Veni, Vidi, VISA

Nein.. damit meine ich nicht die Windows-LNK-Lücke oder iTunes Sicherheitslücke, sondern viel unwichtiger.. zumindest für die Medien; für $FIRMA jedoch alles andere als unwichtig.
$ADMIN hat durch einen Hardwareschaden des Routers mal schnell den Austauschrouter konfiguriert. Gab auch so gut wie keine Komplikationen seitens der User was die Authentifizierung betraf. Der war nämlich so gut konfiguriert, dass man sich vom offenem WLAN ohne jegliche weitere Authentifikation ins Intranet der Firma einloggen konnte und auch Zugriff auf die internen Datenbanken hatte. Der Router lief das ganze Wochenende in dieser Konfiguration, weil Freitag und wenig Zeit und Wochenende und so.
Jetzt wurde aus meinem "Mal schnell zwei neue Server aufsetzen, ins Intranet einbinden und konfigurieren" ein "Wir brauchen ein Sicherheitskonzept um gegen alle Eventualitäten abgesichert zu sein!". Meinen Vorschlag den vorhandenen Admin gegen einen Kompetenten auszutauschen um eine brauchbare Grundlage zu haben, überlegen sie sich anscheinend noch. So wie ich das sehe werde ich in dieser Firma noch einige Male beschäftigt sein.

Und - ein viel schwerwiegenderer Bug als diese Peanuts grad eben - mein Bot hat sich heute mit einem Coredump verabschiedet und ich hab vergessen ihn mit ``DEBUG'' zu kompilieren *narf*

Die - bereits vorhandenen - Backupscripte funktionieren problemlos und werden verschlüsselt übertragen/gespeichert, die Securityupdates sind alle eingespielt, die Software optimal konfiguriert und auf dem aktuellsten Stand, die Bannermeldungen (issue{,.net}, motd, .plan, ..) aussagekräftig und informativ, Logins sind ebenfalls nur verschlüsselt möglich, Logins werden mittels cracklib geprüft, Passwörter verfallen nach bestimmter Zeit und wichtige Informationen stehen über RSS und/oder Mailingliste zur Verfügung. Ich musste nur noch zwei Kisten neu aufsetzen, die Dokumentation übergeben, eine kurze Einweisung machen und zum ersten Mal tut es mir schon fast leid das ich hier fertig bin. Und das liegt nicht nur daran das der "Hauptadmin" eine Frau ist.

Wenn sich Debian/testing ein update/dist-upgrade mit folgender Fehlermeldung quittiert:

Errors were encountered while processing:

 linux-image-2.6.32-5-686

 linux-image-2.6-686

E: Sub-process /usr/bin/dpkg returned an error code (1)

A package failed to install.  Trying to recover:

Setting up linux-image-2.6.32-5-686 (2.6.32-15) ...

Running depmod.

Running update-initramfs.

update-initramfs: Generating /boot/initrd.img-2.6.32-5-686

initrd.img(/boot/initrd.img-2.6.32-5-686

) points to /boot/initrd.img-2.6.32-5-686

 (/boot/initrd.img-2.6.32-5-686) -- doing nothing at /var/lib/dpkg/info/linux-image-2.6.32-5-686.postinst line 400.

vmlinuz(/boot/vmlinuz-2.6.32-5-686

) points to /boot/vmlinuz-2.6.32-5-686

 (/boot/vmlinuz-2.6.32-5-686) -- doing nothing at /var/lib/dpkg/info/linux-image-2.6.32-5-686.postinst line 400.

Running update-grub.

User postinst hook script [update-grub] failed to execute: No such file or directory

dpkg: error processing linux-image-2.6.32-5-686 (--configure):

 subprocess installed post-installation script returned error exit status 255

dpkg: dependency problems prevent configuration of linux-image-2.6-686:

 linux-image-2.6-686 depends on linux-image-2.6.32-5-686; however:

  Package linux-image-2.6.32-5-686 is not configured yet.

dpkg: error processing linux-image-2.6-686 (--configure):

 dependency problems - leaving unconfigured

Errors were encountered while processing:

 linux-image-2.6.32-5-686

 linux-image-2.6-686

Reading package lists... Done

Building dependency tree

Reading state information... Done

Reading extended state information... Done

Initializing package states... Done

Reading task descriptions... Done

dann hilft es nichts zu beteuern das man schon Jahrzehnte lang mit Linux arbeitet und sonst immer jedes Problem lösen konnte und das garantiert ein schwerwiegender Bug von Debian sein muss. Da sollte man einfach nur die Fehlermeldung lesen, feststellen das update-grub nicht vorhanden ist, das mit apt-file search update-grub suchen und dann das Paket mit aptitude(8) installieren.
Die geballte Fachkompetenz einiger Admins treibt mir regelmäßig Tränen in die Augen und das Essen aus dem Magen.

Guckst Du auf http://www.3dsupply.de/shirt4link/. Ich hab da auch das Feed me-Tshirt und das Ich wähle keine Spielekiller her. Also nicht nur die beiden, sondern da hab ich schon mehrere bestellt; aktuell interessiert mich gerade das hier: http://www.3dsupply.de/products/382-you-make-me-facepalm/. Bilder sagen nämlich mehr als 1000 Worte wie es so schön heißt

Weil ich schon mehrere Fragen via Mail bekommen habe, wieso ich Betriebsgeheimnisse über $Firma ausplaudere..
Tue ich nicht. Habe ich nicht und werde ich auch nicht. U. a. weil in meinem Vertrag eine glorreiche Geheimhaltungsklausel enthalten ist, die wie folgt lautet:

(1) Der/Die Mitarbeiter/in hat über alle im Rahmen der Tätigkeit zur Kenntnis gelangenden vertraulichen 

geschäftlichen Angelegenheiten und Vorgänge in der Firma oder der mit der Firma verbundenen Unternehmen, 

Kunden und Lieferanten, insbesondere über Geschäfts- und Betriebsgeheimnisse, Stillschweigen gegenüber 

Unbefugten zu wahren. Er/Sie hat geeignete Vorkehrungen zu treffen, dass Unbefugte von den genannten 

Angelegenheiten und Vorgängen keine Kenntnis erlangen.



(2) Unbefugte sind sowohl Außenstehende als auch Mitarbeiter/innen der Firma, die mit der betreffenden 

Angelegenheit oder dem betreffenden Vorgang nicht befasst sind.



(3) Die in Absatz 1 genannte Verpflichtung gilt auch nach Beendigung des Vertragsverhältnisses fort.



(4) Bestehen für den/die Mitarbeiter/in Zweifel daran, ob eine Angelegenheit oder ein Vorgang vertraulich zu 

behandeln ist, hat er/sie vor deren auch nur teilweiser Offenbarung gegenüber Unbefugten eine Weisung der 

Geschäftsleitung  einzuholen.

D. h. ich darf auch weiterhin schreiben das $Admin von $Firma ein lernbefreiter Vollpfosten ist. Was ihr hier definitiv nicht lesen werdet, sind personen- und/oder firmenbezogene Daten, die Rückschlüsse auf selbige zulassen.

Nicht wundern weil ich zur Zeit so gut wie gar nichts poste, aber ich habe z. Z. relativ viel um die Ohren (aus beruflicher Sicht) und beschränke meine Onlinezeit auf das Nötigste. Ab nächster Woche sollte sich das aber eigentlich wieder normalisiert haben.. also hoffe ich zumindest.

hat mal mein "Mentor" gesagt und recht hat er. Wie immer sind bei Mitarbeiterschulungen die Mitarbeiter nicht sonderlich interessiert; besonders dann, wenn es sich um einen Vortrag handelt, von dem sie denken das dessen Inhalt für sie sowieso nicht wichtig ist. Ergo muss man sie davon überzeugen, dass es notwendig ist das sie einem zuhören. Und was wäre ein besserer Motivator als sich mit einem handgeschriebenem Zettel hinzustellen, einen Benutzernamen aufzurufen und nach der Handmeldung sein Passwort zu nennen?! Einige Mitarbeiter haben Anfangs noch missachtend auf die anderen runtergesehen, allerdings jeder der 18 Mitarbeiter kam an die Reihe. Naja.. fast jeder. Ein paar Benutzernamen hab ich nur nacheinander vorgelesen und mit "Auf die Passwörter gehe ich erst gar nicht ein, weil die Passwörter sogar ein 12 Jähriger cracken könnte!". Aber ich bin ja kein Arsch das gezielt Mitarbeiter niedermacht. Auch der zuständige Admin bekam sein Fett weg, weil sein System solche Passphrasen überhaupt akzeptiert.
Für den danach folgenden Vortrag hatte ich dann auf jeden Fall ungeteilte Aufmerksamkeit. Bleibt nur zu hoffen das sie in Zukunft solche Sachen wie "Ausloggen wenn der Arbeitsplatz verlassen wird", "Bildschirmschoner mit Passwort versehen", .. beachtet werden.


btw. bevor jetzt irgendjemand anfängt zu kollabieren.. an die Passwörter bin ich im Beisein des Chefs gekommen. D. h. er stand hinter mir und hat mir zugesehen wie ich die (auf Zetteln, unter Tastaturen, ..) notierten Passwörter abgeschrieben und geändert habe. Einige wenige musste ich cracken, aber da kein Passwort länger als fünf Zeichen war, war das nicht weiter wild. Anschließend wurden die Passwörter geändert und neue vergeben die sich die Mitarbeiter dann persönlich bei mir abholen konnten (sie wurden auch drauf hingewiesen das sie die Passwörter baldmöglichst ändern sollten).

Nach einigen Jahren in dem Job hab ich gedacht das ich dann doch alle notwendigen Präsentationen und Vorträge.. von wegen. Nächste Woche darf ich einen Tag lang zum Thema Sensibilisierung in Bezug auf Passwortsicherheit und Datenschutz am Arbeitsplatz in $FIRMA einen Vortrag halten und die Mitarbeiter schulen. Ich halte zwar ungern Vorträge, aber immerhin legt $FIRMA wert auf dieses Thema. Und zwar ohne vorherigen Vorfall.

In $Firma wurde ein Irc-Server aufgesetzt, damit die Angestellten einen direkten Draht zum Admin haben und sich die einzelnen Projektgruppen untereinander absprechen können. Soweit, so gut. Dumm nur, wenn $Freundin des Admins nicht weiß das nicht er, sondern ich an dem Host im Serverraum sitze und sie ihm.. also mir.. ein ziemlich eindeutiges Query schickt. Auf mein "Ich glaube Sie verwechseln mich mit $Admin. Kann das sein?!" kam ein "Sind sie nicht $Admin?!" als Antwort. Und - man möge mir verzeihen, aber ich konnte einfach nicht anders - ich musste einfach an Simon Paul Travaglia denken und mit "Ja. Ich bin nicht $Admin! ABER ICH HABE IHRE IP UND WEIß IN WELCHEM BÜRO SIE SIND!". antworten. ~0,0001 Sekunden kam ein /quit und sie war weg.

$KUNDE hat mit mir vor zwei Wochen einen Vertrag abgeschlossen in dem meine Aufgaben, sowie die eingesetzte Software explizit festgelegt wurde (Standard halt). Heute sollte ich dort anfangen und den ganzen Schmarrn installieren/konfigurieren. Ich komme in $FIRMA an und dann erklärt mit der Admin das es nach Absprache mit dem Vorstand eine kleine Änderung gegeben hat und jetzt nicht wie vereinbart Debian, sondern Windows Vista installiert werden soll. Jetzt muss ich dazu sagen das ich unter kleiner Änderung zwar was anderes verstehe, aber nun gut. Ich hoch zum Cheffe, dem erklärt das - und wieso ich - Windows Vista nicht installiere und sogleich wurde mir vorgeworfen das ich "Mit dieser Haltung eindeutig Vertragsbruch begehe" und er (also El Cheffe) das an die Rechtsabteilung der Firma weiterleiten wird, wenn ich meinen "Verpflichtungen nicht augenblicklich nachkomme".
Sowas ist mal wieder ein eindeutiger Beweis dafür, dass der Großteil aller Anzugträger Vollpfeifen sind. In meinem Vertrag steht drin das ich ausnahmslos "Unix-Derivate und unixoide Betriebssysteme" einsetze (mit einer dezenten Fußnote die Mac OS und Windows nochmal zusätzlich ausschließt) und ich über "Änderungen nach Vertragsunterzeichnung seitens des Auftraggebers rechtzeitig zu informieren bin" (das ganze Blablabla in Bezug auf "Zurücktreten vom Vertrag", .. lass ich mal weg). Ich hab das ganze dann meinem Anwalt geschildert, bin heim und harre der Dinge die da kommen werden (also exakt gar nichts).

Wayne.. ich brauch die Server ja nicht.

$USER: Ich hab außer unserem Update-Skript wirklich nix angeklickt und trotzdem kommen beim Start von jedem Programm lauter Fehlermeldungen!
$ME: (cat update-skirpt -> enthält nur ein sudo apt-get update ; sudo apt-get upgrade)
$USER: Das Skript hat unser Admin so geschrieben, weil wir einige aktuelle Programme brauchen.
$ME: (cat /etc/apt/sources.list enthält nur unstable)
(Als ich dann dem User erklärt habe das unstable seinen Namen nicht ganz zu unrecht trägt, weil da doch mal was Unstable sein kann, kam ein verwunderter Blick und die Erklärung überhaupt:)
$USER: Unser Admin hat gesagt das er nur die Software aktualisiert und nicht das System!

Zuerst hab ich gedacht das das mal wieder eine Ausrede ist, aber ich hab dann auf anderen Workstations genau das gleiche Skript gesehen und von den Usern die exakt gleiche Erklärung bekommen. Der Admin ist latürnich nicht da, sondern im Urlaub.
Manchmal glaub ich wirklich das die das alles mit Absicht machen. Bastarde!