Archiv für den Monat Januar 2010

Technische Details zum “China-Hack” Aurora

Veröffentlicht am von

Die Geschichte von Google mit der “highly sophisticated and targeted attack on our corporate infrastructure originating from China” hat ihre Runde gemacht (auch wenn kaum alles aufgedeckt ist und wohl noch ein paar angegriffene Firmen kommunizieren müssen).

Spannend und Inhalt dieses Posts sind Quellen, welche die erhärteten technischen Details preisgeben. Eine gute Feierabendlektüre.

1) Der Internet Explorer war/ist schuld
Den Teil finde ich ziemlich erschreckend. Eine bis anhin unbekannte Sicherheitslücke, welche sich über die Versionen 6, 7 und 8 des Microsoft Internet Explorer und somit über mehr als 8 Jahre erstreckt. Dies ausser wenn auf den neuesten Windows Versionen DEP (Data Execution Prevention) aktiviert ist. Eine reife Leistung einen Programmierfehler, der Remote Code Execution erlaubt, solange unentdeckt im Code mitzuziehen.
- hier ein Blog-Post (“*This posting is provided “AS IS” with no warranties, and confers no rights.”) von Microsoft dazu
- und das Security Advisory von Microsoft noch ohne heute anwendbare Lösungen (da schwitzen wohl ein paar Leute in Redmond)

2) So funktioniert Aurora
Damit man sich die “Mächtigkeit des Hacks” vorstellen kann, ein kleines Filmchen, welches die Übernahme eines PCs zeigt oder für Leser auch eine Text-Erklärung zum “Aurora” IE Exploit.

3) Uns sonst noch?
Ein komplizierter und über weite Strecken langweiliger Bericht mit dem Titel “Capability of the People’s Republic of China to Conduct Cyber Warfare and Computer Network Exploitation” als PDF-Download auf der Behörden-Website USCC (U.S.-China Economic and Security Review Commission). Drin wird das systematische Vorgehen historischer Angriffe seit 1999 beschrieben. So beispielsweise die Tatsache, dass Angriffe so gut geplant sind, dass Dateien selektiv geklaut werden ohne deren Inhalte auf dem Server zu prüfen. Ein Hinweis darauf, dass der Angreifer nicht nur weis was er klaut aber wahrscheinlich den ungefähren Inhalt bereits kennt.

4) Hier der Java-Script Code
Der Angriff ist übrigens ein “normaler” JavaScript Buffer Overflow mit dem eine entfernte Shell geöffnet und damit Code nachgeladen wurde. Eingeschleust wurde der Code über Phishing E-Mails. Hier der Link zu einer Erklärung des “Aurora” IE Exploit und dann noch das Bild des Codes zu Dekoration.

962-aurora-JavaScript-code.png

Lotusphere 2010 – 17.01.

Veröffentlicht am von
961-ls_logo-thumb-500x104-960.jpg

Seit 17 Jahren ist die Lotusphere für IBM Lotus Software Kunden, Partner und Experten die zentrale Veranstaltung der Branche für Collaboration-Software. Hier werden die neuesten Technologien und Entwicklungen vorgestellt und ich habe dieses Jahr die Ehre die namics auf der 18. Lotusphere in Orlando, Fl vertreten zu dürfen.

Heute ist für alle IBM Business Partner der Startschuss mit dem Business Development Day gefallen. Nach einer generellen Opening Session stand zunächst eine so genannte Jump-Start-Session bezüglich JavaScript, JSON, jQuery and AJAX in der Notes Umgebung auf dem Programm. Diese wurde von Scott Good, President von Teamwork Solutions, gehalten und war wie schon zu erwarten an alle Neueinsteiger in diese Thematik gerichtet. Aus rein technischer Sicht für mich persönlich zwar keine grosse Bereicherung, da wir die angesprochenen Technologien schon seit längerem in Kundenprojekten in diesem Kontext einsetzen, dennoch wurden manche Hintergründe schlüssig herangeführt und einige Unklarheiten aus dem Weg geräumt. Daraufhin hielten Andy Pedisich und Rob Axelrod von Technotics einen absolut hervorragenden Vortrag zum Thema SSO, HTTP Authentication, Internet Site Docs, DomCfg, SSL und iNotes Redirect – ja, es heisst nun doch wieder iNotes ;) – welcher sich wie schon vermuten lässt mit der Sicherheit und dem korrekten Konfigurieren von Lotus Domino Servern befasste. Rein informativ wie auch unterhaltsam eine absolute Glanzleistung ganz nach dem “Show’n Tell” Prinzip samt Domino Directory Password Cracker und zahlreicher Learnings für Real-Life Situationen. Nach einem stärkenden “Caribbean Menu” habe ich mich zunächst am Nachmittag an der XPages Session von Tim Clark und Matt White, beide im technischen Schulungsbereich für IBM Business Partner tätig, in welcher eine beispielhafte XPages Application von Grund auf live erstellt wurde, teilgenommen. Viel Wert wurde dabei auf Custom Controls, server-side JavaScript, nicht direkt im Designer verfügbare DOJO Objekte und dem Debugging gelegt. Etwas zu kurz sind leider die weiteren neu ab Release 8.5 verfügbaren Controls wie auch zum Beispiel der Rich-Text Editor gekommen. Als letzte Session für den heutigen Tag viel die Wahl auf den “Using R85 Policies to manage your clients” Vortrag von Darren Duke von Simplified Technology Solutions, welcher erwartungsgemäß sehr umfangreich ausfiel und bestens alle Möglichkeiten von Policies anhand Beispielen aufzeigte, darunter Registration-, Desktop-, Mail- und Security-Policies wie auch welche für Laptop User und automatisierte Archivierung. Abschließend wurde der heute Business Development Day wie immer mit der Welcome Beach Party am Walt Disney Dolphin Resort bei gut 20 Grad am Strand unter Palmen ausgiebig gefeiert.

Present-Future Sketching für effiziente Interface-Optimierung

Veröffentlicht am von

Der Artikel von Jakub Linowski mit dem selben Titel hat mir geholfen einen Namen für mein in Meetings gerne eingesetztes Prinzip zu finden.

Das Setup ist recht einfach – man hat in der Regel schon alles im Sitzungszimmer: Projektor, Flipchart (Rollen bevorzugt) und natürlich Stifte. Ich bevorzuge die Stabilo Woody Serie. Natürlich sollte man auch was zu zeigen haben – und wenn es nur die bestehende Website ist (Present State).

Gerade in agilen Projekten gibt es immer sehr früh etwas zu sehen. Und hier ist die Besprechung des Prototyps im Sitzungszimmer und Skizzen der Verbesserungen direkt ins Projektorbild wesentlich effizienter – man ist nicht die Hälfte der Zeit damit beschäftigt auf jedem leeren Blatt nochmal die Grundelemente nachzuzeichnen, sondern kann sich gleich der Problemstelle widmen:941-present-future-sketching.jpg Nein – nicht auf die Wand malen, sondern das Flipchart ist Bild schieben!

Weitere Vorteile dabei:

  • Jeder sieht sofort um welches  Interface Element, dessen Status und genaue Position man spricht
  • Die Dokumentation des Resultat ist mit einem Foto in Sekundenschnelle gemacht (drum auch die schlechte Qualität des Beispiels – sorry)
  • Trotz Skizzieren bleibt der Hintergrund klickbar – so dass man wichtige Stati und Events (Interesting Moments) nicht vergisst

Present-Future Sketching – weil Englisch – hört sich natürlich gleich mal um Welten griffiger an; die Resultate sind aber aus meiner Erfahrung tatsächlich griffiger und man gelangt sehr effizient zu einer Lösung.

So sieht es übrigens aus, wenn man wie Dorian in Aktion ist: http://www.flickr.com/photos/l-i-n-k/3310592285/ In dem Fall war das Whitebord gleichzeitig die Projektionsfläche…

Wer genug Geld übrig hat kann sich natürlich auch ein Interactive Whiteboard kaufen (Old Skool) – oder eben Microsofts Surface (State-of-the-Art) und eine eigene Anwendung dafür programmieren. Ohne Anwendung müsste man wohl Klarsichtfolie über den Tisch ziehen, damit man die Skizze behalten kann. ;-)

Kartendarstellung von Netflix Vermietungen (ich bin auch ein Zeitungsartikel)

Veröffentlicht am von

Kein Loblied über Karten-Mashups, aber ein bemerkenswerter Artikel bei der New York Times Online: A Peek Into Netflix Queues.

Ich bin kein Journalist und ich masse mir nicht an zu beurteilen, was ein guter Artikel ist. Ich bin aber Kunde von Zeitungen und habe eine Meinung dazu, wie Online richtig bespielt werden muss. Also keine krampfhaften Versuche, das Papierblatt möglichst 1:1 inkl. Displaywerbung online zu bringen (z.B. bei den kostenpflichtigen “ePapern” von Tagi oder NZZ oder Kindle-Ausgaben ohne Bilder) aber Interaktion und Dialog, welche Internet gerecht wird. Zudem finde ich Artikel die zu Denken anregend lobenswert.

Man (resp. die Leute der NYT) nehme die Rangfolgen der Top 50 über Netflix vermieteten Filme im Jahr 2009 und lege diese auf Postleitzahlkreise mit Hilfe einer interkativen Google Map. Und so sieht es aus wenn ein Film v.a. in Minneapolis und nicht in anderen Staaten gemietet wurde (es ist New in Town)…

939-Netflix-Mashup-NewInTown-thumb-500x339-938.png

Und hier zum “Artikel” der New York Times: A Peek Into Netflix Queues

Kalender ZwanzigZehn Online für 365 Tage

Veröffentlicht am von

Dar Namics-Kalender mit 365 Wünschen/Mottos von Mitarbeiterinnen und Mitarbeitern für jeden Tag im Jahr , ist ab sofort auf Flickr mit einem BIld pro Tag: http://www.flickr.com/photos/zwanzigzehn/ (und somit auch als RSS-Feed für iPhone und Co.). So sieht übrigens die Papier-Version davon aus:

Xmas Kalender 2010 - Namics

Die Idee für die Online-Version entsprang dem Abendessen nach Su’s Vortrag “Online Netzwerken: wenn der Dialog öffentlich wird” des Verbandes Frauenunternehmen zusammen mit Nathalie und mir. Danach fingierte es als “Geheimprojekt” und selbst auf Zugfahrten wurde daran gearbeitet ;-)

Als der Kalender dann verschenkt war, kamen auch die konkreteren Anfragen für eine Online-Version, so von Pixelfreund oder von Renato Mitra

Also hier ist er: http://www.flickr.com/photos/zwanzigzehn/ und “das erste Wort” heute hatte André Schmid mit “Anhalten und einen Blick zurückwerfen”

PS: Und bezüglich der Jahresbezeichnung hat uns MG Siegler vorgestern recht gegeben ;-)