Falk Dübbert

ein privates blog

21.05.18
von Falk Dübbert
Keine Kommentare

Die Verschlüsselung ist doch nicht tot!

Momentan geht bei einigen Leuten in meinem Freundeskreis die Düse, weil "PGP und S-MIME gebrochen" wären. 

Zunächst mal die Verschlüsselung ist nicht gebrochen sondern die Online Nutzung von E-Mail-Programmen mit Verschlüsselung. 

  • Der Angreifer muss die zu entschlüsselnde Nachricht abgefangen oder extrahiert haben. 
  • Die Sicherheitslösung muss defekte Anhänge durchlassen.
  • Das verwendete E-Mail-Programm muss selbst http bzw. https-Verbindungen aufbauen können und dürfen. 
  • Das verwendete E-Mail-Programm muss so eingestellt sein, dass es den Schlüssel selbst anwenden darf.  

Da wird die Sache schon dünner:

  • Mein E-Mail-Provider nutzt Zertifikats-Pinning für seine SMTPs und bietet auch secure-DNS an. 
  • Alle Beispiel-Konstrukte von Schinzel et al schafften es nicht mal durch eine opensource eFa-Email-Sicherheitslösung.
    Barracuda, Sophos und Watchguard verwarfen die defekten Anhänge ebenfalls. 
  • Meine Email-Software darf nichts nachladen. 
  • Selbst mein stinkendes Outlook muss vor dem Entschlüsseln von Mails nach dem Passwort für den Schlüssel fragen. Ich weiß, dass diese Einstellung aufgrund des mangelnden Komforts selten lange durchhält, aber sie ist für Outlook 2007, 2010, 2011, 2013 und 2016 der Standard. 

Also ist E-Fail nur ein weiteres Brett für den Sarg von E-Mail an sich. Das Problem bei Email beginnt ja schon damit, dass sie eben nicht ohne externe Strukturen auskommt und keinen Schutz gegen Manipulation auf Protokollebene bietet.  

 

 

20.05.18
von Falk Dübbert
Keine Kommentare

Der Herr Backupexperte hat VOLL versagt!

Einige werden bemerkt haben, dass ein paar Artikel schwupps gegangen sind. Das liegt daran, dass ich zwei Tage in die Vergangenheit fliegen musste, weil ich um eine Kleinigkeit zu fixen meine Header-Datei in die Grütze manövriert habe. Da zeigte sich, dass ich ein Backup-Experte aber kein Restore-Experte bin. Weil der pending commit schon länger in der Datenbank rumlag, war der letzte lauffähige Stand der Freitag. Die fehlenden Artikel habe ich aus dem Editor hochgeladen.

Der Hintergrund war, dass ich dachte, dass ich im Zuge der DSGVO-Anpassungen irgendwie das Laden des Top Menüs zerbrochen hatte. Das war bislang typischerweise eine offene oder zuviel geschlossene Klammer oder eine TXP:else in einer TXP:IF, die nicht sauber geschlossen wurde. Aber selbst mit Hochladen der Stände von Freitag war da nix zu wollen. Wie sich herausstellte, war das Problem ganz woanders und lag mal wieder an partial cache-updates.

Jetzt sollte das Menü aber wieder zu 66% angezeigt werden.

Nebenbei habe ich das Textpattern auf Version 4.7.0 angehoben und LOG, TEMP und CACHE des NGINX auf eine Ramdisk verlegt. Roaring!

Das neue Textpattern geht mit CSS-Templates anders um, so dass ich vielleicht das eher krude von Wordpress portierte und 6 Jahre alte Yoko-Template loswerden kann. Wenn ich mal Zeit habe.

20.05.18
von Falk Dübbert
Keine Kommentare

Warum hast Du Strahlenmessgeräte in Deinen Schränken?

Ich habe ein ( nicht ganz so neues) Hobby: Strahlenmessgeräte. Die Sammlung geht von kruden Eigenbauten über diverse Dosimeter und Geiger-Müller-Zähler wie dem eher berüchtigten als berühmten RKSB-104 und dessen Nachfolgern (Radex und SOEKS) oder dem KSMG bis zur Königsklasse großer Proportionalzähler und Ionenkammern.

Eine trag- und kalibrierbare Ionenkammer ist auch das aktuelle Ziel meiner eingeschlafenen Entwicklung. Fa. Fluke kann es mit dem Desi 481  und es ist recht imposant, was das Gerät so kann - unter anderem die Aktivität von Kaffee über dem Eigenrauschen anzeigen. Aber zurück zu dem Grund warum ich mir zwei 50L Kisten mit Messtechnik leiste, die man nie braucht.

Das Problem ist das mit dem "nie brauchen". Radioaktivität hat keinen Geschmack oder Geruch und sehen oder anders fühlen kann man sie auch nur ganz selten - und dann auch nur kurz.

Wenn man sich öfter Häuser aus den 50ern bis 70ern anschaut, ist Uranglasur gar nicht so selten, wie die Wikipedia es glauben machen möchte. Und alte Uhrenzeiger oder nachleuchtende Lichtschalter sind eigentlich immer ein Treffer. Auch in so mancher Porzellankiste bin ich schon fündig geworden. Außerdem findet man gerne mal mal einen Alpha- und Betastrahler in neuem chinesischem oder russischem Werkzeug. Die WIG-Elektroden, die dem Inverter eines Kumpels beilagen, haben wir entsorgt. Anschleifen wäre keine gute Idee gewesen.

Alte Objektive knattern auch mal gerne und es ist nicht nur das gelbe Takumar betroffen.

Die Leute haben vor Radioaktivität eine Heidenangst, aber kaum einen Überblick, wo sie lauert.

10.05.18
von Falk Dübbert
Keine Kommentare

Die kleinen Dinge... heute: Kabel

Gestern habe ich einen Teil meiner Labor-Hardware in Betrieb genommen:

Die Aufgaben lauten:

  • Storage einrichten
  • Hosts mit FC-HBAs und Boot-Datenträgern versehen
  • LAN-Switche einrichten
  • SAN-Switche einrichten
  • Firewall einrichten
  • Veeam-Server einrichten
  • ggf. Deduplication-Appliance für Veeam vorbereiten
  • Tape-Server einrichten
  • VSphere installieren
  • IPv4 und IPv6 vergeben
  • Lab verpacken und ins Colo bringen

Bei Hardware von ebay und anderen Remarketing-Systemen, habe ich eine Test- und Security-Prozedur.

  1. Bei "heavy metal" und alter Messtechnik etc. Oberflächenaktivität messen (und: Ja! Man findet doch hin und wieder mal was radioaktives, gegen das ein alter Glühstrumpf fernsehmüde wirkt.)
  2. ggf. Akkus aufladen und am DC-Stromzähler entladen - bei intelligenten Akkus (Nikon, DJI, Panasonic, Lenovo,...) Batterymanagement auslesen.
  3. Gerät an VDE0701-Tester hochfahren, bei DC-Geräten mit Multimeter und Oszi, Netzteile an Elektronischer Last mit 1kHz-Rechteckbelastung (0%,66%) 
  4. Firmware überprüfen (Versionsstand, CRC) und ggf. tauschen
  5. Netzwerkhardware zunächst am DMZ-Kabel mit Wireshark hochfahren
  6. Festplatten an USB-Adapter in VM auslesen und mit DBAN nullen, SSDs TRIMmen.
  7. Gerät labeln und in Tracmor eintragen.

Gestern Abend habe ich den DL360, der in Zukunft der Storage-Server sein soll, vorbereitet. Bzw. zum Server kam ich gar nicht, weil ich erst die Netzteile testen wollte.
Ich stecke meinen Netzteil-Adapter hinten ans Netzteil, der ein HP-Server-Netzteil hochfahren lässt und die 12V an vier Bananenbuchsen zur Verfügung stellt, schalte die Steckleiste ein und halte die Prüfspitze ans Blech und drücke auf Start.
Der Gerätetester piept nervig: "FAIL RPE".

Ich stecke das andere Netzteil an und erhalte auch einen Fail. 
Also tausche ich das Kaltgerätekabel: "FAIL RPE". 
Ich ziehe aus dem anderen Server, der vor einer Woche kam und OK war, ein Netzteil: "FAIL RPE".

Jetzt rückt der Gerätetester in Verdacht und ich hole mein Multimeter: Das Netzteil, bzw. dessen Widerstand vom PE im Kaltgeräteanschluss auf Gehäuse ist ok, nämlich nicht messbar klein.
Jetzt tüddel ich das Netzteil an einer offenen Messleitung an den Tester. "OK." Das zweite auch. ... Das Grübeln beginnt. 

Ich hole meine 20W-Prüfbox (eine 20W E-14 Birne in einem Hammond-Alugehäuse mit KG-Anschluss) und meine Kaltgeräte-Kabelkiste und teste alle Kabel durch. Von 41 Kabeln und Verlängerungen flogen acht wegen "FAIL RPE" und zwei wegen "FAIL RISO" in den Müll. Am Ende sind alle Kabel, die nicht wirklich neu sind, in der Kiste für die GAB.

Die Moral aus der Geschicht: Alte Kabel nimmt man nicht!

Im Grunde stelle ich immer wieder fest, dass die Geräte in der IT immer zuverlässiger werden. Tote Netzteile, schwangere Elkos und sich auflösende RoHS-Lötverbindungen, mit denen HP-Server der Generationen G4 und G5 noch geplagt waren, kommen  nicht mehr vor. Dafür sehe ich immer mehr Ausfälle in Akkus, Kabeln und Steckern.

Privatleuten, die nicht über die Messtechnik verfügen, um Kabel und Stecker zu überprüfen, kann ich vom Aufbewahren alter Strom-Kabel nur abraten. 

5.05.18
von Falk Dübbert
Keine Kommentare

Zu kurz!

Heute hat mein Testrack-Projekt kurz mal den Boden getroffen. Mein Rack ist, wie alle allten IT-Schränke zu kurz. Also muss ich was bauen. 

Boden: 2 Bretter OSB 
Front und Rückseite: Zwei Bretter je etwa 8cm breit
Deckel: Ein Brett OSB

Die senkrechten Kanten bekommen noch eine Latte (aus Holz!).

Dazu kommen noch Rollen und zwei Griffe. 

Die Maße lege ich nach, wenn ich die Rackprofile habe.