Tagged: Sicherheit RSS

  • seeseekey 13:00 on 14. October 2013 Permalink
    Tags: , , GnuPG, , , , , Sicherheit   

    Verschlüsselte Mails unter iOS 

    Mails verschlüsselt mit GnuPG zu verschicken, ist unter den Desktop-Betriebssystemen, wie Windows, Linux oder Mac OS X kein Problem. Schwieriger wird es unter Mobilsystemen. Für Android gibt es da eine Reihe von Lösungen. Bei iOS sieht das Ganze ziemlich mau aus. Das offizielle Mailprogramm, verfügt leider über keine Möglichkeiten es über Schnittstellen zu erweitern. Als einzige brauchbare App für das Verschlüsseln von Mails ist iPGMail zu nennen.

    iPGMail
    Preis: 1,79 €

    Mangels möglicher Integration in das Mailprogramm müssen die Texte mittels Copy & Paste zwischen den beiden Apps ausgetauscht werden. Das ist natürlich nicht bequem, so das zu hoffen steht, das es hier in Zukunft eine elegantere Methode gibt. Die offizielle Seite ist unter http://ipgmail.com/ zu finden.

     
  • seeseekey 09:00 on 23. September 2013 Permalink
    Tags: , , , , , , , Sicherheit, Tunnelblick, ,   

    OpenVPN unter Mac OS X einrichten 

    Wie man OpenVPN unter Windows betreibt, hatte ich vor einigen Jahren beschrieben. Auch unter Mac OS X lässt sich das ganze einrichten. Als grafischer Client bietet sich der quelloffende und unter GPLv2 stehende Client Tunnelblick an, dessen offizielle Seite auf Google Code zu finden ist. Nach der Installation der aktuellen (stabilen) Version 3.3, kann Tunnelblick auch gleich ausgeführt werden. Für die Konfiguration des Clients benötigt man eine Datei mit den benötigten Parametern, welche die Endung „ovpn“ oder „conf“ trägt. Tunnelblick kann dabei bei Bedarf eine Beispielkonfiguration anlegen. In dieser Konfigurationsdatei werden nur folgende Werte geändert:

    remote vpn.example.org 1194
    
    # SSL/TLS parms.
    # See the server config file for more
    # description.  It's best to use
    # a separate .crt/.key file pair
    # for each client.  A single ca
    # file can be used for all clients.
    ca ca.crt
    cert client.crt
    key client.key

    Die ovpn Datei wird mit der ca.crt Datei und der client.crt sowie der client.key Datei (beide erhält man vom VPN Anbieter) in einen Ordner gepackt und dieser Ordner mit der Erweiterung „.tblk“ versehen. Anschließend wie der Ordner im Finder geöffnet und somit der Tunnelblick-Konfiguration hinzugefügt. Danach kann die Verbindung im Kontextmenü aktiviert werden. Nach einigen Sekunden ist die Initialisierung beendet und die VPN Verbindung kann genutzt werden.

     
  • seeseekey 09:00 on 31. July 2013 Permalink
    Tags: , GPGMail, Kryptografie, , , , , Sicherheit   

    Sicherer Mailverkehr mit Apple Mail unter OS X 

    Vor ein paar Tagen schrieb ich darüber wie man mit dem Thunderbird verschlüsselte Mails empfängt und versendet. Natürlich nutzt nicht jeder Thunderbird, deshalb gibt es heute eine Anleitung für die Einrichtung mittels Apple Mail unter Mac OS X. Im ersten Schritt werden die GPGTools heruntergeladen. In diesen befindet sich neben der Kryptografieinfrastruktur auch das entsprechende Plugin für Apple Mail. Das Plugin hört dabei auf den Namen GPGMail.

    GPGMail integriert in die Einstellungen von Apple Mail

    GPGMail integriert in die Einstellungen von Apple Mail

    Hat man noch keinen Schlüssel erzeugt, so kann man dies mit der installierten Anwendung „GPG Schlüsselbund“ nachholen. Dort klickt man auf den Button „Neu“ und wird anschließend von einem Assistenten durch die Schlüsselerzeugung geleitet. Daneben können über den Schlüsselbund auch öffentliche Schlüssel anderer Nutzer exportiert werden.

    Apple Mail mit der GPGMail Erweiterung

    Apple Mail mit der GPGMail Erweiterung

    Wenn für die Absender Mailadresse ein Schlüssel hinterlegt ist, können die Mails signiert werden. Verfügt man weiterhin über einen Schlüssel für den Empfänger der Mail, so kann die Mail verschlüsselt werden. Ob die jeweilige Operation möglich ist, sieht man dabei an dem Schloss- und dem Siegelbutton, welche rechts eingeblendet werden.

     
  • seeseekey 10:00 on 23. January 2013 Permalink
    Tags: , , Klartext, , , , , , SFT, Sicherheit, ,   

    Outbank wieder benutzbar 

    Vor einigen Tagen kam die Version 2.0 der Anwendung Outbank heraus. Dabei handelt es sich um eine Banking Software für Mac OS X und iOS. Allerdings hatte sich in die Version ein schwerer Fehler eingeschlichen. So wurde das Passwort welches zu lokalen Verschlüsselung der Daten benutzt wird, im Klartext in die „system.log“ geschrieben, was dann im Beispiel so aussieht:

    Jan 17 09:17:03 delphi.localdomain OutBank[537]: Open Store:Core Data key:123456->abcdefghijklmnopqrstuvwxyzABCDEF

    Neben diesem Problemen hatte die erste Version dank iCloud Synchronisierung auch mit Problemen wie doppelten Umsätzen und ähnlichem zu kämpfen. Problematisch an dem Fehler im Log ist auch das Mac OS X von Zeit zu Zeit das ganze archiviert und es so dazu kommen kann, das dieses Passwort an mehreren Stellen zu finden ist. Das gleiche trifft auch auf die Kombination mit Backupsystemen wie Time Machine zu. Um nach dem Update auf Outbank die entsprechenden Logeinträge zu entfernen wird von „stoeger it“ folgende Zeile empfohlen welche man im Terminal ausführen sollte:

    sudo -i -- 'cd /var/log && grep -vE "OutBank\[" system.log > system.log.clean && mv system.log.clean system.log && if [[ -f system.log.0.bz2 ]]; then for a in system.log.*.bz2; do bunzip2 $a && grep -vE "OutBank\[" ${a%.*} > ${a%.*}.clean && mv ${a%.*}.clean ${a%.*} && bzip2 ${a%.*} ; done; fi; rm -f /var/log/asl/*.asl'

    Witzig sind in diesem Zusammenhang Aussagen von Tobias Stöger aus der Zeitschrift SFT (Spiele | Filme | Technik) wo er auf die Frage ob Outbank sicher ist unter anderem wie folgt antwortet:

    Der Artikel bezog sich mal wieder auf das unsichere Android-OS. […] Hinzu kommen noch unsere Sicherheitsmaßnahmen, wie automatische Passwortsperre oder verschlüsselte Datenbank.

    Das war dann wohl ein Fall von pauschaler Aussage zum falschen Zeitpunkt. Natürlich stellt sich die Frage warum (wenn auch nur für Debugzwecke) Passwörter überhaupt im Klartext gespeichert werden. Auch war keine Auskunft zu erhalten ob die neue Version von Outbank die Bereinigung der Dateien selber vornimmt. Zur Sicherheit sollte man dies also auf alle Fälle manuell nachholen und anschließend das entsprechende Passwort ändern.

    Weitere Informationen gibt es unter:
    http://www.outbank.de/outbank-os-x-mac-sicherheitshinweis-zu-version-2-0-0/
    http://www.heise.de/mac-and-i/meldung/Outbank-2-mit-Passwort-Leck-1786837.html

     
  • seeseekey 09:00 on 30. July 2012 Permalink
    Tags: , EncFS, , , , , , Sicherheit,   

    Dropbox + EncFS + Spotlight unter OS X 

    Vor einiger Zeit schrieb ich einen Artikel darüber wie man ein verschlüsseltes Verzeichnis in der der Dropbox mittels „Fuse4X“ und „EncFS“ unter Mac OS X Lion mountet. Der Wehrmutstropfen an meiner Methode war allerdings das Spotlight nicht funktionierte. Das hängt wohl damit zusammen das Spotlight standardmäßig nicht auf die mit Fuse eingehängten Systeme zugreifen kann.

    Dazu sind auch nur einige Änderungen nötig. So muss das alte Skript zum mounten:

    echo ultrageheimespasswort | encfs --stdinpass ~/Dropbox/Private ~/DropboxEncrypted

    durch dieses ausgetauscht werden:

    #!/bin/bash
    #Secure EncFS Dropbox mounter by Daniel Widerin
    #Edited by seeseekey
    
    SOURCE=~/Dropbox/Private
    TARGET=/Volumes/DropboxEncrypted
    VOLUME_TITLE=DropboxEncrypted
    PASSWORD=ultrageheimespasswort
    ENCFS=/usr/local/bin/encfs
    
    mount | grep $TARGET >/dev/null
    [[ "$?" -eq "0" ]] && /usr/sbin/diskutil unmount $TARGET
    
    if [ ! -d $TARGET ]; then
     echo "Create new mountpoint $TARGET"
     mkdir $TARGET
     chmod 0700 $TARGET
    fi
    
    echo $PASSWORD | $ENCFS $SOURCE $TARGET --stdinpass -ovolname=$VOLUME_TITLE -omodules=iconv -ofrom_code=UTF-8 -oto_code=UTF-8-MAC -oallow_root -olocal -ohard_remove -oauto_xattr -o nolocalcaches

    Das neue Skript basiert dabei auf einer Variation eines Skriptes von Daniel Widerin und wurde etwas vereinfacht sowie um Angaben für den Zeichensatz erweitert. Nun kann man sich das ganze noch etwas bequemer machen, indem man das entschlüsselte Verzeichnis gleich beim Login einbindet. Das Skript sollte dabei einen Namen nach dem Schema „encryptDropbox.command“ tragen.

    Nachdem dies geschehen ist, findet man in den Einstellungen unter „Benutzer & Gruppen“ -> „Anmeldeobjekte“ den entsprechenden Punkt. Dort wird einfach das entsprechende Skript hinzugefügt und schon wird dieses in Zukunft beim Login geladen.

    Weitere Informationen gibt es unter:
    http://seeseekey.net/blog/9455
    http://fuse4x.github.com/faq.html
    http://widerin.org/blog/secure-your-dropbox

     
  • Dennis 13:24 on 4. May 2012 Permalink
    Tags: , , , gepäck, , lithium-ionen-akku, qualm, rauch, Sicherheit   

    Achtung vor rauchenden iPhones! 

    Achtung vor rauchenden iPhones!

    Dass heutzutage Apples iPhone genauso zum Reisegepäck gehört, wie auch die Zahnbürste oder die Schuhe, dürfte jedem klar sein, doch die australische Verkehrssicherheitsbehörde hat nun erklärt, dass genau bei solchen Geräten höchste Vorsicht geboren ist.

    Ich packe meinen Koffer und nehme mit…
    …ein iPhone? Na klar, wer von uns iPhone-Besitzer würde darauf schon mit einem „Nein!“ antworten? Doch nach einem eher komischen Zwischenfall mit Apples iPhone in einem Flugzeug, hat die australische Verkehrssicherheitsbehörde zur Vorsicht aufgerufen. Ginge es nach ihnen, dürfte niemand mehr derartige Geräte in einen Koffer packen.

    „Beim Reisen mit Mobiltelefonen, Laptops und anderen tragbaren Elektrogeräten – oder auch nur deren Batterie – sollten Passagiere diese möglichst in der Kabine mitnehmen und nicht mit dem Gepäck aufgeben“

    Lithium-Ionen-Akku ist Schuld
    Schuld an der ganzen Geschichte seien die Lithium-Ionen-Akkus, die auch in einem iPhone stecken. Diese können unter besonderen Situationen anfangen, sich zu entladen oder sogar Feuer zu fangen. Mit ihrem Statement, welches vergangenen Freitag veröffentlicht wurde, hatte die Behörde auf einen Zwischenfall aus dem vergangenen November reagiert, bei dem eine Flugbegleiterin einen Feuerlöscher zücken musste, um den Akku des iPhones zu löschen. Dieser hatte sich zuvor überhitzt und fing an zu qualmen.

    Bei späteren Untersuchungen kam schlussendlich heraus, dass das Smartphone kurz vorher von einem nicht autorisierten Elektroniker repariert wurde. Bei der Aktion sei eine Schraube an die falsche Stelle geschraubt worden und hat so die Hülle des Akkus beschädigt, was dann zum Überhitzen führte. Zwar konnte in diesem Fall die Ursache auf eine unsachgemäße Reparatur des iPhones zurückgeführt werden, doch auch bei funktionierenden Geräten, ist ein derartiges Verhalten möglich und somit gefährdend.

    via

     
  • _nico 17:56 on 14. January 2012 Permalink
    Tags: , , , Sicherheit   

    OSX – Snow Leopard / Lion – Passwort per Firewire über Direct Memory Access auslesen 

    Vor ca. 6 Monaten hat fast jedes IT-Portal darüber berichtet, dass unter Mac OS X Lion (10.7) und Snow Leopard (10.6) das Login-Passwort sowie der FileVault(2)-Key über Firewire aus dem RAM (Direct Memory Access, kurz DMA) ausgelesen werden kann.

    cnet.com - Mac OS X Lion reveals passwords in sleep mode?
    macwelt.de - Passware liest Mac-Passworte über Firewire aus
    pcmag.com - Your New Lion Mac Can Be Cracked Over Firewire
    silicon.de - Apples Mac OS X Lion verrät Passwörter

    WANN? WIE? Dabei ist nur wichtig, dass der jeweilige User eingeloggt ist. Der Mac kann sich zu diesem Zeitpunkt im Standby, Ruhezustand oder auf dem Sperrbildschirm befinden. Um diese Sicherheitslücke auszunutzen wird der Mac über Firewire oder theoretisch auch über Thunderbolt mit einem anderen PC (oder einer manipulierten Festplatte) verbunden und ein Speicherabbild vom Arbeitsspeicher erstellt. Dieses Speicherabbild wird dann analysiert und in wenigen Minuten, wenn nicht sogar nur Sekunden, wird das Klartext Passwort angezeigt!

    apple safety lockFoto: IMG_3383 (Joe Buckingham/Flickr, CC BY 2.0)

    ABER? Keines der IT-Portale hat nach dem Erscheinen von Mac OS X Lion 10.7.2 Entwarnung gegeben, fast jedes Portal hat zwar über das Update berichtet, aber keiner hat auch nur Ansatzweise erwähnt, dass mit diesem Update die Sicherheitslücke behoben wurde - die noch vor 6 Monaten so stark diskutiert wurde!

    Auswirkung: Eine Person mit physischem Zugang kann auf das Kennwort des Benutzers zugreifen.

    Beschreibung: Ein Logikfehler im DMA-Schutz des Kernel erlaubte einen Firewire-DMA am Anmeldefenster, beim Starten und Herunterfahren, jedoch nicht an der Bildschirmsperre. Diese Aktualisierung behebt das Problem, indem ein Firewire-DMA in allen Zuständen verhindert wird, in denen der Benutzer nicht angemeldet ist.

    CVE-2011-3215: Passware, Inc.

    Quelle: apple.com – Informationen zum Sicherheitsinhalt von Mac OS X Lion 10.7.2 und Sicherheitsupdate 2011-006

    ACHTUNG! Unter 10.6.8 (Snow Leopard) wurde die Sicherheitslücke nicht behoben!

    Auf ilostmynotes.blogspot.com wurde das Sicherheitsleck unter 10.6.8 erfolgreich ausgenutzt und unter 10.7.2 funktioniert das Auslesen des Passwortes nur noch wenn der User ungesperrt angemeldet ist!

    Quellen & Hintergründe:
    macmark.de – 2011-08-17 Klartext-Paßworte im RAM
    ilostmynotes.blogspot.com – Firewire and DMA attacks on OS X
    macuser.de – Paßwort und Keychain aus RAM lesbar per Firewire
    frameloss.org – Firewire Attacks Against Mac OS Lion FileVault 2 Encryption
    apple.com – Informationen zum Sicherheitsinhalt von Mac OS X Lion 10.7.2 und Sicherheitsupdate 2011-006


    © loggn.de - Tutorials und Erfahrungen, 2012. | Permalink | kein Kommentar
    _nico bei Twitter und Google+ | loggn.de bei Facebook und Google+

    Copyright © 2009-2012
    Dieser Feed ist ausschließlich für den privaten Gebrauch bestimmt. Der gewerbliche Gebrauch, in gedruckter oder digitaler Form, ist ohne ausdrückliche Zustimmung des Betreibers nicht erlaubt.

     
  • JayMGee 16:01 on 24. October 2011 Permalink
    Tags: , , IntelliscreenX, , , , , Sicherheit, ,   

    Vorschau: IntelliscreenX für iOS 5 (Update) 

    Wann immer mich jemand fragt, warum ich mein iPhone jailbreake, gibt es dieselbe Antwort: SBSettings und andere System-Modifikationen (siehe auch meine veraltete Liste der Top10 Jailbreak-Apps)! Eine diese so genannten Tweaks ist Intelliscreen, mit der man sich seinen Lockscreen verschönern kann (oder auch verschandeln, das ist ja Ansichtssache). Mit Intelliscreen oder ähnlichen Tweaks kann man bspw. neue Emails, das Wetter und andere Informationen aus seinen Apps vom Lockscreen aus anschauen und von dort aus direkt darauf zugreifen.

    Intelliscreen nur mit Jailbreak für iOS 5
    Und wer bisher sein iPhone mit iOS 5 noch nicht gejailbreakt hat, dem sei gesagt, dass man mit dem semi-untethered Jailbreak für iOS 5 schon jetzt einigermaßen arbeiten kann.

    IntelliscreenX goes SBSettings
    Bald wird es IntelliscreenX für iOS 5 geben und einige neue Funktionen mit sich bringen. Eine davon erinnert mich sehr stark an SBSettings… Insgesamt wird es so mächtig sein, dass man sich schon fast gar nicht mehr einloggen muss, um das iPhone nutzen zu können!

    Wie IntelliscreenX für iOS 5 aussehen wird, zeigen euch die Entwickler persönlich:

    Sicherheit? Datenschutz?
    Die wichtigste Frage bei einer Systemänderung wie Intelliscreen ist aber die nach der Datensicherheit. Denn mit einem solchen Tool kann theoretisch jeder auf die freigegebenen Daten zugreifen. Und dank des neuen Notification-Centers in iOS 5 weiß so gut wie jeder, wie man dort hin kommt. Dessen sollte man sich imer bewusst sein, wenn man derartige Tweaks installiert!

    Ich bin mir aber auch sicher, dass es bei IntelliscreenX auch wieder zahlreiche Einstellungsmöglichkeiten geben wird, so dass man die Datensicherheit deutlich erhöhen und vielleicht auch gewährleisten kann.

    Update:
    Unter der Repo http://www.intelliborn.com/isxbeta kann eine Beta von IntelliscreenX für iOS 5 installiert werden!

    via ApfelPortal

    flattr this!

     
  • Timo 10:29 on 25. September 2011 Permalink
    Tags: , , Backdoor, Lücke, , Schädling, Sicherheit, ,   

    Mac Sicherheitslücke kann per PDF ausgenutzt werden 

    Sicherheitslücken auf dem Mac kann man an einer Hand abzählen. Ausgenutzte Sicherheitslücken gibt es sogar noch weniger. Die Mehrheit der Schadsoftware auf dem Mac nutzt einfach die Unachtsamkeit des Nutzers aus. Nun hat F-Secure jedoch einen Trojaner gefunden, der eine Lücke in der PDF-Vorschau auf dem Mac ausnutzt.  Dabei soll sich das File als PDF tarnen und über die Vorschau entsprechend geöffnet werden können. Im Hintergrund wird jedoch der Schadcode injiziert und eine Hintertür in den Mac öffnet. Dem Artikel von F-Secure zufolge gibt es bei dem Sample, welches dort vorliegt, noch ...
     
  • JayMGee 11:56 on 11. July 2011 Permalink
    Tags: , , , Diebe, , , , , Langfinger, , Sicherheit, Sicherung, ,   

    Smartphone-Alarm: Dank Secu4Bags sehen Diebe alt aus 

    Smartphone-Alarm: Dank Secu4Bags sehen Diebe alt aus

    Keine Sorge mehr vor Langfingern!
    Aus der nicht gerade für ihre hohe Kriminalitätsrate bekannten Schweiz kommt die praktische Idee, sich seine mobilen Wertgegenstände via Chip und Smartphones oder iPhones vor Diebstählen sichern zu lassen: Ein kleiner Sender informiert den Besitzer automatisch, wenn der Gegenstand unbefugt entwendet wird.

    Bluetooth machts möglich
    Per Bluetooth sendet z.B. ein in die Notebooktasche installierter Chip ein Alarmsignal an das Smartphone, sobald der entsprechende Gegenstand von Dritten bewegt wird. Und auch im Laptop-Koffer selbst wird ein akustisches Signal ausgelöst, das den Dieb vor einer weiteren Mitnahme hindern soll.

    Klein wie eine Kreditkarte – groß in der Wirkung
    Einmal eingebaut steht der Sender in ständigem Kontakt mit dem iPhone oder einem anderen Smartphone und warnt den Besitzer, sollte eine zuvor festgelegte Entfernung zwischen Secu4Bags und dem Handy überschritten werden. Auch iPads können so mit dem Diebstahlsicherungsprodukt verbunden werden.

    Ein Lärm wie beim Presslufthammer
    Welches Gerät auch immer den Alarm schlägt – das Tonsignal ist nicht zu überhören: Die Lautstärke kann individuell aus drei vorgegebenen Stufen bis zu einer Maximalhöhe von 100 Dezibel eingestellt werden: Wer schon einmal mit einer Motorsäge gearbeitet hat, der weiß, was das heißt!

    Details zur Diebstahlsicherung Secu4Bags:

    • Maß: 54 x 86 mm
    • Gewicht: 20 Gramm
    • Akkulaufzeit: bis zu 100 Stunden
    • Aufladbar per USB-Stick
    • Passende App für iPhone und iPad kostenlos

    Und so sieht das dann praktisch aus:

    Hoffen wir trotzdem, dass eure iPhones, iPads oder Laptops nicht geklaut werden!

    flattr this!

     
c
compose new post
j
next post/next comment
k
previous post/previous comment
r
reply
e
edit
o
show/hide comments
t
go to top
l
go to login
h
show/hide help
esc
cancel