Die böse Drei oder "Unbestreitbar" ist das neue "alternativlos"

10.10.2011 20:54 von /cbx, derzeit 2.25719 Kommentare

Send to Kindle

Eigentlich wollte ich hier und jetzt – in bester Simon Voggeneder-Manier – in einem kopfschweren Text mein indifferentes Unwohlsein angesichts einer neuen “wissenschaftlich objektiven” Methode zur Diagnose von Pädophilie durch bildgebende MRT artikulieren. Die international publizierte Studie nennt beeindruckende Zahlen was die Genauigkeit und Sensitivität der Methode betrifft.


[Ene-mene-muh, pädophil bist Du!]

Die Medienmechanik funktioniert in diesem Fall mit beeindruckender Präzision. Die Sau, die gerade am lautesten quiekend durch’s Dorf getrieben wird, dünstet einen Anruch aus, der keinerlei Zweifel daran aufkommen lässt, dass technische Mittel in den Händen einer Gruppe mit starkem Zieldruck und geringen Hemmschwellen, unterstützt durch dürftiges Hintergrundwissen zu unberechenbaren Waffen werden können. Ich möchte dazu nur einen einzigen Gedanken formulieren:

Wozu soll das – falls es wirklich funktioniert – gut sein? Ist jeder Mensch mit “pädophilen Neigungen” ein Kinderschänder, so wie jeder Mann mit “normalen” heterosexuellen Neigungen ein Vergewaltiger ist?

Allein – mehr beschäftigen mich die zwei ungünstig (günstig?) aufeinander gefallenen IT-Skandale vom Wochenende. Martin Hetzner wird derzeit vermutlich für die Mädels und Jungs vom CCC das eine oder andere Kerzerl anzünden, wo sie doch mit ihrer elegant eingefädelten PR-Show den Fokus des öffentlichen Interesses von seinem absoluten Vertrauens-GAU abgesaugt haben wie ein Tornado die Kühe vom Acker.

Ich habe mir die Geschichte im Laufe des Wochenendes ausgiebig durch den Kopf gepumpt, abgewogen, nachgelesen und alles sedimentieren lassen. Letztlich komme ich weiterhin zur selben Entscheidung, aber unter etwas veränderten Rahmenbedingungen.

Es hat bei Hetzner eine Verkettung von zwei absoluten Vollidiotenfehlern stattgefunden, die in der Summe den BAF (Blödesten Anzunehmenden Fehler) ergeben.

  1. Auf den von Hetzner selbst verwalteten (Managed-) Servern lief ein FTP-Server-Prozess, der für Directory Traversal anfällig (konfiguriert?) war. Bei einem FTP-Server mit einem solchen Problem zu rechnen ist ungefähr so abwegig wie abends mit dem Einbruch der Dunkelheit zu rechnen. Es ist ein extrem böser Schnitzer, diesen Standardfall einer Fehlkonfiguration nicht durch Tests auszuschließen.
  2. Auf den über das Directory Traversal erreichbaren Verzeichnissen befanden sich dann auch noch unverschlüsselte und auch nicht gehashte Benutzernamen und Passwörter.

Man kann Benutzerdaten unverschlüsselt – ja sogar ungehasht – speichern, das mag sogar hin und wieder Vorteile bringen. Dann aber muss man dafür sorgen, dass der Speicherort dieser Daten wirklich wirklich wirklich sicher ist – und dazu gehört ein offenes Netz in dem schlampig konfigurierte FTP-Server laufen mit absoluter Sicherheit nicht. So weit fällt meine Einschätzung der Situation vernichtend aus.

Trotzdem sehe ich keinen Anlass, unsere Server bei Hetzner zu kündigen. Wer hier etwas regelmäßiger mitliest, der wird die Rubrik “Aus der Schule” kennen, die ein beredtes Zeugnis davon ablegt, dass absolute Vollidiotenfehler ein zentraler Bestandteil meiner persönlichen Strategie als Entwicklungsleiter sind. Ich weiß, dass Fehler – auch wirklich wirklich dumme – immer passieren werden – und zwar jedem.

Und deshalb arbeite ich lieber mit jemanden zusammen, der zu seinen Fehlern steht als mit jemandem, der sie vertuscht.

Drei Absätze noch zum Bundestrojaner. Es ist amüsant anzusehen, wie sich die offiziellen Verteidiger des Rechtsstaates derzeit verzweifelt winden, nachdem sie gerade – wenig überraschend – bis zum Arsch im Sumpf der Verfassungswidrigkeit stehend erwischt wurden. Trotzdem interessiert mich dieser rechtliche Aspekt recht wenig – damit wird sich die Medienlandschaft ohnehin genug auseinandersetzen.

Ich bin viel mehr immer noch hellauf begeistert von den Möglichkeiten, die das vollkommen offene Interface dieser Software bietet. An keiner Stelle der Kommunikation findet auch nur der Versuch einer Überprüfung statt, von wem die übertragenen Daten stammen und an wen sie übertragen werden. Kein ordentlicher Malware-Autor würde sich heutzutage noch eine derartige Leichtgläubigkeit seiner Schadsoftware leisten können – binnen weniger Stunden hätte ein feindlicher Botnetz-Betreiber die wertvollen Zombie-PCs übernommen und in seine Herde kleiner Internetverbrecherlein eingemeindet. Nur ein hoch spezialisiertes polizeiliches Ermittlungswerkzeug tanzt jederzeit willig nach der Pfeife dessen, der sich gerade in die Datenleitung eingeklinkt hat.

Kommentator ernst hat es perfekt auf den Punkt gebracht: “Gebt den Datendieben was sie haben wollen – Daten, Daten, Daten…” Denn auch das würde funktionieren. Genauso wie die “Ermittler” die Möglichkeit haben, jederzeit “Beweise” auf dem überwachten System zu hinterlegen, würde das offene System des Bundestrojaners es auch erlauben, dass eine beliebige Menge von Internet-Spaßvögeln den Ermittlern mehr “Beweise” zukommen lässt als die in den nächsten 20 Jahren würden auswerten können.

Das wäre erst ein Spaß! Allerdings einer von dem wir wohl nie erfahren würden.

/cbx, Kategorie: Rant & Grant -

 

Eigener Senf dazu?

  1. Kraska gab am 11. Oktober 2011, 09:40 folgenden Senf dazu:

    …furchterregend, trotz allem. Schon die kindische Begeisterung für die Farbenspiele der Hirn-Tomographie! Die Dummheit LEIUCHTET!

    /cbx meint dazu:

    Sogar mich gruselt täglich mehr, wie sehr Menschen irgendwelchem Kabelsalat vertrauen, den sie seit Jahrzehnten schon selbst nicht mehr verstehen. Würde aber Dummheit wirklich leuchten, dann müsste ich mir wohl eine Schlafmaske zulegen...

  2. Simon Voggeneder gab am 14. Oktober 2011, 20:08 folgenden Senf dazu:

    Oh. Jetzt bin ich schon ein Synonym für kopfschwere Texte. So weit ist es gekommen!

    /cbx meint dazu:

    Tja, jedem sein Qualitätsprädikat :-P .