Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Smartphones und die Sicherheit


Diesmal: Massive Sicherheitsprobleme bei Android. Ich bin mir recht sicher, das wir bei Smartphone noch deutlich dramatischere Dinge erleben werden, als das vor 10 Jahren bei Desktops der Fall war. Und anders als bei Desktops werden die Betroffenen fast ausschließlich Privatpersonen sein.

Ein guter Grund nochmal darüber nachzudenken, ob man denn wirklich seine Bankdaten, Kreditkarten und Passworte mit dem Telefon verwalten möchte.


Unterhaltung fürs Wochenende


Diesmal: Ein Schwank aus meinem Leben

Es ist Sonntag Abend, und wir gehen ins Theater. Gespielt wird “Die Jungfrau von Orleans”. Wie fast immer sind wir aber ein gutes Stück zu früh. Außerdem ist es drau0en kalt,  und wir nisten uns darum im Lokal ein, das am Theater angegliedert ist.

Dann beginnt die Vorstellung und wir wechseln aus dem lokal in den Zuschauerraum. Das Stück beginnt. Etwa 1.5 Stunden später, wieder im Lokal: “Hast du kapiert, was das mit der Jungfrau von Orlean zu tun haben sollte?”. “Kein Stück. Hätten vielleicht doch die Einführung ansehen sollen….”.

So wird dann noch eine Weile rumdiskutiert, aber eher ziellos: Auch mit noch so viel gutem Willen sind wir einfach nicht in der Lage irgend eine noch so dünner Verbindung zu Schiller herzustellen. Es will einfach nicht.

Um die Sache dann einfach mal zu klären will ich nochmal ins Theater um ein Programmheft zu organisieren: Irgendwie muss dem Stück doch noch ein bisschen Verständnis abgerungen werden. Der Durchgang vom Lokal zum Theater ist aber schon geschlossen, und darum gehe ich zum normalen Haupteingang.

Und da sehe ich dann auch prompt ein großes Schild: “Aufgrund von Krankheit (…) entfällt die Jungfrau (…) gespielt wird statt dessen der ‘Volksfeind’ von Ibsen.”

Nun, das erklärt einiges. Smile


Bei Installation: Meldung vom Antiviren-Programm


Ein paar Kunden hatten bei der Installation der Version 1.64 das Problem, das ihr Antiviren-Programm im Zuge der Installation Alarm schlug: Was nun ?

Im wesentlichen ist es so, das die Installationsmedien auf einem "sauberen” Rechner hergestellt werden – ich bin da sehr zuversichtlich, das diese keine Viren enthalten. Bei näherem untersuchen der Meldungen kam dann folgendes raus: Seit Version 1.64 verwenden wir im Rahmen der Installation den Ngen – Microsofts Native Image Generator.

Das Programm erstellt im Laufe der Installation eine auf das vorliegende System optimierte Version der Baustatik und schreibt in diesem Zusammenhang auch native binärdateien in Systemverzeichnisse. Das passiert erst seit Version 1.64, weil unser Installationsprogramm das vorher nicht konnte.

Nun scheint es Antiviren-Programme zu geben, für die dieser Vorschlag so aussieht, als würde ein Virus den Rechner befallen – das ist aber Quatsch, und eigentlich für mich auch etwas überraschend, denn Ngen gibt es schon seit Jahren – das ist nicht wirklich was neues. Microsofts Defender (bei Windows 7 beigepackt) und Security Essentials (der kostenlose große Bruder vom Defender) haben dieses Problem beispielsweise nicht.

Wie auch immer: Nein, die von uns ausgelieferte Version 1.64 der Baustatik enthält keinen Virus, keine Sorge.


Der letzte Tag


Heute ist der letzte Tag, an dem Microsoft noch Windows XP SP2: Ab morgen ist Schluss – es wird keine weiteren Updates und Fixes mehr geben, auch keine Sicherheitsupdates. Wer das noch nicht getan hat, sollte mindestens das XP SP3 installieren – oder gleich auf Windows 7 wechseln.

(Das nächste Update unserer Software wird auch Windows XP SP3 voraussetzen.)


Neue Systemvoraussetzungen für das kommende Update


Das nächste Update steht an: Es wird zwar leider nochmals ein bisschen verzögert – also nicht zum 1. Juli – erscheinen, aber voraussichtlich in der nächten Woche.

Das kommende Update wird von uns aus mit einem neuen Compiler und einer neuen Laufzeitumgebung hergestellt werden: Das es einen neuen Compiler gibt, ist für alle Kunden eigentlich völlig gleichgültig, die neue Laufzeitumgebung hat aber Konsequenzen. Ab dem nächsten Update benötigen unsere Programme Microsoft .Net 4.0.

Dadurch ergeben sich neue Systemvoraussetzungen. Wir unterstützen nur noch die folgenden Betriebssysteme (jeweils sowohl mit 32 als auch mit 64 Bit):

Windows XP SP3
Windows Server 2003 SP2
Windows Vista SP1 oder höher
Windows Server 2008
Windows 7
Windows Server 2008 R2

(SP steht für “Service Pack”. Das ist eine Ansammlung von kostenlosen Updates, die die aktuelle Windows-Version auf den neuesten Stand dieser Version bringt.)

Wenn Sie Windows XP, Vista oder Server einsetzen, und automatische Updates eingeschaltet haben, dann haben Sie bereits die passenden Versionen der jeweiligen Betriebssysteme auch Ihrem Rechner. Wenn das nicht der Fall ist, können Sie die Updates auf folgende Arten durchführen:

Der einfachste Weg zum updaten besteht darin, entweder die automatischen Updates von Windows einzuschalten (das ist die Methode, die ich ausdrücklich empfehle), oder die Updates manuell über die Windows-Update Webseite durchzuführen. Diese Webseite finden Sie hier.

Details zu XP

Wenn Sie Windows XP einsetzen, und manuell das SP3 für die Installation auf einem oder mehreren Rechnern herunterladen möchten, dann finden Sie den Download (auf deutsch) hier. Mal unabhängig davon, das Sie das kommende Update unter XP ohne SP3 nicht nutzen können, gibt es auch noch einen anderen Grund, das SP3 zu installieren. Und der wäre, das von Microsoft aus der Support für XP SP2 am 13. Juli des Jahres endet. (Der Support für ältere Versionen ist bereits ausgelaufen.) Das bedeutet, das Sie ab dem 13. Juli auch keine Sicherheitsupdates mehr von Microsoft erhalten. Das ist ein wirklich guter Grund, das Update durchzuführen.

Details zu Vista

Wenn Sie Windows Vista einsetzen, und noch nicht das SP1 installiert haben, dann ist auch hier der einfachste Weg, die automatischen Updates zu installieren, oder manuell die Windows-Update Webseite zu besuchen. Wenn Sie das Update manuell herunterladen (und installieren) wollen, dann finden Sie das Update auf Vista SP1 hier. Allerdings könnten Sie bei der Gelegenheit auch noch auf die aktuelle Version von Vista erneuern: Nach der Installation des SP1 empfehle ich die Installation des SP2.

Details zu den anderen Systemen

Windows 9.x: Wird von uns nicht länger unterstützt
Windows NT: Wird von uns nicht länger unterstützt
Windows 2000: Wird von uns nicht länger unterstützt
Server 2003: Update auf SP2 hier
Server 2008: Kann “einfach so” verwendet werden
Server 2008 R2: Kann “einfach so” verwendet werden
Windows 7: Kann “einfach so” verwendet werden

Sie können mit älteren Programm-Versionen natürlich auch weiterhin auf den älteren Systemen wie Windows 2000 arbeiten, nur sind dort eben keine weiteren Updates mehr möglich.

Lange Rede kurzer Sinn: Am besten überprüfen Sie jetzt, ob Sie automatische Update eingeschaltet haben. Ist das nicht der Fall: Schalten Sie die ein – die Downloads der Updates für Ihr Windows beginnen dann automatisch und sie werden (je nachdem, wie viele Updates in Ihrem Fall runtergeladen werden müssen) im Laufe der nächsten Tage mehrfach darauf hingewiesen werden, das neue Updates zum installieren bereit stehen: Installieren Sie die dann einfach…


Zeit fürs Updaten


Ich habe schonmal darauf hingewiesen, aber ein weiteres Mal wird wohl nicht schaden: Ab 13 Juni dieses Jahres stellt Microsoft den Support für Windows XP SP2 ein - es gibt dann auch keine Sicherheitsupdates mehr: Keine gute Situation, und damit dringend Zeit, das eigene Betriebssystem mal auf den neuesten Stand zu bringen. Das ist relativ einfach - und kostenlos, denn das Service Pack 3 kann man einfach von Microsoft runterladen und installieren. (Alternativ entscheidet man sich vielleicht für Windows 7...)

Eine Anleitung wie man das SP3 installiert, und wie man überprüft welches SP man hat, findet sich hier.


Ein paar Zahlen zu Spam


Ich musste heute mal wieder auf unseren Mailserver schauen und dachte mir, das sich vielleicht auch andere für ein paar (ganz kleine) Statistiken über Spam interessieren.

Als Mailserver verwenden wir schon seit einigen Jahren den MDaemon von Alt-N - und ich bin damit auch sehr zufrieden. Der MDaemon hat diverse mehrstufige Filter, um mit der Spam-Last fertig zu werden. Einige davon arbeiten bereits zu dem Zeitpunkt, zu dem der andere Rechner versucht die Netzwerkverbindung aufzubauen, andere erst dann, wen tatsächlich eine eMail übertragen werden soll und weitere erst dann, wenn der Inhalt der Mail auch tatsächlich bekannt ist.

Über die Anzahl der blockierten Verbindungsaufnahmen habe ich leider keine Statistik: Ich kann allerdings sehen, das immer wieder Verbindungen nicht zustande kommen - und wenn ich "immer wieder" sage, dann meine ich "mehrmals pro Minute". Bei den Verbindungen die zustande kamen, hatten wir heute (bis ca. 17.00) insgesamt etwa 8000 Versuche, eine eMail zuzustellen. (Das sind so um die 480 pro Stunde. Jede Stunde.)

Von den 8000 Versuchen wurden so viele SMTP-Verbindungen schon vor dem Eingang der Mail blockiert, das insgesamt nur ca. 500 Mails tatsächlich entgegen genommen wurden. Und davon wurden nachträglich nochmal 150 als Spam erkannt und weggeworfen - von 8000 Verbindungen blieben also ganz 350 eMails über: Alles andere war Spam.

Nun gibt es 2 Dinge an Spam die nicht so schön sind: Zum einen eben die Tatsache das man eine Mail bekommt, die man nicht will. Bei den meisten wird es aber so sein, das sich die auf vielleicht eine handvoll am Tag beschränken - blöd, aber nicht wirklich dramatisch. Was weniger schön ist: Spam-Mails werden im allgemeinen unter gefälschten Absender-Adressen versendet. Aber dabei werden natürlich (oft) solche verwendet, die es sehr wohl gibt. Zum Beispiel Ihre. Das ist weniger schön - denn irgendwann wird jemand so ein Ding mit Ihnen als Absender erhalten und sich deswegen beschweren - und dann hat man halt den Ärger an der Backe, ohne irgendwas gemacht zu haben. Wie beweist man denn dem Empfänger, das man nicht der Absender war?

Was kann man also machen, damit Spammer die eigentliche Adresse nicht als Absender-Adresse verwenden?

SPF und DKIM verwenden bzw. einen EMail-Dienstleister der das tut. Wenn das der Fall ist können Mailserver beim verschiedene Informationen abrufen - und unter anderen sicherstellen, das der Mailserver der gerade eine Mail mit dem Absender "@IhrBuero.de" verschickt, auch tatsächlich Mails von "@IhrBuero.de" versenden darf.

Man kann damit also nicht verhindern, das Spammer versuchen eine bestimmte Absender-Adresse zu verwenden, kann aber zumindest Mailserver dazu befähigen, diese als gefälscht zur erkennen.