Archive for the ‘IT-Security’ Category

h1

Installation m0n0wall auf Soekris mittels iMac (OS X 10.5)

23. Mai 2008

Um das M0n0wall image für eine Soekrisbox von einem iMac aus auf eine CF-Karte zu schreiben können an sich die standard Tools von der OS X Commandline verwendet werden. Aber man muss darauf achten, ob OS X das Image beim Download schon ausgepackt hat oder nicht. Dazu am besten das commandline-tool file verwenden. Ein bereits ausgepacktes Image sieht so aus:

$ file net45xx-1.233.img
net45xx-1.233.img: Unix Fast File system (little-endian), last mounted on /m0n0wall/mnt, last written at Wed Jan 23 23:28:47 2008, clean flag 1, number of blocks 7168, number of data blocks 6911, number of cylinder groups 1, block size 8192, fragment size 1024, minimum percentage of free blocks 0, rotational delay 0ms, disk rotational speed 60rps, SPACE optimization

Und dann, nachdem man die CF-Karte eingelegt hat, kann man sich im Festplattendienstprogramm ansehen, welche disk das ist. Bei mir war es die disk2. Wenn schon Partitionen drauf sind, dann steht dort vielleicht disk2s1 – das s1 ist dann natürlich zu ignorieren, denn man schriebt ja ein Disk- und kein Partitionsimage.

$ dd if=net45xx-1.233.img of=/dev/disk2 bs=16k
448+0 records in
448+0 records out
7340032 bytes transferred in 17.190130 secs (426991 bytes/sec)

Das wars dann – man kann die Soekrisbox nun anstecken, die ist per default ein DHCP-Server (Vorsicht also!) und vergibt Adressen aus dem Netz 192.168.1.0/24 – selber ist sie als http://192.168.1.1 erreichbar.

Login als admin/mono.

Advertisements
h1

SFTP-Browser: Die Ente hat die Nase vorn

26. September 2007

Cyberduck Logo - FTP-Client für Mac OSXIn Aktualisierung meines Eintrages über sichere (= SFTP oder FTPS)  FTP-Clients für Mac OS X möchte ich kurz und bündig bekannt geben, dass mein bisheriger Favorit SFTP nunmehr durch Cyberduck abgelöst wurde. Cyberduck verfügt über eine Syncronisationsfunktion um lokale Ordner mit denen auf einem FTP-Server abzugleichen. Das ist Gold wert, wenn man z.B. seine mit iWeb erstellten Webseiten auf einem nicht .Mac-Server veröffentlicht. Ja und verschlüsseln tut das Entlein natürlich auch: SFTP über TLS/SSL genauso wie FTPS mittels SSH-Tunnel – letzteres habe ich allerdings nicht getestet.

http://cyberduck.ch

h1

törichte Torheiten

14. September 2007

Tor bezeichnet unter anderem

  • eine Person mit unvernünftigem Verhalten, siehe Torheit
  • ein große Öffnung in einer Mauer oder anderen Barriere (z.B. einer Firewall)
  • ein anonymisierendes Netzwerk für TCP-Verbindungen

Quelle: Wikipedia

Wie auf einschlägigen Mailinglisten und Foren zu lesen war, ist es einem Hacker gelungen, hunderte von Logins von Botschaften und großen Konzernen zu sammeln. Seine Vorgangsweise war – im Nachhinein betrachtet – simpel: Einen eigenen Tor-Knoten aufmachen und die durchfließenden Datenpakte analysieren.

Zumindest Zweierlei lernen wir daraus:

  1. Das Vertrauen in den eigenen Provider (dass dieser die Daten schon nicht mitlesen wird) ist natürlich nicht ausreichend, da es sehr schwer vorherzusehen ist, welchen Weg die Daten im Internet nehmen werden. Verschlüsselte Datenverbindungen sind ein Muss. Wählen Sie Ihren Internetprovider entsprechend. Es gibt welche, die von POP über IMAP bis hin zu FTP(!) alles auch verschlüsselt anbieten – in Österreich z.B. den Silverserver, welchen ich auf Grund seines exzelenten Services gerne empfehle.
  2. zusätzliche Maßnahmen zur Sicherheit (wenn wir ein Anonymisierungswerkzeug wie Tor als solches ansehen wollen) haben immer auch Nebenwirkungen; so kann eben das Anonymisieren der Daten durch Tor, ein „Scheunentor-großes“ Loch in das bestehende “Sicherheitskonzept” reißen. Wobei wir gerne zugeben, dass ein “Sicherheitskonzept”, das sich darauf verlässt, dass die Datenpakete schon keine Abzweigung nehmen werden, einigermaßen töricht ist – womit wir auch die dritte Bedeutung von Tor untergebracht hätten. Spaß beiseite: Sicherheit ist ein Prozess des sorgfältigen Abwägens – vor allem auch zwischen einem Mehr an sicherheitsrelevanter Funktionalität einerseits und zunehmender Komplexität andererseits. Mehr Sicherheitsfeatures ergeben nicht unbedingt ein sichereres System. Denn je mehr wir davon im implementieren, um so komplexer und damit indirekt unsicherer werden die Systeme.

http://www.derangedsecurity.com/time-to-reveal%e2%80%a6/

h1

Apple Mail.app markiert gelesene Mails ungelesen

10. September 2007

Gelesene Emails werden mit Mail nicht korrekt als gelesen markiert (IMAP)

Ein sehr, sehr nerviges Problem: Emails, die man bereits gelesen hat oder die man als gelesen markiert hat, werden unregelmäßig aber immer wieder als ungelesen angezeigt. Wenn man das Internet nach diesem Problem absucht, stellt man schnell fest, dass man nicht alleine ist. Dieses Rücksetzen von gelesen (read) auf ungelesen (unread) wird immer dann zum Problem, wenn man seine Emails auf einem IMAP-Server oder .Mac ablegt. POP scheint davon verschon zu bleiben. Es handelt sich eindeutig um ein clientseitiges Problem von Apples Mail.app, denn es überlebt nachgewiesener Maßen auch einen Umzug auf einen komplett anderen IMAP-Server.

Lösung

Ein Eintrag in einem der vielen Foren mit ratlosen Apple Mail.app Usern wurde GPG erwähnt und das brachte mich dann auf die Spur zur Lösung: GPGMail, das an sich exzellente PGP-Plugin von Stéphane Corthésy für Mail.app, verfügt über eine Funktion zum automatischen Verifizieren und Entschlüsseln von ungelesenen Nachrichten. Sobald diese Funktion deaktiviert wird, verschwindet das Problem nachhaltig. Scheint wie wenn sich dieses Plugin mit IMAP nicht verträgt.

Screenshot GPGMail Mail.app so dass gelesenen Nachrichten gelesen markiert bleiben

So muss GPGMail konfiguriert sein, damit auf einem IMAP-Server gelesene Nachrichten nicht auf ungelesen zurückgesetzt werden.

Was ich noch interessant fände: Haben alle, die dieses Problem haben auch GPGMail installiert? Tritt dieses vielleicht auch mit anderen Plugins auf? Ich bitte euch die Kommentarfunktion ausgiebig zu benützen!

http://www.sente.ch/software/GPGMail/English.lproj/GPGMail.html

Update: Auf der Homepage von GPGMail wurde dieser Bug bereits beschrieben, mit dem selben Workaround wie von mir „entdeckt.

h1

FTP Client für Mac OS X

10. August 2007

Zwei FTPS-Clients für OSX im Praxistest

Der in Mac OS X inkludierte FTP-Client erlaubt keine Uploads und umfangreiche Uploads via Commandline-FTP sind kein Spaß. Obendrein sollte auch FTP nach Möglichkeit verschlüsselt (FTPS) sein. Zwei Alternativen habe ich bisher getestet:

ClassicFTP ClassicFTP

Erster Eindruck der Version 1.01: ganz OK, Secure FTP über SSL geht auch. Doch bereits nach kurzer Zeit stellt es sich als sehr buggy heraus: Dialogfelder verliefen den Fokus und das Programm kann dann nur noch via kill (Alt+Apfel+Esc) beendet werden. Ordner mit Punkten (z.B. http://www.xyz.at) können zwar angelegt, dann kann aber nicht in die Ordner gewechselt werden.

Fazit: abzuraten

Mac OS X Secure FTP Client Secure FTP 2.5

FTP über SSL ist bei diesem FTP-Client default und alle Funktionen funktionieren auch.

Sicherheit

Misstrauisch wie ich bin, schaue ich nach, ob die Verbindung tatsächlich verschlüsselt wird. So sieht es im Wireshark aus, wenn man SSL deaktiviert:

FTP unverschlüsselt

FTP unverschlüsselt - das Passwort ist auch zu sehenAlso selbst das Passwort ist noch zu sehen.

Bei der Aktivierung von SSL war all das nicht mehr zu finden, auch eine Suche im gesamten Trace ergab keinen Treffer – ich bin beruhigt und kann Secure FTP bis auf weiteres uneingeschränkt empfehlen.

Fazit: gutes, sicheres Tool – und für den Privatgebrauch übrigens kostenlos.

Aktualisierung/Ergänzung 26. 9. 2007:
https://lanti.wordpress.com/2007/09/26/sftp-browser-die-ente-hat-die-nase-vorn/

Link: http://www.glub.com/products/secureftp/

h1

Die harte Tour zur sicheren Signatur – Teil 3: Ein Absturz und ein hilfreiches Update

8. August 2007

Kartenleser

Nachdem am iMac die sichere Signatur endlich geklappt hat, wollte ich das ganze bei einer Präsentation auf einem Macbook vorführen. Gut dass ich es vorher getestet habe – denn die Anwendung (der TrustDesk) stürzte reproduzierbar jedesmal ab. Doch auch diesmal hat sich der Support von ITSolution als kompetent und hilfreich erwiesen: Ein noch nicht öffentliches Update (tdb274.dmg) wurde mir testweise zur verfügung gestellt und das läuft am Macbook stabil. Und noch eine Verbesserung ist mir aufgefallen: Die in der im tdb274.dmg enthaltenen Version zeigt gegenüber der Version 2.7.0-Mac auch bei der Validierung signierter UTF-8 Klartextdateien die Umlaute als solche an.

h1

Die harte Tour zur sicheren Signatur – Teil 2: Noch ein Fehlschlag und ein erster Erfolg

5. Juli 2007

Nun gut, wenn es mit der unsicheren Signatur nicht geht, dann versuchen wir halt die sichere. Dazu muss ein zertifizierter Kartenleser und eine sichere Anwendung am iMac installiert sein. Das ist gut und sinnvoll so, denn nur wenn ich sicher sein kann, dass mir vor der Signatur auch angezeigt wird, was ich signiere, entsteht eine langfristig verbindliche „Willensbekundung“.

Ich entscheide mich für den TrustDesk Basic der Firma Itsolution. Und die findet meinen Kartenleser nicht!

Aber eines ist mir aufgefallen: Von Seiten der a-trust wird davon abgeraten, die PC/SC-Treiber zu installieren. In der Dokumentation vom TrustDesk scheinen diese aber schon eine Rolle zu spielen. Und da lag dann auch die Lösung. Von Seiten des erfreulich responsiven Supports der Itsolution bekomme ich die Bestätigung, dass die PC/SC Treiber installiert sein müssen, damit der TrustDesk mit dem Kartenleser kommunizieren kann.

Also wie geht das nun:

1. Download der Treiber (CyberJack OS X 3.2.dmg) von REINERSCT und Installation derselben (zuvor ist der von a-trust verbreitete Treiber ohne PC/SC-Unterstützung zu entfernen!)

2. Download des Trustdesk (tdb270.dmg) von IT-Solution und Installation desselben

Damit ist auf meinem iMac in Sachen sicherer Signatur alles bestens und ich kann nun Dokumente sowohl signieren als auch verifizieren.

Erfolgreiche Verifizierung einer sicheren Signatur

Links:

http://www.itsolution.at/

http://support.reiner-sct.de/

http://www.buergerkarte.at/