Posts Tagged ‘Sicherheit’

Donnerstag, 9. April 2020

Hände weg von Zoom

Zoom is a security and privacy disaster, […] In the meantime, you should either lock Zoom down as best you can, or — better yet — abandon the platform altogether.

Quelle: Security and Privacy Implications of Zoom

Tags: , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Dienstag, 9. Oktober 2018

YouTube: Why Switzerland is the Safest Place if WW3 Ever Begins

Dämliches Video, das jedem Schweizer anfänglich bauchpinseln sollte, bei mir vor allem aber nach jeder Sekunde lauter nach „Faktencheck“ ruft. Da wird einiges an Käse erzählt.

Aus irgendeinem Grund ist das durch den sau-gescheiten YouTube-Algorithmus in die Liste der Video-Vorschläge gerutscht. Beunruhigend, dass solcher Quark den Weg in solche Listen findet …

Tags: , , , ,
Labels: Schweiz, Unterhaltung

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 3. Dezember 2017

Totemo: Informationssicherheit nicht begriffen

Da will ich mir als Empfänger einer verschlüsselten E-Mail ein Konto auf einer Totemo Secure Mail-Appliance einrichten, und dann das:

Fazit: Informationssicherheit nicht begriffen. Ungenügend, setzen.

Tags: , , , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Montag, 8. Mai 2017

Die nervende WAF von Cyon deaktivieren

Gut gemeint, funktioniert aber nicht: Die Cyon WAF (Web Application Firewall).

Gerade eben kämpfte ich massiv mit meinem Server bei Cyon, deren WAF und meiner WordPress-Installation: Den Artikel tftp funktioniert über NAT nicht wollte der Server partout nicht speichern und gab stattdessen einen HTTP 403 zurück. Wahrscheinlich enthielt das Web-Formular zu viele „gefährlich“ tönende Befehle.

Das Problem behebt man ganz einfach, indem man die .htaccess der WordPress-Installation um folgende Zeilen ergänzt:

...
<IfModule mod_security2.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>
...

Tags: , , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 28. August 2016

Admin-Interface des Routers gegen das Internet (WAN) schliessen

Der Nachteil der Verwendung von Asuswrt-Merlin auf meinem Asus RT-AC66U-Router ist das latent vorhandene Gefrickel. Ich kann es kaum erwarten, bis mein Turris Omnia ankommt!

So musste ich vor einigen Monaten bemerken, dass das Web-Interface meines Routers aus dem Internet zugänglich ist, egal, ob ich diese Option im Web-GUI des Routers nun aktiviere oder deaktiviere. Das Interface läuft auf Port 8443 und ist nur mit HTTPS erreichbar (mit einem selber signierten Zertifikat).

Ich griff deshalb kurzerhand zu iptables, um diesen sicherheitsmässigen Fahrlässigkeit den Garaus zu machen: Ich loggte mich per SSH auf den Router ein und fand zuerst einmal das WAN-Interface heraus:

$ ifconfig
...
eth0       Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX 
           inet addr:85.X.X.X  Bcast:85.X.X.255  Mask:255.255.255.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:662731029 errors:0 dropped:0 overruns:0 frame:0
           TX packets:536190886 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000 
           RX bytes:871096761 (830.7 MiB)  TX bytes:4294213359 (3.9 GiB)
           Interrupt:4 Base address:0x2000
...

Soso, eth0 also, da dies das einzige Interface mit einer öffentlichen IP war.

Folgender iptables-Befehl killt alle aus dem WAN stammenden Anfragen auf Port 8443:

# iptables -A INPUT -i eth0 -p tcp --destination-port 8443 -j REJECT
# iptables -A INPUT -i eth0 -p tcp --destination-port 22 -j REJECT

Wieso ich REJECT und nicht (wie ursprünglich konfiguriert) DROP gewählt habe? Drop versus Reject

Schnellcheck

Um sicherzugehen, dass die iptables auch wirklich nützen, habe ich mich dann des Tools NetRenderer bedient. In der Adresszeile des Web-Tools gebe ich

https://85.X.X.X:8443/

ein und warte, bis mir ein Timeout angezeigt wird. Wird stattdessen ein Zertifikat-Fehler angezeigt, weiss ich, dass die Verbindung (leider) immer noch möglich ist.

Langfrist-Check

Auf StatusCake habe ich mir einen Check auf dieselbe URL eingerichtet, welcher mich alarmiert, sollte die Verbindung plötzlich wieder möglich sein (bspw. auf Grund eines Reboots). Dies war heute der Fall, nachdem die Regel 57 Tage und 9 Stunden gehalten hatte.

Nachtrag

Himmelarsch, Port 22 (SSH) war auch die ganze Zeit über offen!

$ nmap -F 85.X.X.X
22/tcp   filtered ssh
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
8443/tcp filtered https-alt

Tags: , , , , , , , , , , , , ,
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 22. Mai 2016

Nicht sicherheitsbewusste Web-Entwickler …

js_preventpaste

… verwenden bei Passwortfeldern in ihren Web-Formularen über CSS-Klassen aktivierte JavaScript-Helper wie js_preventpaste, damit ich meine Passwörter ja nicht 24 kryptische Zeichen lang machen, in 1Password ablegen und mittels Mausklick automatisiert mit simuliertem Copy & Paste in dein bescheuertes Formular einfügen kann!

Gratuliere. Du hast deine Web-Applikation gerade schnell mindestens hundert Mal sicherer gemacht. NOT.

Tags: , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 2. März 2016

Der Tagi-Webmaster sollte seinen produktiven Server besser konfigurieren

display_errors = On gehört nun einfach wirklich nicht auf den Produktionsserver. Anfänger.

Tagesanzeiger Exception

Tags: , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 2. März 2016

Little Snitch-Firewall meldet verdächtigen Domain-Namen wegen nicht mehr aktueller Reverse IP-Auflösung

Als ich gestern meine lokale Oracle Java-Installation aktualisieren wollte, stutzte ich einige Sekunden, als mir die Software-Firewall Little Snitch folgende Warnung anzeigte:

m2.feiwi.tv

Erst als ich mir die Details zum Internet-Host anzeigen liess, beruhigte sich mein Puls wieder: Die IP-Adresse 77.109.137.184 gehört zum Akamai CDN, scheint aber früher einmal für m2.feiwei.tv registriert gewesen zu sein. Ich nahm das Risiko auf mich und erlaubte die temporäre Freigabe von Verkehr zu diesem Internet-Host.

Tags: , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 17. Januar 2016

WiFi-Sicherheit erhöhen: Bye bye TKIP

Auf dem Flug von Tel Aviv nach Zürich hatte ich Zeit, längst überfällige YouTube-Videos zu schauen. Unter anderem auch eine Präsentation von der BruCON 0x07 mit dem Titel „Advances WiFi Attacks using Commodity Hardware“:

Noch während dem Flug notierte ich mir gemäss den Ausführungen im Video ab 42 Minuten 52 Sekunden, zu Hause auf meinem Asus RT-AC66U mit DD-WRT das unsichere Verschlüsselungsprotokoll TKIP zu deaktivieren. Aus (unnötigen) Kompatibilitätsgründen könnte dieses Protokoll nämlich auch 2016 noch Standardmässig auf WLAN-Access Points aktiviert sein.

Erleichtert durfte ich zu Hause dann aber feststellen, dass ich offenbar in weiser Voraussicht längst nur noch AES-CCMP aktiviert hatte:

DD-WRT Wireless Security

Tags: , , , , , , , , , , ,
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen