Jeder Internetnutzer bekommt momentan vom Provider eine IPv4 Addresse zugewiesen.
Durch die stetig steigende Zahl von Neukunden und mobilen Internetzugängen, ist es nicht mehr möglich allen
Kunden gleichzeitig eine IP-Addresse zuzuweisen.

Desshalb schlägt der Berliner Arbeitskongress IPv6-L33T vor, dass bis zur Einführung von IPv6 alle Kunden nur noch eine Stunde am Stück pro Tag im Internet aufhalten dürfen, um Platz für andere Kunden zu schaffen. Dieser Zeitraum soll von den zuständigen Internetprovidern per Post mitgeteilt werden.

Die Kunden sehen dies aber sehr kritisch: “Wie soll ich denn bitte von 13 bis 14 Uhr meine E-Mails lesen können, wenn ich auf Arbeit bin?”, so ein 24 Jähriger Auszubildender.

Letztendlich darf die Einführung von IPv6 nicht mehr länger warten.
Der Internationale Providerverband ICANFART will morgen (02.04.) darüber entscheiden, ob diese Maßnahme zum 10.04.2011 umgesetzt werden soll. Es wird ein positives Ergebnis erwartet.

Zuerst dachte ich mir “wie hat bitte die kleine Kiste jetzt schon 100GB vernichten können?” und das die Apache Logs dran schul seien – Fehlanzeige.

Nach ein wenig Recherche, welcher Ordner dafür verantwortlich sei, bin ich auf das Verzeichnis /var/lib/amavis/tmp/ gestoßen, der laut “du” sagenhafte 61GB mit sich schleppt.

Darin bewahrt Amavis wohl die Virendefinitionen aufzubewahren. “lsof” zeigte mir an, dass alte Dateien aus dem Ordner nicht mehr mit der Amavis Binary geöffnet werden. Also schmiss ich alle Daten weg, die älter als 30 Tage waren.

Das geht super easy per “find /var/lib/amavis/tmp/ -type f -mtime +30 -print | xargs /bin/rm -f”.

Normalerweise sollte sich das Verzeichnis (zumindest unter Debian) bei jedem Amavis start selber leeren – naja, sollte…

Auf jedenfall sind nun wieder gut 60GB an Speicher wieder frei :)

Naja das hieß dann 05:45 Uhr aufstehen, 1 Stunde Frühstucken etc. und 45 Minuten zur IHK brummen.

Als ich dann endlich im Parkhaus stand, bin ich zur IHK rübergeschländert und hab noch ein wenig auf Heise gesurft, bis mir dann auffiel dass ich gar nicht meine guten Schuhe anhab… Also nochmal ab zum Auto und Schuhe wechseln.

Später bin ich dann hoch in den 3. Stock und habe erstmal vor verschlossener Tür gewaret. Irgendwann trudelten dann die Prüfer ein (darunter auch mein alter AEW Lehrer) und ich konnte alles vorbereiten. Laptop auf, UMTS Modem dran, Verbindungen herstellen, IHK Beamer dran, IHK Beamer ab, eigenen Beamer dran (nochmals vielen Dank an den Kleinbahnhof Enger). Dann konnte es losgehen.

Als ich dann mit dem Einstieg fertig war, folgte die Live Demonstration: L3 Terminal auf, Taste gedrückt – geht nix – oh schreck. Da hatte mir der böhse Peer wieder die Verbindung resettet. Nach dem kleinem Zwischenfall gings es auch direkt weiter.

Die Präsentation beendete ich mit dem schönen Satz: “Und es hat mir auch sehr viel freude bereitet, schon ein fast aus der Mode gekommendes System mit Techniken aus dem 21. Jahrhundert verknüpfen zu können”

Anschließend wurde ich kurz zur Beratung rausgeschickt. Da traf ich meinen alten Mitazubi, der schon wartete. Nach ein paar Minuten wurde ich wieder hereingeholt und das Fachgespräch konnte beginnen. Zuerst wurde ich gefragt, warum genau das JSON Datenformat so toll geeignet ist und wieso überhaupt der L3. Weiter ging es mit Stack und Heap und den Unterschieden zwischen IBM 437 und UTF-8.

Pöltzlich und völlig unerwartet ging die Tür auf. Alle guckten – niemand da. Ich schloss die Tür und kurz später ging die Tür wieder auf… Da stand plötzlich ein “Sunnyboy” mit vielen lecker belegten Brötchen auf dem Tablett in der Tür.

Nach der Unterbrechung gings zum Leidigem Thema Pfad und Zweigabdeckung. Nachdem ich diese Hürde auch gemeistert habe, bemerkte ein Prüfer, dass wir schon viel zu lange reden und schickte mich zur Beratung raus. Nach gefühlten 10 Minuten ging es wieder rein und man gratulierte mir und teile mir die Noten mit:

Dokumentation: 2 – Präsentation: 2 – Fachgespräch: 1

Nach ein bisschen Smalltalk hab ich meine Sachen zusammmen gepackt und bin verschwunden….

Und jetzt darf ich mich offiziell “Fachinformatiker in Anwendungsentwicklung” nennen =)

“Nichts gutes” dachte ich, aber man teilte mir mit, dass das Verfahren (Datenfund in der Morgenstund) eingstellt worden ist, weil der Täter nicht ermittelt werden konnte.

Naja, was solls, hauptsache die Betroffenen haben eine Mitteilung bekommen.

Als ich dann “…die folgende Revision Ihrer App [...] wurde von uns geprüft und freigeschaltet…” sah, war ich sehr glücklich^^

Bisher hat das Gadget über 500 Installationen… Mal sehen, wie’s weitergeht…

Um mit dem Windows Programm “PuTTY” einen Tunnel aufzubauen, benötigt man in der Regel nur einen entfernten Rechner mit einem laufenden SSH Server. Zum Surfen benötigt man zudem einen HTTP-Proxy, wie z.B. Squid oder einen Socks-Proxy oder man benutzt einfach VNC / RDP.

Zuerst startet man PuTTY und trägt den Hostnamen / die IP-Adresse des Servers ein. (Wenn es mit dem Hostnamen nicht funktioniert, versucht es mit der IP-Adresse, da viele auch die Namensauflösung abschalten.)

Als nächstes klickt man an der Seite auf “SSH” und klappt damit das Menü dadrunter auf. Dort findet man den Punkt “Tunnels”.

Nachdem man darauf geklickt hat, kann man nun alle Ports eintragen, die getunnelt werden sollen. Bei Source Port trägt man den Port ein, der auf dem Lokalen System genutzt werden soll. Bei Destination trägt man nun das Ziel ein, wohin getunnelt werden soll. Dabei muss man auch den Zielport angeben. (Hier hat mein Imaginärer Squid-Proxy den Port 8080.) Wie man einen Squid Proxy sicher konfiguriert, steht hier.

Anschließend klickt man nur noch auf “Add” und trägt eventuell noch andere Ports ein (wie z.B. VNC oder RDP)…

Jetzt klickt man nur noch auf Open und man wird nach seinem Benutzernamen und Passwort gefragt.

(Wichtig: in der SSH Konfiguration muss “AllowTcpForwarding” aktiviert sein. Wenn nichts drinne steht, ist es aktiviert (Zumindest unter Debian))

Jetzt bekommt man so ein ähnliches Bild zu Gesicht:

Nun müsste alles funktionieren und man kann seinen Proxy in seinem Browser seiner Wahl eintragen. Wichtig hierbei ist, dass ihr als Host von nun an “localhost” benutzt. Z.B. Host: localhost   Port: 8080.

Wenn man RDP durchtunnelt, dann tragt bei dem Remotedesktop Host “localhost:3398″ ein und klickt auf verbinden.

Sollte man Linux benutzten braucht man für die ganze Aktion PuTTY nicht, dafür hat man ja den Konsolenclient :) – Aber das ist ein anderes Tutorial…

AllowTcpForwarding

Meinem alten Anbieter habe ich den Rücken gekehrt, weil die Geschwindigkeit (50kb/s runter und 10kb/s rauf) mich zwar an die schönen alten Zeiten mit Modem erinnert hat – Aber mehr auch nicht.

Dann bin ich auf den Anbierer HideIP VPN gestoßen. Ist zwar nicht günstiger als mein alter Anbieter, aber dafür konnte mich der Speedtest echt überzeugen.
Nebenbei haben die Leute noch eine Aktion, wo es jede Woche 25 Kostenlose VPN’s zu verteilen gibt. Da ist zwar nur PPTP möglich, aber zum Serien schauen, auf jeden Fall ausreichend (Obwohl mir openVPN wesentlich lieber wäre)

Aber mal sehen, vielleicht habe ich Montag morgen ja Glück und bekomme einen Zugang ab :)

Also dachte ich mir “mach ichse eben halt von Hand”…

Habe dann auf die schnelle HeidiSQL gestartet (super Programm übrigens ¹) und wollte dann die Datenbanken einzeln rausexporttieren und in die Sicherungsstruktur einpflegen.

(Kurz vorweg: Einige von euch kennen sicher meine CodeSharing Platform PasteBox.de ². Wer es nicht kennt schaut bitte mal schnell nach was das überhaupt ist =]  )

Naja auf jeden Fall war dann die Datenbank von PasteBox.de an der Reihe. Während die Einträge an meinem Auge vorbeiratterten sind mir die Wörter “Visa” und “Master Card” aufgefallen. Das hat mich natürlich ein wenig neugierig gemacht und kurzerhand eine SQL-Abfrage gemacht:

SELECT * FROM postings WHERE content LIKE '%Visa;%' OR content LIKE '%Master Card;%';

Ich konnte meinen Augen gar nicht trauen, weil auf einmal vier Zeilen selektiert wurden, deren Inhalt größer als 50KB waren. Als ich dann in das “Content-Feld” geschaut habe, habe ich festgestellt, dass alle vier Zeilen eine CSV Datei beinhalten.

Nach einem kurzen Blick in die Datei habe ich auch festgestellt, dass die Tabelle ~500 Einträge enthält, wo Name, Adresse, Telefonnummer, E-Mail und Kreditkartennummern schön säublerlich sortiert waren. Dieser “WTF-Blick” war in dem Moment Gold wert =)

Also hab ich alles schön exportiert, die IP-Adressen rausgegrept, die auf die Daten zugegriffen haben, alles auf eine CD geschmissen und natürlich die Daten ausm Netz genommen. Als dann die Örtliche Polizei gegen Abend wieder besetzt war habe ich von dem Vorfall berichtet und die CD schwungvoll auf den Tisch gelegt, weswegen der Polizist recht verwirrt aussah^^

Er wusste jetzt auch nichts damit anzufangen und bat mich Montag morgen in Herford in der Abteilung für “Internetkriminalität” aufzulaufen und denen davon zu berichten. Da bin ich mal gespannt, was da morgen abgeht.

Aber das ganze wär nicht aufgefallen, wenn sich mein Icecast Serverdienst nicht mit Speicher zugefressen hätte und dabei meine PHP – Cronjobs mit in den Virtuellen-Prozess-Tod gezogen hätte. Der Cronjob hätte die Einträge nach 24 Stunden gelöscht und niemanden wäre was aufgefallen.

Kleiner Tipp zum Schluss:

Wenn ihr eine Webanwendung baut, in der Ihr die IP-Adressen mitloggt, achtet immer darauf, dass der HTTP_X_FORWARDED_FOR Header auch gelesen wird. Wenn jemand einen Proxy Server benutzt, der nicht auf “Paranoid” konfiguriert ist, dann taucht die echte IP-Adresse in diesem HTTP-Header auf. Also wenn ihr in PHP scriptet, dann kann es so aussehen:

$ip = $_SERVER['REMOTE_ADDR'];
$forwardedip = $_SERVER['HTTP_X_FORWARDED_FOR'];

Aber Achtung: Diesen Header kann man ganz leicht faken!

Was ist die DE-Mail?

Ich erkläre es mal so: Jeder Deutsche Bürger kann einen DE-Mail Account anlegen, mit dem Rechtskräftige Anträge, Anmeldungen etc. durchgeführt werden können. Sozusagen eine Adresse für Virtuelle Behördengänge, bzw. eine Handunterschriebene E-Mail.

An sich keine schlechte Idee… Aber wenn es das nicht schon in anderer Art gäbe und sicherer ist.

Der Hintergrund:

Das Verfahren für das Unterschrieben von E-Mails ist in Informatikerkreisen bekannt: Man benötigt nur ein Class 3 Zertifikat von einer Zertifizierungsstelle und der Empfänger kann sichergehen, dass die E-Mail auch wirklich von dem Absender stammt, da bei einem Class 3 oder 4 Zertifikat man persönlich mit einem Ausweisdokument bei der Zertifizierungsstelle auflaufen muss.

Dabei (wie auf dem Wikipedia Link zu sehen) benötigt man zwei Arten von Schlüsseln. (Ich formuliere das hier mal ein wenig für die Leien ;) )

Einmal den Privaten Schlüssel, den der Versender geheim halten muss, und einmal den öffentlich Schlüssel für jedermann. Wenn ich jetzt eine E-Mail verschlüssel / unterschreibe dann tu ich dies mit meinem Privaten Schlüssel. Jeder der jetzt die Nachricht entschlüsseln oder überprüfen will muss dies mit dem öffentlichen Schlüssel tun.

Nur wenn der öffentliche Schlüssel zu dem signierten Teil passt, dann kann man sicher davon ausgehen, dass niemand drittes an der E-Mail rumgefummelt hat und derAbsender auch wirklich der ist, der auch berechtigt dazu ist.

So weit so gut…

Warum nun doch unsicher?

Die Bundesregierung hat das Konzept so geplant:

Jeder Bürger bekommt wie gesagt auf Nachfrage irgendwann eine DE-Mail… Dazu gibt es viele negative Punkte:

1. Jede Mail die versendet wird kostet momentan (Deutsche Post) 20 Cent. – Wieso? Ich verschicke jeden Tag kostenlos E-Mails.
2. Der Private Schlüssel wird nicht von mir selbst generiert.
3. s.o. der Anbieter (z.B. Deutsche Post) kennt meinen Privaten Schlüssel. – So kann sie meine E-Mails mitlesen.
4. s.o. die Bundesregierung kennt meinen Privaten Schlüssel. – Wie oben.

Lösung des Problems?

Die einzige Lösung ist wirklich einfach und nicht sehr kostspielig. Dazu muss die Bundesregierung eine Zertifizierungsstelle eröffen oder CAcert unterstützen. Dann erstellt sich jeder Interessent ein Schlüsselpaar und lässt sich anhand seines Ausweises seinen öffentlichen Schlüssel von der Regierung unterschreiben.

Jetzt kann er mit diesem Zertifikat kostenlos und Providerunabhängig unterschriebene E-Mails losschicken. Das einzige Problem: Die DE-Mail Provider können sich nicht die Taschen voll machen.

Ich häge nachher mal meine letzte Präsentation über CAcert und Zertifikate allgemein an, damit man eventuell meinen Text besser verstehen kann.

Deswegen habe ich mir jetzt einfach ein WordPress aufgesetzt und versucht meine Beiträge so gut wie möglich zu migrieren.

Ich hoffe, dass ich hier ein paar mehr Gedankenströme loslassen werde…

In dem Sinne, euch ein schönes Ostern :)