PCFreak Logo (c) Der PCFreak

Archive for the 'Cloud' Category


Dropbox Uploader für die Windows Shell – cmd.exe 2

Aktualisierung vom 20.09.2012.

Dropbox hat seine API geändert. Der Zugriff muss nun per Token erfolgen. Andrea Fabrizi hat wie immer ein tolls Script für Linux geschrieben. Danke der Hilfe von Drazen Petrek kann man nun Andrea’s Skript direkt auch unter Windows verwenden. Es ist lediglich eine minimale Cygwin-Umgebung und eine kleine Batch-Datei notwendig.

Alle notwendigen Files habe ich zusammengezippt und sie hier zum Download bereitgestellt.

PCFreak 2012

Dieser Artikel wurde bereits im Juni 2011 geschrieben und ist nicht mehr gültig!
Kürzlich musste ich auf der Kommandozeile (unter Windows) etwas in eine Dropbox laden. Ich fand jedoch nur ein BASH-Skript (Linux) von Andrea Fabrizi im Dropbox Wiki. Also musste ich mir selbst was schreiben. Einige Tage später hatte ich es geschafft, eine Batch-Datei zu basteln, die unter Zuhilfename einiger freier Tools (curl.exe|grep.exe|sed.exe|tr.exe|libeay32.dll|libiconv2.dll|libintl3.dll|libssl32.dll|pcre3.dll|regex2.dll) in der Lage ist einen Dropbox Upload aus einer cmd.exe heraus zu tätigen.

Ich habe das Skript im Dropbox Addon Wiki veröffentlicht, ihr könnt hier die Details nachlesen.

Ein digitales Leben in einer Minute zerstört Kommentare deaktiviert für Ein digitales Leben in einer Minute zerstört

Freitag, 03. August 2012
2 Hacker wurden auf ein sehr interessantes Twitter-Handle (@mat) aufmerksam und dachten sich: „3 Buchstaben, wie nett, den Account möchte wir haben“.
Sie fanden heraus, dass der Twitter-Account zu mhonan@gmail.com gehört. Ihr Hauptziel war also, diese E-Mail-Adresse zu kapern um dann den Twitter Account übernehmen zu können.

Also die ganze Motivation für den nun beschriebenen Hack war nur die Kontrolle über diesen sehr kurzen (3 Buchstaben) Twitter Account zu erlangen.

17.00 Uhr
Am Freitag, den 03. August spielt Mat Honan mit seiner Tochter, als plötzlich sein iPhone herunterfährt. Er steckt das Telefon ans Ladegerät, es bootet neu und ist auf Werkszustand. Mat vermutet ein Softwareproblem und möchte das Telefon per iCloud restoren. Seine Apple-ID wird nicht akzeptiert.

… einige Stunden vorher …
Hacker googlen nach „Mat Honan“ und finden das, was sie suchen per WHOIS.

person: Mathew Honan
email: mhonan@gmail.com
address: 1559B Sloat Blvd
address: #308
city: San Francisco
state: CA
postal-code: 94132
country: US
phone: +1.4158940373

GOOGLE 1
Die Hacker versuchen ein Password-Reset bei Google. Dort sehen sie, dass die hinterlegte 2. E-Mail-Adresse wie folgt lautet:

m••••n@me.com

Es lässt sich sehr leicht nachvollziehen, dass die Adresse vermutlich

mhonan@me.com

ist. Um also den Twitter-Account zu übernehmen müssen die Hacker den Gmail Account übernehmen. Um den Gmail-Account zu übernehmen müssen sie den Account bei Apple (@me.com) übernehmen.

KEINE UNLÖSBARE AUFGABE, WIE WIR GLEICH ERFAHREN WERDEN.

AMAZON 1
Die Hacker generieren sich eine Kreditkartennummer, die einer Syntax-Prüfung standhält und rufen bei Amazon an. Sie geben sich als Mathew Honan aus und fügen die Kreditkartennummer zum Account hinzu.
Um sich zu legitimieren benötigen sie lediglich die korrekte Rechnungsadresse:

Mathew Honan
1559B Sloat Blvd
94132 San Francisco CA

Danach legten sie auf.

AMAZON 2
1 Minute später rufen die Hacker erneut bei Amazon an, diesmal ist natürlich ein anderer Mitarbeiter dran. Diesem Mitarbeiter erzählt der Hacker (der sich wieder als Mathew Honan ausgibt), dass er das Passwort für die hinterlegte E-Mail-Adresse nicht mehr wisse und sein Amazon-Passwort vergessen hat.

Das Problem ist einfach zu lösen, indem ein anderer E-Mail-Account zum Amazon-Konto hinzugefügt wird. Zur Legitimation verlangt Amazon lediglich die Rechnungsadresse und die letzten 4 Stellen einer der hinterlegten Kreditkarten.

Da die Hacker zu diesem Zeitpunkt sowohl die Rechnungsadresse kennen und die letzten 4 Stellen der vorher selbst hinterlegten Kreditkarte, ist es kein Problem jetzt auch noch einen E-Mail-Account zu hinterlegen, der den Hackern gehört. Nachdem sie nun Zugriff auf den Amazon Account haben, sehen sie auch die letzten 4 Ziffern der tatsächliche Kreditkartennummer von Mathew Honan. Diese werden sie noch brauchen (bei Apple.)

APPLE 1 16:33 Uhr
Die Hacker rufen bei der Applecare Hotline an und geben sich als Mathew Honan aus. Sie kennen weder irgendeine hinterlegte Sicherheitsfrage, noch die dazugehörigen Antworten. Die letzte Möglichkeit an ein temporäres Passwort zu kommen ist, die korrekte Anschrift und die letzten 4 Stellen der Kreditkarte (vorher bei Amazon ausgelesen) anzugeben. Voila! – Diese Information haben die Hacker und sie erhalten Zugriff auf mhonan@me.com. Natürlich wird sofort ein neues Passwort gesetzt.

16:50 Uhr DIE HACKER KONTROLLIEREN NUN DIE APPLE-ID VON MATHEW HONAN!

GOOGLE 2 16:50 Uhr
Da die Hacker nun mhonan@me.com kontrollieren, fordern sie bei GMAIL nun erneut einen Passwort-Reset per Webseite an. Der Link zum Rücksetzen des Passworts wird an mhonan@me.com verschickt und die Hacker übernehmen das GMAIL-Konto.

16:52 Uhr DIE HACKER KONTROLLIEREN NUN MHONAN@GMAIL.COM.

APPLE 2 17:00 Uhr
Die Hacker loggen sich in den iCloud Account mhonan@me.com ein und benutzen „Finde mein iPhone“ um Mathews iPhone remote zu löschen. Um 17:01 Uhr löschen sie Mathews iPad.

TWITTER 1 17:02 Uhr
Die Hacker übernehmen den Twitter Account von Mathew und ändern sein Passwort.

APPLE 3 17:05 Uhr
Um 17:05 Uhr löschen sie Mathews MacBook – Danke iCloud!

MATHEW IST NUN OFFLINE!

GOOGLE 3 17:06
Die Hacker löschen Mathews Google Account. (mhonan@gmail.com)

TWITTER 2 17:12 Uhr
Die Hacker posten eine Nachricht mit Mathews Account bei Twitter

Clan Vv3 and Phobia hacked this twitter

Das ist nur die Kurzzusammenfassung. Ich empfehle auch die lange Version hier zu lesen oder in gut aufbereiteter Form bei Steve Gibson.

Obige Methoden wurden von mehreren Reportern verifiziert und haben auch bei ihnen funktioniert. Amazon hat mittlerweile bestätigt, dass das Hinzufügen von Kreditkarten so einfach nicht mehr funktionieren wird und hat seine Sicherheitsrichtlinien geändert. Apple hat zumindest temporär reagiert, hier habe ich noch keine detailierteren Informationen.

Überlegen sie selbst, wie „verzahnt“ ihre Accounts sind und ob es wirklich notwendig ist, alle Informationen über sich im Internet verfügbar zu machen.

Links: How Apple and Amazon Security Flaws Led to My Epic Hacking

Abspeichern des Passworts für WebDAV Laufwerk nicht möglich Kommentare deaktiviert für Abspeichern des Passworts für WebDAV Laufwerk nicht möglich


Problem:
Unter Windows kann man neuerdings auch Netzlaufwerke zu WebDAV-Freigaben verbinden. Bei der Verbindung wird man nach dem entsprechenden Passwort gefragt und kann das Passwort auch im Verbindungsdialog zum Abspeichern anhaken. Leider funktioniert das Ganze aber anscheinend nicht und man muss beim Wiederverbinden das Passwort jedes Mal neu eingeben.
Wenn man aber im zentralen Passwortmanager nachsieht, ist das Passwort vorhanden, die Ursache muss also woanders liegen, da das Problem nur auftritt, bei WebDAV-Servern, die sich außerhalb des lokalen Netzwerks, also z.B. im Internet befinden.
Ich habe zunächst ein wenig mit dem Process Monitor mitgesnifft und bin bis zum Dienst „WebClient“ und dem (bei mir nicht vorhandenen Schlüssel „AuthForwardServerList“ gekommen, hab dann aber durch googlen einen Microsoft Artiekl gefunden. Micrsoft KB 943280 You are prompted to enter your credentials when you access a FQDN site from a computer that is running Windows Vista or Windows 7 and has no proxy configured.

Kurz zusammengefasst lautet die Lösung folgendermaßen:

  1. Den Registry Editor (regedit) als Administrator starten
  2. Folgenden Schlüssel aufrufen „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WebClient\Parameters“
  3. Neuen Multi-String-Wert mit dem Namen „AuthForwardServerList“ anlegen.
  4. Im neu erstellten Schlüssel können nun die externen Adressen eingetragen werden.

Windows nimmt sobald die URL einen „.“ im Servernamen enthält, dass dieser außerhalb des lokalen Netzwerks liegt und „darf“ nach außen keine Zugangsdaten verschicken. Mit obigem Eintrag funktioniert das Ganze problemlos. Ich rate aber nur „https“-Links einzutragen und keinesfalls Wildcards (*) im Domain-Namen zu verwenden um zu verhindern, dass Passwörter im Klartext ins Internet geschickt werden.

Telekom bietet 25GByte Cloudstorage – auch für Nichtkunden Kommentare deaktiviert für Telekom bietet 25GByte Cloudstorage – auch für Nichtkunden

Die Telekom bietet (auch Nichtkunden) 25GByte Cloudstorage an.
Demnächst sollen auch NAS-Geräte (z.B. von LG) erscheinen, die automatisch mit der Telekom-Cloud synchronisieren können.

In ihrem TV-Spot erklärt die Telekom noch einiges dazu:

Der TelekomCloud TV Spot „Zeitreise“

via stadt-bremerhaven.de

FTPbox – Your files boxed Kommentare deaktiviert für FTPbox – Your files boxed


Filesync-Tools wie z.B. Dropbox sind praktisch, oft aber traut man dem Anbieter nicht über den Weg. Warum also so etwas nicht selber nachbauen?
Mit einem eigenen FTP-Server und dem Open-Source-Programm FTPbox ist das kein Problem.

Nach dem Start des Programms muss man nur die Zugangsdaten zum FTP-Server eingeben und einstellen, welcher lokale Ordner synchron gehalten werden soll.

Ein großer Nachteil von FTPbox ist, dass es derzeit nur unter Windows funktioniert und das .NET Framework 4 benötigt.

Ich wollte es hier trotzdem mal erwähnt haben, da man gelegentlich ja mal schnell eine Lösung aus dem Ärmel schütteln muss.

ADrive – kostenloser 50GB Online-Speicher 1


Gleich vorneweg, der kostenlose „Storage Plan“ von ADrive ist unverschlüsselt und bietet nicht mal SSL-Verschlüsselung, aber man erhält 50GB Online-Speicher gratis. ADrive ist also bestens geeignet, nicht geheime Dokumente mit anderen Benutzern zu teilen, sonst nichts.

Natürlich kann man mit TrueCrypt oder LockNote verschlüsselte Drives und Textdateien anlegen, aber man hat eben wieder den entsprechenden Mehraufwand.

Alternativ kann man natürlich auch die kostenpflichtigen Angebote von ADrive nutzen, diese enthalten dann z.B. auch:FTP-Zugang

  • File History Recovery
  • ADrive Desktop for Windows, Mac & Linux
  • SSL Verschlüsselung
  • WebDAV Zugriff
  • Mehrere gleichzeitige Sessions
  • 24/7 Support
  • keine Werbung

Mehr dazu auf der Übersichtsseite von ADrive.

wuala – Gute Dropbox Alternative Kommentare deaktiviert für wuala – Gute Dropbox Alternative


Wuala ist der sichere Online-Speicher aus der Schweiz, der alle Anforderungen an die professionelle Datenspeicherung deckt. Benutzer können ein automatisches Backup erstellen, Dateien synchronisieren, speichern, teilen und von überall darauf zugreifen. Wuala bietet ein einzigartiges Sicherheitskonzept, das sich klar von anderen Online-Speicher-Anbietern unterscheidet. Alle Dateien werden direkt auf dem Computer des Benutzers verschlüsselt und das Kennwort wird nicht übertragen. Ohne Berechtigung kann niemand – nicht einmal Wuala/LaCie als Anbieter – auf die Dateien der Benutzer zugreifen. Zusätzlich stehen Wuala’s Rechenzentren ausschliesslich in Europa (Schweiz, Deutschland, Frankreich). Wuala’s Technologie wurde an der ETH Zürich (Eidgenössische Technische Hochschule Zürich) in der Schweiz entwickelt. Wuala wird von der LaCie AG in Zürich entwickelt und betrieben.

Supportete Plattformen sind

  • Windows
  • Linux
  • Mac
  • Android
  • iOS

Ich konnte Wuala Version für Windows und Linux testen. Sehr gefallen hat mir die Backup-Funktion. Hier kommt Wuala auch als Ersatz für Carbonite oder Jungledisk in Frage. Für Linux gibt es auch gleich eine passende wualacmd, welche bei mir problemlos auf einem headless Ubuntu Server (64bit) lief.

Man startet standardmäßig mit 1Gb Speicherplatz. Mit diesem Link, bzw. dem Code JK5NJCBA46PAFMJG3FPM könnt ihr euch ein weiteres Gigabyte sichern. Man findet auch diverse Promotion Codes im Internet, mit denen man den Platz schnell auf über 15Gb aufgebohrt hat, allerdings in der Regel nur für 1 Jahr. Die Kauf-Variante liegt preislich ähnlich wie Dropbox bei ca. 99$/Jahr für 100Gb und ist also auch als Backup für die Familienfotos geeignet. Der absolute Unterschied zu anderen Anbietern wie Dropbox ist eben die Verschlüsselung. Der Anbieter kann meine Daten nicht lesen und das ist mir etwas wert! Das ermöglicht dann auch ein weiteres Modell zur Platzerweiterung. Man kann (vorausgesetzt der eigene Rechner ist ca. 4h täglich online) einen Teil seiner Platte zum Speichern für andere freigeben, erhält dafür aber mehr eigenen Speicher bei Wuala.

Ich habe Steve Gibson mal einen Link zu Wuala getwittert, vielleicht wirft er in einer seiner nächsten Sendungen mal einen Blick darauf.

Mehr Info zur Technik gibts auf der Technologieseite von Wuala.

Hier noch ein kleines Video über die Sicherheit von Wuala

Security and Privacy

OnGuardOnline – Amerikanische Website zur Computersicherheit 2

Die Amerikaner machen es uns vor. Sie haben mit der Website onguardonline.gov ein tolles Portal geschaffen, wenn es um die Themen „Internetbetrug“, „Computesicherheit“ und „Schutz von persönlichen Daten“ geht. Die Webseite ist toll gegliedert und bietet zu jedem Thema Videos, Anleitungen und jede Menge Material zum Herunterladen.
Zu einigen wichtigen Punkten gibt es auch kleine Spiele. Es gibt auch speziell auf Teenager abgestimmte Dokumente, die Eltern nutzen können, um ihren Kindern „Computersicherheit“ als Thema näher zu bringen.

Leider ist die Seite nur in Englisch und Spanisch verfügbar, jedoch ist der Inhalt absolut Spitze.

Sehr spassig gemacht sind auch die Videos. Mir gefallen besonders die „Phishy Videos„:

MxToolbox – Das Werkzeug für alles rund um E-Mail-Diagnose Kommentare deaktiviert für MxToolbox – Das Werkzeug für alles rund um E-Mail-Diagnose


Ich bin auf eine sehr interessante Seite gestoßen. MxToolbox . Dort gibt es diverse Tools (als Webseite), die man speziell bei der Diagnose von E-Mail-Problemen zur detailierten Analyse braucht. Mit ihm kann man folgende Themen prüfen/testen: MX-Einträge, Blacklist-Einträge, SMTP Port 25, DNS.

Mit dem „SuperTool“ werden alle Tests in einem „Tool“ vereint.

Die Seite bietet außerdem (nach kostenloser Registrierung) ein kostenloses Monitoring an und zwar:

  • Blacklist Monitoring
  • Verfügbarkeits Monitoring
  • Performance Monitoring

Man sollte bei der Registrierung natürlich keine E-Mail-Adresse verwenden, die von dem System verwaltet wird, welches man überwachen will, da bei einem Ausfall des Mailservers diese Information sicherlich nicht per E-Mail zugestellt werden kann.

Mehrere DynDNS/OpenDNS Accounts mit Fritz!Box aktualisieren 4

Die AVM Fritz!Box unterstützt im Originalzustand (ohne irgendwelche Mods oder manuelles „Frisieren“) nur die Möglichkeit einen „Dynamic-DNS-Anbieter“ bei einer Änderung der öffentlichen IP-Adresse zu aktualiisieren. Dazu gibt es im Web-Interface der Box (ich spreche von einer AVM Fritz!Box 7170 mit Firmware 29.04.80) unter Erweiterte Einstellungen -> Internet -> Freigaben den Punkt Dynamic DNS.
Wenn man nun wie ich z.B. einen DynDNS-Account hat und zusätzlich bei OpenDNS angemeldet ist und auch dort die aktuelle IP der Fritz!Box kundtun möchte, hat man mit Bordmitteln der Box ein Problem, da man nicht 2 Anbieter gleichzeitig aktualisieren kann.
Abhilfe schafft der Dienst DNS-O-Matic. Dort kann man sich einen Account anlegen und dann unter diesem alle weiteren einpflegen. Die Fritz!Box aktualisiert dann nur noch den DNS-O-Matic-Account und DNS-O-Matic aktualisiert alle weiteren. Über Umwege also mehrere Dynamic-DNS-Provider auf einmal erschlagen.
Soviel zur Theorie. Jetzt kommt die Praxis.
In der Fritz!Box wählt man als DynDNS-Provider „Benutzerdefiniert“ und muss dann folgende Parameter angeben:

  Update-URL   : http://updates.dnsomatic.com/nic/update?hostname=all.dnsomatic.com&myip=<ipaddr>&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG
  Domain-Name  : localhost
  Benutzername : username@mail.tld
  Kennwort     : Kennwort
  Kennwortbest.: Kennwort

Dabei sagt all.dnsomatic.com aus, dass ALLE Accounts bei DNS-O-Matic aktualisiert werden, nicht nur der erste! localhost geht immer, kann aber auch ersetzt werden durch den DynDNS-Namen (z.B. von dyndns.org). Wichtig der für Domain-Name angegebene Host muss für die Fritz!Box erreichbar sein, sonst gibts Fehlermeldungen im Log. Benutzername und Kennwort sind selbsterklärend. Ich empfehle DRINGEND die Anleitung von DNS-O-Matic hier durchzulesen um zu verstehen, wie das ganze funktioniert! Man muss aber auch verstehen, dass man NICHT all.dnsomatic.com als „Domain-Name“ in der Fritz!Box setzen kann und in der Update-URL dafür <domain>, weil „all.dnsomatic.com“ eben für die Fritz!Box nicht auflösbar ist. Deshalb in der Update-URL hardcoden und als Domain-Name „localhost„, da der ja immer auflösbar ist!
Diese Anleitung funktioniert für eine Fritz!Box 7170 mit Firmware 29.04.80. Bei anderen Firmwareständen kann es sein, dass z.B. die Update-URL ohne „http://“ angegeben werden muss. „https://“ wird meines Wissens beim Dynamic-DNS von der Box (noch) nicht unterstützt.

Nächste Seite »