Es fällt mir schwer, an Tagen wie diesen mit Millionen1 betroffener Windows-Rechner, nicht “told you so” zu sagen. Das muss doch Wasser auf Ihren Mühlen sein schrieb mir noch am späten Freitag Abend ein Kunde, bei dem ich im Verlauf der vergangenen Jahre nach und nach Endgeräte mit Linux-Clients und sogar Raspi-basierten Thinclients2 ersetzt habe. Dem interessierten Leser dieses Blogs brauche ich nicht zu erklären, welche drei Ereignisse sich am Freitag ereignet haben. Die Beschreibung von a) einem weltweiten Ausfall bei Microsoft3, b) einem leicht feststellbaren Programmierfehler4 und c) einer leeren Datei5 - das können andere besser. Read more

Jüngstes Beispiel zur Widerlegung von Security through Obscurity:1 Ein kleines C++ Programm von Arsenii Esenin2 zur Deaktivierung des Windows Defenders. Das geschieht durch eine nicht dokumentierte WSC API, die jeder AV-Hersteller zur Installation seiner Software aufrufen muss. Der Windows-Defender3 macht anschliessend Platz für das Schlangenöl des Drittanbieters. Esenin hat durch klassisches Reverse Engineering einer solchen Installationsroutine eines Herstellers diese API offengelegt. Üblicherweise verpflichten sich Nutzer der geheimen Schnittstelle mit einer NDA zur Geheimhaltung. Read more

Schnell umsetzbare und technisch wenig aufwändige Tipps zum Absichern von Windows-Netzwerken: 1. Software Restrictions aktivieren Die seit XP in jedem Windows enthaltenen Software Restrictions1 aktivieren und per Gruppenrichtlinien im AD ausrollen. Wo alleinstehende Rechner außerhalb des AD im gleichen Segment stehen, müssen SRPs manuell in den lokalen Sicherheitsrichtlinien aktiviert werden.2 Auch wenn von Microsoft offiziell abgekündigt und bei Windows 11 aus Vorsatz oder Dummheit einen (leicht behebbaren) Bug eingebaut,3 stellen SRP weiterhin die sicherste und am weitesten funktionierende Implementierung eines App-Whitelisting dar. Read more

Artikel und Blogs sollten positiv sein. Stets das Gute suchen, neue Lösungen oder Denkweisen aufzeigen. Doch manchmal gibt es auch die Tage, die alles andere als das sind. Überall kaputte Prozesse, fehlendes technisches Verständnis und Grundlagen. Der heutige Rant in drei Akten geht in Richtung Softwareentwickler und deren Entscheidungen. Erster Akt Der Softwarelieferant eines gemeinsam betreuten Kunden möchte eine Python-Runtime installiert haben. Ein legitimer Wunsch, der nicht ohne Rückfragen bleibt. Warum? Was ist das genaue Problem? Gibt es vielleicht bereits bestehende Lösungen, die das Problem auch lösen? Read more

Vielen Dank für das überwältigende Feedback zum Beitrag “Management externer Dienstleister”1. Drei Vier häufige Fragen möchte ich hier im öffentlichen Rahmen beantworten: Können lokale Drucker in Guacamole durchgeschleift werden? Ja das ist möglich und für jede Verbindung einstellbar. Notwendig ist hierfür ein installiertes Ghostscript auf dem Guacamole Host. Ausdrucke werden als PDF heruntergeladen und in einem neuen Tab angezeigt (abhängig vom konfigurierten PDF-Handling im Browser). Read more

Der Zugriff von außen auf ein Unternehmensnetzwerk erfolgt häufig über einen bunten Strauß von Fernsteuerungsanwendungen. Egal wie sie heißen, ob Teamviewer, FastViewer, PcVisit oder Anydesk, das Grundkonzept ist überall dasselbe: Auf einem Rechner, der über eine permanente Internetverbindung verfügen muss, wird eine mehr oder weniger invasive Software gestartet. Sitzungs-ID und Passwort übermitteln und schon ist die Fernsteuerung eingerichtet. Wozu ein Management, wenn alles so einfach und sicher ist? Die Realität sieht leider anders aus, auch wenn die Anbieter immer wieder Sicherheitsversprechen abgeben, die übrigens bei Closed-Source-Software nicht überprüfbar sind.1 Read more

Selten sind Realitätsabgleiche von infrastrukturellen und personellen Entscheidungen so schnell und brutal. Aktuelle “operative Herausforderungen” eines mir persönlich bekannten mittelständischen Unternehmens erinnern an nachfolgendes Internet-Meme und machen es zum Zitat des Tages: The dildo of consequences rarely comes lubed. Das Bemerkenswerte: Vor 3-5 Jahren hielt man noch alle Instrumente zum Verhindern in den Händen - von Ransomware- bis hin zu Supply-Chain-Angriffen1. Doch wenn bewusst von einem Microsoft AD isolierte Systeme als “Insellösungen” belächelt, klare Konzepte als “zu kompliziert” nicht verstanden, Datenschutz bzw. Informationssicherheit als “Hindernis” betrachtet werden, ist das Resultat wenig überraschend: Read more

Ein Jahr Fediverse, Zeit für Reflexion. Für mich war es nie ein Ersatz für Twitter. Ich war nie dort und selbst wenn, wäre es naiv anzunehmen, Konzepte und Methoden 1:1 einfach zu übernehmen. Das geben allein die strukturellen Unterschiede nicht her. Wer in Mastodon z. B. eine globale Suche vermisst kann sich aussuchen, welches Konzept er oder sie nicht verstanden hat: Das eines freien, dezentralen Fediverse oder das von algorithmisch berechneten und intransparenten Suchergebnissen bei den sogenannten sozialen Medien. Read more

Poppers “Rechte und Pflichten derer, die von ihren Mitmenschen lernen wollen”1 aus den frühen 1990er - wichtiger denn je auf den heutigen digitalen Schlachtfeldern des Informationsraums: Jeder Mensch hat das Recht auf die wohlwollende Auslegung seiner Worte. Wer andere zu verstehen sucht, dem soll niemand unterstellen, er billige schon deshalb ihr Verhalten. Zum Recht ausreden zu dürfen, gehört die Pflicht, sich kurz zu fassen. Jeder soll im Voraus sagen, unter welchen Umständen er bereit wäre, sich überzeugen zu lassen. Wie immer man die Worte wählt, ist nicht sehr wichtig. Es kommt darauf an, verstanden zu werden. Man soll niemanden beim Wort nehmen, wohl aber das ernst nehmen, was er gemeint hat. Es soll nie um Worte gestritten werden, sondern um die Probleme, die dahinterstehen. Kritik muss immer konkret sein. Niemand ist ernst zu nehmen, der sich gegen Kritik immunisiert hat. Man soll einen Unterschied machen zwischen Polemik, die das Gesagte umdeutet, und Kritik, die den anderen zu verstehen sucht. Kritik soll man nicht ablehnen, auch nicht nur ertragen, sondern man soll sie suchen. Jede Kritik ist ernst zu nehmen, selbst die in böser Absicht vorgebrachte: Denn die Entdeckung eines Fehlers kann uns nur nützlich sein. in diesem Sinne, einen guten Start in die kurze Woche Read more

Hipster1 sind in möglichst vielen (Chat-)gruppen unterwegs. Egal ob in WhatsApp, TikTok, Reddit oder Facebook. Bedenkenlos werden Apps von Diensten heruntergeladen und alles mögliche geteilt - Texte, Links, Bilder und Videos - alles was geht. Eine gefährliche Falle wenn jemand in privaten Chatgruppen beginnt, strafrechtlich relevante Inhalte zu verbreiten, so der Rechtsanwalt Udo Vetter in seinem heutigen Blog.2 Bereits der bloße Besitz von Kinderpornografie ist strafbewehrt. Die aktuelle Mindeststrafe beträgt ein Jahr Gefängnis. Geldstrafen oder Einstellungen wegen Geringfügigkeit sind nicht möglich.3 Mitglieder einer privaten Gruppe oder eines Kanals geraten so schnell in den Fokus von Ermittlungen. Nicht zu vergessen sind jene Zeitgenossen, die bewusst andere “aus Spaß” diskreditieren wollen und sich um die Folgen keine Gedanken machen. Read more