Offenbar, so berichten es mehrere Medien, will der BND jetzt verschlüsselte Internetverbindungen angreifen, indem bis 2020 4,5 Millionen Euro zur Seite gelegt werden, um sie auf einem Schwarzmarkt für unbekannte Sicherheitslücken auszugeben.

Exakt 25 Jahre nach dem Mauerfall und dem Ende des Unrechtsstaates DDR wird damit bekannt, die Überwachung in der BRD weiter auszubauen und aktiv Steuergelder verwenden um sie kriminellen Hackern gegen Sicherheitslücken anzubieten.

Dass damit sowohl Steuergelder veruntreut werden und an kriminelle Hacker ein falsches Signal gesetzt wird, scheint den BND nicht zu interessieren. Auch, dass die Endpunkte der verschlüsselten Verbindungen meistens ausreichend unsicher sind um einen Zugriff auf die Verbindung zu erhalten (was keineswegs besser ist).

Udo Vetter hat dazu auch ein paar gute Argumente.

Deswegen hier nun eine Stand November 2014 aktuelle Apache 2.2 SSL CipherList, welche die mir derzeit beste scheint:

Damit niemand die Liste auf dem Weg zu eurem Rechner manipulieren kann, muss diese Seite über SSL aufgerufen werden.

Allerdings sollte man auch möglichst auf AES im Galouis Counter Mode (GCM) verzichten, da es seit 2005 bekannte Schwachstellen hat.

Falls ihr meint, eine besser Cipher List zu haben, dann gerne her damit!

Was bringt spamfence aka. eXpurgate kostenlos?

Von Mainboarder am 3.11.2014 veröffentlicht
Tags: , , ,

spamfence von eleven aus Deutschland ist ein Virenfilter auf der Basis von eXpurgate für den privaten Gebrauch. Man verspricht über 99% Spamerkennungsrate, keine false Positives (als Spam erkannte legitime Mails) und einen Schutz vor Viren. Ich testete den Dienst.

Die Einrichtung von spamfence ist einfach. Anmelden und danach eine spamfence-Mailadresse erhalten. Mails hierhin werden gefiltert und weitergeleitet an frei definierbare Adressen.

Um den Filter ordentlich zu testen, richtete ich dafür Weiterleitungen von Honeypotadressen auf die spamfence-Adresse ein und beobachtete wie viel Spam durch den Filter kam. Damit ich nicht von Spam überwältigt werde und nur die false Negatives (nicht als Spam erkannte Mails) und legitime Testmails erhalte, habe ich eine Regel erstellt, die diese Nachrichten an eine von mir abgefragte Adresse weiterleitet.

Nachdem ich das System jetzt mehrere Monate so nutze, möchte ich nun ein erstes Fazit ziehen.

Täglich kommen teilweise mehrere false Negatives durch den Filter. Diese können eindeutig Spam sein: in Englisch, beinhalten das Wort Viagra oder “Angebote” die mit jeder Menge Geld zu tun haben. Im letzten Monat lag der fehlerhafte Anteil bei ca. 6%. In der letzten Woche dagegen bei ca. 10%.

Viren werden dagegen recht zuverlässig erkannt. Zumindest werden diese nicht regulär zugestellt, darauf kommt es an. Ob Mail mit Viren nun als Spam, Bulk oder Virus erkannt werden, ist für mich weniger wichtig.

Ob es einem zwischen 94-90% weniger Spam (sofern kein weiterer Spamfilter eingesetzt wird) wert ist, dass die eigenen Mails eine Firma mitlesen, speichern und verarbeiten kann, muss jeder selbst wissen. Mir ist es das nicht wert, da es aber eh nur Honeypots sind, warum nicht durch Spamfence schleußen. Vielleicht wird der Filter damit besser.

Rechnermanagement mit Puppet

Von Mainboarder am 21.10.2014 veröffentlicht
Tags: , , ,

Nachdem ich in letzter Zeit immer mal wieder von Tools wie Puppet und Salt gehört habe, wollte ich mir mal anschauen, wie das Ganze funktioniert. Wie leicht lassen sich mehrere Rechner damit zentral verwalten?

Puppet und Salt sind Tools mit denen man die Konfiguration von Rechnern zentral übernehmen kann. Updates einspielen, Programme verteilen und installieren, Konfigurationen anpassen (SSLv3 bei allen Maschinen mit SSL abschalten) und Cronjobs verwalten sind nur ein paar Beispiele der Anwendungsmöglichkeiten.
Doch zunächst hat man die Wahl welches Programm man überhaupt nutzen möchte: Puppet, Saltstack, Chef, CFEngine und Ansible sind die vermutlich derzeit am weitesten verbreiteten Tools dafür. Für Puppet entschied ich mich dann, weil ich davon bislang am meisten gehört habe. Damit ist die gefühlte Verbreitung am größten und damit hoffentlich auch die Unterstützung. Es ist kostenlos, läuft auf Linux und Windows und ist noch mit vertretbaren Aufwand zu installieren, wenn man auf die grafische Oberfläche verzichtet. Der Master (Rechner, der die Clients konfiguriert), muss Linux sein. Die Clients können auch Windows nutzen.

Port freigeben, Quellen importieren, Master installieren, Clients installieren, Master konfigurieren, Clients starten, Grundkonfiguration anlegen, auf dem Master die Zertifikate der Clients bestätigen, Cronjobs auf den Clients einrichten. So der grobe Installationsablauf.

Die Konfiguration ist an sich auch nicht übermäßig schwer. Man sollte schonmal mit Arrays gearbeitet haben und wissen was das ist.

Als Beispiel werde ich beschrieben, wie man die Meldung, die beim Anmelden an einem Linux mittels SSH erscheint, konfiguriert (Message of the day (MOTD)).

  • Unter /etc/puppet/manifests die Datei site.pp anlegen.
  • Für jeden Client einen Eintrag mit “node ‘HOSTNAME'{ }” anlegen (ohne doppelte Anführungszeichen)
  • Die geschweiften Klammern mit “include standard” füllen
  • Unter /etc/puppet/modules den Ordner standard mit den Unterordnern files, manifests, templates anlegen
  • Unter files die Datei motd mit den gewünschten Inhalten anlegen
  • Unter manifests die Datei init.pp anlegen
  • Mit folgenden Inhalten füllen:

Die source ist so richtig. Der Pfad wird vom Puppet-Verzeichnis aus angegeben und der Unterordner files für modules weggelassen. Das ‘/etc/motd’ sagt Puppet, wo die Datei hinsoll. Der Rest ist, denke ich, selbsterklärend.

In dieser Klasse lässt sich nun sammeln, was auf allen Rechnern eingerichtet werden soll, solange in der site.pp Manifest für jeden Host diese class geladen wird.

Ein Cronjob (alle 30 Minuten) für Puppet lässt sich übrigens wie folgt einrichten:

Dieser muss aber einmalig von allen Clients mit “puppet agent –server HOSTNAME.MASTER –test” geholt werden.

Eine schöne Möglichkeit besteht auch darin, die Konfiguration eines eigenen Standardsystems vollständig in Puppet zu verwalten. Dann kann man diesen Rechner schnell duplizieren. Lediglich ein laufendes Betriebssystem und der installierte und eingerichtete Puppet Client müssen vorhanden sein.

Ein weiterer schöner Anwendungsfall ist auch, die Firewall iptables auf mehreren Server  synchron zu halten. Dies geht über externe Module.

Das Verfahren gegen die Onlineausgabe einer überregionalen Tageszeitung u.a. initiiert durch Mainboarder.de wird erneut aufgerollt. Zuvor erging für die Berichterstattung über den mutmaßlichen Kinderpornobesitz des ehemaligen Abgeordneten Edathy eine Missbilligung des Presserates nach Ziffern 2 und 8 wegen Veröffentlichung von Emailadressen und (nicht zweifelsfrei zuordenbaren) nickname von Edathy.

Einzelheiten sollen dazu nicht veröffentlicht werden. Allerdings möchte ich gleichzeitig dennoch fair berichten, damit nicht der Eindruck entsteht, dass die Missbilligung der letzte Akt war.
Das Medium hat neue Argumente und Informationen vorgetragen, die es vernünftig erscheinen lassen, den Fall neu zu bewerten.

Diese werde ich nun prüfen und – sofern ich anderer Ansicht bin – dem Beschwerdeausschuss zukommen lassen. Nicht alle Argumente aus dem Schreiben sind für mich stichhaltig. Neue Zusatzinformationen zeigen mir aber, dass der Text missverstanden werden konnte. Nicht umsonst hat zuvor der Ausschuss eine Missbilligung ausgesprochen. Die Zeitung argumentiert mit neuen Informationen, dass der nickname in einem bestimmten Zeitraum sehr wohl Edathy zugeordnet werden kann.

Verhandelt wird voraussichtlich am 3.12.2014. Vermutlich erfahre ich erst Ende des Jahres oder Anfang nächsten Jahres von dem Ergebnis.