Entries from Hanno Böck

Normalerweise hätte ich jetzt einen Beitrag verfasst, dass ich gleich auf's Southside fahre, dass das bestimmt extrem cool wird und hätt mich noch darüber aufgeregt, dass Marilyn Manson und Deichkind zur selben Zeit spielen sollen.

Das Ganze wird getrübt durch die Tatsache, dass gestern ein Mensch beim Aufbau ums Leben kam. Die Zeltbühne fällt wohl sowieso aus (womit sich o. g. Kollission erledigt, da Deichkind wohl ausfällt) und es wird sicher eine etwas gedrückte Festivalstimmung sein.

Ob's Liveberichte gibt kann ich grad noch nicht sagen, da ich selbst noch nicht in der Welt des vollständig mobilen Internets angekommen bin (und UMTS wird's in Neuhausen/Eck sowieso nicht geben).

Update: Liveberichte gab's, wie man feststellen konnte, keine (auf dem G8-Camp ging's da moderner zu, da gab's WLAN), aber dafür ein paar Bilder (werden noch mehr, sobald ich mein Handy dazu überredet habe, mit meinem Laptop zu reden).

On osm-dev, there was a discussion how to name the download location for the whole data. Some people seem to think forward:
»Since there is more than one planet, and someone might want to map the canals of Mars one day, I think we should call our planet by its proper name. +1 for earth.«

(now, the real reason is that there was discussion about having a planet osm for blog aggregation)

I recently wrote that I'm sometimes a bit unhappy how security issues are handled in free software project.

Now, to have some contrast, today I'll talk about an example how to do it right. Serendipity, the software I'm using to host this blog, had an SQL injection vulnerability. On the same day, they announced it and provide updated packages. The finder of the vulnerability is also mentioned. Now, it is only able to get password-hashes, many other projects probably would've treated this vulnerability as »low-impact« or something like that.
But beside that, they also provide some tipps how to check if the vulnerability has already been exploitet and suggest to change user passwords.

A while back, there was another vulnerability reported in serendipity. The authors said they don't think that it's really a vulnerability and it probably can't be used for anything evil. But anyway, an update was released and announced just to be sure.

Now, that's good security-work. The fact that serendipity has very few vulnerabilities at all already is very good. The fact they treat the few ones proper is even better. Some other projects should have a look at that.

Sehr kurzfristig bekam ich heute mit, dass im ZKM eine Podiumsdiskussion unter dem Titel »Wer spielt mit wem? Über das Für und Wider von Computerspielen« stattfindet. Wurde leider wohl etwas mangelhaft beworben.

Inhaltlich sehr interessant, zur Abwechslung mal eine etwas sachlichere Diskussion zum Thema zu hören. Das Podium war besetzt von Leuten aus dem wissenschaftlichen Bereich, von Leuten aus der Gamer-Szene und aus der Jugendarbeit. Angesichts der Auswahl der Teilnehmer verlief das ganze recht harmonisch, alle waren insgesamt dem Phänomen Computerspiel eher positiv gegenüber eingestellt, es gab also keinen vom Niveau eines Christian Pfeiffer oder Günter Beckstein. Das tat dem ganzen aber glaub eher gut.

Aufgrund der Vielfalt der Diskussionsstränge fällt es mir schwer, eine Kurzzusammenfassung zu geben. Insgesamt war's jedoch sehr positiv und ich würde mir mehr solche Veranstaltungen wünschen. Ob's einen Mitschnitt gibt weiss ich jetzt nicht. Sollte einer auftauchen werd ich ihn gerne verlinken.

Finally I managed to upload some pictures of the protest at the g8-summit in heiligendamm.

Due to some damn circumstances, I deleted a bunch of images. Some of them could be restored (using the great rescue-suite sleuthkit - not really easy to use, but powerful).

Some more pictures (of the police action against the media activists bus) are uploaded at indymedia.

There was a firework in sight of my window. Sadly it took me three minutes to get the camera in a stable position. Then, after one minute the battery was empty. Also the resolution was set to low.
So it's only a mini-video with three minutes shaking and one minute with a stable camera (note to self: next time load your cam after a longer trip).
Fireworks as OGG Theora/Vorbis (can be played with vlc)

Nach einer Woche Camps und Demonstrationen bin ich wieder zurück, hab wieder ein echtes Bett und vor allem wieder eine richtige Internetleitung. In den nächsten Tagen wird's noch den ein- oder anderen Eintrag geben, je nach Lust und Laune, zu sagen gäb's viel, zur Medienstrategie der Polizei, zur eigenwilligen Auslegung von Pressefreiheit, zu Steineschmeißern und Zivilpolizisten, zu ATTAC-Funktionären und taz-Reportern, sowie auch zu verschiedener Kritik an den Protesten aus der Linken.

Insgesamt war ich doch mit dem Protest recht zufrieden, auch wenn ich am Konzept von »Block G8« die ein- oder andere Kritik zu formulieren hätte, kann man wohl sagen, dass hier doch ein Großteil dazu beigetragen wurde, das Bild der Proteste in den letzten Tagen deutlich gerade zu rücken und vor allem etwas von der unsäglichen Debatte »friedliche (langweilige, inhaltsleere) Demonstration« versus »Steineschmeißer« wegzukommen.

Die »offiziellen« Gipfelergebnisse zu kommentieren sollte eigentlich kaum der Mühe wert sein, da jedoch von Bild bis Tagesschau alle der Ansicht sind, die großartigen Erfolge herauszustellen, ist es wohl doch notwendig.

Part I: Klimaschutz

Die Reduzierung der Treibhausgase um 50 % bis 2050 wird »ernsthaft in Betracht gezogen«. Das ist der große Erfolg von Angela Merkel. Da es scheinbar den meisten Medien so schwer fällt, dieses Kompromissformelsprech zu übersetzen, mein kleiner Beitrag: Die Gipfelerklärung zum Klimaschutz in leicht verständlichem Hochdeutsch:
»Die halbe Welt erwartet von uns, irgendwas zum Klimaschutz zu sagen. Deswegen schreiben wir mal eine Absichtserklärung. Wenn sich der Rauch der aktuellen Debatte etwas gelegt hat, werden wir eine Klimakonferenz (die heißt so, weil alle in vollklimatisierten Limousinen anreisen) einberufen, auf der wir dann einen großartigen Kompromiss präsentieren werden, der dann statt 50 Prozent eben 50 Promille lauten wird. Ist ja auch egal, hauptsache 50. Wie man mit Zahlen jongliert und virtuelle CO2-Reduktionen produziert, haben wir beim Kyoto-Protokoll ja schon geübt, insofern sollte das auch kein Problem darstellen.«
(Zum Kyoto-Protokoll hab ich übrigens kürzlich einen kleinen Artikel geschrieben, der in der Contraste und eventuell im Grünen Blatt veröffentlicht wird)

Insgesamt erinnerte mich das frapierend an die Voyager-Folge Dreißig Tage.

Wie das mit dem Klimaschutz dann ganz praktisch geht, spüren demnächst alle, die gelegentlich im Großraum Stuttgart mit der Bahn unterwegs sind: Streckenstreichungen en Masse, dank Stuttgart 21. Am Sonntag gibt's dazu eine kleine Protestaktion, zu der ich mich wohl, wenn's klappt, auch begeben werde.

Part II: Afrika-Hilfen und geistige Eigentumsrechte

Hier sieht die Sache schon deutlich weniger offensichtlich aus. Die Kritik, die es bis in die Tagesschau schafft, reduziert sich drauf, dass das allemal viel zu wenig und komplett unverbindlich ist. Das ist sicher richtig, geht aber im Kern an der Sache vorbei.
Parallel zu den Beschlüssen, 60 Milliarden für Afrika, in erster Linie zur Bekämpfung von Krankheiten, auszugeben, stand das Thema »geistige Eigentumsrechte« auf der Agenda von Angela Merkel ganz oben. Hilfe zur Bekämpfung von Krankheiten, das heißt in erster Linie Medikamente. Medikamente, die meist keine hohen Produktionskosten haben, dafür umso höhere Patentgebühren. Während die Produktion von Generika, die den Entwicklungsländern die Möglichkeit geben würde, selbst besser gegen AIDS und Co. vorzugehen, erschwert wird, wandern große Mengen der Entwicklungshilfe in die Kassen der Pharmaindustrie.
Statt »60 Milliarden für Afrika« wäre »60 Milliarden Wirtschaftsförderung für die Pharmaindustrie« sicher passender. Aber das klingt ja nicht so gut.

Für Nahrungsmittel ließe sich ähnliches aufmachen. Ihr wollt ein paar Tonnen Reis? Setzt doch erstmal verschärfte Sortenschutzbestimmungen durch. Oder doch lieber gleich ein bißchen toxischen BT-Mais von Monsanto?

Achja: Zu Bono, Grönemeyer und diesem Affenzirkus erspar ich mir jeden Kommentar, verweise jedoch auf telepolis, wo das ganz gut zusammengefasst wird. Es ist schon traurig, dass ein pseudo-moralisches Popkonzert immer noch weit mehr Anziehungskraft besitzt als jede Protestaktion.

Bilder gibt's demnächst hier (im Moment noch leer, muss das noch sichten und sortieren).

Wie bereits erwähnt befindet ich mich gerade in der Gegend von Rostock beim G8-Gipfel. Man möge mir verzeihen, dass ich gerade nur einige kurze Eindrücke etwas durcheinander wiedergebe.

Allgemein muss man sich vorstellen, dass die ganze »Außenwelt« der Medien hier nur sehr verzögert ankommt. Es gibt zwar ein Internet-Zelt, das ist jedoch meist überfüllt und den Laptop hab ich zwecks Ängsten vor Beschlagnahmung nicht dabei (WLAN gibt's, also die Technik hier passt schon).

Zur etwas absurden Debatte über die Ereignisse vom Samstag sei nur erwähnt, dass die Zahl von 400 verletzten Polizisten zwar die Schlagzeilen beherrschte, dass jedoch über 500 verletzte Demonstranten zu beklagen waren, davon erfährt man höchstens auf Seite 5 unten oder so. Insbesondere die taz macht sich gerade der Wahrheitsverzerrung verdient, gemeinsam mit ATTAC-Oberen, die sich's im Pressezelt bequem machen und von der Basis wirklich überhaupt nichts mitbekommen. Und insbesondere sowas hier verdient sicher der detailierten Aufarbeitung im Nachhinein, wenngleich das so natürlich erstmal genauerer Belege bedarf. Allgemein nehme ich jedoch wahr, dass die Presseberichte tendenziell positiver werden und auch Tagesschau und Co. hier und da ganz sympatisch berichten.

Ich selbst habe vor circa einer Stunde die Räumung eines Indymedia-Busses miterleben dürfen (die freie Presse war der Polizei hier wohl etwas zu frei), dazu Artikel hier.

Ich hab ganz furchtbar viele Bilder, die ich leider jedoch im Moment nicht hochladen kann, da ich froh bin, hier überhaupt Bandbreite für diesen Artikel zu haben. Das gibt's dann alles im Nachhinein.

Today I saw that in the Rewe supermarket, they sell remakes of old Nintendo Game and Watch games (called Mini Classics). For those who don't know, Game and Watch where early Nintendo Games, only one game in a device, with an lcd-screen.

I bought the two classics Super Mario Bros. and Donkey Kong Junior (there were some others but none of them seemed to be of the original titles). I also have a quite nice collection of older Game and Watch titles, I think I might upload some pictures of them when I find time for it.

It's an often told story that the free software community cares more about security. That it's much better because everyone can look at the code. While this may sometimes be true and I know many free software projects really care about security issues, often enough it's the exact opposite.

On 26.04., some guy called Marsu released an advisory about the GIMP. Loading files in the sunras-format can lead to a buffer overflow. Now, while it was silently fixed in svn, for a month they didn't put an advisory on their page and they didn't provide an update. Even with the release of new versions (2.2.15, 2.3.17), they somehow »forgot« to mention that it was a security-update.
Now, after looking into the NEWS-file (which is their Changelog), for 2.2.15 there's this little line:
- guard against a possible stack overflow in the Sunras loader (bug #433902)
They didn't mention the word »security«, they didn't give credits to Marsu, they didn't provide a reference to the advisory or the CVE-ID. Now, even worse, for 2.3.17, they forgot to mention that bug at all (it's probably part of the mentioned »lots of bug fixes«).

Now one might say this isn't that critical, because who uses sunras (I also never heared of that format before)? But think about this: I could mail someone a crafted sunras-file, saying it's an old image I found on some backup HD, together with the note that gimp can open it. I think it's not unlikely that someone might open it, especially with some intelligent social engineering. Beside that, EVERY SINGLE security bug should be taken serious.

Now, don't take me wrong. I love the GIMP, it's a great application. I also think that free software is an important precondition for secure software. But it's not the only thing. And as long as many people in the free software community treat security bugs like this, it's no better than those in the proprietary world.

Ich werd zwar zwecks G8/Heiligendamm nicht anwesend sein, möchte aber trotzdem allen, denen Heiligendamm zu weit ist, die das sowieso doof finden oder die vor den Chaoten Angst haben als Alternativtermin die GPN6 ans Herz legen und poste hier mal die Ankündigung:

Die Gulaschprogrammiernacht des Entropia (CCC Karlsruhe) steht vor Ihrer sechsten Inkarnation und wir möchten euch einladen, zahlreich zu erscheinen. Neben Vorträgen, Workshops, Programmier- und Hardware-Projekten gibt’s eine entspannte Atmosphäre mit vielen LEDs, einer Monitorwand, mäßig gefährlicher Laseroptik, Sofas, beruhigend-treibender elektronischer Live-Musik, noch mehr Sofas, kühlen Getränken und Gulasch aus dem großen Topf. Alles um euch bei der Entfaltung eures eigenen, kreativen Potentials zu unterstützen. Löten statt Töten!
Die GPN6 beginnt am Freitag, den 1. Juni 2007 und läuft bis zum 3. Juni 2007. Alles nähere unter http://entropia.de/GPN6 oder im IRCNet auf Kanal !gpn.

Warum sind Kabel eigentlich immer so teuer? Gestern wollte ich lediglich ein gewöhnliches Mini-USB-Kabel erstehen. Jedoch, es war billiger, gleich einen USB-Hub mit Mini-USB-Anschluss zu nehmen...

Achja: Hat mir jemand n Tipp wo man günstig HDMI-Kabel bekommt? Oder sind die immer teuer weil "HD-Ready"? Größer 20 EUR war mir dann doch etwas zu viel.

Es scheint heutzutage mehr und mehr zur Selbstverständlichkeit zu werden, dass immer dann, wenn Politik sich »mit Computern« beschäftigt, vor allem die sich besonders laut hervortun, die gleichzeitig unmißverständlich klarstellen, dass sie vom Thema eigentlich garkeine Ahnung haben. Das haben Schäuble und Zielke bei der Debatte um den »Bundestrojaner« nur allzu deutlich getan, das zeigt sich auch bei der unsäglichen Debatte um sogenannte Killerspiele.

Und in dieser Tradition geriert sich auch das heute beschlossene Gesetzeswerk zur Bekämpfung der Computerkriminalität. »Hacktools« werden verboten.

Frage 1: What the hell is a hacker?
Es gehört wohl zu einer der Fragen, bei der 5 Fachleute mindestens 7 Meinungen haben. Das reicht vom Verständnis des Hackers als jemandem, der sich kreativ-spielerisch mit Technologie außeinandersetzt über die Unterscheindung in White- und Blackhats (bzw. Hacker und Cracker) bis hin zum populären Verständnis des bebrillten Jugendlichen, der NASA-Rechner hackt, dazwischen in den verschiedensten Schattierungen der revolutionäre Kämpfer für Informationsfreiheit (23).
Ein solcher Begriff, sollte man meinen, ist wohl denkbar ungeeignet, um in einem Gesetzeswerk aufzutauchen.

Frage 2: Und was ist jetzt eigentlich ein »Hacktool«?
Nehmen wir großzügigerweise an, es handle sich um die Vorstellung des Hackers als jemandem, der illegal in Rechner eindringt, sich Daten beschafft und Webseiten verändert. Nun wird auch noch erläutert, "Der Gesetzgeber wird die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firrmen, die nicht aus krimineller Energie heraus handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen."
Das beruhigt ungemein. Letztendlich ist wohl zu erwarten, dass es Sache der Gerichte bleibt, zu entscheiden, ob nun der Austausch von Trojanern und Viren zum Zwecke der Sicherheitsforschung darunter fällt, ob ein Tool wie Nessus oder johntheripper schon kriminelle Energie impliziert.
<Sarkasmus>Bekanntlich erwiesen sich deutsche Gerichte in der Vergangenheit immer besonders kompetent und informiert, wenn es um die Beurteilung von derartigen Fragen ging.</Sarkasmus>

Desweiteren sei als interessante Sidenote noch bemerkt, dass auch die »Bürgerrechtsparteien« FDP und Grüne geschlossen für den Entwurf stimmten. Lediglich der SPDler Jörg Tauss gab sich als Dissident gegen den Fraktionszwang und votierte mit der Linkspartei dagegen.

ist bekanntlich die Antwort auf das Leben, das Universum, den ganzen Rest und überhaupt.

Heute ist Towel Day, zu Ehren eines großen Autoren der Neuzeit, Douglas Adams. Also, Handtuch einpacken bevor ihr nach draußen geht!

Und wer jetzt garnichts versteht, hat vermutlich den Anhalter noch nicht gelesen und sollte dies schleunigst nachholen.

Update: Jetzt mit Bild von meinem Fenster.

Es kommt ja selten vor, dass ich eine Fortsetzung mit großer Neugier erwarte - nicht zuletzt da es fast schon als Konstante im Filmuniversum gilt, dass die Fortsetzung das Original nicht erreicht. Jedoch, im Gegensatz zum Tenor der meisten anderen Rezensionen, war ich vom zweiten Teil mehr als angetan, ja, er avancierte durchaus zu einem meiner Lieblingsfilme.
Leicht hatten's die Regisseure nicht. Ein erster Teil, der weit besser war als man erwarten konnte. Einen zweiten, der vor allem durch die Komplexität seiner Story mitzureißen wusste, sowie einen Cliffhanger, der alles andere als logisch erschien. Was macht Barbossa hier? Ist der nicht tot? Und warum sollte er sich plötzlich um Jacks Schicksal kümmern? Insofern, eine fast schon unlösbare Aufgabe, die jedoch, zumindest meiner Einschätzung nach, durchaus gut gelöst wurde. Einzig wurde mein Kinoerlebnis etwas getrübt durch eine Gruppe unsympatischer Gestalten neben mir, die nur bei den dämlichsten Witzen lachten und die meiste Zeit ihren Mobiltelefonen widmeten...

Nachdem im zweiten Teil schon Elizabeth ihre Unschuldigkeit verlieren durfte und längst nicht mehr nur als »die edle Piratenbraut« rüberkam, darf auch Will relativ zu Beginn des Films sich deutlich weniger edelmütig als bisher darstellen. Jack muss aus einer dubiosen Unterwelt gerettet werden, wobei jeder der Rettenden damit eigene Motive verfolgt, die zunächst alles andere als klar sind. Lord Backet hat zur Großoffensive gegen die Piraten getrommelt und besitzt außerdem die Kontrolle über das Tentakelwesen Davey Jones. Was nun alles an Handlungssträngen aufgebaut wird, lässt sich kaum in wenigen Worten zusammenfassen. Nur so viel: Die meiste Zeit verbrachte ich, fast schon konzentriert, damit, nicht den Faden zu verlieren - was jedoch ausgesprochen kurzweilig war. Trotz seiner Überlänge von 170 Minuten wird der Film seltenst langatmig. Als in der furiosen Schlacht schon fast klar schien, wie das ganze ausgeht (und ich dem Film schon deutlich schlechtere Noten geben wollte), gibt's nochmal eine Wendung und der Film ist noch lange nicht zu Ende.

Fazit: Wer Teil zwei ebenso mochte wie ich, dem sei Teil 3 ebenso wärmstens ans Herz gelegt. Wer den zweiten nicht kennt, sollte dies zunächst nachholen, es dürfte sonst sowieso kaum machbar sein, dem Handlungsverlauf zu folgen.
Wer schon beim zweiten Teil Langeweile verspürte, kann sich vermutlich auch den dritten schenken.