byte-arts.NET

Ohne Kommentar … nur ein Link: Willkommen bei Facebook

Wie erstellt man ein SSH-Zertifikat um sich sicher mit einem Linux-Server zu verbinden? Das geht ganz einfach – mit Abstrichen. Folgendes als root über die Konsole/Putty auf dem Server ausführen:

ssh-keygen -t rsa -b 2048

Damit werden der private und öffentliche Schlüssel mit RSA und 2048 Bit erzeugt. Für weitere Einstellungsmöglichkeiten siehe Handbuch. Jetzt wird zuerst gefragt, wo man die Dateien speichen möchte. Wenn nichts angegeben wird, werden die Dateien unter /root/.ssh/ als id_rsa und id_rsa.pub gespeichert. Wenn für einen anderen Nutzer SSH-Schlüssel angelegt werden sollen, dann muss man mit diesem die Schritte ausführen. Dabei werden die Dateien in dem entsprechenden Home-Verzeichnis (/home/$username/.ssh/) angelegt. Danach wird nach einer Passphrase gefragt, welche die Sicherheit natürlich nochmals erhöht – kann aber auch einfach leer gelassen werden.

Als nächstes muss die Datei authorized_keys im selben Verzeichnis angelegt werden. Dieser muss über folgenden Befehl der öffentliche Schlüssel hinzugefügt werden:

cat id_rsa.pub >> /root/.ssh/authorized_keys

Damit sind die Arbeiten, soweit man nicht die Konfigurationsdatei unter /etc/ssh/sshd_config weiter anpassen möchte, auf dem Server abgeschlossen. Weiter gehts auf dem PC. Doch zuvor muss der private Schlüssel auf diesen, bspw. über WinSCP, runtergeladen werden. Der öffentliche bleibt auf dem Server.

Wer jetzt denkt, dass man den Schlüssel einfach in Putty angibt, wird mit der Meldung begrüßt, dass Putty damit nichts anfangen kann. Man muss zuerst den Schlüssel in ein Format konvertieren, was Putty versteht.

Dazu braucht man PuttyGen. Zuerst muss der Schlüssel in das Programm geladen werden, dazu wird, falls bei der Generierung eine angegeben wurde, nach der Passphrase gefragt. Danach speichert man den privaten Schlüssel ab und gibt diesen dann in Putty an. Und schon klappt die sichere Verbindung zum Server.

Optional kann in der Konfigurationsdatei die Anmeldung per Passwort verboten werden, oder dass ein anderer Port verwendet wird, was Angriffe verringert.

TrueCrypt ist eine kostenlose Open Source Software zum Verschlüsseln von Dateien. TrueCrypt funktioniert unter Windows (XP, Vista, 7), Mac OS X und Linux. Neben der einfachen Dateiverschlüsselung können sogar ganze Datenträger, einschließlich der Boot-Festplatte (unter Windows), verschlüsselt werden. Die Verschlüsselung von Dateien erfolg in so genannten Kontainern, welche über das Programm dann als Datenträger in das System eingebunden werden.

Die on-the-fly Verschlüsselung erlaubt es, dass der eingebundene Kontainer genau wie jede andere Festplatte/Partition benutzt werden kann. Für besondere Sicherheit kann sogar ein versteckter Bereich erzeugt werden.

Bsp.: Man erzeugt eine Kontainerdatei mit insgesamt 1 GB an Kapazität. Davon erhält der normale Bereich 800 MB und der versteckte 200 MB. Nun füllt man die 800 MB mit belanglosen/unwichtigen Daten auf und den versteckten mit seinen wichtigen/geheimen Daten. Wenn man nun mal, aus welchen Gründen auch immer, sich gezwungen sieht sein Passwort zu verraten, nennt man einfach das für den normale Bereich und hällt somit seine privaten Daten für sich, da man von außen nicht siehen kann ob ein Kontainer einen versteckten Bereich enthält oder nicht.

Natürlich können auch portable Festplatten und Flash-Speicher (USB-Sticks) verschlüsselt werden. Für die Entschlüsselung wird natürlich auch TrueCrypt auf den Computern benötigt, wo der Stick zum Einsatz kommt. Der Kontainer kann mit einem Passwort, einer Schlüsseldatei oder mit beidem zusammen geschützt werden.

Zur Weihnachtszeit geschehen wohl doch noch Wunder. Der neue Jugendmedienschutz-Staatsvertrag wurde einstimmig von allen Parteien abgelehnt. Wieso? Dadurch, dass die CDU, sowie die FDP und die Linke gegen den Vertrag stimmten, beschlossen die SPD und die Grünen, die eigentlich dafür waren, ihn ebenfalls abzulehnen.

Das Gesetz soll zwar an sich gut sein, jedoch sollen die Vorbereitungen, die dafür nötig sind noch nicht umgesetzt sein bzw. man wisse noch gar nicht wie genau diese bewerkstelligt werden (typisch Politiker).

Jedenfalls ist das Gesetz erst einmal vom Tisch und tritt damit auch nicht am 1. Januar 2011 in Kraft. Blogs und Webseiten, welche bereits ihre Webseite offline genommen haben bzw. nehmen wollten, können nun wie gewohnt weiter existieren.

Quelle:
http://www.heise.de/newsticker/meldung/Jugendmedienschutz-Novellierung-endgueltig-gescheitert-1154880.html

“Freiwillige Selbstkontrolle” für Webseiten? Das könnte ab Januar 2011 Wirklichkeit werden. “Was soll der Schwachsinn?” werden sich jetzt bestimmt einige fragen – nun das ist mal wieder ein Produkt von deutschen Politikern, die nicht wissen wie sie ein, vielleicht gar nicht existentes, Problem lösen sollen. Der deutsche Online-Jugendschutz ist nämlich laut Alvar Freude vom Arbeitskreis Internetsperren und Zensur schon der strengste weltweit.

Wie soll das ganze überhaupt funktionieren? Wer wird das überprüfen? Wie sieht es mit Seiten aus, die nicht in Deutschland gehostet werden und somit nicht von diesem Gesetzt betroffen sind? Das sind alles Fragen (bis auf die letzte), die die FSM auf Ihrer Webseite über das JMStV beantwortet. Nicht umfassend und präzise genug – meiner Meinung nach.

Zudem haben auch schon einige Betreiber ihre Webseite offline genommen oder werden dies, wie VZlog.de, bis zum Ende des Jahres tun. Man kann eigentlich nur darauf vertrauen, dass sich das Gesetzt nicht durchsetzt und hoffen, dass unseren Politikern eine bessere Lösung – wenn dies überhaupt nötig ist – einfällt.

Eine Webseite ist nun mal kein Film oder ein Musikalbum, was sich nicht mehr verändert, wenn es einmal der breiten Masse zugänglich gemacht wurde, sondern ein sich ständig änderndes Medium mit einer vielzahl an Informationen (was Multimediainhalte natürlich mit einschließt).

Man kann Kinder nicht vor allem schützen, aber man kann ihnen einen gesunden Grad an Misstrauen aneignen und sollte nicht nur blind auf eine Software und die Betreiber von Webseiten, die ja alle brav ihre Seiten labeln, vertrauen, sondern muss selbst aktiv dabei sein – meine Meinung.

Quellen:
http://ak-zensur.de/jmstv/
http://www.heise.de/newsticker/meldung/Blog-macht-wegen-neuem-Jugendschutzgesetz-dicht-Updates-1144566.html

Zuerst einmal der Hinweis darauf, dass es vollständige Anonymität im Internet nicht gibt. Wozu also den Aufwand betreiben, wenn es doch sowieso nicht 100%tig geht? Das kann man gut mit der Ausfallrate von einem Server vergleichen, welche meistens über 99%, jedoch nie bei 100% liegt. Garantieren kann keiner, dass der Server nicht ausfällt, aber die Wahrscheinlichkeit ist sehr gering. Genau so verhält es sich mit der Anonymität im Internet. Keiner kann garantieren, dass man 100%tig anonym ist, aber je besser man sich “verkleidet“, desto geringer ist die Wahrscheinlichkeit identifiziert zu werden.

An dieser Stelle sei gesagt, dass dieser Artikel nicht darauf abzielt unerkannt bei diversen Tauschbörsen oder Filehostern Dateien herunterzuladen, sondern lediglich einen Einblick in die Möglichkeiten zur Anonymisierung im Internet gibt.

Jetzt zum eigentlichen Thema. Wie findet man zuerst einmal heraus, welche Informationen überhaupt preisgeben werden, wenn man bspw. eine Webseite besucht? Auf MeineIPAdresse.de kann ein Privacy Check gemacht werden, damit man einen Einblick in die vom Browser übermittelten Informationen erhält. Allen vorran dient natürlich die IP-Adresse zusammen mit der Zugriffszeit als teilweise eindeutige Identifikation. Teilweise deshalb, da damit nur der Teil einer Verbindung vom Provider zum jeweilen DSL-Anschluss des Kunden eindeutig bestimmt werden kann.

Der Vorteil daran ist, dass zwar der Provider, dem die IP-Adresse angehört, bekannt ist, man jedoch nicht ohne dessen Zustimmung Einblick in die Liste bekommt, worin steht, welcher Kunde zu diesem Zeitpunkt über die IP verbunden war. Diese Zustimmung gibt der Provider natürlich keinem x-belibigen auf Nachfrage, sonder nur in bestimmten Fällen heraus. Wann so ein Fall eintritt hängt von der Gesetzeslage ab.

Wie kann man also seine IP-Adresse anonymisieren? Die Antwort: gar nicht! – Zumindest nicht 100%tig, wie schon im ersten Absatz erwähnt. Es gibt natürlich die Möglichkeit einen oder mehrere Proxy zu verwenden. Wer einfach nur mal auf die schnelle eine Seite besuchen möchte die anhand der IP-Adresse entscheidet, ob der Inhalt (bspw. ein Video) angezeit wird, kann Hide My Ass benutzen. Dieser kostenlose Dienst funktioniert über ein Suchfeld, in das man die entsprechende URL der Webseite eingibt und anschließend über einen Proxy auf die Webeite weitergeleitet wird. Damit kennt die Webseite nur die IP-Adresse des Proxy und nicht mehr die des Providers (sofern es natürlich kein transparenter Proxy ist).

Der Proxy widerum kennt natürlich die IP-Adresse des Providers noch und desshalb ist diese Art der Verbindung nicht anonym, sondern nur schwerer zu identifizieren. Eine Auswahl an Proxy findet man auf Proxy-listen.de. Einen Schritt weiter gehen ganze Proxy-Netzwerke, wie Tor und JAP, bei denen die Verbindung über mehrere Proxy bzw. Teilnehmer am Netzwerk hergestellt wird. Hierbei wird es immer schwerer die Verbindung zurück zu verfolgen – es ist aber nicht unmöglich! Das ganze Konzept beruht eher auf Security through obscurity.

Natürlich gibt es noch viele weitere “Erschwerungsmethoden” bzw. Dinge die man beachten sollte, wie das Deaktivieren von JavaScript und das Abhören der Verbindung, welches bspw. durch SSL verhindert werden kann.

Mit der KeePass Passwortdatenbank braucht man sich nicht mehr alle seine Passwörter zu merken und legt sie zudem auch noch, im Gegensatz zu einer Textdatei, sicher ab. Der große Vorteil daran ist, dass man sich nur noch ein Passwort und zwar das zur KeePass-Datenbank merken muss (dieses sollte möglichst lang und schwer zu erraten sein). Die darin gespeicherten Passwörter sind mit AES 256 verschlüsselt und können zusätzlich auch noch mit einer Schlüsseldatei, welche dann für das Öffnen der Datenbank benötigt wird, gesichert werden. Doch das ist noch nicht alles. KeePass speichert zu dem auch noch einen eventuellen Benutzernamen, sowie URL‘s, Kommentare und Dateien ab. Die angelegten Passwörter können hierarchisch in Ordner sortiert werden. Ein Passwortgenerator, der sich beliebig konfigurieren lässt, ist auch noch dabei. Jetzt kann man auch lange, komplizierte und cryptische Passwörter benutzen ohne Gefahr zu laufen sie zu vergessen. Ein Backup der Keepass-Datenbank sollte aber in regelmäßigen Abständen durchgeführt werden.

Wer auf die schnelle einfach nur ein paar gute Passwörter braucht ist mit dem Passwortgenerator auf dieser Seite gut bedient.

Nach langer Pause endlich wieder Zeit gefunden etwas zu schreiben .

Eine eigene Benutzeranmeldung mit PHP und MySQL zu schreiben ist einfach (zumindest, wenn man sich mit der Materie auskennt). Hier möchte ich einen kurzen sicherheitsrelevanten Tipp dazu abgeben. Bei den meisten Skripten wird der Benutzername erst mit der PHP-Funktion “mysql_real_escape_string” maskiert und anschließend über ein Query an die Datenbank weitergegeben um den Benutzer zu identifizieren. Da man sich jedoch nicht sicher sein kann, ob es in der Maskierungsfunktion nicht doch ein Schlupfloch für SQL-Injections gibt, kann man folgenden Trick anwenden.

Dazu schneidet man den Benutzernamen nach dem zweiten oder dritten Zeichen ab, maskiert diese Zeichen und lässt sich einfach eine Liste mit allen Benutzern dessen Namen mit den zwei oder drei übergebenen Zeichen anfangen ausgeben. Der Rest, sprich der genaue Vergleich, wird mit PHP in der while-Schleife erledigt. Damit ist eine Abfrage eines definierten Wertes, wie eines Benutzernamen, an die Datenbank absolut sicher vor SQL-Injections.

Die Überschrift sagt eigentlich schon alles. In diesem Artikel möchte ich auf den kostenlosen online Viren- und Malewarescanner VirusTotal hinweisen. Dieser ist besonders praktisch, wenn man mal auf einem System unterwegs ist auf dem kein oder ein möglicherweise fehlerhafter Virenscanner installiert ist. Einfach die Datei so wie sie ist hochladen (auch verschlüsselt über SSL möglich) und warten bis der Upload abgeschlossen ist. Falls die Datei schon mal überprüft wurde bekommt man dann unter anderem angezeigt wie viele Prüfungen durchgeführt und wie oft dabei ein Virus gefunden wurde. Weiter steht zur Auswahl die letzten Ergebnisse anzeigen lassen oder die Datei abermals prüfen. Anhand der letzten Ergebnisse sieht man, dass Dateien von einer Fülle an Virenprogrammen überprüft werden, worunter sich auch namenhafte Software wie AntiVir, Avast, Kaspersky oder Symantec befinden.

Wer einen Webserver betreibt oder einfach nur sicher gehen will, dass der persönliche Router keine Lücken für Angreifer durch eventuell offene Ports bietet, kann über folgende Webseite bestimmte Ports prüfen. Dazu braucht man nicht ein Mal zwingend die IP-Adresse – Domains funktionieren auch. Die wichtigsten – die am meisten attackierten – Ports sind, mit den dafür festgelegten Diensten, rechts aufgelistet.

Hier der Link zur Webseite: Open Port Check Tool