Archiv der Kategorie: IT-Sicherheit

Passwörter auf passwords.google.com

Willkommen in der schönen, neuen, sicheren Google-Welt.
Eigentlich lasse ich meine Passwörter von httpss://lastpass.com verwalten, aber jetzt brauchte ich schnell ein in Chrom gespeichertes Passwort und sah unter „Passwörter verwalten“ nach. Da bemerkte ich den Link, der wohl neu sein muss „Unter passwords.google.com können Sie auf all Ihre Passwörter zugreifen“.
Ich Dummerchen dachte, Chrom speichert die Passwörter lokal auf meinen Rechner. Das hätte ja gar nicht funktionieren können, da ich sie in jedem Chrom auf jeden Rechner zur Verfügung habe, sobald ich mich anmelde.
Es war also ohnehin schon klar, dass Google meine Passwörter in ihrer Cloud speichern, nur war es mir nicht bewusst. Gut jetzt ist es mir bewusst und ich kann immerhin über passwords.google.com auf alle meine Passwörter zugreifen. Ändern werde ich nichts daran, denn ich bin denen sowieso schon komplett ausgeliefert. Erfreulicher weise benötige ich für meine Wohnung noch keine Keycard oder eine Android-App mit dem Passwort auf Google gespeichert, sonst hätte ich immer Angst, dass sie mich eines Tages nicht in die Wohnung lassen, weil ich zum Beispiel für AdWords zuwenig ausgegeben habe oder Google plus eine Woche lang nicht nutzte.

(20)

Let’s encrypt

letsencryptWarum man verschlüsseln sollte geht aus dem Artikel Ein Geschenk für alle Administratoren von Patrick Beuth auf Zeit Online gut hervor. Man kann zum Beispiel auch auf startssl.com ein kostenloses Zertifikat erhalten, aber ich bin von dem Projekt Let’s encrypt begeistert. Es steht ja auch die Linux foundation hinter dem Projekt und es wird unterstützt von Mozilla, Cisco und anderen namhaften Firmen. Ich denke, dass sich das Projekt zukünftig sehr großer Beliebtheit erfreuen wird. Ich habe es jedenfalls getestet und stellte fest, dass es noch nie so einfach war, ein Zertifikat für den Apachen zu installieren. Es ist wirklich sehr benutzerfreundlich. Mit „./letsencrypt-auto –apache“, wie auf How it works beschrieben, war schon alles erledigt.
Auch für Webmin funktionierte es denkbar einfach: „./letsencrypt-auto certonly“ bekam ich die pem-Dateien, die ich dann in das Verzeichnis von Webmin kopierte. In Webmin gab ich dann unter „SSL Support“ den Pfad für das „private key file“ und für das „certificat file“ an – Webmin neu starten – fertig.

Im Chrome sieht die Testseite dann so aus:
chrome
Also mit einem roten Kreuz im Schloss und httpss durchgestrichen, was bedeutet, dass die Verbindung angeblich nicht sicher ist.

Im Firefox hingegen ist die Seite sicher, was mir persönlich völlig reicht. 😉
firefox
Das bedeutet, ab jetzt sind meine Seiten wieder optimiert für Firefox und der Browserkrieg geht in die nächste Runde. Wobei der ehemalige Platzhirsch, der Internet Explorer, zu meiner Freude inzwischen zu einem unbedeutenden Nebendarsteller wurde.

Weblinks:
letsencrypt.org
Let’s encrypt auf Golem, GitHub, Wikipedia und zum Schluss erwähne ich hier noch den User Guide.

(86)

Absicherung eines Debian (Ubuntu) Servers: SSH

Biuldquelle: https://www.openssh.com/
Bildquelle: https://www.openssh.com/
Obwohl ich keine sensiblen Daten auf meinem Server habe und es sich nur um einen sehr günstigen v-Host, also nur einen virtuellen Rechner handelt, so sind einige erste Schritte nach der Installation für mich trotzdem selbstverständlich. Viele Systeme werden gehackt, weil es einfach möglich ist. Also ohne richtige Motivation, sondern einige Wannabies missbrauchen einfach Netzwerktools und finden es cool, wenn sie z.B. über aktuelle SW-Bugs in fremde Systeme einbrechen können, habe ich gehört. Das muss man nicht fördern, denke ich mir und daher bestehe ich auf ein gewisses Mindestmaß an Sicherheit. Früher regte ich mich über anonyme Proxies auf und verstand nicht, weshalb nicht alle Benutzer auf signierte Emails bestehen, sondern sie Signaturen sogar ablehnen. Heute ist mir das schon gleichgültig und bei dem Schundluder, das bei manchen Zertifizierungsstellen getrieben wird, machen Zertifikate ohnehin bald nicht mehr viel Sinn.
Was soll’s, als erstes halte ich mich an den Grundsatz, nur diese SW zu installieren, die ich wirklich benötige. Plesk gehört da jedenfalls nicht mehr dazu. Als erstes benötige ich natürlich SSH. Daher wird der SSH-Server auch als erstes einigermaßen abgesichert.
Dazu gehört, dass ich den Root-Login nicht erlaube. Siehe dazu SSH Root Login unter Debian verbieten
Plagte mich Paranoia, wählte ich die „Public Key Authentication für SSH“. Aber da dies nicht der Fall ist, genügt mir, dass sich nur ein bestimmter Benutzer (ich) anmelden darf. Außerdem darf sich nur ein Benutzer aus AT, also Österreich anmelden und somit ist der Rest der Welt schon einmal ausgesperrt. Für letzteres verwende ich GeoIP, siehe Limit your SSH logins using GeoIP.
So, das genügt mir schon, was den sshd betrifft.
Naja, vielleicht erwähne ich noch, dass man natürlich die sshd_conf anpassen muss, nicht die ssh_conf.

Weblinks:
https://www.openssh.com/
Manual pages
Secure Shell (SSH) – Halte deine Verbindungen sicher

Absicherung eines Debian Servers
Securing Debian Manual
Debian Server absichern – so machen Sie es richtig!
Absichern von FreeBSD
SSH konfigurieren & absichern
SSH richtig einrichten
How to Allow SSH/FTP Access Based on Country using GeoIP
Linux > SSH optimal schützen bzw. SSH > Public Key Authentication
Tutorials – Secure SSH Tutorial Part 4: Security & ssh-agent
SSH konfigurieren & absichern
GSSAPI authenticationBildquelle: https://www.openssh.com/

(54)

Wenn Hetzer über Hetzer hetzen,

macht man sich kein Bild davon.
Wozu auch? Sie haben das Gewohnheitsrecht….

Aus der Bild könnte ich natürlich nichts erfahren, denn nicht nur ich weigere mich in dieses Blatt hinein zu sehen, sondern sogar meine Software. Mein Adblocker sagt, die Inhalte der Bild sind Adware und werden daher nicht angezeigt. Sehen Sie selbst, was ich sehe, wenn ich die Bild aufrufe:
bildadblocker.
Natürlich kann ich mir die Ads auch ansehen und den Adblocker kurz ausschalten, um das zu sehen:
bildhetzer2.
Etwa 2/3 des Bildschirms sind ausgefüllt mit einem Patchwork von Hetzen auf FB und 1/3 mit einer Werbung.
Wissen Sie jetzt warum Bild die Hetzer an den Pranger stellt? Leider kann ich den Artikel nicht lesen, denn ich beging den Fehler auf die Startseite der Bild zu gehen und stehe für den Rest des Tages unter einem schweren Schock.

Jedenfalls finde ich es prinzipiell gut, wenn gegen Hetzer vorgegangen wird. Aber ich würde das fast jeder Institution und jeder Person zugestehen, nur nicht der Bild. Ich hoffe nur, dass sich jetzt FaceBook ein wenig um die Bild kümmern wird. Bei der Bild muss man ja nicht erst im Kommentar-Bereich wühlen, sondern dort findet man die Verstöße womöglich schon auf der Titelseite und in den Schlagzeilen. Eine Tageszeitung sollte für seriöse Berichterstattung zuständig sein und nicht mit Panikmache und Verunsicherung der Bevölkerung und mit Hetze, um ein paar Zugriffe heischen, damit die Werbung auf ihren Seiten endlich einmal gesehen wird. Was ist das für eine Recherche, wenn ein paar Screenshots von Kommentaren anfertigt werden? Das ist gar keine Recherche, weshalb ich diesen Artikel selbst als Hetze einstufe.

Es ist jedem Kind ein Leichtes, sich mittels Verwendung von Tor, eines Anonymisierungsdienstes, oder einfach eines anonymen Proxy-Servers einen Fake-Account auf FB anzulegen. Ich selbst bezeichnete früher etwas unvorsichtig, scherzhaft und doch plakativ „FaceBook“ als „FakeBook“.
Falls Bild allerdings Zugang zu den FB-Daten hat und vielleicht mittels höherer Staatsgewalt und nach internationalem Übereinkommen das Recht bekam, die Accounts auf Echtheit zu überprüfen, nehme ich meine Aussagen hier zurück. Ansonsten halte ich es für eine total unverantwortliche und gefährliche Verleumdung, wo durch ungeprüfte Daten, eventuell Menschen, die vielleicht gar nichts davon ahnen und womöglich selbst nicht einmal einen FB-Account haben, in Verruf und Gefahr gebracht werden.
Es gibt die geteilte Meinung, dass wir ohnehin schon in einem Überwachungsstaat leben, aber die Bild scheint über Mittel zur Überwachung zu verfügen, von denen Nachrichtendienste, Polizei und andere staatliche Einrichtungen nur träumen können.

Falls dem doch nicht so ist, sollte man die Schlagzeilen der Bild und die Kommentare auf der Bild durchleuchten und die Bild am Pranger einfach dazu stellen.

Übringens, man kann statt eines Screenshots auch ein Video eines Screenshots erstellen, wie mir das Beispiel der Süddeutschen zeigt:

Nicht nur den Missbrauch von Journalismus („Journalistische Macht hat nur, wer sie missbraucht„, „Medien: Volle Ladung Hass“ ), sondern auch den Missbrauch von Kunst finde ich schändlich, doch bin ich mit meinem Dadaichmuss weit davon entfernt, denke ich und mussdadatippen:

Wenn Hetzer über Hetzer hetzen,
macht man sich kein Bild davon.
Wozu auch? Sie haben das Gewohnheitsrecht.
GewohnheitsUNrecht auch wozu
schlechtes Bild
verzerrtes Schild
WerbeMammon macht euch froh
Bild – lichterloh
und am Klo
aus
.

Anmerkung zum Schluss: Natürlich kann man den Artikel der Bild über „Hetzer auf FB“ „liken“ und der Seite auf FB auch folgen, worüber sich Zuckerberg besonders freuen dürfte, falls ihm die FB-Hetzer-Story irgendwie zugetragen werden sollte.

Noch ein paar Weblinks zum Thema:
BILD schürt den Scheiterhaufen: So landen Sie mit Facebook am Pranger
„Bild“ prangert Facebook-Hetzer an
„Bild“-Zeitung druckt Hasspostings ab“
Erste Presseratsbeschwerden wegen Bild-Pranger gegen Facebook-Hetzer
„Bild“ stellt Hetzer an den Pranger und erntet Kritik
„Bild“ stellt rechte Hetzer an den Pranger
„Bild“ stellt Internethetzer an den Pranger

(46)

„Java“ gesucht – „Hydra“ gefunden

Ich habe keine Ahnung, wieso mir das Ubuntu Software-Center die „Hydra“ vorgeschlagen hat, als ich, nur um zu sehen, welche packages Ubuntu momentan anbietet, nach „Java“ suchte. Da ich ohnehin sehr nachlässig mit Kennwörtern umgehe, obwohl ich jetzt schon LastPass verwende, habe ich mir „Hydra“ gleich installiert. Zu meiner Nachlässigkeit mit Kennwörtern sei ergänzt, dass ich aus Faulheit oft das gleiche, schwache Kennwort benutzte, obwohl ich mir das wirklich abgewöhnen möchte, weil es mit Tools, wie LastPass (es gibt auch noch andere ähnliche Tools) ja ganz einfach zu bewerkstelligen ist. Ein Beispiel für meine Schlamperei im Privatbereich, wo es natürlich nur Daten gibt, die mich betreffen und die meiner Meinung nach nicht so wichtig sind, dass man sie besonders schützen müsste, kann ich mit dem Kennwort für meinen Netzwerkrouter geben. WAP kam mir plötzlich nicht mehr sicher genug vor, denn mir geht es wie gesagt nicht so sehr um meine Daten, sondern ich will Missbrauch meines Systems vermeiden. Also stellte ich auf WAP2 um. Als ich mich nach Jahren erstmals am Web-Interface vom Router anmelden wollte, stellte ich zu meinem Entsetzen fest, dass dort der Default-Benutzer „admin“ ohne Kennwort eingestellt war. Oh meine Göttin, was nützten dir da sichere Protokolle und Kennwörter, wenn du am zentralen Einstiegspunkt nicht einmal irgend ein Kennwort gesetzt hast, dachte ich mir.
Na gut, so etwas darf nicht mehr vorkommen, auch nicht bei meinem unbedeutenden, privaten Netzwerk, also habe ich es erstmals ein wenig abgesichert und versucht, von außen in mein System einzudringen. Jetzt ist es zumindest soweit gesichert, dass keine weit offen stehenden Türen förmlich zum Eintritt einladen. Paranoia werde ich wegen meinem privaten Netz aber sicher keine bekommen.

Auf Grund genannter Tatsache, fand ich den ungewöhnlichen und eigentlich sehr schlechten Vorschlag von Ubuntu „Hydra statt Java“ ganz brauchbar und nützlich.
Ich lese im Software-Center:

dpl4hydra, hydra, hydra-wizard, pw-inspector
Hydra is a parallelized login cracker which supports numerous protocols to attack. It is very fast and flexible, and new modules are easy to add.

This tool makes it possible for researchers and security consultants to show how easy it would be to gain unauthorized access to a system remotely.

It supports: Cisco AAA, Cisco auth, Cisco enable, CVS, FTP, HTTP(S)-FORM-GET, HTTP(S)-FORM-POST, HTTP(S)-GET, HTTP(S)-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MySQL, NNTP, Oracle Listener, Oracle SID, PC-Anywhere, PC-NFS, POP3, PostgreSQL, RDP, Rexec, Rlogin, Rsh, SIP, SMB(NT), SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH (v1 and v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.

Als Entwicklerwebsite war https://freeworld.thc.org/thc-hydra/ angegeben, also wollte ich mir weitere Infos holen, bevor ich meine Kennwörter damit überprüfen, bzw. knacken wollte.
Schock: Google warnt mich eindringlich:

Die Website, die Sie aufrufen möchten, enthält schädliche Programme.

Unbefugte Dritte könnten auf freeworld.thc.org versuchen, Sie zur Installation von Programmen zu bewegen, die sich nachteilig auf Ihre Browsernutzung auswirken. Dabei kann zum Beispiel Ihre Startseite geändert werden oder es erscheinen zusätzliche Anzeigen auf von Ihnen besuchten Websites.

Na gut, ich bin mit einem privaten Linux unterwegs, also was kann mir schon passieren. Ich besuchte die Seite und fand als Begrüßung sozusagen:

Welcome to the official THC web site. THC is an acronym for ‚The Hacker’s Choice‘ and a group of international experts involved in network and system security. The group looks back on a long history, it was founded in 1995 and published over 70 technical papers and software releases covering a wide range of computer security aspects. Currently, THC is among the top non-commercial security groups worldwide.

Womöglich bin ich etwas naiv, aber was bitte ist an technischen Dokumenten und Software Releases bezüglich Computer Sicherheitsaspekte so gefährlich, schlecht, verwerflich oder ungesetzlich, dass man davor warnen muss?

Darf ich nicht erfahren, welche Risiken und Fehler bestimmte Software mit sich bringen kann? Also ich kenne Internet-Seiten, über die ich zufällig gestolpert bin und die wirklich sofort vom Netz genommen gehören. Damit meine ich jetzt nicht unbedingt FaceBook und Co. Gut, was solls, inzwischen habe ich für mich (das sollte wohl jeder selbst entscheiden) freeworld.thc.org als interessante Quelle eingestuft und über die THC-Hydra habe ich dort gelesen, was ich ohnehin schon selbst herausfand.

Übrigens warnt Google nicht vor der Seite httpss://github.com/vanhauser-thc/thc-hydra und dort bekommen Sie neben der Software samt Beschreibung auch gleich den Source dazu.

Gut, irgendwie ist es mir schon verständlich, dass man vor oben genannter Seite gewarnt wird, denn dazu genügt doch schon der Name „freeworld.thc.org“. Wer von „freier Welt“ spricht, der muss doch verdächtigt werden. Also ich würde es nicht wagen, an eine frei Welt zu denken und schon gar nicht öffentlich davon zu sprechen. ;.)

An dieser Stelle sei auch eine Warnung vor meiner Seite angebracht, denn hier sind „Buttons“ für Google+ und FaceBook eingebunden und bekanntlich sammeln diese Daten-Kraken oder Daten-Ungeheuer schon Ihre Daten, wenn Sie auf meine Seite kommen. Dazu müssen Sie erst gar nicht den „Like- oder f-Button“ anklicken. Also, es ist sowieso schon egal, es ist ja schon jedem bekannt, dass Sie hier waren. Klicken Sie daher einfach auch noch auf „like“, damit ich auch etwas davon habe. 😉

(96)