Posts Tagged ‘Security’

Sonntag, 3. Dezember 2017

Totemo: Informationssicherheit nicht begriffen

Da will ich mir als Empfänger einer verschlüsselten E-Mail ein Konto auf einer Totemo Secure Mail-Appliance einrichten, und dann das:

image-7597

Fazit: Informationssicherheit nicht begriffen. Ungenügend, setzen.

Tags: , , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Montag, 8. Mai 2017

Die nervende WAF von Cyon deaktivieren

Gut gemeint, funktioniert aber nicht: Die Cyon WAF (Web Application Firewall).

Gerade eben kämpfte ich massiv mit meinem Server bei Cyon, deren WAF und meiner WordPress-Installation: Den Artikel tftp funktioniert über NAT nicht wollte der Server partout nicht speichern und gab stattdessen einen HTTP 403 zurück. Wahrscheinlich enthielt das Web-Formular zu viele „gefährlich“ tönende Befehle.

Das Problem behebt man ganz einfach, indem man die .htaccess der WordPress-Installation um folgende Zeilen ergänzt:

...
<IfModule mod_security2.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>
...

Tags: , , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 28. August 2016

Admin-Interface des Routers gegen das Internet (WAN) schliessen

Der Nachteil der Verwendung von Asuswrt-Merlin auf meinem Asus RT-AC66U-Router ist das latent vorhandene Gefrickel. Ich kann es kaum erwarten, bis mein Turris Omnia ankommt!

So musste ich vor einigen Monaten bemerken, dass das Web-Interface meines Routers aus dem Internet zugänglich ist, egal, ob ich diese Option im Web-GUI des Routers nun aktiviere oder deaktiviere. Das Interface läuft auf Port 8443 und ist nur mit HTTPS erreichbar (mit einem selber signierten Zertifikat).

Ich griff deshalb kurzerhand zu iptables, um diesen sicherheitsmässigen Fahrlässigkeit den Garaus zu machen: Ich loggte mich per SSH auf den Router ein und fand zuerst einmal das WAN-Interface heraus:

$ ifconfig
...
eth0       Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX 
           inet addr:85.X.X.X  Bcast:85.X.X.255  Mask:255.255.255.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:662731029 errors:0 dropped:0 overruns:0 frame:0
           TX packets:536190886 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000 
           RX bytes:871096761 (830.7 MiB)  TX bytes:4294213359 (3.9 GiB)
           Interrupt:4 Base address:0x2000
...

Soso, eth0 also, da dies das einzige Interface mit einer öffentlichen IP war.

Folgender iptables-Befehl killt alle aus dem WAN stammenden Anfragen auf Port 8443:

# iptables -A INPUT -i eth0 -p tcp --destination-port 8443 -j REJECT
# iptables -A INPUT -i eth0 -p tcp --destination-port 22 -j REJECT

Wieso ich REJECT und nicht (wie ursprünglich konfiguriert) DROP gewählt habe? Drop versus Reject

Schnellcheck

Um sicherzugehen, dass die iptables auch wirklich nützen, habe ich mich dann des Tools NetRenderer bedient. In der Adresszeile des Web-Tools gebe ich

https://85.X.X.X:8443/

ein und warte, bis mir ein Timeout angezeigt wird. Wird stattdessen ein Zertifikat-Fehler angezeigt, weiss ich, dass die Verbindung (leider) immer noch möglich ist.

Langfrist-Check

Auf StatusCake habe ich mir einen Check auf dieselbe URL eingerichtet, welcher mich alarmiert, sollte die Verbindung plötzlich wieder möglich sein (bspw. auf Grund eines Reboots). Dies war heute der Fall, nachdem die Regel 57 Tage und 9 Stunden gehalten hatte.

Nachtrag

Himmelarsch, Port 22 (SSH) war auch die ganze Zeit über offen!

$ nmap -F 85.X.X.X
22/tcp   filtered ssh
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
8443/tcp filtered https-alt

Tags: , , , , , , , , , , , , ,
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 15. Juni 2016

Ein Avocent DSR1031 meldet „Network Connect Error“

Heute fand per Post ein gebrauchter Avocent DSR1031 IPKVM-Switch den Weg zu mir nach Hause. Ich werde den IP-fähigen KVM-Switch im Elternhaus installieren, um im Notfall einen Linux-Server fernsteuern zu können.

Erste Ernüchterung bereits umgehend bei der Verbindung auf die IP-Adresse des Switches: Leider ist das von Acovent auf dem KVM-Switch verbaute Zertifikat im letzten Jahr abgelaufen:

Avocent DSR1031 Certificate Expired
image-6747

Als erstes aktualisierte ich das Firmware des Geräts auf Version 03.07.01.20, welche ich von der Web-Site des Herstellers heruntergeladen hatte (ich musste den FTP-Link manuell in CyberDuck einfügen; der Download mittels Web-Link klappte partout nicht).

Leider löste dies die Problematik des abgelaufenen Zertifikats nicht — so viel zu Hersteller-Support im SSL/TLS-Umfeld.

Anschliessend musste ich auf Firefox ausweichen, um ein Verbindungsfile hinter einem Link namens „KVM Session“ unter einem vom Vorbesitzer erfassten Device herunterzuladen — Safari zeigte einen Download an, die Datei fand sich aber nicht im Download-Ordner.

Der Klartext der heruntergeladenen Datei zeigte, dass es sich um ein sogenanntes Java Network Launch Protocol JNLP-File handelt:

<?xml version="1.0" encoding="utf-8"?>

<!-- JNLP File for Java Video Viewer Application -->

<jnlp spec="1.0+" codebase="http://10.0.1.227/webstart2">
   <information>
      <title>Video Session Viewer</title>
      <vendor>Avocent</vendor>
      <description>Video Session Viewer</description>
      <description kind="short">Video Viewer</description>
   </information>

   <security>
      <all-permissions/>
   </security>

   <resources>
      <j2se version="1.5+"/>
      
      <jar href="avctVideo.jar"/>
      <jar href="avctVM.jar"/>
      <nativelib href="avctWin32Lib.jar"/>
      <nativelib href="avmWin32Lib.jar"/>
      <nativelib href="avctLinuxLib.jar"/>
      <nativelib href="avmLinuxLib.jar"/>
      <nativelib href="avctSolarisLib.jar"/>
      <nativelib href="avmSolarisLib.jar"/>
      <nativelib href="avctMacOSXLib.jar"/>
      <nativelib href="avmMacOSXLib.jar"/>
      <nativelib href="jpcscdll.jar"/>
      <nativelib href="jpcscso.jar"/>
   </resources>
...

Diese Datei startet man folgendermassen:

$ javaws -verbose kvm.cgi

Leider erhielt ich mit J2SE Version 8 Update 91 folgende Fehlermeldung zu Gesicht:

Avocent Network Connect Error
image-6748

Nach einigen Recherchen im Internet fand ich im Support-Forum des Herstellers im Beitrag „AutoView 3016 Java network connect error“ die Lösung.

In der Datei /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/java.security müssen zwei Parameter für den Umgang mit verschlüsselten Verbindungen angepasst werden:

...
#jdk.certpath.disabledAlgorithms=MD2, MD5, RSA keySize < 1024
jdk.certpath.disabledAlgorithms=
...
#jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 768
jdk.tls.disabledAlgorithms=
...

Danach klappte die Verbindungsaufnahme:

Avocent Video Viewer Channel not found
image-6749

Leider habe ich so meine Java-Installation extrem unsicher gemacht. Die Browser-Plugins habe ich seit längerem allesamt deaktiviert, was das Risiko etwas senkt.

Nachtrag

Mittlerweile habe ich — selbstverständlich mittels Internet-Resourcen — herausgefunden, wie man die Java-Einstellungen ausschliesslich nur für einen bestimmten Prozess abändert. Hierzu habe ich mir ein Script geschrieben, mit welchem ich den Avocent Viewer starten kann:

#!/bin/bash
...
SCRIPTDIR="/path/to/script/dir"
...
JAVAWS=$(which javaws)
JNLP="$SCRIPTDIR/kvm.jnlp"
JAVASECURITY="$SCRIPTDIR/java.security"

# http://stackoverflow.com/questions/1047154/java-webstart-options
CMD="$JAVAWS -J\"-Djava.security.properties=$JAVASECURITY\" $JNLP &"
echo $CMD
eval $CMD
echo ""

exit 0

Im Verzeichnis, in welchem das Bash-Script liegt, habe ich eine Kopie der oben genannten Datei java.security abgelegt und die Anpassungen an der lokalen Kopie vorgenommen (die globale Datei java.security führt nur die sicheren Ciphers auf). Den Pfad zur lokalen Datei übergebe ich Java Web Start mittels einer Kommandozeile -J, in welcher eine Java-Argument verschachtelt ist -D.

Tags: , , , , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 2. März 2016

Der Tagi-Webmaster sollte seinen produktiven Server besser konfigurieren

display_errors = On gehört nun einfach wirklich nicht auf den Produktionsserver. Anfänger.

Tagesanzeiger Exception
image-6568

Tags: , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 17. Januar 2016

WiFi-Sicherheit erhöhen: Bye bye TKIP

Auf dem Flug von Tel Aviv nach Zürich hatte ich Zeit, längst überfällige YouTube-Videos zu schauen. Unter anderem auch eine Präsentation von der BruCON 0x07 mit dem Titel „Advances WiFi Attacks using Commodity Hardware“:

Noch während dem Flug notierte ich mir gemäss den Ausführungen im Video ab 42 Minuten 52 Sekunden, zu Hause auf meinem Asus RT-AC66U mit DD-WRT das unsichere Verschlüsselungsprotokoll TKIP zu deaktivieren. Aus (unnötigen) Kompatibilitätsgründen könnte dieses Protokoll nämlich auch 2016 noch Standardmässig auf WLAN-Access Points aktiviert sein.

Erleichtert durfte ich zu Hause dann aber feststellen, dass ich offenbar in weiser Voraussicht längst nur noch AES-CCMP aktiviert hatte:

DD-WRT Wireless Security
image-6464

Tags: , , , , , , , , , , ,
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 5. März 2015

Ist ein bestimmtes Debian-Paket von einer Sicherheitslücke betroffen?

In den letzten Tagen kam es knüppelhart: Zuerst meldeten die PHP-Entwickler eine Sicherheitslücke in der unserialize()-Funktion (CVE-2015-0273), tags darauf mussten die Leute hinter Samba ein schwerwiegendes Problem in ihrer Software anerkennen (CVE-2015-0240).

Wie gehe ich sicher, dass auf meinem Debian-Server zu Hause Pakete installiert sind, in welchen diese Sicherheitsprobleme bereits behoben wurden?Nach einer kurzen Google-Suche fand ich die Antwort:

Im Debian Security Tracker kann ich nachschauen, welche Pakete von welchen „Common Vulnerabilities and Exposure“ betroffen sind. In den beiden erwähnten Fällen lauten die URLs auf die Detailseite folgendermassen:

Die dort angegebenen Versionsnummern kann ich anschliessend auf meinem Server mittels folgendem Befehl überprüfen:

$ dpkg --list | grep php
...
ii  php5                                 5.6.5+dfsg-2                         all          server-side, HTML-embedded scripting language (metapackage)
...

5.6.5+dfsg-2 ist immer noch anfällig auf das Problem, da die Sicherheitslücke offenbar erst mit 5.6.6+dfsg-2 behoben ist. Nebenbei: Mehr zum Kürzel „dfsg“.

Deshalb führe ich folgenden Befehl aus:

# apt-get upgrade php5
...
Calculating upgrade... php5 is already the newest version.
...

Offenbar muss ich mich also noch ein wenig in Geduld üben.

Bei Samba schaut es folgendermassen aus:

$ dpkg --list | grep samba
...
ii  samba                                2:4.1.17+dfsg-1                      i386         SMB/CIFS file, print, and login server for Unix
...

4.1.17+dfsg-1 wird auf der Web-Site als „fixed“ geführt. Glück gehabt!

Tags: , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 14. Dezember 2014

Welche Adobe Flash-Version verwende ich?

In den letzten Wochen haben sich die Sicherheits-Updates für Adobes Flash-Frickelware wieder gehäuft. Ob ich das neuste Plugin auf einem Rechner installieren muss, sagt mir folgende Web-Site:

What is my Flash Player version? Is it up-to-date?

Die Web-Site Flash Tester liefert zusätzlich eine Chronologie aller Updates und verlinkt zudem auf eine offizielle, von Adobe gehostete Seite, welche die Version des aktuell installierten Flash-Plugins anzeigt, an Hand derer der Benutzer in einer Tabelle selber nachschauen muss, ob er schon Up-to-date ist:

Adobe — Flash Player Version Information

Meine Besucher entscheiden bitte selber, welche der beiden Web-Seiten nun benutzerfreundlicher ist … ich persönlich habe meine Meinung gebildet, und sie bekräftigt meinen Eindruck des Bloatware-Herstellers Adobe.

Tags: , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 16. September 2012

Apple Keychain-Passwörter auf der Kommandozeile ausgeben

Mit folgendem Kommandozeilen-Befehl gibt man alle in der Apple Keychain gespeicherten Passwörter für den aktuellen Benutzer aus:

security dump-keychain -d ~/Library/Keychains/login.keychain

ACHTUNG: Wer (vorbildlicherweise) die Keychain für fremde Zugriffe gesperrt hat, muss für jeden Eintrag ein Dialogfeld abnicken, um den Zugriff für die Anwendung security zu gewähren.

Via: Print out all your saved passwords – OSX

Tags: , , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 11. April 2012

XING-Bilder grösser machen

Da ich keinen Sinn darin sehe, für eine XING Premium-Mitgliedschaft Geld auszugeben, habe ich ab und zu das Problem, dass ich erraten muss, wer mein Profil so alles besucht hat.

XING zeigt mir dabei die Besucher mit einem klitzekleinen Bildchen an, worauf ich die Person partout nicht erkennen kann. Wenn ich meine Neugier befriedigen möchte, muss ich eine XING-Mitgliedschaft kaufen.

Doch zumindest etwas Licht ins Dunkel lässt sich bringen, indem man etwas mit der Bild-URL spielt. Hier ein Beispiel:

image-5069

https://www.xing.com/pubimg/users/1/6/c/2450328df.16473797,2.30x40.jpg

Hmmm! Löschen wir doch mal die Pixeldimensionen nach dem Komma. Oh:

image-5070

https://www.xing.com/pubimg/users/1/6/c/2450328df.16473797,2.jpg

So sieht der Mitmensch also aus, der mein Profil besucht hat …

Mein Tipp an XING: Die verschiedenen Grössen der Bilder sollten einen variablen Bestandteil haben, der von aussenstehenden weder erraten noch hergeleitet werden kann. Beispielsweise mittels md5($imageSize . $internalUserId).

Tags: , , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen