Liomans Blog - sicherheit

Gehackt: Auf dem Highway über das Internet gestoppt

lioman — Wed, 22 Jul 2015 15:30:00 +0200

Die Wired hat den Artikel Hackers Remotely Kill a Jeep on the Highway—With Me in It veröffentlicht. Der Autor Andy Greenberg beschreibt wie sein Jeep in einem Experiment mit den beiden Sicherheitsforschern Charlie Miller und Chris Valasek über das Internet gehackt wurde. Nach der Übernahme des Bordcomputers hatten diese nicht nur Zugriff auf die Unterhaltungsfunktionen (Radio, Klimaanlage etc.) des Jeeps, sondern auch auf die Steuerung im Rückwärtsgang und andere zentrale Funktionen des Geländewagens. Die Ergebnisse sollen abschließend auf der Black Hat Konferenz im August vorgestellt werden.

“Diebstahlsicherung” für Android

Lioman — Thu, 12 Jul 2012 14:30:00 +0200

Nach dem ich mit dem letzte Artikel ein paar nützliche Tipps zu diversen Androidanwendungen ergattert habe, möchte ich nun selbst einen kleinen Tipp abgeben.

Es gibt diverse “Diebstahlsicherungen” im Market. Wobei die Bezeichnung an sich etwas irreführend ist, denn ein bisschen Software kann keinen Dieb davon abhalten, ein mobiles Gerät zu entwenden. Möchte man dies tun sollte man das Gerät immer in einem Safe an das eigene Handgelenk schmieden. Trotzdem können solche Systeme sinnvoll sein, wenn man ein entwendetes oder verlorenen Gerät wieder zurückbekommen möchte. Grundsätzlich funktionieren alle Programme ungefähr gleich. Fehlt das Gerät, senden man über irgendeinen Kanal einen Aktivierungsbefehl und das Gerät sendet Daten zum eigenen Ort über das Netz zurück an den Besitzer.

Zwei Probleme gibt es dabei.

Wenn ein Dieb schlau genug ist und gleich alle Verbindungen kappt, hilft einem das beste Programm nichts.
Man weiß nie genau welche Daten denn der Dienst sammelt und ob er das nicht auch permanent tut, um die User zu überwachen und deren ortsbezogene Daten anderweitig zu mutzen.

Problem Nummer 1 ist eigentlich nicht zu lösen, bei Problem Nummer 2
schaft Open-Source entsprechendes Vertrauen, da der Quellcode offen
liegt und der (kundige) Nutzer überprüfen kann, was das Programm so
tut.
Hier kommt die Software Prey
ins Spiel. Diese ist nicht nur für Android, sondern auch für
Ubuntu/Linux, Mac, iOS und Windows erhältlich. Der SourceCode kann bei
github betrachtet werden.
Am Besten man installiert Prey über Google
Playund
konfiguriert auch das Gerät darüber.  Da dies selbsterklärend ist,
verliere ich keine weiteren Worte dazu.

Übersichtsdialog in Prey

Aber einen Tipp habe ich noch. Standardmäßig wartet das Programm auf eine SMS mit dem Inhalt “GO PREY”, der Satz ist frei konfigurierbar und ich empfehle etwas unverfängliches zu nahmen, was dem Dieb/Finder nicht gleich verrät, dass das Gerät ab jetzt überwacht wird. Dies kann man auch mit dem Deaktivierungssatz in der Übersicht tun. Auch dies ist sinnvoll, sonst kann jeder, der den Standardsatz per SMS schickt das Tracking deaktivieren. Dabei ist es übrigens nicht weiter schlimm, wenn man den Satz vergisst. Auf der Website ist dieser jederzeit nachzulesen und man kann auch dort das Gerät aktivieren. Möchte man das ganze mal testen kann man es auch über das Gerät selbst machen. Über “Execution control” in der Übersicht, ist es möglich die Überwachung zu stoppen. Das ist nützlich, wenn man das Smartphone wiedergefunden hat und nicht dazu ins Netz gehen möchte (oder kann).

Für alle Änderungen ist übrigens immer das Passwort von Prey nötig, da die Daten auch immer an die Server Fork Ltd. übertragen werden müssen und damit ein unbefugter nicht die Einstellungen ändern kann.

Jetzt zu den Eigenschaften:

Je nach Gerät (Handy/Tablet oder PC) sind diese unterschiedlich. Bei PCs bekommt man keine genauen Ortsdaten, da ja ein kein GPSmodul verfügbar ist. Logt sich der Dieb aber in einem öffentlichen WLAN ein (bzw. befindet sich in der Nähe von bekannten SSIDs), sollte das hinreichend genau sein. Dafür kann man die Webcam bei Laptops (falls vorhanden) ein und ausstellen und Screenshots anfertigen. Die Bilder bekommt man dann mit dem Report geliefert. Dies kann nicht nur praktisch für eine etwaige Strafverfolgung (Bild des Diebs, Identität über Facebook/ Email oder sonstige Seiten die der Dieb besucht) sein, sondern auch weitere Hinweise zum Ort geben.

Das geht leider bei Android- und iOS-Geräten (noch) nicht, dafür ist die Aktivierung über SMS (Nur bei Android verfügbar!!) recht einfach und man bekommt den genauen Aufenthaltsort angezeigt. Zudem gibt es ein SIM-Karten-Wechselalarm. Möchte der Dieb mit einem SIM-Kartenwechsel die PIN-Sperre umgehen, wird dessen Nummer an das System übertragen und kann somit auch an Strafverfolgungsbehörden weitergeleitet werden. Außerdem ist es dadurch möglich mit dem “Finder” in Kontakt zu treten. Davon würde ich aber eher absehen und mich lieber direkt an die Polizei wenden. Aber ein Kommentator im bei GooglePlay hat so sein Handy recht schnell zurückbekommen.

Möchte man mehr Geräte überwachen oder weitergehende Features gibt es auch Bezahlaccounts ab 5$/Monat dann wäre sogar eine Liveüberwachung über das Dashboard möglich.

Erfolgsgeschichten gibt es übrigensauch schon und hier ist noch ein Erklärvideo:

http://vimeo.com/18728980

HTTPS Everywhere in neuer Version und für Chromium

Lioman — Mon, 23 Apr 2012 16:15:00 +0200

HTTPS Everywhere ist für
mich eine absolute Must-Have-Erweiterung für den Firefox-Browser.
Sie nistet sich oben in der Leiste ein und sorgt anhand
tausender
Regeln dafür, dass (falls verfügbar) nur die verschlüsselte Seite
aufgerufen wird. Das erhöht die Sicherheit deutlich, denn so können
nicht so einfach Passwörter und Nutzerdaten abgegriffen werden. Der
Name ist leider ein bisschen irreführend, denn HTTPS gibt es eben
nicht überall, sondern nur für Domains die
https überhaupt anbieten und
auch durch ein “Ruleset” definiert sind (Was man jedoch sehr einfach
auch selbst hinzufügen kann).
Die neuste Version ([STRIKEOUT:2.0.2] 2.0.3) gilt als stabil und
enthält keine neuen Funktionalitäten, sondern beschränkt sich auf
einige Bugfixes..
Neu ist jedoch eine Beta-Version für Chromium/Google Chrome, denn
derzeit gab es noch keine Erweiterung, die ähnliches wie HTTPS
Everywhere bewerkstelligen konnte. KB SSL
Enforcer
soll laut EFF nicht können, da http vor https genutz wird. Sicherheit
ist nur gewährleistet, wenn alles nurüber eine verschlüsselte
Verbindung geladen wird. Wie immer sind solche Betas mit vorsicht zu
genießen, da sie noch nicht vollkommen fertig sind und daher auch noch
nicht 100%ig stabil funktionieren.

Achtung: Ihr Paypal-Konto braucht Hilfe

Lioman — Thu, 12 Apr 2012 15:20:00 +0200

Da ich jetzt schon zum zweiten Mal eine Mail von “Paypal” bekommen habe möchte ich einfach mal davor warnen. Es sind derzeit wieder Pishingmails im Umlauf. Diese sind vergleichsweise gut gemacht. Normalerweise springen einem sofort diverse Rechtschreib- oder gar offensichtliche Grammatikfehler wie sie nur eine Maschine produzieren kann ins Auge. Die Mail (unten angehängt) ist Fehlerfrei und könnte zumindest sprachlich tatsächlich von Paypal stammen. Aber ein sicheres Anzeichen dafür, dass es hier nur jemand auf Zugangsdaten abgesehen hat ist der Link. Denn

dieser führt nicht zu Paypal sondern über eine slovakische Seite zu einer amerikanischen IP-Adresse. und
Paypal würde nie einen Link in einer solchen Mail platzieren, sonder darum bitten sich auf Paypal einzuloggen.

Würde man auf den Link klicken käme man auf eine gut nachgemachte Paypalseite. Alle Links darauf führen nicht zu den ursprünglichen Paypalseiten sondern auf eine Pornoseite. Man wollte sich wohl doch nicht zu viel Mühe machen und von kritischen Zeitgenossen wenigstens noch die paar Cent Werbeeinnahmen abgreifen. Gibt man eine E-Mailadresse und ein Passwort ein landet man wiederum auf einer neuen Seite, die nun auch noch versucht die Kreditkarteninformationen des Opfers zu bekommen. Würde man darauf hereinfallen und hier echte Informationen eintragen, steht dem nächsten Luxusurlaub der Kriminellen wohl nichts mehr im Wege.

Sollte man eine solche Mail von Paypal bekommen kann man diese auch an taeuschung@paypal.de weiterleiten. Man bekommt dann eine Bestätigung, dass es sich hierbei um Pishing handelt und wenn man Paypal helfen möchte solch übles gesindel zu bekämpfen kann man die Mail mit allen Header-Informationen auch an spoof@paypal.com weiterleiten. Auf jeden Fall sollte man immer genau überlegen bevor man einen Link aus einer Mail öffnet.

Hier die Mail:

Ihr PayPal-Konto braucht Ihre Hilfe

Guten Tag,

Aus Sicherheitsgründen achten wir stets auf verdächtige Aktivitäten. Kürzlich haben wir eine Unregelmäßigkeit bei Ihrem Konto festgestellt.

Wir haben den Grund zur Annahme, dass ein Dritter auf Ihr Konto zugegriffen hat. Da die Sicherheit Ihres Kontos unser Hauptanliegen ist, haben wir den Zugriff auf wichtige PayPal-Kontofunktionen eingeschränkt. Wir wissen, dass dies für Sie möglicherweise eine Unannehmlichkeit darstellt. Bitte beachten Sie jedoch, dass es sich um eine vorübergehende Beschränkung zu Ihrem Schutz handelt.

Bearbeitungsnummer: PP-168-221-011-985

Wir haben den Zugriff auf Ihr Konto kurzzeitig eingeschränkt. Die Einschränkung wird überprüft, wenn wir die angeforderten Informationen von Ihnen erhalten.

Um auf die Einschränkung zu reagieren und sie zu beheben, klicken Sie hier.Falls Sie Informationen über die Einschränkung erhalten möchten, kontaktieren Sie uns unter “Hilfe-Center” und “Kontakt”.

Herzliche Grüße

Bitte antworten Sie nicht auf diese E-Mail. Dieses Postfach wird nicht überwacht, deshalb werden Sie keine Antwort erhalten. Wenn Sie Hilfe benötigen, loggen Sie sich in Ihr PayPal-Konto ein, und klicken Sie oben rechts auf einer der PayPal-Seiten auf den Link “Hilfe”.

Copyright © 1999-2011 PayPal. Alle Rechte vorbehalten.

PayPal (Europe) S.à r.l. & Cie, S.C.A. Société en Commandite par Actions Sitz: 22-24 Boulevard Royal, L-2449 Luxemburg RCS Luxemburg B 118 349

PPID PP522

Trag nen Helm - Jetzt und immer

Lioman — Mon, 25 Jul 2011 10:07:00 +0200

| Ohne Helm auf dem Fahrrad ist wie Cabrio fahren ohne anschnallen!

James Cracknell ist übrigens mehrfacher Olympiasieger und Weltmeister im Rudern.

Wordpress-Plugins kompromitiert

Lioman — Thu, 23 Jun 2011 17:48:00 +0200

` <https://wordpress.org/news/2011/06/passwords-reset/>`__Wordpress.org. teilte am 21.Juni mit, dass die Plugins AddThis, WPtouch, und W3 Total Cache im Pluginverzeichnis eventuell durch Schadsoftware kompromitiert waren.

Hacker sind wohl eingedrungen und haben Backdoors eingebaut. Hat man eines der Plugin installiert sollte man umgehend auf die neuste Version upgraden und am Besten noch sein Passwort bei Wordpress.org und bei seinem Blog ändern.

Hat man dieses Passwort bei vielen anderen Diensten auch benutzt, lohnt es sich diese auch noch zu ändern.

Wordpress Login absichern

Lioman — Sat, 18 Jun 2011 18:38:00 +0200

Vor einiger Zeit, als ich Wordpress nicht gleich
aktualisiert hatte, bekam ich Mails von meinem Blog. Jemand hatte
versucht den Adminaccount zu hacken und an mein Passwort zu kommen.
Ich hatte danach aktualisiert, die Lücke war geschlossen und ich habe
eigentlich keinen weiteren Gedanken darauf verschwendet.
Durch einen Artikel bei
Perun
bin ich wieder auf das Problem aufmerksam geworden.
Die Lösung ist eigentlich recht simpel. Da ein Angreifer das Passwort
nicht kennt, muss er es ausprobieren. Entweder durch manuelles raten,
oder mit einem Skript.

Dem kann man dem Spaß verderben, wenn man eine kleine Hürde einbaut, die nach einer bestimmten Anzahl von Versuchen greift. Das Plugin `Limit Login Attempts <https://wordpress.org/extend/plugins/limit-login-attempts/>`__ macht genau das und sperrt den Loginbereich nach einer bestimmten Anzahl von Falscheingaben.

Das bietet keine absolute Sicherheit, macht aber dieses private Kleinblog noch ein wenig uninteressanter für einen Angreifer.

Twitter jetzt mit https

Lioman — Wed, 16 Mar 2011 10:35:00 +0100

Eigentlich stimmt die Überschrift nicht ganz, denn man kann Twitter schon eine ganze Weile über eine verschlüsselte Verbindung erreichen. Dazu musste man aber bisher entweder manuell ein “s” hinzufügen oder Plugins wie HTTPS Everywhere (Ein Firefoxplugin deren Installation ich für absolute Pflicht halte) nutzen.

Nun kann man die verschlüsselte Verbindung auch direkt in den Einstellungen erzwingen. Man muss nur ein Häckchen setzen.

Schade finde ich nur, dass diese Option nicht standardmäßig aktiviert ist - das würde auch unwissende vor unverschlüsselten Verbindungen schützen.

Nicht nur freie Software im AA

Lioman — Sat, 12 Feb 2011 19:51:00 +0100

Oliver Kaczmarek und andere stellten eine Kleine Anfrage an die Bundesregierung zur IT-Strategie, da der Verdacht besteht, das Teile der Infrastruktur des, in IT-Dingen äußerst günstigen, Auswärtigen Amtes wieder auf proprietäre Software umgestellt werden sollen.

Nun ist die Antwort da (hier im Wortlaut)!

Der Text ist umständlich formuliert und für den unwissenden Leser sieht es auf den ersten Blick so aus, als ob alles in Ordnung wäre und weiter eine Menge eingespart wird.

Henning Tillman, Mitarbeiter des federführenden Abgeordneten, analysiert die Antwort und bietet eine leichter Verständliche “Exegese eines politisch verschleierten Textes”.

Das Fazit ist klar und wenn ich mir beides Anschaue (Orginaltext und Blogartikel) komme ich zum selben Schluss: Es wird teuer für den Steuerzahler und das auf Kosten von Sicherheit.

Tillmann schreibt zum Thema IT-Sicherheit:

Zur Antwort auf Fragen 13, 14 und 15

Die Bundesregierung antwortet, es seien beim Einsatz von proprietärer Software keine besonderen Sicherheitsanforderungen notwendig. Dies halte ich zumindest für diskussionswürdig. Schließlich waren bekannte und große Sicherheitslücken in der Vergangenheit ausschließlich bei proprietären Betriebssystemen bekannt. Als bekanntes Beispiel ist „Stuxnet“ zu nennen, das sich über Windows-Systeme verbreitete.

Das ist nicht nur diskusionswürdig, die Vorstellungen der Antwortenden von Sicherheit sind zweifelhaft. Es stimmt, dass mit quelloffenen Lösungen die Sicherheit der Software kein Thema mehr wäre. Auch beim Einsatz von freien Programmen muss man sich Gedanken machen und auf Filter, Firewalls usw. setzen. Es ist mir jedoch absolut schleierhaft, wie man allen Ernstes auf ein Betriebssystem setzen kann, dessen Hersteller Sicherheitslücken an einem Patch Day schließt. Eine bekannte Lücke muss man so schnell wie möglich schließen!

Oder würde man einem Vermieter trauen, der einen auf den zweiten Dienstag im Monat vertrösten würde, da nur dann die nötigen Reparaturen an der defekten Schließanlage durchgeführt werden können?

Schwarz-Geld (Oh Pardon: Gelb) vertraut wohl ganz naiv einfach in das Gute im Menschen.

GPG: Warum Mails verschlüsseln

Lioman — Wed, 19 Jan 2011 16:01:00 +0100

Vor nicht allzulanger Zeit habe ich hier ein kleines Erklärvideo zu Mailverschlüsselung/GPG gepostet. Da ich das Thema für wirklich wichtig halte, möchte ich es noch ein bisschen weiter vertiefen. Doch ein Bild sagt mehr als tausend Worte und so habe ich eine kleine Grafik erstellt:

Geht die Mail unverschlüsselt auf die Reise, kann jede Zwischenstation die Nachricht auch auslesen, scannen und weiterverarbeiten. Und es sind wirklich viele Stationen. Das kann man recht einfach mit dem Programm traceroute testen.

Hier einfach mal zwei Beispiele:

Von der Uni zu mail.gmx.de - Ergebnis: 11 Stationen
Von der Uni bis zu smtp.googlemail.com - Ergebnis 12 Stationen

Liegt die Empfängeradresse nicht auf dem gleichen Server kommen noch die Stationen von Mailserver zu Mailserver und in jedem Fall die von Empfängermailserver zum eigentlichen Empfänger dazu. Das sind also im Endeffekt sicher mehr als 20 Zwischenstationen, die die Mail passiert und jedes Mal kann sie im Reintext gelesen werden, von Leuten/Stellen/Firmen, die das gar nicht sollen. Dazu kommt - jede Zwischenstation ist ein Ziel für Hacker - es reicht eine einzige Zwischenstation und unbefugte können alles mitlesen - kopieren usw. Viele Mails enthalten keine wichtigen Informationen - doch einige sind vollgestopft mit sensiblen Daten - diese sollte man wirklich verschlüsseln, dass nur der Empfänger sie öffnen kann. Im Bild sieht das ganze so aus:

Der Absender verschlüsselt die Nachricht per GPG und nur der Empfänger hat den Schlüssel. Halten sich Absender und Empfänger an ein paar einfache Sicherheitsregeln ist es so gut wie unmöglich den Mailverkehr mitzulesen.

Verschlüsselt man den Artikel bis hierhin kommt folgende Ausgabe heraus:

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.10 (GNU/Linux)

hQEMA+1sveSNScf7AQgAyl2DxQVJXNT8GbAJ/5NsIuEk5sIS8H00WiegZVKC+oTj
s8qEvygyhR5PlKNqX4qD6zX+K+3mbM/P0IOrNaRaLAiKHHQB+9aAYQx8Au9u7Bk3
tsI8Tc0PKhVFm7s0KdFfwefyN2tkkb5qqmNhZtme9sXKBEx8g2aSdhkPzIqCS8Ng
QFlkSv9o/UDGZit1kmhcPMlcCIRjkv1YnT4CQETQ41DY4L48jMhYcSPmwPT66IqJ
gVXP7WMiLqoIWswANp7ndvcyiiiIvuGz1HtANFQMSmz3oGeGaG0fS/QnhCV5NDd5
r/NcDUmjCneICYWH5YfBHZrIlXDTha1928qjc2px1tLqAfA41Zw+HNqEApDFz1hz
AVjGciIcfoHw824VdewIlow5dXeVfRzJwwDBqjv9xBLy6/9n3Tuv6MuH69fAVzUF
nxuXA1YXNkeP9wd1W8XQE33Hl7DKWStPrnDy8KdQVa7Rx1Lc0Sqm4zAIt5CtVlAr
Hrztbs7elyFo71x/B+Z3k/6KdmQSgGaKFzYrc5Yd7D3wECJWpDv33mRu+Fv2qI6B
Mm1r9iVHXXENLP9jvQGkHoIbm5I24mTvHeLpRbUa0wH85u5P0QC3aykrCETBdULy
NbwwCEWBrA2l9O76keV9tEn3kJ8YIqA5OSaDQBd6eJY2HN67vLw7MlAA72jt37O7
PUyGnQZzL1StdvLINmP/qy5CEZR5Lj2VajdshkLEU8lc23oGbXhlrmn8zqBzd8K9
UjeJBfU23rYn1tQuwDo5ULDalg7M+VV5NMBhKnxDia+jn/DgAFJ6SRwUIxDRBCon
jWFy0c5kgZpKArEmbS+sp+wSxkttzvGwTYGg5sc4oYkT98YtwM7S9I/y/L4iv0Q7
bpA7lmcRJUtbaJ3lGK9UINuFLokez9rG3XtjJxyFY+OG4SJtMg7WX08feuo2m4a6
edqg4gBt6i6duqFSYc8wBEHGghPu8JWTj7G3DDPM/y0C6MHy25hzKcNoIOBKVQOe
DN3mwPe78eb/A/aGJPvp2zJY3froEcKvABYy4VzsyVg+Bx/TkvNSQsF5aAMYKamp
sDGouoTwvXbyI4DWwFukJ9+n5vdhHYOWPepIBPJq0bwHA/hvx54qaIIXdJIZwoB/
cuC5KJ4Ke/xzCwxVgygmuWSbO8jUYKEauC4pi/ExW5Gz7pnJKD6jmUCpH2oASTuZ
XNH1mrQH39fX+HZfcu5nXwSLwIROYcjezjcXT2XzDB4WjwEewVHkzCXLl0WnQP5O
JMrJpal5NkWrgnxAdhBRSEINOBPwzTVxZv9dmMdxWhAsLxCGN6OUGoNQbiGo6uqt
jTMI/2r9t4bDLjA9t6TJfjjJ/oGfUoAKHoTuzOlQrE4DTuOfh9hvtIifUelxR74q
bP6WmU4p2f/yXaKI7TZrfQEBIG3LTw374+SGaJCRrzcwpmi94M0kV9SDncMC8sgI
iys52KmiomrWqIBt9a6qTrYt58eVGgk8mCoqmkJjKaadpMF8x9sYiDOM7vS7lp6J
MW5Atsfjv5K6Y3dWrwEqPoFg6C078nPL0+4g0u9icWwWXzMrPlOE1GALJ0Qkh00V
MMVIzF8X5mvyBMhK8loy5uxpYS4gm9aOn3x5xkuQfntsX4pPlIUf3PynwsznJedJ
7EAFB7ukYTwzRBBPKqAbaWNP7DA4eEFCeHHC4W5WY4MLfJud1jqDrOFiYkJ5Fffk
IOllyP5CcF51NVEqOpvT5JLhaqVFw/XB4qJ9txlRLrcPbnEQr0RveKqTeDymhgQJ
zYWEyEnVBFMTgkQ0nav2QMpinqIaaugKzvA8W/7Cbvu33grpR7L4JrdqlGs+0tSZ
oQwtQ6JpZOm1KCRswWhzDpuvtwDWKays5ZzAydFc7z4cBZTnaBp9HiniADb265NL
+bSq5BEVvzO32zplu42nGetzHHWB2jtg71WGZeeuxYWOnm676HPEAQmhxS143s1I
s9UF+cZDYmslMQdmxB8oRj74bce+UB/kKekQ35yLyw6RHJyl7PrD7zqFezvK+Fvd
r43HxoAsCKkmruMWomu49s5wylh1Sq3Jc1L3p/JkJWgiUGIKddieXF+A+CAJCCFp
i457pC/MfPAk0vGeC6c8xhQ2bmlXKnQfShoDs2Amfu0b8WX8Cui25V8ykXNUxuuF
akzF7WrRgAI44vOjhA0lxGkPGyIPEwWey5xSmugpDKep6w9z0Q70/BPtY5aPFWEV
ciOZ0oPHm9HXn1hQuzewnkyyLR4KL5GxaDhVzREDaJfF+idkQq0gHHkapWtIehR4
umXPdb3S4JM7dynTMdKDp2IdwbtphhHDRDeYd+FHdHUwlr0Bs2wgdo7qpmDD2Set
dKNN2jXwEZ+pn6oPUEkczqvNppQ+BWE0gwLHYFmBhkhNBoYU5NabiJMYLL5IlcGV
ZHM8I45NAia5aGrnARXHhH3UBM3Fs7VYCp3LcXo2Ig6RG6puP2x1D+KWuC7+kd1l
yiGEvBmf9kN7ilr046Lx57Na0IJOZj7nfKcuzz7dDIt6YAq9BbttHIYEiBzod5ir
cynkpoRP47Vax9a9f4DC9XOhHXwX08cIGQ==
=hy3h
-----END PGP MESSAGE-----

Ohne die Schlüssel ist das im Grunde nicht zu knacken (sofern das Passwort sinnvoll- und nicht wie hier “test”- gewählt ist).

Gerade sensible Daten sollten so verschlüsselt werden. Ärgerlich ist es nur, dass viele Behörden, dies gar nicht anbieten. Obwohl es einfach und kostenlos ist.

Wie einfach das ist und ohne, dass es ohne allzu große “Nerdigkeit” zu bewerkstelligen ist soll der nächsten Artikel zum Thema GPG zeigen.

Erklärvideo Was E-Mailverschlüsselung heißt

lioman — Mon, 20 Dec 2010 16:40:00 +0100

Wenn ich mitbekomme, was manche Leute für sensible Daten per E-Mail verschicken- überkommt mich das kalte Grauen. Passwörter, persönliche Dinge, Geschäftsdaten, Noten, Beurteilungen usw.. Alles unverschlüsselt und für jeden im Reintext lesbar, der sich zwischen Sender und Empfänger befindet. Das ist mindestens ein Zwischenrechner im Normalfall sind es aber mehrere Router, Server, Knoten, Anbieter mit jeweiligen Verwaltungspersonal usw. Und dass sind die normalen Zwischenschritte, aber illegal könnte sich noch jemand anderes dazwischenschalten (Man-in-the-Middle).

Das ärgerliche daran ist, dass es einfache kostengünstige Lösungen gibt. Eine Verschlüsselung kann man relativ einfach installieren und wird auch von vielen Mailprogrammen unterstützt.

Eine einfache Erklärung findet man im folgenden Video. Beschreiben und erklären werde ich das ganze noch einmal in einem eigenen Artikel.

Erklärvideo:

Den Referrer kontrollieren

Lioman — Mon, 06 Dec 2010 15:10:00 +0100

Viele Seiten, sammeln alle möglichen Daten und man weiß nie genau, was alles damit angestellt wird. Im Grunde geht es aber immer darum Profile zu erstellen. Die IP ist nicht immer ohne weiteres zu verschleiern (nimmt man Geschwindigkeitseinbusen hin geht es recht gut über TOR). Aber es gibt ja noch ein paar andere Daten, die der Browser an jede Website übermittelt.

Im Referrer steht immer die letzte Seite drin, also von woher man gekommen ist. Das möchte man aber nicht jeden Webmaster wissen lassen und so gilt es dies zu kontrollieren. Das Problem dabei: Einfach ausschalten ist nicht wirklich sinnvoll, da es für manche Funktionen sogar benötigt wird.

Für den Firefox gibt es ein nützliches Add-On: RefControl

Die Erweiterung nistet sich in der Statuszeile ein und kann so einfach an und ausgeschaltet werden. Klickt man rechts drauf, kommt man in die Optionen.

Zuerst sollte man den Standard auf <Ersetzten> stellen. Dann sieht es für jede Seite so aus, als habe man die Adresse direkt eingegeben. Nun kann man noch für bestimmte Seiten Extraregeln erstellen, die Meisten Seiten werden aber mit dieser Einstellung keine Probleme haben.

Facebook Like und Share blockieren

Lioman — Mon, 29 Nov 2010 18:22:00 +0100

Überall im Netz tauchen die Like und Share-Knöpfe des Sozialen Netzwerkes Facebook auf. Und das ist problematisch, denn mit diesen können die Datensammler sehr genau sagen, welche Seiten man ansurft - ob man in FB eingeloggt ist oder nicht. Obwohl ich das Netzwerk selbst nutze möchte ich eigentlich immer die Kontrolle darüber haben, welche Daten ich dort veröffentliche und an die Server schicke. Deswegen blocke ich Facebook ab jetzt überall - außer auf Facebook.

Für Chromium/Chrome gibt es die netter Erweiterung Facebook Disconnect

Surft man meistens mit dem Firefox ist es einfacher einen Filter in AdblockPlus einzustellen.

Einfach folgende Zeilen eintragen:

||fbcdn.net$domain=~www.facebook.com

||facebook.net$domain=~www.facebook.com

||facebook.com$domain=~www.facebook.com

Schlimme, schlimme LSOs

Lioman — Thu, 25 Nov 2010 14:28:00 +0100

LSO steht für Local Shared Objects und dies sind nichts anderes als Flash-Cookies (auch Super-Cookie genannt), in denen Flashobjekte von beliebigen Websiten Informationen ablegen. Manches ist ganz praktisch, da eine Videoseiten, dann alle Videos immer in der gewünschten Qualitätsstufe zeigt, oder das kleine Pausenflashspiel den Nutzernamen sich merken kann. Aber LSOs sind gefährlich, sehr sogar viel schlimmer als die normalen HTTP-Cookies, die man als aufmerksamer Internetsurfer immer mal wieder löscht.

Warum sind LSOs so gefährlich?

LSOs haben eine unendliche Laufzeit
sie können bis zu 100kb Daten speichern
diese können Seitenaufrufe, Einstellungen, Betriebssystem, Nutzernamen enthalten
Flashobjekte sind manchmal “unsichtbar” dennoch können sie gespeicherte Inhalte senden
Man kann nicht 1 zu 1 sagen welcher Cookie welcher Trackingdomain gehört (erfordert genaue Analysen)
LSOs werden in gesonderten Ordnern gespeichert d.h.
1. der Browser löscht sie nicht und
2. egal welcher Browser genutzt wird die Daten landen immer in der gleichen Datei
Die Daten können aus einem LSO ausgelesen und in ein traditionelles (schon gelöschtes ) Cookie wieder eingeschrieben werden

Was das heißt zeigt ein Screenshot der bei mir gespeicherten LSOs. Dazu muss man sagen, dass ich in der Zeit mein System + Plugin mehrfach auf den neusten Stand gebracht habe und den PC gewechselt habe. Doch die LSOs habe ich immer brav mitgenommen.

Über elf Monate - das finde ich ziemlich erschreckend, vor allen Dingen wenn man bedenkt, was alles in 100kb passt: genau 99990 Zeichen!

Wie werde ich sie Los?

Für den Firefox existiert eine exzellente (auf Deutsch dokumentiertes) Erweiterung : BetterPrivacy

Hat man diese Erweiterung installiert ermöglicht sie eine einfache Löschung der Cookies.

Das Plugin ist ziemlich selbsterklärend, man kann die LSOs richtig verwalten und z.B. bestimmte schützen oder alle automatisch beim beenden des Browsers über die Klinge springen lassen. Diese Einstellungen empfehle ich, denn der Mehrwert dieser Dateien ist sehr gering.

Außerdem kann man mit dieser Erweiterung gleich noch die DOM-Storage-Datei (eine andere Art von Super-Cookie) loswerden, was die Sicherheit des Browsers noch ein wenig erhöht.

Nutzt man andere Browser oder möchte nicht noch eine Erweiterung ist auch eine manuelle Löschung des Ordners möglich.

Laut Wikipedia findet man die LSOs in folgenden Ordnern:

Betriebssystem	Speicherort	Anmerkung
Microsoft Windows	%AppData%\Macromedia\Flash Player\#SharedObjects %APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys %APPDATA%\[AIR Paket ID]\Local Store\#SharedObjects\	%AppData% steht für das Benutzerverzeichnis Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
Mac OS X	~/Library/Preferences/Macromedia/Flash Player/#SharedObjects ~/Library/Preferences/[AIR Paket ID] ~/Library/Preferences/Macromedia/FlashPlayer/macromedia.com/Support/flashplayer/sys	~ steht für das Benutzerverzeichnis Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
Linux	~/.macromedia/Macromedia/Flash Player ~/.macromedia/Flash_Player/#SharedObjects	~ steht für das Benutzerverzeichnis

Table: Standard Speicherorte

Badische-Zeitung ist unsicher!

Lioman — Wed, 27 Oct 2010 12:29:00 +0200

*Über die unsichere Kommentarfunktion der `Badischen Zeitung <http://www.badische-zeitung.de/>`__ lässt sich beliebiger HTML-Code einfügen.*

Ein netter Service der Badischen, dass man seine Kommentare beliebig gestalten kann - doch da alle HTML-Tags erlaubt sind hat man weit mehr Möglichkeiten als reine Textgestaltung.

Zu den harmlosen Scherzen gehört die Übernahme von Kommentaren. Theoretisch ist es jedoch Möglich per Javascript alles was das Hackerherz begehrt nachzuladen. Der Nutzer hätte aber keine Möglichkeit dies zu erkennen, da der Urheber immer die vertrauenserweckende Zeitung aus Freiburg ist. Unverständlich warum diese Lücke nicht schon längst gecshlossen ist. DVaulonthat nach eigenen Angaben den Verlag schon vor einem halben Jahr darauf hingewiesen und als Reaktion kam einfach gar nichts. Umso konsequenter ist es, dass er die Lücke veröffentlicht hat. Hoffentlich wird sie möglichst bald geschlossen, denn so etwas ist schlicht fahrlässig!

Update: Das Problem scheint zumindest kurzfristig behoben zu sein. Warum nicht gleich so? Das zeigt, dass eine Lücke immer veröffentlicht werden muss bevor was passiert

Nacktscanner überlistet

Lioman — Thu, 14 Jan 2010 12:15:00 +0100

Physiker Werner Gruber überlistet in der Sendung von Lanz einen passiven Körperscanner.

Die zur Zeit vieldiskutierten Körperscanner, die für mehr Sicherheit in Flugzeugen sorgen sollen kann man überlisten. Für gefühlte Sicherheit bringen sie vielleicht einen Mehrwert den einsamen Spinner wird man dadurch nicht abhalten.

Wie einfach das geht kann man ca. ab Minute 15 in der ZDF-Mediathek sehen.

Werner Grube schmuggelt am aufgebauten Scanner die Zutaten für eine Thermit-Reaktion vorbei. Thermit wird zum Beispiel zum verschweißen von Eisenbahnschienen genutzt. Es können Temperaturen bis zu 3000°C entstehen. Man kann sich leicht ausmalen, was mit einem Flugzeug passiert, wenn man das Pulver an der richtigen Stelle zündet. Schaut man sich die Reaktionsgleichung mal an sieht man auch, dass 1. die Zutaten leicht in Drogerie/Apotheke + Baumakt zu besorgen sind und 2. dass man nicht löschen kann, da kein Sauerstoff benötigt wird.

Kommt man auf die blöde Idee es dennoch mit Wasser zu versuchen: Bumm - das ganze geht in die Luft.

Wir sollten also eher in Terrorismusvorbeugung und Personal investieren, als in (aus vielerlei Hinsicht) zweifelhafte Technik.

Update auf 2.8.1

Lioman — Fri, 10 Jul 2009 06:58:00 +0200

Gestern Abend wurde das Sicherheitrelease für Wordpress veröffentlicht. 2.8 hatte leider einige Probleme gemacht. So gingen bei manchen die Pings nicht richtig oder alles brach wegen zu hohem Speicherverbrauch zusammen. Zudem kommen noch wichtige Sicherheitsfeatures. Aus diesem Grund hatte ich hier auch die Beta2 schon am Laufen. Also Update dringend geboten. Version 2.8.1 gibt es unter: Wordpress-Deutschland