CoronaChroniken: Das März Update

Liebe Maskierte,

es hat sich einiges getan, auch an Stellen, an denen man das gar nicht erwartet hätte.

CoronaChroniken: Das März Update

Bevor wir uns die Zahlen von März ansehen einige Artikel, die Ihr vielleicht verpaßt habt:

spiegel.de – Klagen in Italien – Erst kam die Pandemie, dann das Vertuschen

tagesschau.de – Der WDR berichtet, daß sich Apotheken dumm und dusselig an den Maskengutscheinen verdient haben

Mit Rechnen hat man es im Ministerium scheinbar nicht so. Da ist es kein Wunder das Millionenbestechungsgelder fließen konnten, oder? Die Margen waren groß genug 😉

Den Link hier kennt Ihr bestimmt nicht, da wird das relative Ansteckungsrisiko für bestimmte Gruppen und Räume bestimmt:

https://depositonce.tu-berlin.de/handle/11303/12578.2

Supermärkte sind also gar nicht schlimm, trotzdem brauchen wir da FFP2 Masken. Blöd nur, wenn dann sowas passiert:

(Update) FFP2: 65% der Masken defekt – Wie Sie unbrauchbare Ware erkennen.

Ja, ja, auch in Deutschland. Und wo wir schon bei Masken sind, seht mal hier:

Die Untersuchungen zeigen, dass nach 7 Tagen Aufbewahrung die Menge der infektiösen Coronaviren (SARS-CoV-2) auf und in den Masken auf ein akzeptables Maß verringert werden konnte. Bei der alternativ beschriebenen Desinfektion durch 10 minütiges Kochen im Gefrierbeutel wird das Coronavirus unter den im Flyer erläuterten Bedingungen vollständig und andere Keime der Haut-, Nasen- und Rachenflora nahezu vollständig inaktiviert. Beide Verfahren führten in den Untersuchungen weder zu einem nennenswerten Verlust der Filterleistung noch zu einer Veränderung der Maske, die diese unbrauchbar machen würden. (Quelle: https://www.bfarm.de/SharedDocs/Risikoinformationen/Medizinprodukte/DE/schutzmasken.html )

Ihr braucht also nicht immer neue kaufen, es reicht auch die regelmäßig zu kochen. Heute erst kam raus, daß Norwegen Astrazeneca nochmal aussetzt, um es genauer zu untersuchen. Link beim Spiegel, aber leider auf deren Newstrickerseite, da kann man nicht direkt auf die Nachricht linken. Müßt Ihr so glauben 🙂 Kaum zu glauben ist auch, das 2/3 der zur Impfung eingeladenen Berliner (noch) nicht erschienen sind:

https://www.tagesspiegel.de/berlin/astrazeneca-skepsis-hunderttausende-berliner-reagieren-nicht-auf-ihre-impf-einladung/27036890.html

Man rechnet durch Probleme mit der Terminvergabe am Ende mit ~300.000 Menschen / 1 Millionen die nicht hingehen. Die Anderen stecken im Stau auf den Datenautobahnen 😉

Sogar ich bin der Meinung, daß für Risikogruppen eine Impfung eine gute Idee ist, aber mit Biontech, auch wenn das noch mehr Nebenwirkungen hat, als Astrazeneca. Warum? Weil der Stoff von Biontech abgebaut wird im Körper (MRNA), die Anweisung Spikeproteine zu bauen bei Astrazeneca aber nicht (DNA).

Apropos Impfstoff:

https://www.rnd.de/panorama/nach-corona-ausbruch-pflegekrafte-in-wismarer-altenheim-erheben-schwere-vorwurfe-22YUUZY67ZFZXMYAL74B2N52OY.html

Der Großteil der Bewohner war bereits durchgeimpft. Hat nichts genutzt, schwere Verläufe inklusive. Zum Glück gab es noch keine Toten. Deswegen denkt dran: „Der Impfstoff soll nur einen schweren Verlauf abmildern. Er verhindert nicht die Infektion oder Übertragung des Virus.“

Bevor jetzt einer denkt, das wäre ein der berühmten Einzelfälle: https://www.nord24.de/bremerhaven/Trotz-Impfung-Corona-Ausbruch-in-Schiffdorf-57638.html

AstraZence hat jetzt seine Wirksamkeitsangabe verringert: Von 79% auf 76% Wirksamkeit.

Kommen wir zu den Zahlen auf die Ihr schon wartet, nämlich wieso wir das alles machen:

Ich finde, wir sollten Herrn Stöcker seinen Impfstoff, der leicht an Mutanten angepaßt werden kann und in Großserie leicht herstellbar ist, ruhig mal eine Chance geben. Das Debakel muß ja mal enden.

Niedersachsen hat jetzt verlauten lassen, pauschal Ausgangssperren zu verhängen. Sollte das heute verabschiedet werden, gehe ich auch zum Anwalt, die Maßnahme halte ich nämlich für sinnlos.

Es gibt da eine These, wieso sich die Kinder gegenseitig in der Schule den Schnelltest geben sollen: Kinder unter 13 können für Ihre Taten nicht belangt werden. Kein Wunder das sich die Lehrer wehren die Tests an den Kindern durchzuführen: Geht was schief sind sie verantwortlich.

Und hier noch die Denksportaufgabe für Euch: Wie viele Testergebnisse sind den wirklich richtig?

Kleiner Leitfaden für Euch vom RKI.

ACHTUNG: Das Lesen und Verstehen dieses RKI Artikels könnte zu Schäden jenseits der Haftung dieses Blogs führen. Scharfe Gegenstände oder Schusswaffen aller Art sollten vorher sicher verstaut werden. Sie wurden gewarnt!

https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Infografik_Antigentest_PDF.html

 

AT&T Mailserver kann kein TLS

Hallo,

heute befassen wir uns mal wieder mit dem Thema Mailsicherheit. Heute:

AT&T Mailserver kann kein TLS, nicht mal SSLv3

Ich habe ja bereits einige Mailserver erlebt, die gar kein TLS können, oder nur bereits gebrochene Dialekte sprechen. Meistens sind das Server von Leuten, die nicht in der Telekommunikationsbranche sind. Aber TK Firmen waren da noch nie drunter. Daher hatte mich das hier doch stark verwundert:

2021-03-26 12:55:09 1lPLyv-0002Bo-89 == abuse@att.net R=dnslookup T=remote_smtp defer (-38) H=ff-ip4-mx-vip2.prodigy.net [144.160.159.22]: a TLS session is required, but the server did not offer TLS support

ATT.net aka. AT&T kennen Amis gut. In Comedysendungen wird AT&T immer als Gag eingebaut, weil die im Mobilfunksegment ungefähr so kompetent sind, wie die Deutsche-Pre-Corona-Bahn beim Einhalten Ihres eigenen Fahrplans 🙂 Jetzt könnte man der Liste an AT&T Verfehlungen auch noch Inkompetenz beim Betreiben von Mailserver hinzufügen.

Das mein Mailserver mit seiner Aussage oben richtig liegt, zeigt auch ein Test von CheckTLS.com:

secondstest stage and result
[000.000]Trying TLS on 144.160.159.22[144.160.159.22:25] (-1)
[000.070]Server answered
[000.299]<‑‑220 flpd588.prodigy.net ESMTP Sendmail Inbound 8.15.2/8.15.2; Fri, 26 Mar 2021 06:27:18 -0700
[000.299]We are allowed to connect
[000.299]‑‑>EHLO www12-do.checktls.com
[000.368]<‑‑250-flpd588.prodigy.net Hello www12-do.checktls.com [142.93.73.156], pleased to meet you
250 ENHANCEDSTATUSCODES
[000.369]We can use this server
[000.369]TLS is not an option on this server
[000.369]‑‑>MAIL FROM:<test@checktls.com>
[000.438]<‑‑553 5.3.0 flpd588 DNSBL:RBL 521< 142.93.73.156 >_is_blocked.For assistance forward this error to abuse_rbl@abuse-att.net
[000.439]Cannot proof email address (reason: MAIL FROM rejected)
[000.439]Note: This does not affect the CheckTLS Confidence Factor
[000.439]‑‑>QUIT
[000.508]<‑‑221 2.0.0 flpd588.prodigy.net closing connection

Jetzt ratet mal wieso ich AT&T eine Abusemail schicken mußte…. DOS Angriff aus deren Netzwerk. Zum Glück nur Amateure.

Nachtrag:

Wollt Ihr noch was zu Lachen haben?

2021-03-26 14:46:25 1lPLyv-0002Bo-89 ** abuse@att.net R=dnslookup T=remote_smtp H=ff-ip4-mx-vip1.prodigy.net [144.160.159.21]: SMTP error from remote mail server after MAIL FROM:<XXX@XXXX.XX>: 553 5.3.0 flph832 DNSBL:ATTRBL 521< XX.XX.XX.XX >_is_blocked.For assistance forward this error to abuse_rbl@abuse-att.net

Der Server ist seit mehr als 10 Jahren ohne eine einzige Spamemail am Netz, weil das ein interner Server ohne Kunden von uns ist. 11 Jahre Hackfrei. Der selbe Server konnte dann an die abuse-att.net was senden 😉

Die nutzen vermutlich die gleiche veraltete DNS-Blackliste wie Fefe. Der Vorbesitzer von dem IP Netz hatte da wohl irgendwann mal Spams vermailt. Ein Glück setzen wir so schlecht gewartete Blacklisten nicht ein.

BSI aktualisiert Mailserver auf TLS 1.2.. ABER

IETF schickt TLS 1.0 + 1.1 in den Ruhestand

Die IETF hat TLS 1.0 und 1.1 in den Ruhestand verabschiedet. Damit werden neue Sicherheitslücken in diesen Protokollen nicht mehr behoben.

Ab jetzt liegt es an OpenSSL und GnuTLS, wann TLS 1.0 und 1.1 aus den Kryptobibliotheken verschwinden werden.

Quelle: https://datatracker.ietf.org/doc/rfc8996/

Linux am Dienstag: Der erste Abend

Gestern Abend begann der erste Linux am Dienstag Videochatabend gleich mit einer sehr positiven Überraschung 😀

Linux am Dienstag: Der erste Abend

Neben vielen alten „Gesichtern“ konnten wir gestern Abend gleich mehrere neue Besucher verzeichnen, die an dieser Stelle nochmals herzlichst gegrüßt werden 🙂 Das diesmal gleich alles geklappt hat mit dem Bildschirmsharing, möchte ich hier positiv erwähnen, da es in der Vergangenheit des öfteren Probleme damit gab. Daher hatte ich noch einen Videostreamfeed in der Hinterhand, für alle Fälle 😉

Wie gestern Abend besprochen, hier jetzt nochmal schriftlich die vorgestellten Tips und Tricks:

System bootet nicht wegen Systemd : raid-check.timer

Nicht nur ich hatte Probleme den raid-check.timer zu finden, auch Systemd zeigt seit dem 1. März in Irland und Großbritannien Probleme bei Booten von Fedora 33+ . Ursache ist .. ta ter a ta .. die Zeitumstellung auf Sommerzeit 😀

Systemd: Problem mit dem raid-check.timer

Ich habe den auf meinem Pinephone auch schon abgeschaltet, da er da nicht gebraucht wird, weil kein Raid vorhanden.

Pulseaudioprobleme beheben

Für Euch nützlich dürfte dieser Konsolenbefehl sein, wenn Pulseaudio mal wieder keinen Ton annimmt oder ausgibt:

systemctl –user restart pulseaudio

Viele von Euch kennen noch pulseaudio -k der auch den PA Prozess beendet um diesen neu starten zu lassen. Im Gegensatz zum systemctl wird dabei aber nicht das gesamte System angehalten, was kuriose Nebeneffekte haben kann. In Anbetracht, daß Pipewire vor der Tür steht, sollte man sich jetzt schon einmal an systemctl gewöhnen, welches dann auch für den Neustart von Pipewire dient.

Kleinere Bugs beim systemd-oomd

systemd-oomd, der schon bei sich andeutenden Speichermangel Situationen eingreifen soll, bevor der Kernel gezwungen ist Prozesse hart zu beenden während diese gerade am Swappen sind, macht leider noch nicht ganz was er soll und tötet dann die falschen Prozesse.

Wer genug Hauptspeicher hat und sich mit dem Dienst nicht rumschlagen möchte, kann diesen einfach abschalten:

systemctl disable systemd-oomd

Natürlich nur, wenn ihr den schon drauf habt, er kommt mit Systemd v248 mit.

Ich habe den auf meinem Pinephone auch schon abgeschaltet, da er da nicht gebraucht wird, bis jetzt.

Swappy – ein Screenshot-Easy-Editing-Tool

Auch vorgestellt wurde Swappy, noch nicht ganz fertig, aber eine nette Idee.

Swappy – ein Screenshot-Easy-Editing-Tool

Mbrola – Sprachsynthese, die etwas besser ist.

Mbrola ist bei Fedora nicht dabei, da es aus Lizenzgründen nicht ausgeliefert werden kann. Wer das selbst ausprobieren will schaut hier nach:

Mbrola – etwas bessere Sprachsynthese

OpenSource ist nicht immer makellos

OpenSourceSoftware steht in der Regel für Vertrauen, weil man im Code keine bösen Sachen verheimlichen kann. Auch kann man selbst, oder überhaupt „jemand“, nach Schwachstellen suchen. Das Problem daran ist ein anderes: Auch wenn man kann, es wird kaum getan.

Der OpenSource Android Mailclient pEp kam diese Tage aus einem anderen Grund in die Negativschlagzeilen: Einer der Geschäftsführer hatte privat einen Testballon mit Fakebewertungen im Appstore beauftragt. Im Gegensatz zu anderen Mailprogrammen, bekam pEp jüngst einen Preis dafür, keine Benutzerdaten abfließen zu lassen, was vorbildlich ist, aber von K9Mail u.a. auch nicht gemacht wird.

Die Aktion kann damit als fatal für das Image der jungen Firma hinter pEp betrachtet werden und ist ein exemplarisches Beispiel für folgenden Rat:

Nur weil OpenSource dransteht, heißt das nicht, daß sich jemand die Mühe macht in den Code zu sehen oder das niemand Schindluder mit der Anwendungen, seinen Daten oder dessen Ruf treibt.

Wir als OpenSource Nutzer gehen also leider mit dem Banner der Integrität spazieren, aber im Schatten des Banners kann es eben doch dunkler sein, als man es wahr haben möchte.

Denk einfach mal daran, wenn das nächste mal jemand OpenSource über den grünen Klee lobt.

Mbrola – etwas bessere Sprachsynthese

ESpeak kennt Ihr sicher alle. Diese Roboterstimme, die beim Desktop dabei ist, damit sehbehinderte Menschen einen Bildschirmleser haben können. Jetzt ist espeak aber nicht wirklich toll 🙂

Mbrola – etwas bessere Sprachsynthese

Mbrola wird in einigen Distors, wie bspw. Fedora, nicht ausgeliefert, da die Lizenzen und deren Verständnis dies nicht zu lassen. Wer das selbst austesten möchte, kann sich die nötigen Files hier runterziehen:

https://github.com/numediart/MBROLA

https://github.com/numediart/MBROLA-voices

Mbrola muß kurz kompiliert werden, aber das ist selbst für Anfänger leicht zu meistern, weil es kein kompliziertes Buildsystem gibt und man eigentlich nur den GCC Compiler und CMAKE auf dem Rechner installiert haben muß. Ich bin mir ganz sicher, daß Ihr das alleine schafft 🙂

Nicht? na ok: „cd MBROLA-master; make; cp Bin/mbrola /usr/local/sbin/“ das wars 😀

Die Stimmen kommen nach /usr/shar/mbrola/ , die muß man nicht extra kompilieren.

Um espeak kommt man leider nicht rum

Da mbrola keine Übersetzung von geschriebenem Text in Phonetische Abbildungen macht, muß man das espeak machen lassen. Damit Euch das nicht über den Kopf wächst, habe ich da mal was vorbereitet:

/usr/local/sbin/say:

#!/bin/bash

if [ „$VOICE“ == „“ ]; then
      VOICE=“de5″
fi

if [ ! -f „$1“ ]; then
      espeak -v mb-$VOICE -q –pho –phonout=/tmp/out.pho „$1“
else
      A=$(cat „$1“)
      espeak -v mb-$VOICE -q –pho –phonout=/tmp/out.pho „$A“
fi

mbrola -t 1.2 -f 0.8 /usr/share/mbrola/$VOICE/$VOICE /tmp/out.pho -.au | aplay 1>/dev/null 2>/dev/null
rm -f /tmp/out.pho

Die Datei noch mit chmod 755 aufrufbar machen und wir sind fertig.

Um die Anwendung zu vereinfachen kann man entweder eine Datei als Argument angeben oder den Text:

say „Ich bin ein Roboter.“

say Bunte-Schafe-von-Arthur-Miller.txt

Die Stimme ist auf die de5 Stimme voreingestellt, es geht aber auch jede andere Sprache:

env VOICE=de7 say text

Die Aussprache kann man noch stark verbessern. Beispiel: Das Wort „Zumutung“.Versucht mal diesen Satz:

say „Dies ist eine Zumutung“

und dann schreibt ihn mal so:

say „Diehs ihst eine Zumuhtung“

Ihr werdet den Unterschied heraushören können. Genauso ist es mit „gähnt“ und „gehnt“, weil das „ä“ überbetont wird. Es klingt wirklich besser es pauschal mit „e“ zu ersetzen. Wenn man sich dann erst einmal eine Datenbank mit „besseren“ Worten zusammen gesetzt hat, kann man das Script so erweitern, daß vor dem espeak aufruf, erst noch die Ersetzung passiert. Von einer SED Orgie kann ich aber nur abraten. Lasst dies besser ein spezialisiertes Programm wie „replace“ machen oder schreibt gleich ein eigenes kleines C Tool, daß sich eine Art Datenbank einliest.

Viel Spaß damit 😀

Swappy – ein Screenshot-Easy-Editing-Tool

Für das Pinephone habe ich neulich ein Tool ausprobiert, daß Screenshot gleich nach dem Aufnahmen nachbearbeiten soll: Swappy

Swappy – ein Screenshot-Easy-Editing-Tool

Ganz so einfach war es dann allerdings nicht, da es ..hmm.. irgendwie nicht zu ende gedacht wurde bei der Installation.
In der Desktopdatei „/usr/share/applications/swappy.desktop“ findet sich folgender Exec Eintrag:

[Desktop Entry]

Exec=swappy -f %F

d.b. beim Klick auf das Icon soll Swappy ein File über den Platzhalter %F übergeben werden. Das klappt natürlich nicht, weil wir nur das Starticon angeklickt haben und überhaupt nicht wissen, welches File da in Frage käme. Ergo kommt im Log dann gleich die Quittung: „parameter -f braucht ein Argument.“

Swappy ist also gar nicht für den Direktstart gedacht, daher müssen wir das in eine Befehlskette einbetten:

Wir legen uns einen Shell-Wrapper unter /usr/local/sbin/swappy-wrap mit folgendem Inhalt an:

#!/bin/bash

grim -g „$(slurp)“ – | swappy -f –

Mit einem chmod 755 machen wir die Datei dann noch ausführbar. Dann installieren wir noch grim und slurp nach: dnf -y install slurp grim

Das Desktopfile /usr/share/applications/swappy.desktop ändern wir jetzt noch passend ab:

[Desktop Entry]

#Exec=swappy -f %F
Exec=swappy-wrap

und schon bekommen wir nach dem Start von Swappy via Icon eine bewegliche AuUswahlbox auf dem Bildschirm bzw. können mit dem Finger einen Ausschnitt markieren, der dann von grim ausgelesen wird und an Swappy zur Bearbeitung weitergereicht wird.

Das sieht dann in etwa so aus:

Gedacht ist das um gleich nach dem Screenshot Anmerkungen in das Bild einzufügen, Pfeile hinzufügen, Bereiche zuverpixeln usw. z.b. um Bugreports zu vereinfachen. Leider gibt es da ein Problem: Man kann es nicht abspeichern 😀 Das Button dafür ist zwar da, aber es kommt leider kein Dateikontext, wenn man dort klickt 🙂

Das Besondere an Swappy ist, das es für Wayland gebaut ist, so funktionieren auch die hinzugefügten Tools nur unter Wayland. Auf einem Xorg Display kann man zwar den Editor von Swappy benutzen, aber einige andere Features bleiben auf der Strecke (das kleine Icon neben dem Speicherbutton).

Für mein Pinephone habe ich das jetzt erst einmal auf die Kandidatenliste gesetzt, weil das nützlich sein kann, wenn es richtig funktioniert. Der Bugreport ist raus, mal sehen was wird.

Systemd: Problem mit dem raid-check.timer

Nicht nur ich hatte Probleme den raid-check.timer zu finden, auch Systemd zeigt seit dem 1. März in Irland und Großbritannien Probleme bei Booten von Fedora 33+ . Ursache ist .. ta ter a ta .. die Zeitumstellung auf Sommerzeit 😀

Systemd: Problem mit dem raid-check.timer

… so sieht das Problem aus:

# cat /usr/lib/systemd/system/raid-check.timer
[Unit]
Description=Weekly RAID setup health check

[Timer]
OnCalendar=Sun *-*-* 01:00:00
Persistent=true
AccuracySec=24h

[Install]
WantedBy=timers.target

Ich habe einmal rot markiert wo da das Problem liegt. Es ist leider noch nicht so ganz raus, warum das erst seit dem 1.3. ein Problem ist, ich tippe auf einen kleine Vergesslichkeit im Code ein Datum zu entfernen, ab wann andere Routinen zum Einsatz kommen sollte. Es ist aber nur eine Vermutung.

Keine Vermutung ist, daß nur England und Irland betroffen sind. Aufgrund der kommenden Zeitumstellung wechselt die Zeitzone dort von GMT auf IST bzw. BST , Sommerzeit halt. Eine alte Regel von Cronos, dem Schutzpatron aller sich wiederholenden Aufgaben, besagt, daß man zwischen 0:59 und 2:01 keine Cronjobs einträgt. Bei einer Zeitumstellung fliegt es einem dann um die Ohren, weil Jobs zweimal ausgeführt werden.

Nicht lachen, ist erst letzten Herbst bei einem Kunden passiert 😀

Die Lösung

Als merkwürdige Konsequenz bootet Fedora 33+ nicht mehr sauber und man muß den Timer vom Start ausnehmen:

systemctl mask raid-check.timer

Das kann man bei noch gestartetem System machen, oder wenn man seinen Rechner über Grub in den „Nur-Root“ Modus bootet. Wer aber schon am Grubeintrag dran ist, der kann sich alternativ auch behelfen, in dem er einen Kernelparameter hinzufügt: „systemd.mask=raid-check.timer“.

Alle diese Lösung verhindern den Start der Einheit. Wer sowieso keinen Softwareraid im System hat, kann den Timer auch gleich beenden.

Scammer nutzen SMS zur Linkverbreitung

Hi,

seit heute kommen SMS von angeblich deutschen Telefonnummern, die Trojaner und Spamlinks enthalten.

Scammer nutzen SMS zur Linkverbreitung

Irgendjemand hat gerade in ein Fettnäpfchen getreten,denn alle die SMS gehen direkt an die Kripo in Hannover 🙂

Der Inhalt ist dabei immer gleich :

„Ihr Paket kommt an, verfolgen Sie es hier: https://gehacktedomain/t/?tokenid“

Die Welle scheint am 17.3. begonnen zu haben und auch Landeskriminalämter sollen bereits Warnungen vor diesen SMS ausgegeben haben, da hier Schadsoftware auf das Smartphone installiert werden soll. Nummern wie 0152 55 71 33 13 oder 0151 17 86 16 99  dürften frei erfunden sein, denn ich denke, jemand hat sich bei einem S7 Anbieter mit einem billigen Tarif die Möglichkeit eingekauft, massenhaft solche Spam-SMS zu verschicken.  Ergo, schön aufpassen, was da so an SMS bei Euch aufschlägt.

Wo ich mich schon richtig drauf freue, wenn diese SMS auf mein Linuxphone treffen 😀 Da ist nichts mit Hacken, das aktualisiert sich alle paar Stunden 😀