Schlagwort: Microsoft

Office 365 an Schulen datenschutzkonform?

TL;DR:

MSO 365 ist an hes­si­schen Schu­len nicht ver­bo­ten.

In mei­ner Fil­ter­bla­se wird immer wie­der tri­um­phie­rend dar­auf ver­wie­sen, daß der hes­si­sche Daten­schutz­be­auf­trag­te den Ein­satz von MSO 365 an Schu­len ver­bo­ten hät­te, mit Ver­weis meis­tens auf einen ent­spre­chen­de Arti­kel bei Hei­se.

Micro­soft Office 365 darf in der Stan­dard­kon­fi­gu­ra­ti­on an Schu­len wegen Pro­ble­men für die Pri­vat­sphä­re der Nut­zer der­zeit nicht ver­wen­det wer­den.

So weit, so ein­deu­tig. Die Ori­gi­nal­quel­le ver­linkt soweit ich sehe kaum jemand. Ich war­te sowie­so nur noch drauf, daß jemand einen Screen­shot des ent­spre­chen­den Hei­se-Tweets pos­tet. Also den Link zu dem Screen­shot, der in einem Face­book-Post zu fin­den ist.

Nun habe ich mich gefragt: wenn die Sache so klar ist, war­um hört man nicht davon, daß (min­des­tens die hes­si­schen) Schu­len rei­hen­wei­se Pro­ble­me mit ihren Daten­schüt­zern bekom­men?
Stellt sich raus: es gibt eine zwei­te Stel­lung­nah­me des­sel­ben Daten­schüt­zers:

Der Hes­si­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat sich nach den Gesprä­chen mit Micro­soft dazu ent­schlos­sen, den Ein­satz von Office 365 in hes­si­schen Schu­len unter bestimm­ten Vor­aus­set­zun­gen und dem Vor­be­halt wei­te­rer Prü­fun­gen vor­läu­fig zu dul­den.

Na sowas! Da ist Mann um eini­ges zurück­ge­ru­dert offen­sicht­lich. Und schiebt den Schwar­zen Peter den Schu­len zu:

Die Schu­len müs­sen vor­läu­fig die Über­mitt­lung jed­we­der Art von Dia­gno­se­da­ten unter­bin­den.

Viel Spaß dabei den Schul-“Admins”

Die­se zwei­te Stel­lung­nah­me, die wohl aktu­el­ler Stand ist, wird kom­plett igno­riert. Nur: es reicht für eine seriö­se Dis­kus­si­on nicht, eine Hei­se-Schlag­zei­le gele­sen zu haben. Nicht ein­mal wenn Dut­zen­de Bud­dies die­sel­be Schlag­zei­le pos­ten.

Und nur damit ich nicht miß­ver­stan­den wer­de: MS gehört selbst­ver­ständ­lich nicht an die Schu­le, auch nicht in einer daten­schutz­kon­for­men und viel­leicht sogar noch tat­säch­lich kos­ten­lo­sen Vari­an­te.

Das ist aber eine ande­re Dis­kus­si­on.

0

Microsoft Outlook

TIL: Out­look (zumin­dest die Mac-Vari­an­te) zeigt Email-Adres­sen in den Adreß­fel­dern nicht an.
Also "Harry Potter" <lord.voldemort@example.com>" wird nur als “Har­ry Pot­ter” ange­zeigt — und auch wenn man ant­wor­tet, ant­wor­tet man an “Har­ry Pot­ter”. Jeden­falls im Default, kei­ne Ahnung, ob sich das ändern läßt.
Ich hal­te das für unver­ant­wort­lich. Arbeits­schutz ist wich­tig! Jede Band­sä­ge, jede Abrich­te ist so kon­stru­iert, daß sie das Bedien­per­so­nal mög­lichst gut vor Schä­den oder gar Tod durch Fehl­be­die­nung schützt — aber Mail­pro­gram­me, die Phis­her gera­de­zu ein­la­den, dür­fen ver­kauft wer­den?

Unver­ant­wort­lich!

0

Verfügbaren Speicher in Windows via SNMP bekommen

Gege­ben ist ein Win­dows Ser­ver 2008 R2. Er bie­tet SNMP an, das mit­ge­lie­fer­te.
Mein Begehr: den ver­füg­ba­ren Spei­cher im Zab­bix plot­ten und bei Unter­schrei­ten eines Schwell­wer­tes alar­mie­ren.
Natür­lich könn­te man das ele­gant mit einem Zab­bix-Agent machen (gibts ja auch für Win­dows) — aber der Admin ist etwas eigen… Man weiß ja nicht, was da alles pas­sie­ren kann und so 🙂
Also SNMP, da fra­ge ich ja schon mei­nen Rou­ter ab, muß mir also kei­ne Gedan­ken um die OID machen — die habe ich ja schon:

~$ snmpget -v 2c -c public 192.168.1.254 .1.3.6.1.4.1.2021.4.11.0
UCD-SNMP-MIB::memTotalFree.0 = INTEGER: 44664 kB
~$

Tja, das ist aller­dings net-snmp, und Win­dows ver­wen­det das natür­lich nicht, es weist mich mit

iso.3.6.1.4.1.2021.4.11.0 = No more variables left in this MIB View (It is past the end of the MIB tree)

ab.
Goog­len, try-and-error läßt mich schon mal den gesam­ten ver­bau­ten Spei­cher fin­den (.1.3.6.1.2.1.25.2.2.0):

HOST-RESOURCES-MIB::hrMemorySize.0 = INTEGER: 33554432 KBytes

http://cric.grenoble.cnrs.fr/Administrateurs/Outils/MIBS/?oid=1.3.6.1.2.1.25.2.3.1 hilft wei­ter:
snmp­walk über .1.3.6.1.2.1.25.2.3.1.3:

HOST-RESOURCES-MIB::hrStorageDescr.1 = STRING: C:\ Label:System  Serial Number nixda
HOST-RESOURCES-MIB::hrStorageDescr.2 = STRING: D:\ Label:Data I  Serial Number nixda
HOST-RESOURCES-MIB::hrStorageDescr.3 = STRING: E:\ Label:Data II  Serial Number nixda
HOST-RESOURCES-MIB::hrStorageDescr.4 = STRING: F:\
HOST-RESOURCES-MIB::hrStorageDescr.5 = STRING: Virtual Memory
HOST-RESOURCES-MIB::hrStorageDescr.6 = STRING: Physical Memory

Kraß. Die ers­ten vier Ein­trä­ge sind Lauf­wer­ke, danach Swap, danach RAM. Das heißt natür­lich, daß der Index für RAM abhän­gig von der Anzahl der Lauf­wer­ke ist 🤦🏼‍♂️- ich habe kei­ne Ahnung, was pas­siert, wenn man ein Netz­lauf­werk moun­ted.
Also wal­ken wir mal los über .1.3.6.1.2.1.25.2.3.1.6:

HOST-RESOURCES-MIB::hrStorageUsed.1 = INTEGER: 23827134
HOST-RESOURCES-MIB::hrStorageUsed.2 = INTEGER: 33257694
HOST-RESOURCES-MIB::hrStorageUsed.3 = INTEGER: 25445922
HOST-RESOURCES-MIB::hrStorageUsed.4 = INTEGER: 0
HOST-RESOURCES-MIB::hrStorageUsed.5 = INTEGER: 400924
HOST-RESOURCES-MIB::hrStorageUsed.6 = INTEGER: 368162

Doch was sind 368162? Bytes, Liter, Pfer­de­äp­fel? Nun, es ist ja ein Lauf­werk, also sind es, trom­mel­wir­bel, hrStorageAllocationUnits. Jetzt muß man nur noch deren Grö­ße her­aus­be­kom­men. ein snmp­get auf .1.3.6.1.2.1.25.2.3.1.4.6 lie­fert:

HOST-RESOURCES-MIB::hrStorageAllocationUnits.6 = INTEGER: 65536 Bytes

Es wird schon mal sehr heiß!

~$ echo "368162 * 65536 / 1024 / 1024 / 1024" | bc -l
22.47082519531250000000

Gut 22 Giga­byte in Nut­zung (es ist ein Win­dows mit IIS und MS-SQL, da wird geklotzt!), das paßt.

Damit habe ich end­lich alle Wer­te, gerech­net wird dann in Zab­bix.

Ergeb­nis:

1+

Spezialspezialisten bei der Arbeit

Beim Zugriff auf die MS-Tele­me­trie: https://watson.telemetry.microsoft.com/ (habe ich von https://pluspora.com/posts/1413486):

OMG. Ers­tens die Root-CA, zwei­tens watson.telemetry.microsoft.com != *.big.telemetry.microsoft.com (a: host­na­me mis­match, b: das Wild­card greift hier nicht, nicht ein­mal wenn unser host big,telemetry.microsoft.com hie­ße)

Das ist ja nun offen­sicht­lich kein absei­ti­ges Pro­blem, son­dern sämt­lich Win­dowsen möch­ten mit die­sem kaput­ten Zer­ti­fi­kat reden (und tun es wahr­schein­lich auch)

0

Windows-Telemetrie, der gesunde Menschenverstand

Ich lese inter­es­siert einen Arti­kel zur Tele­me­trie in Win­dows 10 und kom­me aus dem Stau­nen nicht her­aus. Die Bun­des­be­hör­de BSI erforscht das Nach-Hau­se-Pet­zen von Win­dows 10. War­um? Wegen

der poli­tisch-stra­te­gi­schen Ent­schei­dung für Win­dows 10 als Betriebs­sys­tem für die Bun­des­ver­wal­tung

Mit ande­ren Wor­ten: Win­dows 10 ist alter­na­tiv­los, und hin­ter­her schau­en wir mal, wie wir uns unse­re Ent­schei­dung schön­for­schen kön­nen. Seit 2 Jah­ren wird da geforscht (ich habe eine ande­re Defi­ni­ti­on von „For­schung“, aber das nur neben­bei), und die For­scher

kön­nen mitt­ler­wei­le recht genau nach­voll­zie­hen, was dort pas­siert.

Wow! Doch schon! Nein, ich unter­stel­le den For­schern kei­ne Inkom­pe­tenz, ganz im Gegen­teil. Ich unter­stel­le aber Micro­soft, daß sie sehr gut dar­in sind zu ver­schlei­ern, was Win­dows 10 alles so tut  — und dafür sicher Grün­de haben.

In einer Stan­dard­in­stal­la­ti­on waren über 1.000 sol­cher Mess­punk­te aktiv — an denen wie­der­um ver­schie­de­ne Daten ermit­telt und an Micro­soft gesen­det wer­den.

In Wor­ten: über EINTAUSEND Sen­so­ren, die an Micro­soft repor­ten! Inklu­si­ve einer API für Key­log­ger.
Aber es kommt noch schlim­mer: Micro­soft kann zum Bei­spiel einen

Memo­ry-Dump einer Soft­ware

anfor­dern. Das heißt: Sie kön­nen jedes Doku­ment, was der Nut­zer gera­de offen hat, abzie­hen. Der feuch­te Traum aller Straf­ver­fol­gungs­be­hör­den, Geheim­diens­te und sons­ti­ger Kri­mi­nel­len.
Das inter­es­siert die For­scher, und so wol­len sie

eine Tele­me­trie, um die Tele­me­trie zu über­wa­chen

bau­en. Immer­hin haben sie Juve­nal gele­sen 😉 Quis cus­to­diet ipsos cus­to­des?
Dann kom­men ein paar Gedan­ken, wie man das Pet­zen wirk­sam unter­bin­den kön­ne, mit einer genia­li­schen Idee: Das Win­dows kom­plett vom Inter­net abklem­men. Gute Idee, nur gibts dann eben kei­nen Inter­net­zu­griff mehr, was heut­zu­ta­ge nun wirk­lich ein Nogo ist. Aus­weg?

Mit dem Bun­des­cli­ent, eine stan­dar­di­sier­te Platt­form, über die in Zukunft Ver­wal­tung und Behör­den ihre Com­pu­ter­ar­bei­ten ver­rich­ten sol­len, soll genau dies umge­setzt wer­den. Gesurft wird dann über einen vir­tua­li­sier­ten Brow­ser oder ein Ter­mi­nal.

Der Bun­des­cli­ent ist offen­sicht­lich ein umge­la­bel­ter RDP-Cli­ent, dann petzt eben der Win­dows Ser­ver 2016, auf den der Bun­des­cli­ent zugreift.🤦‍♂️

Und damit kom­me ich zu mei­nem eigent­li­chen Auf­re­ger: 5G und Hua­wei. Der Chi­na­mann! Darf man den in Deutsch­land Netz­in­fra­struk­tur bau­en las­sen? Wo der Chi­na­mann doch unse­re Indus­trie abhört?
Mal ernst­lich: Wie soll das gehen? Wir reden über 5G, also Mobil­funk. Dar­über wird eh nur trans­port­ver­schlüs­sel­tes Zeug trans­por­tiert. Eher ist die Gefahr, daß die Ame­ri­ka­ner in die TLS-Imple­men­tie­run­gen Soll­bruch­stel­len ein­ge­baut haben — womit wir wie­der bei Win­dows 10 sind.

Wenn man For­scher­kol­lek­ti­ve braucht, die nach mehr­jäh­ri­ger Tätig­keit immer­noch nicht wis­sen, was Win­dows 10 tut — dann ver­dammt setzt man kein Win­dows 10 ein!
Die­ses wasch mich, aber mach mich nicht naß — das ist pein­lich, gera­de fürs BSI. Win­dows in wel­cher Ver­si­on auch immer ist NICHT gott­ge­ge­ben!

PS: War da nicht mal was mit DSGVO?

 

0

Spam Spam Spam, wonderful Spam

Nein, ist natür­lich nicht won­der­ful, der Spam.
Es fällt auf, daß der Groß­teil des Spams mitt­ler­wei­le nicht mehr aus Ruß­land, Chi­na oder Bra­si­li­en kommt, son­dern von genau zwei Anbie­tern: gmail und outlook.com.
Oh, ich bin mir sicher, daß sie ihre Kun­den soweit es geht vor Spam schüt­zen — aber offen­kun­dig tun sie nichts, ihre Kun­den selbst am Spam­men zu hin­dern. Ganz im Gegen­teil: SPF stimmt, DKIM stimmt, damit fliegt man schon mal ein gutes Stück unter den meis­ten Spam­fil­tern.
Nicht unter mei­nen, die scoren bei­des mit 0.1 (0 geht nicht bei Spam­As­sas­sin) Damit haben Goog­le und Micro­soft es geschafft, halb­wegs (halb­wegs wegen der Pro­ble­me mit Wei­ter­lei­tun­gen und Mai­ling­lis­ten) funk­tio­nie­ren­de Anti-Spam-Tech­ni­ken zu töten.
Ich kann nur jedem, dem an Email gele­gen ist, raten, von die­sen bei­den Mail­pro­vi­dern größt­mög­li­chen Abstand zu neh­men.

0

Ingenieure, IT

Hier im Haus haben wir eine ziem­lich gute (ziem­lich ist unter­trie­ben) Lüf­tungs­an­la­ge eines deut­schen(?) Her­stel­lers — die­se.
Nun kann man heut­zu­ta­ge kaum noch Anla­gen ver­kau­fen, die nicht in irgend­ei­ner Wei­se über Com­pu­ter und/oder Apps bedient wer­den kön­ne, so auch unse­re Anla­ge.
Jeden­falls irgend­wie:

WLAN TCP / IP via Rou­ter ja
Anschluss Mod­bus / IP via Rou­ter ja

Das

via Rou­ter ja

ist natür­lich falsch: Das Gerät hat einen Ether­net-Anschluß, ist ein DCHP-Cli­ent (nix IPv6) und spricht dort nicht etwa HTTP, son­dern Mod­Bus. Die Anla­ge muß also nur ans LAN mit einem DHCP-Ser­ver (es läßt sich kei­ne fixe Adres­se ver­ge­ben) kom­men. Daß man im Tech­nik­raum Ether­net zu lie­gen hat, ist eher unwahr­schein­lich, aber für WLAN hat es aus wel­chen Grün­den auch immer nicht gereicht (nein, man kann es auch nicht nach­rüs­ten).

Hat man dann doch die Anla­ge ans Netz bekom­men, kann man sie mit einer App (Android oder IOS) steu­ern, also jeden­falls wenn die App die Anla­ge fin­det, was immer­hin oft der Fall ist. nmap -sT -p502 fin­det die Anla­ge immer.

Aber man kann sie auch viel detail­lier­ter kon­fi­gu­rie­ren — dafür hat die Anla­ge einen USB-Anschluß. Mini-USB‑B. Schon das ist gaga. Um das machen zu kön­nen, gibt es ein Pro­gramm namens iFlow, nur hipp mit dem i. Aller­dings nur für Win­dows. Es braucht .NET 3.5, das ist von anno dazu­mal. Es braucht genau die­se Ver­si­on, neue­re gehen nicht.
Ich habe kein Win­dows, in einer VM auf Linux wird die Anla­ge nicht gefun­den (ich wer­de wei­terfri­ckeln, viel­leicht doch irgend­wann?)
Wür­de ich eine Ver­bin­dung bekom­men, hät­te ich 3 Accounts:

  • User (ohne Paß­wort)
  • Instal­la­teur (mit Paß­wort)
  • Admin (mit ande­rem Paß­wort)

Die Paß­wör­ter sind hart codiert und ste­hen im Inter­net. Das GUI ähnelt der SPS-Steue­rung eines Atom­kraft­wer­kes (jeden­falls stel­le ich mir eine sol­che so vor)

Ehr­lich: So schafft sich Deutsch­land ab.

2+