Wer Webserver unter Windows und IIS betreibt, der hat oft auch eine SQL-Datenbank im Köcher. Klar, ASP und .net Anwendungen sind mit diesem Gespann gut ausgeliefert.

In dieser Konstellation kämpft man als Verantwortlicher aber auch unentwegt gegen Versuche der Kompromittierung. Meines Wissens nach steht keine andere Server-Konfiguration zur Zeit (1. Hj. 2008) so unter Injection-Beschuß wie diese.

“DROP TABLE Kunden” – finaler Datenmord.

Injection?

Ich meine die SQL-Injection (WikiPedia). Das ist eine Einbruchsmethode die versucht, dem Server mörderische SQL-Befehle unterzuschieben, in dem sie Eingaben aus WWW-Masken wie Bestell- oder Kontaktformularen manipuliert. Ausgenutzt wird eine Schwachstelle des Systems, die es unerfahrenen Programmierern möglich macht, solche Formulare ohne die Befolgung von Sicherheitsmaßnahmen zu betreiben. Erfolgreiche Einbrüche sind nicht wirklich ein Gottesurteil, eher Folge von Uninformiertheit oder Ignoranz.

Andererseits sind die nötigen Maßnahmen mit ordentlich Aufwand verbunden. Es gibt von Microsoft kein Verhüterchen, das einem ungepflegten (und anfälligen) System einfach übergestülpt werden kann. Es muß eben effizient und sauber codiert werden, Stichwort “parametrisierte Querys”.

“Leg das mal dem Sascha hin, wenn der in den Semesterferien kommt, kann der sich mal drum kümmern.”

SQL-Injections passieren öffentlich, jederzeit nachlesbar in den Logdateien. Wer merkwürdige “SELECT” in den Protokollen sieht oder sich die Mühe macht, nach einem “DECLARE%20@S%20VARCHAR(4000)” Ausschau zu halten und solche findet, der kann quasi live verfolgen, wie sich Bots aus allen Teilen der Welt an seinem Server zu schaffen machen. Ziel ist es, Schadcode in die Datenbanktabellen einzuschleusen, der dann als Bestandteil der Webseite dem nächsten Besucher in der ausgelieferten HTML-Seite untergejubelt wird. Das können zum Beispiel Javascript-Programme sein, die dann direkt weiteren Schadcode auf den Besucher-PC nachladen, in der Hoffnung, der merke es nicht. So ist Ruck-Zuck ein Zombie gebaut, der beispielsweise zum Versenden von SPAM mißbraucht werden kann.

Leider ist aber eben auch schlimmeres denkbar. Manche Kreditkartendaten gelangen auf diesem Wege in die Öffentlichkeit, notwendiges Vertrauen der Kunden wird vernichtet. Wettbewerber können so mit Tiefschlägen unter die Gürtellinie kaltgestellt werden.

Es gibt Tausende von Servern, deren Anwendungen wahrscheinlich nie mehr von ihrem ursprünglichen Anwendungsentwickler angefasst werden. Da sitzt dann der C-Admin (meist also der nebenberuflich arbeitende Webmaster) hilflos vor der Mail des Providers, in der mittels Abschaltdrohung und Wikipedia-Links unmißverständlich zum Handeln aufgefordert wird.

URL-Scan: Schon am Eingang gibts gleich was auf die Finger

Eingeschleust wird valider SQL-Code, meist vollgestopft mit Funktionen und mit einem CAST verschleiert. Der SQL-Admin staunt nicht schlecht, was jenseits der Lehrbücher noch so alles veranstaltet werden kann. Und alles kommt als HTTP-Request direkt über die URL, wird sofort und brav vom Webserver IIS bearbeitet. Das Fiasko nimmt seinen Lauf.

Doch der IIS bietet eine Docking-Buchse. Mit sogenannten ISAPI-Filtern können dem Webserver zusätzliche Programme beigegeben werden, durch die solche Anfragen durchgeschleust werden. Das URL-Scanning wird möglich.

Hier kommt ein Open-Source Projekt ins Spiel. Unter dem Label AQTRONIX haben findige Leute einen Knecht gebaut, der just die ganzen eingehenden Seitenanforderungen analysiert und die guten ins Töpfchen, die schlechten ins Kröpfchen sortiert.

Der “AQTRONIX WebKnight” arbeitet als ISAPI-Filter im IIS. Er wird mit einer XML-Datei konfiguriert und blockt Dutzende von Unregelmäßigkeiten, unter anderem auch sehr effizient die SQL-Injections. Aber auch mit Such-Robots, Content-Spidern und schlicht idiotischen Zugriffen kennt er sich aus. Er schließt Verzeichnisse, unterbindet unzulässige Zugriffe auf verschiedenste Dateitypen, prüft Referer, schließt tückische Browser aus und vieles mehr.

Klar, vieles davon (vielleicht auch alles?) kann man auch mit Bordmitteln des Server-Windows erschlagen. Doch sind wir ehrlich, die meisten bei Providern gehosteten Windows-Server werden von Menschen administriert, die die meiste Zeit darauf verwendet haben, Preise verschiedener Anbieter miteinander zu vergleichen. Einen Lehrgang für Serveradministration haben die nicht besucht.Für Sascha braucht es also ein Taschenmesser mit Schweizer Qualitäten. Und der Knecht schafft zumindest zusätzliche Sicherheit.

Dennoch die Warnung: Liebe Kunden, bezahlt Euren Admins bitte das Sicherheitstraining. Ihr werdet es nicht bereuen.

Das Neue denken.

Das Andere probieren.

–> Flexible Haut für ein Auto.

Dieses Theorem löste eine Kaskade von Fragen aus. Was soll eine Karosserieoberfläche leisten? Muß eine Autohaut aus Blech sein? Wofür braucht es dieses Material eigentlich? Kann man Steifigkeit, kann man Crash-Sicherheit auch anders erzielen? Und lassen sich vielleicht die Probleme mit dem Luftwiderstand lösen, wenn man sich von dieser alten Technik löst? Wird Energie eingespart werden? Wird es Vereinfachungen in der Produktion geben können? Und kann man dann vielleicht Dinge mit dem Auto machen, die heute nicht mal gedacht werden können?

GINA ist ein Prototyp und zunächst nichts als ein wunderbares Konzept.

Aber es ist auch eine geistige Spielwiese. BMWs Designer fühlen sich herausgefordert. Sie werden zum Denken animiert. Sie beginnen, dem Konzept “Auto” völlig Neues zu entnehmen, Potenziale zu entreißen, die man in solch einer ausgereiften Technik nicht mehr für möglich gehalten hätte.

Flexibel denken, flexibel Handeln. Kontext vor Dogma. Das ist die Philosophie von Chris Bangle und seinem Team beim BMW-Design.

Faszinierend. Begeisternd: GINA im BMW-TV

via Yanko Design

Und daß dieser Berliner Kiez auch nicht in jenes exemplarische Negativmuster abgleitet, dafür will Heinz Buschkowsky sorgen.

Mit Hinschauen und mit “Gefühl und Härte, mit Prävention und Repression” will der Bürgermeister seinen Bezirk vor dem Schicksal der Vorstädte in Rotterdam und London bewahren. “Die Rotterdamer haben gesagt: Wir haben unseren Pim Fortuyn gelernt” berichtet er in einem Interview des Tagesspiegels.

Neukölln hat in der Tat ein Problem. Nicht, daß der Bezirk mit seinen etwas mehr als 300.000 Einwohnern (zum Vergleich: Augsburg hat fünfzigtausend Einwohner weniger) unregierbar wäre, aber sein Außenimage scheint mir eine Menge Verbesserungspotenzial zu bergen – um es mal positiv auszudrücken. Hohe Arbeitslosigkeit, schlechte Bildung, eine große Zahl jugendlicher Schulabbrecher scheinen die Ursache zu sein. Dazu kommt die soziale Verwahrlosung ganzer Straßenzüge.

Das Abgleiten muß verhindert werden, lautet die Schlußfolgerung der für den Bezirk Verantwortlichen.

Und überbracht wird die Botschaft von den – Sozialdemokraten. Heinz Buschkowsky ist jener SPD-Bürgermeister, der, bundesweit als erster, Wachleute für Schulen engagiert hatte. Und die Neuköllner SPD geht noch weiter: “Geht das Kind nicht zur Schule, dann kommt das Kindergeld nicht aufs Konto” lautet eine der Thesen, die den Mitgliedern vorgeschlagen werden sollen.

Urbane Probleme lösen sich nicht mit wegschauen und kleindiskutieren. Das haben die bodenständigen Bezirkspolitiker erkannt. Fast schon in Law-and-Order-Manier schreiten sie zur Tat und bedienen sich alter Konzepte der von ihnen so geschmähten “Bürgerlichen”.

Und damit ecken sie an.

Sie nerven nämlich ihre eigene Fraktion im Abgeordnetenhaus, Stadt- (quasi) und Landesregierung ein und derselben Partei sind unterschiedlicher Meinung. Der Landes-SPD paßt Buschkowskys Kurs anscheinend gar nicht, zu sehr legt er wohl den Finger in die Wunde. Sie versteigt sich gar mit den Worten des parlamentarischen Geschäftsführers Gaebler zur Vermutung, Buschkowsky ginge es mehr um persönliche Eitelkeiten. Und man mache keine „Symbolpolitik“ wie die FDP.

Buschkowsky: “Es gibt nun mal Leute, die man mit Wattebauschpusten nicht mehr einfängt.” Und weiter: “Wegtauchen ist schwach. Das ist Angstbeißen.”

Grade erst ist Thilo “mein persönlicher Mindestlohn liegt bei 5 Euro” Sarrazin wieder eingefangen worden. Jetzt steht wieder ein Protagonist auf der Rampe im Licht. Auf diese Auseinandersetzung in der SPD bin ich gespannt.

Burkhard Schneider bemängelt heute in einem Stück über den Sedgeway Segway und seinen – angesichts der Ölkrise nicht wirklich überraschenden – Erfolg in den USA , daß wir in Deutschland viel zu sehr produktorientiert denken. Just der Verkehr könne nur revolutioniert werden, wenn wir Prozessinnovationen entwickelten und mehrere Lösungsangebote miteinander kombinierten: Morgens mit dem Segway zum Bahnhof rollen, ihn in der S-Bahn eindocken und dann am Ziel weiter zur Arbeit und da an die Steckdose.

Ich glaube, genau im Prozessdenken liegen einerseits die Krux und andererseits das Heil.

Die Krux besteht darin, daß es zum Prozeßdenken auch das Netzdenken braucht. Und in der Schule habe ich das nicht gelernt. Ich erinnere mich, welche Aufwände es zu bewältigen galt, bis man fachübergreifende Projekte initiieren konnte.

Nicht, daß ich glaube, daß den Innovatoren das abgehen würde. Aber wenn wir vom Verkehr reden, dann müssen wir von öffentlichen Auftraggebern und der Legislative reden, von der Politik und der Verwaltung. Und dann konstatiere ich – aus meinem engen Blickwinkel – daß es an dieser Stelle Defizite gibt. Undenkbar ist es, daß Zugabteile mit Dockings für die Roller eingerichtet würden. Undenkbar auch, daß – mangels Fahrstühle am Bahnsteig – das selbständige Fahren auf der Treppe erlaubt würde (dauernd tönt ja schon “Det Farrad schiebn hab ick jesaat! Könnse nich höan?”). Sarkastisch kann ich immerhin feststellen, daß es in Berlin gemeinsame Fahrausweise für S-Bahn (Deutsche Bahn) und U-Bahn (Berliner Verkehrsbetriebe) gibt. Aber schon bei den Fahrplänen hört das vernetzte Denken auf.

Sozusagen “heilsversprechend” ist aber wirklich das Potenzial in den Prozesslösungen, da stimme ich Burkhard gerne zu. Wir leben – abgedroschen, ich weiß – im Zeitalter der Globalisierung. Globale Motive, globales denken, globales Handeln, da werden wir mit vielfältigst integrierten Prozessen von außen konfrontiert. Unsere Exportwirtschaft hat sich eingestellt aber unsere Gesellschaft nicht. Sicher bin ich, daß jeder an mindestens allen Fingern zweier Hände Beispiele festmachen kann, wo die rechte nicht weiß, was die linke tut.

Ihr kennt solche Beispiele?