Meine Presseratsbeschwerde zum Fall Edathy

Von Mainboarder am 21.02.2015 veröffentlicht
Tags: , ,

Vor etwas über einem Jahr beschwerte ich mich beim Deutschen Presserat über einen Artikel von Welt Online. Dieser beschrieb, wo Edathy Pornos mit welchen Bezahldienstleistern zu welchen Preis kaufte. Es ging um mutmaßliche Kinderpornos.

Zusammenfassung bisher

Der Presserat entschied gegenüber Welt Online eine Missbilligung auszusprechen, die mittlere von drei Maßnahmen. Diese Erging aufgrund der Veröffentlichung von E-Mailadressen die als privat bewertet wurden und der Nennung des nickname der angeblich nicht klar Edathy zugeordnet werden kann. Ich selbst kritisierte jedoch eigentlich, dass kein öffentliches Interesse besteht mit welchem Bezahldienstleister in welchem Umfang auf welcher Plattform Edathy die Pornos kaufte. Das sah der Presserat anders.

Der Chefredakteur von Welt Online beantragte dann die Wiederaufnahme des Verfahrens, da die Mailadressen angeblich durch Edathy selbst öffentlich zugänglich gemacht wurden. Dies konnte ich jedoch nicht in allen Fällen selbst feststellen. Meine Erkenntnisse teilte ich dem Presserat auch mit. Durch Edathy veröffentlichte, privat wirkende Mailadressen waren an den von Welt Online angegeben Stellen durch offizielle Adressen (z.B. @bundestag.de) ersetzt oder in einem anderen Kontext wenigen tausend Menschen zugänglich gemacht wurden. Für mich war es nicht klar, ob dies einer “breiten Öffentlichkeit” entspricht.

Der Absatz in dem der nickname Edathy zugeordnet wird, ist – meiner Meinung nach – nicht klar verständlich formuliert. Der nickname kann Edathy nämlich eindeutig zugeordnet werden, der Text lässt sich aber auch anders verstehen. (Nicht umsonst gab es neben mir noch einen weiteren Beschwerdeführer und diese deutliche Entscheidung des Presserates)

Die Entscheidung

Der Presserat hat seine Entscheidung zu meiner Beschwerde zurückgenommen und meine Beschwerde als unbegründet bewertet.

Wie bereits geschrieben, lässt sich der nickname Edathy doch eindeutig zuordnen (dies wurde dem Presserat dargelegt, ich selbst hatte natürlich keinen Einblick in irgendwelche Recherchedokumente). Daher war abzusehen, dass dieser Punkt auf jeden Fall fallen gelassen wird. Dennoch bat ich darum, den Absatz etwas klarer zu formulieren. Dies ist bislang nicht geschehen.

Bei der Nennung der Mailadressen von Edathy wägt der Presserat das Interesse des Betroffenen an einer Nichtnennung und dem öffentlichen Interesse zugunsten von letzteren ab.
Das Veröffentlichen einer bis dato privaten Mailadresse ist aufgrund des Bedürfnisses der Redaktion, die Ergebnisse der Recherche und das Belegen der Vorwürfe, gerechtfertigt.

Mein Umstieg auf Linux

Von Mainboarder am 17.02.2015 veröffentlicht
Tags: , , ,

Schon länger keimte mein Interesse komplett auf Linux umzusteigen. Ein System welches hervorragend dokumentiert, flexibel und durch den Nutzer vollständig anpassbar ist, klang für mich verlockend. Auf meinen Servern läuft ja ohnehin seit eh und je Linux.

Mit einem Zertifikatsfuckup bei Microsoft Windows und einem interessanten Vortrag auf dem 31C3, verbunden mit meinem neuen Rechner, war es für mich klar Windows nur als Ausweichalternative im Dualboot zu installieren.

Das am breitesten eingesetzte Linux für Endnutzer im Heimbereich ist vermutlich Ubuntu. Da ich mich mit Debian beschäftigte, passt mir das gut. Ein robustes System mit aktuellerer Software als es bei Debian der Fall ist aber dennoch im Kern darauf basiert.

Ein Windows war schon installiert, da konnte das Ubuntu darauf folgen. Linux ist auch netter was Dualboot angeht, erkennt und respektiert andere Betriebsysteme neben sich. Windows übersieht wohl gerne mal andere Betriebssysteme.

Nach einigen, wenigen Wochen intensiver Ubuntu-Nutzung, kann ich nun feststellen, dass das eine gute Entscheidung war.
Nicht nur war der Umstieg leichter als gedacht, nein das System spielt auch schon nach wenigen Tagen Nutzung seine Vorteile für mich aus.

Zum einen gibt es wirklich brauchbare Software auch unter Ubuntu. Selbst GIMP ist, dafür dass es kostenlos ist, nicht schlecht. Klar ist es ein Umstieg von Photoshop auf GIMP, aber übermäßig professionelle Anforderungen habe ich auch nicht an die Software. Ich bin kein Fotograf, der permanent in seinen Bildern arbeiten muss.

Mit Chromium gibt es einen von Google recht weit entkoppelten Browser, der aber dennoch die Vorzüge von Chrome hat.

Und auch diverse Mailclients existieren. Die haben zwar – wie unter Windows auch – nahezu alle ein paar Schwächen, aber dennoch lässt sich mit ihnen arbeiten.

Zum anderen – und das mag ein Placeboeffekt sein – habe ich einfach ein besseres Gefühl, nicht in die Blackboxsoftware eines amerikanischen Konzerns passen zu müssen. Gleichzeitig fühle ich mich wirklich auch sicherer unterwegs. Die integrierte Backuplösung ist für mich perfekt: automatisch GPG verschlüsselte Backups auf einen Server mittels SSH schieben.

So fertige ich auch schon jetzt Backups meiner Server an. Das integriert sich zufällig also sehr gut.

Sicherlich ist es von Vorteil Erfahrung mit der Kommandozeile mitzubringen. Denn einen ersten Ausfall möchte ich an dieser Stelle nicht verschweigen:

Als ich für meine Grafikkarte die CUDA-Unterstützung installieren wollte, war es notwendig – nachvollziehbarerweise – die Grafik abzuschalten. Danach funktionierte auch der neue Grafiktreiber, nicht aber die CUDA-Schnittstelle.

Nach einem Kernelupdate ging jedoch nichts mehr (blinkender Cursor ohne Reaktion auf irgendwas). Also den Treiber wieder deinstalliert und somit das System wieder funktionsfähig gemacht.

Heraus kam, und das war mir neu, dass bei einem Kernelupdate der Treiber neu kompiliert werden muss. Das kann man aber automatisieren mit diesem Skript.

Als toll erweist sich das zentrale Software-Archiv. Neue Versionen von Programmen können so schneller eingespielt werden und nicht wie bei Windows bsp. erst zum Start des entsprechenden Programmes. Einmal Updates ziehen und das gesamte System ist von vorn bis hinten aktuell. Natürlich nur solange, man die Software auch nur aus dieser Quelle installiert.

Auf der Verbindungsauskunft der Leipziger Verkehrsbetriebe (LVB) konnte ich mal wieder Fehler feststellen. Diesmal aber durchaus ernstere Sicherheitsschwachstellen.

Um von A nach B mit Bus und Bahn zu kommen, gibt es die Verbindungsauskunft. Diese ist mir bereits in der Vergangenheit mit Fehlern und unlogischer Handhabung aufgefallen.

Da ich selbst für mich einen Fehler lösen oder zumindest dessen Ursachen finden wollte, schaute ich mir die Website etwas genauer an.

Um eine Auskunft für die Haltestelle Meusdorf ohne Rückfrage zu erhalten, muss man nach “1|000011559;51.294498;12.439704|Leipzig, Meusdorf” suchen. Da sind vermutlich die Daten “Liniennetz | Haltestellennummer bzw ID ; Koordinaten | Name” untergebracht.

Dann überlegte ich, dass ich das anders umgesetzt hätte und dachte mir: “Was ist eigentlich mit Sonderzeichen?”

Einfach ein Anführungszeichen eingeben und...

Einfach ein Anführungszeichen eingeben und…

boxweg

… ein Interessantens Ergebnis entsteht.

Mit den Sonderzeichen muss man eigentlich immer besonders gut umgehen. So auch in diesem Fall:

Ein doppeltes Anführungszeichen lies die Haltestellenbox komplett verschwinden.

Nun das ist an sich noch nicht tragisch, zeigt mir aber, dass hier jemand nicht an alles gedacht hat. Dieser Punkt bestärkte mich genauer hinzuschauen.

Nach circa 10 Minuten weiteren Probierens kam ich auf ein wirklich interessantes Ergebnis.

Der Server reagierte auf einen Datenbankbefehl (SQL-Injection). Dabei versuchte ich, das Eingabefeld der Haltestelle vorzeitig zu schließen, um dann noch einen Datenbankbefehl unterzubringen, der in die Datenbank geschleust wird. Auch hier erhielt ich ein abnormales Verhalten. Es war mir also gelungen, diesen Befehl in der Fahrplanauskunft so zu positionieren, dass der Server ihn verarbeitete. Dabei habe ich keine böswilligen Befehle genutzt, wie zum Beispiel Datenbank löschen oder alles ausgeben zu lassen.

Ich versuchte nun das Verhalten des Servers zu reproduzieren um es für die Verantwortlichen zu dokumentieren und als vernünftige Fehlermeldung einreichen zu können.

Das dauerte nochmal 20 Minuten. Ich bin eigentlich keiner, der sich mit Hacken aus Hackersicht beschäftigt. Deswegen fehlt mir da auch einfach die Übung.

Jedoch kam ich zu folgendem Ergebnis:
Übergibt man ein einfaches Anführungszeichen, gefolgt ohne Leerzeichen von einem SQL-Kommando zerschießt es die Website:

Ein einzelnes Anführungszeichen gefolgt von einem SQL-Befehl...

Ein einzelnes Anführungszeichen gefolgt von einem SQL-Befehl…

... zerschießt die Seite.

… zerschießt die Seite.

Da diese Anfrage an den Server geschickt nun offensichtlich auch tatsächlich bearbeitet wird, handelt es sich um einen Fehler. Hier müssen spezielle Muster ignoriert oder automatisch umgeschrieben werden, damit keine Gefahr entsteht.

Ich habe nicht getestet ob es möglich war auf die Daten schreibend zuzugreifen und so beispielsweise Daten zu löschen.

Das Auslesen von Daten gelang mir nicht.

Deswegen rede ich auch ausdrücklich nicht von einer Sicherheitslücke sondern einer Schwachstelle. Da es denkbar ist, dass das Verhalten für mehr, als was ich nachvollzogen habe, genutzt werden konnte.

Die Leipziger Verkehrsbetriebe habe ich am 19. Januar über den Fehler informiert und 45 Tage Zeit zum Beheben bzw. bis zur Veröffentlichung gegeben. Das nennt sich responsible disclosure und soll den Betroffenen eine faire Möglichkeit zur Fehlerbehebung geben, aber auch das Interesse der Nutzer wahren, mit sicheren Systemen umzugehen.

Am 9. Februar erhielt ich die Rückmeldung, dass der Fehler behoben wurde. Das konnte ich auch nachvollziehen, da die Seite nun normal auf solche Anfragen reagiert und sich der Fehler nicht mehr nachstellen lässt. Deswegen habe ich diesen Beitrag vorfristig veröffentlicht.

Filmtipp: Der Banker – Master Of The Universe

Von Mainboarder am 9.02.2015 veröffentlicht
Tags: , , ,

Und schon wieder ein Filmtipp. Diesmal erzählt uns ein ehemaliger Investmentbanker, wie Banken so funktionieren. Der Film hat diverse Auszeichnungen erhalten.

Da wir alle den Film über unsere Rundfunkbeiträge finanziert haben, setze ich auch direkt einen Hotlink, dann könnt ihr den Film auch direkt herunterladen:

http://pd-ondemand.swr.de/swr-fernsehen/dokumentarfilm/765248.xl.mp4

Ein Thinkpad sollte es sein

Von Mainboarder am 8.02.2015 veröffentlicht
Tags: , , ,

Mein alter Rechner (viereinhalb Jahre) ist mittlerweile recht klapprig, langsam und anstrengend. Deswegen habe ich mir einen neuen gekauft. Ein ehemaliges Leasinggerät. Aber lohnt sich sowas?

Da ich schon sehr viel gutes über Thinkpads gehört habe, viele in meiner Umgebung eines haben und IBM, die die Thinkpads ursprünglich herstellten auch Ahnung von Computern hat, fasste ich diesen einmal näher ins Auge. Seit 2004 hat allerdings der chinesische Hersteller Lenovo die Sparte von IBM übernommen.

Dass ich sogar noch IBM-Geräte bei Leuten sehen kann, spricht durchaus für die Robustheit dieser Geräte. Darauf angesprochen hörte ich auch nie Argumente, die gegen ein Thinkpad sprechen.

Ein möglichst leistungsfähiges Gerät sollte es daher werden, um auch für die Zukunft gerüstet zu sein. Dabei traf ich auf einen Onlineshop der ehemalige Leasinggeräte aufbereitet (z.B. prüfen, säubern) und dann weiterverkauft. Anpassungen sind auch möglich, wie ein Aufrüsten des RAM’s oder der Festplatte.

Bei Twitter erhielt ich dann noch weitere Shops für einen Vergleich zugeschickt. Aber wie es oft so ist: man hat sich manchmal einfach in ein Gerät verguckt. Als ich einem Freund dieses Gerät zeigen wollte, fanden wir ein scheinbar identisches, welches auch noch eine Ecke weniger kostete. Zusammen mit einem Weihnachtsangebot, welches zwei Jahre Garantie kostenlos versprach, kam es für mich definitiv in Frage. Sollte das Leasinggerät starke Macken haben, so habe ich 14 Tage Rückgaberecht. Und sollte es in weniger als zwei Jahren schlapp machen, habe ich Garantie (die ich mir eh dazu kaufen wollte).

Deswegen folgte dann ein Anruf beim Shop Luxnote, wo ich die beiden scheinbar identischen Geräte entdeckte, um nachzufragen, wo denn der Unterschied liegt, der den Preis rechtfertigt. Der Berater stellte – wie ich – fest, dass es im Grunde keinen Unterschied gibt. Nur, dass das günstigere Gerät zusätzlich über ein UMTS-Modul verfügt (was ich derzeit nicht brauche).

Kurz darauf löste ich den Auftrag aus.

Zwei Tage später war dann mein neuer Rechner bei mir. An dem Tag hatte ich nur kurz Zeit mir das Gerät anzuschauen. Sehr froh war ich darüber, dass das Gerät nahezu unbenutzt aussieht. Man erkennt im Grunde lediglich, dass die Tastatur mit neuen Buchstaben beklebt wurde, weil die alten etwas reliefartig durchdrücken, und dass ein bis zwei Lüftungslammellen leicht verbogen sind. So gering, das dürfte die Luftzirkulation nicht behindern.

Den Tag darauf startete das Gerät leider nur noch über den Akku (der angibt 54 mal geladen worden zu sein). Ein Multimeter zeigte am Netzteil eine Spannung von 0V an. Interessanterweise war ich nicht der erste, der ein kaputtes Netzteil bekam.

Ich schrieb also Luxnote, dass vermutlich das Netzteil kaputt ist. Leider war man in den Betriebsferien, sodass sich der Austausch etwas hinzog. Aber hey. Wer arbeitet schon gern zwischen Weihnachten und Silvester?

Kurz nach Neujahr kam das neue Netzteil und alles läuft.

Nach wenigen Tagen im Einsatz kann ich nun sagen: das Ding ist cool!

Versiegelte Tastatur, angenehme Anschlagsdynamik und Tastenklang, im BIOS abschaltbare Hardware (Fingerabdruckleser, Webcam, Mikrofon, UMTS-Modul, Wifi-Modul, Smartcard-Reader u.a.).

Wer selbst vorhat bei Luxnote einen Laptop zu bestellen: bei mir lag ein Gutschein dabei, der bei einem Laptopkauf eine gratisch Laptoptasche und Maus verspricht. Wer zuerst den Code 528749 nutzt, bekommt es.