Mattias Schlenker

Author: mattias

  • Internetsperren für Killerspiele?

    Was möchte uns Thomas Strobl mit diesem Satz sagen?

    In jedem Fall sollte aber meines Erachtens in der Debatte, welche Maßnahmen zur Gewaltprävention ergriffen werden, die von den Bundesministern von der Leyen und Schäuble vorgeschlagene Sperrung von kinderpornografischen Seiten im Internet mit Blick auf Killerspiele neu diskutiert werden.

    Ich weiss es nicht. Vielleicht, dass die Internetsperren auch für “Killerspielewebsites” und “Killerspieleportale” genutzt werden sollten? Oder dass Killerspieler leichter zu KiPo-Konsumenten werden? Dass KiPo-Konsumenten erst virtuell, dann real töten wollen?

    Mir scheint eher, als wolle Thomas Strobl einfach bei beiden emotionsgeladenen Themen medial präsent sein. Das ist ihm gelungen, ich schreibe drüber.

    Nachtrag: Auch Netzpolitik nimmt sich des Themas an und das Lawblog.

    Nachtrag, 19. Juni: Thomas Strobl hat seine Forderungen bekräftigt und möchte nun offenbar die nächste Sau durchs Dorf treiben. Artikel bei Golem.

  • Brief ans Familienministerium: DNSSEC vs. Kinderpornosperren

    So, der Brief ans Familien- und Wirtschaftsministerium ist raus, morgen folgen die Ausschüssen respektive Arbeitsgruppen “Wirtschaft und Telekommunikation” sowie “Soziales”.

    Worum geht es? Um die Wirkungslosigkeit von Internetsperren auf DNS-Ebene vor dem Hintergrund der Einführung von DNSSEC, einem Signaturverfahren für Nameservereinträge. Brisant: Das Bundesamt für Sicherheit in der Informationstechnologie unterstützt derzeit in einem Feldversuch die Einführung von DNSSEC . Hier wird also mit Bundesmitteln und damit Steuergeldern eine absolut begrüßenswerte Technologie eingeführt, welche aber gleichzeitig die Sinnlosigkeit des Sperransatzes im “Gesetz zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen” entlarvt.

    Ich argumentiere hauptsächlich auf technischer Ebene, die rechtlichen und gesellschaftspolitischen Argumente wurden von verschiedenen Seiten — auch in den von Familien- und Wirtschaftsministerium  eingeholten Gutachten — mehrfach vorgebracht.

    Nachtrag, 11. Juni: Heise hat einen älteren, sehr lesenswerten Artikel zu DNSSEC und Sperren per Nameservermanipulation. Es dürfte mittelfristig darauf hinauslaufen, dass der Client einen Resolver bekommt und der manipulierte Nameserver des Providers gar nicht mehr angefragt wird.

  • Unser Land vertraut Ihnen.

    Mir wurde neulich ein Zettelklotz vom Bundesamt für Verfassungsschutz zugespielt, der nette Einblicke in das Gemüt der Schlapphüte vermittelt. Oder vermittelte: Der Klotz weist vierstellige Postleitzahlen auf, was auf die frühen 1990er hindeutet.

    Eine Galerie mit verschiedenen Ansichten nach dem Sprung… (more…)

  • Ursula von der Leyen: Durchbruch bei Kinderpornosperren per Telefonauskunft

    Berlin, 19. Mai 2010:

    Ursula von der Leyen erklärte heute den Durchbruch im Kampf gegen Kinderpornografie. Da Bestellungen einschlägigen Materials immer öfter per Telefon erfolgten, drängte Ursula von der Leyen auf eine gemeinsame Lösung mit Telefonbuchverlagen und Telefonauskünften.

    Mit Erfolg: Heute wurde im sogenannten Auskunftsgipfel der Durchbruch erreicht: Telefonbuchverlage und Auskünfte erhalten vom BKA Listen mit Personen, die Kinderpornografie verbreiten. Die Telefonauskünfte geben statt den tatsächlichen Telefonnummern bei einer Anfrage Telefonnummern des BKA heraus, wo der Anrufer ein sogenanntes “STOPP-Band” zu hören bekommt, das ihn über die Folgen dieses schrecklichen Geschäfts aufklärt.

    Ursula von der Leyen zum erreichten Durchbruch: “Ich war mir sicher, dass wir schnell zu einer Einigung kommen. Es darf nicht sein, dass Telefonauskünfte und Telefonbuchverlage sich wie bisher ihrer Verantwortung entziehen und Beihilfe zur Verbreitung der Dokumentation gequählter Kinder leisten.”

    Noch nicht eindeutig geklärt ist die Überwachung der STOPP-Bänder: Befürworter der Telefonsperrlisten wünschen sich eine Protokollierung der Anrufe durch das BKA und sofortige Strafverfolgung der Anrufer.

    Hausdurchsuchung und Untersuchungshaft, weil man bei der Anfrage an die Telefonauskunft nach Hans-Peter Meyer und nicht nach Hans-Peter Maier gefragt hat? Der Vergleich scheint auf den ersten Blick abwegig zu klingen, aber nichts anderes hat die große Koalition vor: Die vorgeblichen Internetsperren setzen bei dem im Hintergrund angefragten Auskunftssystem, dem DNS (Domain Name System) an, welches Domainnamen (Anschlussinhaber) auf IP-Adressen (das Gegenstück zur Telefonnummer) auflöst. (more…)

  • Teilerfolg mit Broadcom BCM4312

    Ich habe am Wochenende die Stunde Zeit gefunden, mit der Broadcom unseres HP2133 zu experimentieren. Erfolgreich war ich schließlich mit Ndiswrapper und der aktuellen Version von HPs Treiber für XP. Mit den originalen Broadcom-Treibern konnte ich lediglich zuverlässig Kernelfreezes produzieren.

    Das Kuriose: Die Kontaktaufnahme mit meinen Netzen funktioniert zuverlässig nur mit einer /etc/wpa_supplicant/wpa_supplicant.conf und nur wenn ich den wpa-supplicant mit -d im Debug-Modus starte, einige Sekunden warte und dann den dhclient ausführe. Sowohl mit wpa-supplicant im stillen Background-Modus -B als auch mit dem Network-Manager schlägt die Verbindung fehl.

    Nichts wildes, erstelle ich halt ein kleines Shellscript, welches die Verbindungsaufnahme triggert. Was mich stutzig macht, ist das ich ähnliche Probleme — ebenfalls mit Ubuntu 9.04 mit meinem Medion Akoya E1210 habe. Der dort enthaltene Ralink-Chipsatz funktionierte mit älteren Ubuntu-Versionen problemlos.

  • You know how to drive stick?

    Im US-amerikanischen Teil der Blogosphäre ist gerade ein absurdes Experiment am Laufen. Ausgerechnet Ford hat die Absatzkrise früh erkannt und durch Verkauf von Jaguar, Land Rover und Hertz viel Ballast abgeworfen. Sehr früh kam auch die Erkenntnis, dass europäische Modelle her müssen, um auf dem Heimatmarkt der Konkurrenz von Toyota, Honda, Kia und Hyundai etwas entgegensetzen zu können.

    Als direkte Konkurrenz zum Honda Fit (hier Jazz) hat Ford den neuen Fiesta auserkoren. Der soll nun durch virales Marketing in den Staaten von Bloggern an den Mann gebracht werden. Auserkoren hat man dazu 100 Menschen mit hoher Reichweite, von Tech-Bloggern über bloggende Mütter und twitternde Rapper bis Society-Kolumnisten. Diese 100 Leute bilden das Fiesta Movement erhalten 100 Fiesta in deutschem Spec, also mit straffer Federung, dem 100PS-Benziner und — Schaltgetriebe.

    In den USA sind jedoch über 90% der verkauften Fahrzeuge mit Automatik ausgestattet. Da macht man gerne Witze drüber, beispielsweise darf in “Pretty Woman” eine Prostituierte Richard Gere erklären, wie sich die H-Schaltung des Lotus bedienen lässt. Aufs “Fiesta Movement” übertragen sieht das dann so aus — Mann erklärt Frau, wie ein Schaltgetriebe bedient wird:

    Es dürfte interessant werden zuzuschauen, wie ein kleines europäisches Auto, das dank Schaltgetriebe flink und sparsam ist, bei einer eher technikaffinen Zielgruppe wahrgenommen wird. Die anvisierte Klientel der Early-Adopters setzt sich früh und intensiv mit halbgarer Hard- und Software (erinnert sich noch jemand an iPhones der ersten Generation und brechende Gehäuse der weißen Macbooks?) und sollte daher mit dem Leidensdruck der ersten hundert Kilometer Schaltgetriebe kein Problem haben. Und uns Europäern dürfte der gelegentliche Blick auf die Kampagnenseite www.fiestamovement.com in den nächsten Monaten einen interessanten Einblick in die geänderte Wahrnehmung von Mobilität der Amerikaner in meinem Alter geben.

  • LessLinux: Erste Alpha zum Download

    So, hier steht nun die erste Alpha zum Download bereit:

    http://cdprojekte.mattiasschlenker.de/Public/LessLinux/

    Das Live-System macht noch nicht viel mehr, als einen Xvesa-Server mit simplem XFCE 4.6-Desktop und Firefox 3.0.8 zu starten. Die meisten gängigen Ethernet-Treiber werden geladen und Karten per DHCP konfiguriert.

    Zum gegenwärtigen Zeitpunkt dürfte das System vor allem für Nutzer interessant sein, die Ideen für eigene Live-Distributionen (das Konzept der “narrow purpose” oder “single purpose distribution” für eingeschränkten oder auf eine Applikation spezialisierten Anwendungszweck) erwähnte ich ja schon. Die Distribution erstellt Hardware-Protokolle, mit denen auch technisch weniger versierte Nutzer einen Beitrag zur Weiterentwicklung leisten können.

    Cheatcodes in der Alpha (mit Tab im Bootmenü erreichbar)

    • toram=… Schwellwert in kB für das Kopieren ins RAM, wer es ganz vermeiden möchte, gibt einen unsäglich hohen Wert, bspw. 999999999999 an.
    • skipcheck=1 Überspringt die SHA1-Prüfung von Bootdateien und Container
    • skipservices=|service1|service2|…| Überspringt den Start einzelner Dienste, hier kann bspw. dropbear entfernt werden, damit der SSH-Daemon auf Port 22222 startet.
    • xmode=BREITExHOEHE[xFARBTIEFE] Bevorzugte Bildschirmauflösung für den Xvesa-Server, hier kann bspw. 1680×105 oder 1280×800 übergeben werden, um die native Auflösung eines Breitbild-Displays zu verwenden.
    • rootpwhash=… MD5-Hash des Root- und Userpasswortes, bspw. mit openssl passwd -1 erzeugt. Standardhash entspricht dem Passwort test

    Hardwareprotokoll

    Beim Start wird in /tmp/ eine Protokolldatei hwinfo.unkown.zeitstempel.tgz angelegt. Wenn beim Start ein USB-Stick anwesend ist, der einen Ordner hwinfo enthält, wird die Datei automatisch dorthin kopiert. Ich wäre dankbar, diese Hardwareprotokolle von möglichst vielen Rechnern zu erhalten. Außer der MAC-Adresse von Netzwerkkarten und dem Partitionierungsschema (Ausgabe von fdisk -l) enthalten diese Dateien keine eindeutig einem bestimmten PC zuordnenbare Informationen — ich behandle die Hardware-Protokolle natürlich vertraulich.

    Bitte schickt mir Eure Hardware-Protokolle per Mail an ms@mattiasschlenker.de. Falls Ihr mit CD und Stick von Rechner zu Rechner zieht, könnt Ihr auch mit dem Cheatcode hwid=modell (bspw. hwid=akoya_e1210) eindeutigere Dateinamen ereugen lassen. Falls Ihr einen Webmailer nutzt, könnt Ihr natürlich auch die Datei in /tmp ohne Umwege versenden.

    Boot von USB-Stick

    Wenn ein Stick mit Syslinux bootfähig vorbereitet wurde, genügt es den Inhalt der CD auf den Stick zu kopieren.

    Und weiter?

    Im Laufe des Wochenendes folgen die vollständigen Quellcodes und nächste Woche dann eine erste Version der Build-Umgebung.

  • Linux-Distribution oder Auto — der Aufwand, es zusammenzubauen ist etwa der gleiche

    Ich hatte vor gut zehn Jahren das Vergnügen hin und wieder am Aufbau von Autos mitwirken zu dürfen. Das waren entweder Oldtimer oder wüste Rekombinationen vorhandener Teile, also der Bodenplatte eines Schräglenker-Käfers mit Subaru- oder Alfa-Romeo-Wasserboxern, Porsche-Schräglenkern und was sonst noch so herumliegt. Darauf kommt eine Karrosserie, die vom Radstand her eben passt, gerne auch mal aus Fiberglas. Heute würde man wahrscheinlich noch eine Megasquirt in den Ring werfen, und erstmal einen gepatchten GCC dazu verwenden, Firmware zu kompilieren.

    Damit sind wir schon ziemlich nahe am Thema: Auch eine Linux-Distribution besteht aus “am Markt erhältlichen Komponenten”, die einfach zusammengefügt werden müssen — in der Theorie. Primär aus Neugier, aber auch weil das eine oder andere Projekt, an dem ich arbeite, eine simple “single purpose live distribution” erfordert, habe ich vor etwa zwei Jahren damit angefangen, eine Distribution auf Basis von BusyBox und einer minimalen Ramdisk aufzubauen.

    In den letzten Wochen hatte ich etwas Zeit, daran weiterzuarbeiten und habe ein rudimentäres Paket- und Abhängigkeitsmanagement und eine Buildumgebung für ein glibc basiertes Rootdateisystem drumherum gebaut. Daraus ist bislang ein kleines Desktopsystem mit Xvesa und XFCE 4.6 entstanden, das derzeit 50 bis 70MB Squash-Container belegt und in einer bekannten Umgebung (nur wenige Kernelmodule werden geladen) etwa 12 Sekunden bis zum Desktop braucht. Kompiliert wird in einer Chroot-Umgebung, was die Integration neuer Pakete recht einfach macht: man kann jederzeit eine Kopie der Chroot-Umgebung erstellen, reinwechseln, basteln und das resultierende Buildscript sichern. (more…)

  • Das erste (?) Linux-Botnet

    Durch einen Artikel auf Linuxdevices.com bin ich auf eine kurze Reportage zu einem Linux-Botnet aus “geknackten” Kabel- und DSL-Routern gestoßen: Larry Seltzer berichtet in der eWeek von einem Psyb0t getauften Netz, das ausschließlich aus DSL- und Kabelroutern der MIPSEL-Architektur basiert.

    Betroffen sind offensichtlich Router mit schwachen Administrationspasswörtern, bei denen teilweise das Administrationsfrontend auf der WAN-Seite zugänglich war. Offenbar fand keine Modifikation des persistenten Speichers statt, so dass ein harter Reset genügt, um dem Spuk ein Ende zu bereiten — das Botnet soll abgeschaltet sein und keine weiteren Router identifizieren. Mit Routern wie der FRITZ!Box hätten die Botnet-Programmierer die Möglichkeit gehabt, durch ein paar Zeilen in der /var/flash/debug.cfg die Änderungen zu speichern.

    Angesichts der weiter steigenden Fähigkeiten moderner DSL-Router, die als Datenablage im Heimnetz dienen und mittlerweile moderate Rechenleistung bereitstellen, entsteht ein interessantes Bedrohungsszenario, bei dem gehackte Boxen den Datenverkehr belauschen, Mail- oder Login-Passwörter für Shoppingportale über unverschlüsselte Verbindungen abhören oder Spam verschicken — einzelne Spam-Mails, Listen mit Mailadressen und einen SMTP-Client für den Versand, der auch mit Queueing auf Greylisting reagiert, lassen sich in wenigen hundert kB unterbringen.

    Seltzer behauptet, dass der Hauptgrund dafür, dass es keine Botnets für Linux-Desktops gibt, darin liegt, dass der durchschnittliche Nutzer erfahrener als sein Windows-Kollege ist. Dem kann ich mich weitgehend anschließen. Nicht ganz d’accord bin ich mit der Behauptung, dass es sich um das erste Linux-Botnet handelt: Viele schlecht gewartete und anschließend “aufgemachte” Linux-Rootserver, die zum Spam-Versand oder für Wörterbuch-Passwort-Attacken missbraucht werden, weisen Botnet-Charakter auf — auch wenn es sich meist nur um Dutzende bis wenige Hundert beteiligte Rechner handeln dürfte und nicht um eine sechsstellige Zahl wie im vorliegenden Fall.

  • HP2133 — kein Austausch der Netzwerkkarte

    Weil Broadcoms BCM4312 unter Linux Ärger bereitet wollte ich sie gestern gegen eine Intel 4965AGN austauschen. Allerdings muss man, um an die an der Unterseite des Mainboards befindliche WLAN-Karte heranzukommen, das Gerät komplett zerlegen. Mit dem Repair and Maintenace Manual geht das erstaunlich gut. Man benötigt lediglich einen Satz Feinmechanikerschraubendreher, kleine Torx-Schlüssel, einen flachen Schraubendreher für die Kunststofflaschen und etwas Zeit.

    Die Ernüchterung kam dann, als das Mini-Note über fünf Minuten bis zum BIOS gebraucht hat: Das BIOS erkennt die Karte nicht und weigert sich, diese anzusprechen. Also die ganze Prozedur nochmal von vorne und Broadcom-Karte wieder reingebaut. Jetzt muss ich mal bei HP nachfragen, ob es einen versteckten BIOS-Menüpunkt gibt, mit dem sich andere Karten einstellen lassen. Wenn dann ein weiterer Versuch mit der Intel-Karte fällig ist, weiss ich, dass ich soviel Übung habe, dass Zerlegung und Zusammenbau in einer Viertelstunde erledigt ist.

    Achja: Die Festplatte ist keine 1,8er, sondern eine normale 2,5er. Hier existiert also noch Upgradepotential. Zudem sind RAM und Platte nach Ausbau der Tastatur erreichbar und folglich auch von ungeübten Schraubern schnell getauscht.