Hessenschau down – aber dafür geschwätzig

Ich nutze sehr gerne die Webseiten vom Hessischen Rundfunk, aber gerade ist die Seite der Hessenschau down gewesen. Entweder weil sie „under Fire“ von Hackern steht oder – was ich eher vermute – weil es einen Crash des Servers oder einem Programm auf dem Server gab. Kann passieren, aber in dem Fall sollten Besuchern nicht so viel Informationen über den internen Aufbau der Web-Architektur geben werden.

Denn diese Infos sind für Hacker Gold wert. „Hessenschau down – aber dafür geschwätzig“ weiterlesen

Log4shell oder warum angeblich das Internet brennt

Die Medien berichten mal wieder über einen Hacker-Angriff. Oder genauer – eine Schwachstelle in Log4J, über die wohl im Moment ziemlich viele Angriffe auf Server gefahren werden. Log4J bezeichnet eine sehr oft eingesetzte Java-Bibliothek zum Protokollieren von Serverzugriffen.

Schon eigenartig, aber es sieht so aus, als hätte ich etwas von Nostradamus. Denn gerade halte ich zwei Schulung zu JavaScript und in der Einleitung zu solchen Schulungen erzähle ich immer davon, wie stark JavaScript in der Vergangenheit unterschätzt wurde. Und dass man immer mehr Projekte finden kann, bei denen JavaScript zum Einsatz kommt und sogar teils Java verdrängt, da JavaScript schlanker und vor allen Dingen einfacher und wartbarer ist. M.W. steigt etwa Paypal seit Jahren Server-seitig immer mehr von Java auf JavaScript um.

Das zweite eigenartige Phänomen ist, das ich bei JavaScript immer die Build-In-Funktion eval vorstelle – mit dem Merksatz „Eval ist evil“. Denn damit ist Code injection ein Kinderspiel – wenn freie Daten eingegeben werden können. Auch beim Server.

Und Punkt Nummero 3 ist, dass ich mit Node.js letzte Woche in der Schulung ein kleines Protokollier-Skript für einen Webserver unter Node.js vorgestellt habe. Also so etwas wie Log4J-Light mit JavaScript.

Als hätte ich es geahnt, dass die Sache am Wochenende nach meinen Schulungen ein großes Thema wird. Oder haben die Hacker sich bei meiner Schulung die Anregung geholt? Muss mal meine Schulungsteilnehmer befragen, ob die eine Praxisübung machen wollten und die aus dem Ruder gelaufen ist ;-).

Ach nein – Log4J ist ja Java – und kein JavaScript.

Es tut gut, wenn man seit Jahrzehnten Fan des lange verlachten JavaScript ist und nun JavaScript sich als sicherer und vor allen Dingen schlanker und wartbarer erweist als die hochgelobten, schwergewichtigen Konkurrenten. Bei denen kann man oft in den Unmengen an Code einfach nicht mehr erkennen, wie die Geschichte wirklich abläuft. Und daraus resultieren eben Schwachstellen und Sicherheitslücken, die in einem schlankeren System viel schneller aufgedeckt und beseitigt werden können.

Aschenbrödel hat sich durchgesetzt.

Ferienverlängerung durch technische Remotepanne

Das war mal wieder eine klassische Panne, die die Unfähigkeit unser digitalen Gesellschaft offenlegt. Deutschland ist einfach im digitalen Steinzeitalter stehengeblieben. Gestern war in Rheinland-Pfalz der erste Schultag des neuen Jahres und die überwiegend verwendete Lernplattform Moddle ist zusammengebrochen. Gleich dazu auch das parallel zum Einsatz kommende Videokonferenzsystem BigBlueButton (BBB). Angeblich soll die Ursache ein Hacker-Angriff gewesen sein. Das kann man nun glauben oder auch nicht. Denn die technische Infrastruktur in Deutschland ist einfach zu schwach und veraltet, dass vermutlich alleine der zeitgleiche Zugriff von vielen Nutzern bereits das System sprengt. Die vielen Nutzerzugriffe kann man aber gerne auch als DDOS-Angriff werten, um die Schuld abzuwälzen.

Interessanter Weise gibt es ziemliche Schadensfreude bei den Schulen in Rheinland-Pfalz, die auf Microsoft-Produkte setzen. Denn Teams & Co hätten am Montag einwandfrei funktioniert, wie wohl mehrere Schulen hämisch verlautbaren lassen. Und diese Häme hat wohl den Grund, dass die Microsoft-Lösungen aus Datenschutzgründen in der nächsten Zeit abgeschafft werden sollen, was einigen Schulen nicht gefällt. Der Opensource-Gedanke ist da (noch) nicht angekommen und dieser Vorfall natürlich Wasser auf deren Mühlen.

Nun sollte man aber m.E. nicht den Stab über Moddle und BBB brechen, sondern über die digitale Unfähigkeit von Behörden, Schulen und der Politik. Denn es gibt wohl in fast jedem Bundesland eine andere Lernplattform und so ein Verzetteln verschwendet dermaßen Ressourcen und Kapazitäten, dass ein Versagen zwangsläufig ist. Da kommt dann alles zusammen:

  1. Schlechte Hardware
  2. Langsames Internet
  3. Zahlreiche Insellösungen
  4. Mangelndes IT-KnowHow
  5. Zu wenig IT-Personal generell

Was soll man da denn erwarten? Arme Schüler. Und ggf.. auch Studenten.