Eines der 300 Features sind die verbesserten Funktionen der Kindersicherung in Apples Leopard. Zum Umgehen braucht es jedoch keinen Hacker, sondern lediglich das integrierte FrontRow. Wenn also der Countdown der Kindersicherung läuft, genügt es FrontRow kurz aufzurufen und das Zeitlimit bleibt wirkungslos. 10.5.2 ick hör dir trapsen.
Diskussion bei Apfeltalk.de.
Add comment November 17th, 2007
Tom Karpik hat einen sehr üblen Bug in Mac OS X 10.5 entdeckt, der jedoch auch in früheren Versionen zu finden ist. Verschiebt man Daten auf ein gemountetes Laufwerk (egal ob SMB, USB, Firewire oder direkt im Rechner) und verschwindet das Laufwerk, aus welchem Grund auch immer, während des Kopiervorgangs, so werden auch die Originaldaten gelöscht. Damit sind sie weder im Ziel (vollständig) angekommen, noch sind die Reste am Ausgangspunkt auffindbar.
Es dürfte zwar nicht sehr viele Nutzer betreffen, zumal das Kopieren auf ein externes Volume unter Mac OS X normalerweise einen Kopiervorgang anstößt. Damit bleibt das Original immer erhalten. Will man jedoch gezielt Verschieben, durch halten der Command-Taste (Apfel-Taste), so kann dieses Problem auftreten.
Originalmeldung: Massive Data Loss Bug in Leopard.
Add comment November 6th, 2007
Da mein Zertifikat morgen ausläuft habe ich ab sofort ein neues. Zu finden im Impressum.
Add comment Juli 24th, 2007
Ich nutze VNC, um extern auf die GUI meines PowerBooks zuzugreifen. Leider bietet VNC von sich aus keine Verschlüsselung und ist damit per se unsicher. Eine Verwendung ohne Verschlüsselung über fremde Netze - das Internet ist so eins - ist nicht zu empfehlen. Zudem muss in der Firewall auf dem Router ein Port weitergeschaltet werden. Damit kann jeder auf den VNC-Dienst zugreifen. Das nötige Passwort kann schlicht durch Bruteforce herausgefunden werden.
SSH
Obige Tatsachen lassen das Betreiben eines VNC-Servers, der aus dem Internet erreichbar ist, erst einmal als nicht empfehlenswert aussehen. Jedoch ist Mac OS X ein Unix und bietet daher den Dienst SSH an. Unter Windows muss dieser mit Open SSH nachinstalliert werden.
Den meisten ist SSH als sicherer Login auf ein entferntes Terminal bekannt und dies ist auch der größte Verwendungszweck. Jedoch bietet SSH zahlreiche weitere Möglichkeiten. Mit "man ssh" in einer Shell lassen sich alle Parameter nachlesen. Ein Feature ist der SSH-Tunnel.
Funktionsweise
Wenn ich mich vom Rechner Bob über das Internet zum Rechner Alice per SSH verbinde, so ist diese Verbindung verschlüsselt. Zusätzlich kann ich festlegen, dass der Zugriff auf den Dienst xy auf meinem lokalen Rechner Bob durch die SSH-Verbindung in Wahrheit an Alice weitergeleitet und dort bearbeitet wird.
Beispiel: Gebe ich im Browser auf Bob localhost:8080/geheimeSeite ein, so wird dieser Aufruf an Alice weitergereicht und die Webseite kommt nicht von Bob, sondern von Alice. Natürlich muss diese Weiterleitung erst eingerichtet werden.
Syntax
Die Syntax sieht folgendermaßen aus:
ssh -L lokalerPort:aktuellerRechner:zielPort kennung@zielsystem
Optional kann man noch mit der Option -N das Absetzen von Kommandos über die geöffnete Shell verhindern und mit -p einen anderen Port als den Standard 22 angeben. Für meine VNC-Anwendung auf Port 5900 sieht es dann konkret so aus:
ssh -p 22222 -L 5900:localhost:5900 mathias@meinName.dyndns.tld
Fazit
Die Sicherung beliebiger Dienste über einen SSH-Tunnel ist einfacher als es sich anhört und in jedem Fall zu empfehlen. Zum einen wird der Datenverkehr verschlüsselt und zum anderen sind Dienste nicht direkt von außen zugänglich. D.h. keine Portweiterleitungen und damit potentielle Angriffsflächen. Je nach Port-Angabe kann ein anderer Dienst gesichert werden. Außer den angesprochenen Web- und VNC-Servern können auch Verbindungen zu Mail-Servern oder irgendwas anderem getunnelt werden.
Hinweise
Es empfiehlt sich den SSH-Zugang auf wenige, oder gar nur einen Account ohne Admin-Rechte zu begrenzen. Ausreichend lange Passwörter mit Groß- und Kleinschreibung, sowie Zahlen und Sonderzeichen sind ein Muss.
1 comment Juni 4th, 2007
Wie heise Security berichtet ist es gelungen Safari beliebigen Code unterzuschieben. Dieser wird dann mit den Rechten des Benutzers ausgeführt. Für den Internet Explorer und andere Browser gibt es solche Lücken immer wieder, bei Apples Safari ist es die erste. Es fehlen noch genauere Informationen und der Exploit wurde noch nicht veröffentlicht, jedoch steigt die Gefahr von Schadsoftware auch unter Mac OS X.
Wer bisher immer noch mit dem Standard-Admin-Account auf dem Mac arbeitet, sollte spätestens jetzt auf einen eingeschränkten Benutzer-Account umsteigen.
Add comment April 22nd, 2007
Diese frage stellte ich mir heute, angesichts der bekanntgewordenen Äßerungen in einem Stern-Interview:
"Die Unschuldsvermutung heißt im Kern, dass wir lieber zehn Schuldige nicht bestrafen, als einen Unschuldigen bestrafen. Der Grundsatz kann nicht für die Gefahrenabwehr gelten. Wäre es richtig zu sagen: Lieber lasse ich zehn Anschläge passieren, als dass ich jemanden, der vielleicht keinen Anschlag begehen will, daran zu hindern versuche. Nach meiner Auffassung wäre das falsch."
Prompt wurde diese Frage bei Telepolis erörtert. Im Artkel der Tagesschau gibt es weitere Bedenkenträger.
1 comment April 18th, 2007
Falls es noch jemanden gibt, der sein WLAN mit WEP-Verschlüsselung betreibt, handelt grob fahrlässig. Wer es ganz offen hat, sollte einen guten Grund haben! Jedenfalls ist das unsichere WEP nun innerhalb einer Minute geknackt. Bisher dauerte es immerhin bis zu 40 Minuten.
Add comment April 4th, 2007
Seit gestern gibt es ein Sicherheitsupdate für Wordpress 2.1.x und 2.0.x. Es wird dringend empfohlen die neuen Dateien aufzuspielen: offizielle Ankündigung.
Add comment April 4th, 2007
Ein BackUp ist Pflicht. Ich jedenfalls mache von meinem Homeverzeichnis regelmäßig eine Sicherung. Unter einem Unix - und Apples Mac OS X ist ein solches - reicht das Sichern des Benutzerverzeichnises aus, um alle privaten Daten im Extremfall parat zu haben. Nur leider liegen Dateien wie sshd_config, hosts oder auch httpd.conf unter /etc. Sie sollten mitgesichert werden, zumindest wenn diese verändert wurden. Der Vorschlag bei macosxhints.com verwendet dazu Hardlinks. Dies hat mehrere Nachteile, vgl. Softlinks.
Verwendet man nun, so wie ich zum Sichern ein Programm wie SilverKeeper, gibt es meist nur einen Quellordner für das BackUp zur Auswahl. Das ist natürlich das Home-Verzeichnis. /etc liegt jedoch außerhalb davon. Selbst wenn mehrere Quellordner unterstützt werden, landet auf dem Sicherungsmedium nur der symbolische Link. Daher muss man auf eine Script-Lösung mit rsync zurückgreifen. Der Parameter -L bewirkt, dass nicht der Link, sondern dessen Ziel gesichert wird.
Warum schreibe ich das überhaupt? Nun geht wirklich einmal etwas kaputt haben die fünf Prozent, die ein BackUp machen zwar Ihre Daten gesichert, Dienste wie SSH, oder der Apache müssen dennoch neu eingerichtet werden. Daher: mindestens auch /etc sichern. Wer keine Ahnung hat was das alles ist, braucht /etc nicht zu sichern :D.
Add comment März 31st, 2007
Neben den Versionen mit VPN-, Stromspar- und USB-Funktion gibt es seit heute eine neue Beta-Firmware fuer die Fritz!Box. Merkmale sind:
Die Verschlüsselung war längst überfällig und sollte schleunigst in die Standard-Firmware Einzug finden. In wie weit der verbesserte Sprachcodec etwas bringt wird sich erst noch zeigen müssen.
Add comment März 15th, 2007