However, as peace of mind prevails, I tend to upgrade once the main upgrading related issues have been sorted out – or at least have been discussed in the community forums. For me the sweet spot to jump on a new release is around 2-3 months after its roll out. If you have to support something mission critical, this might take a bit longer.

Be that as it may, let’s get Ubuntu 16.04 upgraded to Ubuntu 18.04 on DigitalOcean ?.

Step 1: Snapshots, Snapshots, Snapshots

It seems redundant to write this – but it’s unfortunately still common practice to just wing it when upgrading a system. But it should go without saying that losing all of your data is a bit more than potentially problematic. As I run all of my infrastructure on virtual servers (Droplets) provided by DigitalOcean, it’s very easy to not only back-up all of my data, but to make a functional snapshot of the full machine.

If you want to take a snapshot of your droplet, you simply go to the droplet in question, select „Snapshots“ in the sidebar menu and click the „Take live snapshot“ button – and wait for it to finish.

It’s good practice to shutdown the droplet before doing so as well as ensuring that the snapshot actually works, so you don’t have any surprises if something does go wrong…

Step 2: Installing updates

Let’s start with the fun part: installing stuff. Hop onto your machine with the nice SSH access of yours.

$ ssh user@1.2.3.4

I hope for you, that you have a nice SSH key already installed so you don’t waste precious time thinking about your password.

Update already:

$ sudo apt update
$ sudo apt upgrade
$ sudo apt full-upgrade

I know, I know – the last one might be redundant. Sue me ?

Step 3: Upgrading to that hot new version

And here we are, finally ready to upgrade to Ubuntu 18.04.

$ sudo do-release-upgrade

You will be asked some questions before the upgrading process starts. Just hop along with ‚y‘ and everything will be fine (hopefully^^). A healthy dose of reading the output and thinking about what it means will do the trick. Just be aware that this might take a while. You’ll also be prompted with a SSH config step – as I have modified my sshd_config I will stick to my current one.

After some time your happy little machine should be telling you that the upgrade is complete – otherwise you will have encountered some error. As this requires a restart, continue with ‚y‘.

After accepting this, you will be disconnected. Give your machine a couple of seconds to reboot and reconnect.

And there we go – 18.04 LTS (XenialXerus) runs smoothly, including all services that were hosted on the machine before upgrading. For peace of heart, it’s not unreasonable to check ones firewall, so that just the needed ports are open to the public.

And that’s that ????

The post Upgrading Ubuntu 16.04 LTS to Ubuntu 18.04 LTS on DigitalOcean appeared first on jiaa.io Blog.

Wir leben in einer durchdigitalisierten Welt. Unsere Abhängigkeit von Mobiltelefonen, Internet, Computern ist total.

Constanze Kurz, Frank Rieger, S. 7

Mit dieser ernüchternden Aussage öffnet das Autoren-Duo ihre 275 Seiten fassende Aufklärungstour durch digitale Überwachungsmechanismen. Was sich teils erschreckend und unglaublich liest, wurde wegen der Veröffentlichung von tausenden Dokumenten des US-amerikanischen Geheimdienstes NSA durch den Whistleblower Edward Snowden zur augenöffnenden Realität. Natürlich war vor Snowden schon klar, dass unser allumfassendes Netz durch verschiedenste Akteure zu Überwachungszwecken ausgenutzt wird – sei es zur ökonomischen Bereicherung oder Manipulation der Bevölkerung. Doch das uneingeschränkte, globale Ausmaß war doch ein gewaltiger Tritt gegen das Wadenbein.

Das Buch arbeitet sich systematisch vom Beispiel eines Angriffs über die Gründe, warum wir überhaupt so verwundbar sind (Bugs, Bugs, Bugs), welche Akteure (Jeder gegen Jeden) welche Werkzeuge benutzen, wie uns Desinformationen in unserer Wahrnehmung manipulieren können und was wir tun sollten, vor. Dabei geizen sie nicht mit persönlichen Einschätzungen – was meiner Meinung nach das Buch lesenswert macht.

Durch Desinformation und geschickte Auswahl der Bereiche, die zu zerfragen sind, und solcher, die von der Dekonstruktion verschont bleiben, soll eine Polarität von Chaos und Ordnung erzeugt werden. Auf der einen Seite steht der zerstrittene, von Korruption und Wohlstandsspaltung zerfressene Westen, auf der anderen Seite das ordentliche, planmäßig voranschreitende, rational-national handelnde Russland unter seinem großen Führer Putin.

Constanze Kurz & Frank Rieger, s. 212, Abs. 2

Vor allem analysieren die beiden Autoren auch für technisch weniger versierte Leser verständlich, warum gerade US-amerikanische Militärs und Geheimdienste an ihrer eigenen Abschreckungsmanövern scheitern. Stuxnet attestieren sie zum Beispiel:

In der Theorie der Cyberabschreckung hätte es dazu führen sollen, dass niemand es wagen würde, die US-Interessen mit digitalen Waffen zu attackieren. Doch in der Praxis bewirkte Stuxnet genau das Gegenteil.

CONSTANZE KURZ & FRANK RIEGER, S. 192, ABS. 3

„Cyber War – Die Gefahr aus dem Netz“ ist eine sehr lesbare, leicht verständliche und vor allem aktuelle Lektüre. Es behandelt technische, strategische und politische Grundlagen und stellt diese in einem gesellschaftlichen Kontext. Die Autoren fassen die Problemgebiete sehr präzise zusammen und zeigen nach einer Einordnung auch einen verständlichen Lösungsweg auf.

Es ist davon auszugehen, dass ich – als langjähriger Verfolger dieses Themengebiets – nicht unbedingt die Hauptzielgruppe dieses Buchs darstelle. Schon die Herangehensweise und Strukturierung zeigt, dass das Buch eher für fachfremde Leser gedacht ist und nicht eine vertiefende technische, gesellschaftliche und politische Diskussion verfolgt.

Es ist ein sehr übersichtlicher und wohlformulierter Einführungstext, der einen ausgezeichneten Einblick in die Machenschaften verschiedenster Akteure im Netz gibt. Daher kann ich das Buch auch uneingeschränkt weiterempfehlen – sofern man nicht nach einem akademisch allumfassenden und technisch bis ins letzte Detail beschreibenden Kompendium sucht.

Du suchst nach einer Kapitel zu Kapitel Zusammenfassung von diesem Buch? Philip Matthiessen von politik-digital.de kann dir weiterhelfen:

The post Buchrezension: Cyber War – Die Gefahr aus dem Netz appeared first on jiaa.io Blog.

Vor ein paar Wochen war ich bei meinen Schwiegereltern auf Besuch und das Unumgängliche ist passiert: das Internet funktionierte nicht. Ob ich mir das als „ITler“ anschauen könne? Sicher

Nerdom to the rescue! Ab ins WLAN und rein in den Terminal. Doch was als einfaches Problem begonnen hat (Netzwerkkarte des PCs hat gejammert), wurde nach einer kurzen Konsultierung des Routers zu einer klaffenden Sicherheitslücke.

Kontext: vor nicht allzu langer Zeit wurde ein “neues Internet” aka Vertrag abgeschlossen. A1 lieferte dabei ihren Flagschiff-Router aus: die A1 Hybrid Box aka Huawei HA35-22/AM. Auch wenn ich persönlich kein Fan von diesen mitgelieferten Kisten bin, weil oft technologisch veraltet, sollte der Router für “normale” Haushalte ausreichen. Was mich eher schockiert hat, war die Absicherung dieses Produkts – nämlich keine.

You read that right: A1-Router kommen per default ohne Passwort. Jede/r im Netzwerk kann also tun und lassen was ihm/ihr gefällt. Nice!

Als First-Class-Jammerer und mitteilungswütiger Mitbürger musste ich natürlich gleich meinen Unmut kundtun:

Liebes @A1Telekom. Das Ausliefern von Routern OHNE Passwort ist ein Verbrechen an der Sicherheit eurer Kunden! #network #security

— Michael Goldbeck (@m_goldbeck) June 17, 2017

So weit, so groovy. Was mich dann aber wirklich von den Socken gehauen hat, war die darauf folgende Konversation mit dem A1-Account. Und ich meine dabei nicht die offensichtlich mangelnde technische Expertise des Antwortenden – nicht jeder muss sich zwangsläufig mit dem Thema auseinandersetzen, immerhin werden die meisten Anfragen zu Paketen und Abrechnungen sein; so zumindest meine Annahme. Was mich zutiefst schockiert hat, war die entgegengebrachte Ignoranz und Gleichgültigkeit der Antworten.

Eigentlich sollte jeder Internetnutzer sich Gedanken über die Sicherheit seines Internetzgangs machen. ^LG Frederic

— A1 (@A1Telekom) June 17, 2017

I mean, wtaf? Der User ist selbst schuld, wenn er/sie ein vom Unternehmen als Plug-and-Play beworbenes Produkt nicht selbst absichert? Sonst geht’s aber schon noch, oder? In Zeiten des Internet-of-Bad-Things sollten vor allem ISPs ihrer Verantwortung gerecht werden und gängige Standards einhalten. Und wenn schon nicht dynamisch beim ersten Start des Routers ein Passwort generiert wird, dann sollte zumindest mit der Auslieferung des Geräts eines gesetzt sein. Vor allem wenn man sich auf der Website mit “Smart Home” Absicherung bewirbt (dabei aber eher Kameras als Netzwerksicherheit meint). 

Aber ja, so ist das bei vielen Anbietern leider der Fall.

Es wird aber noch besser. Gestern war ich wieder zu besuch. Natürlich wundervoll mit dem WLAN verbunden und ready to roll. Aufgabe: kurz meinen Telefonvertrag checken. Rein in den Browser, auf zu a1.net und einloggen. Hang on – warum bin ich schon eingeloggt? Hang on – mit welchem Account bin ich automatisch eingeloggt worden?

Natürlich mit dem Account meiner Schwiegereltern.

Naaa, das kann nicht stimmen. Telefon raus, ins WLAN verbunden, a1.net und BOOM! Wieder mit dem Account der Schwiegereltern verbunden. You’ve got to be kidding me.

Aber das kann doch nicht der volle Zugriff sein, oder? As it turns out, it is. Ich habe Einsicht auf Rechnungen, Zahlungsdaten, das volle Programm.

Zu deren „Verteidigung„: diese Einstellung kann zumindest abgestellt werden. Trotzdem ist mir schleierhaft, warum der Auto-Login standardmäßig aktiviert ist. Auch ein Logout hilft nicht; bei allen im Netzwerk befindlichen Geräten ist man automatisch eingeloggt – ergo müsste man alle Geräte einzeln ausloggen. Tausende Haushalte, die die Standardeinstellungen niemals zu Gesicht bekommen, sind durch diese Praktiken angreifbar und zutiefst unsicher.

Vor allem wenn der einzige Schutz ein Router ohne Passwort ist.

Liebes A1 und alle anderen Anbieter da draußen: die Sicherheit eurer Produkte ist kein Add-on, dass ihr nur auf der eigenen Website bewerben müsst. Gängige Standards sollten eingehalten und dem Endverbraucher die Absicherung der gekauften Produkte erleichtert werden. Und nicht nur das: Security sollte per default auch aktiviert sein. Kein Versteckspiel in User-Einstellungen oder Untermenüs. 

Image by Piotr Lohunko

The post Insecurity by Default: A1 Edition appeared first on jiaa.io Blog.

This. Happens. Every. Single. Time. 

So I started learning from data. As misleading data driven design can be, it gives one a heck of a fast start. That’s why I analyse my personal pages as well – I want to make them better by improving gradually. But which tool should I use?  On first sight services such as Google Analytics seem like a great deal: easy to implement, easy to use as well as extensive – and above all „free„. But it does come at a heavy price – your users privacy.

Open source to the rescue!

Piwik is an open source analytics platform you can host yourself. You have full ownership & control over the collected data; so no snooping around from corporations at least. For this tutorial I chose DigitalOcean as the host – a cloud infrastructure provider where I have most of my virtual machines.

Step 1: Starting a droplet

Choosing the right droplet for this project almost couldn’t be simpler: the host operating system of this machine is going to be Ubuntu 16.04, with the smallest size available. 512mb of RAM might not be enough for a lot of sites, but as this is only a test it’s plenty. I also like to have things around Europe – so I chose Frankfurt, Germany as the datacenter region. Don’t overlook that „One-click apps“ tab on top – there’s a lot of open source awesomeness in there! In order to save us some server setup hassle, I went for the „LAMP 16.04“ image provided by DigitalOcean. It comes with a properly set up firewall and some security best-practices per default – kudos to that DigitalOcean! Hitting the „create“ button will do everything we need.

Step 2: Server Setup

So the droplet is up and running – let’s give it a purpose. First you’ll want to log into the machine. Being a terminal kind of guy I’ll do just that – but you can use PuTTY or anything else as well if you want to.

ssh root@YOUR_IP_ADDRESS

If you have set up your droplet without a SSH key, then you have an email with the login credentials in your inbox. But be aware: using SSH keys to login on servers is way more convenient and secure. DigitalOcean has a nice tutorial to do that. After login you’ll be greeted with a lot of info:

The first thing to do is to update the system:

apt update

and

apt upgrade

will do the trick. But only keeping the system up to date will not help you being reasonably secure – follow this tutorial to secure your droplet right from the beginning. Especially changing to a non-root user is a smart move.

You’re doing great so far

Step 3: Setting up Let’s Encrypt certificates

I did a lot of complaining in my last post, that shöpping.at – the new online market for Austrian goods – hasn’t set up SSL certificates properly (they have now). So here’s a quick one how to do so. Because Digital Ocean droplets with LAMP come with everything needed pre-installed, it’s as simple as:

sudo letsencrypt --apache -d yourdomain.org

To renew your certificate you simply do:

sudo letsencrypt renew

To set up auto-renewal you can follow this tutorial.

Step 4: Setting up PIWIK

In order to install PIWIK on our Ubuntu 16.04 droplet, we have to change to the www folder:
cd /var/www

There we download the latest PIWIK build and unzip afterwards:
wget https://builds.piwik.org/latest.zip
unzip latest.zip

Then we transfer all files from the PIWIK folder to the html folder and setup the rights properly:
mv piwik/. html/
chown -R www-data:www-data /var/www/html

If you hit the IP of your server in your browser you should get this.

Well, the first battle seems to be won! So let’s configure it. Hit the next button.

And there it is – a missing PHP extension appeared! Almost as easy as catching a Pokèmon this error can be fixed:

sudo apt install php7.0-mbstring

Take that, Magikarp of PHP. 

Step 4: Setting up a database

The next step leads us to the database credentials. If you read the server login message carefully, you know the password of the MySQL root-User can be found with:
nano /root/.digitalocean_password

So we have the database server (127.0.0.1), the username (root) and the password. But we lack the database name, because we haven’t set up a database so far. So let’s do just that:
mysql -u root -p
CREATE DATABASE databaseName;

We’re almost there.

Enter your data in the database form in your browser and hit the next button. After a success-message telling you your tables were created, hit next again. Then you can add a super admin user – be smart and add a safe password!

Just a little further – enter some details about the website you want to start to analyse and hit next. Then you’ll be provided with the code that needs to be included on all sites of your website. If you user a CMS such as WordPress, you can use a plugin to achieve that.

And there you go:

Now, wasn’t that easy? 

As enjoyable as this his been, you’re not done yet. Learn how the thing works, secure your server properly and give hands up to the guys over at PIWIK and Let’s Encrypt for providing you with all of this for free!

Image from stocksnap.io, CC0 License.

The post How To Install Piwik on an Ubuntu 16.04 Cloud Server (DigitalOcean) appeared first on jiaa.io Blog.

Dann hat die Post auch noch ein ziemlich ambitioniertes Projekt vorgestellt: shöpping.at. Ein österreichischer online Shop, der österreichischen Unternehmen aus den Klauen von Amazon, Zalando und Ebay helfen soll. So weit, so optimistisch.

Für ihr ambitioniertes Projekt hat die Post laut Medienberichten rund 30 Mio. Euro budgetiert. – derstandard.at/2000051569868/Post-startet-Amazon-Mitbewerber-shoeppingat-im-April

30 Millionen Euro.

Keine Sorge, ich musste den Satz auch ein zweites Mal lesen. Das ist viel Geld – da sollte technisch auch was ordentliches rausschauen, so zumindest meine Annahme.

Was macht ein Web-Entwickler, wenn er ein neues Produkt sieht? Genau, er sucht sich mal quer durch den Quelltext Was sich dort Interessantes finden lässt, will ich euch nicht enthalten!

https:// – gelebte Unsicherheit

Eine Entscheidung, die mich in den ersten 2 Sekunden nach Aufruf der Seite verwundert hat, war die Wahl https nicht zu erzwingen. Es sind beide Versionen möglich – https://www.shoepping.at und http://www.shoepping.at. Warum das ein Problem ist?

Weil News-Seiten nur die http-Version verlinkt haben, hat Google auch nur diese indexiert. Da Nutzer leider überdurchschnittlich oft Domains via Google suchen anstatt diese in die Adresszeile zu tippen, kommen sie automatisch auf die http-Version.

Was dabei noch spannender ist: in der http-Version wird eine Weiterleitung auf www erzwungen, d.h., jeder User, der via http auf die Seite zugreift, wird automatisch auf http://www.shoepping.at weitergeleitet. Logic dictates, dass, wenn ich in der http-Version auf www weitergeleitet werde, auch in der https-Version gleiches Verhalten feststellen kann. Nope.

„Your connection is not private„. Chrome & Co. machen also einen auf Gandalf. Aber warum? Developer Tools to the rescue!

Tja. Wenn ein Zertifikat einer anderen Domain (die nebenbei angemerkt auf post.at weiterleitet) angewandt werden soll, wundert mich die Gandalf’sche Reaktion des Browsers herzlichst wenig.

Und was passiert, wenn man trotz aller Warnungen auf https://shoepping.at weiter will? Genau, eine Weiterleitung auf die unsichere http-Version. Fehlerhafte vhost / .htaccess Konfigurationen stehen bei 30 Millionen Euro Projekten also auch noch auf der Tagesordnung. Das kann ja nur gut gehen.

Zugegebenermaßen, auf einer simplen statischen Landing-Page sind die Auswirkungen nicht so groß wie beim Webshop selbst. Trotzdem ist das Bad-Practice. Ganz davon abgesehen, dass verschiedenste Formulare auf der Seite eingebunden sind – und Eingaben somit innerhalb eines Netzwerks (z.B. Public Wlan) wunderbar einfach abgefangen werden können. Da helfen auch die vielen verschiedenen externen Dienste nicht, die auf der Seite eingebunden sind.

// EDIT: nach knapp einer Woche wurde der Redirecting-Fehler behoben.  https wird aber noch immer nicht komplett durchgesetzt.

Was der Quelltext noch alles verrät

Ok, das Schlimmste sei überstanden. Was kann den am Mark-up der Seite großartig schief gehen?

Die ersten Zeilen sind wenig interessant. Doctype und Co., ein wenig Meta-Daten. Umlaute zu kodieren wenn UTF-8 genutzt wird, finde ich ein wenig übertrieben, aber kein Ding. Spannend wird es erst ab dem CSS-Teil. Die Bilder werden über einen CDN-Dienst namens cloudfront  abgewickelt – ein Dienst, der zu Amazon Web Services gehört – dem größten Cloud Computing Anbieter der Welt. Das wäre an und für sich nicht nennenswert – werden CDNs dazu genutzt, um Dateien (Bilder & Co.) schneller an Kunden auszuliefern, wenn diese weitflächig verteilt sind. Glaubt man aber einem User im derStandard-Forum, ist shoepping.at IP locked auf Österreich.

Ich muss ehrlich zugeben, dass ich noch nie getestet habe wieviel Unterschied gemessen werden kann, wenn ein User in Wien und ein anderer aus Vorarlberg auf etwas zugreifen will. Schätze den Unterschied aber eher gering ein. Be it as it may – nicht wesentlich.

Was aber mit jeder Zeile im Quellcode offensichtlich wird, ist, dass sehr viele verschiedene externe Dienste genutzt werden, um diese simple Landing-Page zu generieren:

• Cloudfront – CDN zur Auslieferung von Files =>Amazon
• Unbounce – Dienst zur Erstellung von Landing-Pages (genutzt um die Seite zu bauen)
• jQuery von googleapis.com – CDN zur Bereitstellung von jQuery Library => Google (wird – warum auch immer- 2 mal eingebunden)
• Google Webfonts – CDN zur Bereitstellung von Web-Schriftarten => Google
• 123contactform – Anbieter zur Bereitstellung von Online-Formularen
• conversionfox – Tool zur Lead-Generierung
• hotjar – Tool zur Echtzeit Analyse vom User-Verhalten
• Google Tag Manager – Tool zur Analyse vom Klickverhalten der User => Google
• Google Forms – Tool zur Erstellung und Speicherung von Online-Formularen => Google

Ja, jedes dieser Tools ist mächtig. Es steht auch außer Debatte, dass viele dieser Tools das Leben eines Entwicklers leichter machen – ich nutze auf diesem Blog auch Google Analytics; aber nur bis der „How-to Setup PIWIK“ Beitrag fertig ist ;). Es muss aber trotzdem angemerkt werden, dass viele dieser Dienste aus Sicht der Privatsphäre alles andere als unproblematisch sind. Mit hotjar können die Mitarbeiter der Post  zusehen, wie Nutzer auf shoepping.at die Seite bedienen. Kino-Feeling, wie der Werbe-Clip verspricht. Wenn sich Händler eintragen wollen, werden sie gezwungen ihre Daten auch gleichermaßen an Google weiterzuleiten – immerhin landen dort alle Daten des Online-Formulars. Wo die Klick-Analysen durch den Google Tag Manager landen, will ich garnicht wissen.

Ganz spannend dabei: Der User wird über die Verwendung von Cookies sowie die bereits aufgezählten Dienste NICHT informiert. Gesetze und so, liebe Post.

Ok, jetzt wissen wir also, dass die Nutzerdaten von shoepping.at auf verschiedensten Diensten landen – keiner davon aus Österreich, die meisten davon nicht mal aus Europa. 

Blenden wir alles vorherige aus. Friede, Freude, Eierkuchen – oder so ähnlich. Besucht man die Seite, fällt eines auf: sie hat viel Whitespace.

Das ist an und für sich auch kein Problem – immerhin kann ich einfach bis zum nächsten Bereich scrollen. Aber was ist, wenn ich aufgrund einer Beeinträchtigung die einzelnen Bereiche nicht sehe, sondern auf einen Screenreader angewiesen bin?

Liebe Post, diese Seite ist durch Screenreader nahezu unbedienbar! Will man sich durch die Seite navigieren, springt man als erste Station auf  den Link „Pressekontakt“. Ja. Pressekontakt. Bei nahezu allen Bildern fehlt der alt-Text. Daher erfährt niemand, um was es eigentlich geht. Der User springt aufwärts – also entgegen der eigentlichen Nutzungsrichtung. Dies alles widerspricht nicht nur unseren  Gesellschaft Grundfesten, den gängigen Gesetzen sondern auch der Business-Logik eines jeden Online-Dienstes.

Zu beheben wäre dieses Problem ziemlich einfach: valides HTML.

Mit 73 Fehlern und 19 Warnungen hat sich irgendwer nicht Mühe gegeben (auch wenn die Seite noch so sehr von einem Generator erstellt wurde). Dabei würde valides HTML nicht „nur“ bei Accessibility helfen: die Suchmaschinen-Optimierung steigt wesentlich und der Code ist in Zukunft einfacher wart- und erweiterbar. Quasi drei Fliegen mit einer Klappe.

So sehr ich das Konzept als spannend empfinde, muss ich leider sagen, dass die Seite typisch österreichisch umgesetzt wurde. Von einem 30 Millionen Euro Budget sollte sich auch eine ordentliche Landing-Page finanzieren lassen.

Unabhängig davon habe ich nach über 24 Stunden noch keinen Zugang bekommen – würde man damit Nutzer aktiv ansprechen wollen (unabhängig ob eine Beta Version oder nicht), ist das nicht akzeptabel.

Schade.

The post shöpping.at: e-Commerce auf Österreichisch appeared first on jiaa.io Blog.