WE ARE ROOT

Es gibt Befehle, die man nicht oft genug nutzt, um sie aus dem Kopf zu wissen, aber doch in schöner Regelmäßigkeit nutzen muss.

Dazu gehört es für Testzwecke oder interne Systeme auch das Erstellen von selbstsignierten SSL-Zertifikaten. Damit geschützte Systeme sind genau so gesichert wie welche mit gekauften Zertifikaten, nur dass der Browser eine Fehlermeldung anzeigt, weil der Aussteller unbekannt ist. Für interne Zwecke also meistens durchaus ausreichend.

weiterlesen…

Dass Festplatten nicht ungesäubert an fremde Personen weitergegeben werden sollten, hat sich ja nun bei fast allen rumgesprochen. Lange hielt und hält sich die Meinung, dass das Überschreiben nur ausreichend ist, wenn man es mehrfach durchführt. Es gibt sogar Standards mit festgelegten Reihenfolgen und Häufigkeiten.

Da der Forensikexperte Craig Wright dies nicht so recht glauben wollte, fertigte er im letzten Jahr dazu eine Studie an. Das Ergebnis: Bereits einfaches (aber komplettes) Überschreiben genügt, um die Wiederherstellung der Daten zu verhindern.
weiterlesen…

Nach einem Update auf die 64Bit-Version von Bitdefender for Unices funktionierte die Regex nicht mehr, die Amavisd-new ( hier 2.6.1 auf Debian Lenny) verwendet, um aus dem Virenscanner-Output das Scanergebnis zu lesen.

Im Syslog erscheint dazu:

Aug 22 14:11:35 www amavis[26474]: (26474-01) (!!)BitDefender av-scanner FAILED: /usr/bin/bdscan unexpected exit 0, output="BitDefender Antivirus Scanner for Unices v7.90123 Linux-amd64\nCopyright (C) 1996-2009 BitDefender. All rights reserved.\n\nInfected file action: ignore\nSuspected file action: ignore\n/var/lib/amavis/tmp/amavis-20090822T141130-26474/parts/p001  ok\n\n\nResults:\nFolders: 0\nFiles: 1\nPacked: 0\nArchives: 0\nInfected files: 0\nSuspect files: 0\nWarnings: 0\nI/O errors: 0\n" at (eval 86) line 527.

weiterlesen…

Damit ich es nicht vergesse und andere das Problem vielleicht auch haben:

Unter Debian tauchte das Problem auf, dass sämtliche Zeiten nicht der Sommerzeit entsprachen und somit um eine Stunde versetzt waren.

Da dies in vielen Fällen (z.B. Logging) zu Problemen führen kann, sollte eine Lösung her.

weiterlesen…

Wie die iX berichtet ist eine Entscheidung bezüglich der Betreuung des DNSSEC-Systems gefallen. Das amerikanische Privatunternehmen VeriSign, das bereits als Verwalter der Top-Level-Domains .com und .net sowie als SSL-Zertifizierungsstelle bekannt ist, soll nun auch die Verwaltung der Einzelschlüssel sowie des Root-Schlüssels übernehmen. Ohne die Signierung durch diesen Key ist eine Signierung von Subzonen nicht möglich.

Die Entscheidung fiel entgegen der Bedenken der ICANN sowie zahlreicher Experten, die u.a. eine zu große Einflussmöglichkeit der US-amerikanischen Regierung kritisierten.

weiterlesen…

Bereits als “Google”-Killer gehandelt ist die neue Suchmaschine Wolfram|Alpha von Mathematica-Erfinder Stephen Wolfram mittlerweile in eine “closed beta”-Phase eingetreten.

Doch was ist so besonders an dieser Suchmaschine, dass ihr zugetraut wird, Googles Allmacht zu trotzen und an den etablierten Engines vorbeizuziehen?

In einem Blog-Eintrag erklärt der “Erfinder” selbst, welches Problem er versucht zu lösen: Die Suchmaschine soll aus der Eingabe erkennen, welches Problem der Benutzer gerade klären will und bereits voraufbereitete Daten anzeigen.

weiterlesen…

Dass die angedachten und bereits vom Kabinet abgesegneten DNS-Sperren leicht zu umgehen sind, ist vielen bekannt.

Dass es aber innerhalb von Sekunden zu realisieren ist, weiß vielleicht noch nicht jeder meiner Besucher.

Anbei zwei Videos, eins für Linux, eines für Windows.

UPDATE: Da in der Auflistung ja noch mindestens Mac OSX fehlte, hat Diazepam eine “Anleitung” dafür nachgeschoben und auch sogleich den Thron erobert. (Aufgrund von Suchmaschinen und Feedcrawlern werde ich aber den Postttitel nicht mehr ändern.)

weiterlesen…

Noch immer fällt es vielen von uns als Experten schwer, den Normalbürger (Eltern, Geschwister, Bekannte) über die Gefahren der neuen Gesetzgebungsinitiativen bzw. der Providerbestrebungen verständlich zu informieren.

Der “Elektrische Reporter” – ein Magazin des ZDF – hat sich der Problematik angenommen und mit lockeren Erklärungen und Bildern das Thema schön anschaulich dargestellt.

Zeigt dies also den Unwissenden auf dass sie die Probleme verstehen.
weiterlesen…

Gerade stellte sich mir das Problem: Ein Script soll beim Anlegen eines Users und einer Gruppe den Web-User (www-data) der neuen Gruppe hinzufügen. Das funktionierte auch wie gewünscht:

usermod -G user123 www-data

Das Problem: Der Benutzer www-data ist nun zwar Mitglied der Gruppe user123, hat allerdings in allen anderen Gruppen “vergessen”, dass er dazu auch gehören sollte. Das sollte natürlich nicht passieren, denn der Aufruf soll ja nur ergänzend und nicht ersetzend sein. Ein Blick in die Manpage zeigt die einfache Lösung, die ich leider bisher übersah:

usermod -G user123 -a www-data

Der Parameter -a hängt die neue Gruppe an die bisherigen an und erhält damit die Gruppenzugehörigkeiten.

Für Webentwickler, Leute, die die Grabenkämpfe niemals aufgeben wollen, und die Nerds, die einfach immer zu einer Gruppe mit 0,5% gehören wollen: Hier ist eure Wissensquelle!

Browser-Statistik.de zählt über die Einbindung einer Grafik in die eigene Homepage die User-Agents und bietet auf der eigenen Seite einen guten Überblick über die verschiedenen Browser-”Marken” sowie deren einzelnen Versionen. Dabei werden auch die wichtigen Punkte wie Veröffentlichung neuer Versionen in den Verlaufsgrafiken markiert.

Seit gestern zählt auch dieser Blog mit zu den Datenlieferanten. Die Grafik findet Ihr in der Sidebar gaaaaanz unten.

Link:

• Browser-Statistik.de » Mit welchem Browser wird gesurft? » Browser-Verwendung und Statistiken.
• Statistik für diesen Blog

Wie heise Netze berichtet, ist ein Angriff auf das SSL-Zertifikatsystem gelungen. Dieser ermöglicht es, für ein alle gängigen Browser gültiges Herausgeberzertifikat zu erstellen.

Dieses Herausgeberzertifikat ermöglicht es damit signierte, gültige SSL-Zertifikate zu erzeugen mit denen z.B. Man-in-the-Middle-Attacken für Bank-Websites und andere sicherheitskritische Anwendungen durchgeführt werden können.

Die betreffenden Forscher stellten das Demo-Zertifikat zur Verfügung, aber aus Sicherheitsgründen nur mit einem Ablaufdatum von 2004.

Der Angriff beruht auf einer erhöhten Kollisionswahrscheinlichkeit der MD5-Hashfunktion. Daher wird diese Hashfunktion auch nur noch von ca. 30% der sich im Umlauf befindenden Zertifikaten zur Absicherung des sog. Fingerprints verwendet.

Zur Überprüfung, ob die derzeit besuchte Seite von einem “angreifbaren” Zertifikat geschützt wird, existiert eine SSL-Blacklist. Diese wird von von dem Firefox Add-On SSL-Blacklist 4.0 verwendet, um den Benutzer zu warnen. Nach kurzem Test kam mir bisher noch kein problematisches Zertifikat unter. (Das Plugin meldet aber einen Fehler auf der Testseite: https://bad.codefromthe70s.org)

via: heise Netze: 25C3: Erfolgreicher Angriff auf das SSL-Zertifikatsystem.

Wo alle am Jahresende gerade so in Bilanz-Stimmung waren, lief mir etwas interessantes über den Weg: Ein Einzeiler, der aus der bash-history ein Best-of extrahiert. Und das geht so:

	history | awk '{a[$2]++ } END{for(i in a){print a[i] " " i}}' | sort -rn | head

Meine Top 10 aus der aktuellen bash:

52 l
50 htpasswd
50 cd
35 tail
29 exit
28 mc
27 /etc/init.d/apache2
19 grep
18 chown
16 rm

via: http://www.marianoiglesias.com.ar: My top 10 commands for July, 2008

Ich brauchte dies gerade selbst und daher notiere ich es mir mal hier für “immer”.

Zur Überprüfung des Aktivierungsstatus einer Windows XP-Installation ruft man folgenden Befehl auf (Start -> Ausführen):
oobe/msoobe /a
via: How to Check Windows XP Product Activation Status » Tip and Trick.

Es gibt Fehler, die darf es eigentlich nicht geben. So zum Beispiel der, der kostenlosen (immer noch ?) Antivirenlösung passierte. Durch die Erkennung eines False-Postives, also einer versehentlichen und falschen Virenerkennung, in der user32.dll wird diese in die Quarantäne geschoben und damit unbrauchbar gemacht. Danach ist ein Einloggen in das Windows-System (XP) nicht mehr möglich.

Der Fehler ist nur durch eine manuelle Wiederherstellung der Datei mittels Windows-CD zu beheben.

Peinliche Sache…

via: TecChannel.de: AVG-Update macht XP-PCs unbrauchbar

Link: Lösung von AVG | Topic #1574 / 1579

Nur mal eine kleine Erinnerung: Eigentlich ist es eine Selbstverständlichkeit, jedoch selbst bei großen Hostern leider nicht die Regel: Regelmäßige Updates von Standardsoftware.

Gerade das MySQL-Verwaltungstool phpmyadmin wird fleißig weiterentwickelt und vor allem regelmäßig von Sicherheitslücken befreit. Da viele Anwendungen (wie auch dieser Blog) sich auf die MySQL-Datenbank verlassen, ist eine Sicherheitslücke an dieser Stelle extrem gefährlich.

weiterlesen…

Es wurde wieder mal ein kritischer Fehler in Wordpress entdeckt und die betroffene Komponente bereinigt.

Laut den Entwicklern handelt es sich um einen sehr kritischen Fehler, der im schlimmsten Fall (bei schlechter Webserverkonfiguration) zur Erlangung von root-Rechten, im anderen Fall wohl trotzdem zu soviel Rechten, um Schaden anrichten zu können, führen kann. (Uff, was für ein Satz, sorry )

Wie immer hat das Team von WPD bereits die Übersetzung durchgeführt (ist wahrscheinlich nicht einmal nötig bei diesem Fix) und stellte sowohl das komplette Paket als auch das sehr praktische Upgrade-Paket von 2.6.2 zur Verfügunung.

Vielen Dank dafür!

Links:

• WordPress 2.6.3 Sicherheitsrelease – WordPress Deutschland Blog.
• Bugreport (en): Snoopy “_httpsrequest()” Shell Command Execution Vulnerability

Bei dem Nachschauen einer Konfigurationseinstellung stieß ich auf die Nachricht, dass sich bereits vor einer Weile die Server des ixHash-Projektes geändert haben und dadurch die Hash-Abfragen bis zur Anpassung der Config nicht mehr funktionieren.

[...]

As mentioned a few weeks ago, the domains ‘nospam.login-solutions.de’
and ‘nospam.login-solutions.ag’ will reach EOL in the near future. They
are being replaced by the single DNS zone ‘generic.ixhash.net’

[...]

Auf der in der Mail (siehe Linklist) genannten URL gibt es eine aktualisierte Beispielkonfiguration für die ixhash.cf.

Links:

Heute hatte ich mal wieder einen “interessanten” Fehler, dessen Grund und Beseitigung sehr merkwürdig war:

Eine Installation, welche auf dem Windows Installer basierte, brach mit der Fehlermeldung “Ungültiges Laufwerk Q:” ab. Nun gab es wirklich kein Laufwerk Q: und es war auch nicht ersichtlich, woher diese Information kam.

Eine Überprüfung der %TEMP%-Variablen ergab keinerlei Fehler und auch sonst schien alles korrekt zu sein.

Letztlich half Google bei der Lösung: Im Windows-Schlüssel in der Registry für Benutzerordner ( HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ) waren tatsächlich zwei Ordner, und zwar Eigene Bilder (My Pictures) und Eigene Musik (My Music) auf das besagte Laufwerk Q: gestellt (warum auch immer).

Nach dem Zurechtbiegen der beiden Einträge auf existierende Ordner lief die Installation fehlerfrei durch.

Es bleibt die Frage, warum der Windows Installer Zugriff auf die Ordner “Eigene Bilder” und “Eigene Musik” benötigt. Vielleicht kann mir ja das einmal jemand erläutern?

Nach längerer Zeit überprüfte ich mal wieder den Status meiner Backup-Programme. Da bisher auch alles wunderbar lief war es vorher nicht unbedingt notwendig. Offensichtlich hatte sich in der Zwischenzeit so einiges getan, sodass es mal wieder einen kleinen Artikel rechtfertigt.
weiterlesen…