dimis linkdump

Update:

Scheinbar war das Ganze eine Falschmeldung, basierend auf einem Fehlalarm eines Virenscanners. Ich hätte das ja garnicht gepostet, wäre der Artikel nicht von dem Autor eines Security-Buchs gekommen…

http://sunbeltblog.blogspot.com/2011/03/samsung-laptops-do-not-have-keylogger.html

/Update

Es gibt Hinweise darauf, dass Samsung Laptops ab Werk wissentlich mit Keyloggern ausgeliefert hat. Entdeckt wurde die Software (StarLogger) von Mohamed Hassan.

While setting up a new Samsung computer laptop with model number R525 in early February 2011[...] I installed licensed commercial security software and then ran a full system scan before installing any other software. The scan found two instances of a commercial keylogger called StarLogger installed on the brand new laptop. Files associated with the keylogger were found in a c:\windows\SL directory. [1]

Der installierte Keylogger hat dabei den Standard-Umfang, den man bei Keyloggern halt so kennt:

Do you want to know what your buddy, colleague or employee is typing? What are they doing on the computer? StarLogger records every keystroke made on your computer on every window, even on password protected boxes. This key Logger is completely undetectable and starts up whenever your computer starts up. See everything being typed: emails, messages, documents, web pages, usernames, passwords, and more. StarLogger can email its results at specified intervals to any email address undetected so you don’t even have to be at the computer your are monitoring to get the information. The screen Capture images can also be attached automatically to the emails as well as automatically deleted.[2]

Nach der Entdeckung des Keyloggers hat das System gesäubert. Außerdem hat er festgestellt, dass die Installation des Keyloggers schon bei Samsung passiert sein muss.

After an in-depth analysis of the laptop, my conclusion was that this software was installed by the manufacturer, Samsung.[1]

Wegen Problemen mit der Grafikkarte hat er dann sein Notebook umgetauscht. Auf dem neuen Laptop, ein anderes Modell aber wieder von Samsung, fand er wieder den gleichen Keylogger vorinstalliert. Nach einigen Anrufen bei Samsung und den Standard-Antworten (“nicht unsere Schuld, Microsoft wars!”) hat er dann eine sehr erstaunliche Antwort vom Abteilungsleiter des Samsung Supports bekommen:

The supervisor who spoke with me was not sure how this software ended up in the new laptop thus put me on hold. He confirmed that yes, Samsung did knowingly put this software on the laptop to, as he put it, “monitor the performance of the machine and to find out how it is being used.”[3]

Da werden Erinnerungen an Sony wach…

http://www.heise.de/newsticker/meldung/Sony-BMGs-Kopierschutz-mit-Rootkit-Funktionen-143366.html

Quellen:

[1]: http://www.networkworld.com/newsletters/sec/2011/032811sec2.html

[2]: http://www.brothersoft.com/starlogger-26184.html

[3]: http://www.networkworld.com/newsletters/sec/2011/040411sec1.html

Irgendwie muss man die tägliche Informationsflut im Internet organisieren. Dazu gibt es unterschiedliche Möglichkeiten: Twitter, Soziale Netzwerke, RSS,…

Ich persönlich habe mich für letzteres entschieden. Besonders geschickt ist dabei eben der Online-Reader von Google. Wenn täglich an 2-3 verschiedenen Rechnern sitzt, macht eine lokale Installation eines RSS-Reader keinen Sinn.

Perfekte Situation für Online-Reader, z.B. Google Reader.  Naja, muss aber nicht unbedingt der Google Reader sein. Es gibt durchaus Alternativen die sich sehen lassen können, eine davon will ich hier vorstellen:

Tiny Tiny RSS

Tiny Tiny RSS ist ein in PHP geschriebener RSS-Reader, den man auf seinen Webspace oder Server installiert und damit seine RSS-Feeds organisiert.

Die Datenübernahme aus dem Google Reader ist möglich. Dazu muss man im Google Reader einfach die Subscriptions als OMPL exportieren und im Tiny Tiny RSS importieren. Ob das so problemlos funktioniert, kann jeder selbst probieren.

Ich persönlich habe die die Gelegenheit genutzt und einige Blogs aussortiert.

Installation

Die Installation erfolgt (noch?) nicht in einer Installationsoberfläche, wie man von anderen großen Projekten vielleicht gewohnt ist. Um Tiny Tiny RSS zu installieren muss zuerst manuell eine Datenbank angelegt und dann das Schema der Datenbank hochgeladen werden. Dazu bietet Tiny Tiny RSS unter schema/ttrss_schema_mysql.sql oder ttrss_schema_pgsql.sql jeweils die fertigen Schemata jeweils für MySQL oder PostgreSQL.

Anschließend müssen die Datenbank-Verbindungsdaten in die config.php eingetragen werden:

define(‘DB_TYPE’, “pgsql”); // or mysql
define(‘DB_HOST’, “localhost”);
define(‘DB_USER’, “fox”);
define(‘DB_NAME’, “fox”);
define(‘DB_PASS’, “XXXXXX”);

Damit ist die Installation erledigt.

Debugging

Wer keine Kategorien im Tiny Tiny RSS nutzen will, oder bei wem das Erstellen von Kategorien schon funktioniert, kann diesen Schritt überspringen. Alle anderen müssen noch eine Zeile im Quellcode von Tiny Tiny RSS verändern.

Da TTRSS anfangs bei mir keine Kategorien erstellen wollte, habe ich mich auf die Suche nach dem Bug gemacht und bin auf folgendes gestossen:

In der Datei “modules/pref-feeds.php” in Zeile 1040 erfolgt eine Überprüfung ob sich die TTRSS-Installation im Demo-Mode befindet. Laut der Config-Datei ist diese Funktion aber schon hinfällig.

define(‘WEB_DEMO_MODE’, false);
// Demo mode with reduced functionality.
// Warning: this option is obsolete. Don’t rely on it being
// checked in all necessary places.

Eigentlich sollte diese Überprüfung keine Probleme verursachen.  Allerdings behebt das entfernen der Zeile (und der entsprechenden schließenden Klammer) den Bug.

Damit lassen sich dann im Administrationsmenü wie gewohnt Kategorien erstellen.

Die Kategorien sind standardmäßig nicht aktiviert und müssen in den Einstellungen unter “Feedkategorien aktivieren” aktiviert werden.

Konfiguration

Der wichtigste Konfigurationspunkt ist die automatische Abholung der Feeds. Dau habe ich einen Cronjob eingerichtet, der alle 10 Minuten läuft und die Feeds abholt.

Dazu einfach den Befehl

/usr/bin/wget –quiet –output-document=/dev/null “http://www.url-zum-reader.de/ttrss/backend.php?op=globalUpdateFeeds&daemon=1″

im Cronjob hinterlegen.

Andere Möglichkeiten die Feeds regelmäßig abzuholen bietet TTRSS unter http://tt-rss.org/redmine/wiki/tt-rss/UpdatingFeeds.

Abschließend noch einige Hinweise zu den Einstellungsmöglichkeiten. TTRSS bietet viele Features, die der Google Reader auch bietet.

1) Als gelesen markieren beim scrollen. Kann unter “Einstellungen = > Artikel automatisch als gelesen markieren” aktiviert werden.

2) Artikel veröffentlichen. TTRSS bietet die Möglichkeit Artikel mit und ohne Notiz für andere Leute zu veröffentlichen. TTRSS bietet dazu pro User  einen eigenen RSS-Feed für “Veröffentlichte Artikel” an. Unter jedem Artikel ist dazu ein RSS-Symbol bzw. ein Notizzettel-Symbol vorhanden.

3) Artikel starren. Wie im Google Reader ist es möglich Artikel vorzumerken um sie später zu lesen oder um sie später wieder leichter finden zu können. Dazu gibt es unter jedem Artikel einen entsprechenden Button. (Stern)

4) Multiusersupport abschalten

define(‘SINGLE_USER_MODE’, true);

fügt man in der config.php obige Zeile ein, schaltet man den Multiusersupport aus. Damit verschwindet auch die Passwortabfrage beim Aufruf des Readers.

(c)-Zeitung-Bild: Pixelio / Jetti Kuhlemann

Nach einem aktuellen Blogartikel  – Staatliche SSL MITM Angriffe – erscheint die heutige Meldung bei Heise “Verwaistes Root-Zertifikat sorgt für Verwirrung” gleich in einem ganz anderen Licht. CIA? FBI oder Homeland? Für wen wurde dieses Zertifikat wohl ausgestellt?

Kurz zum Löschvorgang:

Extras => Einstellungen => Erweitert => Zertifikate anzeigen => “RSA Security Inc” expandieren und “RSA Security 1024 v3″  löschen.

Ich will das nur mal festhalten… Damit die folgenden Generationen von Internetnutzern wissen, an welchen Fronten die Internetnutzer im Jahr 2010 kämpfen mussen.

Wenn es nicht illegal wäre (ist es das?), würde ich mir den Film kurz runterladen. Aber so warte ich halt noch 43 Minuten…. hoffentlich vergisst der Prakitant im ARD-Mediawahnthek-Rechenzentrum nicht, den Film freizuschalten… :->

Dieser Artikel basiert auf einer Veröffentlichung von Sid Stamm und Christopher Soghoian. S. Quelle (unten).

Nur kurz ein Überblick über den grundlegenden Aufbau von SSL:

SSL chain of trust

In der SSL pki gibt es drei Arten von Zertifikaten:

root CA:  Diese sind meist in Browsern hinterlegt. Das ist die s.g. Wurzelinstanz. Davon gibt es viele verschiedene.

intermediate CA: Die vorher genannte Wurzelinstanz vertraut diesen Zwischeninstanzen. Mit diesen Zwischeninstanzen können SSL-Zertifikate für alle Websites erstellt werden.  Kann der Browser die Vertrauenskette (chain of trust) bis zur in seiner Datenbank hinterlegten Wurzelinstanz (root CA) zurückverfolgen, wird dem SSL-Zertifikat vertraut und die bekannten blauen, grünen Balken und Vorhängeschlösser werden angezeigt um dem Nutzer eine verschlüsselte Verbindung anzuzeigen.

untrusted CA: CAs denen werder eine intermediate CA noch eine root CA vertraut, nennt sich untrusted CA. Hat eine Webseite ein solches Zertifikat hinterlegt, kommt die bekannte Meldung, dass “dieser Verbindung nicht getraut” wird.

Für den Endnutzer gibt es keinerlei Unterschied zwischen root CA und intermediate CA. Beide veranlassen den Browser eine “sichere” Verbindung anzuzeigen.

Dadurch könnte TÜRKTRUST ein Zertifikat für banking.postbank.de, obwohl das echte Zertifikat eigentlich von Verisign kommt. Bei beiden Zertifikaten würde der Browser eine sichere Verbindung zu banking.postbank.de anzeigen.

Staatliche SSL MITM-Angriffe

Sid Stamm und Christopher Soghoian haben in einem Paper einen neuen “Angriff” auf SSL vorgestellt den sie “compelled certificate creation attack” nennen.  Dieser kann vor allem von Geheimdiensten eingesetzt werden um mit SSL verschlüsselte Verbindungen zu überwachen.

Es gibt diverse interessante Punkte in dem Paper:

Chrome, Safari und der Internet Explorer setzen alle auf die im Windows  Trusted Root Store hinterlegten Zertifikate. Besonders pikant an dieser Tatsache ist, dass folgende staatliche root CAs standardmäßig hinterlegt sind:

Österreich, Brasilien, Finnland, Frankreich, Hong Kong, Indien, Japan, Korea, Lettland, Macao, Mexico, Portugal, Serbien, Slowenien, Spanien, Schweiz, Taiwan, Niederlande, Tunesien, Türkei, USA, Uruguay

Firefox hat eine eigene Datenbank für root CAs.

Im Paper wird auch ein Beispiel angegeben, was durch die Integration von staatlichen root CAs  möglich wäre:

As an example of what is currently possible,should it do so, the Korean Information SecurityAgency can create a valid SSL certificate for the Industrial and Commercial Bank of China (whose actual certificate is issued by VeriSign, USA), that can be used to perform an effective man-in-the-middle attack against users of Internet Explorer.

s. Quelle

Dieses Szenario halten die Forscher aber für eher unwahrscheinlich, da durch die Nutzung des eigenen staatlichen Zertifikats zu viele Spuren auf den abgehörten Rechnern bleiben würden.

Für viel wahrscheinlicher halten es die Forscher, dass Zertifizierungsstellen durch gesetzliche Regelungen und Geheimdienste dazu aufgefordert werden ihnen bei der Überwachung behilflich zu sein. Die Forscher nennen Beispiele aus den USA, bei denen diese Hilfestellung durch Telekommunikationsanbieter schoneinmal geschehen ist:

Examples of compelled assistance using these statutes include a secure email provider that was required to place a covert back door in its product in order to steal users’ encryption keys, and a consumer electronics company that was forced to remotely enable the microphones in a suspect’s auto-mobile dashboard GPS navigation unit in order to covertly record their conversations.

s. Quelle

Dass diese Szenarien durchaus real sein können,  wollen die Forscher auch beweisen. Im Oktober 2009 war einer der Autoren auf einer Konferenz in Washington, D.C., die die gesetzmäßige TK-Überwachung zum Thema hatte.

Eine der Firmen, die auch auf dieser Konferenz waren (Packet Forensics), hat dort die s.g. LI-5 Serie vorgestellt. Ein kleines Gerät, welches das “Internet Cafe Problem” ideal lösen soll:

The 5-Series is an ideal solution to the “Internet Cafe Problem”. Quick deplyment and remote control minimize personnel risk and maximize collection capabilities.

(Zitat aus dem Werbeprospekt,s. Quelle)

Interessant an dem Gerät sind die Features:

• Es kann ein- und ausgebaut werden, ohne dass der Netzwerkverkehr merklich gestört wird. (Auch bei Ausfall der Hardware)
• “Supports stealth upstream reporting (practically undetectable)”
• Es kann, um TLS / SSL-Verbindungen zu entschlüsseln und zu protokollieren,  ein valides Zertifikat hinterlegt werden. Da wurde quasi SSLStrip auf dem Gerät implementiert:

“Packet Forensics’ devices are designed to be inserted-into and removed-from busy networks without causing any noticeable interruption [...] This allows you to conditionally intercept web, e-mail, VoIP and other traffic at-will, even while it remains protected inside an encrypted tunnel on the wire. Using ‘man-in-the-middle’ to intercept TLS or SSL is essentially an attack against the underlying Diffie-Hellman cryptographic key agreement protocol [. . . ]To use our product in this scenario, [government] users have the ability to import a copy of any legitimate key they obtain (potentially by court order) or they can generate ‘look-alike’ keys designed to give the subject a false sense of confidence in its authenticity.”

(Zitat aus dem Werbeprospekt, s. Quelle)

Auf der Webseite von Packet Forensics ist die LI-5 Serie nur mit Username und Passwort zu erreichen:

http://www.packetforensics.com/products.safe

In dem Paper (Quelle) sind allerdings Scans von Werbeprospekten dabei, von denen auch die oben zitierten Texte stammen.

Weiter geht es in dem Paper auch um VeriSign und Etisalat und deren eventuelle Kooperation mit staatlichen Behören. Da bringen die Autoren allerdings keine echten Beweise sondern eher Vermutungen ins Spiel.

Wie die Situation in Deutschland ist, bleibt leider noch offen. Eine Bundes – CA ist scheinbar nicht in den Browsern integriert. Ob root CA-Anbieter in Deutschland dazu gezwungen werden können für bestimmte Domains  Zertifikate (oder gar komplette intermediate CAs) auszustellen, wird hoffentlich bald untersucht und veröffentlicht.

Quelle

http://files.cloudprivacy.net/ssl-mitm.pdf

Kein Problem. Entweder man nutzt die Möglichkeit, die ESET anbietet:

http://www.eset.eu/support/faq?inc=953#953

oder man löscht im abgesicherten Modus einfach folgenden RegKey:

HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Info\PackageID

Unbestritten: Dienste wie Dropbox sind wirklich praktisch. Man hat seine Daten auf seinen diversen Rechnen mit evtl. sogar unterschiedlichen Betriebssystemen immer synchronisiert.

Trotzdem bleibt ein fader Beigeschmack: Man läd immerhin seine Daten, auch wenn sie nicht die Privatsphäre oder gar die Imtimsphäre betreffen, irgendwo in die Wolke und vertraut sie so einem amerikanischen Unternehmen an …

Doch das muss nicht sein.

Erstellt man mit TrueCrypt einen Container in seinem persönlichen Dropbox-Ordner wird dieser Container natürlich synchronisiert.  Anschließend, bevor man nun den Container mountet, sollte man noch kurz in den Einstellungen von TrueCrypt vorbeischauen und überprüfen, ob folgender Haken gesetzt ist:

Ist dieser Haken nämlich gesetzt, synchronisiert Dropbox nicht jedes mal den kompletten Container sondern immer nur die Änderungen. Damit lassen sich auch größere Container einfach mit Dropbox händeln.

Schon vor längerer Zeit bin ich auf den Multimessenger Digsby gestossen… Die Installationsroutine sah damals noch so aus:

Mal ehrlich. Es ist ein Wunder, dass sich nach diesem Crapware-Installationmarathon auf der großen weiten Welt noch jemand gefunden hat, der das Ding wirklich installiert und genutzt hat.

Da ich in letzter Zeit schon über 2 Blogposts gestolpert bin, die das Ding empfohlen haben habe ich Digsby nochmal eine (kleine) Chance gegeben.

Die erste Neuerung springt direkt ins Auge – der Installer erschlägt nicht mehr mit 6 verschiedenen Adware-Installationsangeboten. Stattdessen soll nur noch eine ASK-Toolbar installiert werden.

Naja, ohne ASK-Toolbar wäre es besser. Dass eine Toolbar-Installation abgehakt werden muss, ist man inzwischen von vielen Programmen leider gewohnt.

Am Ende hat man dann noch die Möglichkeit zwei Optionen abzuwählen… und da wird es interessant.

“Allow Digsby to use idle CPU time for grid computing”.  Wer diesen per default aktivierten Haken nich wegmacht, nimmt automatisch an PluraProzessing teil. Quasi ein Seit@Home oder Folding@Home, allerdings natürlich auf komerzieller Basis. Soll heißen, da werden nicht Moleküle gefalten oder Aliens aufgespürt sondern Aktienkurse analysiert oder das Internet gecrawlt:

• Oil & gas exploration algorithms
• Financial modeling
• Bioinformatics
• Web crawling and Internet analysis
• Fluid dynamics
• And many others

Welche Firmen konkret hier Grind Computing betreiben, also Laufzeit bei Plura Processing einkaufen, ist nirgends zu finden. Möglicherweise berechnet ja grade dein Disby-Client eine neue Modedroge?

Nach einem Protest-Post von Lifehacker (siehe Link unten) wurde die Installationroutine geändert und mehr Informationen zu diesem Grind Computing eingebaut.  Trotzdem werde ich mir Disgby nicht auf meinen Rechnern installieren – dafür hat mich die alte Installationsroutine zu sehr abgeschrekt und die neuen Verdienstmethoden sind mir zu zwielichtig. (Auch wenn man sich austragen kann, indem man den Haken wegmacht).

Übrigens arbeitet Plura Processing auch viel mit Flash- und Javaspiele-Entwickler zusammen. Da werden dann, während man im Browser Spiele spielt, im Hintergrund Daten ausgewertet. Durchaus eine interessante Verdienstmethode die wahrscheinlich für Webseiten wie Youtube, die die Nutzer schonmal einige Minuten binden können, interessant ist.

Möge jeder selbst entscheiden, ich bleibe in diesem Fall bei freier Software.

Digsby hat in der Vergangenheit schon zu große Fehler gemacht, um sich jetzt mit etwas weniger offensichtlich bescheidenen Verdienstmethoden aus der Affäre zu ziehen.

Weiterführende Links

• Lifehacker zu Digsby
• Digsby-Doku zum Research Module
• Digsby zu seinen Verdienstmethoden

Vielleicht findet es ja jemand interessant oder braucht Denkanstöße beim Programmieren ähnlicher Projekte. Momentan liest das Programm das Sudoku noch nicht aus einer Datei aus, das kommt aber noch.

Programmiert ist der Löser in C und er probiert die Lösung über Backtracking durch.

Ist auf jeden Fall ein interessantes Projekt, falls man mal was zum auffrischen seiner Programmierkenntnisse sucht

Download:

http://www.it-blogger.net/files/sudoku/sudoku.h

http://www.it-blogger.net/files/sudoku/sudoku.c

30 Seiten Projektarbeit in einen Blogpost zusammenfassen? Geht. Wenn man nur das ganze BWL-Gedöhns, IST- und SOLL-Zustand Zeug mal vergisst.

Ausgangsituation ist eine nackte Debian-netinst-Installation ohne Desktop-System. Darauf soll nun ein Squid, der gegenüber einem Active Directory eine Authentifizierung der Benutzer macht.

Los gehts:

Installation

Im ersten Schritt werden folgende Pakete über “apt-get install Packetname” installiert:

• gcc

• g++

• make

• ssh

• tcpdump

• emacs

• psutils

• ldap-utils

Wer ICAP braucht, also beispielsweise um einen Virenscanner zwischen zu schalten, sollte Squid an dieser stelle manuell kompilieren. Um die nötigen Helfermodule hinzuzufügen sind folgende Schalter konfigurieren nötig:

./configure –enable-icap-client –enable-basic-auth-helpers=LDAP –enable-external-acl-helpers=LDAP

Die Helfermodule werden, afaik, bei einem apt-get install squid3 mit installiert. Der ICAP-Support wird in diesem Fall aber nicht installiert. Für dieses Tutorial sollte also ein einfaches apt-get install squid3 reichen.

Squid Konfiguration

Begebt euch nun auf die Suche nach eurer squid.conf. Falls ihr keinen Prefix beim ./configure angegeben habt, lautet der Standardpfad /usr/local/squid/etc/squid.conf. Falls ihr über apt-get installiert habt, findet ihr die squid.conf unter /etc/squid/squid.conf.

(weiterlesen…)