heise Security – Eine Reise ins RAM
heise Security hat heute einen sehr guten Artikel zur Offline-Analyse eines Windows Rechners per Memory-Dump veröffentlicht. Im Artikel wird sehr genau erläutert, wie man in einem vorher erstellten Memory-Dump eines Windows Rechners „Trojaner“ aufspürt, dabei werden die Tools
- MoonSols Windows Memory Toolkit
- The Volatility Framework: Volatile memory artifact extraction utility framework
eingesetzt und genau beschrieben.
Der Autor Frank Boldewin hat auch eine eigene Homepage, unter reconstructer.org kann man obigen Artikel im englischen Original und weitere sehr interessante Artikel nachlesen.
Strato HiDrive – 5Gb kostenlos + IFA Aktion
Ich benutze nun schon sehr lange ein 100GByte STRATO HiDrive zum Sichern meiner Fotosammlung und bin von den verschiedenen Zugriffsmöglichkeiten (u.a. auch rsync, WebDAV uvm.) absolut begeistert (siehe auch Bild). Wie mir gerade Philipp vom pcliebhaber-Blog mitteilte gibt es jetzt eine kostenlose 5Gbyte Version. Einfach schnell und unkompliziert hier registrieren und schon gehts los. Das schöne daran ist, man kann mehrere Accounts anlegen und somit auch anderen Personen die Möglichkeit geben, Dateien hochzuladen. – Und natürlich gibt es auch die HiDrive-App für Android und diverse kompatible Programme für das iPhone (OverTheAir, Net Portal Lite, ezShare Files).
Auf das STRATO HiDrive lässt sich wirklich plattformunabhängig zugreifen und man merkt, die Jungs von STRATO haben Ahnung!
Momentan läuft übrigens auch eine IFA-Special Aktion zur Funkausstellung. 100 GB Speicher für 1 Jahr nur 1,– € (1)
(1) Aktion bis 30.09.2011: STRATO HiDrive Media 100 für einmalig 1 € im 1. Jahr, danach 6,90 €/Mon.. Mindestvertragslaufzeit 12 Monate. Preise inkl. MwSt.
UPnP Sicherheitslücke bei Internetroutern
Es ist ja bekannt, dass UPnP (Universal Plug & Play) schon auf dem privaten Interface eines Routers eine Sicherheitslücke darstellt und deswegen standardmäßig ausgeschaltet sein sollte. Bei der Fritz!Box ist das z.B. dieses Häkchen:
Ausgeschaltetes UPnP ist natürlich unbequem. Hat man z.B. eine XBox 360, so beschwert sich diese gleich massiv darüber, dass man nun nicht mit anderen Personen (aus dem Internet) spielen kann usw. und man muss die entsprechenden Ports dann manuell öffnen.
Der Sicherheitsanalyst Daniel Garcia hat nun herausgefunden, dass einige Router der Firmen Edimax, Linksys, Sitecom und Thomson auf UPnP Anfragen am öffentlichen Interface des Routers reagieren.
An diesen Geräten können von außen Ports geöffnet werden und zwar ohne Passwort oder Rückfrage (das ist bei UPnP so). Auf der Seite http://www.toor.do/ gibt es einen Scanner, mit dem man angreifbare Router finden kann. Man kann mit diesem Programm auch mal testen, ob der eigene Router angreifbar ist.
Bei angreifbaren Routern können folgende Konfigurationsparameter verändert werden:
SetConnectionType
GetConnectionTypeInfo
ConfigureConnection
RequestConnection
RequestTermination
ForceTermination
SetAutoDisconnectTime
SetIdleDisconnectTime
SetWarnDisconnectDelay
GetStatusInfo
GetLinkLayerMaxBitRates
GetPPPEncryptionProtocol
GetPPPCompressionProtocol
GetPPPAuthenticationProtocol
GetUserName
GetPassword
GetAutoDisconnectTime
GetIdleDisconnectTime
GetWarnDisconnectDelay
GetNATRSIPStatus
GetGenericPortMappingEntry
GetSpecificPortMappingEntry
AddPortMapping
DeletePortMapping
GetExternalIPAddress
Deshalb sollte grundsätzlich UPnP ausgeschaltet werden. Nutzer von betroffenen Routern, die auf UPnP angewiesen sind, sollten unbedingt nach Firmware-Updates bei den entsprechenden Herstellern nachfragen. – Immer nur das Einschalten, was man wirklich braucht!
Linux Installer erkennt Festplatte nicht
Comments(1)
Beim Versuch Linux zu installieren (mehrere Varianten) wurde während des Setups die Festplatte vom Installer nicht erkannt, bzw. es wurde gemeldet „no root filesystem defined“.
Mit fdisk -l war die Festplatte sauber erkennbar.
Ursache war eine im Bootsektor der Festplatte verankerte „ehemalige“ Raid-Konfiguration, da die Festplatte vorher in einem Software-Raid-Verbund war.
Durch die Eingabe von
sudo dmraid -E -r /dev/sda
und
sudo apt-get remove dmraid
wurde die Raid-Konfiguration von der Festplatte entfernt und eine Installation wurde möglich.
USB-Stick Daten unbeschreibbar machen
Als Geek wird man ja das eine oder andere Mal zu einem total mit Viren infizierten PC-Notfall gerufen. Immer gut, wenn man die wichtigsten Tools auf einer CD oder einem USB-Stick dabei hat. Ich persönlich bin eher ein Fan des USB-Sticks, da er einfach handlicher ist und auch leichter zu befüllen. Manchmal fragt man sich aber: „Was, wenn der infizierte Rechner nun meinen USB-Stick infiziert?“
Ein kleiner Trick schafft Abhilfe. Man schreibt einfach mit dem Program „dd“ (die Windows-Version gibt es bei chrysocome.net) ein ISO-File auf einen USB-Stick. Da das ISO9660-Dateisystem per Definition nur lesend ist, wird kein normales Betriebssystem auf diesen USB-Stick schreibend zugreifen können. Theoretisch wäre dies zwar möglich, aber mir sind keine Computerviren bekannt, die so intelligent sind, ein ISO9660-Dateisystem auf einem USB-Stick zur Laufzeit zu modifizieren. Die Methode mit dem ISO9660-Dateisystem ist meiner Meinung nach sicherer als so mancher Schalter an bestimmten USB-Sticks, da diese gelegentlich auch per Software ausgehebelt werden können.
Das ISO-File kann man sich ganz einfach mit seinem Lieblings-CD-Brennprogramm erstellen oder für die Liebhaber der Kommandozeile mit dem Programm „mkisofs“ (Windows Version gibt es in den cdrtools).
Natürlich kann man auch DVD-Images (und somit noch größere Kapazitäten) nutzen und diese mit „dd“ auf Stick schreiben. Möglicherweise auch eine gute Art, „nur lesende“ Sicherungskopien seiner Fotos zu machen? – Jedes Jahr ein Stick und ab damit in den Schrank, fragt sich nur, was hält länger, ein USB-Stick oder eine DVD. Ihr könnt mir ja mal Eure Meinung in den Kommentaren hinterlassen.
Cartoons ueber Internetsicherheit
Ich bin gerade auf eine sehr nette Seite gestoßen, auf der es wunderschöne Cartoons zu den Themen
- Spoofing
- Malware
- Phishing
- Pharming
- Passwords
- Politics
- Fightback
gibt. Die Cartoons sind in Englisch und eignen sich sehr gut, um Sicherheitsprobleme im Internet mit ein paar Bildern zu erklären. Das aktuellste Cartoon kann man auch in die eigene Homepage, z.B. mit folgendem HTML-Code einbinden:
<script src="http://www.securitycartoon.com/today.js"></script>
wobei man natürlich immer vorsichtig sein sollte, wenn man externe Javaskripte einbindet. Ich habe mir mal das RSS-Feed von SecurityCartoon.com in meinen Newsreader eingetragen.
FTPbox – Your files boxed
Filesync-Tools wie z.B. Dropbox sind praktisch, oft aber traut man dem Anbieter nicht über den Weg. Warum also so etwas nicht selber nachbauen?
Mit einem eigenen FTP-Server und dem Open-Source-Programm FTPbox ist das kein Problem.
Nach dem Start des Programms muss man nur die Zugangsdaten zum FTP-Server eingeben und einstellen, welcher lokale Ordner synchron gehalten werden soll.
Ein großer Nachteil von FTPbox ist, dass es derzeit nur unter Windows funktioniert und das .NET Framework 4 benötigt.
Ich wollte es hier trotzdem mal erwähnt haben, da man gelegentlich ja mal schnell eine Lösung aus dem Ärmel schütteln muss.
Duplicati 1.2 – ein flexibles Backup System
Ein vielversprechendes (Cloud-)Backup-System scheint mir das OpenSource-Projekt Duplicati zu sein. Man kann damit lokale Dateien und Ordnern verschlüsselt in verschiedene Ziele sichern. Die dabei unterstützten Ziele sind:
- lokale Ordner
- Netzlaufwerke
- USB-Laufwerke
- FTP-Server
- encrypted SSH Server
- WebDAV
- Strato HiDrive (WebDAV oder SSL)
- Amazon S3
- CloudFiles
- Tahoe-LAFS (Least Authority File System)
Wenn man also Zugriff auf ein solches Ziel hat, kann man nun wunderbar Backup-Jobs einrichten und dank integrierter Bandbreitenregulierung sauber im Hintergrund sichern. Dadurch kann man z.B. kostenpflichtige Dienste wie Carbonite selbst abbilden und hat eine saubere AES256 (eingebaut) oder GNU Privacy Guard (extern) Verschlüsselung.
Es ist also möglich seine Dateien (verschlüsselt) auf einem unverschlüsseltem Speichermedium (z.B. FTP) abzulegen.
Derzeit gibt es Versionen für Windows (x86/x64) und Linux.
Die neueste Preview-Version unterstützt auch:
Ich vermute es wird bald noch mehr unterstützte Systeme geben.
Duplicati ist definitiv ein Projekt, welches ich im Auge behalten werde.
Bei YouTube gibt es ein schönes Video zur Installation und Verwendung von Duplicati.
ADrive – kostenloser 50GB Online-Speicher
Comments(1)
Gleich vorneweg, der kostenlose „Storage Plan“ von ADrive ist unverschlüsselt und bietet nicht mal SSL-Verschlüsselung, aber man erhält 50GB Online-Speicher gratis. ADrive ist also bestens geeignet, nicht geheime Dokumente mit anderen Benutzern zu teilen, sonst nichts.
Natürlich kann man mit TrueCrypt oder LockNote verschlüsselte Drives und Textdateien anlegen, aber man hat eben wieder den entsprechenden Mehraufwand.
Alternativ kann man natürlich auch die kostenpflichtigen Angebote von ADrive nutzen, diese enthalten dann z.B. auch:FTP-Zugang
- File History Recovery
- ADrive Desktop for Windows, Mac & Linux
- SSL Verschlüsselung
- WebDAV Zugriff
- Mehrere gleichzeitige Sessions
- 24/7 Support
- keine Werbung
Mehr dazu auf der Übersichtsseite von ADrive.