Archive for: ‘Januar 2018’
Nach Java 8 Update 152 (oder neuer) reagiert IBM Notes 9.0.1 64-Bit auf Mac OSX nicht mehr
[DE] SPD, hör die Signale: Wir brauchen eine konstruktive Vision für eine digitale Gesellschaft!
Wohl gebrüllt, Löwe. Sascha Lobo fordert die SPD auf, sich endlich dem Thema Technologie und digitale Gesellschaft zu widmen – und sich dort zu differenzieren. Das Dilemma der SPD und vieler Gewerkschafter und Betriebsräte fast er hier schön zusammen.
Die SPD sollte doch die Partei der Arbeit sein – aber das Arbeitsbild der SPD stammt auch 2018 noch aus dem 20. Jahrhundert. Es ist nicht auf eine Weiterentwicklung des Arbeitsbegriffs ausgerichtet, sondern auf eine Eingemeindung der Digitalisierung in den alten Arbeitsbegriff. Das Netz wirkt auf Arbeit gleichzeitig im besten und im schlechtesten Sinne flexibilisierend, … Die SPD empfiehlt dagegen Tarifverträge … In einer Zeit, in der nicht viele Leute wissen, ob es ihren Job in zehn Jahren noch so gibt. Und ihre Chefs auch nicht.
Source: SPD, her mit der Vision für eine digitale Gesellschaft! – SPIEGEL ONLINE
Ich weiß, man kann und sollte SPD, Gewerkschaften und Betriebsräte sicher nicht in einen Topf werfen. Trotzdem scheint mir die Geisteshaltung oft sehr verwandt, was ja auch bei vielen gemeinsamen Wurzeln und Werten nicht wirklich verwundert. So ist das auch hier zitierte Beispiel E-Mail-Verbot, das wohl die Porsche-Betriebsräte fordern, für mich ein Beispiel, wie man versucht, mit den falschen, gestrigen Mitteln heutige reale Probleme zu lösen, statt sich mit dem Wandel auseinanderzusetzen und ihn zu gestalten. Sascha stellt die Herausforderungen der Digitalisierung in den Zusammenhang mit der SPD Geschichte, mit Lasalle und dem Godesberger Programm.
Die dringend benötigte, zugkräftige Vision – die Linke nicht verschreckt, aber Konservativen ausreichend attraktiv erscheint – könnte nur die Vision einer stabilen digitalen Gesellschaft in einer europäischen, liberalen Demokratie sein. Es wäre eine progressive Vision, die digitalen Fortschritt nicht primär als Regulierungsfrage, Bedrohung oder bloß als weiteres Instrument im Werkzeugkoffer betrachtet, sondern als Chance. Es würde in dieser Vision formuliert, wie im digitalen 21. Jahrhundert Freiheit, Gerechtigkeit und Solidarität konkret aussehen und wie sie für alle erreicht werden könnten.
Source: SPD, her mit der Vision für eine digitale Gesellschaft! – SPIEGEL ONLINE
Die SPD sollte die jetzigen Herausforderungen endlich als Chance begreifen, sich zu differenzieren und konstruktive Vorschläge für die Gestaltung der digitalen Gesellschaft machen. Die Betonung liegt auf konstruktiv, nach vorne blickend – nicht mit Verboten und Rezepten der „alten“ Arbeitsgesellschaft. Dann hätte sie sicher bei vielen Wählern wieder eine Chance.
Aber vielleicht liege ich ja komplett daneben und Axel Oppermann hat Recht: Die 28-Stunden-Woche und das E-Mail-Verbot müssen umgehend her!
(Stefan Pfeiffer)
Best Practice Video: Notes-Datenbanken individuell auswerten ohne neue Ansichten im Domino Designer
Erfahrt in unserem heutigen Video, wie ihr vermeiden könnt, dass eure Notes-Datenbanken durch zu viele Ansichten immer unübersichtlicher werden und ihr trotzdem eine Vielzahl von Daten flexibel darstellen könnt.
In unserer langjährigen Beratertätigkeit im IBM Notes-/Domino-Umfeld sind uns schon viele Notes-Datenbanken untergekommen, die durch zu viele unterschiedliche Ansichten schnell unübersichtlich wurden. Aus diesem Grund möchten wir euch zwei Möglichkeiten zeigen, wie ihr in Notes-Datenbanken große Datenmengen darstellen und auswerten könnt, ohne für jedes Szenario eine neue Ansicht im Domino Designer erstellen zu müssen:
1. Versteckte Funktionen in Notes-Anwendungen (a. „Diese Ansicht anpassen“ / „Customize this view“ | b. Die erweiterte Suche – „Mehr Optionen“ / „More options“ | c. „Kopieren als Tabelle“ / „Copy as table“)
2. das XPages-Grid: eine webbasierte Darstellungsweise von Notes-Ansichten, in denen auch große Datenmengen äußerst schnell und flexibel ausgewertet werden können.
Hierzu zeigen wir nicht nur, wie ihr diese Funktionen für eure Auswertungen nutzen könnt, sondern erläutern auch die Vor- und Nachteile der unterschiedlichen Möglichkeiten.
Als Grundlage für unser Tutorial nehmen wir eine Datenbank mit 10.000 Dokumenten, die neben normalen Textfeldern auch Datums- und Zahlenfelder enthalten. In unserem Video werden wir die Daten aus diesen Dokumenten angepasst darstellen und nach Belieben sortieren, filtern, kategorisieren und exportieren.
Schaut es euch einfach mal an:
Abb. 1: Das XPages-Grid
Wir hoffen, dass wir euch mit diesem Beitrag weiterhelfen konnten. Wenn ihr Fragen zu den entsprechenden Anpassungen habt oder am XPages-Grid interessiert seid, ruft uns einfach unter 05251-2881620 an oder schreibt uns eine Mail an info@itwu.de.
Best Practice Video: Notes-Datenbanken individuell auswerten ohne neue Ansichten im Domino Designer
Erfahrt in unserem heutigen Video, wie ihr vermeiden könnt, dass eure Notes-Datenbanken durch zu viele Ansichten immer unübersichtlicher werden und ihr trotzdem eine Vielzahl von Daten flexibel darstellen könnt.
In unserer langjährigen Beratertätigkeit im IBM Notes-/Domino-Umfeld sind uns schon viele Notes-Datenbanken untergekommen, die durch zu viele unterschiedliche Ansichten schnell unübersichtlich wurden. Aus diesem Grund möchten wir euch zwei Möglichkeiten zeigen, wie ihr in Notes-Datenbanken große Datenmengen darstellen und auswerten könnt, ohne für jedes Szenario eine neue Ansicht im Domino Designer erstellen zu müssen:
1. Versteckte Funktionen in Notes-Anwendungen (a. „Diese Ansicht anpassen“ / „Customize this view“ | b. Die erweiterte Suche – „Mehr Optionen“ / „More options“ | c. „Kopieren als Tabelle“ / „Copy as table“)
2. das XPages-Grid: eine webbasierte Darstellungsweise von Notes-Ansichten, in denen auch große Datenmengen äußerst schnell und flexibel ausgewertet werden können.
Hierzu zeigen wir nicht nur, wie ihr diese Funktionen für eure Auswertungen nutzen könnt, sondern erläutern auch die Vor- und Nachteile der unterschiedlichen Möglichkeiten.
Als Grundlage für unser Tutorial nehmen wir eine Datenbank mit 10.000 Dokumenten, die neben normalen Textfeldern auch Datums- und Zahlenfelder enthalten. In unserem Video werden wir die Daten aus diesen Dokumenten angepasst darstellen und nach Belieben sortieren, filtern, kategorisieren und exportieren.
Schaut es euch einfach mal an:
Abb. 1: Das XPages-Grid
Wir hoffen, dass wir euch mit diesem Beitrag weiterhelfen konnten. Wenn ihr Fragen zu den entsprechenden Anpassungen habt oder am XPages-Grid interessiert seid, ruft uns einfach unter 05251-2881620 an oder schreibt uns eine Mail an info@itwu.de.
[DE] Alexa, nicht nur Apple hat ein Problem …
Das Thema Amazon Alexa beschäftigt mich schon geraume Zeit hier im Blog oder auch unter Unternehmensaspekten auf CIOKurator. Sascha Lobo prangert die Herausforderungen auf Spiegel Online an. Und jetzt bringt der Stern diesen Bericht unter der Überschrift: „Warum Alexas Übermacht Apple vor echte Probleme stellt“
Apple verpasst den AnschlussObwohl der Konzern mit Siri die Sprachsteuerung erst in den Massenmarkt gebracht hat, droht er nun den Anschluss zu verlieren. Gegenüber Alexa und Google Assistant hat Homekit nämlich einen gewaltigen Nachteil: Während die beiden Sprachassistenten oft direkt im Gerät verbaut sind, braucht man für Homekit immer ein zusätzliches Gerät, etwa ein iPhone oder den kommenden Lautsprecher Homepod.
via Warum Alexas Übermacht für Apple zum Problem wird | STERN.de
Apple will wohl vor allem Hardware verkaufen. Die Motive von Google und Amazon sind andere:
Das kann eine Firma wie Apple, die auf den Verkauf von Geräten angewiesen ist, nicht gut finden. Amazon und Google ist es dagegen egal. Sie wollen mit ihren Sprachassistenten einfach in so viele Haushalte wie möglich. Aus verschiedenen Gründen: Google will mit den gesammelten Nutzerdaten Werbung verkaufen. Amazon will Kunden per Sprachsteuerung im eigenen Internetkaufhaus shoppen lassen. Tatsächlich zeigt eine aktuelle Studie, dass 22 Prozent der Kunden über ihren Echo oder Home einkaufen. Je mehr Nutzer, desto besser. Ganz egal, mit welchem Gerät.
via Warum Alexas Übermacht für Apple zum Problem wird | STERN.de
22 Prozent kaufen über Amazon Echo und Home bereits ein. Da bekommt die Definition von Sascha über Alexa als omnipräsenten Dauerverkäufer die notwendige realistische Perspektive.
Das CIO Magazin Neuseeland bringt es unter der Überschrift „Why Amazon is the new Microsoft“ unter eine breitere Perspektive. Alexa wird zum neuen Windows:
The symbolism is timely; it was at CES this week that Amazon became the new Microsoft.
Microsoft rose to dominance by controlling the operating system that the majority of people and businesses used.
Amazon is now doing something similar with Alexa. While Alexa isn’t even close to becoming as important as Windows, it is becoming the operating system of the post-PC, post-smartphone future. …
While today we do our work on laptops and smartphones, in the future we’ll do much more work via virtual assistants (and augmented reality).
By the time that happens, Amazon will already own the operating system.
Source: Why Amazon is the new Microsoft – CIO New Zealand
(Stefan Pfeiffer)
Unsere neue Homepage
[DE] Wider dem Schwachsinn vom E-Mail-Verbot über Nacht und Wochenende
Kommentar & Meinung: Nein, es geht hier sicher nicht um Betriebsrat-Bashing. Es gibt viele innovative Betriebsräte, aber es gibt auch die von gestern:
Noch mehr Regeln! Neulich war in der FAZ zu lesen, dass der Porsche Betriebsrat die regelhafte Löschung von Emails fordert, die in der Freizeit versendet worden sind: „Mailkonten von Mitarbeitern sollten im Zeitraum zwischen 19 Uhr und 6 Uhr sowie am Wochenende und im Urlaub gesperrt werden, sagte Hück.“ (FAZ 2017) Irgendwie gut gemeint, könnten wir uns selbst glauben machen.
Source: Zuviele Regeln verhindern gesundes & sinnvolles Arbeiten. – Dr. A. Zeuch
Ich kann immer wieder nur den Kopf schütteln, wenn ich so was wie vom Porsche Betriebsrat lese. Statt zu gestalten, versuchen sie, zu verbieten, was nicht zu verbieten ist. Sie glauben an Reglementierung, statt den eigenverantwortlichen und selbst entscheidenden Arbeitnehmer zu fördern und ihm ihn strategischen Fragen zu helfen und zu unterstützen. Und dann auch den Arbeitgebern und Chefs, die zu viel einfordern, ständige Verfügbarkeit aller zeit und allerorten, heftigst auf die Finger klopfen.
Ja, und Andreas Zeuch bringt auch die Problematik in seinem Beitrag auf den Punkt. Man mag manchmal nicht an den selbstbestimmten Arbeitnehmer glauben:
Zum agilen und selbstorganisierten Mindset passt es andererseits, dass die Betroffenen selbst entscheiden, wann sie Mailen und wann nicht, mithin: Wann sie arbeiten und wann nicht. Dumm nur, dass eben nicht nur nicht alle, sondern noch ziemlich viele Menschen von dieser inneren Haltung Lichtjahre entfernt sind. Sie haben es einfach nicht gelernt. Oder sie wollen es nicht – was völlig ok ist, schließlich umfasst das Recht auf Selbstbestimmung auch das Recht, fremdbestimmt arbeiten zu wollen.
Source: Zuviele Regeln verhindern gesundes & sinnvolles Arbeiten. – Dr. A. Zeuch
Trotzdem: Für mich gehört zu unseren Errungenschaften – auch erkämpft durch die Gewerkschaften -, dass wir als Arbeitnehmer wo irgend möglich unsere Arbeit selbst bestimmen können.
Deshalb: Wohl den Unternehmen, die Betriebsräte haben, die für Erhalt von Arbeitsplätzen, soziale Arbeitsbedingungen, flexible Arbeitszeiten. Home Office, Inklusion, Gleichberechtigung und Familienfreundlichkeit kämpfen. und genau dort ihre Rolle sehen und ihr Gewicht in die Waagschale werfen.
(Stefan Pfeiffer)
IBM Watson Talentmanagement Webcasts 2018
Freuen Sie sich auf wertvolle Einblicke, wie Sie von künstlicher Intelligenz im HR-Umfeld profitieren, wie sich HR verändern wird als auch welche Anforderungen den Personalbeauftragten zukünftig erwarten.
Der Beitrag IBM Watson Talentmanagement Webcasts 2018 erschien zuerst auf DNUG.
Maersk und IBM bilden Joint Venture für Blockchain
Meltdown und Spectre: Der IT-Security-Supergau?
Neue Sicherheitslücken in Prozessoren treffen Hersteller ins Mark
Jeder Prozessor ist betroffen
Meltdown und Spectre – seit zwei Wochen halten sie die IT-Welt in Atem. Was nach Titeln von Hollywood Blockbustern klingt, ist alles andere als Spaß und Unterhaltung. Stattdessen haben wir es mit neuen, gravierenden Sicherheitslücken zu tun – vielleicht den größten der gesamten IT-Industrie. Denn dieses Mal ist nicht ein bestimmtes Betriebssystem oder Gerätetyp betroffen. Dieses Mal ist fast jeder Rechner, jedes Smartphone, jedes Tablet, jedes Cloud-System weltweit betroffen: Ganze Generationen von Computerchips, im Grunde genommen jeder Intel-Chip seit 1995, sind offenbar anfällig für Attacken, mit denen Passwörter und Kryptoschlüssel gestohlen werden können.
Während Sie sich Meltdown dabei wie einen Dieb vorstellen müssen, der in Ihre Tasche greift, um Ihr Hab und Gut zu stehlen, versteht sich Spectre auf Manipulation. Diese Variante bringt Sie dazu, Ihre Taschen freiwillig herauszugeben. Beide Angriffe hinterlassen keine Spuren und werden nicht von Antivirus-Software erkannt. Bislang weiß niemand, ob die Sicherheitslücken in Prozessoren bereits ausgenutzt wurden.
Chiphersteller wussten Bescheid
Bereits vor gut einem halben Jahr haben Mitarbeiter von Googles Project Zero gemeinsam mit Forschern verschiedener Universitäten und der Industrie die Sicherheitslücken in Prozessoren entdeckt. Anfang Juni 2017 wurden die Hersteller von Prozessoren informiert, darunter Platzhirsch Intel, aber auch AMD und ARM.
Für Dienstag, den 9. Januar 2018, war dann die Veröffentlichung geplant, bereits seit dem 3. Januar überschlagen sich allerdings die Meldungen um die neuen Sicherheitslücken: Amerikanische Technikjournalisten berichteten, dass Hersteller in der Windows- und Linux-Welt sowie in den namhaften Cloud-Plattformen hektisch an Updates arbeiten – etwas Großes musste dahinter stecken.
Technische Hintergründe
Wie sich zeigte, ist dem auch so: Die auf den Namen Meltdown und Spectre getauften Sicherheitslücken nutzen sogar die Achillesferse verschlüsselter Geräte aus. Um dem ganzen Problem auf den Grund zu gehen, müssten wir tief in die Computertechnik eintauchen. Die Hintergründe sind also sehr komplex und fast nur für Software-Programmierer zu verstehen. Wir versuchen, das Ganze vereinfacht, mit verständlichen Begriffen zu erklären:
Seit den 90er Jahren wurden Prozessoren dahingehend weiterentwickelt, Daten immer schneller zu verarbeiten. Zu diesem Zwecke werden mehrere Befehle gleichzeitig berechnet, um möglicherweise später benötigte Daten schon vorher abzurufen. Welche das sind, entscheidet der Computer – er spekuliert sozusagen, welcher Teil eines Programmes als nächstes ausgeführt werden könnte. Für die Spekulation greift der Prozessor auf Erfahrungswerte zurück. Stellt der Prozessor fest, dass er sich verspekuliert hat, verwirft er die berechneten Daten einfach. In der Regel irrt sich der Prozessor jedoch selten und die berechneten Daten werden schnell verarbeitet.
Während der Prozessor rechnet und sich spekulative Ergebnisse zwischenspeichert, stehen Daten unverschlüsselt im Speicher – zum Schutz in getrennten Speicherbereichen. Der Knackpunkt: Um Befehle auszuführen, müssen Daten ausgetauscht werden. Dazu muss ein Prozess jedoch teilweise auf Speicher zugreifen, den auch ein anderer Prozess erreichen kann. Das geschieht nach klar definierten Regeln – unter anderem aus dem Grund, damit einige Daten eben nicht ausgetauscht werden dürfen.
Sicherheitslücken in Prozessoren
Nun haben Sicherheitsforscher herausgefunden, dass der Speicherschutz umgangen werden kann. Es gibt Möglichkeiten, Daten, die einem Programm gehören, mit einem Schadprogramm auszulesen. Dieser Fehler eröffnet Hackern zwei Angriffsmöglichkeiten: „Meltdown“ und „Spectre“.
Meltdown
Meltdown verschafft sich Zugriff auf eigentlich geschützte Speicherbereiche. Konkret wird bei dieser Angriffsmethode die Vorab-Informationsbeschaffung des Prozessors ausgenutzt. Während er spekuliert, was als Nächstes zu tun ist, erzeugt der Prozessor selbst Daten und speichert diese zwischen. Aus diesem Cache heraus können Angreifer Daten abgreifen, indem sie Schadprogramme auf dem Gerät ihres Opfers installieren – beispielsweise über eine manipulierte Webseite – und ausführen.
Spectre
Spectre ist noch komplexer und zielt auf den oben genannten Lernprozess eines Chips ab, Prozesse zu verarbeiten und auf welcher Basis er Entscheidungen zu treffen hat. Angreifer können dem Chip beibringen, Entscheidungen zu treffen, die er eigentlich gar nicht treffen darf – sie manipulieren ihn und kommen auf diese Weise an die Daten. Diese Angriffsmethode ist zwar aufwändiger umzusetzen, weil Angreifer sich mehr Informationen beschaffen müssen, beispielsweise welche Software und welches Betriebssystem auf dem jeweiligen Gerät installiert ist. Dennoch ist ein Angriff dieser Art möglich.
Keine Antivirenlösung in Sicht
Niemand weiß, ob die Sicherheitslücken in Prozessoren bereits ausgenutzt wurden und wenn ja, von wem. Bislang ist auch keine Schadsoftware bekannt, die Meltdown oder Spectre ausnutzt. Und genau das ist auch schon das nächste Problem: Antivirenlösungen erkennen nur Schadprogramme, die bereits bekannt sind. Automatisch erkennt keine Antivirenlösung der Welt ein ihr unbekanntes Schadprogramm. Denn erst anhand seiner individuell typischen Signatur können Antivirenlösungen ein solches Programm erkennen und blockieren.
Noch gruseliger wird es, wenn Sie sich in Erinnerung rufen, wie einfach Schadprogramme auf einen Rechner gelangen können: Zum Beispiel versteckt im Anhang einer als seriös getarnten E-Mail oder als Download über eine gefakte Website (Phishingsite).
Was Sie tun können
In wilde Panik zu verfallen und den Prozessor tauschen zu wollen, nützt wenig: Es gibt aktuell keine Prozessoren, die nicht von Spectre betroffen sind. Die betroffenen Prozessorenhersteller Intel, AMD und ARM arbeiten eigenen Aussagen zufolge daran, das Problem zu lösen. Der Knackpunkt dabei: Der Programmcode, der Befehle des Betriebssystems für den Prozessor übersetzt, muss aktualisiert werden. Für jedes PC- und Smartphone-Modell müssen eigene Firmware-Updates bereitgestellt werden. Sie können sich vorstellen, dass das ein teures und aufwändiges Unterfangen ist.
Mehr als Updates für Ihre Betriebssysteme zu installieren, können Sie momentan also kaum tun. Immerhin bekommen Sie auf diese Weise wenigstens Meltdown in den Griff. Die ersten Updates für Betriebssysteme und Software liegen bereits vor. Gleich ob Smartphone, Windows- oder Linux-PC oder MacBook: Installieren Sie diese Updates unbedingt auf Ihren Geräten. Sollte für Ihr Betriebssystem (noch) kein Update vorliegen, halten Sie unbedingt Ausschau danach und installieren Sie es umgehend.
Updates mit allen iQ.Suite Versionen erfolgreich getestet
Mittlerweile stehen Updates u.a. von Microsoft zur Schließung der Sicherheitslücken zur Verfügung. Das Zusammenspiel dieser Updates wurde mit allen aktuellen iQ.Suite Versionen erfolgreich getestet. Alle relevanten Informationen können Sie in unserem neuesten Knowledgebase Artikel lesen.Laut Google sind auch Android-Systeme von Smartphones gefährdet. Die hauseigenen Smartphones seien mit dem Android-Sicherheitsupdate vom 2. Januar geschützt. Die Androiden anderer Hersteller haben ein solches Sicherheitsupdate nach heutigem Stand (9.1.2017) noch nicht erhalten. Die Google-Produkte Chromecast, Home und Google Wifi sind angeblich nicht von Meltdown und Spectre betroffen. Googles Browser Chrome soll mit seiner angekündigten Version 64 die Angriffsmöglichkeiten immerhin abschwächen.
Microsoft
Microsoft hat (neben Amazon) damit begonnen, seine Cloud-Dienste mit Updates abzusichern. Am 4. Januar hat Microsoft zudem für Windows ein außerplanmäßiges Sicherheits-Update herausgegeben. Mit diesem soll verhindert werden, dass Meltdown über Funktionen in den Browsern Edge und Internet Explorer ausgenutzt werden kann. In einem aktuellen Blog-Beitrag (https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/) erklärt Microsoft-Vizepräsident Terry Myerson die Updates genauer und gibt auch Einschätzungen über Performance-Einbußen ab: Unter Windows Server können die erheblich sein.
Apple
Apple soll nach unbestätigten Berichten mit einem früheren Update für sein Betriebssystem Mac OS das Leck bereits teilweise geschlossen haben. Ansonsten tappen iOS-Nutzer noch im Dunklen: Apple äußerte sich bislang nicht (Stand: 9.1.2017), was mit iPhones und iPads ist. Auch diese laufen mit Prozessoren von ARM.
Der Beitrag Meltdown und Spectre: Der IT-Security-Supergau? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.
IBM kündigt das #domino2025 Online-Forum an
IBM stellt vom 16. – 18. Januar das #domino2025 Forum online, in welchem Anwender, Administratoren, Entwickler und sonstige Interessenten die Zukunft von IBM Notes Domino mitgestalten können. #domino2025 Online Forum Das #domino2025 Online Forum findet vom 16. Januar 15:00 Uhr CET bis zum 18. Januar 2018 22:00 Uhr CET statt – das sind […]
The post IBM kündigt das #domino2025 Online-Forum an appeared first on madicon.de - Ingenieurbüro Manfred Dillmann.
IBM Domino Server (HTTP) gegen ROBOT-Attack absichern
Obgleich Informationen zur ROBOT-Attack schon Mitte Dezember 2017 veröffentlicht wurden, hat IBM bis jetzt noch keinen Fix zur Absicherung des HTTP-Tasks geliefert. Sie können Ihren IBM Domino Server aber gegen solche Angriffe schützen.
Um was geht es bei ROBOT-Attack?
Auf heise Security gibt es einen interessanten Artikel mit Hintergrundinformationen zur ROBOT-Attack (Return of Bleichenbacher’s Oracle Thread).
Zitat:
Damit die ROBOT-Attacke klappt, muss ein Server wie im damaligen Angriffsszenario TLS in Verbindung mit RSA-Verschlüsselung beim Schlüsselaustausch inklusive PKCS #1 1.5 einsetzen. Ist das der Fall, könnten Angreifer die Bleichenbacher-Schwachstelle ausnutzen und den Session Key via Brute-Force-Attacke erraten. Ist dies erfolgreich, kann man mitgeschnittenen Traffic entschlüsseln. Der private Schlüssel ist nicht gefährdet.
Setzt ein Server ausschließlich auf RSA, ist die Attacke desaströs. Heutzutage sollte das aber eigentlich nicht mehr der Fall sein. Für den Schlüsselaustausch sollte Diffie Hellman auf elliptischen Kurven (ECDH) zum Einsatz kommen. Oft ist RSA jedoch noch als Fallback auf Servern aktiv. Kommt Forward Secrecy zum Einsatz, ist eine ROBOT-Attacke den Sicherheitsforschern zufolge immer noch vorstellbar, aber schwieriger auszuführen.
Ist mein IBM Domino Server von der ROBOT-Attack betroffen?
Wenn Ihr Domino Server direkt vom Internet aus erreichbar ist und mit der Standard-Konfiguraton läuft, ist dies wahrscheinlich der Fall. Ich habe meinen IBM Dominno Server (mobil.madicon.de) wie folgt überprüft.
robotattack.org
Unter https://robotattack.org können Sie durch die Eingabe der URL Ihren IBM Domino Server auf eine mögliche Verwundbarkeit testen.
Dies ist das Ergebnis meines IBM Domino Servers mit der Standard-Konfiguration.
Qualys SSL Server Test
Auch Qualys liefert (neben vielen weiteren wichtigen Informationen zu Ihrem Zertifikat) mit dem SSL Server Test eine Aussage zur möglichen Verbundbarkeit Ihres IBM Domino Servers.
Dies ist das Ergebnis von Qualys für meinen IBM Domino Servers mit der Standard-Konfiguration. Interessant ist auch der Hinweis, dass ungeschütze Webserver ab Februar 2018 nur noch einen Grade „F“ erhalten werden.
Lösungsansatz
Solange IBM noch keinen Fix geliefert hat, müssen Sie selbst aktiv werden. Im Heise Security Artikel wird folgender Workaround empfohlen.
Wer Technik einsetzt die anfällig ist und für die keine Patches verfügbar sind, sollte die RSA-Verschlüsselung deaktivieren. Darunter fallen alle Ciphers mit der Bezeichnung TLS_RSA.
Lösung für den IBM Domino Server
Seit IBM Domino 9.0.1 FP5 können die vom IBM Domino Server zu verwendeten Cipher durch einen NOTES.INI Eintrag auf dem IBM Domino Server gesteuert werden.
Welche Cipher nutzt der IBM Domino Server in der Standard-Konfiguration?
Der IBM Domino Server ab Version 9.0.1 FP5 nutzt für TLS 1.2 folgende Default Cipher List:
- ECDHE_RSA_WITH_AES_256_GCM_SHA384 (C030)
- DHE_RSA_WITH_AES_256_GCM_SHA384 (009F)
- ECDHE_RSA_WITH_AES_128_GCM_SHA256 (C02F)
- DHE_RSA_WITH_AES_128_GCM_SHA256 (009E)
- ECDHE_RSA_WITH_AES_256_CBC_SHA384 (C028)
- DHE_RSA_WITH_AES_256_CBC_SHA256 (006B)
- ECDHE_RSA_WITH_AES_256_CBC_SHA (C014)
- DHE_RSA_WITH_AES_256_CBC_SHA (0039)
- ECDHE_RSA_WITH_AES_128_CBC_SHA256 (C027)
- DHE_RSA_WITH_AES_128_CBC_SHA256 (0067)
- ECDHE_RSA_WITH_AES_128_CBC_SHA (C013)
- RSA_WITH_AES_256_GCM_SHA384 (009D)
- RSA_WITH_AES_128_GCM_SHA256 (009C)
- RSA_WITH_AES_256_CBC_SHA256 (003D)
- RSA_WITH_AES_256_CBC_SHA (0035)
- RSA_WITH_AES_128_CBC_SHA256 (003C)
- RSA_WITH_AES_128_CBC_SHA (002F)
- RSA_WITH_3DES_EDE_CBC_SHA (000A)
Entsprechend der Empfehlung von Heise Security (siehe oben) sollen die mit RSA_ beginnenden Cipher entfernt werden. Sie können die vom IBM Domino Server genutzen Cipher durch einen Eintrag in der Datei NOTES.INI selbst steuern und Ihren Domino Server so gegen die ROBOT-Attack schützen.
Festlegung der gewünschten Cipher in der NOTES.INI des IBM Domino Servers
Ab IBM Domino Version 9.0.1 FP5 können die gewünschten Cipher durch die NOTES.INI-Variable
SSLCipherSpec=...
gesetzt werden. Die gewünschten Cipher (= der Hex-Code in den runden Klammern) werden immer 4-stellig (inkl. führender Nullen) direkt hintereinander angegeben. Zur Nutzung der oben gelisteten Cipher 1 bis 11 geben Sie folgenden Befehl an der Domino Konsole ein:
set config SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013
Der Eintrag wird sofort in die Datei NOTES.INI übernommen. Damit die neuen Cipher auch wirksam werden, muss der HTTP-Task neu gestartet werden.
tell http restart
Die Wirksamkeit des NOTES.INI Eintrages sollte während des Neustarts des HTTP-Taks durch folgende Konsolenmeldung bestätigt werden.
SSLCipherSpec setting in notes.ini file will override settings from Domino Directory
Fazit
Mit den obigen Einstellung ist mein IBM Domino Server nun offensichtlich gegen die ROBOT-Attack geschützt.
Ältere Clients haben ein Problem, wenn sie weder DHE (Diffie Hellman key exchange) noch ECDHE (Elliptic Curve Diffie Hellman key exchange) Verschlüsselung untersützen. Der Anteil dürfte aber heute gering sein. Moderne TLS Verbindungen nutzen DHE/ECDHE und benötigen RSA nur für Signaturen.
Und wie immer gilt: Sicherheit geht vor!
IBM Domino Server (HTTP) gegen ROBOT-Attack absichern
Obgleich Informationen zur ROBOT-Attack schon Mitte Dezember 2017 veröffentlicht wurden, hat IBM bis jetzt noch keinen Fix zur Absicherung des HTTP-Tasks geliefert. Sie können Ihren IBM Domino Server aber gegen solche Angriffe schützen.
Um was geht es bei ROBOT-Attack?
Auf heise Security gibt es einen interessanten Artikel mit Hintergrundinformationen zur ROBOT-Attack (Return of Bleichenbacher’s Oracle Thread).
Zitat:
Damit die ROBOT-Attacke klappt, muss ein Server wie im damaligen Angriffsszenario TLS in Verbindung mit RSA-Verschlüsselung beim Schlüsselaustausch inklusive PKCS #1 1.5 einsetzen. Ist das der Fall, könnten Angreifer die Bleichenbacher-Schwachstelle ausnutzen und den Session Key via Brute-Force-Attacke erraten. Ist dies erfolgreich, kann man mitgeschnittenen Traffic entschlüsseln. Der private Schlüssel ist nicht gefährdet.
Setzt ein Server ausschließlich auf RSA, ist die Attacke desaströs. Heutzutage sollte das aber eigentlich nicht mehr der Fall sein. Für den Schlüsselaustausch sollte Diffie Hellman auf elliptischen Kurven (ECDH) zum Einsatz kommen. Oft ist RSA jedoch noch als Fallback auf Servern aktiv. Kommt Forward Secrecy zum Einsatz, ist eine ROBOT-Attacke den Sicherheitsforschern zufolge immer noch vorstellbar, aber schwieriger auszuführen.
Ist mein IBM Domino Server von der ROBOT-Attack betroffen?
Wenn Ihr Domino Server direkt vom Internet aus erreichbar ist und mit der Standard-Konfiguraton läuft, ist dies wahrscheinlich der Fall. Ich habe meinen IBM Dominno Server (mobil.madicon.de) wie folgt überprüft.
robotattack.org
Unter https://robotattack.org können Sie durch die Eingabe der URL Ihren IBM Domino Server auf eine mögliche Verwundbarkeit testen.
Dies ist das Ergebnis meines IBM Domino Servers mit der Standard-Konfiguration.
Qualys SSL Server Test
Auch Qualys liefert (neben vielen weiteren wichtigen Informationen zu Ihrem Zertifikat) mit dem SSL Server Test eine Aussage zur möglichen Verbundbarkeit Ihres IBM Domino Servers.
Dies ist das Ergebnis von Qualys für meinen IBM Domino Servers mit der Standard-Konfiguration. Interessant ist auch der Hinweis, dass ungeschütze Webserver ab Februar 2018 nur noch einen Grade „F“ erhalten werden.
Lösungsansatz
Solange IBM noch keinen Fix geliefert hat, müssen Sie selbst aktiv werden. Im Heise Security Artikel wird folgender Workaround empfohlen.
Wer Technik einsetzt die anfällig ist und für die keine Patches verfügbar sind, sollte die RSA-Verschlüsselung deaktivieren. Darunter fallen alle Ciphers mit der Bezeichnung TLS_RSA.
Lösung für den IBM Domino Server
Seit IBM Domino 9.0.1 FP5 können die vom IBM Domino Server zu verwendeten Cipher durch einen NOTES.INI Eintrag auf dem IBM Domino Server gesteuert werden.
Welche Cipher nutzt der IBM Domino Server in der Standard-Konfiguration?
Der IBM Domino Server ab Version 9.0.1 FP5 nutzt für TLS 1.2 folgende Default Cipher List:
- ECDHE_RSA_WITH_AES_256_GCM_SHA384 (C030)
- DHE_RSA_WITH_AES_256_GCM_SHA384 (009F)
- ECDHE_RSA_WITH_AES_128_GCM_SHA256 (C02F)
- DHE_RSA_WITH_AES_128_GCM_SHA256 (009E)
- ECDHE_RSA_WITH_AES_256_CBC_SHA384 (C028)
- DHE_RSA_WITH_AES_256_CBC_SHA256 (006B)
- ECDHE_RSA_WITH_AES_256_CBC_SHA (C014)
- DHE_RSA_WITH_AES_256_CBC_SHA (0039)
- ECDHE_RSA_WITH_AES_128_CBC_SHA256 (C027)
- DHE_RSA_WITH_AES_128_CBC_SHA256 (0067)
- ECDHE_RSA_WITH_AES_128_CBC_SHA (C013)
- RSA_WITH_AES_256_GCM_SHA384 (009D)
- RSA_WITH_AES_128_GCM_SHA256 (009C)
- RSA_WITH_AES_256_CBC_SHA256 (003D)
- RSA_WITH_AES_256_CBC_SHA (0035)
- RSA_WITH_AES_128_CBC_SHA256 (003C)
- RSA_WITH_AES_128_CBC_SHA (002F)
- RSA_WITH_3DES_EDE_CBC_SHA (000A)
Entsprechend der Empfehlung von Heise Security (siehe oben) sollen die mit RSA_ beginnenden Cipher entfernt werden. Sie können die vom IBM Domino Server genutzen Cipher durch einen Eintrag in der Datei NOTES.INI selbst steuern und Ihren Domino Server so gegen die ROBOT-Attack schützen.
Festlegung der gewünschten Cipher in der NOTES.INI des IBM Domino Servers
Ab IBM Domino Version 9.0.1 FP5 können die gewünschten Cipher durch die NOTES.INI-Variable
SSLCipherSpec=...
gesetzt werden. Die gewünschten Cipher (= der Hex-Code in den runden Klammern) werden immer 4-stellig (inkl. führender Nullen) direkt hintereinander angegeben. Zur Nutzung der oben gelisteten Cipher 1 bis 11 geben Sie folgenden Befehl an der Domino Konsole ein:
set config SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013
Der Eintrag wird sofort in die Datei NOTES.INI übernommen. Damit die neuen Cipher auch wirksam werden, muss der HTTP-Task neu gestartet werden.
tell http restart
Die Wirksamkeit des NOTES.INI Eintrages sollte während des Neustarts des HTTP-Taks durch folgende Konsolenmeldung bestätigt werden.
SSLCipherSpec setting in notes.ini file will override settings from Domino Directory
Fazit
Mit den obigen Einstellung ist mein IBM Domino Server nun offensichtlich gegen die ROBOT-Attack geschützt.
Ältere Clients haben ein Problem, wenn sie weder DHE (Diffie Hellman key exchange) noch ECDHE (Elliptic Curve Diffie Hellman key exchange) Verschlüsselung untersützen. Der Anteil dürfte aber heute gering sein. Moderne TLS Verbindungen nutzen DHE/ECDHE und benötigen RSA nur für Signaturen.
Und wie immer gilt: Sicherheit geht vor!
[DE] Mit Alexa erobert Amazon geräusch- und protestlos unser Heim – und platziert den omnipräsenten Dauerverkäufer
Weihnachten 2017 markiert den Durchbruch der Stimme als Interface für die digitale Welt. Die Folgen werden so tiefgreifend sein wie beim Smartphone, …
via Sprachsteuerung im Alltag: Ohne geht es nicht mehr – Kolumne
Sascha Lobo bringt es in seiner Kolumne auf Spiegel Online auf den Punkt. Wir opfern einen weiteren Teil unserer Privatsphäre der Bequemlichkeit. Wie ich hier schon öfters geschrieben habe, geben viele von uns Facebook, Google und Amazon mehr oder weniger gedankenlos unsere Daten im Tausch gegen „das“ soziale Netzwerk, eine scheinbar konkurrenzlose Suche und eine komfortable, hochpersonalisierte Onlineshopping-Erfahrung.
Nun kommt die nächste Stufe: Mit Alexa erobert Amazon das Smart Home – und das eher geräusch- und protestlos – wenn man das bei einem „smarten“ Lautsprecher sagen darf. Lobo schreibt von „Voice Commerce“, vom ständig präsenten und verkaufsbereiten Dauerverkäufer.
„Du hast keine Milch mehr im Kühlschrank. Darf ich die gleich liefern?“
„Vor vier Jahren hast Du die lila Boots gekauft. Sind sie noch dicht? Morgen schneit es und Du solltest warme, wasserdichte Schuhe haben. Nicht wahr?“
Schuhe, Schuhe, wir wollen mehr Schuhe.
Schon heute machen uns Spotify oder Soundcloud die besseren Musikvorschläge. Und Alexa und Co. beziehungsweise die Algorithmen dahinter werden immer schlauer. Offenbar ein Weg ohne Umkehr:
Heute stehen Kinder zu Recht verständnislos vor Bildschirmen, die sich erdreisten, keine Touchscreens zu sein oder wenigstens gestengesteuert. Bald wirken Alltagsgeräte, mit denen man nicht sprechen kann, ähnlich gestrig. …
Das Netz wandele sich in eine Sprech- und Videolandschaft, manuelle Texteingabe werde zum Sonderfall. … Die Plattformkonzerne, die heute für so viele das Netz sind, erobern die älteste Kommunikationsform der Menschheit: das Gespräch. Und alle machen mit. Alexa regiert Deutschland.
via Sprachsteuerung im Alltag: Ohne geht es nicht mehr – Kolumne
Um es nochmals klar zu schreiben: Gegen Sprachsteuerung ist nichts zu sagen. Im Gegenteil. Es ist der nächste Schritt, „Geräte“ beziehungsweise das Netz komfortabel und „natürlich“ zu bedienen. Gerade das Smart Home. Und ich habe zumindest immer bewundert, wenn Spock und Kirk mit dem Bordcomputer auf dem Raumschiff Enterprise parlieren.
Doch es gibt einen Unterschied zwischen diesem freundlichen Helfer und Alexa. Die entscheidende Frage bei Alexa & Co. ist, wie viel Selbstständigkeit, Eigenverantwortlichkeit und Datenhoheit – gibt es die überhaupt noch – wir aufgeben und für welchen Preis. Und müssen wir wirklich dem omnipräsenten Dauerverkäufer unsere Tür ständig offen halten? Alexa, halt einfach die Klappe.
Und als Schmankerl Scotti, der versucht mit dem Computer zu sprechen: Erhöhte Obacht bei 0:58 …:
(Stefan Pfeiffer)
Die kommende Woche wird heiß: Domino 2025 Jams in Deutschland & Online-Forum
Wie im letzten Jahr mehrfach gesagt, hat sich IBM in der neuen Partnerschaft mit HCL viel für die Produkte der Notes Domino-Familie (Verse, Notes, Domino, Sametime, usw.) vorgenommen. Dabei gilt es zunächst die Stoßrichtung der nächsten Jahre festzulegen. Das soll nicht heimlich geschehen, wie es bei Marktbegleitern üblich ist, sondern zusammen mit Ihnen – unseren […]
Der Beitrag Die kommende Woche wird heiß: Domino 2025 Jams in Deutschland & Online-Forum erschien zuerst auf DNUG.