Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

Ausgerechnet CSC will Websites-Sicherheit testen ...

... und die Mutterfirma arbeitet für die NSA, toll.

... und die Mutterfirma arbeitet für die NSA, toll.

Die CSC Deutschland Solutions GmbH erhielt 2014 den Big Brother Award, da sie im Auftrag von 10 Bundesministerien an sicherheitsrelevanten Projekten arbeitet – und gleichzeitig ist die Mutterfirma die externe EDV-Abteilung der US-amerikanischen Geheimdienste und hat Entführungsflüge in Foltergefängnisse im Auftrag der CIA organisiert. (Ausführliche Begründung der Preisverleihung.)

Und ausgerechnet diese Firma bietet nun ein kostenfreie Sicherheitsüberprüfung von Webanwendungen. Klar, damit kann CSC mit Erlaubnis die Schwachstellen suchen und dann hintenherum an die NSA verkaufen.

Zitat aus dem Newsletter der Allianz für Cyber-Sicherheit des BSI:

2. Kostenfreie Sicherheitsprüfung von Webpräsenz oder Webapplikation durch CSC Deutschland Solutions

Die CSC Deutschland Solutions GmbH bietet den Teilnehmern eine kostenfreie Sicherheitsprüfung einer Webpräsenz oder Webapplikation an.

[...] richtet sich an Unternehmen, [...] deren Kerngeschäft außerhalb der IKT-Branche liegt. Insbesondere diese Unternehmen sind erheblichen Risiken ausgesetzt, während Unternehmen der IKT-Branche in diesem Feld erfahrungsgemäß bereits gut aufgestellt sind. [...]

Man kann das auch so interpretieren: Bei den Unternehmen der anderen Branchen finden sich noch Sicherheitslücken, die man leicht ausnutzen kann. Ideal für Industriespionage.

Transportr als Alternative zum DB Navigator und zu Öffi

Endlich eine freie Software zur Fahrplanauskunft

Endlich eine freie Software zur Fahrplanauskunft

/images/2014/transportr.png

Neulich bloggte ich zu "Öffi als Alternative zum DB Navigator". Öffi hat aber einen – in meinen Augen großen – Nachteil: Es ist keine freie Software. Ich verstehe auch nicht, weshalb der Autor die Software nicht frei gibt, ja noch nicht einmal ein Repo für F-Droid erstellt.

Inzwischen wurde ich auf Transportr hingewiesen, eine freie Software zur Fahrplanauskunft. Es benutzt als Grundlage die gleiche Bibliothek, die auch Öffi benutzt, verwendet aber eine andere Darstellung.

Im Unterschied zum DB Navigator ist die Anzeige viel kompakter, weil es nur um die Fahrplanauskunft geht, nicht um eine Preisauskunft. Konkret muss ich auf meinem Gerät nicht nach unten scrollen, um "Suchen" zu klicken. Bei DB Navigator muss ich das tun, weil darüber noch die Angaben zu Bahncard, Anzahl der Personen, etc. abgefragt werden.

Transportr gibt es im Google Play Store oder bei F-droid.

Edit 2016: Namen, Bild und Links angepasst, das Programm hieß früher "Liberario".

In need for an enhanced git URL scheme

Which allows specifying heads/branches and paths within the repository.

Which allows specifying heads/branches and paths within the repository.

I'm currently testing project-builder, to tool for easily building software for different Linux distributions. One of the features of this tool is to check out the configuration from a source code management system. Well, with git this becomes quite a problem, as one can not specify the branch nor a path within the repo when cloning.

So I'm proposing an extended git URL schema:

Example:

git://<host>/path/to/git/repo?h=devel&p=src/Makefile

Which means:

  • The repository itself is passed as URL as usual

  • The head (aka branch) is passed as query parameter "h"

  • The file or directory is passed as query parameter "p"

Reasoning

For cloning the repository, git needs to know the repository URL. When passing a URL like cgit uses, git can not decide which part of the path belongs to the repo and which part is below. Git would need to walk the URL-path up until it is able to find access a valid repository. This behaviour is not desired as it may have unexpected side-effects, esp. when accessing a a http-based repository.

This means: The part-part of the URL must only contain the path to the repository!

So obviously there is a need for specifying the head/branch to access. This is given as a query parameter. I decided to use "h" like "head" like cgit does.

If one wants to specify a certain file or directory within the repository, this is as a query parameter, too. I decided to use "p" like "path".

FAQ

Why not using the notation /BRANCH/path?

See above: When cloning, git would need to walk the URL-path up until it is able to access a valid repository. This behaviour is not desired as it may have unexpected side-effects, esp. when accessing a a http-based repository. Additionally git does not support this when cloning local repositories. (Try something like git clone /path/to/repo/master/Makefile.) So this would implement an asymmetry.

Why not using the notation /path@BRANCH?

This would inhibit using an @-sign in any path. Plus it does not solve the problem described in the /BRANCH/path-case.

Why not using the notation /tree/BRANCH/path?

Same problem here: git could decide which part of the path belongs to the repo.

TR-069 auf Fritzbox ausschalten und Ergebnis prüfen

Eigentlich sollte das über die GUI gehen, aber auf meiner Fritzbox kann ich das nicht finden. Also per Hand ...

Eigentlich sollte das über die GUI gehen, aber auf meiner Fritzbox kann ich das nicht finden. Also per Hand ...

/images/2014/tr069.cfg.png

Diese Woche gibt es etwas Aufregung um TR-069, weil Sicherheitsforscher entdeckt haben, dass viele Provider es unsicher implementieren. Zeit, sicher zu stellen, ob TR-069 auf meiner Fritzbox aktiv ist.

Meine Kurzanleitung findet sich weiter unten

Mein Vorgehen

Bei einer Suche bin ich auf eine Anleitung gestoßen, die den TCP-Port für TR-069 in der Firewall abklemmt. Nett, aber kompliziert einzurichten. Außerdem suche ich den Ein-/Ausschalter. Leider kann ich den nicht in der Web-Oberfläche meiner Fritzbox finden.

Diese Anleitung zeigt, wie man TR-069 per telnet ausschaltet. Weder per netstat (List der offenen Netzwerkports) noch per ps (Liste der laufenden Prozesse) konnte ich keinen Unterschied feststellen zwischen aus- und eingeschaltet – auch wenn ich die Fritzbox dazwischen neu gestartet habe. Also brauche ich einen anderen Weg, um herauszufinden, ob das Kommando wirklich tut, was es soll.

Auf der Fritzbox habe ich ein Programm Names tr069starter gefunden. Das inoffizielle Wiki zur FRITZ!Box hat eine detaillierte Beschreibung dazu. Dieses Programm macht aber etwas anderes als gedacht: es kopiert eine TR-069-Konfiguration von einem USB-Stick. Nach etwas stöbern in diesem Wiki habe ich die Beschreibung für tr069.cfg gefunden. Und dort ändert sich ein Eintrag, wenn man die in der ersten Anleitung genannten Kommandos absetzt.

Nun hat die Fritzbox mehrere Schichten von Konfigurationsdateien. Aktiv ist die in /var/flash/tr069.cfg (TFFS-Konfiguration). Die anderen beiden (SquashFS und Provider-Datenbank) werden beim Zurücksetzen auf Werkeinstellungen gelesen.

Nachtrag

Eben habe ich noch eine AVM-Hilfeseite entdeckt: die erklärt, weshalb ich die Einstellung nicht in der Web-Oberfläche sehe: »Die Seite "Anbieter-Dienste" ist in der Benutzeroberfläche der FRITZ!Box nur dann vorhanden, wenn Ihr Internetanbieter die automatische Einrichtung der FRITZ!Box nach TR-069 unterstützt«. Alles klar!

Kurzanleitung

Und so kann man TR-069 ausschalten und das Ergebnis prüfen:

  • Telnetd auf der Fritzbox aktivieren: #96*7* auf einem angeschlossenen Telefon eingeben. Das Passwort ist das der Weboberfläche.

  • Per telnet auf die Fritzbox: telnet fritz.bos

  • TR-069 ausschalten: ctlmgr_ctl w tr069 settings/enabled 0

  • Config-Datei ausgeben, um Ergebnis zu prüfen: cat /var/flash/tr069.cfg

  • Dort steht fast am Anfang die Zeile "enabled = no".

  • Telnetd auf der Fritzbox wieder ausschalten: #96*8* auf einem angeschlossenen Telefon eingeben

Heartbleed: $500 Mio. Kosten ... $1–10 Mio. benötigt ... Programmier bekommen magere $2000

Lesetipp - über die Diskrepanz zwischen der Wichtigkeit freier Software und den tatsächlich dafür aufgewendeten Mitteln am Beispiel von Heartbleed: 500 Millionen Kosten durch Heartbleed für die Volkswirtschaften, während die Programmierer, die OpenSSL supporten, bislang mit mageren 2.000 USD im Jahr an Unterstützung für ihre ansonsten ehrenamtliche Arbeit auskommen müssen. Bedenkenswert.

Lesetipp - über die Diskrepanz zwischen der Wichtigkeit freier Software und den tatsächlich dafür aufgewendeten Mitteln am Beispiel von Heartbleed: 500 Millionen Kosten durch Heartbleed für die Volkswirtschaften, während die Programmierer, die OpenSSL supporten, bislang mit mageren 2.000 USD im Jahr an Unterstützung für ihre ansonsten ehrenamtliche Arbeit auskommen müssen. Bedenkenswert.

Lesetipp - über die Diskrepanz zwischen der Wichtigkeit freier Software und den tatsächlich dafür aufgewendeten Mitteln am Beispiel von Heartbleed: 500 Millionen Kosten durch Heartbleed für die Volkswirtschaften, während die Programmierer, die OpenSSL supporten, bislang mit mageren 2.000 USD im Jahr an Unterstützung für ihre ansonsten ehrenamtliche Arbeit auskommen müssen. Bedenkenswert.

URL: http://mobile.eweek.com/security/heartbleed-ssl-flaws-true-cost-will-take-time-to-tally.html

Akkurater Widerstand – Demo im Anzug

"Wir wollen, dass Oma Krause in den Nachrichten proper gekleidete Leute sieht. Wir halten die übliche Demonstrations-Folklore für kontraproduktiv." Tolle Idee!

"Wir wollen, dass Oma Krause in den Nachrichten proper gekleidete Leute sieht. Wir halten die übliche Demonstrations-Folklore für kontraproduktiv." Tolle Idee!

"Wir wollen, dass Oma Krause in den Nachrichten proper gekleidete Leute sieht. Wir halten die übliche Demonstrations-Folklore für kontraproduktiv." Tolle Idee!

URL: http://michaelbukowski.de/2014/07/23/akkurater-widerstand/

Zarafa speichert(e) Passwörter im Klartext

Das bestätigt leider meine Erfahrung, dass PHP-Software von schlechter Qualität ist. Zarafa ist eine freie Exchange-Alternative, hinter der eine deutsche GmbH steckt. Erschreckend, dass auch dann solche elementaren Fehler eingebaut werden.

Das bestätigt leider meine Erfahrung, dass PHP-Software von schlechter Qualität ist. Zarafa ist eine freie Exchange- Alternative, hinter der eine deutsche GmbH steckt. Erschreckend, dass auch dann solche elementaren Fehler eingebaut werden.

Das bestätigt leider meine Erfahrung, dass PHP-Software von schlechter Qualität ist. Zarafa ist eine freie Exchange-Alternative, hinter der eine deutsche GmbH steckt. Erschreckend, dass auch dann solche elementaren Fehler eingebaut werden.

URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0103

OpenStreetMap-Karten in Typo3 einbinden

Keine Ausrede mehr, Google-Maps zu verwenden.

Keine Ausrede mehr, Google-Maps zu verwenden.

OpenStreetMap-Karten in Typo3 einzubinden ist ganz einfach. Der Webmaster muss nur das Plugin ods_osm installieren. Dieses Plugin ist auch bei den Top 10 TYPO3-Extensions genannt. Das Anlegen der Karte sollte dann genau so einfach gehen, wie mit den häufig genutzen Plugin "WEC-Karte", die Google-Maps verwendet.

Ein Beispiel und eine Anleitung findet sich bei der Uni Köln. Dort gibt es auch ein Verwendungs-Beispiel, mit einem Screenshot (im unteren Drittel), wie der Benutzer das Plugin konfiguriert.

Ein Repo für F-droid erstellen

Geht ganz einfach, warum machen das nicht mehr?

Geht ganz einfach, warum machen das nicht mehr?

Wie geschrieben, bin ich auf der Suche nach einer Alternative zum DB Navigator auf Öffi gestoßen. Dem Autor habe ich nun vorgeschlagen, ein Repository auf zu setzen, das man in den F-droid-Client einbinden kann. Darüber können diejenigen, die Öffi benutzen, dann automatisch mit Updates versorgt werden – ohne den Google Play Store zu brauchen.

Das schöne am F-droid-Client ist nämlich, dass man dort weitere Repositories einbinden kann. Ein Beispiel ist das F-droid-Repository des Guardian Project, das Verschlüsselungs-Apps, den Tor-Browser und ähnliches für Android bereitstellt.

Um nun den Autor von Öffi zu überzeugen, ein Repository einzurichten, habe ich es selbst probiert. Es ist recht einfach und sollte in einer Stunde erledigt sein:

  • Android SDK und NDK installieren

  • Ein Git-Repo clonen

  • Eine Konfig-Datei anpassen

  • Evtl. einen GPG-Key erzeugen

  • Evtl. ein Zertifikat erstellen

  • Ein Kommando absetzen

Um eine Paket auf zu nehmen wäre zu tun:

  • Eine Metadaten-Datei anlegen (ein Gerüst dafür kann automatisch erzeugt werden)

  • Ein Kommando absetzten

Im Build-Prozess wäre zu tun:

  • Binary-APK in das Repository kopieren

  • Ein Kommando absetzten

  • Das Verzeichnis auf den Web-Server kopieren

Also wirklich ganz simpel!

Die Anleitung findet sich unter https://f-droid.org/manual/fdroid.html#Simple-Binary-Repository, und ein Beispiel, wie das Ergebnis aussieht, unter https://guardianproject.info/repo/