Schlagwort: Sicherheit

fwbuilder für MacOS

Sehr schön:

Ich kann mein MacOS nicht upgra­den, da ich eine Appli­ka­ti­on nicht ver­lie­ren möch­te, deren Ent­wick­lung seit Jah­ren tot ist und die es nur in 32 Bit gibt: fwbuil­der. Bei einem Upgrade ver­lie­re ich aber die Unter­stüt­zung für 32-Bit-Appli­ka­tio­nen.
So ganz tot ist das Pro­jekt nicht, in letz­ter Zeit wird wie­der dran gear­bei­tet: https://github.com/fwbuilder/fwbuilder

Nach der dor­ti­gen Anlei­tung habe ich es für Ubun­tu gebaut bekom­men — ich brau­che es aber auf dem Mac.
Ach was, ein­fach mal pro­bie­ren — einen Ver­such ist es alle­mal wert. Also geclont und schon das cmake hat eine feh­len­de QT-Kom­po­nen­te ange­me­ckert. sudo port install qt5 — und ab da ging es exakt so wie in README.md beschrie­ben — hin­ten fällt eine nati­ve MacOS-App raus.

Sau­be­re Arbeit der Ent­wick­ler!

0

Roomba: geplante Software-Obsoleszenz?

Im Log mei­nes Home Assi­stant taucht sowas auf, end­los:

2019-12-24 07:17:58 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:02 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:08 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:11 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:13 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:16 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)

Ein tcp­dump zeig­te, daß Home Assi­stant und der Staub­sauger mit­ein­an­der mqtts spre­chen — also immer­hin SSL ver­wen­den, schein­bar mit einem kur­zen (1024 Bits? Sieht man das im TLS-Hand­shake?) DH-Key. Fin­de ich jetzt nicht dra­ma­tisch, wenn die Gat­tin den Traf­fic zwi­schen dem Raspi und dem Staub­sauger knackt…
Nur: was mache ich nach dem 21. Dezem­ber 2028?

~$ openssl s_client -connect 192.168.1.93:8883 </dev/null 2>/dev/null | openssl x509 -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3596268874817615816 (0x31e8837ce04c37c8)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = MA, L = Bedford, O = iRobot, OU = HBU, CN = Roomba CA
        Validity
            Not Before: Dec 21 05:42:19 2018 GMT
            Not After : Dec 21 05:42:19 2028 GMT
        Subject: C = US, O = iRobot, L = Bedford, ST = MA, CN = Roomba-69B8860C70539630
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)

😉

0

DMARC beim BSI

hm, der Über­tö­ter Emo­tet ist ja wie­der angeb­lich ganz fürch­ter­lich unter­wegs, angeb­lich mit Absen­dern aus $BUNDESBEHÖRDE.

Was macht denn das BSI gegen Fäl­schun­gen?

SPF kön­nen sie:

~$ host -t txt bsi.bund.de.
bsi.bund.de descriptive text "v=spf1 mx ip4:77.87.228.72/29 ip4:77.87.224.104/29 ip4:217.6.125.154 ip4:194.95.66.8 ip4:77.87.229.56 ip4:93.190.68.25 -all"
~$

DMARC?

~$ host -t txt _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has no TXT record
~$

Äh… Man beach­te: “no TXT record” und nicht etwa NXDOMAIN

~$ host -t any _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has RRSIG record MX 8 3 900 20191230103401 20191220103401 51858 bund.de. kuoQ+exINaIT5x11aNmdnl+XTXsVSmZ6jzugcM3w89zOP0gjLvnPakPT 8ITeezOESdMuGpXHeCPMZaTLeHgGT5on2e4+1cu6fxV1+qyjurmBw9bx ilRBHSN2wwGytUkGwQ4uJDEfCt3tvPweCx08yBZ6Jk1Faf0EaL0Lm4EA 13E=
_dmarc.bsi.bund.de mail is handled by 10 mx1.bund.de.
_dmarc.bsi.bund.de mail is handled by 10 mx2.bund.de.
~$

Ob man any-Anfra­gen wirk­lich beant­wor­ten möch­te? So im Alter von DNS-reflec­tions? Aber war­um zum Gei­er hat man MX-RRs für _dmarc? Aber eben kei­nen TXT-RR?

Das DNSSEC machts wohl auch nicht bes­ser…

0

Die Justizministerin (SPD)

möch­te bewei­sen, daß sie eine gute Par­tei­bon­zin ist, also sprich: kei­ne Ahnung hat, davon aber jede Men­ge.
Wor­um gehts? Whats­App, Gmail & Co. sol­len Pass­wör­ter her­aus­ge­ben müs­sen Ja, ver­fickt noch mal: Die haben die Paß­wör­ter gar nicht! Hört sich komisch an (für Frau Lam­brecht jeden­falls), ist aber so.

Dabei könn­te man es bewen­den las­sen: Die Frau ist halt dumm und/oder bera­tungs­re­sis­tent. Also dumm.

Soll man es dabei bewen­den las­sen? Ich glau­be nicht. Denn: Nie­mand braucht die SPD! Und da sind sol­che dumm­fre­chen Appa­rat­schiks über­flüs­sig.
Wählt die ab!

Von Din­gen wie 2FA, FIDO2… wol­len wir nicht reden, das wer­den die SPD-Fach­kräf­te erst 50 Jah­re nach ihrem Able­ben mög­li­cher­wei­se im Ansatz ver­stan­den haben.

0

Updaten reicht nicht,

man muß auch die Release Notes lesen…
Ich hab’ mal ein nmap --script ssl-enum-ciphers -p 993 mailserver gegen mein dovecot ren­nen las­sen, und, oh: da wird auch TLS1.0 ange­bo­ten!

Wie­so das denn? in 10-ssl.conf steht ein­deu­tig:

ssl_protocols = !SSLv2 !SSLv3 !TLSv1

Ja, und im error-Log des dovecot steht:

config: Error: Could not find a minimum ssl_min_protocol setting from ssl_protocols = !SSLv2 !SSLv3 !TLSv1: Unrecognized protocol 'SSLv2'

Irgend­wann wur­de ssl_protocols durch ssl_min_protocol ersetzt.

Mit

ssl_min_protocol = TLSv1.2

tut es dann auch rich­tig.

Und was mich beson­ders anfrißt: Open­VAS hat an TLS1.0 nichts aus­zu­set­zen gehabt 🙁

0

Ja dürfen die das?

aus /var/log/auth.log:

Dec 7 21:25:35 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:25:40 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:26:00 big wordpress(rainer.sokoll.com)[3981]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:26:02 big wordpress(rainer.sokoll.com)[3981]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:26:24 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:26:46 big wordpress(rainer.sokoll.com)[4778]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:27:18 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:27:58 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:28:19 big wordpress(rainer.sokoll.com)[3981]: XML-RPC authentication failure for rainer from 85.204.246.240

Das ist natür­lich ziem­lich gemein. Nun ja:

root@big:/etc/fail2ban# tail -8 jail.local
[wordpress]
enabled = true
port = http,https
logpath = /var/log/auth.log
bantime = 600
findtime = 60
maxretry = 1
filter = wordpress

in Ver­bin­dung mit

root@big:/etc/fail2ban# cat filter.d/wordpress.conf
[Definition]

failregex = ^.*wordpress.*authentication failure for.* from <HOST>$
root@big:/etc/fail2ban#

regelt:

root@big:/etc/fail2ban# grep wordpress /var/log/fail2ban.log
2019-12-07 21:28:24,934 fail2ban.jail [23280]: INFO Creating new jail 'wordpress'
2019-12-07 21:28:24,936 fail2ban.jail [23280]: INFO Jail 'wordpress' uses poller {}
2019-12-07 21:28:24,965 fail2ban.jail [23280]: INFO Jail 'wordpress' started
2019-12-07 21:28:24,982 fail2ban.filter [23280]: INFO [wordpress] Found 85.204.246.240 - 2019-12-07 21:27:58
2019-12-07 21:28:24,983 fail2ban.filter [23280]: INFO [wordpress] Found 85.204.246.240 - 2019-12-07 21:28:19
2019-12-07 21:28:25,166 fail2ban.actions [23280]: NOTICE [wordpress] Ban 85.204.246.240
2019-12-07 21:38:19,996 fail2ban.actions [23280]: NOTICE [wordpress] Unban 85.204.246.240
root@big:/etc/fail2ban#

🙂

0

Home Assistant Companion App IOS

Die wur­de neu gemacht, und nun geht sie vor­erst(?) nicht nicht mehr, weil ich nicht mehr an mei­ne HA-Instal­la­ti­on ran­kom­me:

Tapstream:


 

Das endet also dar­in, daß https://home-assistant.io/iOS Zugriff auf mei­ne Instanz haben möch­te — was wie­der­um ich nicht möch­te.

Oder ver­ste­he ich da was falsch? Brow­ser immer­hin geht noch.

0

Microsoft Outlook

TIL: Out­look (zumin­dest die Mac-Vari­an­te) zeigt Email-Adres­sen in den Adreß­fel­dern nicht an.
Also "Harry Potter" <lord.voldemort@example.com>" wird nur als “Har­ry Pot­ter” ange­zeigt — und auch wenn man ant­wor­tet, ant­wor­tet man an “Har­ry Pot­ter”. Jeden­falls im Default, kei­ne Ahnung, ob sich das ändern läßt.
Ich hal­te das für unver­ant­wort­lich. Arbeits­schutz ist wich­tig! Jede Band­sä­ge, jede Abrich­te ist so kon­stru­iert, daß sie das Bedien­per­so­nal mög­lichst gut vor Schä­den oder gar Tod durch Fehl­be­die­nung schützt — aber Mail­pro­gram­me, die Phis­her gera­de­zu ein­la­den, dür­fen ver­kauft wer­den?

Unver­ant­wort­lich!

0

Juchu! Wieder in den Fuß geschossen!

Habe mal sshd mit 2FA (Goog­le authen­ti­ca­tor) ver­knüp­pert, das geht nach die­ser Anlei­tung ein­fach und schnell. Hübsch fand ich den QR Code im Ter­mi­nal:

Kei­ne Sor­ge, ich habe abge­bro­chen und ein neu­es Geheim­nis erzeugt 🙂

Und in echt sieht das dann so aus:

Kurz auf der Uhr nach­se­hen:

Code ein­tip­pen, drin sein, freu­en.

Aller­dings: Da läuft ja noch ein git­lab!

Grr.

Also wie­der zurück­bau­en. git über https will ich nicht, das ist unan­stän­dig. Oder läßt sich da was mit Cli­ent-Zer­ti­fi­ka­ten machen?

0

Google macht DNSSEC

zumin­dest für die public name­ser­ver:

~$ dig +dnssec dns.google.

; <<>> DiG 9.14.6 <<>> +dnssec dns.google.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46663
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 14, ADDITIONAL: 17

(ad-Flag gesetzt)
Damit habe ich wirk­lich nicht gerech­net.

0