SensFloor® Mat

Das Bundesministerium für Bildung und Forschung hat, neben ein paar interessanten Projekten zur TeleMedizin, einem stark wachsenden Forschungsgebiet mit unzähligen (Interpretations-)Möglichkeiten, ein spannendes Projekt auf seinem Stand beherbergt: Die SensFloor® Mat, entwickelt von der Future-Shape GmbH. Grundsätzlich geht es darum, mit Hilfe eines in den Boden eingelassenen elektrischen Induktionssystems menschliche Körper wahrzunehmen, mit Anwendungen im medizinischen sowie im Sicherheitsbereich.

© Future-Shape GmbH

Die quadratischen Teppichstücke werden mit einem Chip in der Mitte ausgeliefert, der 8 Schleifen pro ca. 250cm² verwaltet und, bei Änderungen in der induzierten Energie, ein Funksignal an einen Empfänger sendet. Das System ist in Teilen bereits marktreif, zu erwerben sind Fußmatten mit Netzteil und Empfängersteckdose inklusive LAN-Anschluss. Der Empfänger schaltet entweder eine Steckdose (Licht geht an, wenn eine Person die Füße auf die Matte vor dem bett stellt), oder ein Notrufsignal bzw. eine SMS (Person verlässt ihr Zimmer auf einer Krankenstation). Denkbar sind weiterhin die Überwachung von Personen, die von allein nicht mehr aufstehen können, da das System auch liegende Personen als solche erkennt.

Games@Large

Ein internationales, sehr spannendes Forschungsprojekt stellt Games@Large dar, oder kurz

© ELIOS Lab / G@L

G@L. Die Idee ist, dass man auch auf schwächeren Computersystemen Spiele mit Hilfe eines Servers spielen kann, der natürlich mit einer relativ hohen Bandbreite verbunden sein sollte. Der Server ist dann entweder nur für die Spielmechanik (bei Clients mit relativ starker Grafikkarte) oder zugleich für das Rendern zuständig, wenn der Client nur minimal ausgestattet ist.
In diesem Fall muss er nur den Input entgegennehmen, dem Server schicken und auf gerenderte Szenen warten. Grundsätzlich lassen sich bereits alle DirectX-Spiele auf diese Art verwenden, limitiert nur von der zur Verfügung stehenden Bandbreite.

ChocoBRAIN

Ein spannendes CRM-Projekt mit neuartigem Ansatz und innovativem Benutzerinterface soll auch technisch eher unbegabten Menschen die Möglichkeit eröffnen, Informationsangebote im Internet bereitzustellen. ChocoBRAIN verbindet auf einzigartige Weise Multimediaelemente und Textelemente miteinander und bietet so neue Möglichkeiten zur Benutzerinteraktion.

© chocoBRAIN GmbH

Außerdem finden sich ein paar großartige programmiertechnische Ansätze. Einzig und allein das Design des Userinterface konnte mich noch nicht restlos überzeugen, aber das Projekt steckt auch noch in der Betaphase. Deshalb hier auch nur sehr vage Informationen, ich werde einen größeren Artikel veröffentlichen, wenn das Projekt endgültig live geht.

4YOU2

Und zu guter Letzt war ich sehr angetan von einem Projekt von 4YOU2,unter der Leitung von Prof. Dr. Ralf Böse, eines Professors der FH Schmalkalden. Mittels einer unter einer transparenten Fläche angebrachten Kamera erkennt ein Tisch, welche 3D-Puzzleteile man auf ihm umherschiebt. Die Puzzleteile stellen kleine Gebäude dar, welche dann auf einem Bildschirm auf einer 3D-Spielfläche in Echtzeit ebenfalls verschoben werden. Auf diese spielerische Art sollen Museen mti neuen Lernmethoden Wissen vermitteln. Eine großartige Idee mit viel Potential – nicht nur im Bereich Lernsoftware! Außerdem hat mch das Projekt stark an den Reactable erinnert, mit dem ich bei einem Praktikum in Barcelona bereits eine Menge zu tun hatte.

This way of injecting your own PHP code makes use of the data stream wrapper, feature which came in PHP 5.2 and which is a feature most developers will probably yet have to learn about. It is basically a way to give PHP a string which it then interprets as a file. Thus, it may contain PHP code. Here is a modified example of the PHP manual:

Output:

This opens a whole new world of possibilities to attackers who try to inject their own PHP code into your site, even if you deny off-site inclusions with allow_url_fopen and allow_url_include set to ‘0′.

Once the attacker has found a weak point in your code, say something like

he can inject his own code. For that, he does not necessarily be able to include off-site files. One example: By taking the following string

Which is in Base64 encoding

he would be able to execute shell commands. Base64 is necessary at this point, as it bypasses the URL-enoding. So, the finished URL would look somethink like the following:

which executes the UNIX-command

The output would just be the free disk space, but as the hacker can now inject any code he like by just adding a GET parameter to his URL, which opens up a range of malicious possibilities without having to include files from a different site.

Why is that? As include() is not binary safe, the PHP interpreter takes the GET parameter ‘lang’, puts it into the include, which sees the string as a file (remember, we use the data stream wrapper basically simulating a file). After the null character (%00), PHP ignores the rest of the string. That makes the ‘.php’ at the inclusion point disappear, effectively handing over the code the attacker injected via the ‘lang’ parameter as a PHP file. In worst case scenarios, the attacker has now complete control over the system. Of course, he can execute shell commands only if PHP’s safe mode is disabled, but still, executing PHP commands gives a lot of opportunities as well.

Granted, the attack point was a bit easy in my example, as I wanted to keep it simple, but still, in standard software, security issues are found on a daily basis. If the software is not updated frequently, the attacker can take any known exploit to take over the system this way.

Again, we are left with the usual conclusions:

• Keep your software up to date
• Don’t trust any user input
• Make you php.ini as safe as possible

Comments and suggestions appreciated.

Dass neben der Verantwortung auch eine Menge Aufgaben auf mich zu kommen werden, versteht sich von selbst. Mit einigen erfahrenen Leuten werden wir zunächst die Migration auf ein neues Intranet zum Abschluss bringen. Danach habe ich mir vorgenommen, für eine nachhaltigere IT-Strategie zu sorgen. Dazu gehört insbesondere

• Transparenz auch nach außen
• Dokumentation
• Ausfallsicherheit durch Redundanz und Virtualisierung sowie
• das Anlernen neuer Mitglieder

Ziel ist, dass Extremfälle abgedeckt werden (Kompletter Serverausfall: Wiederherstellung in < 3 Stunden, Dokumentation so umfangreich, dass sich neue Mitglieder innerhalb von einer Woche komplett in das neue System einarbeiten können.