Trojanicus infecti maximus, Hex Hex.

Das ist zwar meine reine persönliche Meinung, aber das unbeabsichtigte Aufsammeln von digitalem Ungeziefer scheint mir immer wieder an der gleichen Stelle zu passieren. Die Windows-Benutzer, die es bisher noch nicht gemacht haben, sollten ihre Datenausführungsverhinderung in der Systemsteuerung aktivieren, um zumindest einen gewissen Teil von Exploits aus dem Wege zu gehen, sollte man ihm zufällig begegnen. Vielleicht denkt der werte Leser nun an dieser Stelle: Ich surfe nicht auf unanständigen Seiten. Gut, aber dennoch fängt sich die Benutzergemeinde viele dieser Tierchen an Stellen ein, die nicht sonderlich viel Haut zeigen.

Jetzt ist ein gutes Anti-Viren Programm schon mal ein praktikabler Schutz. Eine Firewall wird bei einem Befall von Schadsoftware wenig helfen. Schließlich klickt der Benutzer seine Seite ja an, sie läuft ihm ja nicht zu. Hier und da werden allerdings dennoch durch eine Firewall Programme daran gehindert einfach mal so mit der Außenwelt zu kommunizieren. Teils lässt auch das sich umgehen, aber meist würde das zumindest ein wenig gemeldet werden, je nach Produkt. Falls der Benutzer weiß, was seine Firewall von ihm jetzt möchte, so kann er recht zuverlässig erkennen, ob ein seltsames Programm gerade eine Verbindung aufbauen möchte oder nicht.

Aber die Hersteller von Schadsoftware schlafen nicht und werden auch erstaunlich schnell besser. Die Produkte haben eine bemerkenswerte Qualität, zumindest einige. Und diese haften sich an den jeweiligen Browser und zack, kommunizieren sie unbemerkt nach draußen. Ja, das ist alt. Aber es klappt recht gut und bringt mich an dieser Stelle auf einen kleinen Aspekt, den man sich als Computerbenutzer zumindest mal durch den Kopf gehen lassen sollte. Schadprogramme können über BHOs entsprechend zu anderen System kommunizieren, sollten sie welche in das System nach der Infektion einbauen. Weiter lässt sich ein System oft über einen Browserexploit infizieren, welches letztendlich ein BHO eines Drittherstellers ist. Und irgendwie passiert das diesem Hersteller ständig.

BHOs sind Browser Helper Objects (BHO). Das sind Programme, die entsprechend Funktionen des Internet Explorers erweitern. Aber der Version 4.0 des Internet Explorers gibt es solche BHOs. Diese haben direkten Zugriff auf das Document Object Model (DOM). Daher können sie sehen, was gerade im Browser so vor sich geht. Für Spionageprogramme, die schauen wollen, was der Benutzer im Internet so macht, ein guter Platz. Auch Kennwörter und URLs lassen sich über ein BHO abfangen und versenden. Der Zugang zum Browser wird einem BHO nicht eingeschränkt, es kann tun und lassen was er möchte. Der Internet Explorer ist hierbei nicht unsicherer, als der Rest der Browser. Microsoft steckt viel Kraft in dieses Projekt, um es laufend zu verbessern. Allerdings benutzt ihn auch fast jeder Otto-Normal-Benutzer, der Verbreitungsgrad ist auf jeden Fall sehr hoch. Hoch genug, um speziell für dieses Produkt Exploits zu schreiben. Für Firefox und Opera gibt es ähnliches, funktioniert auch sehr zuverlässig. Damit Patchen alle um die Wette.

Aber wir waren bei den BHOs. Zumindest mir fällt auf, was nicht wirklich repräsentativ ist, das häufig Schadcode mit einem PDF Exploit in das System mit eingebracht werden soll. Ja nach AV Programm und Patchlevel gelingt dies mehr oder weniger gut. Entfernt man entsprechend in der Registry das BHO von Adobe, so kann der Browser keine PDFs mehr im Browserfenster zeigen. Man muss das Dokument downloaden und selbst ausführen, bzw. dazu erst einmal den Reader starten. Aber: Ein wichtiger Punkt zur Systeminfektion ist an dieser Stelle nicht mehr vorhanden und viele Exploits funktionieren dann an dieser Stelle nicht mehr. Gut, es wird neue und bessere geben (es gibt sie auch), aber man grenzt die Trefferwahrscheinlichkeit ein wenig ein. Und der Benutzer behält ein wenig mehr die Kontrolle darüber, was andere Programme nebenher so auf der Maschine machen.

BHOs werden in der Windows-Registrierung unter dem Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
registriert. Beispiel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01234ABC-DEF1-1D67-123A-123B7D123ABC}

Aus der Registrierungsdatenbank können leicht mit RegEdit BHOs entfernt werden. Tools wie Spybot zeigen leicht und schnell an, was alles an BHOs im System existiert. Damit lasst sich auch schnell die ID des BHOs ablesen und es kann los gehen. Auch eine Toolbar wird als BHO eingebunden, ein Blick auf das Bereich kann nützlich sein, möchte man sich sicher sein, etwas was wirklich deinstalliert zu haben.

Eclipse is running in a JRE, but a JDK is required

Die Integration von Maven verlangt, das Eclipse mit einem JDK betrieben wird, da eine Anzahl von Maven core plugins jars des JDKs nutzen.

Aus diesem Grund ist eine kleine Änderung der Konfiguration notwendig, um die Fehlermeldungen entsprechend zu entfernen.

An dieser Stelle sollte darauf geachtet werden, dass das -vm Parameter auf das lokale JDK verweist. Zusätzlich muss geprüft werden, ob alle installierte JREs auf einer JDK Installation laufen.

Folgende Fehlermeldungen erscheinen bei diesem Problem:

Eclipse is running in a JRE, but a JDK is required
Some Maven plugins may not work when importing projects or updating source folders.

Hierzu öffne entsprechend Eclipse und klicke auf „Window“ –> „Preferences“ –> „Java“ –> „Installed JREs„. Wurde keine JDK gefunden, so muss diese mit „Add“ hinzugefügt werden. Ist keinerlei JDK installiert, so muss diese nachinstalliert werden. Klicke auf „Add“ –> „Standard VM“ und setzte die entsprechende Pfade und klicke „Finish„. Anschließend sollte geprüft werden, ob alle Einstellungen im JDK soweit in Ordnung in der Liste der installierten JREs und klicke final auf „OK„.

Weiter muss in der „eclipse.ini“ eine Kleinigkeit hinzugefügt werden. Dazu wird diese Datei mit einem Texteditor geöffnet und entsprechend folgendes eingefügt.

-vm
Pfad_zur_javaw_auf_der_lokalen_Maschine

beispielsweise sieht das bei mir folgendermaßen aus (jdk1.6.0_17 Win):

-vm
C:\Progra~2\Java\jdk1.6.0_17\jre\bin\javaw

Hierbei handelt es sich um den Pfad Programme (x86) meines Windows 7 Systems. dir /X gibt entsprechend die Kurznamen zu den Pfaden aus. Hierbei sei beachtet, das Eclipse keine Pfade mit Leerzeichen an dieser Stelle verarbeitet.

Hinweis: „-vm“ ist hierbei die erste Zeile, der Pfad befindet sich in der zweiten Zeile.

Meine vollständige eclipse.ini sieht folgendermaßen aus:

-startup
plugins/org.eclipse.equinox.launcher_1.0.201.R35x_v20090715.jar
--launcher.library
plugins/org.eclipse.equinox.launcher.win32.win32.x86_1.0.200.v20090519
-product
org.eclipse.epp.package.jee.product
--launcher.XXMaxPermSize
256M
-showsplash
org.eclipse.platform
--launcher.XXMaxPermSize
256m
-vm
C:\Progra~2\Java\jdk1.6.0_17\jre\bin\javaw
-vmargs
-Dosgi.requiredJavaVersion=1.5
-Xms40m
-Xmx512m

Timeout waiting for JBOSS 5.1 to start. Server did not start after 50s.

Hat der JEE Entwickler nicht eine Maschine, die besonders viel Leistung hat, so wird er feststellen, das hier und da eine besondere Fehlermeldung ihn plagt. „Timeout waiting for JBOSS 5.1 to start. Server did not start after 50s.“ Für Anfänger, die nicht wissen, das es die JBoss Tools gibt, manchmal ein vorerst unlösbares Problem. Nein, der Rechner wird mit seiner Leistung durchaus ausreichen.

Die Lösung ist recht einfach. Das Installieren der JBoss Tools schafft Abhilfe und erweitert Eclipse auch noch um einige sehr nützliche Features.

Download:
http://www.jboss.org/tools/download/stable/3_1_GA.html

Install:
http://www.jboss.org/tools/download/installation/update_3_1.html

Viel Spaß beim Coden. 🙂

Kabelschnüffler und Paketstürme

In der letzten Zeit beschäftige ich mich mit dem Suchen der Nadel im Packethaufen. Dabei ist Wireshark ja ein gängiges Tool, welches großartig funktioniert. Ebenso lief sich mit dem Paket dsniff unter Linux einiges hervorzaubern. mailsnarf ließ fix die SMTP/POP3 Nachrichten hervorpurzeln, klasse.

Bevor ich es vergesse, mein Haufen wurde mit snoop unter Sun Solaris erzeugt. Klappt wunderbar, jedoch kommen manche Analyseprogramme, wie TCPDump nicht so gut damit klar. Also muss das snoop-Format in libpcap konvertiert werden.

tshark kann snoop nach libpcap konvertieren. Das geht fein unter der Kommandozeile.

bash$ for fname in *.snoop ; do \
nfname="${fname%%.snoop}.pcap" ; \
tshark -r "${fname}" -w "${nfname}" && \
rm -f "${fname}" ; \
echo "rc=$? ${fname} -> ${nfname}" ; \
done

Poff. Fertig.

Digitalbildbearbeitung 2.0 – Präzesion und Perfektion im PS Plugin

Bei meinem alltäglichen Surfen bin ich auf eine sehr interessante Seite gestoßen, die ein kleines MUSS zu sein scheint, wenn man digitale Fotobearbeitung betreibt. Der konventionelle Bearbeiter bzw. Fotograf wird Photoshop kennen und lieben. Der Hersteller hier, stellt Photoshop Plugins her, die auf jeden Fall ein Blick wert sind. Sie machen das Bearbeiten von Digitalbildern in Photoshop zu einem neuen „Aha-Erlebnis“. Ebenso fielen die umfassenden Detailinformationen auf der Webseite auf, die wirklich sehr lesenswert sind. Auch für S/W Fotografie. Anschauliche Beispiele zeigen Unterschiede auf und geben dem Fotografen ein neues mächtiges Werkzeug in die Hand, welches er, wenn er es erstmal genau betrachtet, lieben und schätzen lernen wird.

Kurzum, schreibt der Hersteller von der neuen ColorPerfect Suite: „Das Warten auf die nächste Generation unserer Software hat sich gelohnt. ColorPerfect ist da. Mit dem Namen ist das meiste gesagt. ColorPerfect steht für ein höchstes Maß an Farbtreue und zugleich für unglaubliche Flexibilität in der kreativen Bildbearbeitung.“

Zum Schnuppern das Handbuch von ColorNeg hier und von ColorPos hier.

exFAT für SD Karten

Sehr nett, die neuen SD Cards für Kamera etc. mit bis zu 2TB Kapazität bekommen selbstredend ein neues Dateisystem. Dies wird, exFAT. (Wikipedia exFAT)
Gar nicht mal so übel, immerhin brauch eine Kamera kein Journal-FS oder andere IO lastigen Dateisysteme. exFAT ist simpel, naja lahm, aber vermutlich mit allen OS kompatibel.

Ich stelle mir 500GB, 1TB und 2TB gerade als SD Karte vor… da passen Bilder drauf,… oh weh, wenn ein User aus versehen mal diese formatiert und poff 30000 Fotos weg sind. *g*

Neues Spielzeug und etwas Kleinkram

Neues Spielzeug ist heute per Post gekommen. Dazu ein paar Softwarekisten. Jetzt gehts nach und nach an die Konfiguration und an die Detailplanung. Ich bin gespannt. Das WE war anstrengend. Ich hänge etwas in den Seilen. Bald wirds mal etwas ruhiger um mich herum. Zeit einmal, die Kiste hier neu aufzusetzen und dazu mal ein OS Update fahren. Das XP Zeitalter ist langsam vorbei.

Sonst ist endlich der Speicher gekommen. Wurde auch Zeit. Die Kiste steht still und ich freue mich darauf endlich den Server wieder in Betrieb nehmen zu können. Nur 4 Wochen hat es gedauert. Meine Güte, die Chinesen versenden wesentlich schneller, als ich Leutz in den USA. Ich drücke mir mal die Daumen, das die Fracht nix abbekommen hat.

Sonst messe ich grad an meinen USVs herum. Ich frage mich nämlich gerade, was mich der Betrieb selbst von den Dingern im Jahr kostet. Und in welchem Verhältnis das steht. Daraus entscheide ich, wie ich die neue Verkabelung lege. Entweder alles zentral über eine USV oder gesplittet über 2. Hat alles vor und Nachteile. Vor allem habe ich nicht soviel Filter für Wechselstrom und auch nur einen wirklich zuverlässigen Überspannungsschutz. Da neuerdings alles ein wenig räumlich getrennt wird, ist das nicht einfach mal so zu legen. Naja, leicht lösbar, ich bin mal gespannt, wieviel Euronen nur für den Grundbetrieb verbrannt werden, also USV, Server, TK-Anlage und AD Konverter und so.

Hausbesuch, Rechnerzeug und lange Gespräche

Bestimmt ist dem ein oder anderen Leser aufgefallen, das es in der letzten Zeit wenig gibt. Ich war etwas ausgelastet, dazu kam noch eine erweiterte sportliche Betätigung und einiges andere, was eine sehr hohe Priorität hatte. Der Tag hat nunmal 24 Stunden und ich begann damit, nach 24 Stunden einen Hardcut zu machen. Teils eine ganz gute Vorgehensweise. Je nach dem.

So, heute war ich viel beschäftigt und kam zu wenig. Aber dafür zu den wichtigsten Dingen. Letzendlich bin ich recht müde, aber intensiv erleuchtet. Somit ist jetzt erstmal Ruhe angesagt.

Eine Analyse eines System brachte viele neue Dinge hervor, die wollen nach und nach alle bearbeitet werden. Ich bin gespannt. Auf jeden Fall schreit das nach einem Teil Zwei.

Betriebsausflug, leckeres Essen und viel Interessantes

Begonnen wurde heute ein kleiner Betriebsausflug. Es ging in den Norden in ein schickes schönes Hotel mit wunderbaren Zimmern und einem perfekten Service. Heute kann ich sagen hatte ich nur nicht viel davon, da ich bis in die tiefe Nacht zu tun hatte. Allerdings ließ es sich gut Schlafen und ebenso perfekt frühstücken. Mal schauen, was der nächste Tag bringt. Es gibt noch mehr zu tun und es gibt viel Interessantes, Witziges, Neues und Humorvolles. Ja nach Humor. Ich habe, so kann ich sagen, an vielen Stellen gelacht.

Sonst gibt es wenig zu berichten. Zuerst einmal.

Mehrere Arbeitsweisen bei der Kommandovergabe von Trojanern

Jeder Bot braucht seine Kommandos, die er von einer Kontrollinstanz bekommt. Es gibt zwei grundsätzliche Designansätze, die verwendet werden können. Einmal kann er Bot warten, bis sein Herr und Meister ihm einen Befehl zukommen lässt, den er dann ausführt. Der Bösewicht sendet seinen Befehl, die Bots tun es – dies wird Push-Prinzip genannt.

Jeder Arbeitsweise hat seine Vor- und Nachteile. Fragt der Bot selbst bei seinem Herr und Meister nach und bekommt daraufhin seinen Befehl, so wird dieses Pull-Prinzip genannt. Der Vorteil des Push-Prinzips. Das System selbst weiß nicht, wo es sich zu melden hat. Eine Analyse des Trojaners führt nicht zu dem Ursprung des Herr und Meisters. Allerdings ist damit auch nicht so richtig sichergestellt, dass der Meister auch alle seiner Zombiecomputer erreicht, sollte er einen Befehl absetzen.

Auch Firewalls machen an dieser Stelle ihm zu schaffen, da meist eingehende Verbindungen blockiert werden. Anders beim Pull-Prinzip. Der Zombiecomputer meldet sich, oft unerkannt durch die Firewall, beim Meister und fragt nach seinen Befehl. Jetzt weiß einmal der Meister, wie viele Zombies er befehligt und das seine Befehle auch ankommen.