sicherheit

Ich verkaufe all‘ meine Daten

Ben Peter

Wirklich viele Internetbenutzer wehren sich vehement dagegen, dass Firmen ihre Daten farmen. Dazu nutzen sie VPN Verbindungen, verschleiern ihre Identität, löschen im Minutentakt Cache und Cookies und was ihnen nicht noch alles einfällt. Nur was bringt das alles, wenn man mit einem kleinen großen Fehler, mehr oder weniger seine gesamte Netzidentität, für ein par Euros verkauft, natürlich ganz freiwillig unfreiwillig und das ganze bekommt man noch nicht einmal mit.

Der Verkauf gebrauchter Festplatten

Der Verkauf gebrauchter Festplatten – CC egaistek

Folgendes ist passiert:

Ich bin gerade dabei mir für ganz wenig Geld einen kleinen PC für Elektronik und Schaltpläne zusammenzustellen – Kostenpunkt unter 100€. Also musste ebay her und das geht ja erstaunlich schnell. Arbeitsspeicher gab es für 3€, das Mainboard für 24 und ganz wichtig, eine Festplatte für die ich nur 5€ bezahlt habe. Nach einigen Tagen traf alles ein und ich hab glücklich zusammengeschraubt. Danach schnell das Linux auf den USB Stick gezogen, einstecken und es kann losgehen. Ich war jedoch scheinbar zu langsam im Bootmenü, so dass er doch lieber die Festplatte nahm und was sehe ich dann: „Windows wird gestartet

Es war ein intaktes Windows auf der Festplatte, der Hardwarewechsel hat es nicht sonderlich gestört und es bootet fröhlich durch. Danach kam für mich die nächste Überraschung: Automatischer Login. Ich saß etwas verdutzt vor dem Monitor, denn ich bin davon ausgegangen, dass jeder der Festplatten verkauft diese vorher formatiert, außerdem sollte sie noch mindestens einmal überschrieben werden, damit man die Daten nicht wiederherstellen kann. Allein der Gedanke jemand könnte auf meiner Festplatte rumschnüffeln ist blöd, also beschloss ich es (erst mal) nicht zu tun. Die Spitze vom Eisberg war allerdings nicht nicht erreicht! Neben dem ganz offensichtlich illegal installierten Windows 7 Ultimate, lag auf dem Desktop etwas abgelegen ein Ordner mit der Aufschrift BACKUP. Dort hatte ich reingeschaut und ich erschrak: Alle möglichen Dokumente wie Bewerbungen, Anschreiben, Rechnungen etc… daneben Bilder, Musik und Spiele, sowie eine Datei „Passwörter.txt“, wo ich nur den Kopf schütteln musste. Eine fein säuberlich zusammengestellte Liste aller Dienste (Facebook, Google Konto, MSN, ICQ, Dropbox…) mit Benutzername und Passwort!

Ich habe im Prinzip jetzt viele Zugangsdaten gekauft: Für 5€ + Versand.

Der Verkäufer wollte wohl alles Sichern und danach die Festplatte löschen, vergaß dies jedoch. Wäre ich jetzt ein böser Mensch, hätte ich diese Daten ausnutzen können und seine gesamte digitale Identität kapern können, immerhin hätte ich durch die Dokumente auch Adresse und Geburtstage haben können. Danach habe ich den Besitzer der Festplatte angeschrieben, um ihn daran zu erinnern, bei zukünftigen Verkäufen die Festplatte zu löschen und zu überschreiben.

Wie ich dann anhand Webprofile gesehen habe, war er seines Standes Fachinformatiker in Ausbildung :\ aber das kommentiere ich lieber nicht weiter.

Das soll ein Appell an Alle sein: Wenn ihr eure Festplatten verkauft, sichert euch ab! Es gibt genügend Tools für Windows, die die Festplatte überschreiben, in Linux reicht das Programm dd schon aus. Ich hab die Festplatte danach gelöscht, ohne mich weiter umzusehen, jedoch gibt es genügend Leute die das nicht machen.

Ist euch das schonmal passiert? Was sagt ihr dazu?

Howto: Android Smartphone auf CarrierIQ ohne Root-Zugriff überprüfen

Ben Peter

Carrier IQ, eine Software die das Nutzungsverhalten von Smartphonebenutzern aufzeichenen kann, ist in aller Munde. Auf über 140 Millionen Endgeräten soll die Software installiert sein, das bezieht sich nicht nur auf Android Smartphones. Offensichtlich wird die Software primär in den USA genutzt, ich habe noch von keinem Benutzer aus Deutschland gehört, der die Software auf seinem Gerät entdeckt hat.

Voodoo Carrier IQ Detection(Screenshot)
Voodoo Carrier IQ Detection(Screenshot)

Wer allerdings auf Nummer sicher gehen möchte und sein Gerät auf die Carrier IQ Software überprüfen will, der kann es mittels einer kleinen App aus dem Android Market tun. Die App „Voodoo Carrier IQ detector“ (Android Market Direktlink), benötigt keinen Root Zugriff um die App zu erkennen. Sollte CarrierIQ auf dem Gerät gefunden werden, braucht es allerdings Root-Zugriff um sich dieser zu entledigen. Benutzer von Mods, wie dem Cyanogen Mod, sind nicht betroffen, hier ist die Software nicht enthalten.

Was Carrier IQ alles aufzeichnet hat Trevor Eckhart in einem Video festgehalten, äusserst informativ und sehenswert:


YouTube Direktlink

Carrier IQ ist jedoch recht leicht zu finden, auch ohne die oben vorgestellte App, die Bezeichnung als „Rootkit“ ist hier etwas inflationär verwendet worden, denn Rootkits bestechen vor allem dadurch, dass sie nicht sichtbar ihre düstere Arbeit verrichten.

Was sagt ihr zum Carrier IQ Thema? Lasst es uns in den Kommentaren wissen!

Dein Smartphone weiß was du letzen Sommer getippt hast!

Ben Peter

Auf Computern werden sie von jedem Virenscanner hochkant rausgeworfen: Die Keylogger. Berechtigt, denn jeder einzelne Tastenanschlag wird gespeichert und kann an Dritte übertragen werden. Die meisten werden sich denken, dass sie durch Virenscanner und Erfahrung sicher davor sind … wäre da nicht das geliebte Smartphone neben der Tastatur.

Das Smartphone als Keylogger
Das Smartphone als "kabelloser" Keylogger

Patrick Traynor, Professor an der Georgia Tech’s School of Computer Science hat ein Verfahren vorgestellt, mit dem es möglich ist, mithilfe eines Smartphones,  Tastatureingaben direkt von der Tastatur „abzulesen“. Was das kleine Smartphone doch nicht alles kann? Nun sind Passwörter und Adressen nicht einmal mehr davor sicher. Das Verfahren ist einfach erklärt, benötigt aber eine enorme Feinjustierung. Getestet wurde es mit einem iPhone4 jedoch sind prinzipiell alle neueren Smartphones dafür geeignet.

Bei jedem Tastaturanschlag entstehen kleine Vibrationen, für uns natürlich nicht spürbar. Das Smartphone verfügt jedochüber eine ganze Reihe empfindlicher Sensoren, die es sogar möglich machen, ein Smartphone als Belichtungsmesser zu benutzen, oder um den eigenen Herzschlag zu ermitteln. Der Beschleunigungssensor kann nun dazu verwendet werden diese Vibrationen aufzuzeichnen. Anhand der Reihenfolge und Intensität der Vibrationen lässt sich eine ungefähre Position des Anschlages berechnen. Danach wird in einem Wörterbuch gesucht welches Wort denn in Frage kommt und darauf abgeglichen. Wer jetzt sagt das klappt doch nie … die Entwickler geben eine Erfolgsquote von 80% an.

Das Verfahren lässt sich nicht mit jedem Smartphone umsetzen, es kommt auf die Qualität der Sensoren an. Mit einem iPhone 3 war es beispielsweise absolut nicht möglich die Vibrationen präzise aufzuzeichnen. Im iPhone 4 ist zusätzlich ein Gyroskop verbaut, was die Qualität des Beschleunigungssensors steigert. Wenn man sich nun die neueren Smartphones mal anschaut, ein Galaxy Nexus kommt ebenfalls mit einem Gyroskop, ein paar andere High-End Geräte haben ebenfalls eines verbaut.

Diese Art Vibrationen aufzuzeichnen ist nicht neu, es ist schon mit Hilfe des eingebauten Mikrofons möglich . Das Mikrofon ist um einiges empfindlicher als die Sensoren. Das große aber allerdings: Die Betriebssysteme fragen bei der Installation einer App, die auf das Mikro zugreifen wollen, nach und zeigen dies an. Bei den Sensoren ist das in der Regel nicht so, was einen Angriff einfacher werden lässt. Zwar muss auf dem Smartphone erst die entsprechende Software installiert sein um die Tastatur zu belauschen aber es ist durchaus möglich das Spyware im Market etc. landet, was die Vergangenheit oft genug gezeigt hat.

Sollte nun doch jemand Angst davor haben abgehört zu werden: Lasst das Handy einfach in der Hosentasche oder legt es nicht in de Nähe der Tastatur! 🙂

Was meint ihr? Haltet ihr solche Angriffe für eine ernstzunehmende Gefahr? 

Kommentar: Face Unlock auf dem Galaxy Nexus ist unsicher? Natürlich!

Ben Peter

Es geistert durch die Onlinewelt, das unsichere Face Unlock, erstmals auf dem Samsung Galaxy Nexus zu sehen, lässt sich sogar mit einem Bild der im Gerät hinterlegten Person entsperren.

Galaxy Nexus Face Unlock

Nur warum ist das so und warum schreibt man aktuell soviel über die unsichere Funktion sein Gerät mit dem eignen Gesicht entsperren zu lassen. Schauen wir uns einfach mal an, wie Google auf Android.com Face Unlock bewirbt:

Android 4.0 introduces a completely new approach to securing a device, making each person’s device even more personal — Face Unlock is a new screen-lock option that lets users unlock their devices with their faces. It takes advantage of the device front-facing camera and state-of-the-art facial recognition technology to register a face during setup and then to recognize it again when unlocking the device. Users just hold their devices in front of their faces to unlock, or use a backup PIN or pattern.

Man nimmt die Phrase „securing a device“ in den Mund und spricht von der „state-of-the-art facial recognition technology„, kein Wunder also, dass man darüber spricht und vom unsicher redet – sollte man meinen.

Letzlich ist und kann Face Unlock, mit der verbauten Hardware, also keine 3D Kameras, kein Ersatz für eine biometrische Gesichtserkennung sein, das Gesicht wird nunmal ohne „Höheninformationen“ aufgenommen und gleich somit jedem Bild, egal ob nun auf dem Smartphonedisplay oder auf Fotopapier angezeigt.

Face Unlock kann also nur ein Bequemlichkeitsfeature sein, nicht mehr als die normale Bildschirmsperre, nur dass man die Frontkamera und das eigene Gesicht und nicht den Finger zum Entsperren nutzt. Ob das nun schneller geht, lasse ich bewusst offen, aber es erzielt sicherlich einen grösseren Aha-Effekt bei Zuschauern.

Android 4 Ice Cream Sandwich kommt jedoch mit anderen Sicherheitsfunktionen, die in meinen Augen dringend notwendig sind. Zwar konnte man schon lange VPN-Verbindungen anlegen, also direkte Zugänge in Netzwerke, meist natürlich das Firmennetz, aber keiner hat sich über die periphäre Sicherheit Gedanken gemacht. VPNs kommunizieren verschlüsselt durch eine Internetverbindung mit dem Zielnetz, was ist aber mit dem darauf zugreifenden Gerät. Daten, die man sich aus den Unternehmensnetzen zieht liegen unverschlüsselt auf dem Android Smartphone/Tablet, welches keinen eigenen Zugangsschutz aufweist.

Android Ice Cream Sandwich kommt mit der Möglichkeit zur Geräteverschlüsselung (siehe Screenshot) und mindestens genauso wichtig: Erstellt ein Benutzer eine VPN Verbindung, wird er dazu aufgefordert das Gerät mit einer PIN oder einem Passwort zu schützen, die Auswahl der reinen Bildschirmsperre oder eines Musters reicht hier nicht aus.

Leider werden solche neuen Sicherheitsfunktionen in den wenigsten Artikeln erwähnt, aber es klint auch besser wenn man schreiben kann „Face Unlock ist unsicher“.

Wie steht ihr zur Diskussion um Face Unlock für Android Ice Cream Sandwich, ein tatsächliches Problem oder viel Lärm um nichts?

Chaos Computer Club analysiert vermeintlichen Bundestrojaner

Ben Peter

Wie der Chaos Computer Club (CCC) heute auf seiner Webseite mitteilte, sei ihm eine Schadsoftware zugespielt worden, die vom „Besitzer“ mit dem Verdacht auf einen Bundestrojaner vermerkt wurde.

CCC Bundestrojaner (Screenshot der Webseite)

Der CCC analysierte die Schadsoftware [1], die aus einer Windows-DLL ohne exportierenden Routinen bestand. In 20-seitigen Bericht [2] wird der Aufbau der Software beschrieben, die von Beginn an in der Lage ist Funktionen nachzuladen, hierzu sind zwei externe Server IP-Adressen fest in den Programmcode eingebunden. Die Software enthält einen Keylogger, der in der Lage ist Eingaben von Google Chrome, Firefox, Skype, MSN Messenger, ICQ, Yahoo Messenger und weiterer Software abzufangen und zu übermitteln. Ebenfalls sind Funktionen enthalten um Screenshots zu tätigen, Zugriff auf Peripherie wie das Mikrofon oder die Webcam zu erhalten, gerade in Verbindung mit Skype.

Der CCC bemängelt in seiner Analyse darüberhinaus die fehlenden Sicherheitsfunktionen und die schlechte Programmierung (immer in Hinsicht auf den Verdacht dass eine Regierungsstelle hinter der Software steht), so werden die übermittelten Daten nur unzureichend verschlüsselt, ebenso schützt sich die Schadsoftware nicht gegen erneute externe Übernahmen, ist also gefährdet selbst zu einer Hintertür weiterer Angreifer zu werden.

Ob hinter der entdeckten und analysierten Schadsoftware tatsächlich eine behördliche Organisation steckt, kann nicht abschliessend bewiesen werden. Vermutlich wird hierzu in den nächsten Tagen ein Dementi veröffentlicht werden, greift der CCC doch sehr stark in Richtung Regierung an und vermutet einen Bundestrojaner, wie er in der ursprünglichen Fassung im Februar 2008 durch das Bundesverfassungsgericht abgelehnt wurde. Der Ersatz der „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ), als genehmigte Variante, die sich ausschliesslich auf die Telekommunikation zu beziehe habe, würde durch eine solche Schadsoftware, wie der vom CCC analysierten, die nachladbare Funktionen erlaubt, widersprechen.

F-Secure hat die Software indes in ihre Datenbank aufgenommen [3] und erkennt sie als „Backdoor:W32/R2D2.A“, einem String im Code geschuldet, der vor der Ausführung einer Datenübermittlung genutzt wird.

Was sagt ihr zum Fund des CCC und der Vermutung eines Bundestrojaners?

Sicherer Netzwerkzugriff mit OpenVPN und Android

Ben Peter

Erst kürzlich haben wir euch gezeigt, wie es möglich ist unter Android mit der App SSH Tunnel, seinen Datenverkehr in öffentlichen WLANs zu verschlüsseln. Dort erwähnte ich, das es möglich ist mit Hilfe einer SSH- oder einer VPN-Verbindung den Datenverkehr getunnelt über einen Proxy Server laufen zu lassen. Hier möchte ich euch nun zeigen, wie einfach es ist, OpenVPN unter Android zu benutzen.

Wir bedienen uns dafür wieder einer kostenlosen App namens OpenVPN Settings. Um diese App nutzen zu können benötigt ihr root und zusätzlich muss die OpenVPN Binary vorhanden sein.  (Und BusyBox)

OpenVPN Settings ist ähnlich zum Menü WLAN Einstellungen aufgebaut.

Die App lässt sich ähnlich leicht bedienen wie die App SSH Tunnel. Ihr benötigt ein OpenVPN Zertifikat und die Konfiguration, von dem Server mit dem ihr euch verbinden möchtet. Ob das nun das Zertifikat des Netzes eurer Firma ist, eures heimischen Computers oder eines Servers im Internet ist dabei völlig egal. Einfach die Zertifikat Dateien in ein Verzeichnis namens „openvpn“ eurer SD Karte legen (z.B. [sws_highlight hlcolor=“fbfac7″] /sdcard/openvpn/mein-zertifikat.cert(.key|.ovpn)[/sws_highlight]) und danach in der App das Zertifikat auswählen. Ihr werdet nun mit dem OpenVPN Server verbunden und seht dann eine Notifiction das ihr verbunden seid, wo ihr auch eure aktuelle Datenrate seht. Ob die OpenVPN Binary vorhanden ist könnt ihr ganz einfach prüfen. Sie müsste wenn dann in [sws_highlight hlcolor=“fbfac7″]/system/bin/openvpn[/sws_highlight] oder [sws_highlight hlcolor=“fbfac7″]/system/xbin/openvpn[/sws_highlight] liegen. Auf meinem Gerät war die OpenVPN Binary mit Cyanogen 6 schon verfügbar. Für all diejenigen, die die Binary noch nicht haben hab ich unten ein kleines HowTo abgehangen.

Nun benötigt ihr nur noch einen lauffähigen VPN Server um das ganze zu benutzen. Der liebe @nodch wird in kürze noch ein kleines HowTo schreiben wie man OpenVPN korrekt unter Ubuntu aufsetzt. Dann ist euer Android Gerät ein vollwertiges Mitglied des Netzes und ihr dürft alles machen wozu ihr berechtigt seid. Ich persönlich schalte jeden morgen den Rechner an meinem Arbeitsplatz so an 🙂

[sws_toggle1 title=“Installation der OpenVPN Binary (Zum anschauen klicken)“]Ihr benötigt ein gerootetes Gerät um BusyBox und OpenVPN zu installieren. Bitte beachtet das auf manchen CustomROMs wie Cyanogen das schon mitinstalliert ist!

  1. Verschafft euch root
  2. Ladet euch BusyBox aus dem Android Market falls nicht vorhanden
  3. Installiert BusyBox am besten nach [sws_highlight hlcolor=“fbfac7″] /system/xbin [/sws_highlight]
  4. Ladet euch nun den OpenVPN Installer aus dem Android Market
  5. Installiert OpenVPN ebenfalls am besten nac  [sws_highlight hlcolor=“fbfac7″] /system/xbin [/sws_highlight]
  6. Fertig 🙂

Diese Vorgehensweise sollte bei den meisten Geräten/Firmwares funktionieren, ich kann es leider aber nicht für alle Garantieren.[/sws_toggle1]

Was werdet ihr lieber benutzen? VPN oder SSH?

Android Datenübertragung in öffentlichen WLANs verschlüsseln

Ben Peter

Es ist noch nicht allzu lange her, da gab es ein riesen Theater darum, dass Google Anwendungen teilweise Daten unverschlüsselt überträgen. Das Problem wurde teilweise behoben und die bemängelten Google Anwendungen benutzen nun SSL zur Verschlüsselung, jedoch ist dieses Problem nicht Google exklusiv. Jeder der sich in einem ungesicherten WLAN befindet oder über einen WLAN Hotspot surft, ist potenziell gefährdet. Ein Angreifer kann problemlos an die übertragenen Daten gelangen und diese dann unter Umständen missbrauchen, wie es bei Googles Anwendungen möglich war. Es gibt viele Apps, die das in Android eingetragene Google Konto verwenden und sensible Daten wie Passwörter im Klartext durch die Luft schicken. Dem kann man nur entgegen steuern, indem man den gesamten Traffic einer Anwendung oder des ganzen Systems getunnelt über eine SSH- oder eine VPN- Verbindung laufen lässt. Das ist aber nicht immer einfach und oft wissen nur Leute, die sich wirklich damit auskennen, wie genau man so etwas unter Android macht.

Abhilfe schafft da ein Programm wie SSH Tunnel. Diese App ermöglicht es ganz bequem einen SSH Tunnel aufzubauen und den Datenverkehr einzelner Apps, oder des gesamten Android-Systems, umzuleiten. SSH Tunnel erlaubt es mehrere Profile anzulegen, welche alle unterschiedliche konfiguriert werden können. Man könnte theoretisch für jeden Hotspot einen anderen Proxy benutzen. 😉

SSH Tunnel Einstellungen

Die Konfiguration ist für jeden verständlich: Hostnamen und Port des Servers eingeben, auf dem ein SSH Deamon verfügbar ist. Benutzer und Passwort eingeben und eigentlich seid ihr dann auch schon fertig. Einfach Verbinden, und der Traffic geht sichere Wege. KeyFiles können natürlich auch verwendet werden (nur OpenSSH). Optional könnt ihr auch Port Forwarding betreiben, leider funktioniert das Ganze nur mit Root. Wollt ihr den ganzen Spaß nur für einzelne Anwendungen benutzen, muss zusätzlich noch iptables vorhanden sein.

Ein praktisches Feature ermöglicht es, den SSH Tunnel an WLAN Netze oder 2G/3G zu binden, so wird der SSH Tunnel nur aktiv, wenn ihr in einem speziellen WLAN seid.

Testet es selbst einmal und schreibt uns eure Erfahrungen!

 

[sws_blue_box box_size=“620″]Positiv:
[sws_ui_icon ui_theme=“ui-smoothness“ icon=“ui-icon-plus“] [/sws_ui_icon] Gelungene App, die ein großes Maß an Sicherheit in offenen WLANs und Hotspots garantiert.
[sws_ui_icon ui_theme=“ui-smoothness“ icon=“ui-icon-plus“] [/sws_ui_icon] Viele Einstellungsmöglichkeiten, sehr einfache Konfiguration und praktische Features.

Negativ:
[sws_ui_icon ui_theme=“ui-smoothness“ icon=“ui-icon-minus“] [/sws_ui_icon]  Nur mit Root wirklich lauffähig.[/sws_blue_box]

Sensible Daten in der Cloud – Teil 1

Ben Peter

Nicht erst seit Apple die “Ei-Cloud” in jedes Medium katapultiert hat, erfreuen sich Clouds einer steigenden Beliebtheit. Neben den Großen wie Amazon und Dropbox gibt es auch kleine Clouds wie die “Ubuntu-One” von Canonical (die Firma hinter Ubuntu Linux) und Cloudbox von LaCie.

Unter Linux wird man auf jeden Fall Dropbox und speziell unter Ubuntu auch Ubuntu-One finden. Steffen Herrman hat in “Dropbox Dateien und Ordner für jeden zugänglich machen” schon darüber berichtet. Ich möchte hier auf einen Aspekt eingehen, den Steffen ausgespart hat. Die Datensicherheit in der Cloud.

Alle Anbieter versprechen, dass die Daten auf jeden Fall sicher und vor dem Zugriff durch Unbefugte geschützt sind. Nicht erst seit dem Dauer-Hacking-Opfer SONY sollte jedem klar sein, dass es diese Sicherheit nicht gibt! Dropbox ist der Beweis dafür. Am 20. Juni war es durch ein Update möglich, sich ohne korrektes Passwort bei ca. 1% der Benutzer einzuloggen. Der Zauber dauerte ganze 5 Stunden. Soviel zum Thema “meine Daten sind sicher”.

Sicherlich kann man es einfach unterlassen, sensible Daten in der Cloud zu speichern. Wenn es einem Cloud-Benutzer aber nicht egal ist, ob die Daten gelesen werden können, dann hilft nur die Verschlüsselung. Hier gibt es verschiedene Ansätze, die sich auch je nach Betriebssystem unterscheiden.

Für Windows und Linux eignet sich der Einsatz des freien TrueCrypt. Allerdings wird hier ein verschlüsselter “Container” erzeugt, in dem –ähnlich einer ZIP-Datei– alle Dateien gespeichert werden. Nach außen ist nur eine große Datei zu sehen. Für den Sync bedeutet das dann, dass für jede kleine Änderung der gesamte Container in die Cloud übertragen werden muss. Und das kann ein zeitaufwendiges Unterfangen werden. Der Vollständigkeit wegen, einen Artikel dazu findet ihr unter “Dropbox und TrueCrypt – verschlüsselte Daten in der Cloud”.

Einfache Lösungen für Linux

Als Linux-User ist man in der glücklichen Lage, unter verschiedenen Lösungen wählen zu können. Ich habe mich für den FUSE-Dateisystem EncFS entschieden. Bei den meisten Distributionen ist dieses kommandozeilenbasierende Programm in ihrem Lieferumfang enthalten. EncFS geht dabei den Weg, dass ein Verzeichniszweig mit verschlüsselten Daten nach dem Entschlüsseln einfach in ein leeres Verzeichnis eingehängt wird (gemountet). Alle Daten und auch die Namen der Verzeichnisse und Dateien sind verschlüsselt.

Für die Verwendung in einer Cloud bedeutet das, dass die verschlüsselten Verzeichnisse einfach in den Sync-Ordner gelegt werden, während der entschlüsselte Teil im normalen Home-Verzeichnis liegt. Zum Beispiel könnte ~/Dropbox/.Privates_encfs entschlüsselt als ~/Privates eingebunden werden. Der Punkt am Anfang des Verzeichnisnamens sorgt dafür, dass man das verschlüsselte Verzeichnis in seinem Dropbox-Ordner nicht sieht. Mehr lesen

reCaptcha Mailhide

E-Mail Adressen mit Mailhide fürs Web absichern

Ben Peter
reCaptcha Mailhide
reCaptcha Mailhide

Das Internet ist mit Spam gut gefüllt, darum sollte man seine E-Mail Adresse tunlichst nicht im Web kursieren lassen. Mittel und Wege, es den Spammern ein wenig schwerer zu machen, gibt es genug.

Bots suchen regelmässig die Webseiten auf nutzbare E-Mailadressen ab, um diese für Spammails zu nutzen, denn Spam ist ein durchaus lukratives Geschäft.

Es versteht ist daher von selbst, oder sollte es zumindest, warum es keine gute Idee ist, seine eigene E-Mail Adresse öffentlich ins Web zu stellen. Im Artikel zu den Google+ Invites habe ich in einem Nebensatz bereits erwähnt, dass man Adressen mit Mailhide hinter eine Captcha Abfrage stecken und den Bots somit ein Schnippchen schlagen kann. Dies ist natürlich auch keine 100% Sicherheit, allerdings der Klartext-Veröffentlichung der eigenen Adresse immer vorzuziehen.

reCaptcha Mailhide ist denkbar einfach zu nutzen, man besucht die Webseite, gibt seine E-Mail Adresse ein und drückt auf „Protect it!“. Anschliessend bekommt man zwei Varianten, wie man die „verschlüsselte“ Adresse nutzen kann.
Variante 1 ist die Nutzung mittels URL, sprich man kopiert sich die Adresse und stellt diese dort online, wo man sie braucht. Klickt nun jemand auf die URL, muss er, bevor man die Adresse sieht, ein Captcha lösen.
Variante 2 ist für den direkten Einbau auf Webseiten vorgesehen und geschieht mittels HTML Code, der die Adresse in Form von mei…@domain.de anzeigt, mittels Klick auf die „…“ gelangt man zur gleichen Captcha Abfrage, wie schon bei Variante 1.

Legt euch am besten direkt ein Lesezeichen für reCaptcha Mailhide an, damit ihr beim nächsten Mal eure Adresse ein wenig besser schützt.

Abschliessend würde es mich interessieren, wie ihr es mit E-Mail Adressen im Internet handhabt. Nutzt ihr ähnliche Dienste wie Mailhide, oder gar temporäre Inboxen? Lasst es mich wissen!

BackTrack 5 Screenshot

BackTrack 5 für Android Smartphones

Ben Peter

Ganz neu ist die Meldung für einige sicherlich nicht, Ubuntu basierte Distributionen wurden schon mehrfach für ARM Geräte und somit auch Android portiert, BackTrack 5 ist daher keine Ausnahme.

BackTrack 5 Screenshot

Heute hat allerdings msullivan, seines Zeichens Forenmitglied der XDA-Developers Foren, ein fertiges Paket zusammengestellt, welches sich mittels Shellscript leicht auf beinahe allen Android Smartphones installieren lässt. Lediglich die Installation der BusyBox wird vorausgesetzt, damit die benötigten Shellbefehle ausgeführt werden können.

BackTrack 5 ist die wohl bekannteste und umfangreichste Penetration Testing Distribution, mit einer Umfangreichen Sammlung an Programmen und Scripten, die von Netzwerkspezialisten gerne zur Sicherheitsüberprüfung der eigenen Netz verwendet wird. Mit BackTrack 5 für Android kann man viele dieser Aufgaben direkt vom Smartphone aus erledigen.

Dank msullivan ist die Installation von BackTrack 5 sehr einfach geworden, Root auf dem Android Gerät vorausgesetzt:

  1. Paket herunterladen und entpacken: Aktueller Link im XDA-Developers Thread verfügbar
  2. Den Ordner bt5 ins Rootverzeichnis der SD-Karte des Android Gerätes verschieben
  3. Android Gerät vom USB trennen, bzw. die SD-Karte wieder bereitstellen
  4. Einen Terminal Emulator starten
  5. su im Terminal Emulator eingeben und dann mit cd /sdcard/bt5 ins Verzeichnis wechseln
  6. BackTrack 5 mittels sh bt starten

Das wars auch schon, falls alles reibungslos geklappt hat, sollte man mittels SSH oder VNC Verbindung zum Android Gerät aufnehmen können. Das Rootpasswort, sowie das Passwort für den VNC-Zugang sind standardmässig auf ‚root‘ gesetzt.

Möchte man direkt am Android Gerät einen GUI-Zugriff auf BackTrack erhalten, sollte man sich einen VNC Viewer aus dem Android Market installieren und anschliessend eine Verbindung zu 127.0.0.1 (localhost) auf Port 5901 herstellen, Passwort, wie schon erwähnt, ist ‚root‘.

Quelle: XDA-Developers