Das Spiel mit dem Spam

Michael, SPAM, CC BY 2.0

Neuerdings schickt unsere IT-Abteilung Mails herum, in denen Links zu kleinen Spam-Erkennungsrätseln stecken. Natürlich sind das dann Screenshots von Mails und dazu gibt es Tips, woran so eine Spam-Mail zu erkennen ist. Dazu gehören natürlich Hinweis auf das Fehlen einer persönliche Anrede oder schlicht ein schlechtes deutsch mit offensichtlichen Fehlern in Rechtschreibung und Grammatik.

Leider trifft eine Vielzahl der Annahmen längst nicht mehr auf alle Fälle zu. Personalisierten Spam mit Anrede und Adresse bekomme ich seit knapp vier Jahren. Interessanter Weise gepaart mit einer nicht mehr existenten Telefonnummer, die noch älter ist, als meine Anschrift. Da passt die aktuelle Meldung zum vertuschten Datendiebstahl bei Yahoo ganz gut ins Bild. Ich hatte dort zwar nie einen mit passenden Daten hinterfütterten Account, aber es muss wohl noch etliche andere schwarze Schafe geben, die lieber unter den Tisch kehren als offen zuzugeben, dass da wohl ein größeres Malheur passiert ist.

Zurück zum Spamrätsel. Nachhaltige Aufklärung funktioniert jedenfalls nicht nur durch Beispiele, bei denen selbst Profis mal daneben liegen. Ja, das Zeug ist inzwischen gut geworden und schwierig zu erkennen. Bei gut gemachtem Spam gilt für mich jedenfalls immer zuforderst ein Blick auf den Link oder den Anhang. Ist die Datei ausführbar oder weist der Link auf eine andere als die vorgegebene Seite, ist eigentlich klar was los ist. Beides wird natürlich meist verschleiert, aber genau hier muss der unbedarfte Benutzer in die Lage versetzt werden den Verschleierungsversuch zu durchblicken. Das wiederum kann nur der, der über IT-Grundkenntnisse verfügt, die sich anzueignen aber jedem selbst überlassen sind. Eine Gefahr für jedes Unternehmen.

Die Versuche bereits in den Schulen IT-Grundkenntnisse zu vermitteln, scheitern wohl schon allein an dem Umstand, dass nur ein kleiner Teil der Lehrerschaft die passende Technik-Affinität mitbringt und dabei ausreichend sattelfest im Thema ist. Software zu bedienen klappt häufig noch ganz gut, das zugrundeliegende Technikverständnis fehlt aber eben oft.

Das Ré­su­mé aus dem Dilemma kann jedenfalls nicht bedeuten die Leute nach Verlassen der Schule auf Beispiel-Spam loszulassen und zu hoffen, dass sich die Erkennungsrate verbessert. Viel mehr müssen bereits in der Schule IT-Grundkenntnisse mit gleicher Selbstverständlichkeit vermittelt werden, wie es bei naturwissenschaftlichen Themen bereits üblich ist. Das Grundgerüst sollten IT-Fachlehrer und Fachpersonal für die qualifizierte Betreuung der IT-Infrastruktur bilden. Anders ist brauchbarer IT-Fachunterricht auch nicht sicherzustellen. Schließlich verfügt praktisch jede Firma, notwendiger Weise, über IT-Fachleute. Nur was Schulen angeht scheint irgendwo der Gedanke herzukommen, ein bisschen Geld für neue Rechner und WLAN würde ausreichen.

Java auf dem Desktop 13 - Datenträgergeschwindigkeit messen mit jDiskMark

Bei jDiskmark handelt es sich um ein kleines, nützliches Javaprogramm, mit dem sich einfach und komfortabel die Lese- und Schreibgeschwindigkeit von Festplatten und Speicherkarten ermitteln lässt. Da es sich um ein Java-Tool handelt, passt es außerdem gut in meine "Java auf dem Desktop"-Reihe.



Das Programm lässt sich nach dem Entpacken von der Kommandozeile aus mit dem Befehl "java -jar jDiskMark.jar" starten. Ein Start-Script liegt nicht dabei, dafür ein Windows-Programm, mit dem sich der Festplattencache leeren lässt.

Das mit den Festplattencache ist natürlich so eine Sache, der Cache auf der Festplatte selbst wird sich nicht einfach leeren lassen. Für einen ungefähren Überblick reicht es aber die Datenmenge für die Messung entsprechend groß auszulegen. Anstelle der vorgegebenen 40 Megabyte sind, je nach Datenträgerkapazität, 512 Megabyte oder mehr angemessen, um nicht nur einen Blick auf das Optimum zu werfen. Das Programm fordert vor dem Lese-Test dazu auf, die Caches zu leeren.

Weil das mitgebrachte Windows-Programm zum Cache entleeren unter Linux wenig taugt, lässt sich mit den folgenden beiden Zeilen leicht Ersatz schaffen (Stackoverflow).

sudo echo 3 | sudo tee /proc/sys/vm/drop_caches
sudo blockdev --flushbufs /dev/sda

Letztlich ist jDiskmark ein einfachst gehaltenes Open-Source-Tool, das sich einsetzen lässt, um mal eben schnell die ungefähre Arbeitsgeschwindigkeit einer Festplatte festzumachen. Schnickschnack sucht man allerdings vergebens und wenigstens unter Windows ist man mit Tools wie CrystalDiskMark wohl auch besseres gewohnt. Andersrum gefällt mir die Graphendarstellung gut, weil man den gesamten Messzeitraum im Blick hat und nicht nur eine wie auch immer interpretierbare Zahl, die am Ende herauspurzelt. Das kann zum Beispiel dabei helfen Geschwindigkeitseinbrüche auszumachen.

Nautilus Batch-Rename oder "Oldie but a goldie"

Nautilus ist leidlich dafür bekannt mehr Funktionen entfernt, als neue hinzugefügt zu bekommen. War ich noch einer der Nutzer, der die Splitview gern genutzt und die feste Fußzeile gemocht hat, habe ich mich umgewöhnen müssen - die damaligen Alternativen gefielen mir ebenfalls nicht besser und Nemo lief bei mir nie stabil. In mehr oder minder naher Zukunft soll der gute, alte Nautilus nun doch wieder ein Feature dazubekommen, nämlich eine Batch-Rename-Funktion (Link). Darüber freue ich mich zwar, umgekehrt habe ich diese Funktion aber nie vermisst, da es schon seit langem den Nautilus-Renamer gibt, der seine Arbeit, wie ich finde, auch nach seinen vielen Jahren noch immer ganz ausgezeichnet erledigt und dabei nicht einmal angestaubt wirkt.

Nautilus-Renamer im Replace-Modus

Da ein Scriptaufruf mit Übergabe der Dateinamen reicht, lässt sich das Renamer-Script übrigens auch sehr gut in einem anderem Kontext einsetzen oder in die eigene Anwendung integrieren. Alles sehr schön, außer, dass bei mir die letzte Version 4.0 nicht zu funktionieren scheint, was aber zu verschmerzen ist, da die vorherige Version 3.1 sehr rund läuft.

Tweaking TTRSS: Mehrspaltige Leseansicht

Den TTRSS benutze ich schon lange als Feedreader und primären Newsversorger. In der Webansicht hat mich aber schon immer gestört, dass der rechte Lesebereich für moderne Monitore zu breit ist, so das sich der nächste Zeilenanfang beim lesen schlecht ausmachen lässt und so der Lesefluss beeinträchtigt wird. Tatsächlich sind nur wenige Handgriffe notwendig, um ein mehrspaltiges Layout zu konfigurieren.

Dazu klickt man im TTRSS-Einstellungsbereich unter Benutzerdefiniertes Stylesheet auf den Button Anpassen und gibt in den daraufhin erscheinenden Dialog Benutzerdefinierte Stylesheets das folgende CSS ein.

.cdmContentInner {
    -webkit-column-count: 3;
    -moz-column-count: 3;
    column-count: 3;
}

Nach dem Speichern und Verlassen der Einstellungen wird der TTRSS-Lesebereich nun Dreispaltig angezeigt. Das ganze sollte halbwegs unabhängig vom verwendeten Theme sein und funktioniert bei mir in Firefox und Chromium.

Wer im übrigen noch einen Tip für ein gutes, alternatives TTRSS-Theme hat, darf mir gern mal den Link zukommen lassen.

Wir basteln uns einen WiFi-VPN Access-Point

Anleitungen, wie man einen VPN Wireless Access-Point mit einem Raspberry bastelt, gibt es zwar zuhauf im Netz, ich wollte aber eine möglichst einfache und zuverlässige Lösung schaffen. Dafür greife ich zur Abwechslung mal nicht auf eine reine Raspberry-Lösung zurück, sondern verwende anstelle des sonst üblichen WLAN-Sticks einen Access-Point. Das verschafft einige Vorteile. Allen voran spart man sich die Suche nach einem kompatiblen, Host-Fähiger WLAN-Stick, der unter Umständen dann doch nur so mittelmäßig zuverlässig funktioniert. Ich habe inzwischen drei Modelle durch, die alle ihre Macken hatten. Außerdem lässt sich auf diese Weise eine Menge Konfigurationsaufwand vermeiden, denn man kann sich den DHCP-Server und den Hostapd, den man für die WLAN-Verbindung benötigt, schlicht sparen.

Zum Einsatz kommt bei mir ein Raspberry Pi 2 B+ (lag noch rum) mit Raspbian Jessie Lite, ein Edimax EW-7438RPN (Amazon-Reflink, mit unter 18 Euro recht günstig und man kann das Teil mit der Firmware eines anderen Modells zum Access-Point umfunktionieren.) und einen Delock USB 2.0 Ethernet Adapter (Amazon-Reflink), um den Raspberry mit dem Access-Point zu verbinden.
Der Raspberry hat bei mir ein frisches Raspbian bekommen. Alles was sonst noch auf dem Raspberry gebraucht wird ist ein OpenVPN für den VPN-Tunnel und einen lokalen Nameserver.

sudo apt-get install bind9 openvpn

Anschließend ist die OpenVPN-Konfiguration und gegebenenfalls ein oder mehrere Zertifikate in das Verzeichnis /etc/openvpn/ zu kopieren.

cp "your config file" /etc/openvpn/server.conf

Die genaue VPN-Konfiguration ist von VPN-Anbieter zu VPN-Anbieter etwas unterschiedlich. Damit der OpenVPN-Service ohne Abfrage von Benutzername und Passwort startet, sollte man am besten die Datei /etc/openvpn/auth.txt anlegen und durch ein Return getrennt, Benutzernamen (erste Zeile) und Passwort (zweite Zeile) eintragen. Anschließend in der /etc/openvpn/server.conf die folgende Zeile anpassen, falls nicht schon geschehen.

...
auth-user-pass auth.txt
...

OpenVPN sollte nun fertig konfiguriert sein und kann gestartet werden.

sudo service openvpn start

In der Liste der Netzwerkinterfaces sollte das Interface tun0 auftauchen. Ist dem nicht so, hilft ein Blick in das /var/log/syslog, wo die Ausgabe des OpenVPN landen sollte, so denn nicht anders konfiguriert.

ifconfig

Aus Sicherheitsgründen habe ich noch die folgende iptables Regeln verwendet, um unaufgeforderte Verbindungen von außerhalb der VPN zu unterbinden. Damit die Regeln nach dem Reboot wieder gesetzt werden, habe ich die folgenden beiden Zeilen in vor das exit 0 in die Datei /etc/rc.local eingetragen.

sudo iptables -A INPUT -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i tun0 -j DROP

Ebenfalls wichtig ist das NAT, was dafür sorgt, dass alle verbundenen Rechner über die eine VPN-Verbindung kommunizieren können. Dafür gibt es die folgende Regel, die ebenfalls vor das exit 0 in die Datei /etc/rc.local einzutragen ist.

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Außerdem braucht es noch ein aktiviertes IP-Forwarding, dass in der Datei /etc/sysctl.conf aktiviert werden kann. Einfach den Eintrag net.ipv4.ip_forward heraussuchen und wie folgt ändern.

net.ipv4.ip_forward=1

Damit sollte nun die VPN-Konfiguration abgeschlossen sein. Jetzt kommt der Nameserver dran. Dazu zuerst die Datei /etc/bind/named.conf.options bearbeiten und eine Weiterleitungssektion einfügen. Die beiden IPs sind die Nameserver von Google, es können natürlich auch andere verwendet werden. Um keine Rückschlüsse auf den eigentlichen Anschluss zu verraten, empfiehlt es sich auf die Verwendung der providereigenen Nameserver zu verzichten.

forwarders {
8.8.8.8;
8.8.4.4;
};

Damit sichergestellt ist, dass der Nameserver auch immer bei einem Reboot startet.

sudo update-rc.d bind9 enable

Als nächstes kommt die Verbindung zum Delock Ethernet Adapter, der jetzt einfach mal in den Raspberry eingesteckt werden kann. Es sollte nun bei Eingabe von ifconfig das Netzwerkinterface eth1 angezeigt werden. Ein lsusb sollte folgendes USB-Gerät enthalten.

Bus 001 Device 004: ID 9710:7830 MosChip Semiconductor MCS7830 10/100 Mbps Ethernet adapter

Um dem Netzwerkinterface eth1 die feste IP-Adresse 192.168.100.1 zuzuweisen ist folgendes an das Ende der Datei /etc/dhcpcd.conf einzutragen. Hat das lokale Netz eth0 bereits eine IP im Bereich 192.168.100.* muss für alles was nun folgt, die 100 durch eine andere Ziffer ersetzt werden.

interface eth1
static ip_address=192.168.100.1/24
static routers=192.168.100.1
static domain_name_servers=192.168.100.1

Das war jetzt auch schon der Teil mit dem Raspberry, der an dieser Stelle am besten rebootet werden sollte, um alle Änderungen anzuwenden. Weiter geht es mit der Einrichtung des Access-Points. Hier kann jeder Access-Point verwendet werden, der einen DHCP-Server mitbringt und die Konfiguration einer statischen IP erlaubt. Wenn nicht bereits geschehen, kann der Access-Point nun per Ethernetkabel mit dem Delock Ethernet Adapter verbunden werden.

Um auf die Konfigurationsseite zugreifen zu können, verbindet man sich am besten direkt mit dem WLAN des Access-Points. Bei dem Edimax ist unter iQ Setup nun die folgende, statische IP-Adresse zu konfigurieren. Das Gateway zeigt auf den Raspberry.

Use the following IP address.
IP-Adresse : 192.168.100.2
Subnetzmaske : 255.255.255.0
Gateway-Adresse : 192.168.100.1

Außerdem muss unter Erweiterte Einstellung im Untermenü Administrations-Dienstprogramm der DHCP-Server aktiviert und eingerichtet werden.

Standardgateway       
192.168.100.1
Start-IP       
192.168.100.20
End-IP       
192.168.100.254

Das ganze sollte dann so aussehen.
Achtung, wenn man jetzt auf Speichern und Übernehmen klickt, hat der Access-Point eine IP, die nur noch vom Raspberry aus erreichbar ist. Wer mit Linux unterwegs ist, kann sich einen Tunnel für die Konfigurationsseite des Edimax einrichten. Mit Putty und Windows sollte das genauso gehen. Steht der Tunnel erst, kann im Browser die Adresse localhost aufgerufen werden und man gelangt wieder auf die Konfigurationsseite.

sudo ssh -L 80:192.168.100.2:80 pi@raspberrypi

Hier noch ein Paar Live-Aufnahmen von dem Ganzen.