Vor zwei Tagen hatte ich einen Voll-Ausfall aller meiner Domains (welche Content anbieten).
Der Grund war schnell gefunden, mein Webpaket bei all-inkl.com (Privat-Plus) hat keine feste IP-Adresse, daher sollte man auch nicht auf diese sondern auf eine Domain („benutzername.kasserver.com“) linken. Ich hatte dies nicht so.
Meine Domains habe ich aus Kostengründen bei inwx. Daher hatte ich die dortigen Nameserver genutzt. Und zwar einfach so das ich die „nicht feste IP-Adresse“ in den DNS A-Record bei inwx eingetragen habe. Hat alles funktioniert bis vorgestern. Da nämlich hat mein Webspace eine neue IP bekommen und schon „offline“. Alles. Restlos.
Schnelles Update wäre ein A-Record Update bei inwx gewesen, wollte ich aber nicht da ich nicht weiß wann die nächste IP-Adressen Änderung auf mich zu kommt. Also gegooglet, wie macht man das eigentlich richtig!?
Die ersten Ergebnisse haben gleich mal empfohlen das genauso zu machen wie ich es hatte, was aber meiner Erfahrung nach nun nicht mehr stabil funktioniert.
Nächster Versuch war die Nameserver von All-Inkl einfach in die Nameserver Einstellungen bei inwx einzutragen, brachte aber leider nicht viel. Nach weiteren Nachforschungen hat sich dann ergeben das ich die Nameserver „natürlich“ direkt bei der Domain eintragen muss.
So eingetragen und gewartet, mittlerweile (nach knappen 12 Stunden downtime) ist alles wieder online erreichbar. Diesmal wohl für quasi immer. All-Inkl zickt zwar bei deren DNS Einstellungen immer noch ein bisschen aber das bekomme ich bestimmt auch die Tage wieder hin.
Schaut mal was ich nettes in meiner Twitter Timeline gefunden habe. Mal ein Werbespot eines Autoherstellers der mir echt gut gefällt, obwohl ich die Marke eigentlich nicht mag.
Und wie im Title des HTMLs schon steht bringt diese Seite jeden aktuellen (Stand 17.10.2012 – Tested only in IE9) Internet Explorer zum Absturz, ganz ohne Javascript o.ä. Magie. Einfach nur noch witzig. Daher nutzt einen Browser und nicht den Internet Explorer. (Leider) immer wieder erwähnenswert.
Das erste ist damals beim Versuch andere Software aufzuspielen gleich unbrauchbar geworden. Das zweite ist jetzt kurz (halbes Jahr 😉 ) nach Ablauf der theoretischen Garantie von 2 Jahren an einem Hardware defekt quasi gestorben.
Da mein erstes aber noch immer Hardware Technisch einwandfrei sein sollte, probiere ich jetzt mal den Dienst von gsm-technix aus. (Update Link)
Warum einen Dienst in Anspruch nehmen?
Ich bin zwar selbst sehr Technik affine aber wenn ich keine Verbindung zum PC mehr bekomme sind mir die Hände dann doch schneller gebunden als normalerweise. Leider.
Eigentlich glaube ich ja mal gar nicht daran aber dann ist mir folgendes Youtube Video gezeigt worden:
Okay sieht immer noch nicht so vertrauenserweckend aus aber hey, einen Versuch ist es Wert. Für 20,– Euro (nur noch) 10,– € mit dem Versprechen das Geld zurück zu bekommen wenn es nicht klappt… Was will ich mehr?
Heute ist das Paket bei gsm-technix.de angekommen laut DHL. Promt kam auch die erste Bestellbestätigung von denen. Mit Vermerk „Ihre Bestellung wird im Moment bearbeitet“. Super. Mal schauen was noch so per Mail heute eintrudelt.
[Update @ 18.10.2012 – 21:16]
Jetzt wurde mein HD2 Repariert. Hat geklappt. Sieht echt cool aus. [Facebook] Laut Bestätigungs-E-Mail geht das ding Heute [19.10.] in den Versand. Mal schauen ob das am Wochenende schon ankommt.
** HTC HD2 nach Bootloader Reparatur aus 86441 – Zusmarshausen / Germany ** (OK)
Open serial port…OK
Connecting to the RIFF Box…OK
Firmware Version: 1.34, JTAG Manager Version: 1.45
Selected Resurrector: [HTC HD2 (Leo) V1.00]
Connecting to the dead body…OK
Detected dead body ID: 0x202400E1 – CORRECT!
Set I/O Voltage reads as 2.59V, TCK Frequency is RTCK
Adaptive Clocking RTCK Sampling is: [Sample at 6 MHz]
Resurrection sequence started.
Establish communication with the phone…OK
Initializing internal hardware configuration…OK
Uploading resurrector data into memory…OK
Starting communication with resurrector…OK
Detected an Initialized FLASH1 Chip, ID: 0x00EC/0x55BC (512MB)
Flashing the dead body…OK
Resurrection complete!Reparatur Log von GSM-TechNiX
Müsste dann so am Samstag ankommen.. (DHL) Wenn ich Glück habe, ansonsten nächste Woche, mal schauen.
Pfaffenhofen macht es schon. Andere Gemeinden und Städte in Bayern sollen (oder müssen) folgen!
Die bayerischen Piraten haben heute eine Aktion gestartet und alle ihre Mitglieder gebeten, ihrem Bürgermeister einen Brief zu schicken. Darin die Bitte, einen Antrag an die eigene Gemeinde bzw. Stadt zu stellen, öffentliche Sitzungen künftig aufzuzeichnen und ins Netz zu stellen (oder gleich zu streamen).
Da auch Interessierte, die nicht Mitglied in der Piratenpartei sind, die einfache Möglichkeit haben, ein solches Schreiben zu verschicken, gibt es ein Online-Tool, womit das Schreiben für jede Adresse in Bayern erzeugt werden kann. Der Aufruf also an alle Bürger: mitmachen, eine Briefmarke investieren und den Druck auf die Kommunalparlamente erhöhen!
Um auch in Augsburg etwas voranzubringen, habe ich meinen Brief gleich schon mal ausgedruckt, unterschrieben und bringe Ihn morgen früh zur Post. Mal sehen, ob der OB Gribl reagiert.
Er wollte Prozesse optimieren. „Aber ich brauche hier doch keinen, der den ganzen Tag rechnet“, sagt sie. „Ich brauche Leute mit Menschenverstand, die anpacken.“Sina Trinkwalder KarriereSPIEGEL-Autorin Julia Graven spiegel.de – Hoffnungslose Fälle, dringend gesucht
Wie im Blog von Dropbox veröffentlicht wurden einige Accounts gehakt. Dies zwingt mich quasi mal wieder etwas zu bloggen zum Thema Sicherheit im Web. So das habt ihr nun davon. Fangen wir aber mal mit genau dem Thema Dropbox an.
Aufgefallen ist dieser Fall erst Usern. Usern die E-Mail-Spam bekommen haben auf die E-Mail-Adresse welche nur für den Dropbox Account genutzt wurde.
Fragen die ich mir zu dem speziellen Fall stelle.
1. Warum fallen Angriffe erst Usern auf wenn es quasi eh schon zu spät ist?
2. Wie viele Vertrauliche Daten konnten dabei wohl in die falschen Hände geraten sein?
3. Was habe ich in meiner Dropbox liegen was „vertraulich“ ist?
Zu erstens ist einfach nur zu sagen das es wohl ein qualitativ hochwertiger Angriff war, ansonsten wären die Hacker wohl am (hoffentlich gutem) Sicherheitssystem von Dropbox gescheitert. Das Dropbox jetzt versichert das es hoffentlich nie wieder soweit kommt ist irgendwie nur ein schwacher Trost für betroffene.
Zu „erst Usern“, wie soll Dropbox gute Angriffe auch mitbekommen? Wenn die Sicherheitssysteme immer erst dann verbessert/aktualisiert werden wenn sowas passiert dann ist das doch wiedermal ein Armutszeugnis für die Sicherheit im Netz.
2. Viele. Wenn ich sehe was ich anfangs unverschlüsselt in meiner Dropbox gespeichert habe um einfach diese Daten „überall“ zu haben, ja das war höchstwahrscheinlich ziemlich Lukrativ für die Angreifer, selbst wenn sie „nur“ Daten von Privat Personen bekommen haben.
3. Nichts mehr. Zumindest nicht außerhalb von hochgeladenen TrueCrypt-Container-Dateien. Ja diese „Doppelte“ Sicherheit ist wohl besser als einfach so auf die Sicherheit von Dropbox zu vertrauen. Bei Google-Drive funktioniert das übrigens immer noch nicht richtig. Die Container-Dateien werden nämlich nur dann erneut hochgeladen wenn sich die Dateigröße ändert, das passiert im Normalfall nicht. Schade eigentlich, ein MD5 o.ä. ändert sich nämlich immer wenn man Dateien im TC-Container verändert.
Als weitere persönliche Sicherheit empfehle ich euch Passwortdatenbank-Tools zu verwenden. Klingt unlogisch? Passwörter die irgendwo stehen sind doch Unsicher?
Jain, ABER. Erstens ist es quasi notwendig bei jedem Web/Online/Sonstwas-Dienst unterschiedliche Passwörter zu verwenden (und wie viele Dienste mit (dem gleichen?) Passwort nutzt du?).
Warum? Ganz einfach. Sobald der erste Dienst (wie letztens Dropbox) geknackt wird, inkl. Passwort wird diese Passwort/Mail Kombination einfach „blind“ auf weitere Dienste gejagt. D.h. z.B. Dein Facebook Account (mit gleicher Mail/Passwort Kombination) ist auf einmal auch zugänglich. Somit unterschiedliche Passwörter überall.
So jetzt wird es mit „Passwort merken“ sehr interessant nicht wahr? Außerdem sollte ein Passwort auch nicht irgendwie so: „HalloWelt91“ aussehen sondern eher so: „rWo6KJuac4w“ beides elf stellig, beides „nur Groß-, Kleinbuchstaben und Zahlen“. Aber dennoch sehr Unterschiedlich. HalloWelt steht in jedem „Hacker Wörterbuch“ eine von dem Geburtsjahr abgeleitete Zahl ist auch schnell herausfinbar. Merken kann man sich „rWo6KJuac4w“ eher weniger. Also Speichern. Warum auch nicht? Wenn man es richtig anstellt z.B. mit dem Tool KeePass (nutze ich) ist das ganze auch nicht so übermäßig gefährlich. Falls die „kdb“ (KeePass Database (deutsch: KeePass Datenbank)) in falsche Hände gerät hat „der Dieb“ noch lange keine Zugriff darauf. Denn diese Datenbank muss mit Masterpasswort und/oder Masterpasswortfile verschlüsselt werden. Ein Masterpasswort wiederum kann man sich doch merken, da kann man dann seine ganze Fantasie walten lassen und ein „Sicheres“ Passwort merkbar nutzen.
Weiterer Vorteil von KeePass, es ist OpenSource somit hat niemand der daran entwickelt (vorausgesetzt man holt sich die Version von der Original Website) Interesse daran die Verschlüsselung oder Sicherheit zu korumpieren d.h. Backdoors einzubauen. Im Gegensatz zum Thema „im Browser“ (vor allem IE oder GoogleChrome) speichern. Außerdem ist ohne Sync nach Browser/Betriebssystem oder sonstwas neuinstallation alles wieder futsch. Und wenn man Passwörter zu Google Synct, dann ist halt alles in den Händen eines Konzerns welcher bekennend (nach eigener Aussage) Daten verkauft. Falls man dennoch Software wie die Software 1Password von agilebits nutzt ist man auch wieder so im Bereich, hoffentlich gibt es kein Backdoor in dieser Software womit man dann doch wieder mit einmal an alle meine Passwörter kommt.
Software kaufen vs. OpenSource. Vorteil von 1Password gegenüber von KeePass 1Password ist deutlich Benutzerfreundlicher. Vorteil KeePass: 100 %ig keinerlei Backdoor Gefahr. Außerdem ist KeePass kostenlos, 1Password nicht. 1Password wiederum ist Plattform unabhängig Verfügbar, KeePass nur „Unofficial“ aber funktionell. Jedem das seine aber für mich ist 1Password einfach keine Alternative.
Ich persönlich habe meine Passwort-Datenbank immer auf einem USB-Stick dabei. Auf diesem wiederum ist auch KeePass Portable für Windows. Diese DB ist mit einem Master-Passwort geschützt.