Bei heise online ist ein sehr interessanter Hintergrundbericht zur derzeitigen Entwicklung bei der Anti-Terror-Gesetzgebung erschienen. Besonders interessant ist die Auflistung der Datenbanken, aus denen in Zukunft beim BKA Informationen zusammengeführt werden. Aber auch die Linkliste am Ende des Artikels ist ein genaueres Hinsehen wert, beleuchtet sie doch die zeitliche Abfolge sehr gut.

Viel Spaß beim Lesen und ein schönes Wochenende!

Nachtrag: "ads" verschenkt Plüschelefanten - habe ich gehört

Wenn ich in der Schule in meinem Geschichtsbuch gelesen habe, war mir nie klar, warum so viele Gesellschaften "sehenden Auges" zugesehen und -gelassen haben, daß sie sich verändern. Vor allem, wenn es Entwicklungen zum Schlechteren hin waren. Doch mittlerweile bin ich mir nicht mehr so sicher, daß mein damaliges Herabsehen gerechtfertigt war. Mir ist klar geworden, daß ich aus der historischen Distanz und mit gefilterten, aufbereiteten Informationen geurteilt habe. Menschen, die in den Zeiten politischen Umschwungs leben, sind oft die letzten, die die Veränderungen wahrnehmen. Das mag daran liegen, daß moderne Demokratien oft aufreizend langsam arbeiten und Regierungen ihre Ziele deswegen oft - aber nicht unbedingt ungewollt - in einer Art Salami-Taktik erreichen.

Um so wichtiger ist es, daß wir uns wenigstens hin und wieder die Zeit nehmen, innezuhalten und wenigstens versuchen, die Zeit, in der wir leben, zu analysieren. Das größte Problem ist dabei nicht, die Informationen zu finden, sondern sie in einen Context zu bringen. Ich behaupte nicht, daß ich dazu in der Lage bin, doch den Versuch will ich zumindest unternehmen.

Die EU zum Beispiel: Die Verfassung ist endültig gescheitert - was natürlich niemand zugibt. Von dem ehrgeizigen Verfassungsvorschlag bleibt ein Kompromiss übrig, der den mündigen Bürger viel zu sehr an die Gesundheitsreform erinnert. Trotzdem schafft es diese EU, sich mit den USA auf ein Abkommen zur Weitergabe von SWIFT-Daten zu einigen. Da wundert es sich wenig, daß sie sich auch die Waffen aus dem Balkan haben "klauen" lassen. Für uns hier in Deutschland taugt die EU aber wenigstens zum Durchsetzen von biometrischen Personalausweisen. Daß die gegenwärtige Verfahrenspraxis bei den neuen e-Pässen schon zeigt, wie überfordert unser Staat mit derartigen Techniken ist, interessiert dabei ebensowenig wie die Tatsache, daß Deutsche Pässe nicht gerade häufig von Terroristen benutzt werden. Derzeit sehen die Deutschen Politiker wohl im Datenwildwuchs nur Vorteile, ja halten ihn geradezu für lebensnotwendig. Denn, seien wir ehrlich, wie wir am Fall der verlorenen Daten bei der Bundeswehr gesehen haben, ist es nur gut, möglichst viele Sicherungskopien zu haben - wenn nötig, dann auch bei anderen Diensten. Und wenn man da nicht alle Begehrlichkeiten durchsetzen kann, dann warnt man einfach vor der Terrorgefahr. Das glaubt zwar nicht jeder, doch außer ein paar Datenschützern interessiert sowas doch kaum jemanden. Als genialer Schachzug kann sich dabei die Neufassung des Paragraphen 202c des StGB erweisen - es ist ja auch nicht Sinn der Sache, daß die Online-Durchsuchung evt. an sicheren Systemen scheitert.

Und das sind nur ein paar Entwicklungen in der EU und in .de - von Rußland, das sich konsequent und mit absonderlichen Argumenten immer mehr Öl unter den Nagel reißt oder der nach wie vor verworrenen Lage im Irak möchte ich hier gar nichts sagen.

Falls sich die deutsche Industrie übrigens irgendwann mal nicht mehr auf die Staatsanwälte verlassen kann (wir wissen ja, daß diese nur dazu da sind, geistiges Eigentum zu schützen), dann kann sie ja abmahnen. Da kann man nämlich abkassieren - denn daß in der jüngsten Vergangenheit sogar Arbeitnehmer irgendwo ein Mitspracherecht haben, zeigt ja wohl deutlich, wie schlecht es um unsere Wirtschaft bestellt ist. Sowas kann auch keine der großen Parteien ernsthaft wollen, die CDU nicht, die SPD anscheinend auch nicht, wenn, dann nur die Linkspartei - und die hat ja den Verfassungsschutz am Hals.

Ich gebe offen zu, daß ich den Überblick verloren habe. Mir fehlt nicht nur die Sachkenntnis, sondern auch die Zeit, auf dem Laufenden zu bleiben. Fragt sich, ob in 60 Jahren ein Schüler über mich und meine Generation lachen wird - wir hätten es ja kommen sehen können.

In der Schule habe ich damals gelernt: "Ein Start ohne Frühstück ist ein Fehlstart." Meinetwegen:



Die Hemden im Hintergrund werde ich noch bügeln - versprochen

Nachtrag: In der heutigen Folge von "Boston Legal" antwortete James Spader auf die Frage, was er gefrühstückt habe, ein simples "Eier mit Speck." Dem gibt es, so glaube ich zumindest, nichts mehr hinzuzufügen!

Ich habe mich gerade mal bei bbspot.com auf einige Persönlichkeitstests eingelassen. Abgesehen davon, daß mich irgendein Spaßvogel mit permanentem Klingeln des Telefons (und Auflegen, wenn ich rangegangen bin) total durcheinandergebracht hat, habe ich leider keine Entschuldigung dafür, daß ich bei manchen Fragen gar nicht wußte, was die da nun von mir wollten.

Wie auch immer, hier sind die Ergebnisse:


Which File Extension are You?


Which Nigerian spammer are You?


Which OS are You?

Mit dem Spammer und Windows 98 kann ich gut leben - aber die "Wildcard" hat mich schon etwas geschockt. Na ja, "Consulting ho!" und so

DrZak hat vorhin mitgeteilt, daß seine Katze seit einiger Zeit unter paranoiden Wahnvorstellungen leidet. Er sucht deshalb dringend einen "Seelenklempner" für das arme Tier:



Kann ihm hier irgend jemand weiterhelfen?

Gerade habe ich noch voller Interesse den Artikel über die Opfer von Blitzschlägen im dieswöchigen Spiegel gelesen und keine zwei Stunden später erfahre ich, daß der Blitz das Fußballfeld, auf dem meine Schwester gespielt hat, getroffen hat. Drei Leute sind umgekippt, es gab wohl eine kleine Panik. Ich hoffe ernsthaft, daß von den drei Opfern niemand ernsthafte Schäden erleidet.

Bin gespannt, ob dazu morgen was in der Presse steht. Bei solchen (zeitnahen) Zufällen läuft es mir immer kalt den Rücken herunter.

Nachtrag: Der erwähnte Spiegel-Artikel endete, so wie das beim Spiegel nunmal üblich ist, eher humoristisch: Nachdem eine dreiköpfige Familie vom Blitz getroffen wurde, mußte die Tochter ins Krankenhaus. Als sie wieder aufwacht, fragt sie, ob sie nun Superkräfte bekommen würde. Gerade sehe ich in der Serie "Jericho", wie eine Frau nach einem Stromschlag auf dem Boden liegt. Neben ihr steht ein Junge - und was fragt der? Genau, "Hat sie dann Superkräfte?"

Man kann sagen, was man will, aber irgendwas stimmt grundsätzlich nicht mit unserer Jugend.

Nachtrag, 26. Juni: Gleich nach dem Aufstehen habe ich im Radio gehört, daß die drei Studentinnen, die gestern auf dem Gelände des Zentralen Hochschulsports getroffen wurden, wohl schwer verletzt wurden. Eine davon hat Verbrennungen dritten Grades davongetragen und wird in einer Spezialklink behandelt. Außerdem wurden 10 weitere Opfer zur Beobachtung in verschiedene Krankenhäuser eingeliefert. Der Unfall ist umso tragischer, weil die Opfer keine Vorwarnzeit hatten, das Gewitter hatte den Fußballplatz noch gar nicht erreicht. Ich kann gar nicht sagen, wie froh ich bin, daß meiner Schwester nichts passiert ist. Meine Gedanken sind nun bei den anderen Verletzten, hoffentlich erholen sie sich bald.

Wäre mein Name Shaun, das "Maxxwell" hier in München wäre mein "Winchester". In nettem Ambiente, mit freundlichen (!) Bedienungen und leicht zu erreichen, servieren sie dort mit das beste Essen, das man außerhalb "dedizierter Feinschmeckerparadiese" (dieser Audruck stammt von Frank!) bekommen kann. Und die Margaritas sind die besten in ganz München.

Gestern Abend hat es mich also wieder einmal dorthin verschlagen - an meiner Seite eine junge, gutaussehende Studentin mit einem leichten Hang zum Exhibitionismus, die ihr Studium durch Tanzen auf Theken und Boxen finanziert (und mich wahrscheinlich töten wird, wenn sie das hier liest). Aus der Vielzahl der möglichen Themen, die sich aus so einer Situation ergeben könnten, sind wir unter anderem bei Katzen hängen geblieben. Nachdem ich also ausführlich über die Unterschiede zwischen Bauernhofkatzen und Wohnungskatzen aufgeklärt worden bin, hat sie noch von ihren beiden eigenen Katzen geschwärmt. Heute morgen bekam ich die beiden dann (auf einem Photo - mein ja nur!) auch tatsächlich zu sehen und war gleich hin und weg. Gäbe es einen Mr. Universe unter den Katzen, Bobby (der eigentlich ein Kater ist) wäre es:



Mein iPod spielt gerade das Klavierkonzert Op. 54 von Schumann. So kann der Tag zu Ende gehen.

Nachdem ich mir erst vor kurzem wieder anhören mußte, wie kompliziert doch eigentlich QoS in Linux ist, nehme ich das als Herausforderung, das hier und jetzt zu wiederlegen.

Ziel ist es, auf einem Router dafür zu sorgen, daß die Pakete aus einem internen Netzwerk (der Wohnung halt) entsprechend ihrer Wichtigkeit mehr oder weniger Bandbreite erhalten. Für den Anfang seien Sachen wie P2P-Programme mal außen vor gelassen, statt dessen soll ein möglichst genereller Ansatz zum Tragen kommen: Die Pakete werden entprechend ihrer Größe in drei Klassen eingeteilt: Pakete mit weniger als 256 Byte, Pakete mit 257 bis 1024 Bytes und Pakete, die größer als 1024 Bytes sind. Erstere könnten z.B. interaktiver SSH- oder Sprach-Traffic sein, aber auch die ACK-Pakete einer bestehenden TCP-Verbindung fallen darunter. In der zweiten Klasse wird man HTTP-Requests finden, in der dritten Klasse dagegen finden sich vor allem große Dateiübertragungen etc. Die einfachste Methode, das zu realisieren ist, die zur Verfügung stehende Bandbreite zu unterteilen und jeweils einen Teil derselben für die ersten beiden Klassen zu reservieren - wenn kein anderer Verkehr herrscht. Da die größe eines Paketes im Header vermerkt ist, kostet so ein Größenvergleich kaum Rechenleistung.

QoS unter Linux arbeitet vor allem mit drei Elementen: Die sog. "Queueing-Disciplines" geben die Art und Weise an, wie in einer Klasse bzw. auf einem Interface die Warteschlange der Pakete intern gehandhabt wird. Im Folgenden kommen drei verschiedene Qdiscs zum Einsatz: Hierarchical Token Bucket, kurz HTB, weil die Unterteilung in verschiedene Klassen damit am einfachsten zu erreichen ist, weiterhin Stochastical Fair Queueing, das für die Pakete benutzt werden soll, die in die größte der drei Klassen fallen, und zu guter Letzt BFIFO, eine schnelle Implementierung der denkbar einfachsten Art und Weise, Pakete in Warteschlangen zu sortieren.
Das zweite Element sind die Klassen - der Name ist glaube ich selbsterklärend. Man kann einem beliebigen Interface bzw. einer schon vorhandenen Klasse beliebige Unterklassen zuordnen, um den Traffic-Fluß dort weiter zu unterteilen. Das dritte Element sind die Filter, die dazu benutzt werden, Pakete in bestimmte Klassen einzusortieren.
Man sollte nun noch wissen, daß QoS immer dann am zuverlässigsten funktioniert, wenn es ausgehende Pakete beeinflussen soll. Sprich, um die Download-Rate im internen Netzwerk zu beeinflussen, setzt man das QoS am internen Interface des Routers für dort ausgehende Pakete ein - diese spiegelverkehrte Sicht ist am Anfang nicht immer ganz einfach.

Mit diesem Vorwissen ist es recht einfach, sich darum zu kümmern, daß einem der Datei-Upload an einen Bekannten die Leitung nicht mehr verstopft. Sei eth1 das ausgehende Interface des Routers und die zur Verfügung stehende Bandbreite 600kBit/s:

Ohne Kommentar:

Vernunftbegabte Menschen erkennt man u.a. daran, daß man sich mit ihnen streiten kann, daß die Fetzen fliegen, ohne sich nachher für den Rest des Lebens zu hassen. Vorgestern hatte ich im IRC einen heftigen Streit mit formorer, aka Alexander, der unter anderem Mitautor des Buches Spam und Viren bekämpfen ist. Thema unserer heftigen Auseinandersetzung war ein hochgradig trviales Thema: Der Einsatz von DNS-Blacklisten, um Mails, die evt. Spam enthalten, schon beim Empfang abzulehnen. Diese Technik ist weit verbreitet und die Einbindung solcher Listen in Mailserver ist völlig unkompliziert. Der Kernpunkt unserer Diskussion waren die verschiedenen Standpunkte, die aus unseren Tätigkeiten resultierten: Ich selbst habe mit meinen Mailservern eigentlich recht wenig am Hut - einmal eingerichtet laufen sie mehr oder weniger für die Ewigkeit. Das Schlimmste, was mir durch den Einsatz von Blacklisten passieren kann, ist, daß eine Mail von einem eigentlich "unschuldigen" Mailserver fälschlicherweise abgelehnt wird, weil der Server auf einer schwarzen Liste gelandet ist - man spricht von "false positives". Für mich war das bisher kein großes Thema, die Gefahr war mir bewußt, doch durch umfangreiche Whitelists sowie eine wöchentliche Kontrolle der abgelehnten Mails fühlte ich mich eigentlich realtiv sicher.

formorer auf der anderen Seite betreut Kunden von Mietservern und hat immer wieder das Problem, daß diese fälschlicherweise auf schwarzen Listen aufgeführt werden - was für ihn in eine Menge Arbeit ausartet. So ist er mittlerweile zu der Meinung gekommen, daß jede einzelne fälschlicherweise abgelehnte Mail ein schwerer Rückschlag für die Spam-Bekämpfung ist - denn häufen sich diese "false positives", so werden die Verantwortlichen ihre Maßnahmen zur Spambekämpfung irgendwann einstellen und das Medium eMail wird wieder ein kleines bißchen weniger benutzbar. Seiner Meinung nach sollte die Entscheidung, eine Mail endgültig abzulehnen, auf keinen Fall nur auf einer einzelnen Blacklist beruhen. Vielmehr hat er mich überzeugt, daß für das Ablehnen einer Mail eine ganze Reihe von Kriterien ausgewertet werden sollten.

Da dies mit den Bordmitteln von Postfix nicht allzu einfach (wenn überhaupt) zu realisieren ist, habe ich für mich als Lösung den policyd-weight gefunden. Das Programm läßt sich recht einfach in Postfix integrieren und kann eine Vielzahl von Merkmalen bei der Entscheidungsfindung zu Rate ziehen. Für mich selbst - ich habe nie besonders aggressiv gefiltert - war die Rate, mit der der Dämon Mails abgelehnt hätte (ich habe zum Glück zum Testen warn_if_reject benutzt), doch sehr erschreckend. Neben einigen Blacklisten, die ich nicht kenne und die mir nicht wirklich vertrauenswürdig erschienen, hat der Dienst in seiner Default-Konfiguration auch eine Reihe von Tests auf die vom Client übermittelten Angaben gemacht, die mir einfach zu weit gingen. Nachdem ich diese deaktiviert habe, habe ich mich zur Sicherheit nochmal intensiv mit den internen Gewichtungen der einzelnen Tests beschäftigt, bis ich eine Lösung fand, die ich für mich als akkzeptabel betrachtete. Derzeit läuft der Dienst weiterhin im Testbetrieb und bisher sehen die Ergebnisse sehr gut aus - die Rate der abgewiesenen Mails ist zwar deutlich gestiegen, da ich durch ihn wesentlich mehr Kriterien als Test heranziehe als zuvor, durch das Kumulieren der einzelnen Faktoren erscheint mir das ganze jedoch relativ unproblematisch zu sein. Ich werde policyd-weight noch eine Woche lang beobachten und dann, wenn ich zufrieden bin, "scharf schalten".

Das o.g. Buch von Alexander habe ich mir übrigens bestellt. Und auch wenn ich zur Zeit so gut wie gar nicht zum Lesen komme, freue ich mich trotzdem schon darauf. Mails sind ein wunderbares Kommunikationsmittel, und es wäre wirklich schade, wenn man sie eines Tages aufgrund des überhand nehmenden Spamaufkommens nicht mehr benutzen könnte.