reapers blog

Die freie Verschlüsselungssoftware TrueCrypt springt von 5.0 auf 6.0. Bisher hielt sich für mich der Sinn von TrueCrypt unter Nicht-Windows Systemen eher in Grenzen. Im Grunde bietet dort TrueCrypt selbst nicht viel mehr als andere Verschlüsselungslösungen. Was ich persönlich interessant finde sind die versteckten Volumes. Also verschlüßelte Partitionen die im nicht gemounteten Zustand nicht auffindbar sind. Dieses wirklich interessante Feature bietet TrueCrypt 6.0 jetzt auch den Nutzern von Mac OS X und Linux.

Als ich heute auf die Petition gegen das BKA-Gesetz stieß, viel mir so die Url auf http://itc3.napier.ac.uk auf. Das der Deutsche Bundestag nun eine Englische Domain nutzt ist seltsam genug, das aber die Domain auf eine Universität registriert finde ich bedenklich. Aber am Ende ist egal weil verschlüsselt wird eh nicht?!

Domain:
	napier.ac.uk
Registered For:
	Napier University
Domain Owner:
	Napier University

In der letzten Zeit meinen es die Profi Trackbacker aus der Porno- und Gesundheitsbranche wieder sehr aktiv bei mir. Derzeit bekämpfe ich die nervigen Trackbacks durch ein manuelles Freischalten, was aber auch nervt wenn mal in einem Hoch 50 Spams am Tag reingelaufen sind. Inzwischen reduziere ich die Flut ein wenig indem ich gleiche Trackbacks (Url / Herkunft / Titel) gleich ganz verwerfe. Das hilft, denn so bleibt immer nur der erste Eintrag eines Angriffs hängen.

Trotzdem würde ich das gern auch noch loswerden und hab mir mal Akismet angeschaut. Akismet wird per default mit Wordpress ausgeliefert, liegt aber auch für andere Systeme oder als flexible Bibliothek für eigene Lösungen vor. Und bei einem kurzen review der Klasse musste ich feststellen das Akismet eine ganze Menge von Daten über den kommentierenden Besucher sammelt und an den zentralen Akismet Service schickt:

$this->comment['user_agent'] = $_SERVER['HTTP_USER_AGENT'];
$this->comment['referrer'] = $_SERVER['HTTP_REFERER'];
$this->comment['user_ip'] = $_SERVER['REMOTE_ADDR']

Also Browser, Referer und IP Adresse, die Frage ist also was macht Akismet mit diesen Daten? Ein Blick in die Datenschutzerklärung klärt auf:

Die Daten werden also zu Zwecken der Produktentwicklung und an die Gesetzeshüter weitergegeben. Weiterhin werden Daten auf Vorrat zwischengespeichert wenn diese fälschlich als Spam erkannt wurden und Statistiken über die Nutzung erstellt werden. Also wieder eine Technik die Verbindungen zwischen Personen offenlegen kann und damit zur Falle für all die paranoiden Blogger werden könnte. Dabei sollte man bedenken das Akismet per default bei Wordpress immer dabei ist! Ich selbst werde Akismet also nicht integrieren und eher einen Bayes Filter für die Trackbacks in Betracht ziehen.

Unter dem Einfluss von CACert wurde mir mal wieder bewusst, das viel zu wenig Leute PGP / GnuPG einsetzen. Ich finde private Mails dürfen ruhig immer verschlüsselt werden. Schließlich macht ja eine einzelne, wichtige Mail aufmerksamer als ständig verschlüsselter Datenverkehr. Da gestern der CACert Stand gleich neben an stand habe ich einige Gespräche mit aufgefangen die zeigten wie wenig sich selbst technisch interessierte mit dem Thema beschäftigen.

Mir selbst viel auf das ich einige Leute kenne die einen PGP / GnuPG Schlüssel haben, diesen aber nicht verwenden. Was spricht denn dagegen jede Mail zu signieren die man verschickt. Ich muss ehrlich gestehen, Leuten von denen ich nicht weiß das sie einen Key haben schicke ich auch nur Klartextmails, denn ich habe keine Lust immer nach Keys auf den Servern oder Webseiten zu suchen. Wenn ich aber von meinen Kontakten signierte Klartextmails bekomme, importiere ich automatisch den Key und verschicke in Zukunft verschlüsselte Mails.

In dem Sinne: Signiert eure E-Mail und veröffentlicht eure Public-Keys, Briefe unterschreibt ihr doch schließlich auch ;)

Nicht das eine wirkliche Sicherheit bringt, aber es ist doch schön wenn man dem Apachen und auch PHP ein wenig Geschwätzigkeit abgewöhnen kann. Per default zählt der Indianer nämlich sämtliche aktiven Erweiterungen und seine genaue Version auf. PHP selbst klebt in jeden Header den es angefasst hat mal eben noch seine Version rein, damits auch jeder weiß. Zum einen sind das Informationen die für den Besucher der Webseite unwichtig, für den Admin bekannt und für Skript Kiddies eine Herausforderung sind ;)

Zuerst also dem Apachen seine Geschwätzigkeit abgewöhnen, dazu in die /etc/apache2/apache.conf (so unter Debian) die folgenden Zeilen einfügen:

# ServerTokens
# This directive configures what you return as the
# Server HTTP response Header. The default is
# 'Full' which sends information about the OS-Type
# and compiled in modules.
# Set to one of:
# Full | OS | Minor | Minimal | Major | Prod
# where Full conveys the most information,
# and Prod the least.
#
ServerTokens Prod

Damit verwandelt sich der ausführliche Server Header in ein knappes Server: Apache. PHP kann man über einen Eintrag in der /etc/php5/apache2/php.ini zum Schweigen bringen. Einfach den Schalter expose_php auf Off setzen:

; Decides whether PHP may expose the fact that it is
; installed on the server (e.g. by adding its signature
; to the Web server header). It is no security threat
; in any way, but it makes it possible to determine
; whether you use PHP on your server or not.
expose_php = Off

Nach der Korrektur den Webserver neustarten und die Header mit wget oder LiveHTTPHeaders anschauen ;) Wirkliche Sicherheit bringt das alles nicht, aber warum soll man denn immer allen alles zeigen ;)

Eigentlich ist die Apple Fernbedienung nicht viel mehr als ein nettes Spielzeug. Zumindest im Alltag und beim arbeiten. Woran ich dabei noch gar nicht gedacht hatte ich der Fakt das ja jeder neue Mac mit einer solchen Fernbedienung ausgeliefert wird und man somit immer Gefahr läuft das ein lustiger Zeitgenosse sein Spielzeug auf ein fremdes Notebook richtet.

Tatsächlich hat die Apple Fernbedienung ja eine Reichweite von etwa 10 Metern und wird auch von handelsüblichen Wänden prima reflektiert und gestreut so das eine unbeabsichtigte oder beabsichtigte Fernsteuerung gar nicht mal so unwarscheinlich ist. Solange man nur Frontrow verwendet sicher ein kleines Problem, aber wenn man mit Tools wie Mira oder iRedlite verwendet werden die Manipulationsmöglichkeiten ungleich größer.

Auf Schimana fand ich eben die Lösung für die Problematik. Durch gemeinsames Drücken von "Menu" und "Play" lässt sich die Fernbedienung an den Mac koppeln, fortan ist dann der Mac nur noch mit der einen Fernbedienung nutzbar. Lösen lässt sich die Sperre wieder über die Sicherheitseinstellungen in den Systemeinstellungen.

Auf N24 gibt es eine schöne Zusammenfassung über die neuesten erfolge der Deutschen Strafermittlungsbehörden. In Ihrer 'Operation Mikado' genannten Aktion wurden Rasterfahndungsmäßig die Kreditkartendaten von 20 Millionen Kunden untersucht ob von diesen der Betrag von 79,99$ abgebucht wurde. Im konkreten Fall wurde dieser Betrag verwendet um die pervertierten Gelüste der Karteninhaber zu befriedigen und Zugriff auf Kinderpornografie zu erlangen, aber dieser Betrag welcher etwa 61,50€ entspricht, könnte genauso zu einer guten Tankfüllung Super passen. Das sich dann im Ergebnis der erfolgten Hausdurchsuchungen primär ledige Männer fanden, lässt dann auf den nächsten Schlag der Kriminalisten hoffen.

Da brauchen Sie gar nicht mehr die Banken, sondern nur noch die Standesämter und Melderegister abzugleichen, denn wie man bei heise lesen kann stuft der Schleswig-Holsteinische Datenschutzbeauftragte die angewandten Methoden als "klassische Fahndungsmethode" ein.

Also dann bis zur "Operation Domino"...

Fuse das steht erstmal für "File System in Userspace und ist eine der, meiner Meinung nach, großartigste Ideen. Fuse stellt eine allgemeingültige Schnittstelle zwischen Kernel-VFS und Userspace zur Verfügung. Im Klartext eine Schnittstelle für Dateisystemtreiber, die nicht im Adressraum des Kernels laufen. Das hat zum einen den Vorteil das nicht-privilegierte Benutzer Dateisysteme mounten können und bietet zum anderen die Möglichkeit verschiedene Bibliotheken für Dateisysteme zu verwenden.

Da die Treiber nicht im Kernelspace laufen ist es im Prinzip und eine feste API zur Verfügung steht sind inzwischen eine ganze Reihe mehr oder weniger kuriose Dateisystemtreiber entstanden. Mit CurlFtpFS lässt sich beispielsweise ein FTP Server ankoppeln. Das ganze ist sogar schon recht stabil und so versucht der Treiber sogar eine zusammengebrochene Verbindung wiederherzustellen.

Andere Treiber die mir einen Test interesant erscheinen lassen sind SSHFS oder SMBNetFS. Ersteres bietet die Möglichkeit per SSH erreichbare Rechner (Dateisysteme) einzubinden und letzeres erlaubt es bereits jetzt recht komfortabel unter Unix ins Samba Netzen zu browsen. Dabei wir ein Verzeichniss eingehangen in welchem man dann über die IP / Domainnamen des SMB Servers in virtuelle Verzeichnisse wechseln kann und dort wiederum in die verschiedenen Shares schauen kann :)

Ein andere noch nicht für FBSD portiertes lustiges Spielchen ist GMailFS zur Nutzung des GMail Spaces als Internetfestplatte ;)

Wie eben schon erwähnt gibt es Fuse auch für BSD. Ursprünglich handelt es sich um ein Kernelmodul für Linux, aber das Fuse4BSD Projekt hat es inzwischen portiert. Zwar ist es noch nicht im Kernel gelandet aber das über die Ports installierbare Modul verrichtet bei mir auch recht robust seinen Dienst.

Es ist schon faszinierend was so in der regionalen Tagespresse zu finden ist. Glaubt man dem Wortlaut der Sächsischen Zeitung, so ist die Sicherheit von Unternehmen durch Würmer bedroht und schlimmerweise nutzen eben diese bedrohten Unternehmen keine Verschlüsselung und schon gar keine digitalen Zertifikate...

Nicht das Verschlüsselung und digitale Unterschriften etwas schlechtes wären, ich signiere ja nun schon seit geraumer Zeit meine Mail. Aber das diese jetzt schon vor Würmern schützen sollen. Jedenfalls könnte man ja dem kurzen Artikel gut und gerne entnehmen das dem so seie. Also wenn der EXE Anhang der Mail verschlüsselt war sind die Würmer sicher abgetötet, die Vertragen nämlich Ver- bzw. Entschlüsselung nicht so richtig ;)

Ach ja und natürlich wurde Sasser von einem Hacker geschrieben! Das musste in den Artikel auch erwähnt werden... Immer die Hacker, nicht mal Verschlüsselungssichere Würmer können die schreiben.

Aber bei allem Zynismus hat der Artikel doch einen wahren Kern und kleine Unternehmen sind stets gefährdet, vor allem wenn sie stetig auf Windows setzen und weder strikte Passwort-, geschweige denn allgemeine Sicherheitsrichtlinien umsetzen. Und dabei ist das ganze in meinen Augen noch ich einmal eine Frage der technischen Mittel sondern nur eine Frage des gesunden Menschenverstandes.

Bei dem erwähnten Business Barometer dürfte es sich wohl um das e-Business Baromer handeln, welches maßgeblich vom Frauenhofer IAO angefertigt wurde und sich wie der Name schon impliziert mit Wirtschaft und weder mit Datensicherheit noch mit Datenschutz beschäftigt. Also eine sehr... relevante Quelle, aber Studien sind doch immer gut. Wen die Studie dennoch interessiert, der kann sie unter preisgabe seiner persönlichen Daten auch online anfordern.

Nachdem ich nun beim C3D2 Themenabend die erschreckende Botschaft vernommen hatte, dass Microsoft den IIS (Internet Information Server) in den Systemkern von Vista gesteckt hat, dachte ich mir das es nicht schaden könne sich einen Vortrag zum Thema Vista und Sicherheit anzuhören.

Also stiefelte ich am Mittwoch (28. Juni 06) in die Informatik Fakultät und lauschte dort dem Vortrag von Stefan Diestelhorst. Leider gab es nicht zu viel neues zu erfahren. Im wesentlichen hat sich Microsoft auf die üblichen Szenarien konzentriert. Zum ersten den Nutzer selbst der genervt alle Dialoge wegklickt und sich der bequemlichkeit halber zum Admin macht. Hier hat sich der Redmonder Verein gedacht in gewisser Weise ein abgespecktes sudo mit dem Suse Ansatz zu implementieren. Jeder Benutzer läuft in einem unprivilegierten Modus und um gefährliche Aktionen (Systemzeit verstellen, Sicherheitseinstellungen) auszuführen, muss man als Admin immer erst auf ok klicken, während ein Benutzer das Passwort des Administrators kennen muss. Fein granulare Einstellungen wie bei sudo sind aber nicht angedacht.

Allgemein werden in Vista alle Programme kategorisiert, es gibt gesperrte Programme, Vista eigene Programme, zertifizierte Programme und undefinierte Programme. Über Sinn und Unsinn kann man sicher auch hier streiten zumal ich keine Auskunft über die Kosten einer Zertifizierung bekommen konnte.

Im Rahmen des Netzwerkes hat sich einiges getan, so ist es mittels eines Network Security Policy Servers möglich das eigene Netz gegen Böse Buben abzuschirmen?! Wie das gehen soll? Ja ganz einfach bevor man Zugang zur Domäne oder Ressourcen bekommt wird der Stand der Patches und installierter Software abgefragt, fehlt etwas muss man draussen bleiben oder kann optional direkt auf einen Patch-Server weitergeleitet werden. Patches für den Linux Kern werden nicht geprüft, wer kein Windows hat muss eben draussen bleiben. Damit das Netz dann auch wirklich gegen brutale Gewalt gesichert wird, stehen dem Benutzer der Defender (Spyware und Dateiänderungsmonitor) und die Firewall zur Seite. Letztere erscheint mir nach dem Vortrag langsam aber sicher recht komfortabel und tiefgehend zu werden, technisch konnte ich aber keine weiteren Einblicke erlangen. Jedoch soll eine Filterung auf Protokoll, Port und Adressebene möglich sein. Fraglich ist nur ob dies auch wirklich in den passenden OSI-Schichten realisiert wird.

Alles in allem war es ein guter Marketing Vortrag der mich an mancher Stelle das gruseln lehrte. Microsoft beweist meiner Meinung nach auch auf Sicherheitsebene das man die letzten Jahre verschlafen hat und das man gut im Ideen kopieren ist ;) Dennoch habe ich eine ganze Reihe Notizen gemacht und der Vortrag selbst war mit ausnahme des tiefen Einblicks in die Parental Controls von Vista gut gelungen. Die Vortragsfolien sollen wohl in nächster Zeit unter http://www.dotnet-dresden.de auffindbar sein.