KontaktRufen Sie uns an +49 89 993412-0

Fimenbrief 07/2017

19. Jul 2017 RRU

Liebe LeserInnen,

kennen Sie den Begriff „Spear-Fishing"? Oder Wasserloch-Taktik? Das digitale Anglerlatein entwickelt sich rasant, denn beides beschreibt Techniken, mit denen Internetkriminelle Daten abgreifen.

Ersteres bezeichnet vergleichsweise clever verfasste, persönliche Mails an einzelne Mitarbeiter, in denen Trojaner versteckt sind, beispielsweise Bewerbungen. Zweiteres steht für Schadsoftware, die auf Webseiten hinterlegt ist, die von Mitarbeiter häufig genutzt werden. Beide Tricks haben offenbar einen Angriff auf US-amerikanische Atomkraftwerke ermöglicht. Hintergründe über die Ziele der Angriffe sind bislang noch nicht bekannt, gruselig ist aber schon die Tatsache an und für sich.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Spear Fishing, der Behörde zufolge ist „ausgewähltes Spitzenpersonal" aus Wirtschaft und Verwaltung auf der aktuellen Angreiferliste. Ganz aktuell die BSI-Warnung vor dem „CEO Fraud", bei dem gezielt hochrangige Mitarbeiter angeschrieben werden, die dann zunächst plausibel klingende Überweisungen tätigen sollen. Auch der kürzlich bekannt gewordene Angriff mit Ransomware ist laut BSI gefährlicher als bislang bekannt: die in der Wirtschaft verbreitete Buchhaltungssoftware M.E.Doc ist offenbar ein Einfallstor. Für die vermeintliche Bewerbungspost oder andere Phishing-Mails könnten sich die Internet-Gangster unter anderem aus einer halben Milliarde E-Mail-Adressen bedienen, deren Diebstahl das BKA meldet. Ob Ihre E-Mail-Adresse betroffen ist und unter Ihrem Namen Betrugsversuche gestartet werden, können Sie auf der Webseite des Hasso-Plattner-Instituts prüfen.

Passend zum Anglerlatein erklären wir im heutigen Linux-Firmenbrief, warum auch CoreBiz Jäger und Sammler ist, wie Red Hat auch Filialen und Außenstellen in Unternehmen unterstützt und erklären, wie sie potentiell gefährliche Anwendungen im Open-Source-Sandkasten vom Rest der Umgebung abschirmen.

Viel Spaß beim Lesen wünscht

Ihre
Sophie Bulian

CoreBiz hinter den Kulissen: Jäger und Sammler

CoreBiz versteht sich als Integrationsplattform, die wichtige Open-Source-Softwarepakete mit Eigenentwicklungen der LIS AG zu einem runden und praktischen Gesamtsystem kombiniert. Die Basis dafür stellt Ubuntu dar, in dessen Repositories sich ein vielfältiges und breites Angebot an Programmen findet, und das selbst auf Debian basiert. Doch nicht in jedem Fall passt die Software in der vorhandenen Form zu unseren Ansprüchen, und manche wichtige Lösung fehlt komplett. Also müssen wir Pakete anpassen, neu einbinden oder selbst entwickeln - und am Ende steht wieder ein Repository, aus dem sich die installierten Systeme jederzeit Updates holen und weitere Programme installieren können.

Die CoreBiz-Entwickler nutzen für die Integration weiterer Repositories neben dem bewährten, aber in die Tage gekommenen „debmirror" und dem ähnlich angestaubten „apt-archive" ein weiteres Tool, welches als das Schweizer Messer des Debian-Repository-Mangement gilt: „aptly". Das Programm ist besonders dann hilfreich, wenn es darum geht ein externes Repository zu integrieren, das nicht ganz der Norm eines Debian-Mirrors entspricht und beispielsweise nicht in die beiden Grundverzeichnisse „dists" und „pool" aufgeteilt ist. Während Debmirror mit solchen Pools gar nicht arbeiten kann, hat Aptly damit keine Probleme und stellt sie selbst wiederum als ordentliches Debian-Repository zur Verfügung.

Bisher mussten die Entwickler Updates von Paketen, die in solchen Repos liegen, manuell in den eigenen Pool aufnehmen. Hinter den Kulissen jagen die Entwickler also nicht nur nach den besten Lösungen für ihre Anwender - sie optimieren auch ihre eigene Tool-Suite. Schließlich ist das Einsammeln von Updates keine sinnvolle Beschäftigung, wenn ein Tool das auch übernehmen kann.

Red Hat: Open-Source-basierte hyperkonvergente Infrastruktur

Red Hat bringt eine integrierte, Software-definierte Rechen- und Speicherplattform auf den Markt, die sich für den Einsatz in Filialen und Niederlassungen eignet.

Ranga Rangachari, Red Hats Vizepräsident und General Manager, Storage, erklärt die Hintergründe: "Unsere Kunden haben nach einer Lösung gesucht, mit der sie die Infrastrukturanforderungen ihrer gesamten Organisation abdecken können - nicht nur die an ihrem Hauptsitz; proprietäre Lösungen aber schienen lange Zeit die einzige Option für Filialen und Niederlassungen. Mit Red Hat Hyperconverged Infrastructure sind Unternehmen jetzt in der Lage, Server- und Storage-Ressourcen für Außenstellen bereitzustellen und lokale Instanzen von Applikationen mit der gleichen Leistung wie in ihrem Rechenzentrum zu betreiben. Durch die Integration unserer weitverbreiteten Virtualisierungstechnologie mit unserer Software-defined Storage-Plattform profitieren Unternehmen von einer einfachen Beschaffung und Implementierung sowie einem einfachen Betrieb und können damit letztlich Zeit und Geld sparen."

Häufige Problematik an den Außenstellen: es gibt weniger Raum- und Kühlkapazitäten und kaum oder sogar gar keine IT-Mitarbeiter. In dieser Situation benötigen Unternehmen leistungsstarke, auf einem einzigen Server integrierte, skalierbare IT-Services. Red Hat Hyperconverged Infrastructure greift diese Anforderungen durch eine Integration von Rechen- und Speicherkapazitäten auf einem einzigen Server auf und bietet damit eine passende Lösung für Filialen und Niederlassungen. Unternehmen sind mit Red Hat Hyperconverged Infrastructure in der Lage, verteilte Infrastrukturen zentral zu verwalten und Außenstellen können von hochperformanten Systemen profitieren, ohne dass sie dazu ein umfangreiches und hochspezialisiertes IT-Team vor Ort benötigen.

Red Hat Hyperconverged Infrastructure ist die einzige produktionsreife Lösung, die auf einem reinen Open-Source-Infrastruktur-Stack basiert und von einem einzigen Hersteller entwickelt, vertrieben und unterstützt wird. Der Open-Source- und Community-basierte Ansatz hilft, die Herstellerabhängigkeit eines proprietären Ansatzes zu vermeiden. Gleichzeitig profitieren Kunden von der schnelleren Innovation, wie sie die Open-Source-Communities hervorbringen. Durch die Bereitstellung einer hyperkonvergenten Infrastrukturlösung mit Software-definierten Komponenten von einem Hersteller hilft Red Hat Kunden, Probleme bei der Fehlersuche und -vermeidung zu minimieren.

Red Hat Hyperconverged Infrastructure nutzt Red Hats weitverbreitete Virtualisierungsplattform und Software-defined Storage für ein effizientes Management einer integrierten Rechen- und Speicherinfrastruktur für ein breites Spektrum von Servern und Netzwerken.

Red Hat Hyperconverged Infrastructure ist ab sofort verfügbar.
Mehr Informationen finden Sie hier.

Tipps vom LIS-Service: Sandkastenspiele mit Firejail

Das Ausführen von gefährdeten Anwendungen in einer chroot-Umgebung ist unter Linux nicht ungewöhnlich. Das Tool Firejail bietet eine bequeme Möglichkeit, nach dem „Sandkastenprinzip" für eine Vielzahl von Programmen vordefinierte chroot Umgebungen in verschiedenen, bereits erstellten Profilen zu nutzen, ohne dass die installierte Software gefährdet ist. Der Sandkasten ist dabei vergleichbar mit einem geschützten Raum, der von der übrigen Umgebung abgetrennt ist.

Die Liste der Konfigurationsmöglichkeiten ist lang, daher hier nur ein exemplarisches Beispiel:

firejail -privat -dns=213.73.91.35 -netfilter=/etc/firejail/nolocal.net
firefox

Erklärung der Parameter:

  • --privat: untersagt firefox den Zugriff auf das Verzeichnis des Users
  • --dns:übergibt der Sandbox einen vom restlichen System unabhängigen DNS-Server
  • --netfilter: startet die Sandbox mit eigenen iptables Regeln. Auch hier wurden bereits Profile angelegt. Im Beispiel hat Firefox keinen Zugriff auf das interne Netzwerk.


Welche Programme sollten in einer Sandbox laufen? Grundsätzlich alle Programme und Dienste die mit dem Internet oder dem lokalen Netzwerk Daten austauschen. Darüber hinaus solche, die Medien abspielen, wie der mplayer oder auch PDF-Reader etc.

Der Witz zum Schluss

Apropos Bewerbungs-E-Mails: Es gibt ja immer wieder Überlegungen, ob in das Bewerbungsschreiben ein Foto gehört oder ob eher anonymisierte Bewerbungen angebracht sind. Wie sehr man sich von einem Foto täuschen lassen kann, zeigt dieses Beispiel (neben 27 anderen Entwickler-Witzen).