Mit Atombomben gegen Cheater

Wie krank sind die denn? Erst veröffentlichen sie einen Ego-Shooter als Werbegame und jetzt wundern sie sich, das da gecheatet wird. Ach nee.

Aber hey, ihr bösen Buben, ihr cheatet nicht bei CS oder HL, sondern bei AA. Und AA gehört der United States Army. Und wir kennen euch und wissen, wo euer Haus wohnt. The Army is angry, and we’re coming for you. Nehmt euch an Beispiel an den Japanern, die haben in World War 2 gelernt was passiert, wenn man sich mit uns anlegt.

Geht’s noch? Mit Atombomben gegen Cheater oder was? Und das im eigenen Land? Oder nur gegen Cheater aus Ländern der Achse des Bösen?

Kein Wunder, das sie das Posting eines der Macher, in dem so martialisch gedroht wird, aus dem AA-Forum schon wieder [gelöscht][del] haben. Hier eine [Sicherungskopie][bak] ;)

[del]: http://forum.americasarmy.com/viewtopic.php?t=143603
[bak]: http://www.thealphacompanyclan.org/tac/

heise online - US-Army warnt Hacker

Was lernen wir daraus? Cheaten ist kein Gaudi mehr, sondern eine Straftat — jedenfalls bei manchen Spielen. Stellt sich die Frage, was Cheaten überhaupt ist — und was Spielen heute bedeutet.

Update: Bei den bundeskanzlerkandidatinnen findet sich eine [Sicherheitskopie der Sicherheitskopie][bakbak].

[bakbak]: http://bundeskanzlerkandidatin.de/weblog/item/944

Freundliche Worte

>… ich muss echt blind sein und du sascha ein großkotz, der aber immerhin lesen
> kann, sogar dinge, die auf der praxis-hp nicht zu lesen sind - trotzdem danke
> (auf der kontakt-seite der praxis oder sonstwo dort steht nämlich nirgens, dass
> die kontaktdaten der arztpraxis gleichzeiig, die des administrators sind!)

Warum beantworte ich eigentlich Mails von irgendwelchen Surfern, die es nicht schaffen, auf der [Website][w] des [Forums][f] den [Kontakt-Link][k] zu finden?

[p]: http://www.phpbb.de/
[w]: http://www.praxis-kuester.de/
[f]: http://www.praxis-kuester.de/forum/
[k]: http://www.praxis-kuester.de/00000095a8116fa08/index.html

Warum Moderation wichtig ist

Common Craft - Online Community Strategies: Broken Windows Theory and Your Web Site

Die Kurzfassung: an einem Haus mit einem längere Zeit zerschlagenen, nicht repariertem Fenster wird man bald weitere kaputte Fenster sehen.

Warum? Die Theorie sagt, das ein eingeschlagenes Fenster, das nicht repariert wird, dazu führt, das bald weitere Fenster eingeschlagen werden, weil man das Gefühl hat, das sich niemand um die Fenster kümmert.

Übertragen auf Gemeinschaften aller Art (also nicht nur Online Communities) bedeutet das: sieht man ein eingeschlagenes Fenster, muss man schnell handeln und den Schaden reparieren.

Mit anderen Worten: ohne aktive, also eingreifende, Moderation geht eine Gemeinschaft langsam aber sicher zugrunde. Ausnahmen bestätigen jedoch auch hier die Regel: kleine Gemeinschaften, bei denen sich die Mitglieder auch untereinander kennen, kommen oft ohne Moderation aus bzw. können sich selbst moderieren, wenn sie sich auch ein Regelwerk geeinigt hat. Ist die Gruppe geschlossen, muss dies nicht explizit geschehen, sondern kann in Form eines ungeschriebenen Gesetztes existieren.

Ist die Gruppe jedoch offen, und kommen regelmäßig neue Mitglieder hinzu, muss das Regelwerk für alle sichtbar sein. Vor allem muss dann dafür gesorgt werden, das es durchgesetzt wird; dies kann entweder durch die Mitglieder selbst oder durch einen oder mehrere Moderatoren erfolgen.

Erreicht die Gemeinschaft eine unüberschaubare Größe, so kommt man kaum an Moderatoren vorbei, deren einzige Aufgabe darin besteht, das Regelwerk durchzusetzen.

Natürlich könnte man auch auf die Selbstheilungskräfte der Gemeinschaft zu setzen und auf explizit ernannte Moderatoren verzichten. Implizit werden sich dennoch Moderatoren herausbilden, Mitglieder mit Vorbildfunktion, die bei Streitfällen angerufen werden.

Der Zeitpunkt, an dem eine Gemeinschaft definitiv ohne Moderatoren nicht mehr auskommt, ist jedoch spätestens dann erreicht, wenn Konflikte nicht mehr gelöst werden, sondern durch Eingriffe der Mitglieder weiter verschärft werden. Ein Moderator hat den Vorteil, kein normal agierendes Mitglied der Gemeinschaft zu sein, sondern kann sich auf seine Sonderrolle berufen, ohne persönlich in den Konflikt involviert zu sein. Dadurch hebt er sich ab und kann das Regelwerk durchsetzen und für Ordnung sorgen.

Update (aus dem [Geocaching-Forum][gc]):

[gc]: http://www.geocache-forum.de/viewtopic.php?p=15240#15240

shinebar hat folgendes geschrieben:
Edit: Ich hab’s gelesen und das sind alles wilde Behauptungen ohne Beweise - so what, ich erstelle Dir gerne eine Seite, auf der genau das Gegenteil behauptet wird. Und jetzt erklär mir mal, wie das Usenet, zweifelsohne eine riesige Community, mit extrem wenig “Moderation” auskommt.

Hi Shinebar,

weder sind die Thesen in meinem Text wilde Behauptungen ohne Beweise, noch ist das Usenet ein gutes Vergleichsbeispiel.

Jede menschliche Gemeinschaft braucht Regeln als Basis. Egal wovon wir sprechen, vom Gesellschaftsvertrag der Aufklärung bis zum Grundgesetz von Heute, von Staaten, Unternehmen oder Vereinen, von Freundeskreisen, Partnerschaften oder Familien. Überall gibt es Regeln. Die sind nicht immer in dicken Büchern Punkt für Punkt aufgeschrieben. Manchmal sind es ‘ungeschriebene Gesetze’, manchmal nur ein paar Sätze in Form eines ‘Mission Statement’, manchmal im Form von mündlich weitergegebenen ‘Moralvorstellungen’. Hat eine Gemeinschaft keine Regeln, spricht man von Anarchie. Anarchie bedeutet, das jeder tun und lassen kann, was er will. Im wörtlichen Sinne. Du passt mir nicht - *peng*.

Das gilt für virtuelle Gemeinschaften genauso wie für die vorher aufgeführten real life Gemeinschaften. Wenn in einem Forum jeder schreiben würde, was er will, bräuchten wir keine thematisch spezifizierten Foren. Ein großes Forum, in dem jeder schreiben könnte, würde völlig genügen.

Die Wahl eines Themas an sich ist bereits eine erste formulierte Regel: der Inhalt dieses Forums ist X. Damit signaliert das Forum, das Beiträge zum Thema X willkommen sind, zum Thema Y aber nicht unbedingt. Das ist eine Regel.

Weiterhin, je nach Größe und Zusammenhalt der Gemeinschaft, merkt man über kurz oder lang, das diese eine Regel nicht ausreicht. Hier ein Spammer (also jemand, der ständig aus jedes Thema antwortet, ohne inhaltlich etwas beizutragen und damit den Diskussionsfluß stört), dort ein unangenehmer Zeitgenosse (der andere beleidigt, verunglimpft oder gar bedroht). Aber auch Kleinigkeiten fallen schnell unangenehm auf: riesige Banner in Signaturen, Links auf illegale Inhalte, permanente Private-Mails-Schreiber, Werbe-Spammer - außerdem gilt es natürlich, Benutzer zu beschwichtigen, die auf einander losgehen (Flamewars sind nur eine Form dieser Sache).

Formuliert man diese Vergehen in einem kurzen Text und sagt dazu klar ‘Das wollen wir hier nicht’, sorgt man dafür für Sicherheit für die Benutzer und für die Betreiber/Moderatoren. Für die Benutzer ist dieser Text eine klare Angelegenheit. Sie wissen jetzt was nicht gern gesehen ist, kennen die Konsequenzen und wissen, an wen sie sich wenden müssen, wenn ihnen etwas im Forum auffällt. Für die Moderatoren ist der Text sozusagen Arbeitsanweisung. Sie können sich darauf verlassen, das ihre Aktionen, solange sie vom Text gedeckt sind, von den Betreibern sanktioniert und den den Benutzern akzeptiert werden.

Das Usenet, shinebar, ist an sich erstmal keine Gemeinschaft, sondern ein Vehikel. Gemeinschaften heißen innerhalb des Usenets Newsgroups. Manche Newsgroups sind unmoderiert, d. h. es gibt keinen Moderator, niemand mit den Befugnissen, Posts zu löschen oder zu verschieben, oder gar zu filtern (Filtern: Posts erscheinen erst nachdem ein Moderator sie geprüft hat). Diese Gruppen sind oft chaotisch, enthalten Spam, werden mißbraucht. Die meisten Newsgroups aber werden moderiert. Im Usenet finden dazu, sowie im FIDO-Net und andere Mailbox-Netzen auch, sogar Wahlen statt. Man bewirbt sich bei der Gemeinschaft als Moderator und wird von der Gemeinschaft dazu gewählt. Hier gilt es natürlich nicht nur Regeln für das Verhalten in den einzelnen Gruppen (‘Charta’ genannt), sondern auch für den Ablauf der Wahlen selbst. Das Usenet ist, jedenfalls die nützlichen Teile, alles andere als unmoderiert.

Moderation hat nichts mit willkürlichen Verschieben, Löschen, Sperren oder gar Verändern von Beiträgen zu tun, jedenfalls nicht, wenn es eine gute Moderation ist/sein will. Moderation dient dazu, eine Gemeinschaft bzw. den Treffpunkt einer Gemeinschaft ‘sauber’ zu halten, in dem Sinne, das die Mitglieder sich wohlfühlen und man sich gemeinsam über das gewählte Thema auslassen kann.

phpBB, Würmer und ungleiche Erwartungen

Es fing eigentlich ganz harmlos an. Am 13.11. kam eine [Mail][m1] über Bugtraq, die ein Problem im PHP-Code von phpBB erläuterte:

Because of the way urldecode and magic quotes works, it turns %2527 into %27, which is a single quote, and it leaves it unslashed. This gives you a SQL Injection, leading to arbituary PHP exec hole. But because you can’t get outside preg_replace because of magic quotes, this is very very useless.

howdark.com in der (virtuellen?) Person von Jessica Soules spricht von der Möglichkeit, SQL-Code einzuschleusen. Allerdings ist eben das nicht möglich, jeder Versuch das zu tun scheitert in einem Parse-Error in einem regulären Ausdruck. Die phpBB Group [veröffentlicht][p1] daraufhin ein Statement, in dem sinngemäßg gesagt wird, das dieser Exploit keiner ist, weil er nicht funktionieren kann.

[m1]: http://securityfocus.com/archive/1/380993/2004-11-13/2004-11-19/0
[p1]: http://www.phpbb.com/phpBB/viewtopic.php?t=239819

Das Thema schien damit vom Tisch. Bis drei Tage später eine [Mail][m2] von Paul S. Owen aka psotfx, Chef-Entwickler der phpBB Group, über Bugtraq kam. Paul schreibt, das auf Basis des Exploits-der-keiner-ist vom 13.11. eine wesentlich gefährlichere Lücke in phpBB entdeckt wurde, die mit einem kleinen [Fix][p2] sofort zu beheben sei. Ein neues Release, 2.0.11, würde so schnell wie möglich folgen. Tatsächlich [erschien][p3] 2.0.11 nur knapp zehn Stunden später.

[m2]: http://securityfocus.com/archive/1/381510/2004-11-13/2004-11-19/0
[p2]: http://www.phpbb.com/phpBB/viewtopic.php?t=240513
[p3]: http://www.phpbb.com/phpBB/viewtopic.php?t=240636

Paul veröffentlichte keinen Proof of Concept für diesen Exploit:

We will not post concept of proof information given the seriousness of this issue. Unfortunately howdark.com group have chosen to as a personal vendetta against phpbb.com.

Am 20.11. wurde auf Full Disclosure ein Proof of Concept veröffentlicht, der die Lücke vom 18.11. ausnutzt und ein Systemkommando ausführt.

Daraufhin war erstmal wieder Ruhe. Bis ich am 20.12.2004 über [dieses Topic][p4] auf phpBB.de stolperte.

[p4]: http://www.phpbb.de/viewtopic.php?t=73326

Ein Wurm nutzte die eigentlich längst gefixte Lücke und verbreitet sich sehr schnell. Dazu sucht er über Google nach anfälligen phpBB-Installationen. Daraufhin ging eine Mail an alle phpBB.de-Benutzer raus, die nochmal eindringlich darauf hinwies, so schnell wie möglich auf 2.0.11 upzudaten oder zumindest den Minimalfix - eine Zeile finden und ersetzen - durchzuführen. Kurz darauf kamen auch entsprechende Hinweise auf phpBB.com an und auch dort wurde nochmal dringlich auf das Uodate hingewiesen.

Der Rest ist [Geschichte][g1].

[g1]: http://news.google.de/news?hl=de&lr=&tab=wn&ie=UTF-8&q=phpbb&scoring=d&start=0&sa=N

Kaspersky waren am 21.12. mit die ersten, die eine entsprechende Warnung vor Santy veröffentlichten. Stilblüte: wer auch immer die im [Original][ke] englische Meldung bei Kaspersky [übersetzte][kg], tat sich mit dem Audruck *a popular package used to create Internet forums* schwer und macht daraus umständlich ein *Dienstprogramm zur Schaffung von Internet-Ressourcen* ;)

[ke]: www.kaspersky.com/news?id=156681162
[kg]: /www.kaspersky.com/de/about?chapter=146524901&id=156265786

Wie konnte es dazu kommen, das sich Santy so schnell ausbreitete? Immerhin war der Fix und die neue Version über einen Monat alt. Es geht eben *de Mensche wie de Leut*, wie man im Hessischen sagt. Weder Microsoft noch Linux noch phpBB ist gefeit vor menschlichen Unzulänglichkeiten. Kümmert man sich nicht aktiv um sein System, pflegt es nicht, muss so etwas zwangsweise passieren. Darüber wurde schon lang und breit geschrieben und diskutiert. Seit den Anfängen der IT ist dieses Problem bekannt — und jede Lösungsmöglichkeit schließlich am Faktor Mensch gescheitert. Eine andere Redensart sagt: *Alle wollen Restore, aber keiner will Backup.* Same shit, different day. [Calgone und Veet][ccc] können ein Lied davon singen ;)

[ccc]: http://21c3.ccc.de/weblog/2004/12/29/decement-und-hacklisting-in-21c3-wiki/

Dazu kommt, das eine große Zahl mehr oder weniger toter Foren gibt, die zwar noch online sind, aber schon seit Monaten nicht mehr genutzt werden. Gerade bei kostenlosen Hostern wie Lycos oder Funpic (einfach nur um zwei Namen zu nennen) gibt es Heerscharen solcher verwaister Foren.

Und als ob das alles noch nicht reichen würde, gibt es auch genug Hoster, die ihren Kunden verbieten, in die Serverkonfiguration einzugreifen. Ich spreche von .htaccess, nicht von Root-Zugang. Und selbst wenn man per .htaccess den DirectoryIndex setzen darf, heißt das lange nicht, das man mod_rewrite nutzen darf. Ergo: hast Du ernsthaft etwas im Web vor, gehe nicht zu einem Hoster von der Stange, sondern besorg Dir einen eigenen Server und jemanden, der ihn warten kann, wenn Du es nicht kannst. Managed Server fallen also genauso durch wie Webspace-Pakete.

[Und wo wir schon mal dabei sind][p5]: nur weil man phpBB runterladen, entpacken, raufladen und installieren kann, heisst das nicht, das man es im Griff hat, geschweige denn warten kann. Ohne die Bereitschaft zu lernen und sich mit dem Thema zu beschäftigen sollte man sich und der Welt einen Gefallen zun und die Finger davon lassen. Um Auto zu fahren muss man zwei Tests bestehen, um *Administrator* zu sein nicht. Dank sehr einfacher Möglichkeiten für [Self Publishing][sp] sehen viele Hobby-Administratoren einfach nicht die Notwendigkeit, sich um technische Aspkete zu kümmern und schieben die Verantwortung dem Hersteller zu. Der hat jedoch nur wenig Möglichkeiten, Unachtsamkeiten oder Vernachlässigungen seitens der Administratoren auszugleichen. Ein Update herausgeben, seine Nutzer informieren und beim Update unterstützen, viel mehr kann man als Hersteller nicht tun. Nur wenige haben die Möglichkeit, mittels automatischer Updates seine Kunden mit Patches zu versorgen. Bei Web-Applikationen,vor allem bei solchen, die in Interpreter-Sprachen geschrieben sind, der Kunde also schon mit einem einfachn Texteditor Änderungen vornehmen kann, hilft ein automatischer Update-Mechanismus nur wenig. Software, die *nach Hause telefoniert* wird außerdem oft überkritisch beäugt und, so man denn die Wahl hat, lieber nicht eingesetzt. Für phpBB heißt das konkret, das 2.2 keine automatische Updatefunktion haben wird, wahrscheinlich aber einen Versionsabgleich. Statt den Kunden zu zwingen, zum Hersteller zu gehen, [kommt der Hersteller also zum Kunden][p6].

[p5]: http://www.phpbb.de/viewtopic.php?p=412475#412475
[p6]: http://www.phpbb.de/viewtopic.php?p=413206#413206

Denn auch wenn es zum Beispiel bei Sourceforge, dem Hoster des phpBB-Quellcodes, eine Mail-Funktion gibt die neue Releases anzeigt, oder man das Ankündigungsforum von phpBB.de [per RSS][rss] abonnieren kann, scheint selbst das für 90% aller Kunden zuviel Aufwand zu sein.

[sp]: http://www.itst.org/web/280-selfpublishing.shtml
[rss]: http://www.phpbb.de/rdf/rdf-news.php

Ihren Teil zur Verbreitung haben auch einige kostenlose Forenhoster beigetragen, die teilweise noch mit 2.0.6 unterwegs waren. Als ob es nicht genügen würde, das wir den Support für die Jungs übernehmen müssen, weil sie direkt auf phpBB.de als *Supportforum* verweisen. Get lost.

Update: Völlig vergessen zu erwähnen: [Alp][] hat mich Anfang der Woche zum Thema [kurz-interviewt][a1]. Dort sind auch viele (alle?) Stimmen aus der deutschen Blogszene zum Thema Santy zu finden.

[Alp]: http://uckan.info/
[a1]: http://uckan.info/2004/12/27/interview-zum-aktuellen-php-wurm-santy/

Armer Pyramide ;)

Gerade im [phpBB.de-Chat][chat]:

Mungo: http://www.phpbb.de/viewtopic.php?p=412051#412051

Pyramide: DANN SAG ICH HALT NIX MEHR

Pyramide: SCHEISS CAPS LOCK

Pyramide: GEH AUS

Irgendwie musste ich direkt an Cartman aus Southpark denken ;) Nix für ungut Frank ;)

[chat]: http://www.phpbb.de/chat.php

BTX kommt wieder in Fahrt

Wasisslos? Heute ist doch gar nicht der erste April. BTX… *wissenwillundklick*

*Langsam scheint der neue Formfaktor BTX, der den heute dominierenden ATX-Standard ersetzten soll, Fuß zu fassen. Nachdem entsprechende PCs bisher eher selten zu finden waren und BTX-Mainboards von Intel erst seit kurzem auch für Endkunden zu haben sind, bringt nun mit Dell der weltweit größte PC-Hersteller seinen ersten BTX-PC auf den Markt.* [via Golem][vg]

Ochso. Da dann.

PS: OK, die Überschrift hier habe ich etwas *modifiziert* ;)

[vg]: http://www.golem.de/0412/35256.html

Der Intelligent Stick von PQI

Soso, [Lexar][] hat also *noch einmal verkleinert*. Von Wegen.

istick2128.jpg

12 Millimeter breit, 4,5 Millimeter hoch und 31,75 Millimeter lang. Ein wahres Monster, der Lexar-Stick.

Der [PQI Intelligent Stick][is] dagegen ist nur 2,8 Millimeter dick, bei einer handlichen Länge von 42 Millimeter.

[Lexar]: http://www.golem.de/0412/35173.htm “Winziger USB-Speicherstick von Lexar - Golem.de”
[is]: http://www.pqi1st.com/products/istick.asp

Masse statt Klasse - Die PS-Zahlen-Spirale im E-Mail-Markt

Seit Herbst 2003 erhöhen GMX, Lycos, GMail, Web.de und andere E-Mail-Hoster immer wieder die Größe ihrer Postfächer. Mit 10 GB schien zunächst eine Grenze erreicht zu sein, doch Web.de drängt weiter: Web.de mit unbegrenztem E-Mail-Speicher - Golem.de/[CyDome: GMX läßt Google alt aussehen][cydome]).

[cydome]: http://www.cydome.de/wmiedl/archives/000670.shtml

*”Wir bieten dem Anwender schlicht die beruhigende Gewissheit, nie wieder an Speichergrenzen zu stoßen.”*

Das diese PS-Zahlenprotzerei letzlich nur funktioniert, weil kein Kunde seine zig GB tatsächlich nutzt, wird natürlich nicht laut gesagt, genauso wenig wie erwähnt wird, wieviele MB oder GB die Kunden der verschiedenen Dienste tatsächlich nutzen.

Ein weiterer Faktor ist mit Sicherheit die Einschränkung der meisten Surfer auf ADSL oder ISDN, die mit absolut unzureichenden Upload-Raten daherkommen. Der Upload einer 50MB-Datei über DSL mit 128kbit/s dauert fast eine Stunde, der Download der gleichen Datei nur knapp zehn Minuten. Dieses Ungleichgewicht sorgt dafür, das man seinen Webspeicherplatz nur sehr eingeschränkt nutzen kann.

Nachdem Web.de im Juli die Größe der Kundenpostfächer bereits auf 2 GB [aufbohrte][web2], erkannte man folgerichtig, das weitere Vergrößerungen über die 10 GB von GMX hinaus nicht kommunizierbar sind. Also, untermauert durch die mit Sicherheit durchgeführten Messungen des tatsächlich genutzen Speicherplatzes der Bestandskunden, kommt Web.de mit *unlimited space*.

Der nächste Schritt der Wettbewerber kann nur ein Gleichziehen mit Web.de sein. Aus den PS-Zahlen lässt sich nunmal nicht mehr als *unlimited* herausholen. Das führt zu dem Schluß — und der Hoffnung — das künftig wieder Nutzenaspekte in den Vordergrund treten.

[web2]:http://www.golem.de/0407/32136.html