wildnis des Straßenverkehrs entlassen: Mit einem Hyundai Getz von Denzeldrive. Wirklich aufregend: ewig nicht mehr gefahren, fremdes Auto, fremde Gegend … Zur Belohnung bin ich bei einer Tankstelle (das mußte einfach sein, ich bin ja jetzt Autofahrer!) stehen geblieben und hab mir zwei Snickers geleistet.

Auf Der Gipfel der Unverschämtheit beschreibt Dirk Heringhaus (leider etwas zu ausführlich, aber lesenswert), wie er binnen kürzester Zeit in der österreichischen Ausschreibungs-Datenbank auftrag.at Administratorenrechte erlangen und sämtliche Benutzerdaten einsehen konnte. (Er hat dazu einfach die in der Adreßzeile des Browsers sichtbare Benutzer-ID geändert.)

Das alleine wäre noch nicht so berichtenswert: Sicherheitslücken gehören zur EDV wie das Schwarze zu den Fingernägeln. Man macht es weg, es kommt wieder. Der Kreislauf des Lebens eben… Wo war ich stehen geblieben? Ja, auftrag.at und die Administratorenrechte. Wie gesagt, so etwas passiert nun mal.

Dirk Heringhaus ist nun ein guter Hacker und bittet (als deutscher Staatsbürger) sofort das BSI, mit den zuständigen österreichischen Stellen Kontakt aufzunehmen. Eine Rückfrage von auftrag.at, deren Administratoren den Braten gerochen haben, beantwortet er ebenfalls sofort, obwohl der Ton der Rückfrage schon etwas daneben lag. Es wurde nämlich sofort das Einleiten rechtlicher Schritte angekündigt und darauf hingewiesen, daß die auftrag.at Ausschreibungsservice GmbH & Co KG […] eine Tochterfirma der Wiener Zeitung GmbH ist, welchselbige als offizielles Amtsblatt der Republik Österreich im Eigentum des Bundeskanzleramtes steht. Als ob das irgend eine Rolle spielen würde.

Was das nun mit AGBs und Banküberfällen zu tun hat? Ganz einfach: auftrag.at relativiert in einer weiteren an Dirk Heringhaus gerichteten Mail die gefundene Sicherheitslücke mit einem Verweis auf die AGBs, die da angeblich lauten:

Der Kunde ist nicht berechtigt, Mechanismen, Software oder sonstige Routinen bei der Nutzung von auftrag.at zu verwenden, die den Betrieb von auftrag.at beeinträchtigen können. Die Nutzung von auftrag.at darf nur im Rahmen des normalen Geschäftsbetriebes und im vereinbarten Umfang erfolgen.

„Angeblich“ deswegen, weil diese AGBs für mich auf auftrag.at nicht auffindbar waren und ich mich daher auf die von Dirk Heringhaus zitierte Version verlassen muß. (Wobei ich es, ganz nebenbei bemerkt, schon seltsam finde, daß ich auf so einer Seite keine AGBs finden kann.)

Weiters wird Herr Heringhaus „aufgefordert“, eine Dokumentation seiner „Eingriffe“ zu übermitteln. Richtigerweise kommentiert Dirk Heringhaus diese Mail mit:

Wozu Sicherheitsvorkehrungen in einer Bank? Es ist doch verboten eine Bank zu überfallen, oder fremdes Geld an sich zu nehmen. […] Alles ganz einfach: Wir brauchen nur AGBs…

[…]„ich möchte sie daher auffordern“ - Jetzt aber mal wirklich: Ich bekomme für meine Hilfe ja schon kein Geld – weder fordere ich es, noch wird es mir in irgendeiner Form angeboten - aber ein „Bitte“ oder „Danke“ in irgendeiner Form tut dann und wann gut. Aufgrund von „Was“ fordern Sie etwas von mir? In dieser Form lasse ich mich bestimmt nicht fordern.

Wie gesagt: Sicherheitslücken gehören zur EDV wie das Schwarze zu den Fingernägeln. Man macht es weg, es kommt wieder. Es kommt also darauf an, wie man damit umgeht. Ein Verweis auf die AGB reicht sicherlich nicht aus. Vor allem aber sollte es mittlerweile zum guten Ton gehören, gerade jenen Hackern, die einen diskret auf solche Schwachstellen aufmerksam machen, zu danken und ihre Arbeit zu honorieren. Bei uns wird stattdessen immer noch Befehlston angeschlagen, werden Rechtsabteilungen eingeschaltet und wird darauf verwiesen, daß das ja sowieso alles nicht sein kann, weil es den Geschäftsbedingungen widerspricht. Da liegt noch ein weiter, weiter Weg vor uns.

auftrag.at dürfte die Lücke mittlerweile geschlossen haben, zumindest läßt sich aus den News auf der Startseite schließen, daß neue Zugangsdaten zu verwenden sind. Zuvor hat Dirk Heringhaus alle Kunden, deren Accounts er einsehen konnte, angemailt und sie über diese Tatsache in Kenntnis gesetzt. Technisch scheint’s also beendet. Ich hoffe, daß auf Sicherheitsnotizen demnächst auch etwas über einen kulturellen Fortschritt bei auftrag.at zu lesen sein wird. Der Jahreszeit entsprechend wäre ein Weihnachtsgeschenk an Herrn Heringhaus angebracht.

Sony kommt nicht zur Ruhe. Nach den hier aufgezählten Ungeheuerlichkeiten rund um den „Kopierschutz“ XCP kommt nun die nächste derartige Technologie in Verruf. Auf einer eigenen Seite erklärt Sony seinen Kunden, daß auf den von ihnen käuflich erworbenen Audio-CDs (unter anderem von Alicia Keys, Britney Spears, Maroon 5, Santana) ein sogenannter „Kopierschutz“ mit dem Namen MediaMax enthalten ist, der ein Sicherheitsrisiko darstellen kann:

It has come to our attention that a security vulnerability may exist with regard to SunnComm MediaMax Version 5 content protection software contained on certain SONY BMG compact discs.
To address this potential security issue, SunnComm has made available a software update. This update can be downloaded at: www.sunncomm.com/support/updates/updates.asp.
We encourage you to run this update on any computer that you think has played a SONY BMG CD with SunnComm MediaMax software.

Laut Sony sind nur Audio-CDs betroffen, die in den USA und Kanada verkauft wurden… Wie stand das noch mal in dieser Studie des Center for Economic and Policy Research? Das US-System zum Schutz des sogenannten „geistigen Eigentums“ verursacht durch Marktbehinderung und Mehraufwand jährliche Mehrkosten von etwa 80-120 Milliarden Dollar.

Jetzt, wo ich zwei Wochen lang nicht in den Genuß unserer Betriebsküche komme, muß ich mir alternative Futterstellen (was für eine gekonnte Formulierung in diesem Zusammenhang!) suchen.

Gestern hat mich der ORF freundlicherweise auf das Weltcafé in der Schwarzspanierstraße 15 aufmerksam gemacht. Frühstück um € 4,80, das kann ich mir leisten.

Endlich hab ich mich dazu durchgerungen, die Desktop-Suchhilfe Beagle auf meinem Rechner zu installieren. „Durchgerungen“ deshalb, weil das Ding unter Gentoo noch nicht als stabil gekennzeichnet ist und ich bezüglich solcher Software bisher etwas vorsichtig war.

Ausgezahlt hat es sich: Nat Friedman hat auf http://nat.org/demos eine Reihe von Shockwave-Files abgespeichert, die die Benutzung von Beagle demonstrieren. Vor allem das Video über die als „Live Query“ bezeichnete Funktionalität gefällt mir.

Vorläufig bin ich zufrieden: Beagle findet brav und läuft stabil; ich kann auch anderen Gentoo-Benutzern ruhigen Gewissens empfehlen, der Anleitung für Beagle unter Gentoo zu folgen. Kleiner Tip: Mit dem Programm „beagle-settings“ diejenigen lokalen Folder von Evolution aus der Indizierung ausnehmen, die viele Treffer liefern, aber eigentlich nicht von Interesse sind. Bei mir waren das Archive von Mailing-Lists, bei denen ich Mitglied bin. Außerdem kann es notwendig werden, einzelne Suchpfade manuell hinzuzufügen: XChat2 zum Beispiel legt seine Log-Files in einem versteckten Verzeichnis ab. Versteckte Verzeichnisse werden von Beagle ignoriert, ich wollte die Log-Files aber bei den Suchergebnissen berücksichtigt haben, also habe ich ~/.xchat2/xchatlogs in „beagle-settings“ hinzugefügt. Jetzt paßt alles.

Ach ja: Nach der Installation von Beagle im Firefox die lokale Adresse file:///usr/share/beagle/beagle.xpi aufrufen: Dadurch wird ein Plug-In installiert, das nebenbei auch alle angesurften Seiten in den Suchindex mit einbezieht. (Ja, Blacklist ist möglich ;-) …)

Also, ich bin ja jetzt auf Urlaub. Und was muß ich im Logfile sehen? Meine Kollegen entwickeln eine ziemliche Neugier, was sich da so abspielt bei mir. Allein heute Vormittag drei Zugriffe aus dem Firmennetz auf dieses Blog - und kein neuer Eintrag seit 3.12.! OK, ich hab ein Einsehen und erzähl Euch, was ich so angestellt hab:

• Wohnung ausgeräumt (3 Kartons voll mit altem Kram sind im Müll gelandet, trotzdem gerade mal Platz für ein paar CDs mehr im Regal (wieso kann man immer weniger Platz nutzen, als man freigeräumt hat? (ich sollte aufhören, Klammern so zu verschachteln)))
• das Call-Center von DENZELDRIVE aus der Fassung zu bringen versucht. Geht nicht. Die bleiben freundlich und wissen, was sie tun. ;-)
• Luftbefeuchter entkalkt, gereinigt und in Betrieb genommen
• etwa 500-700 Mails aus dem Posteingang gelöscht (ich lösche nämlich sonst nie Mails (Stefan weiß das ja jetzt *g* (schon wieder diese verschachtelten Klammern!)) und muß dann alle paar Monate aussortieren, was nicht mehr gebraucht wird)

Nichts wirklich Aufregendes also. That’s why wir hatten keine Eingetragung in the Blog.

Wir suchen Wortpaare, die gleich geschrieben werden, unterschiedliche Bedeutungen haben und dabei, je nach Bedeutung, verschieden ausgesprochen werden. Ins Ohr gesetzt hat uns diesen Floh mein Kollege Daniel (der hier schon mal in dieser Story zu Ehren kam). Er hat auch das erste Beispiel gefunden:

Die Karte war weg. Wir konnten den Weg nicht mehr finden.

Weitere Danielismen sind schwer zu entdecken. Wir haben erst zwei ausfindig gemacht:

Flugs machten wir uns auf den Weg nach Rom. Erst während des Flugs fiel uns ein, daß wir das Gepäck vergessen hatten.

Gluten ist der in Salzwasser unlösliche Teil des Proteins des Getreides. Die verbliebenen Gluten der Feuer kann Salzwasser aber sehr gut löschen.

Weitere Vorschläge?

Nach ca. 12 Stunden hat mein Rechner die Compilierung von OpenOffice.org 2.0 abgeschlossen. Das Ding hat schon was: Die gute Integration sowohl in Gnome als auch KDE, OpenDocument-Unterstützung, bessere Unterstützung für CUPS-Drucker und eine Reihe von anderen Nettigkeiten, die das Leben leichter machen.

Die als der große Wurf angekündigte Datenbanklösung Base überzeugt mich noch nicht so wirklich. Da scheint sich ein ähnliches Problem wie seinerzeit bei MS Access anzubahnen: Tut auf einfach, kann aber zu viel und wird dadurch schwer durchschaubar. Außerdem stürzt es doch tatsächlich auch mal ab.

Ich bin ein Morgenmuffel. In der Früh bin ich einfach nicht aus dem Bett zu kriegen. Vielleicht hilft diese Erfindung mir schneller aus den Federn:

Der Schlafphasenwecker aXbo der Wiener infactory innovations & trade gmbh ist ab Jänner 2006 erhältlich. Er mißt laufend meine Schlafphasen und weckt mich innerhalb eines definierten 30min-Fensters exakt zu der Zeit, in der das Aufwachen von der Schlafphase her (angeblich) am leichtesten fällt. Der Theorie nach sollte es daher nicht mehr vorkommen, daß mein Radiowecker zwar meinen Nachbarn erschreckt, mich selbst aber nicht aus dem Tiefschlaf holen kann.

Wie gesagt, auf den Markt kommt das Ding erst 2006, es ist also kein Fall für die Weihnachtswunschliste. Trotzdem denke ich ernsthaft darüber nach, eine Vorbestellung sofort abzugeben.

Öffentlicher Verkehr ist etwas Einzigartiges. Die Dame in der Straßenbahnlinie 9 plaudert ausführlich und vor allem laut mit ihrer Nachbarin über die Tücken der Hundehaltung, zunächst nur bezüglich der Maulkorbpflicht in öffentlichen Verkehrsmitteln, dann so insgesamt und allgemein: mein Hund und ich in der Großstadt eben.

Spannend wird es, wie sie sich dem Thema „mein Hund muß mal“ nähert. Wörtlich sagt sie da: Er geht dazu ja immer in die Büsche, und da muß ich ihm dann nach, zum Wegräumen. Und immer muß ich mich dabei ärgern: Da liegen dann schon so viele Hauferl, und ich weiß nie sofort, welches meins ist.

Etwa drei Sitzreihen vor und drei Sitzreihen hinter ihr haben zahlende Fahrgäste atemlos darauf gewartet, wie sie es am Ende dann doch rauskriegt. (Immerhin weiß sie es ja nur nicht „sofort“, was bedeutet: irgendwann doch.) Ist es der Geruch? Die Temperatur? Die Größe? Die Konsistenz? …?

Wir haben es nicht erfahren: Dem Hund selbst wurde das Ausbreiten seiner intimsten Momente in aller Öffentlichkeit zu viel. Er hat mit einem kräftigen Ruck an der Leine und einem Kläffen in Richtung eines (wie wir alle wußten nur vorgetäuschten) Feindes sein Frauchen gerade so lange abgelenkt, daß sie den Faden verloren hat und mit einem neuen Thema („Futter“) beginnen mußte.

Ich stell mir jetzt die ganze Zeit diese 25-30jährige Frau vor, wie sie beim nächtlichen Gassi-Gehen, gebückt unter dem Gebüsch, mit aller ihr zur Verfügung stehenden Sorgfalt die Ausscheidungen ihres Lieblings von denen der anderen Hunde zu unterscheiden versucht. Ich muß diesen Gedanken wieder los werden. Unbedingt.

Die regierende US-Junta wird immer spaßiger. In einem Interview mit USA Today sagt die Außenministerin Condoleezza Rice wörtlich: You can’t allow somebody to commit the crime before you detain them.

Man kann also nicht erst warten, bis jemand ein Verbrechen begeht. Ach was! Alt-Europäischer Firlefanz! Rechtsstaatlicher Humbug! Man muß die Kerle einbuchten, noch bevor sie was anstellen!

Beängstigend, daß man sich so etwas mittlerweile öffentlich zu sagen traut. Obwohl: Ich stell’ mir grad vor, sie hätten auch George W. Bush eingesperrt, bevor er losgeschlagen konnte … Vielleicht ist die Idee von Frau Rice doch nicht so ganz daneben?

Die Schweizer haben gestern, 27.11.2005, in einem Referendum (knapp, aber doch) für die Öffnung der Geschäfte auf großen Bahnhöfen und Flughäfen auch an Sonn- und Feiertagen gestimmt (50,6% Ja-Stimmen).

Mir fällt dazu der Vers aus der Originalfassung des Musicals Chess ein, in dem es heißt:

It’s the weak who accept
Tawdry untruths about freedom
Prostituting themselves
Chasing a spurious starlight
Trinkets in airports sufficient to lead them astray

Heute ist der internationale Kauf Nix Tag („Buy Nothing Day“). Ich finde die Idee kurz vor Weihnachten bestechend. Ein Auszug aus der deutschsprachigen Homepage:

15 Prozent der Weltbevölkerung beanspruchen 79 Prozent aller Reichtümer, während sich die große Mehrheit mit dem Rest bescheiden muss. Speziell der Stress und der Einkaufswahn in der Vorweihnachtszeit wirft ein bezeichnendes Schlaglicht auf die ungerechte Verteilung in unserer Welt.

Doch man kann etwas dagegen tun: Der „Kauf-Nix-Tag“ zeigt es vor! 24 Stunden Einkaufsmoratorium, 24 Stunden kein Geldausgeben.

Ich bin edel und gut und unterstütze diese Aktion. Außerdem nimmt es mir das schlechte Gewissen, das sich langsam aufbaut: Nicht mal mehr ein Monat bis Weihnachten, und ich hab noch nicht mal über Päckchen nachgedacht.

Die Überschrift bedeutet so viel wie: Ich hab mir die Haare schneiden lassen. Der Friseur meines Vertrauens hat nämlich (wieder einmal) den Salon gewechselt (also er arbeitet halt jetzt woanders).

Dort, wo er früher war, ging man rein, ließ sich die Haare schneiden und zahlte. Jetzt muß man zwischen Sekt und Orangensaft wählen und schaut dabei irritiert auf die androgynen Figuren des „creative teams“, die mit einheitlich rostfarbenen Gesichtern, schwarzer Bekleidung und zerfetzten Turnschuhen nicht etwa schneiden oder frisieren, sondern „Stylings verwandeln“ - trendy, wie sie nun mal sind, können sie wohl gar nicht anders.

Zu allem Überfluß paßt auch die Kundschaft optisch so perfekt dazu, als wäre sie von einem Innenarchitekten im Raum verteilt worden. Nein, von denen will keiner einfach nur einen Haarschnitt. Die wollen alle den „Hairstyling-Code“ für den nachfolgenden Event. Gottseidank sind sie hier keinem planlosen Friseur ausgeliefert, sondern werden mit einem „Stylingkonzept“ verwöhnt.

Warum kann ich nicht einfach zum Friseur ums Eck gehen? Dort müßte ich auch nicht zwei Wochen auf einen Termin warten … Liegt wohl am Friseur meines Vertrauens. Tom, Du schuldest mir was.