Mit einem WhatsApp Videoanruf könnten Milliarden Smartphones gekapert werden, Android als auch iPhones.
Eine Sicherheitslücke im Code von WhatsApp erlaubt es Angreifern die Kontrolle über die Endgeräte zu erlangen.
Googles Project Zero hat die Sicherheitslücke identifiziert und veröffentlicht. WhatsApp stellt bereinigte Versionen der App bereits zur Verfügung und liefert diese über den Play Store bzw. App Store aus.
Überprüft eure App auf verfügbare Updates und spielt diese umgehend ein, denn obwohl die Lücke aktuell noch nicht aktiv ausgenutzt wird, kann man davon ausgehen, dass dies in Kürze passieren wird.
Bei mir befand sich noch die gefährdete Version 2.18.293 auf meinem Gerät.
Aktuell sind die Version 2.18.302 (Android direkt über WhatsApp, bzw 2.18.306 aus dem Play Store), sowie 2.18.93 für iOS.
Sollte die Version noch nicht im PlayStore für euch verfügbar sein, könnt ihr diese auch manuell von der WhatsApp Webseite laden: https://www.whatsapp.com/android/
Ich empfehle euch das Telefon einfach einmal zu starten und im PlayStore erneut nach Update zu suchen, falls euch keine aktuelle Version angezeigt wird.
Weitere Informationen zum Exploit erhaltet ihr direkt über Googles Bug-Report
Die Sicherheit von Verbindungen ist nicht nur in öffentlichen WLANs wackelig, wer seine Verbindungen gerne über einen Server, der sich in der eigenen Aufsicht befindet, tunneln möchte, der sucht nach Lösungen. Eine dieser Lösungen möchte ich euch heute vorstellen: tsocks!
Habt ihr einen Server mit aktiviertem SSH Server? Im Zweifelsfall nutzt ihr SSH bereits um Verbindungen zu tunneln, eventuell sogar die Option, über SSH einen Socks Proxy zu erstellen. Nutzt man SSH nämlich mit folgendem Aufruf:
ssh -D 1234 benutzer@servername.domain
Kann man im Anschluss Programmen wie zum Beispiel Firefox (sofern sie es erlauben einen Proxy einzutragen), einen Socks Proxy auf localhost mit Port 1234 (in diesem Beispiel) zuweisen um die Verbindungen dann über den Zielserver ins Netz zu tunneln. Leider bleiben hier Anwendungen aussen vor, die keinen Proxy eintragen lassen. Möchte man nun keinen Systemweiten Proxy eintragen und vor allem wieder austragen, wenn man keinen Proxy nutzen möchte, dann kann man mit tsocks, eine etwas bequemere Variante nutzen, denn tsocks erstellt quasi einen Wrapper und erlaubt es einzelne Programme mit Proxynutzung zu starten. Dies bietet die wunderbare Möglichkeit nur bestimmte Anwendungen über einen Tunnel zu jagen oder gar unterschiedliche Tunnel zu nutzen.
Unter Ubuntu und Debian-Systemen ist tsocks in den Paketquellen vorhanden und kann über:
sudo apt-get install tsocks
installiert werden. Eine kurze Anpassung später – denn tsocks bindet auf die aktuell geltende IP – kann man die Konfiguration auf die eigenen Wünsche biegen.
sudo vi /etc/tsocks.conf
Die Einträge „server“ und „server-port“ kann man nach eignen Gusto anpassen, für den server empfiehlt sich die 127.0.0.1, als Port kann man nutzen, was man möchte, oder den Standardport von tsocks beibehalten (siehe Screenshot).
Nun startet man SSH und generiert einen Socks Proxy, der den zuvor beschriebene Port nutzt:
ssh -D 1080 benutzer@servername.domain
Nun kann man die gewünschten Anwendungen mit tsocks starten, zum Beispiel die Browser:
tsocks firefox
tsocks google-chrome
Generell kann man beinahe jede Anwendung mittels tsocks starten und nutzen, hierzu einfach tsocks gefolgt vom Programmnamen aufrufen, auch Parameter können wie gewohnt an die Anwendung übergeben werden.
So spart man sich Proxies in den Programmen einzutragen und kann Anwendungen nutzen, die gar keinen Proxy eintragen lassen. Ideal für öffentliche Netze, Urlaube und und und…
Viel Spaß damit und gerne weitersagen, denn eure Freunde freuen sich bestimmt über ein Mehr an Sicherheit!
Eine neue Funktion soll die Sicherheit von Facebook spürbar verbessern und mit ein bisschen Benutzeraufklärung hätte sie auch die Chance dazu. Facebook führt nämlich die Verschlüsselung mittels PGP ein, wenn Facebook mit dem Benutzer kommuniziert.
Hin und wieder kommuniziert Facebook mit seinen Benutzern, gerade wenn es um Benachrichtigungsnachrichten geht. Leider schwimmen auf dieser Welle zunehmend Phishing-Mails mit, die die Benutzer verführen präparierte Links zu klicken und schon ist das Profil oder die verwaltete Seite in der Hand des Angreifers. Hier will Facebook eingreifen und lässt ab sofort seine Benutzer ihren eigenen öffentlichen PGP-Schlüssel im Profil hinterlegen, den man für die Verschlüsselung der Kommunikation in der Zukunft nutzen wird. Nach einer Testmail, um die reibungslose Kommunikation zu testen, kann man die Verschlüsselung für die zukünftige Kommunikation aktivieren.
Telegram stellt einen offiziellen Linuxclient zur Verfügung, der recht einfach über ein PPA auf Ubuntu Linux Mint installiert werden kann.
Telegram ist ein plattformübergreifender Messenger, der verschlüsselte Kommunikation zulässt und für alle gängigen Systeme zur Verfügung steht (offizielle Webseite: https://telegram.org/). Da der Client nicht in den Ubuntu Paketquellen vorhanden ist, muss man ihn sich mittels eines persönlichen Paketarchives (PPA installieren). Was das funktioniert, ist schnell beschrieben.
Öffnet das Terminal und fügt mit folgendem Befehl zuerst die benötigte Paketquelle hinzu:
sudo add-apt-repository ppa:atareao/telegram
Anschliessend müssen die Quellen neugeladen werden, damit die hinzugefügte Quelle auch von Apt genutzt wird:
sudo apt-get update
Nun kann der Telegram Client installiert werden:
sudo apt-get install telegram
Nach erfolgreicher Installation kann der Client gestartet werden. Hier muss man nun zuerst die Telefonnummer eingeben, die mit dem Messenger verbunden werden soll. Habt ihr den Messenger bereits auf eure Handynummer registriert und nutzt ihn ohnehin schon auf dem Smartphone, so verwendet ihr die Nummer, der ersten Registrierung:
Nachdem ihr die Nummer eingegeben habt und oben mit Next auf die nächste Maske gewechselt habt, bekommt ihr eine SMS auf die angegebene Nummer zugesendet. Den in der SMS enthaltenen Code fügt man dann im folgenden Fenster ein:
Mit einem erneuten Klick auf Next, seid ihr dann im Client und könnt direkt loslegen, bzw. dort weitermachen, wo ihr am Smartphone aufgehört habt. Eure Kontakte, sofern ihr sie synchronisiert habt, stehen euch direkt zur Verfügung:
Einfacher geht es kaum und dank der vielfältigen Clients von Telegram, ist er ein recht beliebter Messenger.
Malicious Software, also Software, die mit böswilliger Software Schaden auf dem Zielsystem anrichten soll, ist auf allen Betriebssystemen zu Hause, auch auf Linux. Ganz besonders bösartige Zeitgenossen sind sogenannte Rootkits, wie ihr diese ausfindig macht, das zeigen wir euch heute:
Neben Viren, Würmer, Spam, Phishing und sonstigen Angriffen auf euer System, sind Rootkits eine sehr unangenehme Möglichkeit, schadhaften Code auf eurem PC oder Server auszuführen, oder diesen im schlimmsten Fall sogar komplett fernzusteuern.
Rootkits, sofern sie vom Rootkit Hunter erkannt werden, auf die Spur zu kommen, ist jedoch ein recht einfaches Unterfangen. Der Rootkit Hunter ist in den Ubuntu Paketquellen vorhanden und kann einfach über Apt installiert werden:
sudo apt-get install rkhunter
Der Rootkit Hunter arbeitet mit einer Signaturdatenbank, die man vor dem ersten Check auf den aktuellen Stand bringen sollte, damit neuere Rootkits ebenfalls erkannt werden können:
sudo rkhunter –update
Ist die Datenbank auf dem aktuellen Stand, kann der Scan beginnen:
sudo rkhunter -c
Der Check verläuft in unterschiedlichen Schritten, erst wird nach Änderungen oder Auffälligkeiten bei Systemkommandos geschaut, bevor es dann an den Rootkit-Check geht und anschliessend weitere Malware- und Netzwerk-Checks durchgeführt werden. Der Rootkit Hunter legt für Systemdateien MD5 Hashs an und kann somit Veränderungen zwischen den Scans feststellen, auch fehlerhafte Dateiberechtigungen oder versteckten Dateien kommt man mit dem Rootkit Hunter zuverlässig auf die Spur.
Sind diese Überprüfungen durchgeführt worden, so kann man sich den Gesamtbericht unter /var/log/rkhunter.log anschauen. Ausgegebene Warnungen werden beschrieben und sollten genauer betrachtet werden.
Für falsche Warnungen kann man Whitelist-Einträge anlegen, die dann im nächsten Scan ignoriert werden und somit keinen erneuten Fehlalarm auslösen. Beispiele zu Whitelist-Einträgen befinden sich in der Configdatei unter /etc/rkhunter.conf
Rootkit Hunter richtet sich primär an Administratoren, aber auch Endanwender, die eine Einzelplatzinstallation von Ubuntu nutzen, sollten ihren PC in regelmässigen Abständen einem Scan unterziehen!
Habt ihr euch schon immer einmal gefragt, welche Daten Facebook über euch speichert? Ab sofort könnt ihr euer persönliches Archiv bei Facebook herunterladen.
Facebook bietet in den Einstellungen eine neue Option zum Download der eigenen Facebookdaten an. Nachdem man den Download der eigenen Daten beantragt hat, bekommt man per Mail einen Downloadlink, bzw. parallel eine Facebook-Nachricht, die darauf hinweist, dass die persönlichen Daten nun zum Download bereit stehen.
Erreichbar ist die Option als Link im Einstellungsmenü:
Facebook verweist auf die folgende Infoseite, auf der beschrieben wird, welche Daten enthalten sind. So finden sich alle Pinnwandeinträge, Kontakte und Loginsessions im Paket. Der Inhalt der Zip-Datei ist eine lokal aufrufbare „Webseite“, die menügeführt Zugang zu den unterschiedlichen Datenbereichen liefert.
Die ISRG will mit Let’s Encrypt eine CA starten, die kostenlos SSL Zertifikate ausgibt, die obendrein leicht verwaltbar und verlängerbar sind.
Woran hapert es bei Zertifikaten meist?
Wenn man an SSL Verschlüsselung für Webseiten denkt, dann gehen vielen Anwendern die Alarmglocken an. Ja, man weiss, man sollte viel mehr verschlüsseln und gerade Kontaktformulare oder alles worüber Daten erhoben werden kann sowieso. Nur macht man es häufig nicht, entweder aus Bequemlichkeit, oder einfach weil man für viele dieser Anwendungsfälle einfach kein Geld ausgeben will oder kann. Häufig geht es nur darum, die elende Fehlermeldung im Browser loszuwerden, aber dafür dann auf der privat betriebenen Webseite, oder einem Testprojekt, ein öffentliches, im Browser akzeptiertes Zertifikat erwerben? In vielen Fällen gilt „NEIN“ hier als die Standardantwort.
Geht es nicht um den Preis und man hat sich durchgerungen ein Zertifikat zu beantragen, dann geht das Problem erst richtig los. Hier will eine Zertifikatsanforderung erstellt werden, für die man zuvor einen entsprechenden privaten Schlüssel auf dem Server generiert haben sollte. Hat man die Zertifikatsanforderung (CSR, also Certificate Signing Request) erstellt, dann geht es an die Anbietersuche. Hat man den passenden Anbieter gefunden, dann muss man nachweisen, dass die Domain von einem selbst rechtmässig administrativ verwaltet wird, im Regelfall über die Zusendung einer E-Mail an eine administrative Empfängeradresse (admin@, administrator@, hostmaster@, postmaster@ oder webmaster@eigenerdomain.de), diese sind durch das CA-Browser Forum vorgegeben. Alternativ kann man sich natürlich auch per Hash-Verfahren per HTTP oder CNAME-Hash authentifizieren lassen.
Wer nun noch nicht ausgestiegen ist, für den ist Let’s Crypt ohnehin nur eine nette Spielerei und der Rest der Seitenbetreiber nur Stümper! 😉
Was möchte Let’s Encrypt anders machen?
Mit Mozilla als einer der Hauptsteuerer in der Gruppe hinter Let’s Encrypt, hat man bereits einen großen Browseranbieter an Bord, der die CA mit Sicherheit im eigenen Browser wohlwollend aufnehmen wird. Grundlegend möchte Let’s Encrypt vor allem das Zertifikatshandling vereinfachen. Hierzu soll eine Zertifikatsverwaltung auf den Server eingespielt werden, die die Beantragung, sprich Schlüsselerstellung, CSR-Generierung und HASH-Verfahren automatisch durchführt und das Zertifikat dann selbständig auf dem Server einspielt und die notwendigen Konfigurationen im Webserver ebenfalls vornimmt.
Für den Benutzer ideal, man installiert einmalig eine Verwaltungssoftware und kann dann mit geringem Aufwand neue Zertifikate beschaffen und dies vor allem kostenlos, denn Let’s Encrypt will ähnlich wie es CACert versucht, die Zertifikate kostenlos anbieten. Bei CACert scheiterte es daran, dass man nicht in die Browser aufgenommen wurde, bei Let’s Encrypt sieht es hier besser aus, wenn gleich man auch dazu sagen muss, dass ein Gegenwind der bestehenden CAs im CA-Browser Forum zu erwarten sein dürfte, denn eine so elegante und kostenfreie Alternative dürfte den Wenigsten schmecken!
Was ist wenn mein Zertifikat abläuft?
Let’s Encrypt hat sich die Gedanken gemacht, die man sich von den bestehenden CAs schon lange gewünscht hat, denn auch wenn ein Zertifikat abläuft, hört die Bequemlichkeit noch lange nicht auf. Die Zertifikatsverwaltung soll zum einen die Laufzeit überwachen und zum Ende der Laufzeit automatisch ein neues Zertifikat beantragen und einspielen, so dass es zu keiner Unterbrechung im Betrieb kommt. Da Zertifikate, zumindest von Anbietern, die in den Browsern als vertrauenswürdige CAs aufgenommen wurden, eine feste Laufzeit haben müssen, kommt man hin und wieder in die unangenehme Situation, dass ein Zertifikat unbemerkt abläuft und die Webanwendung ihren Dienst aufgrund des abgelaufenen Zertifikates versagt. Mit Let’s Encrypt soll dies der Vergangenheit angehören.
Für wen ist denn Let’s Encrypt interessant?
Prinzipiell ist Let’s Encrypt primär für alle die Betreiber interessant, die als oberstes Ziel haben, die Fehlermeldung im Browser los zu werden, die so wunderschön jammert „Diese Webseite ist nicht vertrauenswürdig“. Wie es im Detail aussehen wird ist noch nicht ganz klar, es werden jedoch nur DV-Zertifikate angeboten (Domain Validation), also Zertifikate, bei denen der Domaininhaber über die oben beschriebenen „Prüfverfahren“ validiert wurde. Zertifikate die ein Unternehmen prüfen (OV) oder gar für eine grüne Leiste im Browser sorgen (EV), werden von Let’s Encrypt nicht angeboten, da man diese nicht komplett automatisieren kann.
Für einen großen Teil der kleineren Webseitenbetreiber ist Let’s Encrypt jedoch sehr interessant und könnte auch viele Betreiber dazu animieren überhaupt zu verschlüsseln. Voraussetzung dafür, das Serverbetriebsystem wird von Let’s Encrypt unterstützt und kann die Verwaltungssoftware ausführen (Python basiert und aktuell mit Unterstützung für den Apache Webserver versehen). Etwas speziellere Systeme wie viele Firewalls, Router usw. fallen hier also schonmal raus, genauso wie Windowsserver mit IIS oder Linuxserver die auf NGINX oder Lighttp setzen.
Wo bekomme ich weitere Informationen?
Let’s Encrypt hat eine englischsprachige Webseite online, auf der man bereits viele Informationen finden kann. Eine Preview der Clientsoftware ist ebenfalls verfügbar und für weitere Fragen kann man sich in die Mailingliste eintragen.
Blackphone, das Smartphone welches sich den Schutz der Privatsphäre als Ziel gesetzt hat, kann ab sofort vorbestellt werden.
Silent Circle und Geeksphone gaben im vergangenen Jahr ihre Kooperation bekannt und machten sich zum Ziel ein Smartphone, basierend auf Android, mit angepasstem Betriebssystem und einer umfangreichen Auswahl an speziellen Apps, die der Sicherheit zuträglich sein sollen, zu entwickeln.
Die Frucht dieser Kooperation heisst Blackphone und kann ab sofort für 629 US Dollar vorbestellt werden, die Auslieferung erfolgt dann im Juni diesen Jahres. Zu den 629 US Dollar kommen noch Steuern und Zölle des jeweiligen Landes, so dass wir in Deutschland bei einem Gesamtpreis von 748,51 US Dollar angekommen sind, zum aktuellen Tageskurs sind dies rund 545 €.
Die 100 prozentigen Spezifikationen zum Gerät sind noch mit Vorsicht zu geniessen, man spricht aktuell von einem QuadCore SoC mit mehr als 2 GHz, der Bildschirm soll ein 4,7 Zoll IPS HD IPS Vertreter sein, was wohl alles ab einer 720p Auflösung sein könnte. Der interne Speicher beträgt 16GB welchem 2 GB DDR3 RAM zur Seite stehen. Über eine Erweiterbarkeit des Speichers schweigt man sich leider aus. Eine > 8 Megapixel Hauptkamera, sowie eine 1,3 Megapixel Frontkamera und HSPA+, LTE, Bluetooth 4, Wifi 802.11n, sowie GPS und sonstige Sensoren runden das Paket ab.
Interessant ist die OS Anpassung PrivatOS welche die Suche komplett anonymisiert, WLAN nur in vertrauenswürdigen HotSpots aktiviert sowie viele weitere Apps für sicheres Telefonieren, Mailen und Texten mitbringt. Bereits mitgelieferte Apps für die Nutzung eines VPN-Dienstes, Firewall und Ähnlichen runden das Paket ab.
Wie steht ihr dazu, sind euch Phil Zimmermann, Silent Circle und Geeksphone vertrauenswürdige Partner, denen ihr euer Geld im Sinne des Daten-, Informations- und Persönlichkeitsschutzes anvertrauen wollt?
Canonical gab bekannt, dass das offizielle Ubuntu-Forum unter www.ubuntuforums.org einen Sicherheitsvorfall erlitt.
Bereits am gestrigen 20.07.2013 habe sich der Vorfall ereignet, bis dahin wurde die Forenseite vom Netz genommen und die Benutzer über den aktuellen Zustand informiert. Laut Canonical wüsse man, dass:
Unfortunately the attackers have gotten every user’s local username, password, and email address from the Ubuntu Forums database.
The passwords are not stored in plain text. However, if you were using the same password as your Ubuntu Forums one on another service (such as email), you are strongly encouraged to change the password on the other service ASAP.
Ubuntu One, Launchpad and other Ubuntu/Canonical services are NOT affected by the breach.
Das heisst also, absolut jeder Benutzername, sowie die dazugehörige E-Mail Adresse, als auch das verschlüsselte Passwort sind in die Hände der Angreifen gefallen. Man rät seinen Benutzern dringend zur Passwortänderung bei allen Diensten, bei denen man die gleiche Kombination aus Benutzer und E-Mail, bzw. das identische Passwort wie in den Ubuntu-Foren nutzt!
Der Datenverlust bezieht sich „lediglich“ auf das Forum, andere Dienste von Ubuntu/Canonical sind nicht betroffen und man wollen die Benutzer weiter auf dem Laufenden halten.
Es ist also mal wieder an der Zeit, dass man sich seine Passwortstruktur überdenkt und möglichst sichere Passwörter generiert – möglichst für jeden Dienst ein eigenes! Wie man das bewerkstellige könnte, zeigt der folgende Artikel: Passwörter aufschreiben ist sicher!
Sicherheit ist gerade in der vernetzten Welt das A und O. Gestattet man nun per SSH Zugriff auf den eigenen PC oder einen Server, so sollte man diesen Zugang zusätzlich absichern, denn SSH verlockt gerne zum Bruteforce-Angriff.
Wie man seinen SSH-Zugang sichern kann, haben ich bereits im Artikel HowTo: Ubuntu Server SSH Zugang mit OTP absichern beschrieben, diesen will ich zum Anlass nehmen um ein „Update“ zu veröffentlichen, dass sich mit dem Google Authenticator beschäftigt. Google bietet nicht nur eine 2-Faktor Authentifizierung für die eigenen Dienste an, sondern auch als PAM Modul, welches man in alle Applikationen einbinden kann, die PAM Module unterstützen.
Die Google Authenticator App gibt es für Android, Blackberry OS und iOS, für Windows Phone stehen Drittanbieter-Apps zur Verfügung, die mit Google Authenticator nutzbar sind.
Die jeweilige App solltet ihr euch auf euer Endgerät installieren, bevor es an die Installation des PAM Modules und die Konfiguration des SSH Servers geht.
Installation des PAM Moduls:
Der Google Authenticator befindet sich in den Ubuntu Quellen: sudo apt-get install libpam-google-authenticator
Fügt die Zeile „auth required pam_google_authenticator.so“ in die /etc/pam.d/sshd hinzu
In der /etc/ssh/sshd_config muss der Eintrag ChallengeResponseAuthentication auf Yes gesetzt werden
Benutzereinrichtung:
Mit dem aktuellen Benutzer führt ihr nun google-authenticator aus. Bedenkt dass die Einrichtung benutzerbezogen ist und für jeden Benutzer einzeln durchgeführt werden muss.
Scannt den Barcode mit eurem Smartphone und sichert euch die „scratch codes“, denn diese können einmalig genutzt werden, solltet ihr euer Smartphone nicht zur Hand haben.
Die folgenden Fragen sollten nach bestem Wissen und Gewissen beantwortet werden: Zuerst lässt man die Konfigurationsdatei des Users schreiben (y), dann unterbindet man die mehrfache Nutzung eines Tokens (y), dann verzichtet man auf kürzere Synchronzeiten (n) und stellt sicher dass sowohl Server als auch Endgerät die indentische Zeit besitzen und schlussendlich aktiviert man das Limit dass nicht mehr als drei Loginversuche innerhalb von 30 Sekunden erlaubt sein sollen (y)
Nach einem Neustart des ssh-Dienstes solltet ihr beim Login mit eurer Passwortabfrage begrüsst werden, gefolgt von der Aufforderung den aktuellen Token einzugeben.
Dieser kleine Schritt bringt eine gehörige Portion an zusätzlicher Sicherheit mit sich, unterscheidet sich aber im Prinzip nicht von der Methode mittels OTP und opiekey, aus dem alten Artikel, da sich aber Google Authenticator zunehmender Beliebtheit erfreut, wollte ich euch natürlich zeigen wie man eine solche 2-Faktor Authentifizierung mit Ubuntu und dem Google Authenticator realisieren kann.
Für Anmerkungen und Fragen stehe ich euch gerne zur Verfügung, lasst einfach einen Kommentar da oder haut mich bei Google+ an.