Grooveshark in Germany: How to get back in

The other day, grooveshark decided to lock out german users. Here’s how chrome users can enjoy their music again: Simply install the plugin at https://chrome.google.com/webstore/detail/docdgimmdejoiemdafcgeodchlbllgac and you should be good for now (even the plugin’s “details” page says “it’s a quick hack”.)

Fedora 15 and Chrome

Fedora vs. Chrome, Round 1: Getting the damn thing to work

Since I started to use Fedora 15 last thursday, I noticed some problems with Fedora and Google Chrome that seem to occur especially when browsing social networking sites like Facebook and Twitter and many others. The problem was not that difficult to locate, and the solution is fairly simple, but I thought it might be helpful for beginners.

The root of the problem is a little beef SELinux seems to have with Chrome’s Sandboxing-mode and a few add-ons. There are a few workarounds, among them:

• Uninstall SELinux:  Would not recommend, for personal paranoia alone.
• Set SELinux’s “permissive” mode: Possible and okay, do it with “setenforce 0″ (as root, of course!)
• Configure SELinux to start in “permissive” mode: Best solution for desktop machines.

Now, let’s take a close look at the steps necessary. I do not assume you have much experience with vi or emacs, so I’ll just use gedit.

1. Login as root.
2. open a terminal and type “gedit /etc/selinux/config”
3. edit the file so that the first line that doesn’t start with a # symbol says “SELINUX=permissive” (without the quotes, of course)
4. Save the file.
5. reboot your computer

Fedora vs. Chrome, Round 2: Oracle Java and Chrome

So, for some purpose you need the original, proprietaty implementation of Java? We’ll take care of that, too. (I’ll assume you have installed Oracle Java).

1. Login as root.
2. open a terminal
3. type “mkdir /opt/google/chrome/plugins” (again without the quotes) and press Enter.
4. type “ln -s /usr/java/latest/lib/i386/libj2pcsc.so /opt/google/chrome/plugins“ (again without the quotes) and press Enter.
5. Restart Chrome

Gut gemeint

Das Gegenteil von “gut” ist bekanntlich nicht “schlecht”, sondern “gut gemeint”. Facebook-Nutzer, die das “neue Profil” (September 2011) schon haben, kennen das vermutlich: In letzter Zeit waren einige Posts unterwegs, die den den Leser dazu bewegen wollten, die “Subscription” von Likes und Comments des Urhebers abzuschalten, um eben diesem mehr Datenschutz zu garantieren (Sinngemäß aus der Copy-Pasta zitiert: “[...] sonst werden alle meine Likes und kommentare für das ganze Facebook öffentlich!”). Natürlich war es ein Hoax – aber ein guter.

Was-Wäre-Wenn
Das in der Copypasta beschriebene Verhalten führt dazu, dass Likes und Kommentare nicht mehr in der Timeline des Users erscheinen. Sonst passiert aber auch wirklich nichts. Zumindest war das im Original so – eine bösartige Abwandlung bestand darin, in diesem Zuge auch gleich die Facebook-Freundschaft zu kündigen.

Cui Bono?
Die Copypasta nützt erstmal nichts, schadet aber auch nicht groß, denn wenn einer deiner Freunde dir ein Produkt oder eine Seite empfehlen möchte, dann wird er das sicherlich auch über andere Kanäle tun. Doch den Urheber dieses Scherzes hat vielleicht mehr angetrieben als die Lust daran, Zigtausende (grobe Schätzung) von Facebook-Nutzern zu verwirren.
Einerseits schafft diese Aktion Bewusstsein für Datenschutz, andererseits motiviert sie vielleicht den ein oder anderen dazu, seine Privacy Settings zu überarbeiten oder zumindest anzusehen.
Andererseits ist sie ein Lehrstück über Vertrauen in der digitalen Welt – Wenn jemand dein Facebook-Freund ist, ist er noch lange nicht vertrauenswürdig. Es lohnt sich also, nach der Quelle einer Information zu suchen, wenn man sich nicht sicher ist – und so einfach die neuen Datenschutzeinstellungen bei Facebook sind, so ungewohnt sind sie für viele User. Ein abschließender Tip für alle Betroffenen:

“Lest das verdammte Handbuch!”

Social Networking Security, revisited

Da sich die Vorkommnisse von gehackten Accounts und gestohlenen Passwörten gerade wieder zu häufen scheinen, möchte ich – nachdem ich auf meinen allgemein gehaltenen Artikel über Passworte und Sicherheit verwiesen habe – auf die Sicherheit in sozialen Netzweken eingehen.

Allgemein gelten im Umgang mit social networks dieselben Regeln wie im restlichen Internet: Man sollte aufpassen, wo man hinklickt.

Meistens fängt es damit an, dass irgendjemand auf deiner Freundesliste ein Video “liked”. Der entsprechende Eintrag sieht zunächst nur so aus, als wäre es ein Video, das von youtbe oder anderen seriösen Seiten eingebunden wurde. Dahinter versteckt sich zumeist ein kleines Stück Software, das den “Like”-Button durch einen vermeintlichen “Play”-Knopf verdeckt. Dadurch hat man selbst eine bestimmte Seite ge-”liked” und der Eintrag zeigt sich bei allen deinen Freunden im “News Feed”.

Beispiel 1: So sieht "Likejacking" aus.

Eine andere Art störender “Malware” auf Facebook sind Bots, die sich durch Raten das Passwort eines Nutzers erschleichen. Allerdings werden nicht bei einem Account verschiedene Passwörter ausprobiert, wie bei einer “normalen” Brute-Force-Attacke, vielmehr wird ein Passwort bei vielen Nutzern durchprobiert. Dieser Angriff ist sehr leicht auszuführen, da Facebook standardmäßig Daten eines Benutzers öffentlich und maschinenlesbar zur Verfügung stellt. Das macht es natürlich leicht, anhand einer pro Account eindeutigen Nummer Benutzerprofile mit eingegebenen E-Mail-Adressen zu sammeln und über diesen in gewissen Zeitabständen verschiedene Passwörter zu testen. So kommen Spammer an Benutzerprofile von gut eingebundenen Accounts (besonders interessant für die Verbreitung von Werbebotschaften).

Hinzu kommt, dass der Benutzer anfängt, über den Facebook-Chat Nachrichten zu verschicken, die eine Technik, ähnlich dem eben erwähnten “Likejacking” verwenden und so die Freundesliste des Opfers abgrasen können.

Beispiel 2: Der Benutzer wirbt für Diätpillen - klassisches Spambot-Opfer

Daneben gibt es immer noch die Möglichkeit, in Internet-Cafes und anderen öffentlichen Netzen unverschlüsselte Sessions zu stehlen oder gar Benutzerdaten mitzuhören. Ein weiterer Klassiker sind Trojaner, die auf vielfältige Weise an das Passwort des Nutzers kommen können. Darauf möchte ich aber nicht näher eingehen, sondern direkt zum nützlichsten Punkt des Artikels kommen:

Wie kann ich mich schützen?

Da gibt es eine Menge Dinge, die man tun kann.

• Möglichst wenige Details als “öffentlich einsehbar” markieren. (im Speziellen die E-Mail-Adresse)
• Ein sicheres Passwort wählen
• Das Passwort regelmäßig ändern
• Login auf HTTPS umstellen und gelegentlich checken, wer angemeldet war (das geht hier unter “Account Security”)
• Videos nur bei bekannten Videoportalen ansehen. Das sind zum Beispiel: Youtube, Vimeo, myvideo, Clipfish, …

Meine Freunde beschweren sich, dass ich dauernd Spam verschicke, was soll ich tun?

Auf jeden Fall erst mal:

• Passwort ändern.

Das sollte den Spuk fürs Erste beenden. Falls du das Passwort für andere Accounts, die irgendwie mit deinem Facebook-Account verlinkt oder sonstwie verbunden sind benutzt, ändere es da auch.

Danach kannst du zur Schadensbegrenzung übergehen. Teile deinen Freunden mit, dass auch sie ihr Passwort ändern sollten.

Der Kerl da verschickt dauernd Mist, und wenn ich ihn im Chat anschreibe, geht er Offline!

Sauerei. Auch er oder sie oder es ist wahrscheinlich Opfer eines Spambots. Kontaktiere ihn über einen anderen Kanal als Facebook oder schreibe nicht infizierten Freunden, sie sollen ihn auf das Problem aufmerksam machen.

So ‘ne Scheiße mit der Scheiße hier! Das gehört verboten!

Sehe ich auch so. [ironie] Aber naja, ohne diese tollen Apps wäre Facebook wahrscheinlich nur halb so toll [/ironie]

VMWare Server Console Facepalm

Ich weiß nicht, welche Drogen involviert waren, als VMWare beschlossen hat, die überaus nützliche VMWare Server Console in der aktuellen Produktlinie 2.0 durch ein absolut unbenutzbares Web-Interface zu ersetzen. Meine Meinung ist jedoch, dass es kein guter Stoff war, der da Anwendung fand.

Natürlich kann man über Sinn und Unsinn dieser Aktion streiten, und eigentlich würde es mich nicht einmal interessieren, wäre da nicht die Tatsache, dass das VMWare Console Plugin nicht funktioniert. Es scheint so, als sei der einfachste Weg, auf seine Guests zugreifen zu können, das VMWare Plugin direkt zu starten.

Das funktioniert folgendermaßen (Ich schreibe hier für Windows 7 als Client-Betriebssystem mit Firefox 3.6).

1. Das betreffende Plugin installieren

Öffne das Web-Interface deines VMWare Servers, starte einen beliebigen Gast und klicke auf “Console”. Befolge die Anweisungen auf dem Bildschirm.

2. Das Plugin lokalisieren

Navigiere zu
%appdata%\Mozilla\Firefox\[xxxxxxxxx].default\extensions\VMWareVMRC@vmware.com\

3. Die Datei aufrufen

Von diesem Pfad aus kann man die Datei vmware-vmrc.exe aufrufen. Sie benötigt folgende Parameter:

• -h hostname:port (Selbserklärend. Achtung: Port 8333 verwenden, sonst Ungemach)
• -u username (Optional, selbsterklärend)
• -p password (Optional, selbsterklärend)
• Pfad zur .vmx des Gastes. (Liegt mein Gast namens “test.vmx” im Ordner “test” auf dem Datastore “[standard]“, heißt der entsprechende Pfad also – inclusive der Anführungszeichen: “[standard] test/test.vmx”)

Das Ganze schreit eigentlich genau genommen nach einer Automatisierung durch ein Programm, allerdings braucht das Mehr Zeit, als ich momentan habe

Der geneigte Leser muss daher erstmal mit dieser Beschreibung auskommen.

IT-Sicherheit für Nicht-Nerds

Selbst wenn man nicht paranoid ist, heißt das nicht, dass sie nicht hinter einem her sind. Ganz in diesem Sinne hier ein paar “Goldene Regeln” im Umgang mit Passwörtern. Ganz besonders zu beachten sind diese in Single-Sign-On Umgebungen wie zum Beispiel den meisten Unis und mittelgroßen Firmen.

Also, legen wir los.

1. Wähle ein gutes Passwort

Ihr kennt den Text: Mindestens 8 Buchstaben, Groß- und Kleinschreibung gemischt, möglichst viele Sonderzeichen, keine Dinge, die im Wörterbuch stehen. Das wäre technisch gesehen ein ideales Passwort, nur kann es sich kein Mensch merken.

Einige Dinge kannst du allerdings tun, um dein Passwort so zu gestalten, dass du es dir merken kannst, aber es trotzdem schwer zu erraten ist. Entferne zum Beispiel alle Vokale aus einem Begriff oder verwende Buchstaben abwechselnd mit Zahlen.

Der Phantasie sind hier keine Grenzen gesetzt. Sei kreativ!

2. Verschiedene Dienste = Verschiedene Passwörter

Natürlich ist es schwer genug, sich ein sicheres Passwort zu merken. Und da der Mensch leider oftmals den Weg des geringsten Widerstandes geht (sprich: faul ist), ist die Unsitte, für E-Mail-Postfach, Rechenzentrum, soziale Netzwerke usw. dasselbe Passwort zu benutzen extrem weit verbreitet. Der entscheidende Nachteil ist hier: Wird durch eine Sicherheitslücke oder einen dummen Zufall dein Passwort für EINEN Dienst bekannt, kann ein eventueller Angreifer sich bei allen weiteren Diensten mit deiner Kennung einloggen und Nachrichten an deine Freunde oder Arbeitskollegen verschicken, dich zu schweren Mathe-Klausuren anmelden oder sich im schlimmsten Fall (bei Paypal, zum Beispiel) Geld überweisen. Das ist natürlich ein Sicherheitsrisiko, das man vermeiden kann.

Sinnvoll ist es zum Beispiel, fortlaufende Nummerierungen in dein Grundpasswort einzuflechten. Würde mein Grundpasswort zum Beispiel “dmmsBspl” (“dummes Beispiel” ohne Vokale und Worttrennung), könnte mein 23stes fortlaufend nummeriertes Passwort “dmmes23Bsspl” heißen.

Nachteil ist wieder: Du musst dir merken: Welcher Dienst hat welche Nummer im Passwort? Ein Angreifer hat es in dem Fall, dass eins deiner Passwörter bekannt wird, immer noch zu leicht. Warum? Er muss nur eine bestimmte Zahl von Zahlen ausprobieren, um dein Passwort für einen anderen Dienst zu finden.

Eine letzte Alternative ist, den Namen des Dienstes, für den du ein Passwort erzeugen möchtest, auf möglichst kreative Weise mit einzuflechten. Kreativ ist gut, denn kreativ bedeutet, dass die Chance, durch Zufall zum selben Ergebnis zu kommen, relativ gering ist.

WICHTIG: Es reicht nicht, zum Beispiel ein “twitter” oder “facebook” an dein einfaches Passort anzuhängen. Ein schlechtes Passwort lässt sich also durch solche Maßnahmen nicht aufwerten.

3. Keine zu erratenden Passwörter

An der Uni weiß niemand, wann dein Freund / deine Freundin Geburtstag hat. Natürlich nicht, denn es interessiert niemanden, solange du diese Information nicht als Passwort benutzt. Gerade durch soziale Netze, in denen bewusst und unbewusst mit persönlichen Daten um sich geworfen wird, kann ein potenzieller Angreifer viel über dich erfahren. Also: Keine Namen, Daten und Zahlen, die offensichtlich mit dir selbst zu tun haben.

Soviel dazu, wie du dein Passwort generierst. Die nächsten Abschnitte sollen dir zeigen, wie du dein Passwort geheimhältst.

4. Offensichtliche Risiken ausschließen!

Gib dein Passwort an niemanden weiter. Wenn jemand für kurze Zeit Zugriff auf deine Daten und/oder deinen Account braucht, ändere es vorher und gehe sicher, dass du der Person vertrauen kannst.

Schreibe dein Passwort nirgendwo auf. Du würdest die PIN deiner EC-Karte auch nicht im Geldbeutel haben wollen, oder?

Gib niemals Passwörter per Mail weiter. E-Mails haben zum Teil sehr abenteuerliche Wege durch das Internet, und an jeder Stelle können sie theoretisch gespeichert und gelesen werden.

5. Misstraue öffentlichen Netzen.

Wenn immer du dich in ein offenes Netzwerk einlogst, zum Beispiel an der Uni oder in Cafés, an Bahnhöfen, Flughäfen usw. solltest du sicher sein, dass dein gesamter Datenverkehr verschlüsselt ist. Ob deine Informationen verschlüsselt über die Leitung gehen, erkennst du daran, ob dein Browser ein geschlossenes Vorhängeschloss zeigt.

Gerade wenn du in offenen Netzen surfst, solltest du Zertifikatsfehler und sonstige Sicherheitswarnungen in deinem Browser auf keinen Fall ignorieren. Falls du einen E-Mail-Client wie Outlook oder Thunderbird verwendest, achte darauf, dass sämtlicher Datenverkehr verschlüsselt über die Leitung oder das Funknetzwerk läuft. Standardmäßig ist dies meist nicht der Fall.

Solltest du daher Zweifel haben, ob du deine E-Mails und Daten verschlüsselt überträgst, frage beim IT-Beauftragten deines Freundeskreises oder deinem Vertrauensnerd nach. Es ist wichtig.

6. Allgemeine Datenhygiene

Achte darauf, dass jeder Dienst nur so viele Informationen bekommt, wie er braucht. Die Kombination aus verschiedenen persönlichen Daten kann sehr aufschlussreich sein.

Wickle außerdem wirklich wichtige Dinge nur per Telefon bzw. im persönlichen Gespräch ab. Oftmals ist es einfacher, auf diese Weise die nötigen Sicherheitsstandards unbewusst einzuhalten.

7. Verschlüssele!

Der Irrglaube, dass IT-Sicherheit Geld kostet, ist leider immer noch weit verbreitet. Es gibt Möglichkeiten, an nicht zu brechende Verschlüsselung zu kommen, ohne einen Cent dafür auszugeben. Das Nötige Rüstzeug dafür bringen alle gängigen E-Mail Clients schon mit, es muss nur noch aktiviert werden.

Denkbar einfach und kostenlos kann man mit StartSSL zu einem S/MIME-Zertifikat kommen, wer allerdings längerfristig vernünftige Verschlüsselung für den E-Mail-Verkehr im Freundeskreis will, braucht, kann sich CACert anschauen.

Ich hoffe, dieser kurze Abriss hat einigen von euch Aha-Erlebnisse verschafft und hält euch dazu an, auf eure Daten und Passwörter aufzupassen.

toggl.com – kostenloses Timetracking im Browser

Ganz kurz, zwischen zwei Tasks möchte ich meiner geneigten Leserschaft kurz ein Tool vorstellen, das sich meiner Meinung nach sehr gut dafür eignet, die eigene Arbeitszeit zu erfassen.

Es geht um toggl, ein webbasiertes Timetracking-tool, das in gewohnter Ajax/Web-2.0-Manier komplett im Browser abläuft. Der Clou: Man muss das Browserfenster nicht unbedingt offen haben, um zu “togglen”, man kann auch zum ein- und ausbuchen jeweils die Seite aufrufen. Schöne Auswertungen und Statistiken runden das Ganze ab.

Freiberufler sollten sich die Pro-Version für 5 USD im Monat genauer anschauen, es könnte sich unter Umständen lohnen, denn die bringt auch eine eingebaute Billing-Funktion mit.

Integrating LEDA with Eclipse Helios

Für die Vorlesung Informatik 3 bei Prof. Hagerup bzw. zum Nachvollziehen der Programmierbeispiele wird neben einem C++ Compiler auch die kommerzielle Bibliothek LEDA benötigt.

Da sich deren Installation alles andere als “automagic” gestaltet, möchte ich hier ein paar Menschen, die ebenfalls Linux benutzen, einiges an Zeit sparen:

 

Schritt 1) LEDA besorgen, entpacken und an ins Zielverzeichnis kopieren.

$> tar -xzvf LEDA-*.tar.gz
$> mv LEDA-* /opt/leda

Beide Aktionen sollten als root durchgeführt werden.

 

Schritt 2) Die Umgebungsvariable LEDAROOT

$> LEDAROOT=/opt/leda
$> export LEDAROOT

Dieser Schritt muss nach jedem Neustart des Rechners neu ausgeführt werden. Daher bietet sich die Integration in eine init.rc an.

 

Schritt 3) LEDA als shared library.

$> cd /opt/leda
$> make shared

Nun fügen wir unseren LEDA-Pfad zu den “trusted libraries” des tools ldconfig hinzu. Dazu editieren wir die Datei ld.so.conf und fügen einfach eine Zeile /opt/leda ein.

Abschließend führen wir ldconfig aus, um den ld.so cache neu zu bauen.

Die Installation von LEDA ist nun abgeschlossen, folgt die Integration in ein *FUNKTIONIERENDES* Eclipse mit CDT.

 

Schritt 4) Integration in Eclipse.

Als erstes legen wir ein C++-Projekt in Eclipse mit einer Quelltextdatei an. Um sicherzugehen, dass der Editor ebendieser Quelltextdatei den Fokus hat, klicken wir sicherheitshalber in eben diesen Editor und gelangen mit “Project->Preferences” ins Projektmenü. Unter “C/C++ Build” finden wir den Eintrag “Settings”.

Hier müssen wir bei “GCC C Compiler” unter “Includes” den Pfad “/opt/leda/incl” hinterlegen, der “GCC C Linker” braucht mehrere Optionen. Bei “Libraries” sollte man als Library Search Path “/opt/leda” angeben und folgende Libraries zusätzlich einbinden: leda, X11 und m. Die Groß- und Kleinschreibung ist zu beachten!

5 Tools, die beim Studium Helfen

Nun, da das Wintersemester schon wieder fast eine Woche läuft, möchte ich einen kurzen Überblick über einige sehr praktische Tools geben, die mir den Studienalltag nach wie vor erleichtern:

Dropbox
Hausaugaben jeweils im aktuellen Bearbeitungsstand immer am Mann haben, ohne einen USB-Stick, den man vergessen könnte oder der kaputt gehen könnte, so ungefähr kann man sich den Cloud-Service “Dropbox” vorstellen. Die Funktionsweise ist recht simpel: Ein Ordner auf der Festplatte, der in die Cloud gespiegelt wird, wenn immer man die Chance dazu hat. Natürlich kann man im Notfall auch über ein Web-Interface auf seine Daten zugreifen. Misstrauische Kollegen können auf die Open Source Lösung “Ubuntu one” zurückgreifen, für diese existiert allerdings kein nativer Windows-Client.

TeX, LaTeX, und Lyx
Wenn man mit einfachsten Mitteln ordentlich formatierte Dokumente, im schlimmsten Fall mit sehr komplizierten mathematischen Formeln erstellen möchte, kein Problem. Die Lösung dafür heißt “LaTex”. Das “benutzerfreundliche” Frontend dafür heißt Lyx, ist etwas gewöhnungsbedürftig, aber durchaus sehr schnell zu erlernden, wenn man die mitgelieferte Dokumentation betrachtet.

UpdateScanner
Als Add-On für den populären Webbrowser Firefox geschrieben, kann man mit dem Update Scanner alle Änderungen an den Webseiten seiner Vorlesungen im Blick halten. Das nützt zum Beispiel, wenn man über neu erschienene Übungsblätter und/oder wichtige Termine informiert sein will.

IMAP-Emails
Ist man kein Fan von Web-Interfaces oder ist auf Features wie S/MIME Zertifikate angewiesen, die kein Webmailer freiwillig unterstützt, wird man von den großen Free-Mail Anbietern oft im Regen stehen gelassen, wenn es um die Verfügbarkeit seiner Mails im Netz geht.
Die Lösung ist jedoch einfacher als man denkt: Im Web-Interface der E-Mail Adresse eine Weiterleitung an einen “googlemail”-Adresse einrichten, und schon ist das 8 GB große Mailarchiv eingerichtet.
Übrigens kann man auch bei Google Mail neue Absenderadressen einrichten, sodass man auch vom Googlemail-Webinterface aus Nachrichten mit seiner E-Mail-Adresse verschicken kann.

Benutzt man jedoch mehrere Rechner UND ist ab und an auf Webmails angewiesen, empfiehlt sich die Einrichtung eines Accounts bei einem IMAP-fähien Mailserver. Der Vertrauensnerd hilft hier sicher gerne weiter.

Grooveshark
In einer rechtlichen Grauzone lebt er, der Cloud-Service, ohne den ich inzwischen nicht mehr leben könnte. Statt seiner externen Festplatte braucht man nur noch eine Internetverbindung, um so ziemlich alle Songs zu streamen, die es gibt (und dem DMCA noch nicht zum Opfer gefallen sind). Funktioniert auf jedem Rechner mit Browser und Soundkarte, ohne Installation.

Speziell den Erstis wünsche ich viel Spaß und gute Nerven, was dann zusammen mit einer andaurnden Motivation sicher zu ersten Erfolgserlebnissen an der Uni und im “real life” führt.

Resetting root password Linux

Forgetting one’s root password is usually a big deal. Not if you have hardware access to the machine.

1.) Boot a live CD or Image.
2.)Mount the root partition to e.g /media/depp
3.)chroot /media/depp

4.)passwd
5.)Enter your new password twice
6.)Reboot the machine with its original OS

That should do the trick. You can of course plug the hard disk into another computer. But overall, this quick fix only works if the target drive is not encrypted.