Marco Ziesing - Sicherheit

Schlüsselloch in Piwik

nospam@example.com (Marco Ziesing) — Wed, 11 Mar 2009 09:04:53 +0100

Im OpenSource-Pendant zu Google Analytics "Piwik" gibt es im Bereich der automatisierten Archivierung über ein Shell-Skript einen kleinen Denkfehler, der Unbefugten über die API Zugriff auf Statistiken ermöglicht. Das Skript liegt standardmäßig im Verzeichnis piwik/misc/cron/ welches über HTTP abrufbar ist. Da in diesem Skript zur Zeit noch der geheime API-Schlüssel hinterlegt sein muss, lässt er sich über einen simplen HTTP-Aufruf auslesen. Abhilfe schafft vorerst das Verschieben des Skripts in ein Verzeichnis außerhalb des DocumentRoot-Verzeichnisses oder eine .htaccess-Datei mit der Zeile "Deny from all" im cron-Verzeichnis. Ein Ticket zu diesem Problem habe ich schon erstellt und es wird an einer allgemeinen Lösung gearbeitet.

Update (19.03.2009)

Das aktuelle Shell-Skript holt sich die Daten nun direkt aus der Konfigurationsdatei.

Petition: biometrische Daten in Pässen und Ausweisen

nospam@example.com (Marco Ziesing) — Tue, 15 Jul 2008 13:52:44 +0200

Jürgen Rehatschek hat auf der Webseite des Deutschen Bundestages ein öffentliche Petition über die biometrischen Daten in den neuen Ausweißen und Pässen eingereicht. Dadurch soll erreicht werden, dass z.B. Fingerabdrücke nur auf Verlangen des Bürgers gespeichert werden. Die Begründung die neuen Ausweise und Pässe wären nötig, um fälschungssichere Dokumente zu erhalten scheint an den Haaren herbeigezogen, wenn man bedenkt, dass zwischen 2001 und 2006 gerademal 6 gefälschte Dokumente festgestellt wurden und keines davon bei irgendwelchen terroristischen Handlungen benutzt wurde. Hinzu kommen auch noch datenschutzrechtliche Probleme, da die Pässe eventuell unwissentlich ausgelesen werden können, und die höheren Kosten für die Bürger und den Staat. So haben sich die Kosten für den Bürger mehr als verdoppelt und ein neuer Reisepass mit Biometrie-Chip kann für einen Erwachsenen über 24 Jahren bis zu 113 Euro kosten.

CAcert Assurer Challenge

nospam@example.com (Marco Ziesing) — Mon, 07 Apr 2008 19:19:34 +0200

So langsam muss ich hier mit meinen Beiträgen mal wieder etwas aufholen, da ich mittlerweile etwas hinterherhinke und sogar die chronologische Reihenfolge schon durcheinander gerät. Dieser Beitrag sollte vor dem über die CeBIT stehen und Fabians Blog-Eintrag hat mich heute nochmal daran erinnnert; den Test der "Assurer Prüfung" habe ich nämlich schon am 7. März bestanden.
An alle Assurer, die die Prüfung noch nicht abgelegt haben: Macht's, es ist nicht schwer und tut auch nicht weh! Es hilft CAcert nur weiter.

Verschlüsselung für alles und jeden

nospam@example.com (Marco Ziesing) — Wed, 28 Nov 2007 16:56:00 +0100

Schon 1997 startete der Heise Verlag seine Krypto-Kampagne und zertifizierte digitale Schlüssel. Jedoch ist bis heute das Arbeiten mit verschlüsselten Daten und Kommunikationswegen leider nicht ausreichend verbreitet. Zum Beispiel werden noch immer häufig vertrauliche Daten in unverschlüsselten E-Mails verschickt; lesbar wie eine Postkarte. Da sich nun aber mittlerweile mehr Internet-Nutzer, auch aufgrund aktueller Gesetzesänderungen, für die Themen Datenschutz und Privatsphäre interessieren, möchte ich hier ein paar kleine Einstiegshilfen aufzeigen.

Warum Daten sichern

Einige Leser fragen sich an dieser Stelle sicherlich, warum ihre Daten überhaupt geschützt oder verschlüsselt werden sollten. Ein paar ausführliche und verständliche Antworten auf diese häufig aufkommenden Fragen gibt zum Beispiel das Einführungskapitel der CryptoCD.

Die CryptoCD und weitere Software-Pakete

Auf der CryptoCD sind alle nötigen Programme enthalten, um das Chatten, Mailen und Surfen unter Linux, MacOS X und Windows abzusichern. Für Benutzer des Betriebsystems MacOS X hält die Webseite "Mac GNU Privacy Guard" und für Windows-Benutzer "Gpg4win" weitere Anleitungen und Programme bereit, die den alltäglichen Umgang mit signierten oder verschlüsselten Daten vereinfachen.

Vertrauliche Informationen

Vorallem Datenträger mit geschäftsinternen Daten sollten verschlüsselt werden. Gestohlene Notebooks, durch einen Einbruch entwendete Computer oder achtlos weggeworfene Festplatten enthalten oft genug sensible Daten. Um dadurch eventuell entstehenden Schäden vorzubeugen, bieten sich Programme wie "CryptoBox" oder "TrueCrypt" an. Sie sind in der Lage ganze Dateisysteme zu verschlüsseln. Die auf der Linux-Distribution "Debian" basierenden CryptoBox-LiveCD ermöglicht den Betrieb eines Dateiservers ohne fest eingebaute Festplatten. So ließe sich zum Beispiel eine USB-Festplatte an einem kleinen, stromsparenden Rechner betreiben und außerhalb der Arbeitszeiten leicht im Tresor verstauen.

Web of Trust

Im "Netz des Vertrauens" werden die Echtheiten der digitalen Schlüssel gegenseitig oder über Dritte bestätigt. Dies ermöglich eine schnelle und einfache Verbreitung der Authentizität eines Schlüssels und des Inhabers. Die gemeinschaftsbetriebene Zertifizierungsstelle "CAcert" ermöglicht, nach ausreichenden Bestätigungen, auch das erstellen kostenloser Server-Zertifikate.

FiSH für XChat auf AMD64-Maschinen

nospam@example.com (Marco Ziesing) — Fri, 20 Jul 2007 15:37:04 +0200

Das Plugin "FiSH" erweitert XChat um eine Blowfish-Verschlüsselung. Es kann private Chats und auch ganze Räume verschlüsseln. Da es vom Autor jedoch keine fertige Datei für AMD64-Rechner gibt, musste ich sie selbst kompilieren. Dies erforderte allerdings etwas mehr Handarbeit als ein einfaches 'make'. Daher habe ich ein fertiges Paket in meinen Download-Bereich gelegt.
Die Handhabung ist sehr einfach. Nachdem das Plugin zum ersten Mal geladen wurde, sollte mit /setinipw ein eigenes Passwort gesetzt werden. Danach können mit dem Befehl /keyx Schlüssel ausgetauscht werden. Eine vollständige Befehlsliste und Installationsanleitung liegt dem Plugin bei.

Priamos SQL Injector & Scanner

nospam@example.com (Marco Ziesing) — Wed, 18 Jul 2007 15:00:59 +0200

Jeder der SQL-basierte Webseiten entwickelt sollte das Problem "SQL Injections" kennen. In einer Mailingliste bin ich vor kurzem auf ein Programm aufmerksam geworden, welches ich euch nicht vorenthalten möchte: Priamos. Es hilft bei der Suche nach Sicherheitslücken und zeigt diese auch auf. Auf der Projekt-Webseite findet ihr auch ein Demo-Video.

Bitte verwendet dieses Programm nur zum Testen eurer eigenen Applikationen.

TrueCrypt

nospam@example.com (Marco Ziesing) — Fri, 16 Mar 2007 21:15:45 +0100

Das OpenSource-Programm verschlüsselt ganze Festplatten oder legt Dateien an, welche als virtuelle Datenträger eingebunden werden. Da es Linux- und Windows-Versionen gibt, bietet es sich für sicheren Datenaustausch und sichere Aufbewahrung an.

Hauptmerkmale:

Erstellt virtuelle verschlüsselte Datenträger in Dateien und bindet diese als Laufwerke ein.

Verschlüsselt ganze Partitionen oder Speichergeräte wie z.B. USB-Sticks.

Verschlüsselung ist automatisch, in Echtzeit und transparent.

Bietet 2-stufige Plausibilitätsprüfung, falls die Herausgabe des Passworts erzwungen wird.
1. Mittels Steganographie versteckte Bereiche innerhalb eines verschlüsselten Containers.
2. Versteckte Bereiche können nicht identifiziert werden.

Unterstützte Verschlüsselungsalgorithmen: AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, und Twofish.

Weitere Informationen sind auf der Projektwebseite zu finden.