Lieber Leser,

zunächst einmal möchte ich mich dafür entschuldigen, so lange nichts in diesem Blog geschrieben zu haben. Der Grund dafür war, dass ich mich etwas zurückgezogen hatte, um mich intensiver meinem Studium zu widmen.

Alles in allem blicke ich auf zwei Erfolgreiche Semester zurück. Neben einer sehr gut bestandenen Vertiefungsfachprüfung im Fach “Betriebssysteme”, und zwei bestandenen Praktika habe ich etwas gemacht, was ich schon lange tun wollte: Ich war Tutor im Fach “Systemarchitektur” und habe meinen Studenten die Grundlage von Betriebssystemen beigebracht.

Insgeamt habe ich mich in der letzten Zeit viel mit den Themen Betriebssysteme, Echtzeit und Parallelentwicklung (Multicore, SMP und Cluster Computing) beschäftigt.

Dies sollen auch die prägenden Themen in der nächsten Zeit werden. Daneben möchte ich ab und an über mein anderes großes Hobby, das Thema Kochen, berichten.

Ich hoffe, dass ich in Zukunft öfter dazu kommen werde, neue Artikel zu verfassen!

Wie heißt es so schön: Was lange währt, wird endlich gut? Ich hoffe, selbiges trifft auch auf meine Studienarbeit zu, die nach fast einem Jahr Arbeit fertig geworden ist. Das ist schon ein tolles Gefühl, wenn man die Ergebnisse seiner Arbeit in gebundener Form in der Hand hält.

Im wesentlichen geht es in der Studienarbeit darum, wie erkannt werden kann, ob eine Webseite per HTTPS abrufbar ist. Aufgrund von Name-Based-Virtual-Hosting reicht es hierzu nicht aus, sich auf Port 443 zu verbinden, und zu hoffen, dass ein gültiges Zertifikat zurückkommt. In der Studienarbeit wurde daher ein Algorithmus entworfen, der auf Grundlage von Mustererkennungsverfahren die über HTTP abgerufene Webseite mit der über HTTPS abgerufenen vergleicht. Schwierig war hierbei vor allem, dass mittlerweile viele Webseiten dynamisch generiert werden, d.h. man kommt mit einem einfachen String-Vergleich nicht sonderlich weit. Hier kommt mein Algorithmus ins Spiel, der geschrieben wurde, um genau mit solchen Fällen umzugehen.

Studienarbeit: HTTPS Autodiscovery – Proaktive Erkennung von Sicherheitsverfahren.

Im Rahmen meines Seminars “Netzsicherheit und Hackerarbwehr” ist mir ein Sicherheitsfeature im Linux Kernel begegenet, dem bisher noch relativ wenig Aufmerksamkeit gewidmet wurde. Das Feature heißt “Randomize VA Space”. Hierbei handelt es sich um Address-Space-Layout-Randomization (kurz ASLR). Bei jedem Start eines Programms, wird der Anfag des Stacks innerhalb des Address-Space (AS) dieses Programmes  nicht mehr wie früher statisch, sondern zufällig bestimmt. Bei IA-32 und X86_64 wird vom anfänglichen Stackpointer eine zufälliger Integer zwischen 0 und 2^13-1 abgezogen. Insgesamt gibt es also 8192 verschiedene Adressen, an denen sich der Stackpointer befinden kann.

Der Code hierfür ist architekturspezifisch und findet sich für IA-32 z.B. unter /usr/src/linux/arch/i386/kernel/process.c :

unsigned long arch_align_stack(unsigned long sp)
{
    if (!(current->personality & ADDR_NO_RANDOMIZE) && randomize_va_space)
        sp -= get_random_int() % 8192;
    return sp & ~0xf;
}

Dies alleine bietet noch keinen ausreichenden Schutz gegen Exploits. Die Gründe dafür kann man in meiner Seminarausarbeitung nachlesen. Allerdings ist das schon recht lästig, insbesondere, wenn man nicht weiß, dass es so ein Feature gibt und man ewig nach dem Grund sucht, wieso der schöne Exploit, den man gerade geschrieben hat, dauenrd abstürzt.

Abschalten kann man das Feature übrigens mit dem Befehl:

sysctl kernel.randomize_va_space=0

So, nachdem ich nun auch den Seminarvortrag gehalten habe (mit dem ich im großen und ganzen recht zufrieden bin) möchte ich hier auch die Folien zu dem Vortrag  sowie den Quellcode der von mir vorgeführten Demo online stellen.

Im moment mache ich ein interessantes Seminar am Institut für Telematik an der Uni-Karlsruhe. Es geht um Hacking, Hackerabwehr, etc. Die Ausarbeitung habe ich mal online gestellt. Ich hätte btw. nie gedacht, wie viele Fehler man in 15 Seiten einbauen kann.

Lustiges Detail am Rande: Aufgrund von Befürchtungen der Fakultät hat dieses Seminar eine Zeit lang jedes Wochen seinen Namen gewechselt. Aus “Hacking und Hackerabwehr” wurde “Hacker und Hackerabwehr”… Im moment heisst sie “Netzsicherheit und Hackerabwehr”.

Nachdem ich schon seit vielen Jahren einen Account bei Xing (früher OpenBC) und seit anderthalb Jahren ein Profil bei StudiVZ habe, betreibe ich nun auch bei Facebook Seelenstriptease.

Diese “Social Networking” Portale finde ich auf viele verschiedene Arten faszinierend. Aber erstmal der Reihe nach. Am Mittwoch suchte ich aus Spaß nach ein paar Leuten, die ich im Tanzkurs kennengelenrt habe, und zwar mit genau den Suchparametern, die man in einer ganz normalen Konversation unter Studenten innerhalb von 2 Minuten in Erfahrung bringt: Vorname, Studienfach, Hochschule,. Was als Spaß begann, brachte schnell beunruhigende Tatsachen ans Licht: Die Trefferquote dieses Versuches lag bei nicht weniger als 100%.

Auf den ersten Blick ist das natürlich eine feine Sache: Man lernt jemanden kennen, möchte mit diesem in Kontakt treten, schaut schnell in’s Studiverzeichnis und drei Klicks später hat man alle notwendigen Informationen, um mit dieser Person in Kontakt zu treten.

Schaut man sich die Geschichte allerdings etwas genauer an, so wird einem schnell klar, welche Probleme dies mit sich bringt: Sobald man die oben genannten Parameter einer Person X in Erfahrung bringt, kann man mit Hilfe von StudiVZ die Liste der in Frage kommenden Personen so weit einschränken, dass das eindeutige Identifizieren dieser Person X im größten Teil der Fälle innerhalb weniger Minuten möglich ist.

Oder um das nochmal verständlicher auszudrücken: Durch die unschuldigen Fragen: “Wie heisst du? Was studierst du? Wo studierst du?” ist man heute schon in der Lage, fast jeden deutschen Studenten im StudiVZ wiederzufinden.

Machen wir uns nun einmal die Implikationen dieser Aussage auf unsere heutige Gesellschaft klar: Sobald ich ein StudiVZ Profil besitze, gebe ich bei jedem durchschnittlichen Gespräch, das ich mit irgendjemandem führe, genügend Informationen preis, um meine Identität komplett offenzulegen.

Die Frage, die sich nun natürlich stellt, ist, ob ein ungezwungener Umgang mit anderen Menschen so überhaupt noch möglich ist. Wird der eigene Vorname, das Studienfach oder der Studienort zur vertraulichen Information? Bisher war es eigentlich nicht ungewöhnlich, jemandem, den man gerade neu kennengelernt hat, zumindest seinen Vornamen mitzuteilen. Wird sich dies in Zukunft vielleicht ändern?

Bevor wir diese Frage beantworten, sollten wir uns jedoch zuerst überlegen, was Menschen dazu bewegt, ihre privaten Daten in exibizionistischer Art und Weise auf Webportalen der ganzen Welt zur Verfügung zu stellen. Der erste Schritt hierzu ist die Anmeldung bei dem besagten Portal. Meiner Meinung nach ist der Hauptgrund für die Anmeldung eins Users nicht der Verlangen, seine persönlichen Daten preiszugeben, sondern vielmehr der Wunsch, Informationen über andere Personen in Erfahrung zu bringen. So könnte man sich beispielsweise dafür interessieren, welcher Beschäftigung die ehemaligen Klassenkameraden heutzutage nachgehen.

Um die gewünsche Information zu erhalten, muss der neue User allerdings erst etwas tun, nämlich ein eigenes Profil anlegen. Hierzu ist die Eingabe einer Mindestmenge an Information erforderlich.

Nun hat man den User nun durch das Wecken des Bedürfnisses nach Information bereits dazu gebracht, ein Profil im Social Network anzulegen. Dadurch wächst beim neuen User auch gleich das nächste Bedürfnis, nämlich das Verlangen nach einer positiven Selbstdarstellung: Ein leeres Profil sieht nicht gut aus, und das Löschen des Profils ist natürlich auch keine Option, da man hiermit ja auch den eigenen Zugang zu dem Dienst löschen würde.

Der Erfolg des Social Networks steht und fällt mit dem Anzahl der darin enthaltenen User. Natürlich würde sich niemand bei einem Dienst anmelden, der kaum User besitzt. Wie das Bootstraping des Social Networks genau aussieht ist natürlich Geschäftsgeheimnis des Betreibers. Geld auf die ganze Geschichte zu werfen, hilft allerdings. So kann man z.B. materielle Anreize für neue User schaffen, sich anzumelden. Wenn man sich nun die Tatsache vor Augen führt, dass die finanzielle Macht hinter StudiVZ niemand geringeres als die Samwer Brüder, denen die Welt auch schon Jamba! zu verdanken hat, ist, so ist dieses Szenario sogar recht wahrscheinlich. Wenn man nun noch weiß, dass StudiVZ Anfang 2007 für fast 100 Mio Euro von Holtzbrinck Networks gekauft wurde, wird schnell klar, welchen Wert eine Datensammlung dieser Größe besitzt.

Fakt ist, dass die Trennung zwischen der “realen” Welt, und der virtuellen Welt des Internets lange nicht mehr zeitgemäß ist. Zwischen diesen beiden Welten hat längst eine Verschmelzung stattgefunden. Ereignisse des realen Lebens werden im Internet in Text-, Bild- und Tonform dokumentiert und Aktionen im Internet haben Einflus auf das reale Leben. So melden wir uns z.B. im Internet zu Klausuren an, überweisen Geld via Onlinebanking, kommunizieren mit Leuten per und E-Mail oder stellen eben auch private Informationen über uns im Internet zur Verfügung.

Nun aber zurück zu meiner eigentlichen Frage, ob denn ein ungezwungener, offener Umgang mit Leuten im realen Leben so noch möglich ist. Sicher ist, dass sich unsere Gesellschaft durch die oben beschriebene Verschmelzung starken Veränderungen unterliegt. Die Welt ist kleiner geworden, Informationen über andere Personen sind leichter den je, zu bekommen. Wie genau diese Veränderungen aussehen werden, bin ich nicht in der Lage, vorherzusagen. Sicher ist jedoch, dass die besagten Veränderungen nichtmehr rückgängig gemacht werden können, und dass wir einen völlig neuen Umgang mit unseren Informationen werden erlernen müssen.

Ich möchte damit sagen, dass man sich vollkommen fern von Social Networking Diensten halten sollte – dies würde wahrscheinlich sehr schnell dazu führen, dass man in eine Art digitale Aussenseiterrolle gedrängt wird. Warnen möchte ich jedoch davor, zu viele, zu private Informationen von sich selbst preiszugeben. Oder Informationen, die einen später diskreditieren könnten – denn eins ist sicher: Das Netz vergisst nichts.

Lieber Leserin, lieber Leser,

zunächst einmal möchte ich mich entschuldigen, dass ich so lange schon nichts mehr geschrieben habe. Viel ist passiert in der letzten Zeit, genüg was es eigentlich wert wäre, seperat gebloggt zu werden – ob ich dazu die Muße habe weiss ich allerdings noch nicht.

Das interessanteste wahr wohl mein zweiwöchiger Tripp nach Colorado. Für mich war das ja der erste Aufenthalt in den USA und ich muss sagen, es hat mich sehr beeindruckt. Ich muss ja zugeben, dass ich anfangs sehr skeptisch und unsicher war, weil ich nicht wusste was mich erwartet. Und auch zugeben muss ich, dass ich, was dieses Land angeht, sehr viele Vorurteile hatte. Für mich war es auf jeden Fall eine sehr wichtige Erfahrung, und eine Menge neuer Eindrücke, die erst einmal verarbeitet werden mussten.

Der eigentliche Anlass für die Reise war ja eher beruflicher Natur, Artus hatte mich zum diesjährigen PASS Community Summit eingeladen, der größten Veranstaltung rund um das Thema Microsoft SQLServer. Die Veranstaltung war sehr stark auf das Thema Business Intelligence konzentriert, was ja auch gerade mein Studienschwerpunkt ist. So konnte man durchaus das ein oder andere interessante mitnehmen. Das Beste an der durchaus sehr guten Veranstaltung waren allerdings die vielen interessanten Leute, die wir kennengelernt haben.

Nach den USA gab es noch zwei Wochen privaten Urlaub mit Freunden in Mallorca, der auch sehr schön und vor allem sehr erholsam war. Für mich war das der erste richtige Urlaub seit über drei Jahren, und vor allem die Gelegenheit, mal wieder auf den Boden zurück zu kommen. Gerade das letze Jahr war viel anstrengender als ich dachte, und wie gestresst ich wirklich war, merkte ich eigentlich erst, als ich mal eine Zeit ganz ohne Stress geniessen konnte.

Frisch erholt zurück hatte ich nun endlich die Energie, mich mal um ein paar Dinge zu kümmern, die ich schon eine ganze Weile vor hatte, für die sich allerdings nie die Zeit gefunden hat. So habe ich einige Bastelprojekte wieder aufgenommen – unter anderem habe ich eins von fd0s Etherrapes zusammenbebaut und endlich mit dem lang geplanten Laser Beamer angefangen, den ich schon seit 5 Jahren bauen wollte. Ausserdem habe ich beschlossen, dieses Jahr etwas mehr an der Uni zu tun (geplant sind 1 Vertiefungsfach, 3 Wahlpflichtfächer, 1 Seminar und 1 Studienarbeit – mal sehen, wieviel davon am Schluss noch übrig ist. , wieder einen Tanzkurs angefangen und schon viel für meine Kunden gearbeitet.

Ich glaub, ich sollte öfter Urlaub machen, das tut nämlich gut.

Durch einen freundlichen Hinweis von Christoph erfuhr ich heute von einem Google Vortrag in der Uni, den ich auch spontan besuchte. Der Vortrag wurde von Thomas Hofman gehaltern, seineszeichens “Director of Engineering” bei Google in Zürich. Davor war er Professor an der ETH.

Der Vortrag war sehr interessant, einige bemerkenswerte Dinge möchte ich hier in Auszügen wiedergeben.

(weiterlesen…)