Schlagwort: Sicherheit

systemd-resolved

Ich habe bei Net¬≠cup seit Jah¬≠ren einen Root-Ser¬≠ver (Ubun¬≠tu 18.04), der ein¬≠fach funk¬≠tio¬≠niert, und bei dem ich mir nie Gedan¬≠ken √ľber Namens¬≠auf¬≠l√∂¬≠sung gemacht habe.

Weil die näm­lich auch funk­tio­niert.

Bis auf eben, da woll¬≠te ich ein Open¬≠VAS in einem Docker mit neu¬≠en Signa¬≠tu¬≠ren begl√ľ¬≠cken.

Aller­dings:

root@9b12cf26b36e:/# greenbone-nvt-sync

rsync: getaddrinfo: feed.openvas.org 873: Temporary failure in name resolution
rsync error: error in socket IO (code 10) at clientserver.c(128) [Receiver=3.1.1]
root@9b12cf26b36e:/# openvasmd --rebuild --progress
Rebuilding NVT cache... done.
root@9b12cf26b36e:/# greenbone-certdata-sync
rsync: getaddrinfo: feed.openvas.org 873: Temporary failure in name resolution
rsync error: error in socket IO (code 10) at clientserver.c(128) [Receiver=3.1.1]
root@9b12cf26b36e:/# greenbone-scapdata-sync
rsync: getaddrinfo: feed.openvas.org 873: Temporary failure in name resolution
rsync error: error in socket IO (code 10) at clientserver.c(128) [Receiver=3.1.1]

Da sah ich dann doch mal nach, wel­che Name­ser­ver ich ver­wen­de, aber resolv.conf sag­te mir: Nada!

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 127.0.0.53

Nun denn:

Global
         DNS Servers: 46.38.225.230
                      46.38.252.230
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Ich habe kei¬≠ne Ahnung, woher die bei¬≠den Name¬≠ser¬≠ver kom¬≠men ‚ÄĒ ihr? Irgend¬≠wo m√ľs¬≠sen die ja fest¬≠ge¬≠tackert sein?¬Ļ
Die DNS¬≠SEC-NTAs sehen auch ziem¬≠lich will¬≠k√ľr¬≠lich aus ‚ÄĒ wo sind die denn defi¬≠niert?

Wahr­schein­lich will man den gan­zen Quatsch sowie­so raus­wer­fen und einen klas­si­schen loka­len Resol­ver ver­wen­den.


¬Ļ Ich sehe gera¬≠de, da√ü ich DHCP ver¬≠wen¬≠de. Das erkl√§rt es wohl.

0

EdgeOS, Stolperfalle

Ich hab‚Äô im Kel¬≠ler ja einen ER‚ÄĎX, der mir au√üer¬≠or¬≠dent¬≠lich gut gef√§llt (man h√§t¬≠te ihm aller¬≠dings mehr Sto¬≠rage geben sol¬≠len, 256 MB sind arg weni¬≠g¬Ļ)
Auf dem ist port for¬≠war¬≠ding ein¬≠ge¬≠rich¬≠tet f√ľr

ssh soll nat√ľr¬≠lich von √ľber¬≠all funk¬≠tio¬≠nie¬≠ren, Home Assi¬≠stant aller¬≠dings nur von einer bestimm¬≠ten IP¬≤
Doch egal was ich mache: Es funk¬≠tio¬≠niert von √ľber¬≠all. WTF?
Weil es außer­mensch­li­che Intel­li­genz gibt, und die in die­sem Fal­le hieß:

port-forward {
    auto-firewall enable
    hairpin-nat enable

Oder in bunt grau:

Das sieht man erst, wenn man ‚ÄúShow advan¬≠ced opti¬≠ons‚ÄĚ ange¬≠tickt hat ūüôĀ
Jeden¬≠falls: Sobald die ‚Äúauto-fire¬≠wall‚ÄĚ akti¬≠viert ist, kann man zwar in den Fire¬≠wall-Regeln erlaub¬≠te Source-Adres¬≠sen kon¬≠fi¬≠gu¬≠rie¬≠ren, aber das wird nicht ber√ľck¬≠sich¬≠tigt. auto-fire¬≠wall hei√üt: ‚Äúsource: any‚ÄĚ.

Also habe ich den Quatsch aus¬≠ge¬≠schal¬≠tet, die gew√ľnsch¬≠te Source-Adres¬≠se bei den Fire¬≠wall-Regeln ein¬≠ge¬≠tra¬≠gen, und b√§mm!, nur noch die eine IP darf ūüôā
Mer­ke: Bes­ser die con­fig lesen als der GUI ver­trau­en.


¬Ļ eigent¬≠lich  ist es genug, nur wird bei einem Update das alte Sys¬≠tem behal¬≠ten, so da√ü sich der ver¬≠f√ľg¬≠ba¬≠re Platz fak¬≠tisch halbiert.Auch das reicht, solan¬≠ge man nicht zus√§tz¬≠li¬≠che Soft¬≠ware instal¬≠liert hat. Ich habe zum Bei¬≠spiel noch tcp¬≠dump, screen und rsync nach¬≠in¬≠stal¬≠liert.

¬≤ Ist ne l√§n¬≠ge¬≠re Geschich¬≠te, und die geht so: Wir haben iPho¬≠nes. HA kann IOS push noti¬≠fi¬≠ca¬≠ti¬≠ons, das ist schon ziem¬≠lich geil (ich nut¬≠ze es zum Bei¬≠spiel f√ľr den Staub¬≠sauger). Nur braucht dann HA ein von Apple akzep¬≠tier¬≠tes Zer¬≠ti¬≠fi¬≠kat, also kein selbst¬≠si¬≠gnier¬≠tes. Da bie¬≠tet sich mein LE-Wild¬≠card an f√ľr *.sokoll.com ‚ÄĒ aber wie bekom¬≠me ich das auf den Pi, auf dem HA l√§uft? Da es ein Wild¬≠card ist, mu√ü man ja zwin¬≠gend die DNS-Chal¬≠len¬≠ge neh¬≠men. Klar k√∂nn¬≠te man wil¬≠de Skrip¬≠te kl√∂p¬≠peln ‚ÄĒ ich habe mich f√ľr eine ein¬≠fa¬≠che¬≠re Vari¬≠an¬≠te ent¬≠schie¬≠den: Auf mei¬≠nem Root-Ser¬≠ver l√§uft ein Apa¬≠che mit mod_proxy:

SSLEngine on
SSLCertificateFile /etc/dehydrated/certs/wildcard_sokoll.com/fullchain.pem
SSLCertificateKeyFile /etc/dehydrated/certs/wildcard_sokoll.com/privkey.pem
ProxyRequests off
ProxyPreserveHost On
ProxyPass /api/websocket wss://91.66.58.188/api/websocket
ProxyPassReverse /api/websocket wss://91.66.58.188/api/websocket
ProxyPass / https://91.66.58.188/
ProxyPassReverse / https://91.66.58.188/
SSLProxyEngine on
SSLProxyCheckPeerCN off
SSLProxyCheckPeerExpire off
SSLProxyCheckPeerName off

SSLProxyCheckPeerExpire off h√§t¬≠te ich mir spa¬≠ren k√∂n¬≠nen ūüôā

~$ openssl s_client -showcerts -servername hass.sokoll.com -connect raspberrypi.local:443 < /dev/null 2>/dev/null | openssl x509 -noout -dates
notBefore=May 17 17:17:07 2019 GMT
notAfter=Apr 12 17:17:07 4757 GMT
~$

Im April des Jah­res 4757 ist viel­leicht der Raspi nicht tot, aber wahr­schein­lich ich.

Jeden­falls auf die­ses Wei­se habe ich kei­nen Streß mit Zer­ti­fi­ka­ten.

 

0

Ubuntu, docker

Habe gera­de neben­bei mit­be­kom­men, daß das mit Ubun­tu (in mei­nem Fal­le 18.04 LTS) mit­ge­lie­fer­te docker stein­alt ist,

deb [arch=amd64] https://download.docker.com/linux/ubuntu bionic stable

regelt das:

root@big:~# docker --version
Docker version 19.03.0, build aeac949
root@big:~#

Eine Stun¬≠de alt ūüôā

Was mich kir­re macht: Ich habe kein Pro­blem damit, daß Cano­ni­cal nicht jede vola­ti­le Soft­ware mit­lie­fert. Aber dann sol­len sie es bit­te ganz blei­ben las­sen und nicht schimm­li­ges Zeug per default aus­lie­fern!

0

Open Source wird √ľberbewertet

Die Aus¬≠sa¬≠ge, bei OSS k√∂n¬≠ne jeder den Code ein¬≠se¬≠hen, √ľber¬≠pr√ľ¬≠fen und nach Belie¬≠ben √§ndern, stimmt nat√ľr¬≠lich. Nur macht es kaum jemand.
Bei¬≠spiel opens¬≠sl bei Debi¬≠an:¬Ļ 2 Jah¬≠re lang flog jedes Debi¬≠an fak¬≠tisch ohne Zufalls¬≠zah¬≠len durch die Welt, und kei¬≠ner hats mit¬≠be¬≠kom¬≠men. Bis auf viel¬≠leicht ein paar Geheim¬≠diens¬≠te, die das aber nicht ver¬≠ra¬≠ten haben‚Ķ
Oder Chro¬≠mi¬≠um: Das ist kom¬≠plett OSS ‚ÄĒ und auch kom¬≠plett Goog¬≠le. Selbst¬≠ver¬≠st√§nd¬≠lich bestimmt Goog¬≠le, was wie gemacht wird. Apa¬≠che, Docker, Libre¬≠Of¬≠fice ‚ÄĒ √ľber¬≠all ste¬≠hen Gate¬≠kee¬≠per, die dar¬≠auf ach¬≠ten, da√ü eben nicht jeder den Code √§ndert.
Vor¬≠tei¬≠le gibt es allen¬≠falls f√ľr wirk¬≠lich gro¬≠√üe Fir¬≠men, die es sich leis¬≠ten k√∂n¬≠nen, intern ent¬≠wi¬≠ckel¬≠te Code¬≠√§n¬≠de¬≠run¬≠gen auch √ľber Jah¬≠re wei¬≠ter¬≠zu¬≠pfle¬≠gen. Face¬≠book und PHP ist so ein Bei¬≠spiel, booking.com auch. Das sind aber auch Schwer¬≠ge¬≠wich¬≠te, 99,9% aller OSS-Anwen¬≠der wer¬≠den wohl nie einen Blick in den Code wer¬≠fen oder gar ihn anpas¬≠sen, son¬≠dern ein¬≠fach die Bina¬≠ries instal¬≠lie¬≠ren und star¬≠ten. Da gibt es gar kei¬≠nen Unter¬≠schied zu Clo¬≠sed Source.

Ein ande¬≠rer Hand¬≠lungs¬≠strang: Wir sind kaum noch an Ursa¬≠chen¬≠for¬≠schung inter¬≠es¬≠siert, also an einer Ant¬≠wort auf die Fra¬≠ge, war¬≠um irgend¬≠ein Ereig¬≠nis ein¬≠ge¬≠tre¬≠ten ist. Das ist was f√ľr Aka¬≠de¬≠mi¬≠ker, aber nicht f√ľr den All¬≠tag. Im All¬≠tag geht es nur noch um Wahr¬≠schein¬≠lich¬≠kei¬≠ten, mit denen ein Ereig¬≠nis ein¬≠tref¬≠fen wird. Der Spam¬≠fil¬≠ter soll den meis¬≠ten Spam aus¬≠fil¬≠tern, das auto¬≠no¬≠me Auto auf den meis¬≠ten Stra¬≠√üen fah¬≠ren k√∂n¬≠nen, pre¬≠dic¬≠tive poli¬≠cing soll die meis¬≠ten Ver¬≠bre¬≠chen ver¬≠hin¬≠dern (zum Preis von Kol¬≠la¬≠te¬≠ral¬≠sch√§¬≠den), Schufa-Sco¬≠ring das Ban¬≠ken-Risi¬≠ko min¬≠dern usw. usf. Und die KI rech¬≠net dann. Die KI ist dabei ein gro¬≠√üer schwar¬≠zer Raum, den nie¬≠mand mehr ver¬≠steht ‚ÄĒ und auch nicht ver¬≠ste¬≠hen mu√ü.
Wer aber die¬≠se Berech¬≠nun¬≠gen mit m√∂g¬≠lichst gro¬≠√üer Genau¬≠ig¬≠keit machen kann, der braucht Daten. Rie¬≠si¬≠ge Men¬≠gen an Daten. Denn je mehr Daten, des¬≠to genau¬≠er wer¬≠den die Berech¬≠nun¬≠gen, des¬≠to bes¬≠ser las¬≠sen sich die¬≠se Rechen¬≠er¬≠geb¬≠nis¬≠se mone¬≠ta¬≠ri¬≠sie¬≠ren. Und die Daten sol¬≠len wir lie¬≠fern, frei¬≠wil¬≠lig. Und der Daten¬≠ha¬≠fen wird unse¬≠re Daten nicht wie¬≠der her¬≠aus¬≠ge¬≠ben, jeden¬≠falls nicht ohne sie vor¬≠her kopiert und ver¬≠ar¬≠bei¬≠tet zu haben. Und an die Kon¬≠kur¬≠renz gehen die Daten nat√ľr¬≠lich gleich gar nicht. DAS ist der Grund f√ľr die gan¬≠zen wal¬≠led gar¬≠dens: Face¬≠book, gmail, Info¬≠tain¬≠ment-Sys¬≠te¬≠me in Autos, Rabatt¬≠mar¬≠ken-Sys¬≠te¬≠me‚Ķ Man will an unse¬≠re Daten.
Und ob wir die mit open oder clo­sed source frei­wil­lig her­ge­ben, ist dabei völ­lig egal.

Des¬≠we¬≠gen: Daten sind das √Ėl der Zukunft, nicht Soft¬≠ware. Wir brau¬≠chen Open Data. Ja, auch die Daten, die wir an Face¬≠book & Co. ver¬≠schen¬≠ken, sol¬≠len open sein, nat√ľr¬≠lich ohne sie auf ein¬≠zel¬≠ne Per¬≠so¬≠nen zur√ľck¬≠f√ľh¬≠ren zu k√∂n¬≠nen. Und wis¬≠sen¬≠schaft¬≠li¬≠che Daten sowie¬≠so.


¬Ļ Ja, das ist ein altes Bei¬≠spiel. Aber pro¬≠mi¬≠nent und typisch. Es gibt gen√ľ¬≠gend wei¬≠te¬≠re Bei¬≠spie¬≠le.

0

ceterum censeo

coo­kie dis­c­lai­mer sunt delen­dam.

Mein Ober¬≠chef brach¬≠te heu¬≠te einen inter¬≠es¬≠san¬≠ten Gedan¬≠ken: Die¬≠se gan¬≠zen bl√∂d¬≠sin¬≠ni¬≠gen Coo¬≠kie-Popus kon¬≠di¬≠tio¬≠ne¬≠ren Eike Mus¬≠terX nur dazu, alles, was sich in den Vor¬≠der¬≠grund schiebt, abzu¬≠ni¬≠cken. Eben auch: ‚ÄúSIE! M√úSSEN!! MAKROS!!! ERLAUBEN!!!!‚ÄĚ

0

Emotet

Hei­se hat ja die vol­le Breit­sei­te abge­fan­gen. In dem Arti­kel ist etwas vage von TCP/449 die Rede:

Ein schnel¬≠ler Check zeig¬≠te, dass bereits eine gan¬≠ze Rei¬≠he von Rech¬≠nern √ľber selt¬≠sa¬≠me Ver¬≠bin¬≠dun¬≠gen etwa auf TCP-Port 449 nach drau¬≠√üen kom¬≠mu¬≠ni¬≠zier¬≠te.

Die¬≠ses etwa ver¬≠ste¬≠he ich als: Das haben wir gese¬≠hen, aber da kann noch viel mehr sein‚Ķ (als anst√§n¬≠di¬≠ger Hacker w√ľr¬≠de ich ja 443 neh¬≠men).
449 ist schein¬≠bar nicht Emo¬≠tet, son¬≠dern ein nach¬≠ge¬≠la¬≠de¬≠nes trick¬≠bot ‚ÄĒ was auch immer die¬≠ses tut.

Nun, da dach­te ich mir: Schaus­te mal auf der Fire­wall nach, was da so pas­siert auf 449/TCP. Lus­ti­ges Zeug:

22:01:31.797731 IP scratch-01.sfj.corp.censys.io.16071 > x.x.x.x.as-servermap: S 176477258:176477258(0) win 1024
22:01:31.798031 IP x.x.x.x.as-servermap > scratch-01.sfj.corp.censys.io.16071: R 0:0(0) ack 176477259 win 0

as-ser­ver­map ist 449. Von die­sen Ein­trä­gen mit src censys.io habe ich nicht vie­le, aber eini­ge, seit ca. 6 Stun­den ein hal­bes Dut­zend ca.

censys.io bie¬≠tet schein¬≠bar Port¬≠scans f√ľr jeder¬≠mann an. Jeden¬≠falls f√ľr jeder¬≠mann aus den Amish. Mei¬≠ne IP (2001:470:6d:c40:1419:897f:ed71:b17a) will er nicht ūüôā
Dazu kom¬≠men noch ein paar rus¬≠si¬≠sche Ser¬≠ver, den Rest habe ich nicht kon¬≠trol¬≠liert. Ist aber alles √ľber¬≠schau¬≠bar, und ich bin mir zu in etwa 183,73% sicher, da√ü ich TCP/449 nicht frei¬≠ge¬≠ge¬≠ben habe‚Ķ

0

Wo die Tröge sind, da sind auch bald die Schweine

Heu­te in der Zei­tung: Die Innen­mi­nis­ter von Bund und Län­dern möch­ten sich ger­ne mal in unse­ren Schlaf­zim­mern umhö­ren.

War­um? Na war­um wohl?

Laut Beschluss¬≠vor¬≠la¬≠ge kommt digi¬≠ta¬≠len Spu¬≠ren ‚Äěeine immer gr√∂¬≠√üe¬≠re Bedeu¬≠tung‚Äú bei der Auf¬≠kl√§¬≠rung von Kapi¬≠tal¬≠ver¬≠bre¬≠chen und ter¬≠ro¬≠ris¬≠ti¬≠schen Bedro¬≠hungs¬≠la¬≠gen zu.

Ter¬≠ro¬≠ris¬≠mus! Kin¬≠der¬≠por¬≠no¬≠gra¬≠phie ist ja abge¬≠nud¬≠delt. √úbri¬≠gens: ‚ÄúBedro¬≠hungs¬≠la¬≠gen‚ÄĚ ‚ÄĒ es reicht den Her¬≠ren also eine gef√ľhl¬≠te Bedro¬≠hung als Aus¬≠re¬≠de aus.

Dum¬≠mer¬≠wei¬≠se gibt es die¬≠ses bl√∂¬≠de Grund¬≠ge¬≠setz. Eine gef√ľhl¬≠te Bedro¬≠hungs¬≠la¬≠ge reicht da wahr¬≠schein¬≠lich doch nicht. Na mal sehen, womit die Ver¬≠fas¬≠sungs¬≠fein¬≠de dann um die Ecke kom¬≠men:

Ziel sei es, ver­fas­sungs­recht­li­che Beden­ken aus­zu­räu­men.

Sie wer­den schon was aus dem Hut zau­bern.
Ach und wenn die Spe¬≠zi¬≠al¬≠fach¬≠kr√§f¬≠te aus den Innen¬≠mi¬≠nis¬≠te¬≠ri¬≠en schon mal dabei sind, d√ľr¬≠fen nat√ľr¬≠lich Hua¬≠wei und G5 nicht aus¬≠ge¬≠las¬≠sen wer¬≠den, soviel Zeit mu√ü sein!

Kotz! ūü§ģ

0