Results for category "Uncategorized"

Was die Leute so alles ans Internet hängen

Mein Blog meldet mir, dass er eine bestimmte IP nach 16 vergeblichen Logins für 24 Stunden gesperrt hat. Ich habe mir daraufhin per WHOIS mal angeschaut, woher die IP kommt. Scheinbar interessiert sich jemand in den Niederlanden brennend für meine Login-Seite. Die IP wird aber mittels Reverse DNS zu einem Namen aufgelöst, der „static“ enthält. Das lässt vermuten, dass es sich um einen Server handelt. Also schaue ich mal nach, welche Dienste der Server so im Internet anbietet:

02102014-login-attempts-A-2

Wie zu sehen ist, bietet der Rechner einige Dienste an, die auf einem alten Windows-Server nicht ungewöhnlich sind. Ein Aufruf der IP im Windows Remote Desktop Client zeigt, dass es sich wirklich um einen Windows 2003 Server handelt. Der angebotene FTP-Dienst lässt eine anonyme Anmeldung zu und der IIS ist nicht konfiguriert.

Richtig lustig wird es aber, wenn man sich mit dem Mailserver verbindet. Der gibt als Hostnamen nämlich SRVPDC001 zurück; es handelt sich also wahrscheinlich um einen Domänenkontroller:

02102014-login-attempts-B-2

Ich denke mal, ich werde heute Abend den Provider informieren, damit der den Kunden ansprechen kann.

Wir haben noch einen langen Weg vor uns, wenn wir das Internet zu einem sicheren Ort machen wollen.

„Sicherheit unter OpenSUSE erhöhen“ und die Folgen

Ich benutze schon seit Jahr und Tag OpenSUSE; aktuell die Version 12.2. Gestern klickte ich durch das Verwaltungstool YAST und stiess dabei auf den Punkt „Sicherheits-Center und Systemhärtung“. Dort kann man einige Einstellungen des Rechners anpassen, um die eigene Sicherheit zu erhöhen. Unter Anderem gibt es einen „Sicherheitsüberblick“; dort kann man schnell sehen, wo noch Anpassungen vorgenommen werden müssen. Besonders fiel mir da der Punkt „Sichere Dateiberechtigungen verwenden“ ins Auge; dort wurde mir Optimierungsbedarf angezeigt. Klickt man dort auf „Konfigurieren“, kann man u.a. beim Punkt „Dateiberechtigungen“ zwischen „Easy (Einfach)“, „Sicher“ und „Paranoid“ wählen. Bei mir war dort „Einfach“ eingestellt.

Ich dachte mir so: machen wir das Ganze doch mal sicherer. Da dort keine weitere Erklärung stand, entschied ich mich erst mal für „Sicher“. Das System wirkte im Hintergrund irgendwelche unsichtbare Magie und nach ein paar Sekunden konnte ich weiterarbeiten. Ich konnte aber keinen Unterschied erkennen und da der heutzutage kurzen Aufmerksamkeitsspanne wandte ich mich anderen Dingen zu.

Das etwas anders war, merkte ich beim nächsten Start von Chromium (dem Browser von Google). Über das in der Menüleiste angeheftete Symbol liess er sich nicht mehr starten und der Start aus einem Terminal heraus brachte eine Fehlermeldung. Da ich kurz vorher auch eine größere Update-Aktion gestartet hatte, vermutete ich den Fehler bei einer neuen Bibliothek. Die Fehlermeldung war:

Sie verwenden eine nicht unterstützte Befehlszeilenmarkierung: –no-sandbox. Dadurch werden Stablilität und Sicherheit beeinträchtigt.

Das klang schon mal nicht gut, da die Sandbox beim Browser (AFAIK) ja nicht ganz unwichtig ist. Ein bisschen Googeln erbrachte, dass der Start über ein Skript erfolgt, dass bei OpenSUSE in der 64-Bit Version unter /usr/lib64/chromium/ liegt: chromium-generic. Innerhalb dieses Skriptes wird dann auch entschieden, ob der Schalter –no-sandbox benutzt wird oder nicht. Am Anfang dieses Skriptes wird die Variable CHROME_SANDBOX auf den Wert /usr/lib/chrome_sandbox gesetzt. Über die Abfrage

! -u $CHROME_SANDBOX

wird dann (so vermute ich; ich bin kein BASH-Spezialist) getestet, ob für chrome_sandbox das setuid-Bit gesetzt ist. Je nach Ergebnis wird dann Chromium mit oder ohne den Parameter –no-sandbox aufgerufen.

Im Internet fand ich dann auch eine Anleitung, wie man das System anpassen kann; aber ich entschied mich erst mal für die einfachere Variante (man will ja nicht noch mehr kaputt machen): Dateiberechtigungen wieder auf „Einfach“ setzen.

Damit war der Fehler dann weg und ruft man in Chromium in der Adressleiste chrome://sandbox/ auf, kann man erkennen, dass die Sandbox wieder funktioniert (bis auf die beiden Punkte mit „Seccomp“; aber dass scheint ein anderes Thema zu sein): der Sandbox-Status meldet „sie haben ausreichend trainiert“.

Bleibt abschliessend noch die Frage, was da im Hintergrund passiert ist. Dazu schauen wir uns die Datei /usr/lib/chromium_sandbox an. Steht „Dateiberechtigungen“ auf „Einfach“, liefert „ls -l /usr/lib/chromium_sandbox“

-rwsr-xr-x 1 root root 16472 10. Sep 11:40 chrome_sandbox

Stellt man aber auf „Sicher“ um, liefert die Abfrage

-rwxr-xr-x 1 root root 16472 10. Sep 11:40 chrome_sandbox

Die Änderung entfernt also das setuid-Bit, womit die Abfrage im Skript dazu führt dass Chromium ohne Sandbox startet.

Und wieder was gelernt…

PS: Sollte ich irgendwas falsch interpretiert haben, würde ich mich über eine entsprechende Information sehr freuen.

]]>

Quicktipp: Temporärer Webserver mit Python

Während der BRUCON 2012 habe ich auch den Python-Workshop von Vivek Ramachandran besucht. Dabei habe ich gelernt, dass in Python ein kleiner Webserver versteckt ist. Es gibt eine Version, die statische Seiten ausliefert und eine Version, die CGI unterstützt. Ich dachte mir damals schon, dass das bestimmt mal nützlich sein könnte.

Wenn ich Artikel für meinen Blog erstelle, schaue ich mir gerne den neuen Artikel an, bevor ich ihn hochlade. Ich kann nun die HTML-Seite aufrufen; aber leider wird dabei die CSS-Datei nicht geladen, so dass ich nur den Text sehe und keine Formatierung.

Ich könnte nun einen Webserver auf meinem Rechner installieren; aber das sieht mir zum Einen nach Overkill aus und wenn ich mal vergesse, ihn zu stoppen, dann habe ich unterwegs ein potentielles Sicherheitsloch.

Als ich heute noch mal darüber nachdachte, fiel mir der Vortrag ein. Und siehe da: mein Problem war gelöst! Was muss man nun genau tun? Ich arbeite zu Hause unter Linux (OpenSUSE) und benutze hier Python 2.7.

Ich wechsle in der Shell in das Verzeichnis, in dem die Blog-Dateien liegen. Dort starte ich den Webserver mit dem Aufruf

python -m BasicHTTPServer 8080

Dadurch wird ein einfacher Webserver gestartet, der auf Port 8080 lauscht. Falls man den Server auf Port 80 lauschen lassen will, muss man den Aufruf als root starten (und natürlich 80 statt 8080 angeben;-)). Interessanterweise kann ich nicht von der normalen Webseite zum Blog wechseln (wenn ich den Server aus dem Verzeichnis mit den Dateien der Webseite starte), da angeblich die Datei index.html nicht gefunden wird; starte ich den Server aber direkt aus dem Blog-Verzeichnis, kann ich auf alle Blog-Artikel wechseln. Es gibt da also noch Einiges zu erforschen.

Das Ganze ist nun nicht die große Entdeckung; aber ich dachte mir, dass jemand das ganz nützlich finden könnte.

Nachtrag:der fehlerhafte Aufruf des Blogs von der lokalen Kopie der Webseite lag daran, dass das Blog-Verzeichnis lokal „Blog“ heisst, im Internet aber „blog“. Nachdem ich den lokalen Verzeichnisnamen angepasst habe, klappt der Aufruf nun auch.

]]>

Noch ein paar Buchkritiken

Das erste Buch ist ein deutscher Kriminalroman, der das aktuell so beliebte Thema „Computerkriminalität“ zum Inhalt hat. Es geht um den Inhaber eines Internet-Unternehmens, der bemerkt dass jemand in sein System eingebrochen ist. Seine Systeme sollen als Sprungbrett für einen Angriff auf das Bundeskanzleramt genutzt werden. Der Held kämpft hierbei nicht nur gegen externe Feinde, sondern auch gegen Verräter in der eigenen Firma.Takeover von Fritjof Karnani ist akzeptabel, wenn man nur wenig andere Bücher zu dem Thema kennt. Vergleicht man es aber mit Büchern von z.B. Jeffery Deaver, fällt es doch etwas ab; gerade das Ende war etwas unbefriedigend. Allerdings gibt es das Buch auch als Taschenbuch und dann ist es als Urlaubslektüre durchaus zu empfehlen.

Nun ein ganz großer Sprung zu einem anderen Thema: Mission Gottesreich von Oda Lambrecht und Christian Baars. Der Untertitel „Fundamentalistische Christen in Deutschland“ verrät, worum es in dem Buch geht. Wir regen uns ja gerne über die religiöse Rechte ind en USA auf und übersehen dabei, dass es solche Leute durchaus auch bei uns gibt. Glaubt man den Buchautoren, sind es in Deutschland schon über eine Million.Auch bei uns gibt es Anhänger einer antiquierten Sexualmoral (Selbstbefriedigung, Homosexualität) und auch hier leben Vertreter des Kreationismus und des „Intelligent Design“. Insbesondere ist interessant, wie viel Einfluss solche Leute u.a. durch das Betreiben von staatlich anerkannten Ersatzschulen haben. Vielleicht sollten wir unsere Augen mal von den USA ab und auf unser eigenes Land richten.

Und wieder ein thematischer Sprung hin zu dem kleinen Büchlein Feindbild Islam von Jürgen Todenhöfer. Todenhöfer stellt hier zehn Thesen auf (und begründet sie), die unserem Bild über den Islam (und ebesonders den Meldungen in der Presse) widerspricht. Schon die erste These beschreibt sehr eindringlich, dass eigentlich die westliche Welt deutlich gewalttätiger als die muslimische ist. Beispiele hier sind z.B. Algerien und der Irak zu Zeiten der Kolonialisierung. In einer weiteren these wird beschrieben, dass die Unterdrückung der Frauen eher auf archaischen Bräuchen als auf dem Koran beruht (z.B. Beschneidung, die auch in christlic geprägten afrikanischen Ländern praktiziert wird). Aber Todenhöfer macht auch den Moslems klar, dass sie z.B. im Bereich der Frauenrechte, aber auch bei der Abgrenzung von Fanatikern noch Einiges zu tun haben. Insgesamt ein interessantes Buch, das zum Nachdenken anregt. Und der Preis von fünf Euro hält nun nicht gerade vom Kauf ab (das Büchlein hat aber auch nur 65 Seiten).

Welches Thema hatten wir noch nicht? Wie wäre es mal mit dem Thema „Ernährung“? Thilo Bode, der Gründer der Organisation „Foodwatch“, beschreibt in Die Essensfälscher, was uns die Lebensmittelkonzerne so auftischen. Da geht es von Wellness-Produkten über mangelnde Qualität hin zur „Zuckerlüge“ und zu angeblichen Bioprodukten. Bode kritisiert aber nicht nur, er macht auch Vorschläge. Ich hatte dem Thema „Ernährung“ bisher wenig Aufmerksamkeit gewidmet; aber das Buch regt wirklich zum Nachdenken an. Für mich eine klare Kaufempfehlung!

Thematisch zum Stichwort „Nachdenken“ passt das Buch Die Kunst des klaren Denkens von Rolf Dobelli. Auf knapp über 200 Seiten betrachtet der Autor 52 klassische Denkfehler und gibt Tipps, wie mans ie künftig vermeiden kann. Sei es der „Overconfidence-Effekt“ (die Überschätzung der eigenen Fähigkeiten), der „Knappheitsirrtum“ (knappe Kekse schmecken besser) oder „The Association Bias“ (das Verknüpfen von Ereignissen, die in Wirklichkeit nicht zusammen hängen); das Buch regt zum Nachdenken an. Das Buch ist die ideale Lektüre für den Sonntag im Liegestuhl auf der Terasse oder Veranda.

Zum Abschluss ein nicht so ganz ernstes Buch mit dem reißerischen Titel Das verbotene Buch – Geheimsache, dessen Autor(en) unerkannt bleiben will/wollen. Der Untertitel des Buches lautet „Lügen und Betrügen für Anfänger und Fortgeschrittene“ und es geht von Tricksereien rund ums Auto (Parkplatzgebühren sparen; Strafzettel ignorieren) über Mietminderung und Versicherungsbetrug hin zu Tipps für den perfekten Seitensprung und die günstige Scheidung. Jedes Kapitel ist mit angeblichen Zitaten gespickt. Inwieweit man die für echt hält, muss jeder selbst entscheiden. Einige „Tipps“ sind für mich schon in einer Garuzone und ich empfehle dringend, diese nicht nachzuahmen. Falls amn sich aber schon immer über den Lebensstil von Kollegen oder Nachbarn gewundert hat, kann dieses Buch vielleicht Licht ins Dunkel bringen.

]]>

Japan für Anfänger

Schon länger fasziniert mich Asien und hier besonders Japan. Gerade weil wir Europäer ja gerne glauben, wir hätten die Kultur erfunden, sehen viele Menschen nicht dass in Asien es auch schon lange weit entwickelte Kulturen gibt, die sich aber in vielen Dingen von unserer europäischen Kultur unterscheiden. Ursprünglich war ich besonders an China interessiert; die politischen Verhältnisse dort haben mein Interesse aber abkühlen lassen. Insbesondere die Geschichte der Samurai hat mich fasziniert; ob wohl mir natürlich klar ist, dass die Realität nichts mit den Samurai der Filme (wie z.B. The last Samurai mit Tom Cruise).

In diesem Jahr habe ich auch angefangen Japanisch zu lernen; leider musste ich den Kurs aus verschiedenen gründen abbrechen. Ich bin aber zumindest dazu gekommen, zwei Bücher zu dem Thema zu lesen.

Das erste Buch ist Kulturschock Japan von Martin Lutterjohann. Das Buch beschreibt auf 220 Seiten die verschiedensten Aspekte von Japan: wie sich Japaner aufd er Arbeit und zu Hause verhalten, was man beim Kontakt mit Japanern beachten sollte, wie es Japaner mit der Religion halten und welche Künste in Japan gepflegt werden. Trotz des knappen Umfangs bekommt mane ins ehr gutes Bild von Japan und bekommt jede Menge Tipps, wie man in Japan nicht von einem Fettnäpfchen zum Anderen springt. Auchw enn eine Reise nach Japan nicht geplant ist, kann ich mir doch vorstellen das das Buch als Reisevorbereitung sehr nützlich ist. Aber auch zum ersten Kennenlernen des Landes eignet sich das Buch gut.

Das zweite Buch ist für den Japanreisenden gedacht; egal ob er auf Geschäftsreise ist oder sich privat in Japan aufhält. Das Buch gehört zur Buchreihe „Fettnäpfchenführer“; sein Titel ist Japan – Die Axt im Chrysanthemenwald von den Autoren Kerstin und Andreas Fels. Das Buch beschreibt die (fiktive) Geschäftsreise von Egon Hoffmann und in ejdem Kapitel wird Herr Hoffmann mit einer neuen Facette von Japan konfrontiert. Er tritt in jedes sich bietende Fettnäpfchen und nach der Beschreibung der Situation wird sein Fehler erklärt und es wird beschrieben, wie man es besser machen kann. Zusätzlich erhält man weitere Informationen über Land, Leute, Sitten und Gebräuche. Es ist mal ein anderer Ansatz und es war ein Vergnügen das Buch zu lesen. Ich kenne jetzt das passende Verhalten beim Entgegennehmen einer Visitenkarte, werde in einem japanischen Badehaus hoffentlich nicht negativ auffallen und weiss auch, dass man seine Essstäbchen nicht in die Schale mit dem Reis steckt. Und ich weiss jetzt, warum japanische Toiletten Musik machen.

]]>

Silence is over

Lange Zeit ware es ruhig hier im Blog; Umzug und Jobwechsel haben mich vom Schreiben abgehalten.

Ich werde versuchen, in Zukunft wieder mehr zu schreiben. Als Folge der langen Pause werde ich auch über ein paar Sachen schreiben, die nicht mehr ganz aktuell sind Interessantes aus Projekten, Buch- und CD-Besprechungen). Lasst euch überraschen.

]]>

ProcMon strikes again

Ein Kollege bat mich um Unterstützung bei einer Migration von Windows 2003 auf Windows 2008 R2 (und dem Umstieg von Exchange 2003 auf Exchange 2010). Die Benutzer hatten ihre Citrix-Profile und das Home-Laufwerk auf dem Windows 2003 DC. Nachdem die Daten auf den neuen Server umgezogen worden sind, mussten noch die entsprechenden Einstellungen in den AD-Eigenschaften der Benutzer gemacht werden. Interessanterweise zogen diese aber nicht; angeblich wurde das Basislaufwerk nicht gefunden bzw. es gab keinen Zugriff darauf. Nach einigem Rumprobieren (das Event-Log gab mehr nicht her) habe ich mal wieder die Allzweckwaffe PROCMON gezogen. Ich habe auf die versteckte Freigabe für die Home-Verzeichnisse gefiltert und der Kollege hat sich angemeldet.

Und siehe da: ZUGRIFF VERWEIGERT. Von hier aus war es zur Lösung dann kein weiter Weg mehr: bei den Freigabeberechtigungen wurde nicht daran gedacht, dass diese standardmäßig nur auf „Lesen“ gesetzt sind. Und was wissen wir alle noch aus der Windows-Schulung?;-) Bei der Kombination von NTFS- und Freigaberechten zieht das Schärfere. Nebenbei habe ich dann noch entdeckt, dass bei einem Benutzer noch der alte Pfad eingetragen war.

Bei den Profilen gab es dann wohl noch einen weiteren Fehler, den der Kollege dann in der Zwischenzeit gefunden hatte. Der Windows-Teil ist damit fast abgeschlossen und ich kann heute Abend endlich den alten DC herunterstufen und die Mailboxen verschieben.

Ich kann den Jungs von SYSINTERNALS gar nicht genug danken!

PS: Man sollte allerdings nicht vergessen das Programm wieder zu beenden. Offensichtlich frisst es nach längerer Laufzeit alle Resourcen auf. Vielleicht wird es doch mal Zeit, dass ich anfange das SYSINTERNALS-Buch zu lesen;-)

]]>

Und DIE wollen Zugriff auf Vorratsdaten bekommen?

vor einiger Zeit wurde ja in einen Server der Bundespolizei eingebrochen. Offensichtlich hat man die Systeme jetzt einer eingehenden Prüfung unterzogen und das Ergebnis war erschütternd:

  • veraltete Hard- und Software
  • Sicherheitssysteme sind, wenn überhaupt vorhanden, unzureichend
  • mangelhaft ausgebildete Mitarbeiter
  • fehlende Dokumentation
  • theoretisch kann jeder Benutzer das System verändern
  • Änderungen werden offensichtlich nicht mitgeloggt
  • Remotezugriff erfolgt über Klartextprotokolle
  • keine vernünftige Absicherung gegen Malware, die über Wechseldatenträger ins System kommen

Da Angreifer (zumindest behauptet der Bericht das) die Systeme manipulieren könnten, stellt sich für mich die Frage, inwiefern die Systeme überhaupt noch vertrauenswürdig sind.

Wenn Systeme der Bundespolizei schon in solch einem Zustand sind, wie sehen dann erst weniger kritische Infrastrukturen aus?

Wie kann so was in einem (angeblichen) High-Tech-Land passieren?

]]>

Spass mit OpenSuSE und NVIDIA

Gelegentlich passiert unter Linux mal was, das andere Leute immer nur im Zusammenhang mit Windows erwähnen: das komplette Einfrieren des Rechners. Maximal kann noch die Maus bewegt werden; der Rechner ist aber per Netzwerk nicht mehr erreichbar. Ich habe zwei Verdächtige: entweder ist es der proprietäre NVIDIA-Treiber oder der Google Chromium (der Browser).

Um dem Fehler auf die Spur zu kommen, habe ich den NVIDIA-Treiber deinstalliert. Das System meldete auch brav den Austausch des proprietären Treibers gegen die Open Source Variante, den Noveau-Treiber. Bedauerlichweise startete aber nach einem Reboot X nicht wieder. Ich habe dann versucht per startx das grafische System zu starten und bekam die folgenden Fehlermeldung:

NV: The PCI device 0x10de0649 (GeForce 9600M GT) at 01@00:00:0 has a kernel module claiming it. NV: This driver cannot operate until it has been unloaded. No devices detected.

Der Treibereintrag schien also schon der richtige zu sein (in der xorg.conf stand auch „nv“ statt „nvidia“), aber irgend etwas behagte dem System immer noch nicht. Leider scheint es SAX2 zur Konfiguration der Grafikkarte nicht mehr zu geben und ich war jetzt etwas ratlos, wie ich die Grafikkarteneinstellungen ändern sollte.

Google brachte dann wieder die Lösung und die war brutal, aber wirkungsvoll: einfach die xorg.conf löschen! Das System konfiguriert dann alles neu. Und wirklich, danach funktionierte das grafische System wieder.

Und ich sah mich schon die Nacht durchbasteln…

]]>