All posts by admin

Owncloud auf einem smart-kvm.com KVM Server

Immer wieder liest oder hört man von diversen Medien, dass man doch seine Daten in die Cloud verlagern soll oder kann, um diese global verfügbar zu halten. Prinzipiell ist dies ja eine gute Idee, denkt man diesen Gedanken jedoch zuende so muss man schon feststellen dass man hierbei viel falsch machen kann. Bevor man seine Daten jedoch in die Hände eines Cloudanbieters gibt, sollte man sich zuerst überlegen, wie man diese Daten entsprechend schützen kann. Größere Cloudanbieter wie Amazon EC oder Google Drive bieten einen relativ leichten Zugang zu Cloudspeicher und Cloudservices, speichern die Daten jedoch nicht in Deutschland sondern im Ausland. Was letztlich mit den Daten passiert kann man als User nicht feststellen.

Eine bessere Lösung ist es z.B., Owncloud auf einem eigenen Server zu betreiben, den man sich z.B. bei einem Cloud Server Anbieter oder VServer Anbieter zulegen kann. Auch hier muss man sich darüber im Klaren sein, dass der Hosting Anbieter prinzipiell Zugriff auf die Daten hat, und dass diese eigentlich bei den meisten Standardinstallationen ungeschützt auf dem Server des Anbieters gespeichert werden. Wer sich jedoch absolut sicher sein möchte, dass seine Daten geschützt sind muss daher etwas mehr Aufwand betreiben. Ich habe daher hier mal einen kleinen Leitfaden erstellt, mit dem man sich eine verschlüsselte Owncloud Installation auf seinem Server bei smart-kvm.com einrichten kann. Dieser Leitfaden gilt natürlich analog für jeden beliebigen Server Anbieter, sofern man die Möglichkeit hat das System selbst einzurichten.

Zuerst bei www.smart-kvm.com den passenden Server konfigurieren – die Hardware kann später immer noch angepasst werden und es können jederzeit weitere Ressourcen hinzugebucht werden. Die Server werden bei smart-kvm.com in Echtzeit bereitgestellt, normalerweise ist der Server wenige Sekunden nach Benutzerregistrierung verfügbar. Wir gehen hier nun im Webinterface in das entsprechende Bootmenü des smart-kvm.com cloud servers, übernehmen die Option um von CD zu booten und wählen unser bevorzugtes Betriebssystem aus. Ich habe hier nun Debian Wheezy verwendet, möglich wäre auch CentOS, Redhat EL, SuSE Linux oder Ubuntu. Eine Lister der Unterstützen Distributionen gibt es hier: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud

Bei der Installation des Betriebssystems ist unbedingt darauf zu achten, dass die komplette Installation verschlüsselt ist und der Server vor dem Boot bereits ein Passwort zur Entschlüsselung verlangt. Nur so ist sichergestellt, dass auch der Hosting-Anbieter keinen Zugriff auf die Daten erhält. Wer unbedingt will, kann auch die Owncloud auf einem Windows Server installieren – hierbei ist dann darauf zu achten dass zumindest der Datenbereich der Owncloud Installation verschlüsselt gespeichert wird. Es gibt ausserdem noch Owncloud Apps, die ebenfalls die Daten verschlüsseln können. Hier kann man dann aber dennoch sehen, welche User angelegt wurden etc. Es empfiehlt sich daher, den kompletten Server zu verschlüsseln.

Anschliessend kann man seine Owncloud Installation ganz normal administrieren, die Daten sollten nun vor Zugriffen von Dritten geschützt sein.

Frisches Obst – oder: was ist das MacBook Air?

Da ist es also nun, das MacBook Air. Flach soll es sein und innovativ und teuer ist es natürlich auch.

Macbook Air

Ich habe mir zu dem MacBook einige Artikel durchgelesen, sowie die Video-Präsentationen angesehen und auch die technischen Daten studiert und muss leider sagen, dass ich etwas enttäuscht bin.

Bei einem Gerät für knapp 1.500 € (1.700 US$) kann man doch sicherlich mehr erwarten, als ein Multi-Touch-Pad als einziges Alleinstellungsmerkmal. Hätte das MacBook Air wenigstens ein OLED-Display so dass man das Macbook Air auch bei Tageslicht und direkter Sonneneinstrahlung benutzen kann, wäre es wirklich etwas Neues gewesen und es hätte sich dann auch gelohnt, das eine oder andere Notebook gegen ein neues MacBook auszutauschen.

Macbook Air

So muss ich jedoch feststellen, dass mein IBM Thinkpad X20 für die Zwecke für welche ein normaler User so ein Gerät benutzt, sprich Chatten, Surfen, Mailen und etwas Office, noch locker ausreicht.

Ich kann daher nur sagen, für das Geld eigentlich schon eine Unverschämtheit.
Unter http://www.apple.com/de/macbookair/ kann sich jeder selbst ein Bild bzw. eine Meinung davon machen.

(fw.)

Sicherheitslücken in Flash-Applets

Flash-Dateien welche mit Tools wie z.B. Adobe Dreamweaver, Adobe Acrobat Connect (damals Macromedia Breeze), InfoSoft FusionCharts und Techsmith Camtasia erzeugt wurden, sind anfällig für Cross-Site-Scripting Attacken. Die mit diesen Programmen erstellten SWF-Dateien, welche auf zahlreichen Websites zu finden sind und unter anderem auch von prominenten Sites und auch von Banken verwendet werden, sind davon betroffen.

Das Problem liegt an der fehlerhaften Einbettung von JavaScript-Code in den SWF Dateien, mit welchen sich bestimmte Funktionen steuern lassen.

Der Action-Script Code wird jedes mal beim Speichern oder Exportieren einer SWF Datei automatisch mit in die SWF Datei eingefügt. Der Code lässt sich missbrauchen, um ein als Argument übergebenes JavaScript im Kontext der besuchten Seite auszuführen, obwohl der eingeschleuste Code nicht von dieser Seite stammt, sondern von einer vom Angreifer bereitgestellten Seite.

Siehe dazu auch:

XSS Vulnerabilities in Common Shockwave Flash Files, Bericht von Rich Cannings

PHP4 R.I.P – kein Support mehr!

Die Entwickler der Skriptsprache PHP haben die Version 4.4.8 veröffentlicht, die mehrere Sicherheitslücken schließt und für höhere Stabilität sorgt. Die weitere Entwicklungsarbeit für PHP 4 sowie der Support dafür wurde zum Jahreswechsel eingestellt, Version 4.4.8 soll das letzte Release sein. Sofern es notwendig wird, werde man längstens noch bis zum 8. August 2008 noch Sicherheits-Releases publizieren.

Weiteres gibt es dazu hier:

http://www.heise.de/newsticker/meldung/101271/

24C3: Scharfe Kritik an der Fluggastdatensammlung

Eine Auseinandersetzung mit der staatlichen Datensammelwut dies- und jenseits des Atlantiks unter dem Aufhänger des Kampfs gegen den internationalen Terrorismus stand am heutigen Freitag mit auf dem Programm des 24. Chaos Communication Congress (24C3) in Berlin. Konkret bemängelte Erik Josefsson als Brüsseler Vertreter der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) in Europa, dass nach der Vorratsspeicherung von Telefon- und Internetdaten die EU-Kommission nun unter anderem das Horten von Flugpassagierdaten vorantreibe. Mit ihrem Vorschlag zum Aufbau eines eigenen Systems zur Auswertung von Passenger Name Records (PNR) und dem bereits installierten vergleichbaren US-System, so die Kernkritik des Interessenvertreters, hätten Sicherheitsbehörden beider Regionen letztlich vollen Zugriff auf die kompletten Kundensysteme der Fluglinien.

Offiziell sieht das EU-Papier vor, dass die Fluggastdaten in einem dezentralen System regulär insgesamt 13 Jahre vorgehalten werden müssen. Die Fluglinien sollen die begehrten Mitteilungen, die unter anderem Namen, Geburts- und Flugdaten, Kreditkarteninformationen, besondere Essenswünsche, Buchungen für Hotels oder Mietwagen sowie E-Mail-Adressen und Telefonnummern enthalten, spätestens 72 Stunden vor dem Start sowie direkt nach dem Abfertigen einer Maschine an sogenannte Passagier-Informationseinheiten (Passenger Information Units, PIUs) in jedem Mitgliedsstaat weiterleiten und somit für den Zugriff durch Sicherheitsbehörden öffnen. Für europäische Carrier ist ein Push-System vorgesehen, in dem sie die Fluggastdaten aktiv zur Verfügung stellen. Bei ausländischen Fluglinien mit Transporten Richtung EU ist zusätzlich geplant, dass sich die PIUs auch selbst gemäß dem sogenannten Pull-Verfahren in deren Datenbanken mit den PNR eindecken können.

Für das Push-Verfahren sind die bestehenden Datenbanken der Airlines und das dahinter stehende Sabre-Reservierungssystem aber gar nicht ausgerichtet, brachte Josefsson nun schwere Bedenken gegen den Brüsseler Plan vor. Die bestehenden Strukturen zur Verwaltung der Kundendaten und PNR müssten daher grundlegend überarbeitet werden, was teuer käme. Bis dahin hätten die Behörden letztlich in Echtzeit Zugang zu den Systemen, so wie es auch im Rahmen des Abkommens zwischen Washington und Brüssel zur Fluggastdatenweitergabe der Fall sei.

Eine Besucherin des Hackerkongresses aus den USA bestätigte, dass im Rahmen des transatlantischen Datentransfers deutlich mehr Informationen erfasst und gespeichert würden, als offiziell angegeben. So habe sie nach der Teilnahme auch am Vorjahrestreffen der Hackergemeinde in Berlin beim zuständigen US-Heimatschutzministerium, dem Department of Homeland Security (DHS), ihre aufgezeichneten PNR-Einträge abgefragt. Dabei sei herausgekommen, dass neben der Atlantiküberquerung auch Anschlussflüge etwa von Berlin nach Prag in der Datenbank verzeichnet seien. Für Josefsson besteht daher kein Zweifel daran, dass auch bereits alle innereuropäischen Flüge in den PNR-Archiven der USA mit aufbewahrt werden. EU-Datenschutzbeauftragte drängen zwar seit längerem auf die Umstellung auf die Push-Methode, doch getan hat sich in dieser Hinsicht bei den Fluggesellschaften bislang offenbar nichts.

Auch andere Datenschutzvorkehrungen im EU-Vorschlag sowie im US-PNR-System taugen laut dem EFF-Vertreter wenig bis nichts. So sichern Brüssel und Washington zu, dass besonders sensible Daten aus den Flugpassagierangaben wie etwa zu Rasse, sexueller Ausrichtung, Gewerkschaftsangehörigkeit oder Krankheiten ausgesondert werden sollen. Der Haken dabei ist Josefsson zufolge, dass zusätzlich gemäß den Vorgaben eine Aufzeichnung von Änderungen an den PNR-Beständen vorzunehmen ist. In diesen Log-Dateien würden vermutlich also auch die ausgefilterten Daten doch erfasst bleiben. Allgemein schloss sich der Bürgerrechtsanwalt der sorgenvollen Stellungnahme des europäischen Datenschutzbeauftragten Peter Hustinx an, wonach die EU mit dem Gesetzesentwurf weiter in einen Überwachungsstaat Orwellschen Ausmaßes abdrifte.

Weiter warnte Josefsson davor, dass das DHS seine Systeme zur Einreisekontrolle derart umzuprogrammieren gedenke, dass jeder Ausländer beim Flug in die USA zunächst eine individualisierte Erlaubnis zum Betreten des Staatsgebietes erhalten müsse. Dafür sollten im Anklang an Systeme zum digitalen Rechtekontrollmanagement (DRM) Verfahren zum sogenannten Personal Rights Management (PRM) zum Einsatz kommen. Da das US-PNR-System mit dem europäischen Vorschlag weitgehend abgestimmt sei, dürften entsprechende Forderungen demnächst dann auch ergänzend aus Brüssel zu hören sein. Zweifelhaft sei dagegen, ob derartige Bestimmungen mit Abkommen wie dem Internationalen Pakt über bürgerliche und politische Rechte (ICCPR) der UNO vereinbar seien.

Insgesamt hofft Josefsson, dass Bürgerrechtsvertreter den politischen Entscheidungsprozess in Brüssel noch beeinflussen können und anders als in den USA nicht immer hauptsächlich auf den Rechtsweg gegen ausufernde Überwachungsprojekte angewiesen seien. Das EU-Parlament dürfe im Fall der PNR-Sammlung aber nur eine Stellungnahme abgeben, die der federführende EU-Rat und die Kommission nicht groß beachten müssten. Generell müsste daher stärker darauf geachtet werden, dass Datenschutzregeln schon auf technischer Ebene in neuen IT-Systemen verankert werden. (Stefan Krempl) /