Schlagwort: Sicherheit

Die Forderung nach 2FA

Behaup­tung: die meis­ten oder zumin­des­tens lau­tes­ten von denen, die nun 2FA ein­for­dern, haben 2FA nicht ver­stan­den.

Wie kommt der zwei­te Fak­tor zustan­de? SMS ist bäh, TOTP steht und fällt damit, daß das gemein­sa­me Geheim­nis auch wirk­lich geheim bleibt. Da muß man dem Her­stel­ler der App trau­en, dem Her­stel­ler des Betriebs­sys­tems sowie­so.

Doch viel wich­ti­ger: Mit 2FA kann man nur inter­ak­ti­ve Log­ins schüt­zen. Bei­spiel: Ich habe einen Web­mai­ler, der 2FA unter­stützt. Der Nut­zer ist der­sel­be, der sich mit sub­mis­si­on und IMAPS anmel­det, sel­ber Nut­zer­na­me, sel­bes Paß­wort und eben kein zwei­ter Fak­tor. Das heißt, es gibt meh­re­re Türen zum Zim­mer “Mail­box”, von denen nur eine Tür (Web­mai­ler) noch mal mit einem zwei­ten Schloß gesi­chert ist.

Anders zum Bei­spiel mein Next­Cloud: Da gibts auch 2FA, und es wird auch auto­ma­ti­siert zuge­grif­fen (z.B. der Desk­top-Cli­ent, Kalen­der, Adreß­buch…) Dafür gibts dann App-Paß­wör­ter. Das heißt, daß der Nut­zer­na­me über­all der­sel­be ist, der Kalen­der aber ein ande­res Paß­wort als das Adreß­buch hat usw. Dabei wer­den die Paß­wör­ter von Next­cloud sel­ber gene­riert und sehen ziem­lich stark aus — mer­ken kann man sich die defi­ni­tiv nicht.
Goog­le macht das genau­so.

2FA heißt eben nicht, daß damit auto­ma­tisch mehr Sicher­heit gewon­nen wird, es kommt schon dar­auf an, wie 2FA imple­men­tiert ist.
Immer­hin scha­det es nichts, 2FA anzu­schal­ten.

0

Der Fachkräftemangel oder WTF???

Die Poli­zei Bran­den­burg cyber­fahn­det nach einer MAC-Adres­se.

Das Inter­net Archi­ve hat es auch, und sicher­heits­hal­ber gibts auch einen loka­len Screen­shot
Das ist so trau­rig unin­for­miert 🙁

  • MAC-Adres­sen las­sen sich ganz ein­fach ändern
  • Um von einem Rou­ter eine IP-Adres­se zu bekom­men, muß man sich nicht ein­log­gen
  • Ein Rou­ter ist nicht auto­ma­tisch ein DHCP-Ser­ver
  • Nicht jeder Rou­ter wird mit einem Web­brow­ser admi­nis­triert
  • Zugangs­da­ten ste­hen nicht immer auf der Rück­sei­te
  • wer phy­sisch nicht von phy­si­ka­lisch unter­schei­den kann, hat auto­ma­tisch ver­lo­ren

Wenn DAS die IT-Kom­pe­tenz der Poli­zei Bran­den­burg ist, dann soll­ten sie schnells­tens ihre IT für die nächs­ten 5 Jah­re out­sour­cen und in der Zwi­schen­zeit sich um qua­li­fi­zier­te Mit­ar­bei­ter küm­mern

0

Wie jedes neue Jahr

gpg key abge­lau­fen.

Also einen neu­en erstel­len, in diver­se Mail Cli­ents ein­tra­gen, in ~/.gitconfig, auf einen öffent­li­chen Key­ser­ver hoch­la­den, ihr kennt das.
Nicht daß das alles von irgend­ei­nem prak­ti­schen Nut­zen wäre — aber es macht ein gutes Gefühl 🙂

0

Neuer HP Tintenspritzer

Wir brauch­ten einen neu­en Flach­bett­scan­ner, und die gibts lei­der nur mit ein­ge­bau­ter Druck­ein­heit. Da habe ich heu­te in einem hie­si­gen Elek­tro­nik­markt das Ange­bot ange­nom­men und einen HP Desk­jet für 44€ gekauft. Ein­ge­rich­tet, Firm­ware­up­date gela­den — und was macht man dann mit einem IoT-Gerät?
Rich­tig, man kappt ihm das Inter­net und pro­biert dann noch­mals ein Firm­ware­up­date, da soll­te die Suche dann ja fehl­schla­gen:

ubnt@router:/$ show firewall name LAN_OUT

IPv4 Firewall "LAN_OUT":

 Active on (eth0,OUT)

rule  action   proto     packets  bytes
----  ------   -----     -------  -----
1     reject   all       3        192
  condition - MAC C8:D9:D2:55:99:24 reject-with icmp-port-unreachable

10000 accept   all       56040    9126625

ubnt@router:/$ show firewall ipv6-name IP6_LAN_OUT

IPv6 Firewall "IP6_LAN_OUT":

 Active on (eth0,OUT)

rule  action   proto     packets  bytes
----  ------   -----     -------  -----
1     reject   all       0        0
  condition - MAC C8:D9:D2:55:99:24 reject-with icmp6-port-unreachable

10000 accept   all       0        0

ubnt@router:/$

Wir sehen, daß die IPv4-Fire­wall 3 Pake­te gese­hen hat, v6 wird schein­bar nicht ver­sucht (Update­ser­ver haben wahr­schein­lich nur v4). Inter­es­sant ist aber die Web­ober­flä­che des Dru­ckers, nach­dem ich ihn gebe­ten habe, doch mal nach neu­er Firm­ware zu suchen:

Die­se Pro­xy-Ein­stel­lun­gen wer­den per DHCP ver­teilt, das hat­te ich völ­lig ver­ges­sen. Aber: er möch­te den Pro­xy erst ver­wen­den, nach­dem der direk­te Ver­bin­dungssauf­bau fehl­ge­schla­gen ist.

So wirk­lich kon­sis­tent ist das nicht.

Also den Pro­xy kon­fi­gu­rie­ren (es ist ein Squid, der dann an einen Pri­v­o­xy wei­ter­reicht)

Uuuuund…

So muß das 😉

0

openssh, SSHFP, DNSSEC and OSX

See:

~$ grep ^VerifyHostKeyDNS .ssh/config
VerifyHostKeyDNS yes
~$ ssh -v big.sokoll.com
[…]
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:YnFuxTWl/p1hVfB9GelWMQnpbNjF6FXBC+IQQWjnnng
debug1: found 8 insecure fingerprints in DNS
debug1: matching host key fingerprint found in DNS

Note the insecure!
The zone is DNSSSEC signed. This only hap­pens to me on OSX, with the ship­ped ssh cli­ent and also with the one from mac­ports. Works fine on linux, no inse­cu­re keys.
We need to use ldns:

~$ sudo port clean openssh ; sudo port install openssh +ldns

And voilá!

~$ ssh -v big.sokoll.com
[…]
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:YnFuxTWl/p1hVfB9GelWMQnpbNjF6FXBC+IQQWjnnng
debug1: found 8 secure fingerprints in DNS
debug1: matching host key fingerprint found in DNS

Dun­no about home­brew.

 

0

Ingenieure, IT

Hier im Haus haben wir eine ziem­lich gute (ziem­lich ist unter­trie­ben) Lüf­tungs­an­la­ge eines deut­schen(?) Her­stel­lers — die­se.
Nun kann man heut­zu­ta­ge kaum noch Anla­gen ver­kau­fen, die nicht in irgend­ei­ner Wei­se über Com­pu­ter und/oder Apps bedient wer­den kön­ne, so auch unse­re Anla­ge.
Jeden­falls irgend­wie:

WLAN TCP / IP via Rou­ter ja
Anschluss Mod­bus / IP via Rou­ter ja

Das

via Rou­ter ja

ist natür­lich falsch: Das Gerät hat einen Ether­net-Anschluß, ist ein DCHP-Cli­ent (nix IPv6) und spricht dort nicht etwa HTTP, son­dern Mod­Bus. Die Anla­ge muß also nur ans LAN mit einem DHCP-Ser­ver (es läßt sich kei­ne fixe Adres­se ver­ge­ben) kom­men. Daß man im Tech­nik­raum Ether­net zu lie­gen hat, ist eher unwahr­schein­lich, aber für WLAN hat es aus wel­chen Grün­den auch immer nicht gereicht (nein, man kann es auch nicht nach­rüs­ten).

Hat man dann doch die Anla­ge ans Netz bekom­men, kann man sie mit einer App (Andro­id oder IOS) steu­ern, also jeden­falls wenn die App die Anla­ge fin­det, was immer­hin oft der Fall ist. nmap -sT -p502 fin­det die Anla­ge immer.

Aber man kann sie auch viel detail­lier­ter kon­fi­gu­rie­ren — dafür hat die Anla­ge einen USB-Anschluß. Mini-USB-B. Schon das ist gaga. Um das machen zu kön­nen, gibt es ein Pro­gramm namens iFlow, nur hipp mit dem i. Aller­dings nur für Win­dows. Es braucht .NET 3.5, das ist von anno dazu­mal. Es braucht genau die­se Ver­si­on, neue­re gehen nicht.
Ich habe kein Win­dows, in einer VM auf Linux wird die Anla­ge nicht gefun­den (ich wer­de wei­terfri­ckeln, viel­leicht doch irgend­wann?)
Wür­de ich eine Ver­bin­dung bekom­men, hät­te ich 3 Accounts:

  • User (ohne Paß­wort)
  • Instal­la­teur (mit Paß­wort)
  • Admin (mit ande­rem Paß­wort)

Die Paß­wör­ter sind hart codiert und ste­hen im Inter­net. Das GUI ähnelt der SPS-Steue­rung eines Atom­kraft­wer­kes (jeden­falls stel­le ich mir eine sol­che so vor)

Ehr­lich: So schafft sich Deutsch­land ab.

0

ClamAV mit eigenen Signaturen

Auf Arbeit haben wir in letz­ter Zeit ver­mehrt unter Viren­mails zu lei­den, die von kei­nem der bei uns ver­wen­de­ten Viren­scan­ner als Viren­mails erkannt wer­den.
Auf G+ wur­de ich auf ein schon älte­res Pos­ting auf­merk­sam gemacht, das erklärt, wie man eige­ne Signa­tu­ren schreibt.

Geht wun­der­bar (ich habe den Cla­mAV aus den Quel­len sel­ber über­setzt):

mailgate:/tmp # /usr/local/clamav/bin/clamscan invoice574206_1.pdf
invoice574206_1.pdf: OK

----------- SCAN SUMMARY -----------
Known viruses: 4137933
Engine version: 0.98.7
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.28 MB
Data read: 0.12 MB (ratio 2.29:1)
Time: 12.807 sec (0 m 12 s)
mailgate:/tmp #

Nix gefun­den, wir schie­ben die eige­ne Signa­tur an die rich­ti­ge Stel­le:

mailgate:/tmp # mv ISH-custumsigs.ndb /usr/local/clamav/share/clamav/
mailgate:/tmp #

Und dann noch­mal:

mailgate:/tmp # /usr/local/clamav/bin/clamscan invoice574206_1.pdf
invoice574206_1.pdf: ISH.Trojan.UNOFFICIAL FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4137934
Engine version: 0.98.7
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.28 MB
Data read: 0.12 MB (ratio 2.29:1)
Time: 13.072 sec (0 m 13 s)
mailgate:/tmp #

Ich bin ent­zückt!

0

Mein Jabber-Server, und was das IM Observatory dazu meint

Die mei­nen: schlecht.
Cli­ent bzw. Ser­ver
Weiß jemand, wie ich die schwa­chen Cipher weg­be­kom­me? Das ist ein Open­fire unter

# java -version
openjdk version "1.8.0_60"
OpenJDK Runtime Environment (build 1.8.0_60-b27)
OpenJDK 64-Bit Server VM (build 25.60-b23, mixed mode)
#

jdk.tls.disabledAlgorithms in java.security zu set­zen hat jeden­falls nicht zum Erfolg geführt.
Und nmap läßt mich zwei­feln, ob die Web­site wirk­lich Recht hat:

~$ nmap --script ssl-enum-ciphers -p 5222 xmpp.sokoll.com

Starting Nmap 6.47 ( http://nmap.org ) at 2015-10-27 18:35 CET
Nmap scan report for xmpp.sokoll.com (195.110.60.28)
Host is up (0.040s latency).
rDNS record for 195.110.60.28: allinclusive.sokoll.com
PORT STATE SERVICE
5222/tcp open xmpp-client
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.1:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| compressors:
| NULL
| TLSv1.2:
| ciphers:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
| TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
| compressors:
| NULL
|_ least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 9.16 seconds
~$
0
© Rainer Sokoll Frontier Theme