Archiv für den Monat: Mai 2020

Höhere Strafen für Raserei – oder nicht?

Veröffentlicht am von

Nun wurde gerade Strafen für zu schnelles Fahren angehoben und schon rudert der Bundesverkehrsminister Scheuer (CSU) wieder zurück. Es hätten sich zu viele Bürger darüber beschwert. Es sei ja nicht vertretbar wenn jemand den Führerschein für einen Monat abgeben muss, nur weil er entweder innerorts 21 km/h oder außerorts 26 km/h schneller als erlaubt, gefahren ist. Das würde ja vor allem die Pendler treffen, die mit dem Führerschein auch ihren Job verlieren würden. Also das geht ja gar nicht.

HALLO? McFly? Bin ich irgendwie in einer falschen Realität gelandet, wo die Vernunft abgeschafft wurde?

71 km/h statt 50, oder 51 km/h statt 30 ist schon heftig. Der Tacho zeigt da sowieso noch mehr an. Wer so fährt, ist ein Raser. Ich fordere schon länger höhere Strafen für notorische Schnellfahrer. Viele kalkulieren ihre Strafen schon ein und achten vor allem darauf keine oder nicht so viele Punkte zu bekommen. Bis dann ist in deren Augen die Raserei OK. Jetzt soll es leichter ein Fahrverbot geben. Wobei wir hier von einem Monat sprechen. Es geht nicht um einen dauerhaften Entzug der Fahrerlaubnis. Einen Monat sollte man doch irgendwie ohne große Probleme hinkriegen. Schließlich kriegen wir es jetzt auch schon 2 Monate ohne Schule oder Kinderbetreuung hin.

Sind die Raser so einfallslos?

Und dann wurde ja explizit von Berufspendlern gesprochen. Die fahren jeden Tag die selbe Strecke. Da sollten sie wissen, wo welche Geschwindigkeitsbegrenzung gilt. Und Veränderungen sollten einem aufmerksamen Verkehrsteilnehmer auch auffallen. Ansonsten sind sie wohl nicht so aufmerksam, wie sie sein sollten.

Raser argumentieren ja auch gerne mit, in ihren Augen unnützen, Tempolimits. Sonntags vor der Schule, nachts vor dem Altenheim oder wenn die Autobahn leer ist. Dass hinter bestimmten Begrenzungen auch andere Gründe, etwa Lärmschutz, stehen kann, ist für diese Menschen wohl unbegreiflich. Und meistens bekommen sie nicht in solchen Situationen, sondern eben ab morgens auf dem Weg zur Arbeit, wenn auch Schulkinder unterwegs sein können.

Also ich bin auch jeden Fall für die Verschärfung der Strafen. Zusätzlich wünsche ich mir noch eine einkommens-/vermögensabhänige Geldstrafe, die ihren Namen auch verdient und nicht einfach als Pech akzeptiert wird, als wenn man einen Geldschein verliert. Die bisherigen Strafen zeigten praktisch keine abschreckende oder erzieherische Wirkung.

DIE Corona-App

Veröffentlicht am von

“Gibt es dafür nicht auch ‘ne App?” war jahrelang immer die Frage, um alle möglichen Dienste zu nutzen. Heutzutage gibt es für fast alles eine App. Deswegen war klar, dass es auch Apps für Corona gibt. Etwa zu Erkennung von Symptomen in Verbindung mit etwa Fitnesstrackern. Aber vor allem sollen es entsprechende Apps ermöglichen, zu erkennen, ob man Kontakt zu einem Corona-Infizierten gehabt hat.

Natürlich ist das die Bundesregierung auf den Zug aufgesprungen und will eine offizielle Corona-Tracing-App herausbringen. Gerade in Deutschland ist man ja technikverliebt und in der Phantasie manche Politiker soll sich nahezu jedes Problem durch mehr oder wenig komplizierte Technik lösen lassen.Gerade mein “Freund” Christian Lindner ist wieder vorn dabei:

Keine App => Mittealter! Egal wir fortgeschritten unsere Medizin ist.

Ich kann die ganzen Nachrichten zu dem Thema nicht mehr hören, das ewige hin und her, zentrale oder dezentraler Ansatz, deutsche oder europäische Lösung, freiwillig, “freiwillig” oder Pflicht. “Frewillig” bedeutet, dass es zwar keine explizite Pflicht zur Nutzung der App gibt, es aber Zugang zu bestimmten Bereichen/Veranstaltungen nur unter Nachweis der Nutzung der App möglich sein soll. Hinzu kommt natürlich der soziale Druck aus dem Umfeld.

Auf jeden Fall steht zu Befürchten, dass die App bleiben wird. Überwachungstechniken wurden in Deutschland praktisch noch nie zurück genommen. Eher wurden sie verschärft und der Anwendungsbereich und Kreis der Zugriffsberechtigten stetig erweitert.

Auch technisch gibt es noch grundsätzliche Fragen. Es ist noch gar nicht klar, ob man die Entfernungsmessung mittels Bluetooth wirklich so hinbekommt, wie erhofft. Es sind etliche Szenarien skizziert worden, wo es Fehlalarme geben kann. Etwa wenn beide Menschen dicht zusammen sind, aber durch Barrieren (Plexiglasscheiben, Folienvorhänge, etc.) getrennt sind.

Aber ich stelle den Sinn der App noch viel früher in Frage: Welche Kontakte sollen überhaupt überwacht werden? Es geht immer um Kontakte unterhalb von 2 Meter Distanz und einer Dauer von mehr als 15 Minuten. In welcher Situation soll so etwas vorkommen? Mir fällt einzig der ÖPNV ein. Überall sonst gibt es ja Beschränkungen. Auch vor den Corona-Maßnahmen fallen mir nur wenige Beispiele ein, wo eine solche App erfolgreich wäre. Etwa im Wartebereich bei Ärzten. Aber dort wird ja mittlerweile auch auf Abstand geachtet. Und Großveranstaltungen sollten doch sowieso zur Sicherheit erst einmal ausgesetzt werden.

Und dann gibt es ja nicht nur die eine “offizielle” Corona-App, sondern bereits eine Handvoll; teilweise mit unterschiedlichen Zielsetzungen. Und dann ist ja noch die Frage, wie viele Nutzer diese App nutzen werden. Dabei geht es nicht darum, ob es verpflichtend, “freiwillig” oder tatsächlich freiwillig ist. So muss erstens das Gerätemodell unterstützt werden. So wie es sich anhörte, müssen die Messwerte für jedes Modell erst kalibriert werden. Ansonsten kann man die Entfernungsmessung vergessen. Dann muß die App nicht nur Plattform übergreifend sein; und ja es gibt mehr als Android und Apple und die App muss auch runterladbar sein; Manche benutzen aus Sicherheitsgründen die offiziellen App-Stores nicht. Außerdem muß man das Gerät mit sich führen angeschaltet haben und Bluetooth aktiviert haben. Nur wenn ALLE Punkte erfüllt sind, kann die App ihre Aufgabe erfüllen. Ich bezweifle aber, dass ein großer Teil die App nicht nutzen wird, das durch das Hin und Her im Vorfeld schon viel Vertrauen verspielt wurde. Außerdem kennt man ja die Geschichte von Deutschen Überwachungsmaßnahmen, und nichts anderes ist die App. Solche Instrumente wecken Begehrlichkeiten auf Seiten von Sicherheitsbehörden und sogenannten Polizei”gewerkschaften” und meistens folgen die Politiker dieses Rufen.

Aber es besteht ja die Hoffnung dass das ganze Projekt mit der “offiziellen” App eh nichts wird. SAP und Telekom haben sich der Sache angenommen. Also werden die Kosten wohl explodieren und der Zeitplan, wie bei anderen Großprojekten, bis in die Unendlichkeit gestreckt.

Der Gipfel der Arroganz

Veröffentlicht am von

Der Journalist Ulf Poschardt, der unter anderem für die “Welt” schreibt, hat letztens folgende Worte auf Twitter geschrieben.

die verachtung der marktwirtschaft korreliert mit der unkenntnis über sie und dem neid auf jene, die sie verstehen und nutzen

Ulf Poschardt, 30.03.2020

Ich verachte vor allem Herrn Poschardt für diesen menschenverachtenden Satz. Das ist genau die Schiene, wie “JEDER kann reich werden, kaufen Sie mein Buch und machen Sie es wie ich!”.

Genau, wer arm ist, ist einfach zu dumm um reich zu werden oder will es einfach nicht!

Konkret ging es wohl um die Leute in der Coronakrise notwendige Dinge, wie Desinfektionsmittel oder Masken, zu maßlos überhöhten Preisen anbieten.

Gerade hier zeigt sich doch, dass “der Markt” eben nicht alles regelt. Der Markt kann die Nachfrage nicht befriedigen. => Marktversagen!

Ich wurde gehackt – Ein Erfahrungsbericht

Veröffentlicht am von

Letztes Wochenende bekam ich eine E-Mail, die mir zunächst dubios vorkam; eine abuse-Meldung eines anderen Providers. Also eine Beschwerdemail, dass von meinem Server aus Aktivitäten erfolgen, die die Sicherheit oder die Funktionsfähigkeit der Server des anderen Providers oder dessen Kunden beeinträchtigen können. Ich sah mir die Mail noch mal genau an und stellte fest, dass es sich bei der erwähnten IP-Adresse tatsächlich um die meines Servers handelt. Ich wurde unruhig und loggte mich auf dem Server ein und sah, dass sowohl die Prozessoren als auch das Netzwerk komplett ausgelastet waren. Irgendetwas stimmte also tatsächlich nicht.

Ein kurzer Blick mit htop, zeigte mir die Ursache. Etliche Prozesse liefen mit Vollast. und feuerten wohl fleißigauf diverse Ziele im Internet. Erste Maßnahme: Netzwerk mit if-down eth0 deaktivieren. Dann komme ich zwar selbst nicht mehr mit SSH rauf, aber ich kann über die Konsole des Providers meinen Server erreichen.

Die ganzen Prozesse liefen unter einem einzigen Benutzeraccount. Dieser Account hat zum Glück nur einfache Rechte. Aber er konnte im /tmp-Verzeichnis seine Scripte platzieren.

Dann ging die Ursachenforschung los. In den Log-Dateien konnte ich tatsächlich feststellen, dass mit Brute-Force (also massiven Ausprobieren) mit unterschiedlichen Nutzernamen und Passwörter versucht wurde, per SSH in das System einzudringen.Zwischen 3 und 4 Uhr hat es dann geklappt. Der Angreifer war auf meinem Server. Ich kann nicht genau feststellen, wann was passiert ist, aber auffällig war, das die Scripte nicht dauerhaft liefen. Es gab ein paar Stunden Pause. Vielleicht hat sich in der Zwischenzeit ja tatsächlich der Hacker mal persönlich umgeschaut, was er so mit dem Server anstellen kann. Ich weiß also nicht, was manuell passierte und was durch Scripte.

Er hat einen Cronjob erstellt, der beim Reboot und zu bestimmten Zeiten unterschiedliche Aktivitäten ausgelöst wurden. So wurde etwasder Schadcode jedes Mal von einem fremden Server neu geladen, auch wenn das /tmp-Verzeichnis geleert wurde. Im User-Verzeichnis fanden sich ein paar neue Verzeichnisse die die kleinen Skripte enthielten. Insgesamt waren das nur ein paar Megabyte. Dann habe ich noch festgestellt, dass sich der Angreifer einen SSH-Key erstellt hat, um damit auf den Server zu kommen. Ein einfache Ändern des Passwortes hätte nicht ausgereicht, er wäre durch den Schlüssel auch dann wieder rein gekommen.

Deshalb habe ich nicht nur alle Passwörter geändert, sondern auch die SSH-Keys gelöscht, bzw. meine eigenen neu erstellt.

Nach einer kurze Analyse kam ich zu dem Schluss, dass sich der Angreifer nur im Umfeld des Benutzeraccounts aufgehalten hat und keine erweiterten Rechte erlangen konnte. Auslesen konnte er dann mangels Rechte auch keine anderen sensiblen Daten.

Aber wie konnte es überhaupt dazu kommen? Ich hatte einen Benutzer für interne Zwecke erstellt. Leider habe ich diesem nur ein schwache Passwort gegeben. Wenn SSH aktiviert ist und nicht entsprechend konfiguriert ist, erhält dann jeder Benutzer die Möglichkeit per SSH anzumelden. Das war mir nicht bewusst. Nun habe ich in der /etc/ssh/sshd_conf einfach mit dem Schlüssel AllowUsers die Benutzer angegeben, die auch tatsächlich diesen Zugang haben sollen.

Ich hatte fail2ban zwar installiert, welches eigentlich solche Brute-Force-Angriffe abwehren sollte, aber irgendwie funktionierte es nicht. Ich vermute, dass ich mir bei einem Debian-Update wohl die Konfig zerschossen wurde. Ich werde jetzt in Zukunft ein Auge darauf haben.

Zusätzlich habe ich den Port des SSH-Dienstes verstellt. Ich weiß das ist kein Sicherheitskonzept, aber zumindest erschwert es den unbefugten Zugang.

Der Server scheint jetzt wieder sauber zu sein und läuft seit mehreren Tagen unauffällig.

Ich frage mich allerdings, was gewesen wäre, wenn das nicht gerade am Wochenende passiert wäre, als ich zu Hause war und Zeit hatte, mich darum zu kümmern. Irgendwann hätte der Provider den Server abgeschaltet und ich hätte dort wahrscheinlich so schnell keinen neuen Server bekommen.

Die Kritik privilegierter alter Männer

Veröffentlicht am von

Vor einer Woche erschien bei Zeit-Online ein Artikel über die möglichen Konsequenzen von Schulöffnungen. Tenor war, man solle auf jeden Fall darauf verzichten, weil der Schutz des Lebens einen höheren Stellenwert habe als Bildung. Dem stimme ich erst einmal grundsätzlich zu.

Allerdings geht der Autor davon aus, dass der Schulunterricht wie gewohnt fortgesetzt wird. Das stand allerdings nie zur Debatte. Aktuell sind die ersten Schüler wieder zurück in den Schulen, aber nur unter strengen Voraussetzungen, so dass Ansteckungen möglichst vermieden werden. Da scheint es beim Autor wohl massive Wissenslücken zu geben.

Mir sagte der Name Volker Boehme-Neßler auch nichts. Aber allein aufgrund seiner Aussagen ergibt sich ein klares Bild, dass er in einer besonders privilegierten Position sein muss. Eine kurze Recherche bestätigte das. Er ist nicht nur hin und wieder als Gastautor in diversen Medien aktiv, sondern ist vor allem auch Professor für Jura an der Uni Oldenburg.

Es ist schade, dass so ein alter Mann, der jungen Menschen Wissen vermitteln soll, so wenig von der Realität von Millionen Menschen in Deutschland versteht.

Schulpflicht ist nicht nur eine kleine unwichtige Sache, die man mal eben über Bord schmeißen sollte. Da fällt mir gerade noch das Geschrei der Rechten nach der Schulpflicht ein, als Schüler freitags für das Klima demonstriert haben.

Es geht um Bildung. Bildung ist wichtig und ebnet den Weg in die Zukunft. Herr Boehme-Neßler ist doch auch in der Branche aktiv. Aber vielleicht sehnt er sich ja selbst nach einem bezahlten Sabbatjahr.

Diese Bildung kann man nicht von heute auf morgen so umstellen, dass alles zu Hause passiert. Aktuell sind das alles Behelfslösungen. Und wird reden nicht, wie Herr Boehme-Neßler von ein “paar Wochen”, sondern es wird um mehrere Monate, bis Jahre gehen. Da müssen wir uns etwas einfallen lassen, wie die Kinder wieder unterrichtet werden können. Dabei geht es nicht nur um die Vermittlung von Lerninhalten, sondern um das soziale Leben. Gerade für jüngere Schüler ist ein Miteinander sehr wichtig. Direkte Kontakte kann auch kein Videochat ersetzen.

Gleiches gilt natürlich auch für die Integration von Menschen mit Migrationshintergrund. Online kann man sich seine Kontakte aussuchen und seine eigene kleine Blase erschaffen. Da ist Ausgrenzung statt Integration das Motto. Aber das sind alles keine Themen mit denen sich der Autor auskennt. Er argumentiert von einem rechtstheoretischem Standpunkt aus.

Vor allem ärgert mich, dass er die Belastung der Eltern in einem Nebensatz abgehandelt. Aber gerade da liegt das Problem; und nicht nur in Familien in schwierigen sozialen Verhältnissen. Viele Eltern sind berufstätig und können das nur dank Nachmittagsbetreuung leisten. Jetzt sind die Kinder den ganzen Tag zu Hause. Klar, manche können von zu Hause aus arbeiten. Aber “Homeschooling” (blödes Wort) bedeutet auch, dass die Eltern die Rolle des Lehrers übernehmen müssen. An Arbeit nebenbei ist da nicht zu denken. Wann sollen die Eltern dann ihre Arbeit erledigen?

Klar ist das eine schwierige Situation und die Lösungen werden für alle nicht einfach sein, aber pauschal auf die Öffnung von Schulen zu verzichten, ist sicherlich der völlig falsche Weg. Es sind Praktiker und keine Theoretiker wie Boehme-Neßler gefragt.